Sie sind auf Seite 1von 425

BRAIN-MEDIA.

DE

PROFESSIONELLES LINUX- UND OPEN-SOURCE KNOW-HOW

Holger Reibold
Webmin kompakt

2., aktualisierte und erweiterte Auflage


Alles, was Sie über die Systemadministration
mit Webmin wissen sollten
Holger Reibold

Webmin kompakt
2 Webmin kompakt

Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Ver-


lags ist es nicht gestattet, das Buch oder Teile daraus in irgendeiner Form durch
Fotokopien oder ein anderes Verfahren zu vervielfältigen oder zu verbreiten. Das-
selbe gilt auch für das Recht der öffentlichen Wiedergabe.
Der Verlag macht darauf aufmerksam, dass die genannten Firmen- und Marken-
namen sowie Produktbezeichnungen in der Regel marken-, patent- oder waren-
rechtlichem Schutz unterliegen.
Verlag und Autor übernehmen keine Gewähr für die Funktionsfähigkeit beschrie-
bener Verfahren und Standards.

© 2007 Brain-Media.de
Umschlaggestaltung: Brain-Media.de
Satz: Brain-Media.de
Coverbild: Teresto
Druck: COD
ISBN: 978-3-939316-10-7

www.brain-media.de
3

Inhaltsverzeichnis

Vorwort .................................................................................................................. 13

1 Webmin – der Einstieg ................................................................................... 15


1.1 Installation .............................................................................................. 16
1.2 Erstes Log-in .......................................................................................... 25
1.3 Webmin-Kategorien ............................................................................... 27
1.4 Deinstallation ......................................................................................... 29
1.5 Sicherheit für den Webmin-Server ......................................................... 30
1.5.1 Zugriffsbeschränkung auf IP-Basis ................................................ 30
1.5.2 Zugriff per SSL .............................................................................. 31

2 Webmin-Module ............................................................................................ 35
2.1 Sprache anpassen .................................................................................... 35
2.2 Konfigurationsdateien sichern ................................................................ 37
2.2.1 Konfigurationsdateien wiederherstellen ......................................... 39
2.2.2 Modulkonfiguration........................................................................ 40
2.3 Webmin-Konfiguration .......................................................................... 43
2.3.1 Anschluss und Adresse ................................................................... 43
2.3.2 Protokollierung ............................................................................... 45
2.3.3 Proxy-Server und Downloads......................................................... 46
2.3.4 Benutzerschnittstelle....................................................................... 49
2.3.5 Webmin-Module ............................................................................ 50
2.3.6 Das Betriebssystem und seine Umgebung ...................................... 54
2.3.7 Sprache anpassen ............................................................................ 55
2.3.8 Indexseiten...................................................................................... 55
2.3.9 Webmin aktualisieren ..................................................................... 56
2.3.10 Authentifizierung............................................................................ 59
2.3.11 Modulzuordnung und Kategorien ................................................... 63
2.3.12 Modultitel anpassen ........................................................................ 64
2.3.13 Webmin-Themes ............................................................................ 65
2.3.14 Vertraute Verweise ......................................................................... 67

Webmin kompakt
4 Inhaltsverzeichnis

2.3.15 Anonymer Modulzugriff ................................................................ 68


2.3.16 Dateisperrung ................................................................................. 69
2.3.17 Mobile Device Options................................................................... 69
2.3.18 Erweiterte Optionen........................................................................ 69
2.3.19 SSL-Funktionen.............................................................................. 70
2.3.20 Zertifikatautorität ............................................................................ 70
2.3.21 Modulkonfiguration........................................................................ 72
2.4 Webmin-Benutzer und -Gruppen ........................................................... 72
2.4.1 Neuen Benutzer anlegen ................................................................. 74
2.4.2 Modulberechtigungen ..................................................................... 76
2.4.3 Samba-Modulberechtigungen......................................................... 78
2.5 Die Webmin-Ereignisanzeige ................................................................. 82
2.6 Webmin-Server ...................................................................................... 83
2.6.1 Neuen Server hinzufügen ............................................................... 84
2.7 Modulkonfiguration................................................................................ 87

3 Benutzer und Gruppen.................................................................................... 89


3.1 Benutzerverwaltung................................................................................ 90
3.2 Gruppe erstellen ..................................................................................... 94
3.3 Log-ins abrufen ...................................................................................... 95
3.4 Stapelverarbeitungsdatei exportieren ..................................................... 98
3.5 Modulkonfiguration.............................................................................. 100
3.6 Systemkonfiguration ............................................................................ 108

4 Boot-Konfiguration ...................................................................................... 111


4.1 Grundlegendes über den Boot-Vorgang ............................................... 112
4.2 Modulkonfiguration.............................................................................. 114

5 Dateisystem-Back-up ................................................................................... 115


5.1 Back-up-Optionen ................................................................................ 117
5.2 Back-up-Zeitplan .................................................................................. 118
5.3 Daten wiederherstellen ......................................................................... 119

6 Festplatten-Quotas ........................................................................................ 123

www.brain-media.de
5

7 Zeitsteuerung mit Cron und AT ................................................................... 125


7.1 Neuen Cronjob erstellen ....................................................................... 126
7.2 Modulkonfiguration.............................................................................. 128

8 Zeitsteuerung mit AT-Befehlen.................................................................... 131

9 Laufende Prozesse ........................................................................................ 133


9.1 Prozessdetails ....................................................................................... 135
9.2 Suche .................................................................................................... 137
9.3 Prozess ausführen ................................................................................. 137
9.4 Modulkonfiguration.............................................................................. 137

10 Logfile-Rotation ....................................................................................... 139


10.1 Logrotate einsetzen ............................................................................... 139
10.2 Modulkonfiguration.............................................................................. 144

11 Dateisysteme ............................................................................................ 145


11.1 ext3-Dateisystem erstellen.................................................................... 147
11.2 Windows-Dateisystem.......................................................................... 150
11.3 Automounter......................................................................................... 151
11.4 Samba-Freigabe .................................................................................... 152
11.5 Modulkonfiguration.............................................................................. 153

12 PAM-Authentifizierung............................................................................ 155
12.1 PAM-Basics ......................................................................................... 156
12.2 Modulkonfiguration.............................................................................. 159

13 Umgang mit Passwörtern ......................................................................... 161

14 Software-Pakete ....................................................................................... 163


14.1 Umgang mit dem Paketmanager........................................................... 164
14.2 Modulkonfiguration.............................................................................. 166

Webmin kompakt
6 Inhaltsverzeichnis

15 System-Protokolldateien .......................................................................... 167

16 Systemstart ............................................................................................... 169


16.1 Dienst bearbeiten .................................................................................. 170
16.2 Modul-Konfiguration ........................................................................... 176

17 Systemdokumentation .............................................................................. 179

18 Apache-Webserver ................................................................................... 181


18.1 Globale Apache-Einstellungen ............................................................. 183
18.2 Virtuellen Server erzeugen ................................................................... 189
18.3 Protokolleinstellungen .......................................................................... 192
18.4 Fehlerbehandlung ................................................................................. 195
18.5 Aliasse und Umleitungen ..................................................................... 196
18.6 CGI-Konfiguration ............................................................................... 198
18.7 Verzeichnisindizierung ......................................................................... 200
18.8 Mehr Sicherheit dank SSL.................................................................... 201
18.9 PHP-Konfiguration ............................................................................... 203
18.10 Filter ................................................................................................. 203
18.11 Sprachen und Zeichensätze .............................................................. 205
18.12 Direktiven ......................................................................................... 205
18.13 Typische Aktionen bei der Administration von virtuellen Servern .. 207
18.14 Apache als Proxy-Server .................................................................. 210
18.15 Die Apache-Modulkonfiguration ..................................................... 212

19 BIND DNS-Server ................................................................................... 215


19.1 Zonen erstellen ..................................................................................... 216
19.2 Datensatztypen ..................................................................................... 220
19.3 Slave-Zone erstellen ............................................................................. 223
19.4 Globale BIND-Einstellungen ............................................................... 226
19.5 DNS-Schlüssel...................................................................................... 229
www.brain-media.de
7

19.6 Zonenstandards ..................................................................................... 229


19.7 rndc ....................................................................................................... 230
19.8 Konfigurationsdateien einsehen und bearbeiten ................................... 231
19.9 Modulkonfiguration.............................................................................. 232

20 DHCP-Server-Konfiguration .................................................................... 235


20.1 DHCP-Server-Basics ............................................................................ 236
20.2 Das Webmin-DHCP-Modul ................................................................. 237
20.3 Subnetze editieren und hinzufügen ....................................................... 238
20.4 Hosts und Hostgruppen erstellen .......................................................... 243
20.5 Die Client-Einstellungen ...................................................................... 244
20.6 Modulkonfiguration.............................................................................. 246

21 Fetchmail-Konfiguration .......................................................................... 251


21.1 Fetchmail-Modulkonfiguration ............................................................ 254

22 Benutzer-E-Mails lesen über Postfix ........................................................ 257

23 Mailinglisten mit Majordomo verwalten .................................................. 259


23.1 Mailinglisten-Übersicht ........................................................................ 260
23.2 Zugriffskontrolle .................................................................................. 267
23.3 Übersichtsliste ...................................................................................... 269
23.4 Majordomo-Optionen ........................................................................... 270
23.5 Modulkonfiguration.............................................................................. 270

24 Administration des MySQL-Servers ........................................................ 273


24.1 Datenbanken editieren und erzeugen .................................................... 275
24.2 Neue Datenbank erzeugen .................................................................... 277
24.3 Daten sichten ........................................................................................ 282
24.4 SQL-Kommandos ausführen ................................................................ 282
24.5 Import von Daten in Datenbank ........................................................... 285

Webmin kompakt
8 Inhaltsverzeichnis

24.6 Globale MySQL-Einstellungen ............................................................ 286


24.7 MySQL-Server-Konfiguration ............................................................. 293
24.8 Systemvariablen ................................................................................... 295
24.9 Datenbank-Back-up .............................................................................. 296
24.10 Modul-Konfiguration ....................................................................... 298

25 SSH-Server ............................................................................................... 299


25.1 OpenSSH im Überblick ........................................................................ 300
25.2 Netzwerkkonfiguration ......................................................................... 302
25.3 Zugriffsbeschränkung ........................................................................... 303
25.4 Authentifizierung.................................................................................. 304
25.5 Exkurs: Zugriff im heterogenen Netzwerk ........................................... 305
25.6 Client-Optionen .................................................................................... 307
25.7 Sonstige Optionen ................................................................................ 310
25.8 Schlüssel-Setup .................................................................................... 311
25.9 Konfigurationsdateien editieren ........................................................... 311
25.10 Modulkonfiguration.......................................................................... 311

26 Samba-Administration.............................................................................. 313
26.1 Erste Freigabe erstellen ........................................................................ 315
26.2 Druckerfreigabe erstellen ..................................................................... 320
26.3 Freigabeeinstellungen als Vorlagen ...................................................... 321
26.4 Globale Samba-Konfiguration.............................................................. 321
26.4.1 Unix-Einstellungen ....................................................................... 322
26.4.2 Windows-Einstellungen ............................................................... 322
26.4.3 Passwort-Einstellungen ................................................................ 326
26.4.4 Windows-zu-Unix-Druckereinstellungen ..................................... 327
26.4.5 Erweiterte Einstellungen .............................................................. 328
26.4.6 Winbind-Optionen ........................................................................ 329
26.4.7 Vorgaben für Freigaben ................................................................ 330
26.4.8 Vorgaben für Druckerfreigaben.................................................... 331
26.4.9 SWAT........................................................................................... 334

www.brain-media.de
9

26.5 Samba-Benutzer ................................................................................... 337


26.5.1 Benutzer- und Gruppen-Synchronisation ..................................... 339
26.5.2 Benutzer und Gruppen verwalten ................................................. 340
26.6 Konfiguration des Samba-Moduls ........................................................ 342

27 SpamAssassin-Administration ................................................................. 345


27.1 Erlaubte und verbotene Adressen ......................................................... 348
27.2 Spam-Klassifizierung ........................................................................... 349
27.3 E-Mail-Modifikationen......................................................................... 350
27.4 Verschiedene Benutzeroptionen ........................................................... 350
27.4.1 Razor ............................................................................................ 351
27.4.2 DCC-Einstellungen....................................................................... 352
27.4.3 Pyzor............................................................................................. 353
27.5 Zusätzliche Tests einführen .................................................................. 353
27.6 Weitere Optionen ................................................................................. 354
27.7 Modulkonfiguration.............................................................................. 355

28 Administration des Squid-Proxy-Servers ................................................. 357


28.1 Anschlüsse und Netzwerk .................................................................... 358
28.2 Andere Caches ...................................................................................... 360
28.3 Speichernutzung ................................................................................... 361
28.4 Protokollierung ..................................................................................... 363
28.5 Cache-Einstellungen ............................................................................. 365
28.6 Hilfsprogramme.................................................................................... 367
28.7 Zugriffskontrolle .................................................................................. 367
28.8 Administrative Einstellungen ............................................................... 375
28.9 Authentifizierung.................................................................................. 375
28.10 Delay Pools ...................................................................................... 376
28.11 Header-Zugriffskontrolle .................................................................. 378
28.12 Refresh-Regeln ................................................................................. 378
28.13 Verschiedene Einstellungen ............................................................. 378

Webmin kompakt
10 Inhaltsverzeichnis

28.14 Port-Umleitung ................................................................................. 379


28.15 Cache-Manager-Statistik .................................................................. 379
28.16 Cache leeren und neue erstellen ....................................................... 380
28.17 Modulkonfiguration.......................................................................... 380

29 Netzwerkeinstellungen ............................................................................. 383


29.1 Bandbreitenmessung ............................................................................ 384
29.2 Erweiterte Internetdienste ..................................................................... 385
29.3 VPN-Konfiguration .............................................................................. 387
29.4 Kerberos-Konfiguration ....................................................................... 388
29.5 Linux-Firewall ...................................................................................... 388
29.6 Netzwerkkonfiguration ......................................................................... 391
29.7 PPP-Konfiguration ............................................................................... 393
29.8 PPTP-Konfiguration ............................................................................. 393
29.9 SSL-Tunnel .......................................................................................... 393

30 Hardware-Konfiguration .......................................................................... 395


30.1 CD-Brenner .......................................................................................... 395
30.2 Druckerverwaltung ............................................................................... 397
30.3 Festplattenpartitionen ........................................................................... 399
30.4 GRUB-Bootmanager ............................................................................ 400
30.5 RAID-Geräte ........................................................................................ 401
30.6 SMART-Festplattenstatus .................................................................... 402
30.7 Systemzeit ............................................................................................ 402
30.8 Voicemail-Server und LVM ................................................................. 403

31 Cluster-Kategorie ..................................................................................... 405


31.1 Benutzer-/Gruppenmanagement im Cluster ......................................... 406
31.2 Kopierauftrag........................................................................................ 409
31.3 Cron-Auftrag ........................................................................................ 410

www.brain-media.de
11

31.4 Kommandozeile.................................................................................... 410


31.5 Passwort ändern.................................................................................... 410
31.6 Software-Management ......................................................................... 411
31.7 Usermin-Server verwalten .................................................................... 412
31.8 Webmin-Server-Verwaltung ................................................................ 412
31.9 Heartbeat-Monitor ................................................................................ 413
31.10 Konfigurationsautomat ..................................................................... 414

32 Sonstiges .................................................................................................. 415


32.1 Dateimanager........................................................................................ 415
32.2 Passwortgeschützte Web-Verzeichnisse ............................................... 416
32.3 System- und Server-Status ................................................................... 416
32.4 Die weiteren Funktionen ...................................................................... 417

Index..................................................................................................................... 419

Webmin kompakt
12 Inhaltsverzeichnis

www.brain-media.de
13

Vorwort

Was die Open-Source-Gemeinde in den vergangenen Jahren an hervorragenden


Tools geschaffen hat, ist beispiellos. Rund um den Globus sind Millionen Entwick-
ler im Dienste der freien Software unterwegs. Nicht immer halten Projekte, was sie
auf den ersten Blick versprechen. Eines der größten Probleme ist sicherlich, dass
Projekte häufig kommen und genauso schnell auch wieder vom Erdboden (genauer
in den digitalen Weiten des Internets) verschwinden. Eine lobenswerte Ausnahme
stellt das Webmin-Projekt dar, das seit vielen Jahren kontinuierlich von Jamie
Cameron gepflegt und peu à peu funktional erweitert wurde.
Webmin ist ein Web-basiertes Werkzeug für die Systemadministration von Unix-
basierten Systemen. Es handelt sich um eines der beliebtesten Werkzeuge dieser
Art. Es ist ein leichtgewichtiges Tool, das eine beeindruckende Funktionalität
bietet und zudem leicht erweiterbar ist. Viele Punkte sprechen für den Einsatz von
Webmin. So ist es beispielsweise in über zwanzig Sprachversionen verfügbar und
wurde auf einer Vielzahl von Unix- und Linux-Systemen erfolgreich getestet.
Und: Mithilfe von Webmin lassen sich nicht nur System- und Hardware-
spezifische Einstellungen, sondern auch die Netzwerkkonfiguration oder spezielle
Server wie beispielsweise Sendmail, Postfix, FTP-Server oder Squid-Einstellungen
bearbeiten.
Das vorliegende Buch führt Sie in die Arbeit mit Webmin 1.3.x ein. Es zeigt, wie
Sie das Administrationswerkzeug in Betrieb nehmen, wie Sie Webmin an Ihre
Bedürfnisse anpassen und wie Sie damit die verschiedensten Server und System-
komponenten managen. Es erhebt übrigens keinen Anspruch auf Vollständigkeit –
das wäre auch vermessen, denn alleine Apache-Bücher füllen meterweise Regale.
Ziel des Buches ist es, Sie mit dem Administrationswerkzeug vertraut zu machen,
bis Sie sich selbst weitere Funktionen erarbeiten können. Es liegt in der Natur der
Sache, dass sich bei freien Projekten immer wieder Änderungen und Neuerungen
ergeben. Diesem Umstand versuche ich mit Ergänzungen und Aktualisierungen
über die Buch-Site (http://www.bomots.de/webmin/) Rechnung zu tragen.

Bleibt mir nur, Ihnen viel Erfolg zu wünschen.


Holger Reibold

Webmin kompakt
14 Vorwort

www.brain-media.de
15

1 Webmin – der Einstieg

Sicherheit wird vielfach unter einem viel zu einseitigen Blickwinkel betrachtet.


Häufig beschränkt sich der Sicherheitsbegriff auf Dinge wie Schutz vor Viren,
Angreifern und Ähnliches. Übersehen wird dabei oft, dass man den Begriff Sicher-
heit weiter fassen muss. Insbesondere die sichere Systemadministration wird von
vielen Anwendern stiefmütterlich behandelt. Dem wollen wir abhelfen und Ihnen
zeigen, wie professionelle und vor allem sichere Systemadministration in der Pra-
xis aussieht. Wir greifen dabei auf einen Klassiker zurück: Webmin.
Webmin dürfte das wichtigste und weltweit am häufigsten eingesetzte Administra-
tionswerkzeug für Linux und Unix-ähnliche Betriebssysteme sein. Sie können mit
jedem beliebigen Webbrowser von überall her die verschiedenen Server-Prozesse
oder Daemonen administrieren, die auf Ihrem System laufen. Daher auch seine
Bezeichnung, die für Web-basierte Systemadministration steht.
Eine der Besonderheiten: Der administrierende Benutzer benötigt selbst keinerlei
Admin-Rechte, sondern lediglich die Rechte für das Paket, das er administrieren
soll. Diese Rechte werden vom Webmin-Administrator kontrolliert. Mit einer sol-
chen Konfiguration kann man beispielsweise einem Webmin-User nur die Admi-
nistration eines DNS-Servers erlauben, wofür er auf der Shell-Ebene Root-Rechte
benötigen würde.
Webmin ist in Perl programmiert und stark modularisiert. Es kann somit leicht den
jeweiligen Bedürfnissen angepasst und erweitert werden. Über die Webmin-
Website ist ein spezieller Add-on-Bereich verfügbar. Dort können Sie sich ein Bild
von den unzähligen Erweiterungen machen. Ein weiterer Punkt spricht für
Webmin: Im Unterschied zu anderen Verwaltungswerkzeugen, die für bestimmte
Linux-Distributionen entwickelt wurden (z. B. YaST für Suse Linux), ist Webmin
für alle Unix-artigen Systeme wie GNU/Linux, Solaris, FreeBSD, OpenBSD,
NetBSD, AIX, HP-UX und sogar Mac OS X geeignet.
Inzwischen gibt es auch eine Windows-Version für die Administration von Apa-
che, MySQL etc. Allerdings befindet sich die Windows-Variante noch in einem
experimentellen Stadium. Voraussetzung ist lediglich eine Active-Perl-Installation.
Webmin taugt in der Praxis nicht nur zu typischen administrativen Aufgaben, son-
dern eignet sich hervorragend für Lehrzwecke. Auszubildende können relativ ge-
fahrlos in die Konfiguration von Servern wie Samba, Squid, DNS und dergleichen
eingeführt werden, ohne sich gleich zu Beginn mit der oft komplizierten Syntax

Webmin kompakt
16 Webmin – der Einstieg

der Konfigurationsdateien befassen zu müssen. Damit eignet sich Webmin gerade


auch für angehende Administratoren.

1.1 Installation
Kommen wir zur Installation. Diese unterscheidet sich je nach Linux-Variante.
Webmin steht in verschiedenen Varianten zum Download bereit:
· RPM-Paket: Wenn Sie mit SuSE Linux, Red Hat oder einem anderen
gängigen Betriebssystem arbeiten, können Sie das Paket besonders ein-
fach mit Ihrem Paketmanager installieren. Als Root können Sie dieses Pa-
ket mit folgendem Kommando installieren:
rpm –U webmin-1.3.400-1.noarch.rpm

· Tar.gz: Diese Variante lässt sich unter jedem Linux-System installieren.


Die dafür notwendigen Schritte sind dennoch sehr überschaubar.
· Solaris-Paket: Dieses Paket ist speziell für die Anforderungen einer
Solaris-Installation konzipiert.
· Debian: Bei Debian-basierenden Linux-Varianten bietet es sich an,
Webmin mithilfe von apt zu installieren. Führen Sie dazu einfach folgen-
den Befehl aus:
apt-get install webmin

Neben einer halbwegs aktuellen Perl-Installation benötigt Webmin übrigens sonst


keine weiteren Komponenten.
Genauer wollen wir uns die Installation des tar.gz-Pakets anschauen. Diese funkti-
oniert auf allen wichtigen Linux-Distributionen problemlos. Daher ist sie immer
dann vorzuziehen, wenn Probleme bei anderen Wegen auftreten. Die Vorgehens-
weise ist recht einfach:
Entpacken Sie zunächst das Archiv in einen Ordner Ihrer Wahl. Stellen Sie sicher,
dass Sie als Root angemeldet sind. Falls nicht, wechseln Sie mittels su in die not-
wendige Berechtigung.
Als Nächstes starten Sie das Setup-Skript. Dazu führen Sie folgenden Befehl aus:
./setup.sh

www.brain-media.de
Installation 17

Das Skript verlangt verschiedene Eingaben von Ihnen, mit denen Sie Ihre Webmin-
Umgebung konfigurieren. Zunächst bestimmen Sie das Verzeichnis, in dem die
Konfigurationsdateien gespeichert sind. Das Skript schlägt folgendes Verzeichnis
vor:
/etc/webmin

Wenn Sie diese Einstellung (das gilt übrigens auch für alle weiteren) beibehalten
wollen, bestätigen Sie einfach mit Enter.
Als Nächstes können Sie das Logfile-Verzeichnis ändern. Das Installationsskript
schlägt /var/webmin vor. Durch die manuelle Eingabe können Sie die Vorgabe
wieder ändern.
Die folgende Frage bezieht sich auf das Perl-Installationsverzeichnis. Webmin gibt
standardmäßig folgendes Verzeichnis vor:
/usr/bin/perl

Prüfen Sie, ob diese Angabe dem tatsächlichen Verzeichnis entspricht und nehmen
Sie gegebenenfalls die notwendigen Änderungen vor.
Nachdem Sie die Vorgabe übernommen oder einen anderen Pfad angegeben haben,
bestätigen Sie wieder mit einem Klick auf Return. Das Installationsskript führt
einen Test der Perl-Installation aus und gibt im Idealfall folgende Erfolgsmeldung
aus:
Perl seems to be installed ok

Als Nächstes macht sich das Skript an die Identifikation der Linux-Variante und
gibt den Entwickler und die Version aus.
Mit dem nächsten Konfigurationsabschnitt konfigurieren Sie den Webmin-
Webserver. Diese Einstellungen sind essenziell für eine funktionstüchtige Installa-
tion. Bestimmen Sie zunächst den Webserver-Port, der standardmäßig auf 10000
gesetzt ist. Wenn Sie Webmin aus der Ferne nutzen, müssen Sie gegebenenfalls
einen Firewall-Port freischalten.
Im nächsten Schritt geben Sie unter Login name das Standard-Log-in an. Dieses
lautet standardmäßig admin. Es folgt die Eingabe des Passworts, die Sie mit einer
zweiten Eingabe wiederholen müssen.

Webmin kompakt
18 Webmin – der Einstieg

Als Nächstes prüft das Skript, ob die Perl-SSLeay-Bibliothek installiert ist. Ist das
nicht der Fall, ist SSL-Unterstützung leider nicht gegeben. In diesem Fall müssen
Sie die Installation der SSL-Komponente nachholen.
Es folgt ein letzter interaktiver Dialog, über den Sie bestimmen, ob Webmin auto-
matisch beim Systemstart gestartet werden soll. Falls Sie das wollen, beantworten
Sie die Frage Start Webmin at boot time einfach mit y.
Sind alle Fragen beantwortet, ist das Skript wieder an der Reihe und nimmt die
notwendigen Anpassungen und die Installation vor. Abschließend gibt Ihnen das
Skript eine URL aus, über die die Schnittstelle aufgerufen wird, beispielsweise
http://localhost.localdomain:10000/.
Sind alle Einstellungen korrekt und kann der Webmin-Server ordnungsgemäß
gestartet werden, können Sie sich nun über den Log-in-Dialog anmelden. Verwen-
den Sie dazu den oben definierten Benutzernamen samt Passwort.
Der komplette Ablauf des Installationsskripts kann wie folgt aussehen:
# ./setup.sh

*********************************************
* Welcome to the Webmin setup
script, version 1.340
*
*********************************************
Webmin is a web-based interface that allows Unix-like operat-
ing systems and common Unix services to be easily adminis-
tered.
Installing Webmin in /root/Desktop/Download/webmin-1.340...
*******************************************

Webmin uses separate directories for configuration files and


log files. Unless you want to run multiple versions of Webmin
at the same time you can just accept the defaults.

Config file directory [/etc/webmin]:


Log file directory [/var/webmin]:

*******************************************

www.brain-media.de
Installation 19

Webmin is written entirely in Perl. Please enter the full


path to the Perl 5 interpreter on your system.

Full path to perl (default /usr/bin/perl):

Testing Perl ...


Perl seems to be installed ok

*******************************************

Operating system name: Redhat Linux


Operating system version: Fedora 5

*******************************************
Webmin uses its own password protected web server to provide
access to the administration programs. The setup script needs
to know :
- What port to run the web server on. There must not be an-
other web server already using this port.
- The login name required to access the web server.
- The password required to access the web server.
- If the webserver should use SSL (if your system supports
it).
- Whether to start webmin at boot time.

Web server port (default 10000):


Login name (default admin): admin
Login password:
Password again:
The Perl SSLeay library is not installed. SSL not available.
Start Webmin at boot time (y/n): y
********************************************

Webmin kompakt
20 Webmin – der Einstieg

Creating web server config files..


..done

Creating access control file..


..done

Inserting path to perl into scripts..


..done

Creating start and stop scripts..


..done

Copying config files..


acl adsl-client apache at backup-config bandwidth bind8
bsdexports burner cfengine change-user cluster-copy cluster-
cron cluster-passwd cluster-shell cluster-software cluster-
useradmin cluster-usermin cluster-webmin cpan cron custom
dfsadmin dhcpd dnsadmin dovecot exports fdisk fetchmail file
firewall format frox fsdump grub heartbeat hpuxexports htac-
cess-htpasswd idmapd inetd init inittab ipfilter ipfw ipsec
jabber krb5 ldap-useradmin lilo logrotate lpadmin lvm mail-
boxes mailcap majordomo man mon mount mysql net nis openslp
pam pap passwd postfix postgresql ppp-client pptp-client
pptp-server procmail proc proftpd pserver qmailadmin quota
raid rbac samba sarg sendmail sentry servers sgiexports shell
shorewall smart-status smf software spam squid sshd status
stunnel syslog syslog-ng telnet time tunnel updown useradmin
usermin vgetty webalizer webminlog webmin wuftpd xinetd zones
..done

Configuring Webmin to start at boot time..


Created init script /etc/rc.d/init.d/webmin
..done

Creating uninstall script /etc/webmin/uninstall.sh ..

www.brain-media.de
Installation 21

..done

Changing ownership and permissions ..


Chowning /etc/webmin/acl
Chowning /etc/webmin/adsl-client
Chowning /etc/webmin/apache
Chowning /etc/webmin/at
Chowning /etc/webmin/backup-config
Chowning /etc/webmin/bandwidth
Chowning /etc/webmin/bind8
Chowning /etc/webmin/bsdexports
Chowning /etc/webmin/burner
Chowning /etc/webmin/cfengine
Chowning /etc/webmin/change-user
Chowning /etc/webmin/cluster-copy
Chowning /etc/webmin/cluster-cron
Chowning /etc/webmin/cluster-passwd
Chowning /etc/webmin/cluster-shell
Chowning /etc/webmin/cluster-software
Chowning /etc/webmin/cluster-useradmin
Chowning /etc/webmin/cluster-usermin
Chowning /etc/webmin/cluster-webmin
Chowning /etc/webmin/cpan
Chowning /etc/webmin/cron
Chowning /etc/webmin/custom
Chowning /etc/webmin/dfsadmin
Chowning /etc/webmin/dhcpd
Chowning /etc/webmin/dnsadmin
Chowning /etc/webmin/dovecot
Chowning /etc/webmin/exports

Webmin kompakt
22 Webmin – der Einstieg

Chowning /etc/webmin/fdisk
Chowning /etc/webmin/fetchmail
Chowning /etc/webmin/file
Chowning /etc/webmin/firewall
Chowning /etc/webmin/format
Chowning /etc/webmin/frox
Chowning /etc/webmin/fsdump
Chowning /etc/webmin/grub
Chowning /etc/webmin/heartbeat
Chowning /etc/webmin/hpuxexports
Chowning /etc/webmin/htaccess-htpasswd
Chowning /etc/webmin/idmapd
Chowning /etc/webmin/inetd
Chowning /etc/webmin/init
Chowning /etc/webmin/inittab
Chowning /etc/webmin/ipfilter
Chowning /etc/webmin/ipfw
Chowning /etc/webmin/ipsec
Chowning /etc/webmin/jabber
Chowning /etc/webmin/krb5
Chowning /etc/webmin/ldap-useradmin
Chowning /etc/webmin/lilo
Chowning /etc/webmin/logrotate
Chowning /etc/webmin/lpadmin
Chowning /etc/webmin/lvm
Chowning /etc/webmin/mailboxes
Chowning /etc/webmin/mailcap
Chowning /etc/webmin/majordomo
Chowning /etc/webmin/man
Chowning /etc/webmin/mon

www.brain-media.de
Installation 23

Chowning /etc/webmin/mount
Chowning /etc/webmin/mysql
Chowning /etc/webmin/net
Chowning /etc/webmin/nis
Chowning /etc/webmin/openslp
Chowning /etc/webmin/pam
Chowning /etc/webmin/pap
Chowning /etc/webmin/passwd
Chowning /etc/webmin/postfix
Chowning /etc/webmin/postgresql
Chowning /etc/webmin/ppp-client
Chowning /etc/webmin/pptp-client
Chowning /etc/webmin/pptp-server
Chowning /etc/webmin/procmail
Chowning /etc/webmin/proc
Chowning /etc/webmin/proftpd
Chowning /etc/webmin/pserver
Chowning /etc/webmin/qmailadmin
Chowning /etc/webmin/quota
Chowning /etc/webmin/raid
Chowning /etc/webmin/rbac
Chowning /etc/webmin/samba
Chowning /etc/webmin/sarg
Chowning /etc/webmin/sendmail
Chowning /etc/webmin/sentry
Chowning /etc/webmin/servers
Chowning /etc/webmin/sgiexports
Chowning /etc/webmin/shell
Chowning /etc/webmin/shorewall
Chowning /etc/webmin/smart-status

Webmin kompakt
24 Webmin – der Einstieg

Chowning /etc/webmin/smf
Chowning /etc/webmin/software
Chowning /etc/webmin/spam
Chowning /etc/webmin/squid
Chowning /etc/webmin/sshd
Chowning /etc/webmin/status
Chowning /etc/webmin/stunnel
Chowning /etc/webmin/syslog
Chowning /etc/webmin/syslog-ng
Chowning /etc/webmin/telnet
Chowning /etc/webmin/time
Chowning /etc/webmin/tunnel
Chowning /etc/webmin/updown
Chowning /etc/webmin/useradmin
Chowning /etc/webmin/usermin
Chowning /etc/webmin/vgetty
Chowning /etc/webmin/webalizer
Chowning /etc/webmin/webminlog
Chowning /etc/webmin/webmin
Chowning /etc/webmin/wuftpd
Chowning /etc/webmin/xinetd
Chowning /etc/webmin/zones
..done

Running postinstall scripts ..


..done

Attempting to start Webmin mini web server..


Starting Webmin server in /webmin/webmin-1.270
..done

www.brain-media.de
Erstes Log-in 25

*******************************************
Webmin has been installed and started successfully. Use your
web browser to go to

http://server:10000/

and login with the name and password you entered previously.

Nun können Sie sich das erste Mal über die Webmin-Schnittstelle einloggen. Ver-
wenden Sie als Benutzername admin und als Passwort ebenfalls admin.

Herzlichen Glückwunsch! Webmin ist ordnungsgemäß installiert.


Nun können Sie sich einloggen.

1.2 Erstes Log-in


Nach dem Log-in präsentiert Ihnen Webmin seine typische Schnittstelle, die wir
uns jetzt näher anschauen wollen. Die Schnittstelle weist folgende Komponenten
auf:
· Kopfzeile: Hier finden Sie das Webmin-Logo, einen Link zum Feedback-
Formular und den Log-out-Verweis. Über das Webmin-Logo gelangen Sie üb-
rigens zur Webmin-Homepage.

Webmin kompakt
26 Webmin – der Einstieg

· Hauptmenü: Es erlaubt den Zugriff auf die verschiedenen Konfigurationsbe-


reiche, über die Sie auf folgende Kategorien zugreifen können:
o Webmin
o System
o Servers
o Networking
o Hardware
o Cluster
o Others

Standardmäßig wird die Webmin-Kategorie geöffnet, über die Sie beispiels-


weise Webmin konfigurieren.

· Modul-Bereich: Unterhalb der Symbolleiste finden Sie die Einstellungen für


die jeweilige Webmin-Kategorie. Man spricht auch von Webmin-Modulen. So
können Sie beispielsweise über die Systemeinstellungen Benutzer und Grup-
pen verwalten oder unter den Netzwerkeinstellungen die Firewall konfigurie-
ren.
· Fußzeile: In der Fußzeile finden Sie schließlich die Versionsbezeichnung Ihrer
Webmin-Installation, den Rechnernamen und das verwendete Betriebssystem.

www.brain-media.de
Webmin-Kategorien 27

1.3 Webmin-Kategorien
Wenn Sie statt des Standard-Themes ein anderes verwenden, so kann es zum Teil
erhebliche Unterschiede in der Präsentation der verschiedenen Komponenten ge-
ben. Wir verwenden im Folgenden das Standarddesign.

Ein erster Blick auf die Webmin-Schnittstelle.

Der Aufbau der verschiedenen Kategorien ist also weitgehend identisch. Das gilt
übrigens auch für die Webmin-Module, um Ihnen die Navigation und Orientierung
in der Webmin-Umgebung zu vereinfachen.
Wenn Sie ein Webmin-Modul wie beispielsweise das Modul Sicherung von Konfi-
gurationsdateien öffnen, so erkennen Sie sofort den Aufbau. Unterhalb der Sym-
bolleiste werden Ihnen – abhängig vom jeweiligen Modul – die folgenden drei
Verweise angeboten:
· Help: Über diesen Link öffnen Sie ein Pop-up-Fenster, das Ihnen je nach Mo-
dul zusätzliche Informationen bietet.
· Module Config: Sie werden es sich sicherlich schon gedacht haben: Über
diesen Verweis können Sie das Modul konfigurieren. Die hierüber verfügba-
ren Einstellungen sind natürlich in erster Linie vom jeweiligen Modul abhän-
gig.
· Search Docs: Dieser Link führt Sie zu weiteren Dokumenten, die Ihnen bei
der Arbeit mit Webmin dienlich sein können.
Webmin kompakt
28 Webmin – der Einstieg

Ein typisches Webmin-Modul.

Unterhalb dieser drei möglichen Links finden Sie die Einstellungen des jeweiligen
Menüs. An dieser Stelle sei ausdrücklich nochmals darauf hingewiesen, dass die
Verfügbarkeit vom jeweiligen Modul abhängig ist. Beim Modul Sicherung von
Konfigurationsdateien steht beispielsweise nur der Link Module Config, beim
Modul Disk Quotas (Kategorie System) stehen alle drei Verweise zur Verfügung
(siehe nachstehende Abbildung).
Eine weitere Eigenschaft aller Webmin-Module: Alle besitzen den Verweis Return
to index, mit dem Sie zur Index-Seite des jeweiligen Moduls zurückkehren. Befin-
den Sie sich in einer Modul-Konfiguration, so gelangen Sie zur zugehörigen Mo-
dulseite zurück.

www.brain-media.de
Deinstallation 29

Die Funktionen eines Moduls werden vom Modul bestimmt. Das Modul
Disk Quotas stellt die Links Hilfe, Modulkonfiguration und Suche in Hilfe
zur Verfügung.

1.4 Deinstallation
Nachdem Sie nun wissen, wie man Webmin installiert und sich das erste Mal ein-
loggt, wollen wir uns nun noch kurz der Deinstallation widmen. Wenn Sie bei-
spielsweise eine ältere Version auf Ihrem Rechner betreiben, ist es womöglich
sinnvoll, diese vor der Neuinstallation zu entfernen.
Auch diese Aufgabe lässt sich dank eines speziellen Deinstallationsskripts recht
einfach bewältigen. Führen Sie als Root einfach folgenden Befehl aus:
/etc/webmin/uninstall.sh

Womöglich müssen Sie den Pfad anpassen. Das Skript fragt sicherheitshalber noch
einmal nach, ob Sie Webmin tatsächlich deinstallieren wollen. Bei der Installation
werden alle Webmin-Skripte und auch die Webmin-Konfigurationsverzeichnisse
von Ihrem System entfernt. Dabei gehen auch alle Webmin-spezifischen Einstel-
lungen, die Sie mit Webmin geändert haben, beispielsweise IP-basierte Zugriffsbe-
schränkungen oder aber Webmin-Benutzer verloren. Änderungen an System- oder
Server-Einstellungen, die Sie mit Webmin angepasst haben, bleiben natürlich er-
halten.

Webmin kompakt
30 Webmin – der Einstieg

1.5 Sicherheit für den Webmin-Server


Wenn Sie Ihr System schon sicher im Griff haben wollen, so sollten Sie zunächst
dafür sorgen, dass auch Ihre Webmin-Installation ein größtmögliches Maß an Si-
cherheit aufweist. Mit zwei recht einfach durchzuführenden Schritten stellen Sie
schon einmal sicher, dass Sie in einer sicheren Umgebung arbeiten. Dazu be-
schränken wir den Zugriff auf den Webmin-Server auf bestimmte IP-Adressen und
aktivieren den SSL-gesicherten Zugriff.

1.5.1 Zugriffsbeschränkung auf IP-Basis


Wenn Sie Webmin in einer lokalen Umgebung einsetzen, in der lediglich eine
Handvoll Anwender Zugriff auf das System hat, und diese allesamt als höchst
vertrauenswürdig einzuschätzen sind, so sind Fragen der Zugriffsbeschränkungen
nicht relevant. Doch in der „glücklichen“ Lage ist man in der Regel nicht.
Meist dürfte Ihr Server im lokalen, womöglich auch im globalen Netzwerk verfüg-
bar sein. Am einfachsten lässt sich der Zugriff auf bestimmte IP-Adressen be-
schränken, die Ihr Webmin-System für administrative Aufgaben nutzen können.
Einzige Voraussetzung: Der zugriffsberechtigte Rechner benötigt eine feste IP-
Adresse bzw. muss zu einem bestimmten Subnetz gehören.

Die Zugriffsbeschränkung auf IP-Adressen-Basis.

www.brain-media.de
Sicherheit für den Webmin-Server 31

Die Vorgehensweise:
1 Klicken Sie in der Webmin-Kategorie auf das Modul Webmin Konfiguration.
2 In der Webmin-Konfiguration finden Sie den Eintrag IP-Zugriffskontrolle. Im
zugehörigen Formular hinterlegen Sie die berechtigten IP-Adressen.
3 Aktivieren Sie die Option Zugriff nur von aufgelisteten Adressen erlauben und
geben Sie die IP-Adressen in das Eingabefeld ein. Einzelne Adressen sind
durch ein Komma zu trennen. Sie können auch ganze Subnetze zulassen. Sol-
len beispielsweise die Systeme mit den IP-Adressen 192.168.0.1 bis
192.168.0.255 Zugriff haben dürfen, so geben Sie einfach 192.168.1.0 ein. Sie
können auch ganzen Domains Zugriff gewähren bzw. diesen unterbinden.
Verwenden Sie dazu einfach das Sternchen nach dem Schema *.server.de.
4 Nachdem Sie Ihre Einstellungen vorgenommen haben, klicken Sie auf Spei-
chern, um die Konfiguration zu speichern.

Nachdem Sie die Änderungen vorgenommen haben, ist nur noch ein Zugriff auf
Ihre Webmin-Installation über die registrierten Systeme möglich.

1.5.2 Zugriff per SSL


Wird Ihr Webmin-Server in einem unsicheren Netzwerk betrieben, so sollten Sie
die Verbindung zwischen dem Webmin-Webserver und dem Webbrowser per SSL
sichern. Nur so können Sie sicherstellen, dass beispielsweise die Übermittlung der
Benutzerkennung und des Passwortes nicht von Dritten mitgeschnitten wird.
Sie können Webmin mit wenig Aufwand für das Zusammenspiel mit SSL aufrüs-
ten. Wenn Sie die RPM-Varianten von Webmin verwenden, so erfolgt der Zugriff
bereits standardmäßig per SSL, wenn auf dem Server die OpenSSL-Bibliothek und
das Net::SSLeay-Perl-Modul installiert sind. Ist das bei Ihnen nicht der Fall, müs-
sen Sie deren Installation nachholen.
Die Vorgehensweise für den SSL-gesicherten Zugriff auf den Webmin-Server:
1. Installieren Sie zunächst die OpenSSL-Komponenten. Diese liegen
jeder aktuellen Linux-Distribution bei und sind besonders einfach
über den Paketmanager zu installieren. Stellen Sie in jedem Fall si-
cher, dass die Pakete openssl und openssl-devel installiert sind.
2. Installieren Sie als Nächstes das Perl-Modul Net::SSLeay. Besonders
einfach ist die Installation über die Webmin-Kategorie Sonstiges.
Dort finden Sie das Modul Perl-Module. Suchen Sie über CPAN-

Webmin kompakt
32 Webmin – der Einstieg

Eingabefeld die SSL-Komponente und installieren Sie diese. Nach


dem Download klicken Sie einfach auf Continue with install. Den
Rest erledigt Webmin automatisch.
3. Nun muss die SSL-Verschlüsselung aufseiten von Webmin aktiviert
werden. Dazu wechseln Sie wieder zur Webmin-Konfiguration und
öffnen das Modul SSL Encryption.

Präsentiert sich Ihnen beim Öffnen der SSL-Encryption-Seite ein


ähnliches Bild wie in dieser Abbildung, müssen Sie die
Installation der SSL-Komponenten erst nachholen.

Sind die notwendigen SSL-Komponenten installiert, können Sie über das Modul
SSL-Encryption die notwendigen Einstellungen vornehmen. Dazu aktivieren Sie
zunächst den Schalter Enable SSL if available mit Yes und sichern die Einstellun-
gen mit einem Klick auf Save.
Wenn Sie das erste Mal mit dem Browser auf den Webmin-Server zugreifen, gibt
dieser eine Warnung, dass das Zertifikat nicht korrekt sei. Diese Meldung können
Sie dieses Mal – ausnahmsweise – ignorieren. Später müssen Sie noch ein gültiges
Zertifikat anfordern. Dazu gleich mehr. In Zukunft wird immer eine sichere Ver-
bindung zwischen Server und Client aufgebaut.
www.brain-media.de
Sicherheit für den Webmin-Server 33

Wechseln Sie nun wieder zum SSL-Encryption-Modul. Dort füllen Sie den zweiten
Teil des Formulars aus. Konkret sind anzugeben:
· Servername
· E-Mail-Adresse
· Abteilung
· Organisation/Firma
· Bundesland
· Land

Lassen Sie dasFeld Write key to file frei und setzen Sie die Option Use new key
immediately auf Yes. Klicken Sie dann auf den Button Create Now, um einen neu-
en Schlüssel und ein eigenes Zertifikat zu erstellen. Diese werden standardmäßig
nach /etc/webmin/miniverv.pem geschrieben und automatisch aktiviert. Beim
nächsten Browser-Zugriff müssen Sie womöglich nochmals das Zertifikat bestäti-
gen. Damit ist auch dieses Problem gelöst.
Nun müssen wir nur noch das Problem lösen, dass wir bislang noch kein gültiges
Zertifikat für die Website besitzen. Das kann mithilfe von OpenSSL und einer
Zertifikat-Autorisierung erstellt werden. Einziger Haken: Die Dienstleistung eines
registrierten Ausstellers von Zertifikaten kostet Geld.
Wenn Sie ein „echtes“ gültiges Zertifikat nutzen wollen, so führen Sie folgende
Schritte aus. Führen Sie auf der Shell folgende Befehl aus:
openssl genrsa –out

Dieser Befehl erzeugt die Datei key.pem. Das ist Ihr privater Schlüssel. Dann füh-
ren Sie folgenden Befehl aus:
openssl req –new –key key.pem –out req.pem.

Der voranstehende Befehl fragt nach einer Bezeichnung für Ihre Umgebung. Hier
geben Sie die URL Ihrer Site ein. Aus dieser Eingabe erzeugt die OpenSSL-
Funktion die Datei req.pem. Dabei handelt es sich um eine Request-Anfrage.
Schicken Sie die Datei req.pem an eine Autorisierungsstelle. Sie erhalten die Datei
cert.pem zurück, die Sie dann nun noch in den SSL-Encryption-Einstellungen von

Webmin kompakt
34 Webmin – der Einstieg

Webmin angeben müssen. Abschließend speichern Sie die Einstellungen mit einem
Klick auf Save.
Bis hierher haben Sie eine vollwertige Webmin-Installation erzeugt, die zudem ein
Mindestmaß an Sicherheit für den Praxiseinsatz bietet. Nun können wir uns an die
eigentliche Arbeit mit dem Admin-Werkzeug machen.

www.brain-media.de
Sprache anpassen 35

2 Webmin-Module

Zunächst befassen wir uns mit den Webmin-Modulen. Hier finden Sie Webmin-
spezifische Funktionen, mit denen Sie Ihre Umgebung an Ihre Bedürfnisse anpas-
sen können. Um Ihnen die Arbeit mit Webmin so einfach wie möglich zu machen,
stellen wir zunächst die Sprachversion um. Dazu folgen Sie dem Link Change
Language and Theme.

Das Anpassen der Sprachversion.

2.1 Sprache anpassen


Über das zugehörige Formular können Sie drei Einstellungen bearbeiten:
· Webmin UI language. Dies ist die Sprache der Web-Schnittstelle. Wir
wollen die Menüführung von der Standardsprache Englisch (Global lan-
guage (English)) ins Deutsche umstellen. Dazu wählen Sie aus dem Aus-
wahlmenü Personal choice … den Eintrag German (DE).

Webmin kompakt
36 Webmin-Module

· Webmin UI theme: Über dieses Auswahlmenü können Sie das Design


der Webmin-Schnittstelle ändern, das durch die Vorlage MSC.Linux
Theme bestimmt ist.
· Webmin login password: Außerdem können Sie über das letzte Menü
das Passwort für ein Einloggen ändern.

Webmin zeigt Ihre Änderungen an.

Um die geänderte Einstellung zu übernehmen, klicken Sie auf Make Changes.


Wenn Sie nun auf den Link Return to index klicken, landen Sie wieder in der
Webmin-Modul-Übersicht und werden feststellen, dass die Menüführung nun
eingedeutscht ist.
Neben der Anpassung der Sprache und des Designs stehen Ihnen über die
Webmin-Kategorie folgende Funktionen zur Verfügung:
· Sicherung von Konfigurationsdateien
· Usermin-Konfiguration
· Webmin-Benutzer
· Webmin-Ereignisanzeige
· Webmin-Konfiguration
· Webmin-Server

www.brain-media.de
Konfigurationsdateien sichern 37

Im Folgenden schauen wir uns die einzelnen Funktionen genauer an.

2.2 Konfigurationsdateien sichern


Eine Besonderheit des Webmin-Moduls ist zweifelsohne die Funktion für das
Sichern unterschiedlichster Konfigurationsdateien. Das zugehörige Formular er-
laubt Ihnen drei Aktionen:
· Das manuelle Sichern von bestimmten Konfigurationsdateien.
· Das Zurückspielen von gesicherten Konfigurationsdateien.
· Das Erstellen von zeitgesteuerten Sicherungsjobs.

Die Back-up-Funktion des Webmin-Moduls.

Die Handhabung der manuellen Sicherung ist recht einfach: Markieren Sie zu-
nächst auf dem Register Backup now bzw. Sichert Konfigurationen jetzt die Modu-
Webmin kompakt
38 Webmin-Module

le, die Sie sichern wollen. Um mehrere Module zu markieren, halten Sie die Strg-
Taste gedrückt und markieren der Reihe nach die gewünschten Module. Sie kön-
nen beispielsweise die Konfiguration des Apache-Webservers, Benutzer und
Gruppen, die Boot-Konfiguration oder auch Ihre VPN-Konfiguration sichern.
Als Nächstes bestimmen Sie das Sicherungsziel. Sie können die Konfigurationsda-
teien in einer lokalen Datei, auf einem FTP-Server, einem SSH-Server oder im
Browser sichern. Wichtig ist, dass Sie in das jeweilige Eingabefeld eine Bezeich-
nung der Datei eingeben. Es muss sich um ein TAR-Archiv handeln. Welche Be-
zeichnung Sie verwenden, bleibt natürlich Ihnen überlassen. In der Praxis hat es
sich bewährt, wenn Sie einen Zeit- und Datumsstempel sowie den Zweck und den
Ausführenden in der Bezeichnung berücksichtigen. Ein Beispiel:
komplettsicherung01_06_06_sysadmin.tar

Sie können außerdem weitere Konfigurationsdateien in das Back-up einbinden. Die


Sicherungsfunktion kopiert standardmäßig alle Server-Konfigurationsdateien mit.
Sie können über die gleichnamige Option auch alle Konfigurationsdateien für die
Webmin-Module sichern. Wenn Sie weitere Dateien einbinden wollen, so führen
Sie diese in dem Textfeld Andere ausgewählte Dateien samt Pfad auf.
Gelingt die Sicherung in der angegebenen Datei, so gibt Webmin eine entspre-
chende Erfolgsmeldung der Sicherungskonfiguration aus. Diese kann beispielswei-
se wie folgt aussehen:
Starte Backup der Modulkonfigurationsdateien nach
/root/sicher/Sicherung1.tar ...

.. fertig. Das gesamte Backup beträgt 24 kB mit insgesamt 19


Dateien.

Wenn Sie sich für die Variante Download im Browser entscheiden, öffnet Ihr
Browser den Öffnen-von-Dialog, über den Sie eine geeignete Anwendung für das
Öffnen des Archivs bzw. für das Speichern der Datei auswählen können.
Den eigentlichen Sicherungsvorgang leiten Sie durch einen Klick auf Jetzt sichern
ein.

www.brain-media.de
Konfigurationsdateien sichern 39

2.2.1 Konfigurationsdateien wiederherstellen


Ähnlich einfach ist es, das Wiederherstellen von gesicherten Konfigurationsdateien
durchzuführen: Zunächst wählen Sie die Modulkonfigurationen aus, die Sie zu-
rückschreiben wollen. Dann bestimmen Sie den Speicherort der Sicherung. Wich-
tig ist, dass Sie die Option Änderungen anwenden aktivieren, damit diese greifen
können. Das Wiederherstellen leiten Sie durch einen Klick auf die Schaltfläche
Jetzt zurückschreiben ein. Auch hier zeigt Ihnen Webmin eine Erfolgs- bzw. eine
Misserfolgsmeldung nach der Ausführung an.

Das Wiederherstellen einer gesicherten Konfigurationsdatei.

Wie bereits erwähnt, erlaubt das Sicherungsmodul auch die Durchführung von
zeitgesteuerten Back-ups. Oberhalb der beiden zuvor beschriebenen Sicherungs-
und Wiederherstellungsfunktionen ist Platz für eine Liste der eingerichteten Siche-
rung. Bei einer Erstinstallation zeigt Ihnen Webmin an, dass noch keine Sicherun-
gen existiert: Es wurden bisher keine zeitgesteuerten Back-ups eingerichtet.
Um eine automatische Sicherung einzufügen, klicken Sie auf den Link Ein neues
zeitgesteuertes Backup hinzufügen. In dem zugehörigen Formular bestimmen Sie

Webmin kompakt
40 Webmin-Module

zunächst die oben beschriebenen Sicherungseigenschaften. Zusätzlich stehen Ihnen


zwei E-Mail-Funktionen und die zeitliche Steuerung zur Verfügung. In das Einga-
befeld Sende eine E-Mail mit dem Ergebnis an geben Sie die E-Mail-Adresse an,
an die die Details des Sicherungsvorgangs gesendet werden sollen. Sie können
über Wann soll die E-Mail versandt werden bestimmen, ob die Meldung immer
oder nur beim Auftreten von Fehlern verwendet werden soll.
Es folgt der umfangreiche Konfigurationsbereich für die stündliche, tägliche, wö-
chentliche etc. Sicherung. Die Konfiguration ist wirklich kinderleicht. Mit einem
Klick auf Erstellen speichern Sie die benutzerdefinierte Sicherung.

Die Konfiguration der benutzerdefinierten Sicherung.

Das Back-up-Modul erzeugt dann einen ersten Tabelleneintrag mit drei Informati-
onen: Sicherungsziel, Webmin-Module und Informationen zur Zeitsteuerung.

2.2.2 Modulkonfiguration
Die Back-up-Modul-Konfiguration bietet lediglich zwei Einstellungen, die Sie
anpassen können:
· strftime der Backupziele?: Hier haben Sie die Wahl zwischen Ja und
Nein. Dazu gleich mehr.

www.brain-media.de
Konfigurationsdateien sichern 41

· From:-E-Mail-Adresse für E-Mails: Hier können Sie den Absender der


E-Mails bestimmen, der die Konfigurationsdateien verschickt. Die Stan-
dardvorgabe lautet webmin@hostname. Sie können im danebenliegenden
Eingabefeld benutzerdefinierte Adressen bestimmen.

Die Modul-Konfiguration.

Die PHP-Funktion strftime dient der Formatierung einer Zeit-/Datumsangabe nach


den lokalen Einstellungen. Wenn Sie diese Option auf Yes setzen, so werden Codes
wie %d, %m, %Y und %u für das Erstellen von Dateinamen verwendet. Der Vorteil
ist klar: Sie müssen sich nicht um die manuelle Bezeichnung kümmern, sondern
überlassen es Webmin. Sie können folgende Formatierungsstrings verwenden:
· %a: abgekürzter Name des Wochentags
· %A: ausgeschriebener Name des Wochentags
· %b: abgekürzter Name des Monats
· %B: ausgeschriebener Name des Monats
· %c: wiedergabewerte für Datum und Zeit
· %C: Jahrhundert (Jahr geteilt durch 100, gekürzt auf Integer, Wertebe-
reich 00 bis 99)
· %d: Tag des Monats als Zahl (Bereich 01 bis 31)
· %D: so wie %m/%d/%y
· %e: Tag des Monats als Dezimalwert, einstelligen Werten wird ein Leer-
zeichen vorangestellt (Wertebereich ´ 1´ bis ´31´)
· %g: wie %G, aber ohne Jahrhundert

Webmin kompakt
42 Webmin-Module

· %G: das vierstellige Jahr entsprechend der ISO-Wochennummer (siehe


%V)
· %h: so wie %b
· %H: Stunde als Zahl im 24-Stunden-Format (Bereich 00 bis 23)
· %I: Stunde als Zahl im 12-Stunden-Format (Bereich 01 bis 12)
· %j: Tag des Jahres als Zahl (Bereich 001 bis 366)
· %m: Monat als Zahl (Bereich 01 bis 12)
· %M: Minute als Dezimal-Wert
· %n: neue Zeile

Für weitere Details zu dieser Funktion sei auf PHP-Handbücher verwiesen.

Die Funktionen der Webmin-Konfiguration.

www.brain-media.de
Webmin-Konfiguration 43

2.3 Webmin-Konfiguration
Für die Konfiguration Ihrer Webmin-Umgebung steht Ihnen das Webmin-
Konfigurationsmodul zur Verfügung. Bei Webmin 1.340 finden Sie dort 22 Konfi-
gurationsbereiche. In diesen Einstellungen können Sie beispielsweise den Port des
Webmin-Servers ändern, neue Module installieren, die Schnittstelle anpassen und
vieles mehr.
Unterhalb der verschiedenen Icons finden Sie drei weitere Schaltflächen:
· Starte Webmin beim Booten: Hier haben Sie die Wahl zwischen Ja und
Nein. Verwenden Sie die Option Ja, um Webmin bereits beim Booten zu
starten. Wenn Webmin derzeit nicht für den Start beim Booten eingerich-
tet ist und Sie diese Option aktivieren, wird ein neues Init-Script erstellt.
· Webmin neu starten: Klicken Sie auf diesen Button, um Webmin neu zu
starten. Dies ist meistens dann erforderlich, wenn Sie Ihre Version von
Perl auf eine höhere Version umstellen.
· Betriebssysteminfo: Wenn Sie auf diesen Button klicken, werden der
Name und die Version Ihres Betriebssystems und die Version von Perl an
die Webmin-Entwickler verschickt. Diese Daten werden laut Angaben der
Entwickler streng anonym behandelt und beinhalten wertvolle Informati-
onen für welche Betriebssysteme die Webmin-Entwicklung primär fokus-
siert werden sollte.

Drei der Funktionen der Webmin-Konfiguration haben wir bereits kennengelernt:


IP-Zugriffskontrolle, Sprache und SSL-Verschlüsselung. Widmen wir uns den
anderen Anpassungsfunktionen.

2.3.1 Anschluss und Adresse


Über den Verweis Anschluss und Adresse passen Sie die Bindung der IP-Adresse
und den Port des Webmin-Webservers an.

Webmin kompakt
44 Webmin-Module

Die Konfiguration des Webmin-Webservers.

Wenn Sie das Webmin-Installationsskript für die Installation und die Standardein-
stellungen beibehalten haben, hört Ihre Webmin-Installation auf den Port 10000 –
und zwar auf allen IP-Adressen Ihres Systems. Oftmals ist es aber wünschenswert,
dass Sie diese Einstellung anpassen, weil sich Ihr System beispielsweise hinter
einer Firewall befindet. Wenn Ihr Webmin-System mit mehreren Netzwerkadap-
tern ausgestattet ist, können Sie Webmin auch so konfigurieren, dass es nur Ver-
bindungen aus dem LAN entgegennimmt.
Um die Bindung und den Port zu ändern, gehen Sie wie folgt vor:
1. Soll das System nur über eine bestimmte IP-Adresse ansprechbar sein, so
wählen Sie aus dem Auswahlmenü Binde an IP-Adresse die Option Nur diese
Adresse und geben in das darunterliegende Eingabefeld die Adresse ein.
2. Sie können in dem darunterliegenden Feld eine weitere feste IP-Adresse be-
stimmen.
3. Den Port bestimmen Sie über Horche auf Port … .
4. Schließlich können Sie die Option Auf Broadcasts via UDP achten deaktivie-
ren und den Hostnamen des Webmin-Servers manuell über das Eingabefeld
anpassen.
5. Wenn Sie Änderungen vornehmen, klicken Sie auf Speichern. Ihr Browser
wird an die neue Adresse bzw. den neuen Port umgeleitet und Sie müssen sich
erneut einloggen.

www.brain-media.de
Webmin-Konfiguration 45

2.3.2 Protokollierung
Über den Verweis Protokollierung greifen Sie auf die Logging-Funktionen von
Webmin zu. Sie können Webmin so konfigurieren, dass das System eine Proto-
kolldatei für Seitenanfragen im Standard-CLF-Protokolldateiformat schreibt. Wenn
die Protokollierung aktiviert ist, können Sie wählen, ob IP-Adressen oder Host-
Namen aufgezeichnet werden sollen und wie oft die Protokolldatei gelöscht wer-
den soll. Wenn die Protokollierung aktiviert ist, schreibt Webmin das Protokoll in
/var/webmin/miniserv.log.
Bei aktiver Protokollierung kann Webmin auch ein detaillierteres Protokoll in der
Datei /var/webmin/webmin.log speichern. Dieses Protokoll kann mit der Webmin-
Ereignisanzeige betrachtet und analysiert werden, um die Aktivitäten aller
Webmin-Benutzer zu beobachten.

Die Konfiguration der Webmin-Protokollfunktion.

Webmin kompakt
46 Webmin-Module

Die Protokollierung ist standardmäßig aktiviert. Sie sollten sie nur in Ausnahme-
fällen deaktivieren. Darüber hinaus können Sie verschiedene Anpassungen vor-
nehmen. Wenn Sie wollen, dass die Hostnamen der Clients anstelle deren IP-
Adressen in die Protokolldateien geschrieben werden, aktivieren Sie die Option
Aufgelöste Host-Namen protokollieren. Allerdings sollten Sie beachten, dass das
Auflösen unter Umständen längere Zeit dauert und in der Regel eigentlich nur
mehr Probleme schafft, als es löst.
Sind Sie an sehr detaillierten Aufzeichnungen interessiert, so aktivieren Sie die
Option Benutze ein kombiniertes Logformat. Dann werden auch Referrer und User-
Agents der Browser aufgezeichnet. Diesen Schalter sollten Sie nur dann aktivieren,
wenn die zusätzlichen Informationen tatsächlich für Sie von Interesse sind.
Damit die Protokolldateien nicht zu fett werden, löscht Webmin seine Protokollda-
teien standardmäßig alle 168 Stunden. Diesen Wert können Sie über das zugehöri-
ge Eingabefeld beliebig anpassen.
Die Protokollfunktion erlaubt Ihnen die benutzerbezogene Aufzeichnung. Stan-
dardmäßig werden die Aktionen aller Benutzer aufgezeichnet (Ereignisse aller
Benutzer protokollieren). Wenn Sie die Aufzeichnung beschränken wollen, aktivie-
ren Sie die Option Nur Ereignisse dieses Benutzers und wählen Sie den Benutzer
aus. Haben Sie noch keine weiteren Webmin-Benutzer eingerichtet, finden Sie
lediglich den Admin-Benutzer im Auswahlmenü vor.
Ähnlich wie bei den Benutzern lässt sich die Protokollierung auf bestimmte Modu-
le beschränken. Lassen Sie sich dabei nicht von der Bezeichnung Nur Ereignisse
dieses Moduls irritieren, denn Sie können die Konfiguration mithilfe der Strg-Taste
auf mehrere Module anwenden (das gilt übrigens auch auf die Auswahl der Benut-
zer).
Schließlich können Sie Dateiänderungen jedes Ereignisses protokollieren, alle
Änderungen an Dateien für späteres Rückgängigmachen aufzeichnen und die Da-
teiberechtigung für Logdateien von der Standardeinstellung ändern.
Sie können die Protokolldateien über die sogenannte Webmin-Ereignisanzeige
einsehen, die ebenfalls über die Webmin-Kategorie verfügbar ist. Mit der Anzeige
können Sie gezielt Ereignisse auf dem Webmin-System anzeigen. So finden Sie
beispielsweise schnell heraus, wer welche Änderungen vorgenommen hat (voraus-
gesetzt, es gibt mehrere Webmin-Administratoren).

2.3.3 Proxy-Server und Downloads


Eine Vielzahl von Webmin-Modulen ist dazu da, um Dateien per FTP, HTTP oder
HTTPS auf das lokale System zu übertragen. Wenn Ihr Webmin-Host sich hinter

www.brain-media.de
Webmin-Konfiguration 47

einer Firewall befindet, kann es sein, dass Sie einen Proxy-Server zum Zugriff auf
Web- und FTP-Seiten verwenden müssen. Einige Module, wie z. B. das Modul
Software-Pakete, verwenden diese Proxiys, wenn Sie Dateien oder Programme
herunterladen.
Die dafür notwendigen Einstellungen sind über das Modul Proxy-Server und
Download vorzunehmen. Wenn Sie einen Proxy-Server nutzen wollen, aktivieren
Sie zunächst den zugehörigen Schalter und geben dann in das danebenliegende
Feld dessen Adresse ein. Verwenden Sie dazu folgendes Schema:
http://www.proxy_server.de:Port.
Entsprechend gehen Sie bei einem FTP-Server vor. Sie können die Verwendung
eines Proxy auch ausschließen. Außerdem können Sie eine Kennung für den Zu-
griff auf den Proxy-Server hinterlegen – sofern eine solche benötigt wird.

Die Konfiguration der Proxy-Server.

Auf dem Register Downloading finden Sie die Einstellungen für die Download-
Sites. Was aber hat es damit auf sich? Diese sind dann von Bedeutung, wenn
Webmin eine Datei von einer SourceForge-URL herunterlädt. Für diesen Fall kön-
nen Sie über dieses Formular bestimmen, welcher Download-Mirror automatisch
genutzt wird.

Webmin kompakt
48 Webmin-Module

Die Download-Einstellungen.

Die Einstellungen für die Download-Sites im Einzelnen (die Webschnittstelle ist


leider nicht durchgängig deutschsprachig):
· Standard OSDN-Spiegel für Downloads: Hier wählen Sie den Down-
load-Server aus. Alternativ können Sie einen eigenen Server angeben.
· Cache downloaded files?: Hier legen Sie fest, ob Download-Dateien lo-
kal zwischengespeichert werden. Standardmäßig ist das nicht der Fall.
Wenn Sie einen Cache verwenden wollen, bestimmen Sie über das Aus-
wahlmenü seine Größe. Das Einführen eines Caches macht eigentlich nur
in Umgebungen Sinn, in denen häufig Dateien übertragen werden.
· Maximum time to cache files: In diesem Eingabenfeld bestimmen Sie
die maximale Dauer, die Dateien zwischengespeichert werden.
· Do caching in modules: Schließlich können Sie festlegen, wo Dateien
gecachet werden und wo nicht.
Über die Schaltfläche Speichern übernehmen Sie die Einstellungen und gelangen
wieder zur Webmin-Konfiguration zurück.

www.brain-media.de
Webmin-Konfiguration 49

2.3.4 Benutzerschnittstelle
Über das Formular Benutzerschnittstelle können Sie die Optionen für die Benutzer-
schnittstelle bearbeiten, die von allen Modulen verwendet werden sollen. Jede
Farbe wird mit dem RGB-System definiert, wobei jeder Wert eine hexadezimale
Zahl zwischen 00 und ff ist.

Die Konfiguration der Benutzerschnittstelle.

Im oberen Formularbereich können Sie beispielsweise die Farbe für den Seitenhin-
tergrund, normalen Text, den Tabellenhintergrund, die Tabellenüberschrift und die
Farbe des Linktexts bestimmen.
Im unteren Bereich finden Sie Einstellungen, mit denen Sie die Größe von ver-
schiedenen Pop-up-Fenstern bestimmen. So können Sie beispielsweise festlegen,
wie groß (in Pixeln) die Datei- und Datumsauswahldialoge eingeblendet werden.

Webmin kompakt
50 Webmin-Module

2.3.5 Webmin-Module
Über den Link Webmin-Module steht Ihnen die Modulverwaltung zur Verfügung.
Das zugehörige Formular dient in erster Linie dazu, neue Module zu installieren,
Module zu klonen, zu löschen und zu exportieren.
Module sind typischerweise WBM-Dateien, die über die Webmin-Website zum
Download bereitstehen. Über die Modulübersicht der Webmin-Homepage
(http://webadminmodules.sourceforge.net) stehen weit über 300 Erweiterungen
zum Download bereit. WBM-Dateien können eine oder auch mehrere Module
enthalten. Diese Erweiterungen können auch als RPM-Pakete installiert werden.

Die Installation eines neuen Moduls.

Auf dem Register Install bietet Ihnen Webmin verschiedene Installationsarten an:
· Von lokaler Datei: In diesem Eingabefeld bestimmen Sie den Speicherort
des Moduls. Über die Schaltfläche am rechten Ende steht Ihnen der Aus-
wahldialog zur Verfügung, mit dem Sie die Moduldatei suchen können.

www.brain-media.de
Webmin-Konfiguration 51

· Von heraufgeladener Datei: Befindet sich die Datei ebenfalls auf dem
lokalen System und wird der Browser ausgeführt, so greifen Sie zu dieser
Option.
· Von FTP- oder HTTP-URL: Sie können das Modul auch von einem
FTP- oder Webserver installieren. Hier geben Sie die URL des Moduls
an.
· Standardmodul von www.webmin.com: Dieser Link führt Sie zur Über-
sicht der Webmin-Standardmodule (www.webmin.com/standard.html).
Folgen Sie diesem Link, wenn Sie ein Standardmodul aus der Webmin-
Installation entfernt haben und es neu installieren wollen.
· Drittanbietermodul von: Hier bestimmen Sie das Modul eines Drittan-
bieters.

Sie können zudem die Option Modulabhängigkeiten beim Installieren ignorieren


aktivieren. Das kann aber zur Folge haben, dass ein installiertes Modul womöglich
nicht korrekt oder nur unzureichend funktioniert.
Außerdem sollten Sie die Modulverwaltung dazu verwenden, um den Zugriff auf
das Modul zu definieren. Im Textfeld Gewähre Zugriff nur für Benutzer und Grup-
pen geben Sie durch Kommata getrennt die Benutzer an. Standardmäßig gewährt
Webmin nur dem aktuell eingeloggten Benutzern Nutzungsrechte. Wenn Sie allen
Benutzer die Nutzung erlauben wollen, aktivieren Sie die Option Gewähre allen
Webmin-Benutzern Zugriff.
Die Installation leiten Sie mit einem Klick auf Modul von Datei installieren ein.
Webmin gibt je nachdem, ob das Modul bereits installiert ist oder nicht, eine Er-
folgsmeldung aus. Ein Beispiel, wenn das Modul bereits vorhanden ist:
Die folgenden Module wurden erfolgreich installiert und zu Ihrer Zugriffskontroll-
liste hinzugefügt:
Bandbreitenmessung (Netzwerk-Traffic) in /opt/webmin-
1.340/bandwidth (161 kB)

Hinweis
Die Installation von Modulen können Sie auch auf Konsolenebene durchführen. Sie
finden das Skript im Webmin-Root-Verzeichnis. Sie müssen bei der Ausführung die
Modulbezeichnung als Parameter angeben. Das Skript trägt die Bezeichnung
install-module.pl.

Webmin kompakt
52 Webmin-Module

Gelegentlich ist es sinnvoll, dass man ein Webmin-Modul für weitere Konfigurati-
onen nutzen kann. So können Sie unterschiedliche Konfigurationen für verschiede-
ne Aufgaben oder zu Testzwecken erzeugen.

Das Klonen eines Moduls.

Das alles ist mit der Klon-Funktion kein Problem. Wenn Sie mehr als eine Kopie
desselben Moduls mit unterschiedlichen Konfigurationen erstellen wollen, können
Sie mit der Modulverwaltung ein existierendes Modul klonen. Der Klon erhält eine
neue Bezeichnung, eine eigene Modulkonfiguration und neue Zugriffskontrollen.
Außerdem kann er für andere Benutzer verfügbar gemacht werden.
Das Klonen ist einfach: Aus dem Auswahlmenü Zu klonendes Modul wählen Sie
das zu doppelnde Modul aus, weisen diesem unter Name des geklonten Moduls
eine Bezeichnung zu. Unter Zuweisen zu Kategorie legen Sie fest, welcher Katego-
rie er zugeordnet werden soll. Außerdem können Sie die Konfiguration zurückset-
zen, damit diese mit der Standardkonfiguration beginnt.
Mit der Klonfunktion können Sie mit wenig Aufwand eine neue Mailserver-
Konfiguration, unterschiedliche Gruppen und Benutzer mit verschiedenen Einstel-
lungen etc. erzeugen. Wie Sie diese Funktionalität nutzen, bleibt Ihnen überlassen.
Für das Testen von unterschiedlichen Konfigurationen eignet es sich hervorragend.

www.brain-media.de
Webmin-Konfiguration 53

Das Löschen von nicht benötigten Modulen.

Sie können sich die Systemadministration und den Umgang mit Webmin deutlich
vereinfachen, wenn Sie sich Modulen oder Klonen entledigen, zu denen entweder
keine Anwendung installiert ist oder die Sie nicht verwenden.
Wichtig dabei: Wenn ein Modul mit Klonen gelöscht wird, werden die Klone
ebenfalls entfernt. Wenn ein Modul entfernt wurde, muss es erst neu installiert
werden, bevor Sie es wieder benutzen können. Standardmäßig kann ein Modul
nicht gelöscht werden, wenn andere Module davon abhängen.
Die Handhabung der Löschfunktion ist einfach: Markieren Sie die nicht mehr be-
nötigten und klicken Sie auf die Schaltfläche Gewählte Module löschen. Die Opti-
on Ignoriere Modulabhängigkeiten beim Löschen sollten Sie nicht aktivieren, da
hier die Abhängigkeiten beim Entfernen unberücksichtigt bleiben und abhängige
Module in ihrer Funktionstüchtigkeit eingeschränkt werden können.
Wenn Sie ein oder mehrere Module auf anderen Webmin-Systemen installieren
wollen, so ist auch das kein Problem. Dazu verwenden Sie die Exportfunktion. Mit
dieser können Sie installierte Module unter Benutzung des Exportformulars als
wbm.gz exportieren. Dazu bestimmen Sie die Module, die Sie exportieren wollen.
Außerdem legen Sie fest, ob die Datei im Browser heruntergeladen werden oder
auf einen Server übertragen werden soll. Mit einem Klick auf Exportiere ausge-
wählte Module leiten Sie den Export ein.

Webmin kompakt
54 Webmin-Module

2.3.6 Das Betriebssystem und seine Umgebung


Da sich Webmin – abhängig von dem von Ihnen verwendeten Betriebssystem –
unterschiedlich verhält, sollten Sie die Betriebssystemeigenschaften auf ihre Kor-
rektheit überprüfen. Das Betriebssystem wird bei der Installation identifiziert.
Sollte hier allerdings etwas nicht richtig funktioniert haben, müssen Sie selbst
Hand anlegen. Auch wenn Sie ein Update Ihrer Umgebung vornehmen, wird das
von Webmin nicht mehr berücksichtigt oder gar korrigiert.

Die Betriebssysteminformationen.

Um diese Einstellungen zu prüfen, folgen Sie dem Link Betriebssystem und Be-
triebsumgebung. Dort werden das Betriebssystem und die Version angezeigt. Sie
können außerdem den Suchpfad ändern, der von Webmin beim Ausführen von
Programmen benutzt wird, und den Pfad der freigegebenen Bibliotheken anpassen,
der an Programme gegeben wird.
Was hat es aber mit dem Programmsuchpfad und den Umgebungsvariablen auf
sich? Wenn Sie den Befehl ls ausführen, so wird durch die PATH-
Umgebungsvariable bestimmt, in welchen Verzeichnissen die Ausführbaren ge-
sucht werden. Auch Webmin nutzt diese Einstellungen. Mit dem Programmsuch-
pfad bestimmen Sie, welche Verzeichnisse genutzt werden.
Ähnlich verhält es sich mit Bibliotheken. Standardmäßig definiert die Umgebungs-
variable LD_LIBRARY_PATH, wo nach Bibliotheken gesucht werden soll. Wenn

www.brain-media.de
Webmin-Konfiguration 55

Sie weitere Verzeichnisse nutzen wollen, geben Sie diese in dem dafür vorgesehe-
nen Textfeld an. Außerdem können Sie eigene Umgebungsvariablen einführen.

2.3.7 Sprache anpassen


Das Modul Sprache haben wir bereits kennengelernt. Hier können Sie die Sprache
der Webmin-Schnittstelle anpassen. Meist vereinfacht sich der Einsatz, wenn Sie
die Schnittstelle auf eine deutsche Sprachführung umschalten.

2.3.8 Indexseiten
Sie können nicht nur die Sprache, sondern auch die allgemeine Darstellung der
Webmin-Schnittstelle anpassen. Hierfür stehen Ihnen die Funktionen der Indexsei-
tenoptionen zur Verfügung.

Die Indexseitenoptionen.

Mit Anzahl der Spalten legen Sie fest, wie viele Icons auf einer Indexseite neben-
einander platziert werden. Standardmäßig finden Sie vier Icons. Wenn Sie mit
einer hohen Monitorauflösung arbeiten, können Sie den Wert gegebenenfalls höher
setzen.

Webmin kompakt
56 Webmin-Module

Standardmäßig werden die Module in Kategorien zusammengefasst, um die ganze


Administration übersichtlich zu halten. Diese Standardeinstellung sollten Sie mög-
lichst beibehalten.
Die weiteren Einstellungen:
· Standard-Kategorie: Über das Auswahlmenü bestimmen Sie, welche
Kategorie beim Einloggen standardmäßig geöffnet wird.
· Zeige Version, Hostname und OS? Mit dieser Funktion können Sie das
Einblenden der Webmin-Version, des Hostnamens und des Betriebssys-
tems ein- bzw. ausblenden.
· Direkt zum Modul gehen, wenn Benutzer nur eines hat? Hat ein Be-
nutzer lediglich Zugriff auf ein Modul, so wird dieses direkt geöffnet.
· Nach der Anmeldung gehe immer zum Modul: Über dieses Auswahl-
menü legen Sie das Standardmenü fest, das beim Einloggen geöffnet wird.

2.3.9 Webmin aktualisieren


Dank der unermüdlichen Arbeit von Jamie Cameron wird Webmin kontinuierlich
weiterentwickelt, weiter verbessert und mehr oder minder häufig aktualisiert. Über
den Link Webmin aktualisieren können Sie die gesamte Webmin-Installation auf
den neuesten Stand bringen.
Für die Aktualisierung können Sie eine lokale Datei, eine hochgeladene Datei oder
einfach die letzte Version von der Webmin-Homepage installieren. Wie bei einer
manuellen Aktualisierung werden alle Einstellungen und Module Dritter beibehal-
ten.
Dazu stehen Ihnen vier Formularbereiche zur Verfügung. Der Erste trägt die Be-
zeichnung Webmin aktualisieren. Hier bestimmen Sie die Installationsquelle. Sie
haben dabei die Wahl zwischen folgenden Optionen:
· Von lokaler Datei
· Von heraufgeladener Datei
· Von einer FTP- oder HTTP-URL
· Letzte Version von www.webmin.com

www.brain-media.de
Webmin-Konfiguration 57

Der Installationsdialog stellt Ihnen eine Handvoll weiterer Optionen zur Auswahl.
Wichtig ist, dass Sie die Option Überprüfe die GnuPG-Signatur des zu installie-
renden Paketes? aktiviert lassen.

Die Einstellungen für die Webmin-Aktualisierung.

Bei der Aktualisierung Ihrer Webmin-Installation werden neue Module automa-


tisch einem oder mehreren Benutzern zugeordnet und für die Nutzung freigegeben.
Mit dem Formular Zuordnung neuer Module können Sie diese Einstellung ändern
und neue Module bestimmten Benutzern zuordnen.
Es folgen zwei weitere Formulare für die Konfiguration der Webmin-
Aktualisierung. Das Formular Aktualisiere Module jetzt erlaubt Ihnen die Module
Ihrer Installation (also nicht Webmin selbst) auf den neuesten Stand zu bringen.
Mit Modul-Update werden meist funktionale Schwächen oder Sicherheitslücken
geschlossen. Dies wird die aktuell installierten Module abgleichen mit den verfüg-
baren Update-Modulen und diese optional herunterladen und installieren.
Die Modul-Aktualisierung führen Sie am einfachsten durch, indem Sie die Option
Aktualisiere von www.webmin.com aktivieren und dann auf die Schaltfläche Aktua-
lisiere Module klicken. Um den Rest kümmert sich Webmin. Dabei gibt Webmin
entsprechende Hinweise aus, welche Module erneuert werden und warum dies
erforderlich ist:
Webmin-Module werden aktualisiert ...

Update notwendig für Modul mailboxes auf Version 1.340.

Webmin kompakt
58 Webmin-Module

Löst folgendes Problem: When a user is restricted to only a


subset of mailboxes and the system has more than 200 users,
no users appear on the module's main page.

Update notwendig für Modul mysql auf Version 1.340.


Löst folgendes Problem: When attempting to backup a MySQL
database as a non-root user, the following error appears:
Access denied for user 'username'@'localhost' to database
'mysql'

Es kommt noch besser: Sie können die Aktualisierung automatisieren und voll-
ständig Webmin überlassen. Dazu konfigurieren Sie das Formular Aktualisiere
Webmin nach Zeitplan. Auch wenn diese Automatisierung sehr nützlich ist, sollten
Sie diese Funktion mit Bedacht einsetzen, da sie Angreifern möglicherweise er-
laubt Ihr System zu übernehmen, wenn der Update-Server kompromittiert wurde.

Die automatische Aktualisierung Ihrer Webmin-Installation.

www.brain-media.de
Webmin-Konfiguration 59

Damit Sie sich nicht weiter um die Aktualisierung kümmern müssen, aktivieren Sie
zunächst die Option Klicken Sie hier, um eine Aktualisierung mit CRON zu aktivie-
ren. Als Quelle sollten Sie www.webmin.com beibehalten. Stellt Ihnen Ihr Provider
oder ein Netzwerkadministrator einen speziellen Download-Service zur Verfü-
gung, geben Sie die URL in dem Textfeld Aktualisiere aus anderer Quelle ein.
Bestimmen Sie außerdem den Zeitpunkt und das Intervall für die Aktualisierung.
Es empfiehlt sich außerdem, eine E-Mail-Adresse zu hinterlegen, an die ein Be-
richt des Updates geschickt wird. Der Automatismus unterstützt auch den pass-
wortgeschützten Zugriff auf den Update-Server. Geben Sie dazu einfach die Ken-
nung unter Log-in und Passwort für Update-Server ein. Mit einem Klick auf die
Schaltfläche Speichern und anwenden ist die Aktualisierung nach Zeitplan fertig
konfiguriert. Über die Aktualisierungsfunktion können Sie außerdem einzelne
Module aktualisieren.

2.3.10 Authentifizierung
Webmin verfügt über eine Fülle an Funktionen, mit denen Sie die Authentifizie-
rung steuern können. Damit legen Sie beispielsweise fest, wie das System bei meh-
reren misslungenen Log-in-Versuchen reagiert, wie sich Benutzer einloggen und
wie Passwörter geprüft werden.
Sie können die Authentifizierungs-Einstellungen auch nutzen, um Passwort-Time-
outs zu setzen. Solche Time-outs können den Webmin-Server vor sogenannten
Brute-Force-Attacken schützen, indem eine sich fortlaufend verlängernde Verzöge-
rung nach einem fehlgeschlagenen Anmeldungsversuch eines Benutzers stattfindet.
Generell gilt: Webmin zeichnet bei aktiver Authentifizierung alle Sitzungen aller
Webmin-Benutzer auf, damit inaktive Benutzer automatisch abgemeldet werden
können. Sie sollten außerdem beachten, dass das Aktivieren oder Deaktivieren der
Authentifizierung dazu führen kann, dass sich alle Benutzer neu anmelden müssen.

Webmin kompakt
60 Webmin-Module

Für die Authentifizierung gibt es unzählige Einstellungen.

Die verfügbaren Einstellungen sind sehr umfangreich – und aus Sicht der Sicher-
heit natürlich sehr wichtig. Daher schauen wir uns die einzelnen Optionen genauer
an:
· Passwort-Timeouts deaktivieren/aktivieren: Zunächst bietet Ihnen das
Formular das Aktivieren bzw. Deaktivieren an. Sie sollten die Standard-
einstellung (aktiv) nur in Ausnahmefällen ändern.
· Rechner mit x fehlgeschlagenen Anmeldeversuchen für y Sekunden
blockieren: Mit dieser Konfiguration sperren Sie nach der angegebenen
Zahl an Fehlerversuchen den Zugang für diese Zeitspanne. Sie können die
Standardwerte 5 Versuche und 60 Sekunden herunter bzw. höher setzen,
wenn Ihnen diese Konfiguration nicht streng genug ist. In der Regel ge-
nügt sie.

www.brain-media.de
Webmin-Konfiguration 61

· Blockierte Rechner, Anmelde- und Authentifizierungsfehler im syslog


protokollieren: Wenn Sie diese Option aktivieren, werden Authentifizie-
rungsfelder in die zentrale Protokolldatei geschrieben. Sie sollten diese
Option aktiviert lassen, um möglichen Eindringversuchen von Unberech-
tigten auf die Spur kommen zu können.
· Authentifizierung deaktivieren/aktivieren: Als Nächstes können Sie die
Authentifizierung ein- bzw. ausschalten. Ausschalten macht höchstens bei
lokalen Test-, nicht aber bei Produktivitätssystemen Sinn.
· Automatische Abmeldung nach x Minuten Inaktivität: Um sicher zu
gehen, dass nicht inaktive Verbindungen zu einem späteren Zeitpunkt für
eine Attacke genutzt werden, sollten Sie mit dieser Option für das Tren-
nen inaktiver Verbindungen sorgen. Ein guter Wert ist sicherlich 10 Mi-
nuten.
· "Kennung speichern" anbieten? NICHT EMPFOHLEN: Standard-
mäßig ist diese Option aktiv und sorgt dafür, dass der Log-in-Dialog die
Option Anmeldung dauerhaft speichern anbietet. Die Log-in-
Informationen werden auf Seiten des Browsers in einem Cookie gespei-
chert, um einen späteren Zugriff zu vereinfachen. Es empfiehlt sich, diese
Option zu deaktivieren, damit nicht Unberechtigte von Ihrem System aus
Unfug mit dem Webmin-System treiben.
· Zeige Hostnamen auf Anmeldebildschirm? Mit diesem Schalter legen
Sie fest, ob der Hostname beim Login-Dialog angezeigt wird oder nicht.
Für einen potenziellen Angreifer ist es natürlich schwieriger, das System
zu attackieren, wenn es dessen exakte Adresse bzw. dessen IP-Adresse
nicht kennt. Überall dort, wo Fremde auf den Server zugreifen können,
sollten Sie diese Option ausschalten.
· Zeige den echten Hostnamen anstelle eines Virtuellen Servernamens
in der URL? Auch diese Option sollten Sie ausschalten, um möglichen
Angreifern nicht mehr als unbedingt nötig Informationen zu liefern.
· Speichere Ein- und Ausloggen in UTMP? Das Programm UTMP gibt
Auskunft darüber, wer das System im Moment benutzt. Sie können das
Ein- und Ausloggen in der zugehörigen Datei speichern. In der Regel ist
das nicht erforderlich.
· Keine zusätzliche Seite vor der Anmeldung anzeigen/ Eine zusätzliche
Datei vor der Anmeldung anzeigen: Mit dieser Option, sofern Sie sie
aktivieren, können Sie eine weitere Seite vor der eigentlichen Anmeldung
anzeigen lassen. Falls Sie das wollen, geben Sie in das zugehörige Text-
feld den Pfad zur HTML-Datei an. Mit dieser Datei können Sie einen Be-

Webmin kompakt
62 Webmin-Module

nutzer beispielsweise mit Zusatzinformationen oder besonderen Hinwei-


sen versorgen, bevor er sich einloggen kann.
· Benutzernamen und Passwort immer erfragen: Diese Option sollten
Sie aktiviert lassen, damit bei jedem Log-in-Vorgang Kennung und Pass-
wort angegeben werden müssen.
· Anmeldung ohne Passwort für passende Benutzer von localhost: Al-
ternativ können Sie auch Benutzern von localhost den Zugang vereinfa-
chen.
· Benutze PAM für die Unix-Authentifizierung, wenn verfügbar: Sie
können auf das PAM-System für die Authentifizierung zurückgreifen.
Überall dort, wo PAM zum Einsatz kommt, sollte man das auch tun.
· Benutze niemals PAM für die Unix-Authentifizierung: Mit diesem
Schalter umgehen Sie permanent die Verwendung von PAM.
· Wenn PAM nicht verfügbar oder abgeschaltet ist, lese Benutzer und
Passwörter aus Datei/Spalte: Sollten Sie PAM nicht für die Authentifi-
zierung nutzen oder der Sicherungsmechanismus deaktiviert sein, so be-
stimmen Sie hier die Datei, in der die Benutzer und Passwörter hinterlegt
sind. In der Regel ist das /etc/shadow.
· Wenn Unix-Authentisierung benutzt wird ...: Hier legen Sie fest, was
mit Benutzern passiert, deren Passwort abgelaufen ist. Es empfiehlt sich,
diese immer abzuweisen. Sie könnten auch zur Eingabe eines neuen
Passwortes auffordern.
· Externes Squid-ähnliches Authentifizierungs-Programm: Sie können
auch ein externes Authenthifzierungsprogramm für das Log-in verwen-
den, beispielsweise Squid. Wenn Sie das wollen, geben Sie hier den Pfad
an.
· Benutze die Standard-Verschlüsselungsmethode/ MD5-Verschlüssel-
ungsmethode für Webmin-Passworte: Hier sollten Sie sich für die stär-
kere Verschlüsselungsvariante MD5 entscheiden.

Mit einem Klick auf Speichern ändern Sie die Einstellungen für die Authentifizie-
rung. Generell empfiehlt es sich, die Zugangsmechanismen lieber ein wenig enger
zu schnüren, als zu weit.

www.brain-media.de
Webmin-Konfiguration 63

2.3.11 Modulzuordnung und Kategorien


Wenn Ihnen die von Webmin vorgegebene Modul- und Kategorienzuordnung nicht
passt: Kein Problem, denn Sie können die installierten Module jeder beliebigen
Kategorie zuweisen. Dazu wählen Sie aus der Modulliste den gewünschten Eintrag
und weisen diesem über das Auswahlmenü die gewünschte Kategorie zu.

Dieses Formular erlaubt die Neuordnung der Modul-Kategorie-Zuordnung.

Es kommt noch besser: Sie können eigene Kategorien erzeugen und in diesen dann
Ihre wichtigsten Module zusammenfassen. Dazu folgen Sie in der Webmin-
Konfiguration dem Link Kategorien bearbeiten. Über dieses Formular können Sie
nicht nur vorhandene Kategorien bearbeiten, sondern auch neue einführen.
Um eine neue Kategorie zu erstellen, weisen Sie dieser unter ID einen internen
Bezeichner und unter Angezeigte Beschreibung eine passende Bezeichnung zu. Mit
einem Klick auf Kategorie speichern haben Sie eine Kategorie mehr.

Webmin kompakt
64 Webmin-Module

Über dieses Formular lassen sich eigene Kategorien erstellen.

Womöglich wundern Sie sich, dass diese Kategorie nicht direkt nach dem Spei-
chern in der Kategorienliste zu finden ist. Sie müssen dieser neuen Kategorie über
das zuvor beschriebene Formular ein erstes Modul zuweisen. Erst dann taucht die
neue Kategorie auch in der Kategorieleiste auf.

2.3.12 Modultitel anpassen


Sie können weitere Modul-spezifische Anpassungen vornehmen. Die Webmin-
Konfiguration erlaubt nicht nur die Neuordnung von Modulen, sondern Sie können
auch die Modulbezeichnungen nach Ihren Vorlieben gestalten.
Dazu folgen Sie dem Verweis Modultitel. Im zugehörigen Formular können Sie bis
zu drei Modulbezeichnungen auf einmal ändern. Wählen Sie dazu in der Spalte
Modul das Modul aus und weisen Sie diesem unter Neuer Titel die gewünschte
Bezeichnung zu. Mit Speichern nehmen Sie die Änderungen vor.

www.brain-media.de
Webmin-Konfiguration 65

2.3.13 Webmin-Themes
Mit den sogenannten Webmin-Themes bestimmen Sie das Erscheinungsbild der
Webmin-Benutzerschnittstelle. Dazu gehören Eigenschaften wie Symbole, Farben,
Hintergrundbilder und das Seitenlayout. Themes sind ähnlich wie die Module
Erweiterungen der Webmin-Installation.
Durch die Änderung des Themes erreichen Sie signifikante Änderungen der
Webmin-Schnittstelle. Über die Funktion des Formulars Webmin-Themes können
Sie das Standarddesign ändern, ein anderes Theme installieren und auch einen
Export ausführen.
Das Auswahlmenü Aktuelles Theme stellt Ihnen vier Gestaltungsformen zur Aus-
wahl:
· Standard-Webmin-Theme: Hierbei handelt es sich um ein sehr einfa-
ches Theme, das noch von den ersten Webmin-Versionen stammt.
· Caldera-Theme: Dieses Theme verwendet Frames, um die Kategorien
und die zugehörigen Funktionen voneinander zu trennen.
· MSC.Linux Theme: Dies ist das Standard-Theme. Es empfiehlt sich, die-
ses beizubehalten.
· Blue Framed Theme: Mit Version 1.3x wurde dieser Theme-Typ einge-
führt. Er präsentiert Ihnen in einer Explorer-ähnlichen Ansicht und einem
deutlich moderneren Design die Funktionen.

Nicht mehr in Webmin 1.3x enthalten ist das Simple Theme, das für Geräte entwi-
ckelt wurde, die keine besonderen Darstellungsfähigkeiten aufweisen, beispiels-
weise einfache Notebooks, PDAs etc.
Wenn Sie sich die alternativen Vorlagen einmal ansehen, so werden Sie feststellen,
dass diese alle den Link Benutzer wechseln aufweisen. Dieser ist im aktuellen
Webmin-Theme nicht mehr integriert.

Webmin kompakt
66 Webmin-Module

Die umfangreichen Einstellungen zur Theme-Verwendung in Webmin.

Sie sind keineswegs auf die vier Themes angewiesen, die Ihnen Webmin zur Ver-
fügung stellt. Sie können auch Themes von anderen verwenden. Über die Third-
Party-Modules-Website (http://webmin.thirdpartymodules.com/) stehen zwanzig
Themes zum Download bereit.
Für die Installation von Dritt-Themes greifen Sie auf das zweite Formular zurück.
Themes besitzen in der Regel die Dateierweiterung WBT und können von einer
lokalen, einer hochgeladenen Datei oder von einer FTP- oder HTTP-URL instal-
liert werden. Das Webmin-Themes-Formular erlaubt außerdem das Löschen und
Exportieren von Themes.

www.brain-media.de
Webmin-Konfiguration 67

Das neue Theme Blue Framed Theme in Aktion.

2.3.14 Vertraute Verweise


Mit einem Sicherheitsproblem haben alle Web-basierten Administrationswerkzeu-
ge zu kämpfen: Mit einem Verweis wie dem Folgenden kann mit einem einzigen
Klick ein Modul ausgeführt werden, das beispielsweise Dateien auf Ihrem System
löscht:
<a href=http://localhost:10000/proc/run.cgi?cmd=rm+*>Hier
klicken</a>

Um sich vor derlei bösen Überraschungen zu schützen, sollten Sie eine Freundes-
liste mit Sites erstellen, die Sie als vertrauenswürdig einschätzen. Mit der Funktion
Vertraute Verweise erstellen Sie diese Liste. Zunächst sollten Sie allerdings sicher-
stellen, dass die Überprüfung aktiviert ist.

Webmin kompakt
68 Webmin-Module

In diesem Formular hinterlegen Sie die vertrauenswürdigen Websites.

Stellen Sie außerdem sicher, dass die Option Links von unbekannten Websites
vertrauen deaktiviert ist. Standardmäßig ist das nicht der Fall.

2.3.15 Anonymer Modulzugriff


Bereits beim Modul Authentifizierung haben wir verschiedene Möglichkeiten ken-
nengelernt, wie man den Zugriff auf Webmin steuert. Die Administrationszentrale
bietet mit der Funktion Anonymer Modulzugriff eine weitere Besonderheit.
Das zugehörige Formular erlaubt es Ihnen, Zugriffe auf ausgewählte Webmin-
Module und Pfade zu gewähren, ohne dass sich die Benutzer anmelden müssen.
Für jeden Modul-Pfad, den Sie freigeben wollen, müssen Sie den Namen des
Webmin-Benutzers eingeben, dessen Rechte für den Zugriff auf die Module be-
nutzt werden sollen.
Sinn macht die Freigabe für anonyme Zugriffe beispielsweise für rein informative
Module, die keine Änderungen erlauben oder lediglich die Ausführung „harmlo-
ser“ Befehle erlauben.
Doch Vorsicht: Wenn Sie anonymen Zugriff gewähren, können eine unzureichende
IP-Zugriffskontrolle oder der Zugriff auf die falschen Module Angreifern die
Übernahme des Systems ermöglichen. Seien Sie daher sehr vorsichtig beim Einsatz
dieser Funktion.

www.brain-media.de
Webmin-Konfiguration 69

2.3.16 Dateisperrung
Eine weitere sicherheitsrelevante Einstellung trägt die Bezeichnung Dateisperrung.
Webmin sperrt standardmäßig jede Datei, die sich in der Bearbeitung durch einen
Benutzer befindet. So wird verhindert, dass sich zwei Benutzer gleichzeitig an der
gleichen Datei zu schaffen machen.
Mit dem Modul Dateisperrung können Sie diese Konfiguration bearbeiten und
beispielsweise die Sperrung komplett aufheben oder nur bestimmte Datei-
en/Verzeichnisse sperren bzw. freigeben. Für Testzwecke kann eine Freigabe
durchaus sinnvoll sein, in der Regel sollten Sie allerdings darauf verzichten.

2.3.17 Mobile Device Options


In der aktuellen Version erlaubt Webmin auch die Konfiguration für mobile Gerä-
te, die auf den Server zugreifen. Sie können das zu verwendende Theme vorgeben
und die HTTP-Authentifizierung erzwingen.

2.3.18 Erweiterte Optionen


Webmin bietet Ihnen einige erweiterte und experimentelle Optionen an. Hier fin-
den Sie beispielsweise das Verzeichnis für temporäre Dateien. Standardmäßig sind
diese im Verzeichnis /tmp/.webmin abgelegt. Über das Textfeld können Sie dies
ändern.
Entsprechend können Sie die temporären Verzeichnisse für die Module anpassen.
Wählen Sie dazu einfach das Modul aus und bestimmen Sie das Verzeichnis. Die
erweiterten Einstellungen bieten Ihnen zwei weitere Anpassungsmöglichkeiten an:
· Webmin-Funktionsbibliotheken vorladen? Hier können Sie das Vorla-
den der Bibliotheken erzwingen, was gegebenenfalls zu einer etwas
schnelleren Ausführung von Webmin führen kann.
· Mache Passwort anderen Webmin-Programmen verfügbar? Außer-
dem können Sie Ihr Passwort für andere Webmin-Installationen zugäng-
lich machen. In der Regel ist das nicht gewünscht. Beachten Sie, dass die-
ses Feature nicht funktioniert, wenn Sie die Session-Authentifizierung
eingeschaltet haben.

Webmin kompakt
70 Webmin-Module

2.3.19 SSL-Funktionen
Die beiden letzten Funktionen der Webmin-Konfiguration dienen der Konfigurati-
on der SSL-Funktionalität. Über den Link SSL-Verschlüsselung muss zunächst die
Installation der Net::SSLeay-Perl-Komponenten erfolgen. Am einfachsten lassen
Sie das Webmin mit einem Klick auf Herunterladen und installieren durchführen.
Nachdem Download und der anschließenden Installation – oder der manuellen
Installation der Komponenten –, können Sie die SSL-Funktionalität aktivieren und
einen SSL-Schlüssel erzeugen (so wie es bereits im ersten Teil beschrieben wurde).

Die Installation der SSL-Komponenten.

2.3.20 Zertifikatautorität
Sie können Webmin auch als Zertifikatautorität einrichten, damit sich Clients von
dieser Stelle SSL-Zertifikate anfordern können. Die zugehörigen Funktionen sind
über den Link Zertifikatautorität verfügbar. Um diese Funktion allerdings nutzen
zu können, müssen Sie erste die SSL-Unterstützung aktivieren.

www.brain-media.de
Webmin-Konfiguration 71

Um eine Autorität zu erstellen, müssen Sie ein CA-Zertifikat erzeugen. Dazu steht
Ihnen ein einfaches Formular zur Verfügung, das Sie der Reihe nach mit folgenden
Daten füttern:
· Autoritätsname: Hier geben Sie den Namen des Anwenders an, der das
Zertifikat erstellt, also beispielsweise Netzwerkadministrator.
· E-Mail-Adresse: Hier hinterlegen Sie dessen E-Mail-Adresse.
· Abteilung: Hier die Abteilung.
· Organisation: Hier ist Platz für den Firmennamen oder eine vergleichba-
re Information.
· Bundesland: Das Formular will auch das Bundesland des Standorts wis-
sen.
· Ländercode: In dieses Feld geben Sie beispielsweise GER für Deutsch-
land ein.
· RSA-Schlüsselgrösse: Abschließend bestimmen Sie die Schlüsselgröße.
Mit dem Standardwert 512 Bits sind Sie in der Regel gut bedient.

Das Erstellen eines neuen CA-Zertifikats.

Verfügen Sie bereits über eine CA im PEM-Format, so können Sie diese einfach in
das untere Textfeld kopieren. Wenn Sie eine erste CA erstellt haben, stellt Ihnen
dieses Formular zusätzlich die Schaltfläche Zertifikatautorität herunterfahren zur
Verfügung. Verwenden Sie diese Schaltfläche, damit Webmin keine existierenden

Webmin kompakt
72 Webmin-Module

Zertifikate mehr akzeptiert oder neue ausstellt. In diesem Fall zwingen Sie Benut-
zer, sich stattdessen mit Benutzernamen und Kennwort anzumelden.

2.3.21 Modulkonfiguration
Wie die meisten anderen Module verfügt auch das Webmin-Konfigurationsmenü
über eine Modulkonfiguration. Die Einstellungen für dieses Modul sind allerdings
recht bescheiden:
· URL der Standardmodul-Liste: Hier legen Sie fest, von welcher Quelle
sich Ihre Webmin-Installation die Liste der Standardmodule holt. Beim
Einsatz im Unternehmen kann es durchaus sinnvoll sein, dass Sie einen
eigenen Satz an Standardmodulen zusammenstellen und diese dann ande-
ren Webmin-Anwendern zur Verfügung stellen.
· URL der Drittanbieter-Webmin-Modulliste: Entsprechend kann auch
die Liste der Module von Drittanbietern definiert werden.
· Zeige Aktualisierungszeiten als: Hier haben Sie die Wahl zwischen zwei
Anzeigeformaten.
· Hole Liste der Webmin-OSDN-Mirrorseiten? Standardmäßig holt sich
die Webmin-Installation die Liste der Webmin-Spiegel. Das erleichtert
den Zugriff auf Updates etc.

Die Konfiguration des Webmin-Konfigurationsmoduls.

2.4 Webmin-Benutzer und -Gruppen


Es versteht sich von selbst, dass es für so ein komplexes Programm wie Webmin
am besten ist, spezielle Benutzer für unterschiedliche Aufgabenbereiche zu definie-

www.brain-media.de
Webmin-Benutzer und -Gruppen 73

ren. Dabei unterstützt Sie Webmin mit einer leistungsfähigen Benutzer- und Grup-
penverwaltung. Schauen wir uns also an, wie man Benutzer erzeugt und diesen
klare Grenzen setzt.

Ein erster Blick auf die Webmin-Benutzerverwaltung.

In der Webmin-Kategorie finden Sie den Eintrag Webmin-Benutzer, über den Sie
alle benutzerspezifischen Aufgaben erledigen, und die Webmin-Gruppe Remote-
Admin. Standardmäßig kennt Ihre Webmin-Installation nur einen Benutzer, den
Administrator, der den Benutzernamen admin besitzt. Dieser hat, wie der Root-
User, Vollzugriff auf das System und kann alle erdenklichen Funktionen nutzen.
Auf Einzelplatzsystemen, die von keinen weiteren Benutzern genutzt werden, mag
das genügen, doch in der Regel wollen oder müssen andere Anwender mit Ihrer
Webmin-Installation arbeiten.
Dank der Webmin-Benutzerverwaltung können Sie administrative Aufgaben wun-
derbar delegieren, denn auch ein Remote-Zugriff auf die Webmin-Installation ist
natürlich möglich. Da Sie diesen Hilfs-Administratoren nicht umfassende Admin-
Rechte einräumen dürfen, sollten Sie sich mit der Webmin-Benutzerverwaltung
auseinandersetzen.
Hier einige Beispiele, was Sie alles mit der Benutzerverwaltung anfangen können:

Webmin kompakt
74 Webmin-Module

· Erzeugen eines Benutzers, der lediglich die Einstellungen von virtuellen


Apache-Servern konfigurieren kann.
· Beschränken des Zugriffs für einen oder mehrere Benutzer auf eine
MySQL-Datenbank.
· Erlauben, dass Benutzer Druckjobs starten und löschen können, nicht aber
Zugriff auf die Druckereinstellungen haben.
· Erlauben, dass ein Benutzer in eingeschränktem Rahmen neue Benutzer
erstellen kann.

Sie sehen: Es gibt eine ganze Menge Dinge, die Sie mit der Benutzerverwaltung
sehr fein steuern können. Nun liegt es an Ihnen, diese Möglichkeiten effektiv aus-
zuschöpfen. Generell sollten Sie sehr vorsichtig bei der Vergabe von weitreichen-
den Rechten sein, denn schnell sind die Restriktionen ausgehebelt.

2.4.1 Neuen Benutzer anlegen


Webmin unterscheidet zwischen der Benutzer- und der Gruppenverwaltung. In der
Benutzerübersicht präsentiert Ihnen Webmin den bislang einzigen Benutzer admin.
Um einen weiteren Benutzer zu erstellen, klicken Sie auf Neuen Benutzer anlegen.
Ein Blick auf das zugehörige Formular zeigt Ihnen, warum Sie so flexibel bei der
Zuweisung von Benutzerrechten sind: Die Konfigurationsmöglichkeiten sind sehr
umfangreich.
Auf dem Formular weisen Sie dem neuen Benutzer zunächst einen Benutzernamen
und ein Kennwort über die gleichnamigen Textfelder zu. Sind auf Ihrem System
bereits erste Gruppen (oder zumindest eine erste) erstellt, so finden Sie neben dem
Benutzernamensfeld die Gruppenauswahl. Sie können den neuen Benutzer also
gleich auch einer bestimmten Gruppe zuweisen.
Bei der Vergabe des Passworts sollten Sie die Option Unix-Authentifizierung ver-
wenden, wenn der neue Benutzer den gleichen Namen wie ein bereits existierender
Systembenutzer hat. In diesem Fall verwendet Webmin PAM bzw. die Datei
/etc/shadow für die Authentifizierung. Wenn Sie verhindern wollen, dass sich ein
Benutzer einloggen kann, wählen Sie die Option Kein Passwort akzeptieren.

www.brain-media.de
Webmin-Benutzer und -Gruppen 75

Das Anlegen eines Webmin-Benutzers.

Die weiteren Einstellungen:


· SSL-Zertifikatsname: Hier weisen Sie dem neuen Benutzer einen Zerti-
fikatsnamen zu, der in der Zertifikatverwaltung hinterlegt ist. Die Authen-
tifizierung erfolgt dann auf Grundlage dieser Angabe.
· Sprache: Über diesen Schalter können Sie dem Benutzer eine andere als
die Standardsprachvariante zuweisen. Bevorzugt einer Ihrer Benutzer bei-
spielsweise die englische oder französische Variante, so weisen Sie die-
sem die entsprechende Variante zu.
· Module in Kategorien aufteilen? Sollen dem Benutzer die für ihn frei-
geschalteten Module ebenfalls in der typischen Gruppierung präsentiert
werden, so behalten Sie die Konfiguration Standard bei.
· Zeit für Inaktivitätsabmeldung: Mit dieser Konfiguration können Sie
einen Benutzer nach einer bestimmten Zeitspanne, in der keine Daten
zwischen ihm und der Webmin-Installation übertragen werden,
herauskicken. Dabei können Sie die Anzahl an Minuten definieren oder
den oben definierten Standardwert verwenden.

Webmin kompakt
76 Webmin-Module

· Persönliches Design: Auch die Zuweisung eines der installierten Themes


ist hier möglich. Wenn Sie wissen, dass ein Benutzer beispielsweise mit
einem PDA oder einem Subnotebook auf das System zugreift, so können
Sie ihm beispielsweise das „alte“ Webmin-Theme zuweisen.
· IP-Zugriffskontrolle: Wenn Sie Webmin in einem lokalen Netzwerk be-
treiben oder die Zugreifenden über statische IP-Adressen verfügen, kön-
nen Sie über dieses Feld diesen den Zugriff gewähren bzw. verwehren.
Standardmäßig erlaubt Webmin den Zugriff von allen Adressen.
· Allowed days of the week: Diese wie auch die folgende Option ist leider
nicht eingedeutscht. Hier können Sie den Zugriff auf bestimmte Wochen-
tage und Zeiten beschränken. Mitarbeiter, die nur zu „normalen“ Bürozei-
ten mit dem System arbeiten, sollten Sie entsprechend konfigurieren, da-
mit Sie nicht am Wochenende Zugang zu dem System haben.
· Module: Es folgt die umfangreiche Modulliste, in der Sie bestimmen,
welche Module der neue Benutzer einsetzen darf. Die Module sind nach
den bekannten Standardkategorien zusammengefasst.

Am Fußende des Formulars finden Sie drei weitere nützliche Funktionen, mit de-
nen Sie dem neuen User beispielsweise durch einen einzigen Mausklick globale
Rechte einräumen können. Sie speichern die Einstellungen mit einem Klick auf
Speichern.
Das nachträgliche Bearbeiten der Benutzereinstellungen ist ebenfalls recht einfach:
Öffnen Sie einfach die Konfiguration durch einen Klick auf den Benutzernamen.

2.4.2 Modulberechtigungen
Wenn Sie sich die Beispiele für die Benutzereinstellungen in Erinnerung rufen, die
oben aufgeführt sind, so fragen Sie sich vermutlich, wie man nun die feinen Steue-
rungen vornimmt. Mit der Auswahl eines Moduls hat der neue Benutzer zunächst
einmal die gleichen Rechte wie der Admin. Also müssen Sie die zulässigen Be-
rechtigungen pro Modul einschränken. Dies sollten Sie angehen, nachdem Sie den
Benutzer erstellt, ihm Module zugewiesen und seinen Eintrag gespeichert haben.

www.brain-media.de
Webmin-Benutzer und -Gruppen 77

Die Modul-Zugriffskontrolle.

Für jedes Modul steht Ihnen eine eigene Modul-Zugriffskontrolle zur Verfügung.
Auf diese greifen Sie zu, indem Sie den Moduleintrag anklicken. In voranstehender
Abbildung sind beispielsweise die verfügbaren Einstellungen für das MySQL-
Modul dargestellt.
Im Fall des MySQL-Datenbankservers können Sie zunächst einmal festlegen, ob
der Benutzer die Moduleinstellungen bearbeiten darf. Als Nächstes können Sie
eine Fülle weiterer Einstellungen bearbeiten. Dazu gehört beispielsweise, welche
Datenbanken der Benutzer verwalten und löschen darf. Sie können dem Benutzer
außerdem das Recht zuweisen, den Server anzuhalten oder zu starten bzw. Daten
zu bearbeiten.
Sie können weitere Berechtigungen definieren:
· Darf neue Datenbanken anlegen?
· Darf Rechte bearbeiten?
· Anmelden an MySQL als Benutzername aus Modulkonfiguration
· Erzeuge Datensicherung als Unix-Benutzer
· Anlegen von Verzeichnis für Datensicherungen

Webmin kompakt
78 Webmin-Module

Welche Berechtigungen Sie dem neuen Benutzer zuweisen, ist natürlich maßgeb-
lich von dessen Aufgabenbereich und dessen Kenntnissen abhängig.
Damit Sie einen Eindruck von den vielfältigen Funktionen bekommen, schauen wir
uns noch exemplarisch zwei weitere Module und deren Berechtigungen an: Samba
und Netzwerkeinstellungen.

2.4.3 Samba-Modulberechtigungen
Für Samba steht Ihnen ein sehr umfangreiches Set an Anpassungen zur Verfügung.
Als Erstes steht die Standardfrage an, ob Sie dem Benutzer die Modulkonfiguration
erlauben wollen. Erst wenn Sie dies mit Ja beantworten, stehen Ihnen die weiteren
Einstellungen zur Verfügung.

Ein Ausschnitt aus den umfangreichen Samba-Einstellungen.

Die Konfiguration des Samba-Moduls besitzt vier Bereiche für unterschiedliche


Aspekte. Zunächst sind die allgemeinen Samba-Zugriffskontrolleinstellungen dran.
Hier können Sie folgende Berechtigungen zuweisen bzw. unterbinden:
· Verbindungen anzeigen
· Verbindungen trennen
· UNIX-Einstellungen verändern

www.brain-media.de
Webmin-Benutzer und -Gruppen 79

· Windows-Einstellungen ändern
· Authentifizierungseinstellungen ändern
· Druckereinstellungen verändern
· Erweiterte Einstellungen bearbeiten

Es folgen drei weitere Bereiche:


· Einstellungen für verschlüsselte Passwörter: Hier legen Sie beispiels-
weise fest, ob der Benutzer die SAMBA-Benutzerdatenbank anzeigen,
Benutzer bearbeiten, konvertieren und synchronisieren darf.
· Gruppen-Optionen: Entsprechend können Sie für den Benutzer festle-
gen, ob dieser Gruppen ansehen, betrachten oder editieren darf. Auch der
Zugriff auf Datei- und Druckerfreigaben kann hier definiert werden.
· Freigabebezogene ACLs: Hier legen Sie für die verschiedenen Freigaben
(global, homes, profiles, users etc.) Zugriffs- und Freigabeeinstellungen
fest. Sie können in der Regel den Zugriff gewähren, das Bearbeiten erlau-
ben oder nur das Lesen der Daten bzw. Einstellungen zulassen.

Generelles zu den Berechtigungen


Nicht ganz so einfach ist die Frage zu beantworten, wie man am besten mit der
Fülle an Einstellungen umgeht. Wenn Sie sich die Standardberechtigungen für das
Samba-Modul ansehen, stellen Sie fest, dass diese eine Vielzahl, um genau zu sein
die meisten Einstellungen und Anpassungen zulässt.
Von derart „großzügigen“ Einstellungen sollten Sie sich verabschieden – zumindest,
wenn Sie Webmin in einer Produktionsumgebung einsetzen. Sie sollten zunächst
alle jene Einstellungen bzw. Beschränkungen setzen, von denen Sie wissen, dass
Sie für den Benutzer nicht oder noch nicht benötigt werden. Berechtigungen, bei
denen Sie unschlüssig sind, sollten sicherheitshalber deaktiviert werden.

Schauen wir uns noch die Berechtigungen für die Netzwerkkonfiguration an. Diese
stellt Ihnen rund vierzehn Einstellungen zur Verfügung. Über die Modulberechti-
gung legen Sie beispielsweise fest, ob der Benutzer Netzwerkschnittstellen bear-
beiten darf oder nicht, und falls ja, welche Schnittstelleneinstellungen editierbar
sind. Über das Textfeld Interfaces except legen Sie fest, welche nicht bearbeitet
werden dürfen.

Webmin kompakt
80 Webmin-Module

Die Modul-Berechtigungen für die Netzwerkeinstellungen.

Sie können den Benutzern außerdem die Anpassung der Host-Adressen, das Editie-
ren der Netzmaske und der MTU erlauben. Auch hier gilt: Seien Sie behutsam mit
der Freigabe weitreichender Einstellungen.
Das Anlegen einer Webmin-Gruppe ist fast noch einfacher: Klicken Sie dazu auf
den Link Erzeuge eine neue Webmin-Gruppe. Im zugehörigen Dialog weisen Sie
dieser eine Bezeichnung und die Module zu. Wie Sie es von der Benutzerverwal-
tung kennen, können Sie der neuen Gruppe in einem Aufwasch alle Module zuwei-
sen oder die Auswahl umkehren. Nachdem die erste Gruppe erzeugt wurde, kön-
nen Sie auch bei dieser die Modulberechtigungen bearbeiten.
Die Benutzerverwaltung stellt Ihnen fünf weitere benutzerspezifische Funktionen
zur Verfügung, die Ihnen die Benutzerverwaltung vereinfachen:
· Konvertiere Unix- zu Webmin-Benutzern: Über dieses Formular ma-
chen Sie bestehende Systembenutzer quasi per Knopfdruck zu Webmin-
Benutzern. Einfacher geht es kaum. Sie können alle Unix-Benutzer, nur
bestimmte User, Gruppen und Benutzer eines UID-Bereichs importieren.
Wenn Sie eine Webmin-Gruppe erzeugt haben, können Sie die zu impor-
tierenden Benutzer gleich einer Gruppe zuweisen.
· Konfiguriere Unix-Benutzer-Synchronisation: Mit den Funktionen die-
ses Formulars vereinfacht sich die zukünftige Benutzeradministration
deutlich, denn Sie können Webmin- und Systembenutzer nach bestimm-

www.brain-media.de
Webmin-Benutzer und -Gruppen 81

ten Kriterien synchronisieren. Sie können insbesondere folgende Aktionen


miteinander kombinieren:
o Einen Webmin-Benutzer erzeugen, wenn ein Unix-Benutzer er-
zeugt wird.
o Den zugehörigen Webmin-Benutzer löschen, wenn ein Unix-
Benutzer gelöscht wird.
o Das Passwort für neue Benutzer auf das UNIX-Passwort setzen.

Außerdem können Sie neue Benutzer immer auch direkt einer Webmin-Gruppe
zuweisen:
· Konfiguriere Unix-Benutzer-Authentifizierung: Hier können Sie
Webmin so konfigurieren, dass die Anmeldeversuche gegen die System-
Benutzerliste und PAM abgeglichen werden. Dies kann nützlich sein,
wenn Sie eine große Anzahl bestehender Unix-Benutzer haben, denen Sie
Zugriff auf Webmin geben wollen. Auch bei diesem Formular können Sie
wieder Restriktionen setzen.
· Zeige angemeldete Sitzungen: Über diesen Link gelangen Sie zur Liste
der aktuell angemeldeten Benutzer. Hier werden Ihnen neben der Session-
ID der Benutzername, die IP-Adresse und der Zeitpunkt der Anmeldung
angezeigt. Außerdem können Sie die Ereignisse eines Benutzers abrufen.
Ein Klick auf den Link Zeige Aufzeichnungen führt Sie zu der Übersicht
der Aktionen, die der Benutzer durchgeführt hat (diese wird übrigens über
die Ereignisanzeige konfiguriert). Über die Sitzungsliste können Sie die
Benutzer auch dazu zwingen, sich neu anzumelden. Klicken Sie dazu ein-
fach auf den Sitzungs-ID-Eintrag.
· Setup RBAC: Die RBAC(Role Based Access Control)-Integration in die
Webmin-Software unterstützt die Verlagerung von ACLs auf bestimmte
oder alle Module in eine RBAC-Datenbank. Ist RBAC aktiviert, werden
die zulässigen Benutzeraktionen durch RBAC und nicht mehr durch
Webmin geregelt. Allerdings wird RBAC laut Webmin-Schnittstelle der-
zeit nur von der Solaris-Variante des Admin-Tools unterstützt.

Webmin kompakt
82 Webmin-Module

Über den Link Zeige Aufzeichnungen gelangen


Sie zur Ereignisanzeige des jeweiligen Benutzers.

2.5 Die Webmin-Ereignisanzeige


Ein wesentliches Element für die Überwachung Ihrer Webmin-Umgebung ist die
Webmin-Ereignisanzeige. Vorausgesetzt, die Protokollierung ist in der Webmin-
Konfiguration aktiviert, können Sie nahezu jede Aktion auf Ihrem System proto-
kollieren und zu einem späteren Zeitpunkt verfolgen. Was genau aufgezeichnet
wird, bestimmen Sie in der Webmin-Konfiguration. Standardmäßig werden bei-
spielsweise alle Ereignisse der Benutzer und der Module aufgezeichnet.

Definition der Ereignisanzeige.

www.brain-media.de
Webmin-Server 83

Das Formular für die Ausgabe der Ereignisanzeige sieht standardmäßig die Ausga-
be aller Benutzeraktionen in jedem Modul vor. Mit dieser Konfiguration sind Sie
gut bedient. Problematisch ist hingegen die Konfiguration des Aufzeichnungszeit-
punkts, denn sie ist nur für den aktuellen Tag konfiguriert.
Wenn Sie die Ereignisse eines längeren Zeitraums betrachten wollen, so verwen-
den Sie den Wert Zu jeder Zeit. Alternativ lässt sich die Anzeige auch auf einen
bestimmten Zeitraum einschränken.
Mit einem Klick auf die Schaltfläche Suche leiten Sie die Recherche ein. Die Pro-
tokolldaten stammen übrigens aus der Datei /var/webmin/webmin.log. Je nach
Linux-Distribution oder Installationsvariante können Sie auch in einem anderen
Verzeichnis zu finden sein, beispielsweise in /var/log/webmin.
In der Ergebnisliste können Sie sich dann einen Eintrag genauer ansehen, indem
Sie diesen anklicken. In der Detailansicht zeigt Ihnen Webmin folgende Informati-
onen an:
· Beschreibung
· Webmin-Modul
· Besitzer
· Sitzungs-ID
· Client-IP- oder Hostname
· Datum und Uhrzeit

Für die technisch interessierten Anwender ist sicherlich die Information Erzeugt
von Skript interessant. Hier führt die Anzeige das ausgeführte Webmin-Skript samt
Pfad (innerhalb der Webmin-Installation) auf.

2.6 Webmin-Server
Wenn Sie ein großes Netzwerk verwalten, das beispielsweise die Infrastruktur für
mehrere Abteilungen bereitstellt, so wisse Sie möglich bereits die Cluster-Bildung
und zentrale Server-Administration zu schätzen. In der Webmin-Kategorie finden
Sie mit dem Eintrag Webmin-Server die passenden Funktionen.
Das Modul Webmin-Server kann prinzipiell zwei Aufgaben abdecken, eine kom-
plexe und eine weniger komplexe. Sie können damit eine Art Webmin-Server-
Index erstellen, der alle in Ihrem Netzwerk betriebenen Webmin-Server aufführt.

Webmin kompakt
84 Webmin-Module

Über diesen Index haben Sie auch Zugriff auf die verschiedenen Server. Dazu
muss natürlich auf dem jeweiligen System ein Webmin-Server installiert sein und
der Server muss ein spezifisches RPC-Protokoll unterstützen.

Die Serverliste, die Sie mit der zentralen Webmin-Installation verwalten.

2.6.1 Neuen Server hinzufügen


Um einen neuen Server hinzuzufügen, führen Sie folgende Schritte aus:
1. Klicken Sie auf den Link Neuen Server registrieren.
2. In das Textfeld Hostname geben Sie die Server-Bezeichnung oder
aber die zugehörige IP-Adresse ein.
3. Geben Sie als Nächstes unter Port den Port des gewünschten Servers
an. In der Regel horcht dieser auf 10000.
4. Dann bestimmen Sie über das Auswahlmenü Server-Typ das Be-
triebssystem, das auf dem Rechner verwendet wird. Das Auswahlme-
nü stellt Ihnen alle relevanten Linux-Varianten zur Verfügung.

www.brain-media.de
Webmin-Server 85

5. Server-zu-Server-Verbindungen sollten möglichst per SSL gesichert


werden. Dazu aktivieren Sie die Verwendung mit der gleichnamigen
Option. Auch hierfür muss die Komponente Net::SSLeay installiert
sein, da sonst kein gesicherter Verbindungsaufbau möglich ist.
6. Dann geben Sie optional in das Feld Beschreibung eine aussagekräf-
tige Kennung für den Server an. Benennen Sie ihn beispielsweise
nach der Abteilung, dem Raum, in dem er aufgestellt ist, oder nach
seinem Aufgabenbereich.
7. Wenn Sie eine regelrechte Webmin-Server-Farm verwalten, so sollten
Sie diese in Gruppen einteilen. Das vereinfacht die Verwaltung. Ge-
ben Sie gegebenenfalls eine Gruppenbezeichnung an.
8. Das Feld Verbindung ist das wichtigste Feld des gesamten Formulars,
denn es legt fest, wie der neue Server verwendet wird. Es legt fest, ob
der Server im Cluster- und im System-Modus verwendet wird. Sie
haben die Wahl zwischen folgenden Optionen:
· Normale Verbindung zum Server: Bei dieser Option können
keine RPC-Calls an den anderen Server übermittelt werden.
Der Server-Eintrag stellt letztlich nicht mehr als einen „nor-
malen“ Link dar.
· Anmelden über Webmin mit Benutzername Passwort: Ent-
scheiden Sie sich für diese Option, wenn Sie die RPC-
Unterstützung von Webmin für den Zugriff nutzen wollen.
Für den Zugriff sind Benutzername und Passwort erforder-
lich. Der Benutzer muss in der Regel root oder admin hei-
ßen, da andere Benutzer nicht RPC nutzen dürfen (außer, Sie
besitzen entsprechende Rechte).
· Anmelden beim Klicken auf Button: Verwenden Sie diese
Option, wenn ein Verbindungsaufbau per RPC nicht möglich
ist.

9. Wenn Sie sich für die Option Anmelden beim Klicken auf Button ent-
schieden haben, können Sie schließlich festlegen, ob Webmin das
neuere und schnellere RPC-Protokoll für die Verbindungsaufnahme
verwenden soll oder nicht. Behalten Sie am besten die Standardein-
stellung Entscheide automatisch bei. In diesem Fall handeln die bei-
den Webmin-Server untereinander aus, wie Sie miteinander kommu-
nizieren.

Webmin kompakt
86 Webmin-Module

10. Mit einem abschließenden Klick erzeugen Sie den neuen Server, den
Sie dann in der Server-Liste finden.

Ein neuer Server wird in die Server-Liste eingetragen.

Die Server-Verwaltung hat noch weitere interessante Funktionen zu bieten, die Sie
unterhalb der Server-Liste finden. Mit einem Klick auf die Schaltfläche Broadcast
für Server macht sich Ihr Webmin-Server auf die automatische Suche nach weite-
ren Webmin-Servern in Ihrem lokalen Netzwerk. Das funktioniert aber erst ab
Webmin 0.75.
Sie können auch gezielt nach Servern suchen, indem Sie das Netzwerksegment
angeben, in dem gesucht werden soll.
Als Nächstes füttern Sie das Formular mit dem Benutzernamen und dem Passwort
für den Zugriff auf den Server. Außerdem können Sie einen Suchautomatismus
einführen, mit dem Ihr Netzwerk in regelmäßigen Abständen auf neue Server un-
tersucht wird. Dazu klicken Sie auf die Schaltfläche Automatically find servers und
füllen das nachfolgende Formular aus, in dem Sie beispielsweise das Netzwerk
vorgeben, in dem gesucht werden soll.

www.brain-media.de
Modulkonfiguration 87

2.7 Modulkonfiguration
Auch das Modul Webmin-Server besitzt wieder eine eigene Modulkonfiguration. In
der legen Sie beispielsweise fest, ob die Adressen aufgelöst werden, in welcher
Form die Server angezeigt werden (als Icons oder Tabelle) und in welcher Sortie-
rung die Server aufgeführt werden (IP-Adresse, erstellte Reihenfolge etc.). Sie
können außerdem den Standard-Server-Typ und den Standard-RPC-Modus be-
stimmen.
Damit haben Sie alle Webmin-spezifischen Funktionen kennengelernt. Sie wissen,
wie Sie den Server an Ihre Bedürfnisse anpassen, Benutzer verwalten und wie Sie
die Ereignisanzeige nutzen können. Damit sind Sie bestens gerüstet, um sich den
Systemeinstellungen zu widmen.

Webmin kompakt
88 Webmin-Module

www.brain-media.de
89

3 Benutzer und Gruppen

Die Kategorie System ist so etwas wie die Systemsteuerung Ihres Linux-Systems.
Hier steht Ihnen eine Vielzahl an Funktionen für die Konfiguration Ihrer Linux-
Installation zur Verfügung. Sie reichen von der Benutzerverwaltung über die Back-
up-Funktionen, die PAM-Authentifizierung, die verschiedenen Sicherheitsdienste
und System-Protokolldateien. Sie sehen: Eine ganze Menge, meist sicherheitsrele-
vante Funktionen für die Anpassung des Systems.

Die System-Einstellungen im Überblick.

In der Systemkategorie von Webmin 1.3x finden Sie zwanzig verschiedene Ein-
stellungen, die es zu erforschen und zu nutzen gilt.

Webmin kompakt
90 Benutzer und Gruppen

3.1 Benutzerverwaltung
Benutzer sind in der Regel Anwender, die sich per Benutzername und Passwort auf
einem System anmelden und auf bzw. mit diesem arbeiten. Benutzer können darü-
ber hinaus weitere Eigenschaften besitzen, beispielsweise einen realen Namen,
eine Gruppenzugehörigkeit oder auch ein „Verfallsdatum“.
Als Linux-Anwender wissen Sie vermutlich, dass Ihr System über einige Standard-
Accounts wie admin, mail, ftp etc. verfügt. Sicherlich kennen Sie auch den Benut-
zer root mit seinen umfassenden Rechten. Vermutlich ist auch die Gruppenverwal-
tung nichts Neues für Sie.
Die Benutzer- und Gruppeneinstellungen werden in der Regel im Verzeichnis /etc
abgelegt. Konkret in /etc/passwd und /etc/shadow. Die Gruppeneinstellungen in
der Datei /etc/group. Das Webmin-Modul Benutzer und Gruppen dient dem Editie-
ren dieser Dateien.

Die typische Benutzerliste.

www.brain-media.de
Benutzerverwaltung 91

Problematisch wird die Sache allerdings, wenn Sie Ihre Benutzer und Gruppen mit
NIS oder LDAP verwalten. In diesem Fall ist das Modul leider nicht zu gebrau-
chen.
Mit dem Benutzer- und Gruppen-Modul können Sie alle relevanten Aktionen bei
der Benutzerverwaltung durchführen. Sie können neue Benutzer und Gruppen
anlegen, bestehende bearbeiten und löschen. Wenn Sie auf das Modul zugreifen,
listet es alle bestehenden Benutzer und Gruppen auf. Für jeden Eintrag können Sie
verschiedene Einstellungen bearbeiten:
1. Benutzerdetails
2. Kennworteinstellungen
3. Gruppenzugehörigkeit
4. Speichern-Einstellungen

Das Erstellen eines neuen Benutzers ist recht einfach. Führen Sie dazu einfach
folgende Befehle aus:
1. Klicken Sie zunächst auf den Verweis Neuen Benutzer erstellen. In dem
zugehörigen Formular stehen im Wesentlichen die gleichen Funktionen
wie beim Editieren eines Beitrags zur Verfügung.
2. Unter Benutzerdetails bestimmen Sie den Benutzernamen, gegebenenfalls
den tatsächlichen Namen (das empfiehlt sich, um Benutzer und realen
Anwender besser zuordnen zu können).
3. Dann legen Sie fest, welche Shell dem Benutzer zur Verfügung stehen
soll. Standardmäßig ist das /bin/sh. Über das Textfeld Andere können Sie
einen alternativen Pfad angeben.
4. Damit Linux die Benutzer klar voneinander unterscheiden kann, benöti-
gen diese eindeutige Bezeichner. Hier haben Sie die Wahl, ob die User-
ID, kurz UID automatisch bzw. errechnet werden soll oder ob Sie eine ei-
gene Angabe verwenden wollen. Im Fall der automatischen Zuweisung
wird dem Benutzer eine ID zugewiesen, die auf den bestehenden basiert.
Wenn Sie sich für die Option Errechnet entscheiden, wird die ID mittels
eines Prüfsummenalgorithmus errechnet.
5. Beachten Sie Folgendes: Root besitzt immer die UID Null. Wenn Sie ei-
nem anderen Benutzer ebenfalls die Null zuweisen, erhält er die gleichen
Rechte wie Root.

Webmin kompakt
92 Benutzer und Gruppen

Ein neuer Benutzer wird angelegt.

6. Es folgen mit der Kennwort-Konfiguration die letzten Benutzerdetails. Sie


haben die Wahl zwischen folgenden Optionen:
· Kein Kennwort benötigt: In diesem Fall kann sich der Benutzer ohne
Angabe eines Passworts einloggen. Diese Option sollten Sie höchs-
tens zu Testzwecken verwenden.
· Keine Anmeldung erlaubt: Mit diesem Schalter ist der Account ge-
sperrt und der Benutzer kann sich nicht einloggen.
· Klartextkennwort: Mit diesem Textfeld hinterlegen Sie das Passwort
im Klartext, also unverschlüsselt.
· Vorverschlüsseltes Kennwort: Hier geben Sie ein bereits verschlüs-
seltes Passwort ein, wie Sie es in der Datei /etc/shadow finden.

In der Regel verwendet man die Option Klartextkennwort. Das genügt


meist. Unabhängig von der Passwortvariante können Sie einen Account
mit dem Schalter Login temporarily disabled deaktivieren, beispielsweise
um Wartungsarbeiten durchzuführen.
7. Es folgen die Kennworteinstellungen. Hier legen Sie zunächst fest, wann
das Kennwort das letzte Mal durch Webmin oder durch das passwd-

www.brain-media.de
Benutzerverwaltung 93

Programm geändert wurde. Sie können unter Ablaufdatum einen Zeit-


punkt festlegen, an dem das Passwort nicht mehr gültig ist. Der Einsatz
dieser Funktion ist beispielsweise bei temporären Accounts für Praktikan-
ten oder externe Kräfte sinnvoll.
8. Die weiteren Kennworteinstellungen sprechen für sich: Mit Minimale und
Maximale Anzahl an Tagen bestimmen Sie den Zeitraum, nach dem das
Passwort geändert werden muss. Sie sollten den Anwender außerdem vor
Ablauf des Passwortes warnen. Mit der Einstellung Inaktive Tage legen
fest, wie viele Tage nach Ablauf des Werts Maximale Tage vergehen, bis
der Account deaktiviert wird. Wenn Sie das Feld Inaktive Tage frei las-
sen, läuft der Account nie ab.
9. Dann sind die Einstellungen für die Gruppenzugehörigkeiten dran, wo-
durch Sie die primäre und gegebenenfalls die sekundäre Gruppe des neu-
en Linux-Anwenders bestimmen. Der neue Benutzer wird standardmäßig
der Gruppe users hinzugefügt. Sie können aber auch mit dem Textfeld
Neue Gruppe eine neue festlegen.
10. Es folgen die Beim-Erstellen-Einstellungen. Standardmäßig wird für den
neuen Benutzer mit Erstelle Stammverzeichnis ein Home-Verzeichnis er-
zeugt.
11. Wenn Sie die Option Kopiere Dateien zu Stammverzeichnis wählen, so
werden in dessen Home-Verzeichnis beispielsweise Dateien wie .profile
oder Desktop erzeugt.
12. Soll der Benutzer auch andere Module nutzen können, so setzen Sie die
letzte Option Benutzer in anderen Modulen anlegen auf Ja.
13. Sie speichern Einstellungen mit einem Klick auf Erstellen. Sie landen au-
tomatisch in der Benutzerübersicht, in der Sie nun auch den neuen Eintrag
finden.

Das Editieren eines Benutzers ist wieder sehr einfach: Klicken Sie auf den ge-
wünschten Benutzereintrag und bearbeiten Sie die Einstellungen entsprechend
Ihren Wünschen.
Ebenso einfach ist das Löschen. Markieren Sie nicht mehr benötigte Benutzer und
klicken Sie am Ende der Benutzerliste auf die Schaltfläche Lösche ausgewählte
Benutzer.

Webmin kompakt
94 Benutzer und Gruppen

3.2 Gruppe erstellen


Unterhalb der Benutzerliste finden Sie die Gruppenverwaltung. Um eine neue
Gruppe zu erzeugen, gehen Sie wie folgt vor:
1. Folgen Sie dem Link Neue Gruppe erstellen.
2. Im Dialog Gruppe anlegen weisen Sie der Gruppe eine Bezeichnung zu.
3. Auch hier kann die Gruppen-ID-Vergabe automatisch oder manuell erfol-
gen.
4. Als Nächstes können Sie drei Kennworteinstellungen definieren (kein
Kennwort, vorverschlüsseltes Kennwort, Klartextkennwort).
5. Über das Auswahlmenü Mitglieder weisen Sie der neuen Gruppe bereits
bei ihrer Entstehung die ersten Mitglieder zu.

Eine neue Benutzergruppe entsteht mithilfe von Webmin.

Der Dialog für das Erstellen bietet eine letzte Einstellung, die Sie bereits von der
Benutzerverwaltung kennen: Sie können die Gruppe in allen Modulen einrichten.
Mit einem abschließenden Klick auf Erstellen ist die erste Gruppe erzeugt. In der
Gruppenliste können Sie die Einträge ebenfalls wieder löschen und editieren.

www.brain-media.de
Log-ins abrufen 95

3.3 Log-ins abrufen


Über die Benutzer- und Gruppenverwaltung können Sie weitere nützliche Aktio-
nen durchführen. Am Fuße der Seite finden Sie die Schaltfläche Angemeldete Be-
nutzer. Ein Klick auf sie zeigt die aktuell eingeloggten Linux-Benutzer. Mit einem
weiteren Klick auf den Benutzernamen rufen Sie Details zum An- und Abmelde-
zeitpunkt ab.
Wenn Sie sich für die Anmeldungen eines bestimmten Benutzers interessieren, so
wählen Sie am Formularende über den Auswahldialog einen Benutzer aus und
rufen mit einem Klick auf Zeige Anmeldungen für dessen Login-Vorgänge an.

Dank Webmin können Sie auch Benutzer von Batch-Dateien erstellen.

Ein weiteres Highlight: das Erstellen von Benutzern im Batchmodus. Folgen Sie
dazu dem Link Benutzerverwaltung über Skript. Auf der zugehörigen Seite können
Sie mehrere Benutzer auf einmal durch ein Skript anlegen, ändern oder löschen.
Die Skriptdatei ist eine ASCII-basierte Datei, wobei jede Zeile in dieser Datei eine
durchzuführende Aktion spezifiziert. Die möglichen Formate sind:
create:
username:passwd:uid:gid:realname:homedir:shell:min:max:warn:i
nactive:expire

Webmin kompakt
96 Benutzer und Gruppen

modify:
oldusername:username:passwd:uid:gid:realname:homedir:shell:mi
n:max:warn:inactive:expire

delete: username

Diese bedürfen natürlich der Erläuterung:


· Mit den create-Zeilen weist Webmin automatisch eine User-ID zu, falls
das UID-Feld nicht ausgefüllt wird. Ist das GID-Feld leer, erzeugt
Webmin eine neue Gruppe mit dem gleichen Namen wie der angegebene
Benutzer.
· Die Felder username, homedir und shell müssen immer ausgefüllt wer-
den, alle anderen Angaben sind optional. Wenn Sie das passwd-Feld nicht
ausfüllen, wird dem Benutzer kein Passwort zugewiesen. Wenn Sie in
diesem Feld nur ein x eintragen, wird das entsprechende Benutzerkonto
gesperrt. Ansonsten wird der Inhalt dieses Feldes als Klartextpasswort in-
terpretiert und verschlüsselt.
· In den modify-Zeilen bedeutet ein leerer Eintrag, dass das entsprechende
Benutzerattribut nicht verändert werden soll.

Schauen wir uns noch ein Beispiel an, das zeigt, wie man diese Funktionen nutzt:
create: holger:geheim:1001::Holger
Reibold:/home/holger:/bin/bash::::::

In diesem Beispiel wird der Benutzer holger mit dem Passwort geheim, der ID
1001 und dem Realnamen Holger Reibold erstellt. Alle Eigenschaften wie Ablauf-
datum (expire) etc., die Sie nicht verwenden, bleiben einfach leer. Daher auch
mehrere Doppelpunkte am Ende der Beispielzeile.
Für die Ausführung des Skripts gibt es mehrere Möglichkeiten: Sie können es auf
den Server uploaden, es von einer Datei auf dem Server ausführen oder aber den
Code in das dafür vorgesehene Textfeld eingeben. Die Ausführung des Skripts
starten Sie mit einem Klick auf die Schaltfläche Skript ausführen.
Die weiteren Optionen für die Ausführung einer Batch-Datei:

www.brain-media.de
Log-ins abrufen 97

· Benutzer in anderen Modulen bearbeiten? Diese Option kennen Sie


bereits von anderen Modulen und Webmin-Funktionen. Hier legen Sie
fest, ob der oder die neuen Benutzer auch für andere Webmin-Module
eingetragen werden.
· Nur aktualisieren, wenn Stapelverarbeitungsdatei komplett ist? Diese
Option ist standardmäßig auf Nein gesetzt. Die Benutzerverwaltung wird
auch dann aktualisiert, wenn die Batch-Datei Lücken aufweist.
· Erstelle Stammverzeichnis? Mit der Option Ja wird standardmäßig auch
ein Home-Verzeichnis für den bzw. die neuen Benutzer erzeugt.
· Kopiere Dateien zu Stammverzeichnis? Hier legen Sie fest, ob die Da-
teien ins Stammverzeichnis kopiert werden sollen.
· Stammverzeichnis von geänderten Benutzern umbenennen? Mit der
Batchdatei können Sie auch bestehende Benutzereinstellungen ändern.
Falls Sie das tun, wird deren Home-Verzeichnis umbenannt.
· User-ID von Dateien geänderter Benutzer anpassen? Mit der Option
Ja wird die UID entsprechend den Einstellungen der Batch-Datei aktuali-
siert.
· Gruppen-ID von Dateien geänderter Benutzer anpassen? Gleiches ist
mit der Gruppen-ID möglich.
· Stammverzeichnis gelöschter Benutzer löschen? Mit der Batchdatei ist
auch das Löschen von Benutzern möglich. Standardmäßig werden beim
Löschen von Benutzern auch deren Stammverzeichnisse vom System ent-
fernt.
· Passwörter sind bereits verschlüsselt? Wenn Sie bereits verschlüsselte
Passwörter in der Batchdatei verwenden, so müssen Sie diesen Schalter
auf Ja setzen.

Die Optionen, die bei den Befehlen create, modify und delete verfügbar sind, ken-
nen Sie von der Erstellung von Benutzern über das Formular Neuen Benutzer anle-
gen. Sie müssen daher nicht weiter beschrieben werden. Für Details sei auf obige
Beschreibungen verwiesen. Wichtig ist lediglich die Zuordnung zu den jeweiligen
Feldbezeichnungen:
username: Benutzername
passwd: Passwort
uid: Benutzer-ID

Webmin kompakt
98 Benutzer und Gruppen

gid: Gruppen-ID
realname: vollständiger Name
homedir: Home-Verzeichnis
shell: Shell
min: minimale Anzahl von Tagen
max: maximale Anzahl von Tagen
warn: Warnung nach Tagen
inactive: inaktive Tage
expire: Ablaufdatum

Lediglich für den Parameter oldusername gibt es kein Feld, da Sie einen Namen
direkt im Benutzerformular ändern können.

Der Export der Benutzerdaten in eine Webmin-Batchdatei.

3.4 Stapelverarbeitungsdatei exportieren


Damit Sie Benutzerdaten auf anderen Systemen schnell wieder verfügbar haben,
können Sie die Benutzerdaten in einer Stapelverarbeitungsdatei exportieren und
diese dann auf einem Zweit- und/oder Drittrechner importieren. Das zugehörige
Formular erreichen Sie über den Link Stapelverarbeitungsdatei exportieren der
Benutzerverwaltung.

www.brain-media.de
Stapelverarbeitungsdatei exportieren 99

Sie können mit dem Formular eine Stapelverarbeitungsdatei erzeugen, die einige
oder alle verfügbaren Benutzer Ihres Systems beinhaltet. Welche Daten exakt in
der Exportdatei vorhanden sind, bestimmen Sie mit den verschiedenen Schaltern.
Sie können beispielsweise Benutzer ausschließen, lediglich Benutzer einer Gruppe
oder einen User-ID-Bereich bestimmen.
Zunächst bestimmen Sie, ob der Export in eine Datei geschrieben oder im Browser
geöffnet werden soll. Über das Auswahlmenü Stapelverarbeitungsdateiformat
haben Sie die Wahl zwischen folgenden Optionen:
· Nur klassische passwd-Datei
· BSD-master.passwd-Datei
· Standard-passwd- und shadow-Datei
· Unixware passwd-Datei
· AIX-passwd- und security-Datei
· OpenServer-passwd- und kurze shadow-Datei
· MacOXS-NetInfo-Datei

Wenn Sie mit einem gängigen Linux-System wie SuSE Linux, Fedora oder Debian
arbeiten, sollten Sie die Option Standard-passwd und shadow-Datei wählen, damit
alle relevanten Benutzerdaten exportiert und gesichert bzw. auf einem zweiten
System aufgespielt werden können.
Ein typischer Export sieht wie folgt aus:
cre-
ate:root:$2a$05$Dx19m/6Z.Wn8VjerT7O5TOmHiaJtyMVpR5YB1ct5x6eCL
dF9669V2:0:0:root:/root:/bin/bash:::::
create:bin:*:1:1:bin:/bin:/bin/bash:::::
create:daemon:*:2:2:Daemon:/sbin:/bin/bash:::::
create:lp:*:4:7:Printing daemon:/var/spool/lpd:/bin/bash:::::
create:mail:*:8:12:Mailer dae-
mon:/var/spool/clientmqueue:/bin/false:::::
create:games:*:12:100:Games account:/var/games:/bin/bash:::::
create:wwwrun:*:30:8:WWW daemon
apache:/var/lib/wwwrun:/bin/false:::::
create:ftp:*:40:49:FTP account:/srv/ftp:/bin/bash:::::

Webmin kompakt
100 Benutzer und Gruppen

Die Modulkonfiguration für die Benutzer- und Gruppenverwaltung.

3.5 Modulkonfiguration
Sehr umfangreich fällt die Modulkonfiguration für das Modul Benutzer und Grup-
pen aus. Damit lassen sich neben einer Fülle an Standardvorgaben weitere nützli-
che Funktionen realisieren.
Mit zu den interessantesten Funktionen zählen die des Bereichs Durchzuführende
Kommandos vor und nach Änderungen. Über die Textfelder Vor Änderungen
durchführen und Nach Änderungen durchführen legen Sie fest, welche Aktionen
vor bzw. nach der Änderung der Benutzereinstellung über das Webmin-Formular
ausgeführt werden. Dazu stellt Ihnen Webmin eine Fülle an Funktionen zur Verfü-
gung.
Was kann man nun mit diesen Kommandos in der Praxis Sinnvolles anstellen? Sie
könnten beispielsweise eine E-Mail an einen bestimmten Account verschicken,
dass ein neuer Account erzeugt wurde. Dazu würden Sie beispielsweise folgende
Anweisung verwenden:

www.brain-media.de
Modulkonfiguration 101

[ “$USERADMIN_ACTION“ = „CREATE_USER“ ] && echo “Fügt Benut-


zer $USERADMIN_USER ($USERADMIN_RAL)“ | mail –s “Neuer Benut-
zer hinzugefügt“ admin@server.de

Genauso gut könnten Sie Daten in eine Datei schreiben oder ein Fax starten. Ihrer
Kreativität sind keine Grenzen gesetzt – außer Ihren Perl-Kenntnissen, denn die
Programmierung muss in Perl erfolgen. Nachstehende Tabelle fasst die Umge-
bungsvariablen zusammen, die in diesen beiden Feldern zum Einsatz kommen:
Umgebungs- Beschreibung
variable
USERADMIN_ACT Mit dieser Variablen bestimmen Sie, welche Aktionen
ION durchgeführt werden. Mögliche Werte sind:
CREATE_USER
MODIFY_USER
DELETE_USER
CREATE_GROUP
MODIFY_ GROUP
DELETE_ GROUP
USERADMIN_USE Bestimmt den Benutzernamen, der erzeugt, verändert
R oder gelöscht wird. Es wird nicht verwendet, wenn Grup-
pen-spezifische Aktionen durchgeführt werden.
USERADMIN_UID Bestimmt die Benutzer-ID des Users, der erzeugt, ge-
löscht oder bearbeitet wird.
USERADMIN_GID Gibt die Gruppen-ID des Benutzers an, der bearbeitet
oder gelöscht wird.
USERADMIN_REA Bestimmt den vollständigen Namen des Users, der er-
L zeugt, gelöscht oder bearbeitet wird.
USERADMIN_SHE Bestimmt die Shell des Users, der erzeugt, gelöscht oder
LL bearbeitet wird.
USERADMIN_HO Bestimmt das -ID des Users, der erzeugt, gelöscht oder
ME bearbeitet wird.
USERADMIN_PAS Gibt das Passwort des Benutzers in Plaintext an, wenn
S eines verwendet wird.
USERADMIN_SEC Hier wird eine Komma-separierte Liste weiterer Gruppen
ONDARY hinterlegt, der der Benutzer ebenfalls angehört.

Webmin kompakt
102 Benutzer und Gruppen

Umgebungs- Beschreibung
variable
USERADMIN_GR Gibt den Namen der Gruppe an, der hinzugefügt, gelöscht
OUP oder editiert wird. Bei benutzerspezfischen Aktionen
kommt diese Variable natürlich nicht zum Einsatz.

Die Funktionen für das Ausführen von Kommandos vor bzw. nach dem Ändern
von Benutzer- bzw. Gruppeneinstellungen sind etwas für Fortgeschrittene und
Profis, die sich dort nach Herzenslust austoben können.
Es folgen die Home-Verzeichnis-Optionen, mit denen Sie eine Handvoll allgemei-
ner Eigenschaften für das Heimatverzeichnis der Benutzer definieren. Die Einstel-
lungen im Einzelnen:
· Berechtigungen für neue Home-Verzeichnisse (oktal anzugeben): Hier
bestimmen Sie die Linux-Berechtigung für neue Heimatverzeichnisse im
Oktal-Format. Der Standardwert lautet 0755.
· Kopiere Dateien in neue Home-Verzeichnisse aus: Hier legen Sie fest,
welche Dateien standardmäßig in das Home-Verzeichnis kopiert werden
sollen. Die Standardkonfiguration sieht das Verzeichnis /etc/skel vor. In
diesem Linux-Systemverzeichnis finden Sie beispielsweise Dateien wie
.profiles, die dann auch den neuen Benutzern zur Verfügung stehen.
· "Root-Verzeichnis" für Home-Verzeichnisse: Hier legen Sie den Pfad
zum Home-Verzeichnis eines neuen Benutzers fest. Dieser lautet stan-
dardmäßig /home und muss in der Regel nicht angepasst werden.
· Einrichtungsart für Home-Verzeichnisse: Über dieses Auswahlmenü
legen Sie fest, nach welchem Schema die Home-Verzeichnisse erstellt
werden. Standard ist /home/benutzername. Sie können aber auch andere
Schemata nutzen, beispielsweise /home/primäre_gruppe/benutzername.

Es folgen die Optionen für neue Benutzer. Hier legen Sie beispielsweise fest, nach
welchen Verfahren die Benutzer- oder Gruppen-ID bei der automatischen ID-
Vergabe erstellt werden oder ob Benutzer- und Gruppennamen eine maximale
Länge aufweisen sollen. Die Einstellungen im Einzelnen:
· Niedrigste User-ID für neue Benutzer: Wenn Sie mit Webmin einen
neuen Benutzer einführen, so wird diesem eine ID zugewiesen, die höher
als der hier angegebene Wert ist. Webmin gibt als Wert 1000 vor. Sie
können aber natürlich auch bei 500 beginnen – eben so, wie es Ihnen am
besten passt.
www.brain-media.de
Modulkonfiguration 103

· Niedrigste Gruppen-ID für neue Benutzer: Entsprechend können Sie


auch die niedrigste Gruppen-ID definieren.
· User-ID-, Gruppen-ID-Eingabemethode: Hier legen Sie fest, nach wel-
chem Verfahren die IDs eingegeben werden.
· User-ID-, Gruppen-ID-Errechnungsmethode: Für die automatische Be-
rechnung der ID legen Sie hier das Verfahren fest.
· Eine Gruppe für neue Benutzer anlegen? Wenn Sie diese Option auf Ja
setzen, wird mit jedem neuen Benutzer auch eine neue Gruppe erzeugt.
Das macht in der Regel wenig Sinn. Behalten Sie daher die Vorgabe Nein
bei.
· Gleiche ID für Benutzer und Gruppe? Manche Administratoren mögen
es, wenn man neuen Benutzern und neuen Gruppen die gleiche ID zu-
weist. Wenn Sie das ebenfalls mögen, setzen Sie diese Option auf Ja. Ei-
nen echten Sinn hat die Funktion nicht.
· Passwortverschlüsselungsmethode: Hier legen Sie fest, mit welchem
Verschlüsselungsverfahren das Passwort gesichert werden soll. Mit MD5
oder Automatisch sind Sie gut bedient.
· Überprüfe auf vorhandene Sendmail-Aliase? Wenn Sie diesen Schalter
auf Ja setzen, so prüft Webmin die lokale Sendmail-Installation, ob ein
Sendmail-Alias mit der gleichen Bezeichnung existiert. Das macht bei
Sendmail-Installationen Sinn, um zu verhindern, dass es Zustellprobleme
gibt.
· Nur Dateien löschen, die dem Benutzer gehören? Wenn Sie diesen
Schalter auf Ja setzen, so werden beim Löschen des Benutzers auch nur
die Dateien entfernt, die dem zu löschenden Benutzer gehören. Lagern in
dessen Home-Verzeichnis Dateien anderer Benutzer, so bleibt das Home-
Verzeichnis samt diesen Dateien erhalten.
· Maximale Länge von Benutzer- und Gruppennamen: Die Länge der
Benutzer- und Gruppennamen ist standardmäßig unbegrenzt lang. Sie
sollten Sie aber durch einen Wert von 50 oder 100 beschränken.
· Perl "RegExp" für die Überprüfung von Benutzernamen: Sie können
für die Überprüfung von Benutzernamen auch Perl-basierte reguläre Aus-
drücke nutzen. In der Regel ist das nicht erforderlich.
· Build list of shells from: Hier legen Sie fest, auf welchen Informationen
die Shell-Liste basiert. Sie können auf drei Quellen zurückgreifen: Inte-
grierte Liste, bestehende Benutzer und die Datei /etc/shells.

Webmin kompakt
104 Benutzer und Gruppen

· Show secondary groups on user form? Standardmäßig ist auch die An-
sicht sekundärer Benutzergruppen in der Benutzerverwaltung aktiviert.
Dies können Sie mit No ändern.

Neben den Optionen für neue Benutzer kennt Webmin noch den Standard für neue
User. Hier legen Sie insbesondere folgende Einstellungen fest, die bereits oben
beschrieben wurden (sie sollen daher hier nicht noch einmal wiederholt werden):
· Primäre Gruppe für neue Benutzer
· Sekundäre Gruppen für neue Benutzer
· Shell für neue Benutzer
· Minimale Tage für neue Benutzer
· Maximale Tage für neue Benutzer
· Passwort-Warnung für neue Benutzer
· Inaktive Tage für neue Benutzer
· Default expiry date for new users
· Create and update in other modules

Für die Gestaltung der Benutzerkonfiguration sind hingegen die Anzeigeoptionen


interessant. Damit können Sie verschiedenste Anpassungen der Benutzerverwal-
tung vornehmen. Konkret die Folgenden:
· Maximale Anzeigeanzahl von Benutzer und Gruppen: Hier legen Sie
die maximale Anzahl an Benutzern fest, die über Web-Schnittstelle ange-
zeigt werden. In einem kleinen bis mittleren Netzwerk kommen Sie mit
dem Standardwert 400 sicherlich aus.
· Sortiere Benutzer und Gruppen nach: Die Modulkonfiguration erlaubt
zudem die Anpassung der Sortierung. Standardmäßig werden sie nach der
Anordnung in den Benutzer- bzw. Gruppendateien aufgeführt. Dort wer-
den sie in der Reihenfolge ihrer Entstehung aufgeführt. Wenn Ihnen das
zu unübersichtlich ist (und das ist es in der Regel), passen Sie die Anord-
nung an. Sie können folgende Sortierung verwenden:
o Benutzername
o Realname

www.brain-media.de
Modulkonfiguration 105

o Familienname
o Shell
o UID oder GID
o Verzeichnis
Für welche Reihenfolge Sie sich entscheiden, ist natürlich in erster Linie
von Ihren Vorlieben abhängig. Die Sortierung nach der ID ist in jedem
Fall eine übersichtlichere als die nach dem Entstehungszeitpunkt.

Ein Blick auf die Anzeige- und Passworteinstellungen.

· Anzahl der vorangegangenen Anmeldungen, die angezeigt werden:


Beim Abruf der Anmeldungen wird Ihnen je nach Systemnutzung eine
mehr oder minder lange Liste ausgegeben. Über dieses Feld können Sie
die Anzahl der vorangegangenen Anmeldungen bestimmen. Wenn Ihr
System intensiv von Ihren Anwendern genutzt wird, sollten Sie die An-
zahl auf einen praktikablen Wert von 100 setzen.

Webmin kompakt
106 Benutzer und Gruppen

· Show last login in user list? Sie können in der Benutzerverwaltung im-
mer auch den letzten Log-in-Vorgang eines Benutzers anzeigen. Wenn
Sie das wollen, setzen Sie diese Option auf Yes.
· Benutzer und Gruppen anzeigen: Die Benutzer und Gruppen werden
standardmäßig in einer Tabelle aufgeführt, wobei ein Benutzer bzw. eine
Gruppe samt Eigenschaften in einer Zeile gelistet wird. Sie können die
Ansicht auch komprimieren, indem Sie von der Standardeinstellung Alle
Details zu Nur den Namen wechseln. Mit der Option Kategorisiert nach
Primärer Gruppe werden die Benutzer nach deren primärer Gruppe sor-
tiert aufgeführt.
· Plain-Text-Passworte verbergen? Wenn Sie diese Einstellung auf Ja
setzen, werden die Plaintext-Passwörter nur noch als Sternchen darge-
stellt. Aktivieren Sie diese Option, wenn Sie befürchten, dass Ihnen An-
wender über die Schulter schauen, um die Kennwörter Dritter auszuspio-
nieren.
· Ermittele Benutzer- und Gruppeninfo anhand von: Das Benutzermo-
dul liest zwar relevante Benutzerdateien des Systems ein, um Benutzer-
und Gruppeninformationen aufzunehmen, doch kann es immer wieder zu
Problemen bei der Benutzeridentifizierung kommen, die beispielsweise
von Systemen wie NIS stammen. Sollten Sie ein solches Verhalten regist-
rieren, so setzen Sie diese Option von der Standardkonfiguration System-
aufrufen auf Dateien.
· Passworte für neue Benutzer generieren? Wenn Sie diese Option auf Ja
setzen, erzeugt Webmin automatisch ein Passwort für neue Benutzer. Ob
Sie die Passwortgenerierung Webmin überlassen oder ob Sie das Passwort
selbst setzen, bleibt natürlich Ihnen überlassen.
· Büro- und Telefondaten anzeigen? Sie können die Benutzerdaten, spe-
ziell das Feld Vollständiger Name, um weitere Informationen wie die Te-
lefonnummer etc. erweitern. Wenn Sie das wollen, setzen Sie diese Opti-
on auf Ja. In diesem Fall stehen Ihnen drei weitere Felder zur Verfügung:
o Büro
o Telefon (Arbeit)
o Telefon (privat)

· Erlaube das Löschen von Systembenutzern- und Gruppen? Dieser


Schalter steht standardmäßig auf Nein, damit die neuen Benutzer nicht

www.brain-media.de
Modulkonfiguration 107

wichtige Systembenutzer- und Gruppen löschen können. Dabei sollte es


auch bleiben.

Es folgen eine Handvoll Passwort-Einstellungen:


· Minimale Passwortlänge: Hier legen Sie fest, ob das Passwort eine ma-
ximale Länge besitzen soll. Es empfiehlt sich, die Länge auf einen prakti-
kablen Wert von 10 oder 20 Zeichen zu setzen. Mehr ist in der Regel
nicht erforderlich.
· Wörterbuchpassworte verhindern (wenn möglich)? Auch diese Option
sollten Sie aktivieren, damit nicht „normale“ Wörter als Passwort ver-
wendet werden, die einfach von einem Passwort-Cracker geknackt wer-
den. Wenn Sie die Option aktiviert haben, und dennoch einen Begriff
verwenden, den Webmin kennt, gibt das Adminwerkzeug folgende Feh-
lermeldung beim Erstellen eines neuen Benutzers aus:
Fehler beim Speichern des Benutzers: Dieses Passwort
wurde im Wörterbuch gefunden und wird abgewiesen.

· Folgende "Regular Expression (Perl)" benutzen, um Passworte zu


prüfen: Hier können Sie einen regulären Ausdruck angeben, den das
Passwort erfüllen muss, damit es von Webmin akzeptiert wird. Mit dieser
Funktion können Sie beispielsweise die Verwendung von Sonderzeichen
im Passwort erzwingen.

Webmin kompakt
108 Benutzer und Gruppen

Den Abschluss der Modulkonfiguration bildet die Systemkonfiguration.

· Passworte, die den Benutzernamen beinhalten, verhindern? Auch die-


sen Schalter sollten Sie auf Ja setzen, damit der Benutzername nicht im
Passwort enthalten sein darf.
· External password-checking program: Schließlich können Sie einen
externen Passwort-Checker einbinden. Wenn Sie das wollen, geben Sie
hier den Pfad zu dem Programm an.

3.6 Systemkonfiguration
Den Abschluss der Benutzer-und-Gruppen-Modulkonfiguration bildet die System-
konfiguration. Hier legen Sie insbesondere die Pfade zu den relevanten Benutzer-
und Passwort-Dateien fest. Die Einstellungen im Einzelnen:
· Passwort-Datei: Hier geben Sie den Pfad zur Passwortdatei an. Der Stan-
dardwert lautet /etc/passwd.
· Gruppen-Datei: Entsprechend geben Sie hier die Gruppendatei an. Bei
einem Standard-Linux-System ist das /etc/group.
· Shadow-Passwort-Datei: Hier den Pfad zur Shadow-Datei, in dem die
Passwörter hinterlegt sind. Meist /etc/shadow.
· BSD-Master-Passwort-Datei: Wenn Sie mit BSD arbeiten, bestimmen
Sie hier den Pfad zu den Master-Passwort-Dateien.
www.brain-media.de
Systemkonfiguration 109

· Shadow-Gruppen-Datei: Hier den zur Gruppen-Shadow-Datei.


· NetInfo Domain, die administriert werden soll: In diesem Feld können
Sie den Pfad zur NetInfo-Datei anpassen.
· Replace password for locked accounts with: Hier geben Sie die Erset-
zung des Passworts gesperrter Accounts an.
· Prepend to password for temporarily disabled accounts: Hier legen
Sie fest, was temporär deaktivierten Accounts vorangestellt wird.
· Command to restart nscd: In diesem Feld bestimmen Sie den Befehl für
den Neustart von nscd. Der Standardeintrag lautet /etc/rc.d/nscd restart.
Nscd (Name Service Cache Daemon) ist ein Prozess, der einen Cache für
verschiedene übliche Namensanfragen bereithält.

Webmin kompakt
110 Benutzer und Gruppen

www.brain-media.de
111

4 Boot-Konfiguration

Bei jedem Systemstart lädt der Rechner zunächst das BIOS, das dann verschiedene
Speicher- und Hardware-Prüfungen durchführt, bis dann eine bestimmter Soft-
ware-Block in den sogenannten Master-Boot-Record (MBR) geladen wird. Der
MBR enthält eine Partitionstabelle, die die Aufteilung des Datenträgers beschreibt,
und einen Boot-Manager, ein Programm, das ein Betriebssystem auf einer der
Partitionen startet. Es gibt heute eine Vielzahl von Boot-Managern. Unter Linux
kommen in der Regel LILO und GRUB zum Einsatz. Prinzipiell machen sie alle
das Gleiche.

Die Boot-Konfiguration.

Webmin kompakt
112 Boot-Konfiguration

4.1 Grundlegendes über den Boot-Vorgang


Nachdem der Linux-Kernel geladen ist, mountet der Boot-Manager das Root-
Dateisystem und führt das init-Programm aus. Init ist für den weiteren Boot-
Prozess zuständig, liest dabei seine Konfiguration aus der Datei /etc/inittab und
führt dann die dort definierten Skripts aus, die meist mit rc beginnen.
Der Boot-Manager bzw. die inittab-Datei definiert außerdem sogenannte Runlevel.
Beim Systemstart durchläuft ein System mehrere abgestufte Systemzustände, die
man als Runlevel bezeichnet. Jedem Runlevel sind bestimmte System-Dienste
zugeordnet, die beim Booten als Prozesse in definierter Reihenfolge innerhalb des
Betriebssystems gestartet werden. So werden Systemressourcen des Computers
stufenweise in Betrieb genommen. Bei Beendigung des Betriebssystems
(Shutdown) werden die Runlevel in umgekehrter Reihenfolge durchlaufen, die
laufenden Prozesse werden stufenweise beendet, bis der Computer ausgeschaltet
werden kann.
Hier einige wichtige Runlevel für Linux. Unter anderen Betriebssystemen wie
beispielsweise Solaris sehen diese anders aus. Nachstehende Tabelle fasst die
Runlevel zusammen:
Runlevel Beschreibung
0 Shutdown. Dabei werden alle Netzverbindungen geschlossen, Datei-
puffer geschrieben und Partitionen umounted.
S Single-User-Runlevel. Dies ist der niedrigste Systemzustand für War-
tungsarbeiten, in dem ausschließlich Systemressourcen wie Festplat-
ten oder Dateisysteme aktiv sind.
1 Der Einzelnutzerbetrieb ohne Netzwerkunterstützung mit ausschließ-
lich lokalen Ressourcen.
2 Hier ist lokaler Mehrnutzerbetrieb ohne Netzwerkunterstützung mit
ausschließlich lokalen Ressourcen möglich. Allerdings gibt es Unter-
schiede zwischen den Linux-Distributionen. So wird bei Debian bei-
spielsweise in Runlevel 2 auch das Netzwerk konfiguriert.
3 Netzwerkbetrieb, über das Netzwerk erreichbare Ressourcen sind
nutzbar, eine grafische Oberfläche steht nicht zur Verfügung. Fire-
walls sollten aktiviert werden.
6 Reboot. Bei diesem Level werden alle Netzverbindungen geschlos-
sen, Dateipuffer geschrieben etc.

Mithilfe des Moduls Boot-Konfiguration können Sie verschiedene Einstellungen


bearbeiten.

www.brain-media.de
Grundlegendes über den Boot-Vorgang 113

Wenn Sie das erste Mal auf die Boot-Konfiguration zugreifen, so präsentiert Ihnen
Webmin eine umfangreiche Prozessliste samt ID, Status, Ausführungslevel
(Runlevel), Aktion und zugehörigem Prozess. Diese Liste präsentiert die Daten der
Initab-Datei.
Um einen Prozess zu bearbeiten, klicken Sie auf die Prozess-ID. Es öffnet sich der
Dialog Prozeßdetails, in dem Sie den Status, den Runlevel, die Aktion und den
Prozessnamen ändern können.

Das Bearbeiten eines Prozesses.

Die Vergabe der ID ist bereits erfolgt. Über Aktiviert können Sie den Prozess bei-
spielsweise deaktivieren und ihm unter Ausführungs-Level einen anderen Level
zuweisen. Am interessantesten sind die Optionen, die Sie über das Auswahlmenü
Aktionen zuweisen können. Hier ist eine Vielzahl von Einstellungen auswählbar:
· Neu starten
· Warten
· Einmal im Level
· Immer, wenn A, B, C
· Nach dem Systemstart
· Während des Systemstarts
· Beim Stromausfall
· Beim Stromausfall ohne Warten
· Stromversorgung ist wiederhergestellt

Webmin kompakt
114 Boot-Konfiguration

· Stromausfall
· Strg-Alt-Entf
· Spezielle Schlüsselkombination
· Beim Booten, warten bis Beendigung
· Beim Booten
· Nichts tun

Mit einem Klick auf Speichern übernehmen Sie die Einstellungen. Sie landen dann
wieder in der Init-Tabelle. In der Init-Konfiguration übernehmen Sie dann die
Änderungen durch einen abschließenden Klick auf Init-Konfiguration anwenden.
Diese führt den Befehl telinit q aus. Sie sollten sich allerdings bewusst sein, dass
Konfigurationsfehler das System unbrauchbar machen können.
Es gibt übrigens in der Webmin-Systemsteuerung ein zweites Modul, mit dem Sie
Start- und Stopp-Eigenschaften von Prozessen bestimmen. Dort ist auch das Bear-
beiten der Init-Skripts möglich.

4.2 Modulkonfiguration
Die Modulkonfiguration kennt lediglich zwei Anpassungen: Sie können den Pfad
zur inittab-Datei und zum telinit-Kommando anpassen. Da Webmin diese Daten
bei der Installation einliest, sind hier in der Regel keine Änderungen erforderlich.

www.brain-media.de
Modulkonfiguration 115

5 Dateisystem-Back-up

Unter Linux gibt es wie bei anderen Betriebssystemen verschiedene Möglichkei-


ten, um Daten zu sichern und wiederherzustellen. Sie können beispielsweise Daten
klonen oder mittels tar auf einem bestimmten Laufwerk sichern. Aber nur dump
kann auch wichtige Dateitypen wie symbolische Links und Eigenschaften wie
ACLs oder Dateiattribute sichern. Außerdem taugt dump fürs klassische Back-up
und Restore. Das Tool unterstützt auch inkrementelle Back-ups, bei denen nur die
seit der letzten Sicherung geänderten Dateien gesichert werden.

Die noch leere Sicherungsliste.

Allerdings unterliegen die Funktionalitäten von dump auch gewissen Einschrän-


kungen. So ist leider keine Komprimierung der zu sichernden Daten möglich. Dazu
muss man wieder zu tar greifen. Außerdem gibt es Probleme beim Wiederherstel-
len von Daten, die per NFS gemountet werden.
Um Daten auf Ihrem System zu sichern, klicken Sie auf das Modul Dateisystem-
Backup. Voranstehende Abbildung zeigt die einfache Schnittstelle, über die Sie die
noch zu erstellenden Sicherungen verwalten. Außerdem führen Sie hier die Wie-
derherstellung aus.
Um eine erste Sicherung zu erstellen, wählen Sie zunächst das zu sichernde Ver-
zeichnis aus und klicken dann auf die Schaltfläche Sicherung eines Verzeichnisses
hinzufügen. Es empfiehlt sich, die Daten mittels tar auf der Zielpartition zu packen.
Aktivieren Sie dazu die Option Im TAR-Format. Stellen Sie allerdings sicher, dass
tar auch installiert ist und der Anwender über die notwendigen Rechte verfügt.

Webmin kompakt
116 Dateisystem-Back-up

Die Eigenschaften der Sicherung.

In dem recht umfangreichen Formular für die Sicherungskonfiguration legen Sie


zunächst die sogenannten TAR-Dateisystemsicherungsdetails, dann die Back-up-
Optionen und schließlich die zeitliche Steuerung fest.
Unter TAR-Dateisystemsicherungsdetails finden Sie den zuvor ausgewählten Ord-
ner, den Sie sichern wollen. Wenn Sie weitere Dateien oder Verzeichnisse in den
Sicherungsvorgang einbinden wollen, so müssen Sie diese in je einer neuen Reihe
aufführen. Also beispielsweise wie folgt:
· /home
· /ordner1
· /ordner2

Mit Sichern nach bestimmen Sie, ob die Sicherung als Datei oder auf einem Band-
laufwerk (z. B. /dev/st0) gespeichert wird. Sie können die Daten auch auf einem
Remote-Host sichern. Dieser muss allerdings das RSH-Protokoll für den Zugriff
unterstützen, das meist aus Sicherheitsgründen deaktiviert ist.
Wichtig ist immer, dass Sie den genauen Pfad bzw. den exakten Dateinamen ange-
ben, also beispielsweise /tmp/sicher1.tar, da die Sicherungsfunktion sonst eine
Fehlermeldung ausgibt.

www.brain-media.de
Back-up-Optionen 117

Anstelle des Standards RSH für die Sicherung auf einem Remote-Rechner können
Sie auch SSH verwenden. Das funktioniert allerdings nur, wenn die SSH-
Konfiguration des Root-Benutzers das passwortlose Log-in erlaubt. Wenn Sie SSH
verwenden wollen, aktivieren Sie die gleichnamige Option.

5.1 Back-up-Optionen
Es folgen die recht umfangreichen Back-up-Optionen. Hier können Sie verschie-
dene Einstellungen bearbeiten. Die Einstellungen sind allerdings optional. Zu-
nächst sollen Sie einen aussagekräftigen Sicherungsnamen angeben, anhand dessen
Sie die Sicherung schnell zuordnen können. Dabei können Sie beispielsweise die
Systembezeichnung, das Verzeichnis und das Datum miteinander kombinieren.
Unter Bandgröße können Sie dessen Kapazitäten automatisch ermitteln lassen oder
einen Wert in KB angeben. Die Wertangabe ist nur dann sinnvoll, wenn die auto-
matische Erkennung fehlschlägt oder Fehler produziert.
Sie können das Archiv außerdem mit GZIP bzw. der Variante BZIP komprimieren.
Wenn Sie die Daten auf klassischen Bandlaufwerken sichern, ist eine Komprimie-
rung in der Regel nicht erforderlich, weil die Bandlaufwerke oft ein eigenes Ver-
fahren nutzen.
Wenn Sie ein Dateisystem wie EXT2 verwenden, dass nur relativ kleine Dateien
zulässt, sollten Sie die Option Über mehrere Dateien verteilen? aktivieren. In die-
sem Fall wird die Sicherung in mehrere Dateien mit der Bezeichnung wie sicher1,
sicher2 etc. aufgeteilt.
Standardmäßig ist auch das Verfolgen von symbolischen Links mit der Option
Folge symbolischen Links? deaktiviert. Wenn Sie die Option aktivieren, werden
die Links als Dateien mit in die Sicherung aufgenommen.
Den Schalter Prompt for new tape if needed? sollten Sie in jedem Fall auf Ja be-
lassen, damit dump bei der Sicherung ein neues Band anfordert, wenn eines be-
schrieben ist.
Wenn Sie die Option Remount with noatime option during backup? aktivieren,
reduziert sich die Festplattenaktivität. In der Regel kann die Option allerdings auch
ausgeschaltet bleiben.
Mit der Option Attempt test restore after backup to verify? können Sie außerdem
eine Verifizierung des Back-ups durchführen. Auch das ist nicht zwingend erfor-
derlich. Für Profis ist sicherlich auch die Funktion Extra Kommandozeilenparame-
ter interessant, mit der Sie die Ausführung von dump mit weiteren Schaltern steu-
ern können. Außerdem können Sie auch bei dieser Funktion Befehle vor bzw. nach

Webmin kompakt
118 Dateisystem-Back-up

der Sicherung ausführen. Die Ausgabe wird übrigens auch in den Sicherungsbe-
richt eingefügt.

5.2 Back-up-Zeitplan
Es folgen die Einstellungen für den Back-up-Zeitplan. Mit diesem können Sie
einen Cronjob erstellen, der die Sicherung zu einem bestimmten Zeitpunkt durch-
führt.
Um die zeitgesteuerte Sicherung nutzen zu können, müssen Sie zuerst die Option
Geplante Sicherung aktiviert einschalten. Wählen Sie Aktiviert, zu den unten aus-
gewählten Zeiten, um über die darunterliegenden Schalter die Sicherungszeiten zu
bestimmen. Sie können die Sicherung beispielsweise täglich, wöchentlich oder
auch einmal pro Monat durchführen.
Wenn Sie die Zeitsteuerung nutzen, bietet sich der Einsatz einer weiteren Funktion
an. In dem Eingabefeld E-Mail von geplanter Sicherung nach können Sie eine E-
Mail-Adresse hinterlegen, an die der Sicherungsbericht verschickt wird. Außerdem
können Sie einen eigenen Betreff der E-Mail im gleichnamigen Feld angeben.
Webmin verwendet standardmäßig den Betreff Dump of Verzeichnisname.

Die Konfiguration der zeitgesteuerten Sicherung.


www.brain-media.de
Daten wiederherstellen 119

Abschließend können Sie mit einem Klick auf die Schaltfläche Erstellen lediglich
die Back-up-Konfiguration sichern. Wenn Sie gleichzeitig eine erste Sicherung
erstellen wollen, klicken Sie auf Erstellen und jetzt sichern. Webmin gibt bei der
Durchführung der Sicherung den Jetzt-sichern-Bericht aus, der beispielsweise wie
folgt aussieht:
Sicherung von /home nach /tmp/sicher1.tar wird ausgeführt ..
tar: Removing leading `/' from member names
.. Sicherung komplett.

Nachdem die Sicherung erfolgreich abgearbeitet wurde, finden Sie den ersten Ein-
trag in der Sicherungsliste.

5.3 Daten wiederherstellen


Über die Liste können Sie dann die Daten wiederherstellen, indem Sie sie markie-
ren und dann auf die Schaltfläche Restore backup of filesystem klicken. Wenn Sie
bereits eine Sicherung ausgewählt haben, müssen Sie das Feld Von Datei oder
Gerät wiederherstellen nicht ausfüllen.

Die Optionen für das Restore.

Webmin kompakt
120 Dateisystem-Back-up

Sehr sorgfältig sollten Sie allerdings bei der Wahl des Wiederherstellungspfades
sein, den Sie im Feld Wiederherstellen nach Verzeichnis bestimmen. Die Auswahl
vereinfacht sich durch das Auswahlmenü am Ende des Eingabefelds.
Ob Sie die Option Keine Dateien überschreiben bei der Standardkonfiguration
belassen, ist in der Regel abhängig von der Umgebung und dem Grund für die
Wiederherstellung. Gleiches gilt für die Option Dateizugriffsrechte. In der Regel
können diese Einstellungen auf Nein belassen werden.
Auch das Back-up- und Restore-Modul verfügt über eine eigene Modulkonfigura-
tion, über die Sie verschiedene Anpassungen vornehmen können.

Die Modulkonfiguration für die Back-up- und Restore-Funktion.

Die Konfigurationsmöglichkeiten im Einzelnen:


· strftime-Substitution der Backup-Ziele? Wenn Sie diese Option auf Ja
setzen, so werden Platzhalter wie %d, %m, %Y und %u für die Definition
des Back-ups verwendet. Diese werden dann durch den Tag, den Monat
und das Jahr ersetzt, an dem die Sicherung erzeugt wurde. Der Einsatz
dieser Funktion ist insbesondere dann sinnvoll, wenn Sie an einem Tag
mehrere Sicherungen erstellen, da sie so besser auseinandergehalten wer-
den können.
· Sende E-Mail über SMTP-Server: Hier legen Sie fest, wie die Restore-
Berichte verschickt werden.
· Starte Backups im: Hier bestimmen Sie, ob der Wiederherstellungsvor-
gang im Vorder- oder Hintergrund durchgeführt wird.

www.brain-media.de
Daten wiederherstellen 121

· Neues Band anfordern, wenn das eingelegte voll ist? Bei dieser Option
sollte der Standard Ja beibehalten werden, wenn für die Sicherung ein
neues Band erforderlich ist.
· Benutze immer TAR-Format für Backups? Sie können die Verwen-
dung des TAR-Formats auch deaktivieren. In der Regel macht das keinen
Sinn.
· Sende Benachrichtigungs-E-Mail: Hier legen Sie fest, ob eine Bericht-
E-Mail immer oder nur beim Auftreten von Fehlern versendet werden
soll. Behalten Sie die Standardeinstellung Immer bei. Zu viele Benach-
richtigungen sind immer noch besser als zu wenige.

Die „einfache“ Zeitsteuerung.

· Schedule selector format: Wenn Ihnen die Zeitsteuerung zu komplex ist,


können Sie die vereinfachten Varianten aktivieren, indem Sie diese Opti-
on auf simple setzen. In diesem Fall steht Ihnen ein einfaches Auswahl-
menü mit folgenden Einträgen zur Verfügung:
o Stündlich
o Täglich (um Mitternacht)
o Wöchentlich (Sonntags)
o Monatlich (am Ersten)
o Jährlich (am 1. Januar)

Meist kommt man mit diesen Möglichkeiten auch aus.

Webmin kompakt
122 Dateisystem-Back-up

www.brain-media.de
123

6 Festplatten-Quotas

Aus Sicht der Systemsicherheit sind die sogenannten Disk-Quotas ein wichtiges
Hilfsmittel, um die Sicherheit des Systems zu festigen. Dabei handelt es sich um
Begrenzungen des Speicherplatzes auf Festplatten, der für die einzelnen Benutzer
oder Gruppen zur Verfügung steht.
Bei der Verwendung von Quotas werden in der Regel zwei Grenzen definiert: das
Softlimit (darf für kurze Zeit überschritten werden) und das Hardlimit (darf gar
nicht überschritten werden). Zusätzlich wird der Zeitraum festgelegt, für den das
Softlimit überschritten werden darf.
Die Verwendung dieser Funktion ist recht einfach. Öffnen Sie einfach das Modul,
das Ihnen die aktiven Benutzer- und Gruppenbeschränkungen aufführt. Ist bereits
für eine Partition eine Beschränkung gesetzt, so wird das in der Statusspalte ent-
sprechend gekennzeichnet (inaktiv bzw. aktiv).
Um die Werte für Hard- und Softlimit zu setzen, editieren Sie einfach den entspre-
chenden Benutzereintrag und geben die Werte in das dafür vorgesehene Formular
ein.
Dank Webmin können Sie auch mehreren Benutzern die gleichen Quotas zuwei-
sen. Dazu öffnen Sie die Einstellungen eines Benutzers, klicken auf Copy Quotas
und bestimmen dann die Ziele:
· Alle Benutzer
· Ausgewählte Benutzer
· Mitglieder bestimmter Gruppen
· Mit einem abschließenden Klick auf Copy ist die Zuweisung perfekt.

Auch das Quota-Modul verfügt über eine Modulkonfiguration. Mit dieser legen Sie
beispielsweise die Anzahl der anzuzeigenden Benutzer und Gruppen fest, bestim-
men deren Sortierung und bestimmen den E-Mail-Inhalt, der verschickt wird, wenn
der Speicherplatz eines Benutzers sich dem Grenzwert nähert.

Webmin kompakt
124 Festplatten-Quotas

Die Konfiguration des Quota-Moduls.

www.brain-media.de
125

7 Zeitsteuerung mit Cron und AT

Mithilfe von Webmin können Sie wiederkehrende Aufgaben per Zeitsteuerung


automatisiert ausführen. Dazu stehen Ihnen die beiden Module Geplante Aufträge
(AT) und Geplante Aufträge (Cron) zur Verfügung, wobei die Cron-Variante die
wichtigere ist.
Bei der Cron-Variante ist der Cron-Daemon für die Jobsteuerung wiederkehrender
Aufgaben zu einem bestimmten Zeitpunkt zuständig. Die auszuführenden Befehle
werden in einer benutzerdefinierten Tabelle, der sogenannten crontab, gespeichert.
Mithilfe von Cronjobs können Sie eigentlich alles steuern, was Sie mit Ihrem Sys-
tem anfangen können. Es bietet sich an, beispielsweise temporäre Dateien regel-
mäßig zu löschen, die Systemzeit mit einem Zeitserver zu synchronisieren, Daten
zu sichern etc.
Die Cron-Tabelle wird in der Regel im Verzeichnis /var/spool/cron abgelegt. Al-
lerdings kann es hier Unterschiede zwischen Linux-Distributionen geben. Für
jeden Benutzer wird eine eigene Datei/Tabelle angelegt. Außerdem finden Sie in
/etc Aufträge, die bestimmten Paketen zugeordnet sind.

Die Cronjob-Verwaltung.

Auf die Cronjob-Verwaltung greifen Sie zu, wenn Sie in der Webmin-
Systemverwaltung auf Geplante Aufträge (Cron) klicken. Es öffnet sich die
Cronjob-Verwaltung, in der die anstehenden Aufträge samt ihren Eigenschaften
den verschiedenen Benutzern aufgeführt sind. In der Übersicht wird neben dem
Status (aktiv/inaktiv) auch der zugehörige Befehl inklusive aller Optionen und
Parameter angezeigt. Die Übersicht erlaubt das Erstellen neuer Aufträge und das
Bearbeiten bestehender.

Webmin kompakt
126 Zeitsteuerung mit Cron und AT

7.1 Neuen Cronjob erstellen


Um einen neuen Cronjob zu erstellen, führen Sie folgende Schritte aus:
1. Klicken Sie auf den Verweis Einen neuen Cron-Auftrag erstellen.
2. Unter Auftrag-Details bestimmen Sie den Benutzer, dem der Auftrag
zugeordnet wird.
3. Als Nächstes bestimmen Sie, ob der Auftrag direkt aktiviert werden
soll oder nicht.
4. In das Eingabefeld Befehl geben Sie dann das eigentliche Kommando
ein.

Ein neuer Cronjob in der Entstehung.

5. Mit dem Feld Eingabe an Befehl können Sie dem auszuführenden


Kommando erforderliche Parameter mit auf den Weg geben.
6. Sie sollten außerdem eine Beschreibung im Feld Description hinter-
legen, damit Sie beim späteren Zugriff auf das System erkennen, um
welche Aufgabe es sich im Einzelnen handelt.
www.brain-media.de
Neuen Cronjob erstellen 127

7. Legen Sie als Nächstes fest, wann der Auftrag immer ausgeführt wer-
den soll. Sie können diesen beispielsweise täglich oder wöchentlich
ausführen lassen oder aber den Zeitpunkt selbst bestimmen.
8. Alternativ bestimmen Sie über die folgenden Auswahlfelder den
Zeitpunkt manuell.
9. Ein weiteres Highlight: Über den Bereich Date range to execute kön-
nen Sie einen Zeitraum festlegen, in dem der Cronjob ausgeführt
wird.
10. Mit einem abschließenden Klick auf Erstellen speichern Sie den zeit-
gesteuerten Auftrag, den Sie dann in der Cronjob-Liste finden. In der
Liste können Sie dann über die neue Spalte Verschieben die Reihen-
folge anpassen.

Die Konfiguration des Cron-Zugriffs.

Über die Cronjob-Liste können Sie zudem die Zugriffsberechtigung ändern. Dazu
folgen Sie dem Link Benutzerzugriff auf Cron-Aufträge kontrollieren. Hier können
Sie festlegen, welche Benutzer Aufträge anlegen und ausführen dürfen.
Das zugehörige Formular erlaubt standardmäßig allen Benutzern das Erstellen von
Cronjobs. Diese Einstellung sollten Sie in jedem Fall ändern, und nur Benutzern
mit entsprechenden Fähigkeiten und Kenntnissen erlauben. Nur so schützen Sie
sich vor Angreifern, die durch einen Cronjob beispielsweise automatisch Ihren neu
erstellten löschen oder auf ein anderes System kopieren.
Das Löschen von Cronjobs ist ebenfalls recht einfach. Markieren Sie die Aufträge,
die Sie nicht mehr benötigen, und klicken Sie dann auf die Schaltfläche Delete
selected jobs.
Webmin kompakt
128 Zeitsteuerung mit Cron und AT

Die Modulkonfiguration des Cronjob-Moduls.

7.2 Modulkonfiguration
Recht umfangreich fallen die Funktionen für die Modulkonfiguration aus. Sie be-
steht aus zwei Teilen: den konfigurierbaren Einstellungen und der Systemkonfigu-
ration. Die einen sind, wie Sie der Bezeichnung entnehmen können, anpassbar, die
anderen werden durch das Linux-System vorgegeben.
Die konfigurierbaren Einstellungen im Einzelnen:
· Maximale Kommandozeilenanzahl die angezeigt wird: Hier legen Sie
fest, wie viele Kommandozeilen maximal in der Übersicht angezeigt wer-
den. Der Standardwert von 80 scheint etwas zu hoch. Weniger reicht si-
cherlich auch.
· Zeige Prozess-Zeiten? Hier können Sie die Prozesszeiten aktivieren.
· Show job comments? Wenn Sie den Kommentar zu dem Auftrag auch in
der Job-Liste anzeigen wollen, setzen Sie diesen Schalter auf Yes.

www.brain-media.de
Modulkonfiguration 129

· Zeige den Status aller Aufträge an? Standardmäßig wird der Status der
Cronjobs in der Übersicht aufgeführt. Mit der Option Ja erlauben Sie auch
das Starten und Stoppen der Aufträge.
· Finde Prozesse durch: Hier legen Sie fest, ob der Prozess durch das
Kommando und Argumente oder nur durch das Kommando gefunden
wird. Sie sollten die Standardeinstellung beibehalten.
· Benutzernamen zusätzlich ermitteln beim Finden von Prozessen? Sie
können auch das Finden des Benutzernamens beim Auffinden von Pro-
zessen aktivieren. In der Regel kommt man auch ohne diese Information
aus.
· Alle Unterprozesse zusätzlich zum Prozess selbst töten? Was diese ra-
biate Einstellung macht, ist leider nicht klar.

In den Systemkonfigurationsinformationen finden Sie die Systemeinstellungen, die


Webmin Ihrem System entnimmt. Die Einstellungen im Überblick:
· Crontab-Verzeichnis: Hier wird das Verzeichnis aufgeführt, in dem die
Cronjob-Tabelle gespeichert ist. Sie sollten die Tabelle nicht manuell,
sondern besser mit Webmin editieren. Der Wert lautet meist
/var/spool/cron/tabs. Wie bereits erwähnt, wird für jeden Benutzer eine
eigene Tabelle erstellt, die dann beispielsweise die Bezeichnung root
trägt.
· Befehl zum Lesen der Cron-Aufträge eines Benutzers: Hier finden Sie
den Befehl zum Einlesen der Cronjobs eines Benutzers. Der Standardwert
lautet crontab -u USER –l. An dieser, wie auch den meisten weiteren Ein-
stellungen sollten Sie keine Änderungen vornehmen. Sie dienen mehr Ih-
rer Information als der Anpassung.
· Befehl zum Bearbeiten der Cron-Aufträge eines Benutzers: Hier wird
entsprechend der Befehl für das Editieren von Aufträgen angezeigt. Die-
ser lautet standardmäßig crontab -u USER –e.
· Befehl zum Akzeptieren eines Cron-Auftrags eines Benutzers auf
stdin: Diese Option können Sie anpassen, indem Sie den Befehl für die
Verarbeitung von Benutzereingaben über die Standardeingabe akzeptie-
ren. Das ist standardmäßig nicht vorgesehen.
· Befehl zum Löschen eines Cron-Auftrages eines Benutzers: Hier fin-
den Sie den Befehl für das Löschen eines Cronjobs. Dieser lautet crontab
-u USER –r.

Webmin kompakt
130 Zeitsteuerung mit Cron und AT

· Cron unterstützt Eingaben zu Cron-Aufträgen: Die Cronjob-


Funktionalität ist so konfiguriert, dass sie standardmäßig auch Eingaben
zu Aufträgen erlaubt.
· Datei die erlaubte Benutzer enthält: Hier finden Sie den Pfad zu der
Datei, die die Nutzer enthält, die Cronjobs erstellen dürfen. Bei SuSE 10.1
lautet der Pfad beispielsweise /var/spool/cron/allow.
· Datei die abgelehnte Benutzer enthält: Hier finden Sie den Pfad zu der
Datei mit den abgelehnten Benutzern. Der Pfad kann beispielsweise
/var/spool/cron/deny lauten.
· Rechte ohne Allow- oder Deny-Dateien: Kommen weder die Allow-
noch die Deny-Datei zum Einsatz, so legen Sie über die drei folgenden
Schalter fest, wer Zugriff hat. Sie haben die Wahl zwischen: Verweigere
alle, Verweigere alle außer Root und Erlaube alle.
· Unterstützt Vixie-Cron-Erweiterungen: Hier legen Sie fest, ob der Ein-
satz der Vixie-Cron-Erweiterungen zulässig ist. Diese erlauben beispiels-
weise die Sicherung um Mitternacht oder die tägliche Sicherung. Behalten
Sie diese Einstellung daher bei.
· Pfad zur Vixie-Cron System Crontab-Datei: Hier führt die Modulkon-
figuration den Pfad zu Vixie-Cron auf. Der lautet beispielsweise
/etc/crontab.
· Path to single user crontab file: Hier wird der Pfad zur Single-User-
Crontab-Datei angezeigt.
· Pfad zum Verzeichnis mit zusätzlichen Cron-Dateien: In diesem Text-
feld finden Sie den Pfad zu weiteren Cron-Dateien.
· run-parts Befehl: In diesem Feld können Sie einen Run-parts-Befehl an
Cron übergeben. Der Run-parts-Befehl dient dazu, alle Skripte auszufüh-
ren, die sich in einem Verzeichnis befinden. Das hat den Vorteil, dass
man mit einem Aufruf mehrere Skripte auf einmal erfassen kann. Die
Syntax lautet runparts Verzeichnis.

Die Einstellungen speichern Sie mit einem Klick auf Speichern, worauf Sie wieder
in der Liste der Cronjobs landen.

www.brain-media.de
131

8 Zeitsteuerung mit AT-Befehlen

Neben Cron können Sie für die zeitlichgesteuerte Ausführung bestimmter Aktio-
nen auch zu AT greifen. Der Unterschied zu Cron: AT führt die Aktion lediglich
einmal aus – im Unterschied zu Cron, das für die sich wiederholende Ausführung
konzipiert ist.

Die Funktionalität des AT-Formulars ist naturgemäß


deutlich einfacher als die des Cronjob-Formulars.

Die Nutzung der AT-Steuerung, die übrigens nichts mit den AT-Modem-Befehlen
zu tun hat, ist recht einfach. Zunächst legen Sie mit Ausführen als Benutzer den
Anwender fest, der den Befehl ausführt. Es folgt die Definition des Ausführungs-
zeitpunkts, des Ausführungsverzeichnisses und der auszuführenden Befehle. Im
zweiten Bereich des Formulars legen Sie den oder die Benutzer fest, die die ge-
planten Aufträge ausführen dürfen. Das war’s auch schon.
Auch das AT-Modul besitzt eine Modulkonfiguration. Diese führt ähnlich wie die
Cronjob-Modulkonfiguration die wichtigsten Eigenschaften des AT-Befehls auf.

Webmin kompakt
132 Laufende Prozesse

www.brain-media.de
133

9 Laufende Prozesse

Für den sicherheitsbewussten Administrator ist die Prozessverwaltung ein wichti-


ges Hilfsmittel, um festzustellen, welche Prozesse auf dem System laufen, welche
Benutzer für welche Prozesse verantwortlich sind und wie es um die Speicheraus-
lastung steht. All das – und mehr – erfahren Sie im Webmin-Prozessmanager, den
Sie mit einem Klick auf Laufende Prozesse öffnen.

Ein erster Blick auf den Prozessmanager.

Jedes Programm, jeder Server und jeder Befehl, der auf Ihrem System ausgeführt
wird, ist ein Prozess. Im Normalbetrieb sind auf Ihrem System nicht selten
Duzzende Prozesse aktiv. Bei einigen handelt es sich um Programme, mit denen

Webmin kompakt
134 Laufende Prozesse

Sie interagieren, andere Prozesse laufen im Hintergrund, wieder andere führen


System-Aufgaben durch.
Bekanntlich besitzt ein Prozess eine Prozess-ID, gehört einem Benutzer und kann
mehreren Gruppen zugeordnet sein. Die Gruppenzugehörigkeit bestimmt in erster
Linie die Privilegien, die ein Prozess besitzt.
Wenn Sie den Prozessmanager öffnen, so stellen Sie fest, dass er Ihnen zunächst
eine Vielzahl von Informationen präsentiert. Sie können die Ansicht über die An-
zeigezeile sortieren, und zwar nach der PID, nach Benutzern, dem Speicher und
der CPU-Auslastung. Außerdem steht Ihnen eine Suchfunktion zur Verfügung und
Sie können über den Link Ausführen gezielt Prozesse starten.
Die Übersicht zeigt Ihnen außerdem die durchschnittliche CPU-Auslastung der
letzten, der letzten fünf und der letzten fünfzehn Minuten in der Zeile CPU load
averages an. Sie finden in der Übersicht außerdem den CPU-Typ des Systems.
Wenn Sie die Sortierung beispielsweise nach der Prozess-ID ändern wollen, kli-
cken Sie unter Anzeige auf PID. In dieser Ansicht werden Ihnen vier Informationen
angezeigt:
· Prozess-ID
· Besitzer
· Zeitpunkt des Starts
· Befehl

Wenn Sie die Benutzeransicht aktivieren, finden Sie eine etwas andere Reihenfolge
vor:
· Prozess-ID
· CPU-Auslastung
· Zeitpunkt des Starts
· Befehldetails

In der Speicheransicht werden Ihnen folgende Daten präsentiert:


· Prozess-ID
· Besitzer
· Größe

www.brain-media.de
Prozessdetails 135

· Befehlsdetails

Ein Problem stellt leider die Aktualität der Informationen dar. Diese scheinen nicht
kontinuierlich aktualisiert zu werden. Auch eine manuelle Aktualisierung ist im
Prozessmanager nicht möglich. Damit schränkt sich der Einsatzbereich dieses
Webmin-Moduls leider selbst stark ein. Sie können das leicht nachvollziehen,
indem Sie auf eine Prozess-ID klicken. Bei vielen Prozesseinträgen wird als Pro-
zessinformation Dieser Prozess läuft nicht mehr ausgeben. Die Prozessliste ent-
spricht übrigens der Ausführung des Befehls ps x.

9.1 Prozessdetails
Generell rufen Sie Prozessdetails ab, indem Sie auf die Prozess-ID klicken. Sofern
der Prozess noch aktiv ist, zeigt Ihnen Webmin immer das Feld Prozessinformatio-
nen und verschiedene Schaltflächen, mit denen Sie einen Prozess killen können an.
Prozesse, die Unterprozesse erzeugen, werden in einem zweiten Bereich angezeigt.

Die Prozessdetails von init.

Den Prozessdetails können Sie den zugehörigen Befehl, die Prozess-ID, den Be-
nutzer, die Größe, die Gruppenzugehörigkeit, die CPU-Beanspruchung, die Lauf-
zeit und die Prozessgruppen-ID entnehmen.
Webmin kompakt
136 Laufende Prozesse

Eine Besonderheit stellt das Auswahlmenü Nicelevel dar. Mit dem Nicelevel be-
stimmt man die Priorität eines Prozesses. Je höher dieser Level ist, desto eher lässt
der Prozess anderen Prozessen den Vortritt. Ein Nicelevel von 20 stellt den
„freundlichsten“ Prozess dar, bei dem fast immer andere Prozesse Vorrang haben.
Ein Level von -20 bewirkt sehr unfreundliche Prozesse, die den Vorrang beanspru-
chen. Die negativen Level sollte man daher Systemprozessen und root belassen. Es
macht Sinn allen Benutzerprozessen einen positiven Nicelevel zu geben.
Über das Auswahlmenü können Sie den Level des geöffneten Prozesses ändern.
Dabei können Sie aus dem Wertebereich von -20 bis 20 schöpfen. Mit einem Klick
auf Ändern speichern Sie die Einstellungen.
Unterhalb der Prozessinformationen finden Sie sieben Schaltflächen, über die Sie
verschiedene Prozess-spezifische Aktionen durchführen können:
· Sende Signal: Mit diesem Kommando können Sie verschiedene Befehle
an den Prozess senden. Mit HUB wird beispielsweise die Prozesskonfigu-
ration neu eingelesen, mit STOP halten sie an, bis Sie sie mit CONT wie-
der fortsetzen.
· Terminieren: Hiermit terminieren Sie den Prozess.
· Killen: Dient dem „Abschießen“ des Prozesses.
· Außer Kraft setzen: Mit einem Klick halten Sie den Prozess an.
· Wiederaufnehmen: Hiermit führen Sie ihn wieder aus.
· Prozess verfolgen: Hiermit öffnen Sie eine Java-basierte Prozessansicht,
die zeigt, wann welche Aufrufe erfolgen und welche Rückgabe erfolgte.
· Dateien und Verbindungen: Dieser Link zeigt Ihnen Informationen zu
offenen Dateien und Verbindungen, die mit dem Prozess zu tun haben.

Der Prozessmanager zeigt auch Informationen zu offenen Dateien an.

www.brain-media.de
Suche 137

9.2 Suche
Einen sehr guten Eindruck hinterlässt die Suchfunktion des Prozessmanagers. Mit
dieser können Sie verschiedenste Suchkriterien für die Recherche verwenden. Sie
öffnen sie Suche mit einem Klick auf den gleichnamigen Link.

Die komfortable Suchfunktion des Prozessmanagers.

Wie Sie voranstehender Abbildung entnehmen können, erlaubt das Suchformular


die Kombination der Kriterien Benutzer, Dateisystem, Datei, Port, Protokoll und
IP-Adresse. Sie können außerdem eine beliebige Zeichenfolge und die CPU-
Belastung eines Prozesses als Suchkriterium heranziehen.
Das Suchergebnis wird in tabellarischer Form ausgegeben und erlaubt den direkten
Zugriff auf die gefundenen Prozesse.

9.3 Prozess ausführen


Der Prozessmanager stellt Ihnen eine weitere Funktion zur Verfügung: Über das
Ausführen-Formular steht Ihnen eine recht überschaubare Funktion zur Verfügung,
mit der Sie innerhalb von Webmin typische Aktionen wie die Ausgabe des Ver-
zeichnisinhalts oder auch die Prozessliste ausgeben können. Sie können dabei auch
den ausführenden Benutzer und weitere Optionen definieren.

9.4 Modulkonfiguration
Auch der Prozessmanager verfügt über eine Modulkonfiguration. Deren Einstel-
lungen sind recht überschaubar. Sie können dort beispielsweise den Standardpro-

Webmin kompakt
138 Laufende Prozesse

zesslistenstil anpassen. Konkret ist damit die Sortierreihenfolge anpassbar. Außer-


dem zeigt die Konfiguration das aktuelle Betriebssystem an.

www.brain-media.de
Logrotate einsetzen 139

10 Logfile-Rotation

Über die Systemsteuerung von Webmin ist auch die Logfile-Rotation möglich.
Dabei greift das Administrationswerkzeug auf logrotate zurück. Die auf Ihrem
Linux-System installierten Daemons und Programme protokollieren standardmäßig
je nach Konfiguration Hinweise und Fehler in einer oder auch mehreren Log-
Dateien. Diese sind meist im Verzeichnis /var/log oder einem weiteren Unterver-
zeichnis zu finden.
Das Problem: Die Protokolldateien haben die Eigenschaft, immer weiter zu wach-
sen. Durch die zunehmende Größe werden sie unhandlich bei der Auswertung und
irgendwann ist der Speicherplatz des Systems bzw. der jeweiligen Partition er-
schöpft. Einige Daemons wie beispielsweise Samba bieten intern die Möglichkeit,
die Größe zu begrenzen, doch leider nicht alle. Da die Protokolldateien an unter-
schiedlichen Speicherplätzen liegen und oft auch noch leicht unterschiedliche Syn-
tax verwenden, ist eine Lösung gefragt, die den Umgang mit den Protokolldateien
vereinfacht.

10.1 Logrotate einsetzen


Hier kommt Logrotate ins Spiel. Das bietet die Möglichkeit, den Umgang mit
Logdateien u. a. bzgl. Anzahl der aufzubewahrenden Logdateien und Rotations-
Rhythmus wie Zeit oder Größe zu konfigurieren. Die Logfile-Rotation funktioniert
häufig nach folgendem Schema:
1. Ältere Logdateien bzw. die Sequenz der Logdateien werden an einen
anderen Speicherplatz kopiert, beispielsweise einen externen Netz-
werkserver.
2. Dann wird dem Prozess ein Signal gesendet, damit er die aktuell ver-
wendete Logdatei schließt und das Loggen kurzfristig unterbricht
oder Daten puffert.
3. Als Nächstes werden die Daten der aktuellen Logdatei in eine neue
Datei, z. B. logfile.1, übertragen.
4. Dann löscht oder trunkiert man die aktuelle Logdatei.
5. Nun kann der Prozess das Loggen wieder aufnehmen.

Webmin kompakt
140 Logfile-Rotation

6. Schließlich werden die Dateien aufgeräumt, komprimiert oder nicht


mehr benötigte Dateien gelöscht.

All das ist über das Logfile-Rotations-Modul von Webmin möglich. Beim Zugriff
auf das Modul stellen Sie fest, dass es einen zweiten Reiter rechts oben besitzt.
Dort werden das zugrunde liegende Programm und die Version angezeigt.

Je nach Systemkonfiguration finden Sie bereits bei einer neuen


Linux-Installation eine Fülle an Rotationsaufträgen.

Neben der Logrotate-Version, die zum Einsatz kommt, zeigt Ihnen das Webmin-
Modul alle bereits angelegten Rotationsaufträge an. Selbst bei einer Neuinstallation
können diese bereits recht umfangreich sein. Zu jedem Auftrag werden drei Infor-
mationen angezeigt:
· die Protokolldatei samt Pfad
· die Rotationsperiode
· der Befehl, der nach der Rotation ausgeführt wird

www.brain-media.de
Logrotate einsetzen 141

Die Eigenschaften eines Rotationseintrags öffnen Sie durch einen Klick auf die
Protokolldateibezeichnung. Der zugehörige Dialog entspricht dem, den Sie beim
Erstellen eines neuen Auftrags erstellen. Um einen neuen Rotationsauftrag zu er-
stellen, folgen Sie einfach dem Link Neu zu rotierende Logdatei erstellen.

Ein editierter Logrotationsauftrag.

Schauen wir uns die verschiedenen Einstellungen an, die Sie beim Erstellen bzw.
Editieren eines Rotationsauftrags nutzen können. Die Einstellungen im Einzelnen:
· Logdateipfad: In diesem Eingabefeld geben Sie den Pfad zur Protokoll-
datei an. Dieses lautet beim NTP-Dienst beispielsweise /var/log/ntp.

Webmin kompakt
142 Logfile-Rotation

· Rotationszeitplan: Hier legen Sie fest, wie oft die Rotation durchgeführt
wird. Sie haben die Wahl zwischen folgenden Einstellungen:
o Standard (Wöchentlich)
o Täglich
o Monatlich

Für welche Option Sie sich entscheiden, sollte von der Nutzung des Prozesses und
dem Umfang der erzeugten Protokolldateien abhängig sein. Sie können beispiels-
weise die Protokolldateien eines intensiv genutzten Apache-Webservers täglich
und die des Zeitservers monatlich rotieren lassen.
· Maximale Größe der Logdatei, bevor diese rotiert wird: Hier legen Sie
die maximale Größe der Protokolldatei fest, bevor sie ausgetauscht wird.
Sie können dabei eine Größenangabe in Kilo- oder Megabyte verwenden.
Die entsprechenden Angaben könnten beispielsweise wie folgt aussehen:
100k bzw. 100 M.
· Anzahl an alten Logdateien, die aufbewahrt werden sollen: Hier legen
Sie fest, wie viele Protokolldateien aufbewahrt werden, bevor sie gelöscht
oder per E-Mail verschickt werden. Wenn Sie den Wert Null verwenden,
werden alte Versionen gelöscht anstatt rotiert. Webmin bietet Ihnen den
Standardwert 4 an.
· Komprimiere alte Logdateien? Mit diesem Schalter legen Sie fest, ob
die alten Logdateien komprimiert werden sollen oder nicht. Für die
Komprimierung greift Webmin zu gzip. Bei sehr umfangreichen Proto-
kolldateien empfiehlt es sich, die Komprimierung zu aktivieren.
· Führe Komprimierung erst im nächsten Zyklus aus? Mit diesem
Schalter können Sie die Komprimierung auf den nächsten Zyklus ver-
schieben. In der Regel ist das nicht erforderlich.
· Kürze Logdatei entsprechend? Sie können eine Protokolldatei kürzen.
Auch das ist in der Regel nicht erforderlich.
· Logdatei rotieren, auch wenn sie leer ist? Auch die Rotation einer lee-
ren Logdatei ist möglich. In der Regel macht das keinen Sinn. Eine Rota-
tion beim Erreichen einer bestimmten Speicherplatzbelegung erscheint
sinnvoller.
· Ignoriere Logdatei, wenn sie nicht existiert? Sollte die Protokolldatei
nicht existieren, so kann logrotate diese ignorieren. Setzen Sie diese Ein-
stellung auf Nein, damit gegebenenfalls eine Fehlermeldung ausgegeben
www.brain-media.de
Logrotate einsetzen 143

wird, sollte die Protokolldatei nicht gefunden werden, weil beispielsweise


die Pfadangabe nicht korrekt ist.
· Erzeuge eine neue Logdatei nach der Rotation? Hier legen Sie fest, ob
und wenn ja, mit welchen Rechten eine neue Logdatei nach der Rotation
erzeugt wird. Behalten Sie die Einstellung Standard (Ja, mit bisherigen
Rechten) bei.
· Speichere alte Logdateien in: Mit diesem Feld legen Sie fest, wo die ro-
tierten Dateien gespeichert werden. Standardmäßig werden sie im glei-
chen Verzeichnis gespeichert. Sie sollten sie in ein anderes Verzeichnis
verschieben. Wichtig ist allerdings, dass dieses das gleiche Dateisystem
verwendet, wie das, auf dem sie erzeugt wurden.
· Dateiendung für die rotierten Logdateien: Hier legen Sie fest, welche
Dateierweiterung die rotierten Dateien erhalten. Wenn die Kompression
aktiviert ist, bekommen die Logdateien die Kompressionserweiterung (.gz
bei gzip) nach der angegebenen Erweiterung.
· Maile die Logdatei bevor sie gelöscht wird? Soll die Logdsatei vor dem
Löschen per E-Mail verschickt werden, so geben Sie hier die E-Mail-
Adresse an. Standardmäßig wird sie nicht verschickt.
· Logdatei, der per E-Mail versendet werden soll: Hier legen Sie fest,
welche Protokolldateien verschickt werden sollen. Behalten Sie die Stan-
dardeinstellung Standard (Älteste, die danach gelöscht wird) bei.
· Befehl, der vor der Rotation ausgeführt wird: Sie können Befehle vor
der Rotation ausführen. Diese geben Sie in diesem Eingabefeld an. Sie
könnten beispielsweise die Rechte bearbeiten.
· Befehl, der nach dem Rotieren ausgeführt werden soll: Entsprechend
können Sie auch Befehle nach der Rotation ausführen. Auch hier sind ins-
besondere Kommandos für das Bearbeiten der Zugriffsrechte zu nennen.
Beim NTP-Prozess ist es beispielsweise chmod 644 /var/log/ntp.
· Lasse die Skripte nur einmal für alle Dateien laufen? Schließlich kön-
nen Sie festlegen, ob die Kommandos für alle Dateien einmal ausgeführt
werden sollen. Hier ist Vorsicht geboten, damit Sie bei der Befehlsausfüh-
rung nicht versehentlich Dateien löschen oder eine andere ungewollte Ak-
tion ausführen.

Am Fuße des Formulars finden Sie zwei wichtige Schaltflächen: Über Speichern
nehmen Sie die Änderungen vor, über Rotate Now erzwingen Sie eine direkte Ro-
tation.
Webmin kompakt
144 Logfile-Rotation

Die Rotationsübersicht erlaubt zwei weitere wichtige Aktionen: Über die Schalt-
fläche Editiere Zeitplan können Sie einen Cronjob für die Rotation einrichten.
Dazu klicken Sie auf die Schaltfläche Editiere Zeitplan. Außerdem können Sie
über die Schaltfläche Force Log Rotation eine unmittelbare Rotation aller Proto-
kolldateien erzwingen.

10.2 Modulkonfiguration
Die Modulkonfiguration für das Modul Logdatei-Rotation fällt recht bescheiden
aus. Sie können insbesondere die Sortierung der Logdateien anpassen. Standard-
mäßig werden sie nach der Reihenfolge in der Konfigurationsdatei aufgeführt. Sie
können aber auch eine alphabetische Sortierung mit der Option Logdateiname
wählen.

Die Modulkonfiguration für den Logfile-Austausch.

Außerdem zeigt Ihnen die Modulkonfiguration den Pfad zur logrotate-


Konfigurationsdatei logrotate.conf und den Pfad zu logrotate.

www.brain-media.de
145

11 Dateisysteme

Dateisysteme sind ein wesentliches Element eines jeden Betriebssystems, denn im


Dateisystem sind die Daten eines Computers in Form von Dateien gespeichert. Das
Dateisystem selbst ist ein Ordnungs- und Zugriffssystem für diese Daten. Zugriffs-
routinen für Dateisysteme sind Bestandteil des Betriebssystems. Meist wird auch
das Betriebssystem des Computers ebenfalls in einem Dateisystem gespeichert.
Unter Linux werden Dateien in einer Baumhierarchie gespeichert, die dem root-
Verzeichnis untergeordnet ist. Laufwerksbuchstaben wie man sie von Windows
kennt, gibt es bei Linux nicht.
Unter Linux wird mit dem Begriff Mountpoint der Ort in der Verzeichnisstruktur
bezeichnet, an dem ein Datenträger eingehängt wird. Um dies zu erreichen, muss
ein Verzeichnis vorhanden sein, unter dem die Verzeichnisstruktur des entspre-
chenden Datenträgers, beispielsweise ein CD-ROM-Laufwerk, eingebunden wird.
Danach kann über dieses Verzeichnis auf die CD-ROM zugegriffen werden.
Die für das System wichtigen Datenträger bzw. Partitionen werden automatisch
beim Systemstart gemountet und beim Herunterfahren wieder ungemountet. Die
Dateien, die durch einen Mountpoint eingebunden werden, bezeichnet man als
Dateisystem.
Nun unterstützt Linux alle relevanten Dateisysteme. Insbesondere das Hinzufügen
neuer Mounts ist möglich. Mountpoints werden in der Datei fstab (Filesystem
Table) angegeben, in der auch Eigenschaften wie Benutzerrechte, Schreibrechte,
Leserechte etc. vordefiniert werden können. Sie finden die fstab-Datei in der Regel
in /etc/fstab.
Der Zugriff auf diese Informationen erfolgt über das Modul Lokale und Netzwerk-
Dateisysteme. Wie Sie der Modulbezeichnung entnehmen können, erlaubt es nicht
nur das Bearbeiten und Erstellen von lokalen Dateisystemen, sondern auch von
Netzwerkdateisystemen.

Webmin kompakt
146 Dateisysteme

Die Übersicht der auf dem System vorhandenen Dateisysteme.

Beim Zugriff auf das Dateisystemmodul präsentiert Ihnen dieses folgende Informa-
tionen:
· Gemountet als: Hier wird die Bezeichnung des Dateisystems bzw. des
virtuellen Speichers angegeben.
· Typ: Hier listet die Tabelle den Dateisystemtyp auf, also beispielsweise
Reiser, Windows NT Filesystem etc.
· Ort: Hier erfahren Sie, wo sich das Dateisystem befindet. Neben Partitio-
nen auf Festplatten können auch wie bereits erwähnt Netzwerklaufwerke
wie Samba-Shares aufgeführt werden.
· Z.Z. benutzt? Zeigt an, ob das Dateisystem in Verwendung ist oder nicht.
· Permanent? Zeigt an, ob das Dateisystem permanent aktiv oder deakti-
viert ist.

Wenn Sie ein neues Dateisystem hinzufügen wollen, so bestimmen Sie zunächst
aus dem mächtigen Auswahlmenü den gewünschten Typ. Die für das Erstellen und

www.brain-media.de
ext3-Dateisystem erstellen 147

für die Konfiguration des jeweiligen Dateisystemtyps verfügbaren Einstellungen


sind naturgemäß unterschiedlich.

Das Hinzufügen eines NFS-Dateisystems.

Wir wollen uns daher das Erstellen von verschiedenen Dateisystemen etwas ge-
nauer ansehen. Wenn Sie diese kennengelernt haben, sind Sie problemlos in der
Lage, einen der anderen Typen zu erstellen.

11.1 ext3-Dateisystem erstellen


Beginnen wir mit einen ext3-Dateisystem, das bei vielen Linux-Systemen als Stan-
darddateisystem verwendet wird. Wählen Sie dazu den Eintrag New Linux Native
Filesystem (ext3) aus und klicken Sie auf die Schaltfläche Füge Mount hinzu.
Die Einstellungen im Einzelnen (verschiedenen Einstellungen werden Sie bei an-
deren Dateisystemtypen immer wieder begegnen):
· New Linux Native Filesystem Mount-Details: Hier legen Sie allgemeine
Eigenschaften des neuen Systems fest.

Webmin kompakt
148 Dateisysteme

· Gemountet als: Hier legen Sie das Verzeichnis für das neue Dateisystem
fest. Existiert es nicht, wird es erstellt.
· Speichere Mount? Wenn Sie wollen, dass Ihr neues System beim nächs-
ten Systemstart automatisch gemountet wird, aktivieren Sie die Option
Speichern und Mounten beim Bootup.

Das Anlegen eines neuen Dateisystems.

· Jetzt mounten? Wenn Sie das Dateisystem direkt nutzen wollen, wählen
Sie die Option Mounten.
· Überprüfe Dateisystem beim Bootup? Mit diesem Schalter legen Sie
fest, ob das Dateisystem mit fsck beim Booten überprüft werden soll –
und zwar vor dem Mounten. Dazu aktivieren Sie die Option Überprüfe
zuerst. Mit der Option Überprüfe als zweites findet der Check nach dem
Mounten statt.
· New Linux Native Filesystem: Über dieses Auswahlmenü bestimmen
Sie die Festplatte bzw. ein anderes Gerät, auf dem die Partition erzeugt
werden soll.

www.brain-media.de
ext3-Dateisystem erstellen 149

Es folgen die erweiterten Mount-Einstellungen, mit denen Sie die allgemeinen


Mount-Optionen und die spezifischen ext2- bzw. ext3-Optionen anpassen können.
Zuerst sind die allgemeinen Mount-Optionen dran:
· Schreibgeschützt? Hier legen Sie fest, ob das Dateisystem schreibge-
schützt ist oder nicht. Dabei kommen die Mount-Optionen ro bzw. rw
zum Einsatz.
· Gepuffertes Schreiben auf dem Dateisystem? Hier bestimmen Sie, ob
der Input bzw. Output zum Dateisystem synchronisiert erfolgt oder nicht.
Ein synchrones Mounten stellt eine gute Methode dar, die Zuverlässigkeit
des Systems zu erhöhen, kann aber auch negative Auswirkungen auf die
Performance haben. Die Mount-Option ist sync bzw. async.
· Erlaube Gerätedateien? Hiermit legen Sie fest, ob auch Gerätedateien
(dev) auf dem neuen Dateisystem gespeichert werden dürfen oder nicht.
Die Mount-Option ist dev für das Aktivieren bzw. nodev für das Deakti-
vieren der Gerätedateiunterstützung. Die Option nodev verhindert, dass
Device-Dateien als solche interpretiert werden. Die Option ist aus Sicher-
heitsgründen insbesondere für CD-ROM-, DVD- und Diskettenlaufwerke
sinnvoll.
· Erlaube das Ausführen von Programmen? Mit dieser Option legen Sie
fest, ob die Ausführung von Programmen zulässig ist oder nicht. Die rele-
vanten Mount-Optionen sind exec bzw. noexec. Diese Optionen legen
fest, ob auf dem Dateisystem befindliche Programme unter Linux ausge-
führt werden dürfen oder nicht. Bei den meisten Dateisystemen gilt stan-
dardmäßig die Einstellung exec. Sicherheitsbewusste Administratoren
vergeben für CD-ROM-, DVD- und Diskettenlaufwerke aber die Option
noexec.
· Verbiete Setuid-Programme? Hier legen Sie fest, dass SUID- und
SGID-Bits nicht interpretiert werden. Die zugehörigen Mount-Optionen
sind suid und nosuid.
· Erlaube Benutzern das Mounten des Dateisystems? Mit dieser Einstel-
lung legen Sie fest, wer das Dateisystem einhängen darf. Wenn Sie die
Option Ja verwenden, darf ein normaler Benutzer das Dateisystem ein-
hängen. Ansonsten darf dies nur root. Wenn Sie Nein wählen, darf nur
root das Dateisystem einhängen. Die Mount-Optionen lauten user und
nouser.

Webmin kompakt
150 Dateisysteme

Es folgen die ext2/ext3-spezifischen Optionen. Dies sind:


· Reservierte Blöcke in Dateisystemgröße einrechnen? Hiermit legen Sie
fest, ob die reservierten Blöcke verwendet werden dürfen oder nicht. Die
entsprechenden ext-Optionen sind resgid und resuid.
· Aktion bei Fehler: Über dieses Auswahlmenü bestimmen Sie, wie bei
Fehlern vorzugehen ist. Sie können beispielsweise das Mounten weiter
durchführen oder in den Panikmodus wechseln.
· Dateien erben übergeordnete GID? Hier legen Sie fest, ob die Dateien
die übergeordnete Gruppen-ID erben. In der Regel ist das nicht ge-
wünscht.
· Benutze Quoten? Hier bestimmen Sie, ob Sie Speicherplatzbeschränkun-
gen für Benutzer oder Gruppen verwenden wollen.
· Reserviere Platz für Benutzer/Gruppe: Mit den beiden letzten Einstel-
lungen bestimmen Sie, ob Sie Speicherplatz für bestimmte Benutzer oder
Gruppen reservieren wollen.

11.2 Windows-Dateisystem
Befindet Sie auf Ihrem System eine Windows-Partition, so können Sie auch diesen
Dateisystemtyp mit Webmin mounten. Windows-Partitionen verwenden entweder
das vat- (Windows 95 und seine Nachfolger) oder das NTFS-Dateisystem (Win-
dows 2000, XP und deren Nachfolger). Linux unterstützt beide Typen. Dazu wäh-
len Sie einfach auf der Typenliste Windows Filesystem (vfat) oder Windows NT
Filesystem (ntfs).

Die Einstellungen für ein NTFS-Dateisystem.

www.brain-media.de
Automounter 151

Wenn Sie sich die Einstellungen für das NTFS-Dateisystem genauer ansehen,
stellen Sie fest, dass diese weit weniger umfangreich ausfallen. Sie finden eigent-
lich nur zwei NTFS-spezifische Einstellungen:
· Benutzerdateien gehören: Hier legen Sie fest, wem die Benutzerdaten
gehören.
· Gruppendateien gehören: Und hier, wem die Gruppendateien gehören.

11.3 Automounter
Wenn Sie bereits mit Windows gearbeitet haben, kennen Sie vermutlich die Auto-
start-Funktion, die beim Einlegen einer neuen CD oder DVD den geeigneten
Player oder das Installationsprogramm startet. Auch unter Linux steht Ihnen eine
entsprechende Funktion zur Verfügung: der Automounter.
Besitzt Ihr System keine entsprechende Konfiguration, so können Sie diese erzeu-
gen. Mit Automounter können Sie sogar auf einen NFS-Server zugreifen.

Das Anlegen eines Automounters.

Das Anlegen eines Automounters ist ebenfalls recht einfach. Wählen Sie aus dem
Auswahlmenü den Typ New Automounter Filesystem (autofs). Bezeichnen Sie
dann das Dateisystem und weisen Sie ihm gegebenenfalls die AutoFS-spezifischen
Einstellungen zu.

Webmin kompakt
152 Dateisysteme

11.4 Samba-Freigabe
Das smbfs ist ein Windows-Protokoll, das den Zugriff auf Windows-
Netzwerkfreigaben erlaubt. Wenn Sie in Ihrem Netzwerk Daten für Windows- und
Linux-Clients zur Verfügung stellen wollen, so ist dies eine praktikable Lösung.
Um ein smbfs-Dateisystem zu erstellen, wählen Sie zunächst den Typ Windows
Networking Filesystem (smbfs) aus dem Auswahlmenü aus.

Die Konfiguration des smb-Dateisystems.

Unter Mount-Details bestimmen Sie zunächst die Bezeichnung und geben dann
unter Servernamen den Namen des Servers bzw. dessen IP-Adresse ein, gefolgt
von dem Freigabenamen.
Da der Zugriff auf eine Windows-Netzwerkfreigabe eigentlich durch eine Kennung
und ein Passwort gesichert sein sollte, geben Sie unter den erweiterten Mount-
Einstellungen den Anmeldenamen und das Passwort an.

www.brain-media.de
Modulkonfiguration 153

11.5 Modulkonfiguration
Auch das Modul Lokale und Netzwerk-Dateisysteme besitzt eine Modulkonfigura-
tion, in der Sie verschiedene Einstellungen bearbeiten bzw. einsehen können. Wie
Sie es von anderen Modulkonfigurationen kennen, erlaubt diese die Anpassung
verschiedener Einstellungen und präsentiert Ihnen verschiedene systemspezifische
Konfigurationen. Die konfigurierbaren Optionen:
· Server, von dem Browser-Liste geholt werden soll: Hier legen Sie fest,
von wo sich Webmin die Informationen zu Windows-Freigaben holt.
· Benutze lange Dateisystem-Typen: Standardmäßig werden lange Datei-
systemtypen verwendet.
· Sortiere Dateisysteme nach: Hier legen Sie die Sortierung der Dateisys-
teme fest. Sie haben die Wahl zwischen folgenden Optionen:
o Einhängepunkt
o Art
o Reihenfolge in Datei

· Delete directory when un-mounting if under: Schließlich können Sie


das Löschen des Verzeichnisses erzwingen.

Die Konfiguration des Dateisystemmoduls.

Webmin kompakt
154 Dateisysteme

Unter Systemkonfiguration erfahren Sie schließlich, wo die fstab-Datei zu finden


ist. Außerdem werden die Pfade zum smbclient und zu nmblookup aufgeführt.

www.brain-media.de
155

12 PAM-Authentifizierung

Über Webmin ist auch die Steuerung der PAM-Authentifizierung möglich. Die
zugehörigen Funktionen finden Sie hinter dem gleichnamigen Link in der
Webmin-Systemsteuerung.
PAM (Pluggable Authentication Modules) ist eine Softwarebibliothek, die eine
allgemeine Programmierschnittstelle (API) für Authentisierungsdienste zur Verfü-
gung stellt. Die Funktionsweise von PAM ist recht einfach: Statt die Einzelheiten
der Authentisierung in jeder Applikation neu zu formulieren, bietet die PAM-API
einen standardisierten Dienst in Form von Modulen an.

Die PAM-Übersicht.

Webmin kompakt
156 PAM-Authentifizierung

In einer Konfigurationsdatei kann der Systemadministrator die Authentisierungs-


module einzelnen Diensten zuordnen, ohne dafür die Software, die diese Dienste
realisiert, neu kompilieren zu müssen. Damit vereinfacht sich die Zuweisung von
Berechtigungen natürlich erheblich – vorausgesetzt, man kann die Technik richtig
einsetzen.

12.1 PAM-Basics
Um das PAM-Modul effektiv einsetzen zu können, muss man sich zumindest mit
den Grundlagen von PAM ein wenig auseinandersetzen. PAM verwendet mehrere
Konfigurationsdateien, die in der Regel im Verzeichnis /etc/pam.d/ liegen.
Ein Beispiel für die PAM-Konfiguration des Cron-Daemons:
#
# The PAM configuration file
# for the cron daemon
#
auth sufficient pam_rootok.so
auth include common-auth
account include common-account
password include common-password
session include common-session

Für jedes Programm ist dort jeweils eine Konfigurationsdatei zu finden. Diese
Konfigurationsdateien enthalten pro Zeile eine Anweisung bzw. einen Kommentar
oder eine Leerzeile. Eine Anweisung besteht aus drei oder mehr Argumenten. Das
erste Argument vom Typ type zeigt PAM, welche Art von Authentifikation für ein
Modul vollzogen werden soll. Auch die Nutzung mehrerer Module der gleichen
Art ist möglich. In einem solchen Fall muss der Benutzer alle Anforderungen der
verschiedenen Module erfüllen.
PAM kennt vier verschiedene Typen vom Typ type:
· account: Spezifiziert, ob sich ein Benutzer einloggen darf.
· auth: Prüft, ob ein Benutzer auch derjenige ist, für den er sich ausgibt.
· password: Erlaubt dem Benutzer über diese Applikation sein Passwort zu
ändern.
www.brain-media.de
PAM-Basics 157

· session: Setzt dem Benutzer nach der Authentifizierung seine Umgebung.

Das zweite Argument vom Typ control bestimmt, welche Aktion unternommen
wird, wenn die Authentifizierung fehlschlägt. Hierfür gibt es folgende Möglichkei-
ten:
· requisite: Ein Authentifizierungsfehler in diesem Modul führt zu direkten
Abbruch der kompletten Authentifizierung.
· required: Ein Authentifizierungsfehler in diesem Modul führt zu einem
Abbruch der Authentifizierung, aber Module mit dem gleichen Typ kön-
nen noch abgearbeitet werden.
· sufficient: Ist die Authentifizierung mit diesem Modul erfolgreich, ist es
die Authentifizierung auch, selbst wenn ein vorheriges Modul nicht er-
folgreich war.
· optional: Dieses Modul ist nur signifikant, wenn es das einzige Modul für
diesen Dienst ist.

Das dritte Argument bestimmt, welches Modul PAM verwenden soll und optional,
wo dieses zu finden ist. Die meisten Konfigurationsanweisungen enthalten nur den
Namen. In diesem Fall schaut PAM in dem vorgegebenen Konfigurationsverzeich-
nis nach. Ansonsten wird im vollqualifizierten Pfad nach dem Modul gesucht.
PAM kann außerdem noch weitere Optionen für die jeweiligen Module verwen-
den. Wird beispielsweise die Option pam unix.so übergeben, so werden leere
Passwörter akzeptiert.
Beim Zugriff auf das PAM-Modul listet das Modul all jene Dienste auf, die bereits
für das Zusammenspiel mit PAM konfiguriert sind. Wenn Sie einen neuen PAM-
Dienst erstellen wollen, klicken Sie auf Add a new PAM service, geben den Ser-
vicenamen und eine Beschreibung an. Außerdem legen Sie fest, welche PAM-
Module zum Einsatz kommen. Mit einem Klick auf Erstellen landen Sie in der
RAM-Dienstliste, über die Sie den neuen Eintrag editieren können.

Webmin kompakt
158 PAM-Authentifizierung

Ein editierter PAM-Eintrag.

Sie editieren einen Eintrag, indem Sie auf dessen Service-Bezeichnung klicken. In
der editierten Ansicht erkennen Sie sehr schön die Einstellungen für die vier
Schritte Authentifizierung, Verifizierung, Session-Einstellungen und Passwortän-
derung.
Jedem dieser Schritte können Sie nun PAM-Module zuweisen. In voranstehender
Abbildung ist beispielsweise der CUPS-Dienst editiert. Diesem ist bereits das Mo-
dul common-auth zugewiesen. Um Einstellung zu ändern, wählen Sie ein neues
Modul aus der Auswahlliste aus und bestätigen mit Add Step for.
Es öffnet sich ein weiterer Dialog, in dem Sie die Eigenschaften des Moduls be-
stimmen. In den Moduloptionen werden Ihnen drei Einstellungen angezeigt:
· Über das Auswahlmenü Failure level bestimmen Sie eine der vier Aktio-
nen, die beim Fehlschlagen der Authentifizierung durchgeführt werden.
Die möglichen Aktionen (Required, Requisite, Sufficient und Optional)
sind bereits oben beschrieben. Außerdem können Sie über das Feld Modu-
le arguments weitere Schalter an das Modul übergeben. Für eine detail-
lierte Beschreibung sei auf die PAM-Dokumentation verwiesen, über die
Sie in der PAM-Liste (Suche in der Hilfe) zugreifen.

www.brain-media.de
Modulkonfiguration 159

Die Eigenschaften des neuen PAM-Moduls.

· Über die PAM-Moduloptionen können Sie diese aktuelle Konfiguration


auch löschen. Dazu klicken Sie am rechten Rand auf die Schaltfläche Lö-
schen.
· Mit einem Klick auf Speichern landen Sie wieder im Editiermodus. Wenn
Sie in einem Schritt mehrere PAM-Module zugewiesen haben, können Sie
deren Reihenfolge über die Spalte Move verändern.

Sollten Sie den PAM-Service nicht mehr benötigen, so öffnen Sie dessen Eigen-
schaften und klicken auf die Schaltfläche Delete PAM Service am unteren Ende des
Formulars.

12.2 Modulkonfiguration
Die Modulkonfiguration für das PAM-Modul liefert Ihnen verschiedene Informati-
onen über den Pfad des PAM-Konfigurationsverzeichnisses und die PAM-
Bibliotheken. Außerdem können Sie die zu ignorierenden Dateien und die äquiva-
lenten Module festlegen.

Die PAM-Modulkonfiguration.

Webmin kompakt
160 PAM-Authentifizierung

www.brain-media.de
161

13 Umgang mit Passwörtern

Über die Webmin-Systemverwaltung können Sie außerdem recht einfach das Be-
nutzerpasswort ändern. Webmin stellt Ihnen hierfür eine Schnittstelle zum Kom-
mando passwd zur Verfügung.
Mit einem Klick auf Passwort ändern öffnet sich die Liste der bereits vorhandenen
Systembenutzer. Um beispielsweise Root ein neues Passwort zuzuweisen, klicken
Sie auf den Root-Eintrag.
Um dem Benutzer ein neues Passwort zuzuweisen, geben Sie es in das Passwort-
feld ein und wiederholen die Eingabe im Feld Neues Passwort (bestätigen). Damit
die Änderung auch in anderen Modulen greift, sollten Sie die Option Das Passwort
auch in anderen Modulen ändern aktivieren.

Das Ändern eines Benutzerpassworts.

Die Modulkonfiguration erlaubt vier Anpassungen:


· Maximalanzahl anzuzeigender Benutzer: Hier legen Sie fest, wie viele
Benutzer maximal in der Übersicht angezeigt werden. Der Standardwert
lautet 200 und muss gegebenenfalls nach oben korrigiert werden.
· Art der Benutzerauswahl: Das Passwort-ändern-Modul präsentiert die
Benutzer standardmäßig als Textfeld. Sie können diese aber auch über ein

Webmin kompakt
162 Umgang mit Passwörtern

Auswahlmenü auswählen, indem Sie sich für die Option Auswahlfeld ent-
scheiden.
· Sortiere Benutzer nach: Hier bestimmen Sie die Reihenfolge, in der die
Benutzer aufgeführt werden. Standardmäßig werden Sie in der Reihenfol-
ge angezeigt, in der Sie in der Benutzerdatei eingetragen sind. Sie können
die Sortierung aber auch nach dem Benutzernamen ändern.
· Befehl zur Passwort-Änderung: Hier legen Sie fest, ob die Änderung di-
rekt in die Systemdateien geschrieben wird oder ob Sie ein benutzerdefi-
niertes Kommando bevorzugen.

www.brain-media.de
163

14 Software-Pakete

Ein Linux-System – unabhängig davon, ob Sie es als Server oder Workstation


einsetzen – lebt von Anwendungen. Diese werden durch Software-Pakete bereitge-
stellt, die mehr oder minder komplexe Aufgaben erledigen. Manche Anwendungen
sind abhängig von anderen und nur mit der Installation notwendiger Komponenten
lauffähig. Alles in allem ist die Software-Verwaltung eine komplexe Sache.
Für die Installation und Deinstallation von Programmen bieten sich mehrere Wege
an. Sie können das manuell oder mithilfe eines Paketmanagers erledigen. Der
Wichtigste ist RPM (Red Hat Paket Manager). Dieses Installationskonzept
wurdevon Red Hat entwickelt und als Open-Source der Linux-Gemeinschaft zur
Verfügung gestellt. Die RPM-Technik erlaubt es, Software zu installieren, zu dein-
stallieren, zu aktualisieren oder eine Installation zu prüfen.

Die Webmin-Software-Verwaltung.

Webmin kompakt
164 Software-Pakete

Webmin stellt Ihnen über seine Webschnittstelle eine einfache Software-


Verwaltung zur Verfügung, die auf den Funktionen des RPM-Managers basiert.

14.1 Umgang mit dem Paketmanager


Der Paketmanager stellt Ihnen zunächst einmal die Suchfunktion zur Verfügung,
mit der Sie prüfen können, ob ein bestimmtes Paket verfügbar ist. So können Sie
schnell prüfen, ob eine gewünschte Anwendung oder Komponente bereits instal-
liert ist.
Wird die Suche fündig, gibt sie Ihnen einen mehr oder minder umfangreichen
Bericht aus, dem Sie beispielsweise entnehmen können, welche Version installiert
ist und wann sie installiert wurde.

Die Paketdetails, die von der Suche ausgegeben werden.

Über die Schaltfläche Dateien auflisten können Sie außerdem die Paketdateien
ausgeben. Auch die Deinstallation des Pakets ist über die gleichnamige Schaltflä-
che möglich.
Die Suchfunktion unterliegt allerdings einer erheblichen Einschränkung: Wird die
Suche nicht fündig, gibt Sie lediglich eine kurze Meldung aus, dass keine Pakete
gefunden werden konnten. Eine Installation ist nicht möglich – im Unterschied zu
YaST und anderen Lösungen.

www.brain-media.de
Umgang mit dem Paketmanager 165

Neben der Suche finden Sie eine weitere nützliche Funktion: den Paketbaum
(Package Tree). Mit diesem Baum können Sie durch die verschiedenen Paketäste
navigieren.

Der Paketbaum.

Die Installation eines neuen Pakets ist recht einfach, solange es sich um ein RPM-
Paket handelt. Unter Neues Paket installieren bestimmen Sie den Speicherort der
RPM-Datei. Sie haben die Wahl zwischen:
· lokaler Datei
· heraufgeladener Datei
· FTP- oder HTTP-Server
· Suche in rpmfind

Wenn Sie die Datei ausgewählt haben, klicken Sie einfach auf Installieren.

Webmin kompakt
166 Software-Pakete

Die folgenden Installationsoptionen sind von Linux-Distribution zu Linux-


Distribution unterschiedlich. In der Regel können Sie Abhängigkeiten ignorieren
(was Sie aber nicht tun sollten), eine neuere Version durch eine ältere ersetzen und
Dateien überschreiben. Für welche Option Sie sich am besten entscheiden, muss
im Einzelfall abgewägt werden.

Die Dateiinformationen verraten Ihnen, zu welchem Paket ein Befehl gehört.

Wenn Sie zwar einen Befehl eines Pakets kennen, nicht aber dessen Paketbezeich-
nung, so können Sie diese durch das Suchfeld Datei identifizieren herausfinden.
Angenommen Sie wollen wissen, zu welchem Paket der Passwortbefehl passwd
gehört, dann uchen Sie nach passwd. Das Ergebnis verrät Ihnen, dass der Befehl zu
den pwutils gehört.

14.2 Modulkonfiguration
Auch das Software-Paket-Modul besitzt eine Modulkonfiguration, in der Sie zwei
Anpassungen vornehmen können:
· System-Paket-Managementsystem: Hier legen Sie fest, ob Sie RPM
oder ein anderes Paketmanagementsystem verwenden.
· Update-System: Hier legen Sie fest, welches Update-System zum Einsatz
kommen soll. Es empfiehlt sich, die Standardvorgabe Detect
automatically beizubehalten.

www.brain-media.de
Modulkonfiguration 167

15 System-Protokolldateien

Für den Systemadministrator sind die System-Protokolldateien eine der wichtigsten


Informationsquellen, wenn er wissen will, wie es einem System so geht. Da in
Linux-Systemen nahezu jede Aktion protokolliert werden kann, kann man (fast)
immer nachvollziehen, was wann wo passiert oder eben schiefgelaufen ist.
Logging wird gerade aus Sicherheitsgründen immer wichtiger, denn man kann
beispielsweise im Nachhinein erkennen, wann und wo im System ein Einbruchs-
versuch gelaufen ist.
Einziges Problem: Der Standard-Syslog-Daemon unter Linux ist in vielerlei Hin-
sicht sehr eingeschränkt. Er wurde inzwischen durch die Weiterentwicklung
Syslog-NG abgelöst. Inzwischen nutzen alle wichtigen Distributionen diese Vari-
ante.

Dank Webmin haben Sie auch Zugriff auf


die von Syslog-NG produzierten Daten.

Über das Webmin-Modul können Sie Syslog-NG entsprechend Ihren Anforderun-


gen anpassen. Sie können Log-Sourcen erstellen, Filter und Ziele definieren. Die
zugehörigen Protokolldateien finden Sie in der Regel im Verzeichnis /var/log. Die
Konfigurationsdatei für Syslog-NG (syslog-ng.conf) ist unter /etc/syslog-ng zu
finden.
Über die Syslog-NG-Funktionen passen Sie nicht nur die Syslog-Einstellungen und
die zu protokollierenden Prozesse an, sondern Sie können die Protokolldateien
auch einsehen.

Webmin kompakt
168

Bevor Sie sich mit den Protokolldateien auseinandersetzen, machen Sie sich am
besten zunächst an die Protokolloptionen. Überfliegen Sie die Standardeinstellun-
gen, ob diese Ihren Vorstellungen entsprechen.

Die Konfiguration der Protokollierung.

Für den Anfang genügt es, wenn Sie die Standardeinstellungen beibehalten.

www.brain-media.de
169

16 Systemstart

Hinter dem Link System-Start und Stop verbergen sich die Anpassungsmöglichkei-
ten für das Booten und das Herunterfahren Ihres Systems. Konkret geht es also
darum, welche Anwendungen beim Systemstart in welchen Einstellungen geladen
werden.

Die Einstellungen für das Booten und Herunterfahren Ihres Systems.

Mit diesem Webmin-Modul können Sie die Skripts editieren und bearbeiten, die
beim Starten bzw. Herunterfahren Ihres Systems ausgeführt werden. Wenn Sie auf
das Modul zugreifen, listet es Ihnen eine Vielzahl von Aktionen auf, die bereits in
den Systemstart eingebunden sind bzw. in diesen eingebunden werden können.

Webmin kompakt
170 Systemstart

Neben der Aktion führt das Formular den Status (ob die Aktion beim Systemstart
ebenfalls gestartet wird oder nicht) und eine Kurzinfo auf.

16.1 Dienst bearbeiten


Schauen wir uns genauer an, welche Funktionen dieses Modul zu bieten hat. Der
Einfachheit halber schauen wir uns die Einstellungen eines Dienstes an, von dem
wir wissen bzw. vermuten, dass er beim Systemstart geladen wurde. Nehmen wir
beispielsweise das Drucksystem, das bei Standardsystemen immer installiert ist.
Suchen Sie in der Aktionsliste einfach den Eintrag cups. In der Statusspalte sollte
die Info Ja zu finden sein, die Ihnen anzeigt, dass das Drucksystem gestartet ist.

Das Bearbeiten des CUPS-Dienstes.

Der Editierdialog führt zunächst die Dienstbeschreibung und dann das eigentliche
Skript auf. Wichtig für die Ausführung ist der Schalter Start beim Systemstart. Hier
legen Sie fest, ob der Dienst nun automatisch gestartet wird oder nicht.
Es folgen verschiedene nützliche Schaltflächen, über die Sie den Dienst steuern
können:
· Speichern: Mit einem Klick übernehmen Sie Änderungen an dem Start-
Skript.
· Jetzt starten: Diese Schaltfläche erlaubt das manuelle Starten des Diens-
tes.

www.brain-media.de
Dienst bearbeiten 171

· Jetzt neu starten: Erlaubt das erneute Starten des Dienstes.


· Zeige Status: Mit dieser Prüffunktion können Sie den Status des Druck-
dienstes abrufen. Der kann beispielsweise Running für Laufend ausgeben.
· Jetzt stoppen: Mit einem Klick halten Sie den Dienst sofort an. Diese
Funktion benötigen Sie beispielsweise, wenn Sie Änderungen an dem
Startskript durchführen wollen.
· Löschen: Mit der letzten Schaltfläche können Sie schließlich den Dienst
löschen.

Hier erfahren Sie, wie es um den Status des CUPS-Dienstes bestellt ist.

Die Anpassung eines Start-Skripts ist sicherlich nichts für unbedarfte Anwender.
Hier ist eine Menge Hintergrundwissen zum jeweiligen Dienst und zum Boot-
Vorgang als solchem erforderlich.
Damit Sie einen Eindruck bekommen, wie ein solches Skript aussehen kann, hier
ein Ausschnitt aus dem CUPS-Skript:
# /etc/init.d/cupsd
#
# and symbolic its link
#
# /sbin/rccupsd
#
# System startup script for the CUPS printer daemon
#
### BEGIN INIT INFO
# Provides: cupsd

Webmin kompakt
172 Systemstart

# Required-Start: $local_fs $remote_fs $syslog


# Required-Stop: $remote_fs $syslog
# Should-Start: earlykdm hotplug named portmap ptal
slpd printbill hplip
# Should-Stop: portmap
# Default-Start: 2 3 5
# Default-Stop: 0 1 6
# Description: Start CUPS printer daemon
### END INIT INFO

# Source SuSE config, only if exists with size greater zero


test -s /etc/rc.config && \
. /etc/rc.config

# Shell functions sourced from /etc/rc.status:


# rc_check check and set local and overall rc
status
# rc_status check and set local and overall rc
status
# rc_status -v ditto but be verbose in local rc
status
# rc_status -v -r ditto and clear the local rc status
# rc_failed set local and overall rc status to
failed
# rc_failed <num> set local and overall rc status to
<num><num>
# rc_reset clear local rc status (overall re-
mains)
# rc_exit exit appropriate to overall rc status

CUPSD_BIN=/usr/sbin/cupsd

test -s /etc/rc.status && \

www.brain-media.de
Dienst bearbeiten 173

. /etc/rc.status

test -s /etc/sysconfig/cups && \


. /etc/sysconfig/cups

test -x $CUPSD_BIN || exit 5

# First reset status of this service


rc_reset

# Return values acc. to LSB for all commands but status:


# 0 - success
# 1 - generic or unspecified error
# 2 - invalid or excess argument(s)
# 3 - unimplemented feature (e.g. "reload")
# 4 - insufficient privilege
# 5 - program is not installed
# 6 - program is not configured
# 7 - program is not running
#
# Note that starting an already running service, stopping
# or restarting a not-running service as well as the restart
# with force-reload (in case signalling is not supported) are
# considered a success.

# change umask to avoid problems in wrong file permission of


/etc/printcap
# (SuSE buzilla #16567)
umask 022

case "$1" in

Webmin kompakt
174 Systemstart

start)
echo -n "Starting cupsd"

Am Fuße der Dienstliste finden Sie weitere wichtige Funktionen.

Am unteren Ende des Formulars finden Sie verschiedene weitere nützliche Funkti-
onen, mit denen Sie insbesondere typische Aktionen auf mehrere Dienste anwen-
den können. Konkret stehen Ihnen folgende Funktionen zur Verfügung:
· Starte ausgewählte: Mit einem Klick auf diese Schaltfläche starten Sie
all die Dienste, die Sie in der linken Spalte markiert haben.
· Stoppe ausgewählte: Entsprechend können Sie alle markierten Dienste
mit einem Klick anhalten.
· Restart selected: Ein Klick führt einen Neustart der ausgewählten Diens-
te durch. Der Einsatz dieser Funktion ist beispielsweise sinnvoll, wenn Sie
an mehreren Diensten Änderungen vorgenommen haben und deren Wir-
kung im Zusammenspiel testen wollen.
www.brain-media.de
Dienst bearbeiten 175

· Aktiviere ausgewählte zur Bootzeit: Mit einem Klick auf diese Schalt-
fläche sorgen Sie dafür, dass die ausgewählten Dienste beim nächsten
Systemstart ebenfalls gestartet werden. So können Sie den Boot-Vorgang
einfach um weitere Dienste erweitern.
· Deaktiviere ausgewählte zur Bootzeit: Auch der umgekehrte Weg steht
Ihnen offen. Wenn Sie markierte Dienste aus dem Boot-Vorgang heraus-
nehmen wollen, markieren Sie die Dienste und klicken auf diese Schalt-
fläche.
· Jetzt starten & zur Bootzeit aktivieren: Ein Klick startet die aktivierten
Dienste und führt sie zudem beim nächsten Systemstart automatisch aus.
· Jetzt stoppen & zur Bootzeit deaktivieren: Entsprechend können Sie
Dienste manuell anhalten und für die Zukunft aus dem Boot-Vorgang her-
ausnehmen.

Das Formular für das Erstellen eines neuen Start- und Stopp-Dienstes.

Über den Link Einen neuen Start- und Stop-Dienst erstellen können Sie die Stan-
dardliste um weitere Dienste erweitern. Dazu folgen Sie dem Link und geben in

Webmin kompakt
176 Systemstart

das zugehörige Formular der Reihe nach eine Bezeichnung, eine Beschreibung
sowie die Start- und dann die Herunterfahren-Kommandos an. Schließlich bestim-
men Sie, ob der neue Dienst beim nächsten Systemstart gestartet werden soll oder
nicht.
Es folgen drei weitere Funktionen:
· Wechsle zum Runlevel: Mit dieser Funktion können Sie Ihr System vom
aktuellen zum ausgewählten Runlevel umschalten. Die Funktion stoppt al-
le Dienste im aktuellen Runlevel und startet danach alle Dienste des neu-
en Runlevels. Achtung: Es kann sein, dass Webmin nach der Ausführung
nicht mehr zur Verfügung steht! Seien Sie daher vorsichtig bei Änderun-
gen des Runlevels.
· System neu starten: Klicken Sie auf diese Schaltfläche, um das System
sofort neu zu starten. Alle im Moment eingeloggten Benutzer werden vom
System getrennt und alle Dienste werden neu gestartet.
· System herunterfahren: Ein Klick auf diese Schaltfläche fährt das Sys-
tem jetzt sofort herunter. Dabei werden alle Dienste gestoppt, alle Benut-
zer getrennt und das System abgeschaltet (vorausgesetzt, Ihre Hardware
unterstützt das).

16.2 Modul-Konfiguration
Auch das System-Start- und -Stopp-Modul verfügt über eine Modulkonfiguration,
mit der Sie verschiedenste Anpassungen vornehmen können. Die Modulkonfigura-
tion umfasst drei Bereiche mit jeweils mehr oder minder vielen Einstellungen:
· Konfigurierbare Optionen: Hier finden Sie die Einstellungen, die über
Webmin anpassbar sind. Sie können beispielsweise die Sortierreihenfolge
anpassen, und zwar alphabetisch und nach der Boot-Reihenfolge.
· Systemkonfiguration: Hier finden Sie die Einstellungen für die Boot-
und Herunterfahren-Konfiguration Ihres Linux-Systems. Konkret bei-
spielsweise die Kommandos für den Shutdown oder die Verzeichnisse, in
denen die Init-Skripts liegen.
· OSX system configuration: Hier können Sie verschiedene OSX-
Einstellungen anpassen.

www.brain-media.de
Modul-Konfiguration 177

Die Modulkonfiguration.

Webmin kompakt
178 Systemstart

www.brain-media.de
179

17 Systemdokumentation

Mit dem letzten System-spezifischen Webmin-Modul können Sie Anpassungen der


Systemdokumentation vornehmen. Konkret erlaubt Ihnen dieses Modul, die Sys-
tem-Handbücher so zu durchsuchen, als ob Sie den man-Befehl benutzen.

Die Einstellungen für die Systemdokumentation.

Die Handhabung der Funktion ist einfach: Geben Sie einfach den Befehl oder die
Funktion in das Suchfeld Suche nach ein, zu der Sie Informationen suchen. Be-
stimmen Sie mit den Schaltern Alle Worte bzw. Beliebige Worte, ob Sie nach einer
exakten Übereinstimmung für den Befehlsnamen oder ein Wort in der Beschrei-
bung suchen. Dann bestimmen Sie, ob Titel oder Titel und Inhalt der Manpages
durchsucht werden sollen, wählen den Handbuchbereich für die Suche und drücken
die Suchen-Schaltfläche.

Webmin kompakt
180 Systemdokumentation

Über Suche in können Sie neben den Manpages auch die Webmin-Hilfe, Paket-,
KDE-, und Perl-Modul-Dokumentationen und sogar die Google-Suchmaschine für
Ihre Recherche einbinden.
Wenn Sie nach einer exakten Übereinstimmung suchen, wird die Handbuchseite
für den Befehl oder die Funktion angezeigt, wenn sie gefunden wird. Wenn Sie
nach einer Beschreibung suchen, wird Ihnen eine Liste der übereinstimmenden
Handbücher angezeigt, damit Sie die anzuzeigenden Befehle/Funktionen auswäh-
len können.
Sie sehen: Auch die weitere Informationssuche zu spezifischen Themen ist mit
Webmin kein Problem.

www.brain-media.de
181

18 Apache-Webserver

Neben der Systemkonfiguration taugt Webmin zur zentralen Steuerung wichtiger


Server. Die zugehörige Funktion für die Konfiguration von über zwanzig gängigen
Servern ist über die Server-Kategorie zugänglich.

Ein erster Blick auf die Server-Übersicht.

Sie können mit Webmin beispielsweise den Apache-Webserver, den MySQL-


Datenbankserver und auch den Samba-Server administrieren. Es liegt in der Natur
der Sache, dass die Funktionalität der Webmin-Module sich nicht mit Spezialisten
wie phpMyAdmin für die MySQL-Administration messen kann. Doch das ist in
der Praxis meist auch nicht erforderlich. Die Webmin-Module beschränken sich
auf zentrale Aufgaben, denen Sie sich im Admin-Alltag stellen müssen.
Für Sie als sicherheitsbewussten Administrator ist in diesem Zusammenhang wich-
tig, dass Sie neben kritischen Systemen wie einem Apache-Webserver auch

Webmin kompakt
182 Apache-Webserver

Sicherheitsspezialisten wie den SSH-Server, Spamassassin und den Squid-Proxy-


Server verwalten können.
Über den Apache-Server und seine Bedeutung für moderne IT-Infrastrukturen
muss man an dieser Stelle sicherlich nicht viele Worte verlieren. Er ist ein essenzi-
ell wichtiges Tool für nahezu jedes Netzwerk. Da er immer häufiger auch als
Grundlage von Business-Anwendungen wie Content-Managementsystemen, Onli-
ne-Shops, CRM-Systemen und dergleichen mehr dient, kommt man als Admin
kaum um den Server herum.

Die Funktionen des Apache-Moduls.

Mithilfe des Webmin-Moduls können Sie alle wichtigen Konfigurationen erstellen


und bearbeiten. Selbst das Erstellen von virtuellen Servern und Benutzern/Gruppen
ist mit Webmin einfach durchzuführen.
Das Webmin-Modul präsentiert Ihnen auf seiner Übersicht mehrere Register: Auf
dem Register Global configuration erfolgt die allgemeine Apache-Server-
Konfiguration, auf den Registern Existing virtual hosts und Create virtual host
verwalten und erstellen Sie virtuelle Server.
In der Regel ist keine Modulanpassung bei Einsatz des Apache-Moduls erforder-
lich, denn Webmin liest meist die bestehenden Apache-Konfigurationen korrekt
ein. Sollte noch kein Apache-Webserver installiert sein, weist Sie das Modul auf
eine fehlerhafte Modulkonfiguration hin, die ihren Grund auch im Fehlen des Ser-
vers haben kann.
Im Kopfbereich finden Sie neben der Modulkonfiguration zwei weitere Links, über
die Sie den Apache starten bzw. anhalten und die Apache-relevanten Dokumente
durchstöbern können.
www.brain-media.de
Globale Apache-Einstellungen 183

Die Funktionen des Apache-Moduls.

18.1 Globale Apache-Einstellungen


Widmen wir uns zunächst der Server-übergreifenden Konfiguration. Die globale
Apache-Konfiguration umfasst zehn Konfigurationsbereiche. Über den Link Pro-
zesse und Grenzwerte können Sie den Apache in seine Grenzen weisen. Hier kön-
nen Sie insbesondere die maximale Anzahl an Server-Prozessen definieren. Bei
Standardinstallationen sind an den Voreinstellungen meist keine Anpassungen
erforderlich.
Wie Sie im weiteren Verlauf dieses Kapitels noch sehen werden, können Sie für
virtuelle Server spezifischere Einstellungen vornehmen.
Hinter dem Link Netzwerk und Adressen verbergen sich die Netzwerkeinstellungen
Ihres Apache-Systems. In dem zugehörigen Formular legen Sie fest, auf welche
Adressen und Ports Ihr Server lauscht – und auf welche nicht. Diese tragen Sie
einfach in das Adressenfeld samt zugehörigem Port ein.
Sie können außerdem Adressen für die Namen der virtuellen Server und die maxi-
mal zulässige Anzahl an Requests pro Verbindung bestimmen. Die letztgenannte
Konfiguration ist wichtig, um sich vor Attacken von außen zu schützen.

Webmin kompakt
184 Apache-Webserver

Die Netzwerkeinstellungen für Ihren Apache-Webserver.

Hinter dem Link MIME-Typen sind die gleichnamigen Typen definiert. Sie definie-
ren, um welche Art von Daten es sich handelt. Ein MIME-Typ besteht aus zwei
Teilen: der Angabe eines Medientyps und der Angabe eines Subtyps. Beide Anga-
ben werden durch einen Schrägstrich voneinander getrennt (z. B. applicati-
on/ghostview oder image/jpeg). Es gibt folgende Medientypen:
· text – für Text
· image – für Grafiken
· video – für Videomaterial
· audio – für Audiodaten
· application – für uninterpretierte binäre Daten, Mischformate oder Infor-
mationen, die von einem bestimmten Programm verarbeitet werden sollen
· multipart – für mehrteilige Daten
· message – für Nachrichten, beispielsweise message/rfc822
· model – für Daten, die mehrdimensionale Strukturen repräsentieren

www.brain-media.de
Globale Apache-Einstellungen 185

Die Konfiguration der MIME-Typen.

Die Apache bekannten MIME-Typen samt den oben erwähnten Typinformationen


finden Sie in der globalen MIME-Typenliste. Wie Sie dem Formular entnehmen
können, werden die Einstellungen in der Datei /etc/apache2/mime.types verwaltet.
Über den Link Einen neuen MIME-Typ hinzufügen können Sie durch Angabe der
Typenbezeichnung und der Erweiterung die Liste erweitern.

Die Benutzer- und Gruppeneinstellungen für Ihren Apache.

Es folgt der Link Benutzer und Gruppe. Dessen Einstellungen sind ebenfalls recht
einfach. Hier können Sie den Benutzernamen und den Gruppennamen des Apache-

Webmin kompakt
186 Apache-Webserver

Servers einsehen und ändern. Die Benutzer- und Gruppen-ID werden nicht ange-
zeigt, können allerdings über das gleichnamige Eingabefeld geändert werden.
Wenn Sie wissen wollen, welches die aktuellen IDs sind, wechseln Sie zur Katego-
rie System und öffnen Sie das Modul Benutzer und Gruppen. Dort finden Sie die
Systembenutzer und -gruppen.
Unter Verschiedenes können Sie eine Handvoll Anpassungen vornehmen. So kön-
nen Sie beispielsweise bestimmen, welche Informationen im Header enthalten
sind. Standardmäßig sind im HTTP-Header die Apache-Version und das Betriebs-
system enthalten.
In den meisten Fällen sind auch bei den Apache-übergreifenden CGI-Einstellungen
keine Änderungen vorzunehmen.
Für die allgemeine Zugriffssteuerung ist die Konfiguration der Per-Directory-
Einstellungsdateien wichtig. Durch zusätzliche Per-Directory-Einstellungen kön-
nen Sie diese in jedem Verzeichnis durch eine Datei (meist .htaccess) definieren.
Diese Einstellungen betreffen alle Dateien in dem Verzeichnis und in allen Unter-
verzeichnissen, soweit sie nicht von einer anderen Optionsdatei überschrieben
werden. Es empfiehlt sich allerdings, die Beschränkungen für jeden virtuellen
Server gesondert zu definieren.

Über dieses Formular konfigurieren Sie installierte Module neu.

www.brain-media.de
Globale Apache-Einstellungen 187

Wichtig für die funktionale Erweiterung Ihrer Apache-Installation sind die Einstel-
lungen, die sich hinter dem Link Installierte Module neu konfigurieren verbergen.
Auf den zugehörigen Seiten zeigt Ihnen Webmin eine Liste mit allen von Webmin
unterstützten Apache-Modulen an. Die aktuell installierten werden durch eine
Häkchen bzw. Kreuz markiert. Falls Sie dynamisch geladene Module benutzen,
können Sie diese auswählen.
Diese Funktion ist beispielsweise dann wichtig, wenn Sie den Apache-Webserver
auch als Proxy-Server nutzen wollen. Dazu später mehr.
Etwas für Apache-Kenner ist die Funktion Definierte Parameter bearbeiten. Wenn
Apache gestartet wird, können Parameter mit der Befehlzeilenoption -D an den
Server übergeben werden. Weil diese Parameter die Direktiven beeinflussen, die in
Ihren Konfigurationsdateien vorkommen, muss Webmin wissen, welche Parameter
dem Apache beim Start übergeben werden. Geben Sie die in Ihrem System benutz-
ten Parameter in das Textfeld ein, das Ihnen diese Funktion präsentiert.

Das Apache-Modul erlaubt auch manuelle Eingriffe


in die Apache-Konfigurationsdateien.

Webmin kompakt
188 Apache-Webserver

Schließlich sieht die globale Apache-Konfiguration das Editieren der verschiede-


nen Apache-Konfigurationsdateien vor. Folgen Sie dazu einfach dem Link Bear-
beite Konfigurationsdateien und wählen Sie aus dem Auswahlmenü die Datei aus,
die Sie einsehen und eventuell bearbeiten wollen. Das Auswahlmenü zeigt Ihnen
den vollständigen Pfad zu den Dateien an. Änderungen übernehmen Sie mit einem
Klick auf die Schaltfläche Speichern.
So richtig interessant wird es eigentlich erst, wenn Sie sich dem Bereich Virtuelle
Server widmen. Dort finden Sie bereits einen Eintrag: Standard-Server. Dieser
definiert die Standardeinstellungen für alle anderen virtuellen Server und beant-
wortet alle unbehandelten Anfragen.

Die Einstellungen für den virtuellen Standard-Server.

Bevor wir uns den Einstellungen und dem Erstellen eines virtuellen Servers wid-
men, schauen wir uns noch kurz an, wo die Dateien zu finden sind bzw. abgelegt
werden, die über Ihren Apache publiziert werden.
Bei einer Standardinstallation sind Ihre Inhalte über http://localhost bzw. über
http://Hostname erreichbar. Der Standardport lautet 80 und muss im Browser nicht
angegeben werden.
Auf Ihrem Linux-System lagern die Seiten für den Standardserver beispielsweise
im Verzeichnis /srv/www/htdocs/. Den konkreten Pfad finden Sie in der Apache-

www.brain-media.de
Virtuellen Server erzeugen 189

Modulkonfiguration. Standardmäßig wird beim Zugriff auf den Server die Datei
index.html geladen.
Um Dateien auf dem Apache-Server zu publizieren, können Sie einen FTP-Client
oder auch Webmin verwenden. Der Einsatz von Webmin ist allerdings nur beim
Hochladen von einzelnen Seiten sinnvoll. Greifen Sie dazu zum Java-basierten
Dateimanager, der in Webmin integriert ist. Sie finden diesen in der Kategorie
Sonstiges.

18.2 Virtuellen Server erzeugen


Da die Einstellungen des bereits existierenden Standardservers und die eines neuen
virtuellen Servers prinzipiell identisch sind, erzeugen wir hier einen ersten neuen
virtuellen Server und schauen uns die wichtigsten Einstellungen an.
Das Erstellen eines virtuellen Servers ist recht einfach. Sie finden im unteren Be-
reich des Apache-Moduls das Formular zum Anlegen eines solchen. Hier nehmen
Sie eine Handvoll Einstellungen vor, die Sie dann im weiteren Verlauf verfeinern
können.

Ein neuer virtueller Server entsteht.

Webmin kompakt
190 Apache-Webserver

Zunächst stehen Ihnen verschiedene Einstellungen zur Behandlung von Verbin-


dungen zum virtuellen Server zur Verfügung. Konkret legen Sie hier fest, ob es
sich um einen Namen- oder um einen Host-basierten Server handelt.
Soll der virtuelle Server einem anderen Anwender gehören, so sollten Sie diesen
zunächst in der Webmin-Benutzer- und Gruppenverwaltung erzeugen. Erzeugen
Sie dann ein Unterverzeichnis www in dessen Home-Verzeichnis.
In der Regel können Sie den Standard-Port (80) beibehalten. Wenn Sie einen ande-
ren Port verwenden wollen, müssen Sie diesen im Apache-Modul unter Netzwerk
und Adresse zunächst eintragen.
Für das Anlegen eines IP-basierten virtuellen Servers tragen Sie die IP-Adresse in
das Feld Definierte Adresse ein. Im Falle eines namenbasierten Servers sind Sie
mit der Standardeinstellung Jede Adresse bereits richtig.
Die beiden folgenden Optionen sollten Sie aktiviert lassen:
· Füge den Namen einer virtuellen Serveradresse hinzu (wenn benötigt)
· Lausche auf Adresse (wenn benötigt)

Bei einem namenbasierten Server sollte die erste Option aktiviert bleiben. Im Ein-
gabefeld Dokument-Root geben Sie das Wurzelverzeichnis für den virtuellen Ser-
ver an. Dies kann beispielsweise /home/username/www/ lauten.
Als Nächstes ist der Servername dran. Sie können diesen selbst bestimmen oder
aber auch durch den Webmin-Automatismus definieren lassen. Sie können übri-
gens auch mehrere Servernamen in das Formularfeld eingeben.
Unter Hinzufügen eines Virtuellen Servers zu Datei bestimmen Sie, ob dessen
Einstellungen in die Standard-Apache-Konfigurationsdatei hinzugefügt oder ob
eine neue Datei im Verzeichnis erzeugt wird, in dem die Konfigurationen für die
Server hinterlegt sind. Standardmäßig ist das /etc/apache/vhosts.d.
Mithilfe des Formulars können Sie auch Server-Einstellungen einfach klonen.
Dazu verwenden Sie das Auswahlmenü Kopiere Direktiven von und wählen einen
Eintrag eines bereits erzeugten virtuellen Servers aus.
Mit einem abschließenden Klick auf Jetzt erzeugen wird der neue Server angelegt.
Sie finden den neuen Eintrag anschließend in der Modulübersicht.

www.brain-media.de
Virtuellen Server erzeugen 191

Zwei neue virtuelle Server sind bereits mithilfe von Webmin erzeugt.

Nachdem Sie den ersten virtuellen Server erzeugt haben, können Sie für diesen
eine Vielzahl weiterer Anpassungen vornehmen. Einige dieser Einstellungen wie
beispielsweise den Port haben Sie selbst definiert. Alle anderen basieren auf denen
des Standard-Servers.
Um die Einstellungen eines Servers zu bearbeiten, klicken Sie einfach auf den
zugehörigen Eintrag im Webmin-Apache-Modul. Ihnen stehen insgesamt sechzehn
Einstellungen zur Verfügung, um die Detailkonfiguration vorzunehmen. Einigen
dieser Einstellungen sind wir bereits bei der globalen Apache-Konfiguration be-
gegnet.
Neben den allgemeinen Einstellungen für den virtuellen Server können Sie die
bereits erwählten Per-Directory-Einstellungen vornehmen.

Webmin kompakt
192 Apache-Webserver

Die Funktionen für die Detailkonfiguration des virtuellen Servers.

18.3 Protokolleinstellungen
Standardmäßig protokolliert der Apache jeden bearbeiteten Request in einem Stan-
dardformat in seinen Logfiles. Welche Ereignisse für Ihren virtuellen Server auf-
gezeichnet werden, bestimmen Sie in den Protokolleinstellungen.
In der Standardkonfiguration werden alle Protokollinformationen für virtuelle
Server in eine Protokolldatei geschrieben. Wenn Sie allerdings viele Server zu
managen haben, so wird diese Protokolldatei schnell sehr groß und entsprechend
unübersichtlich. Das Herauslesen relevanter Informationen über Engpässe oder
andere Probleme wird somit immer schwieriger.
Es empfiehlt sich daher, für die einzelnen virtuellen Server eigene Protokolldateien
anzulegen. Sie sollten außerdem prüfen, welcher Fehlerlevel für die Protokollie-
rung der richtige ist.

www.brain-media.de
Protokolleinstellungen 193

Die Konfiguration der Protokolle.

Mit der ersten Einstellung Protokolliere Fehler nach bestimmen Sie, ob Sie die
Standardprotokollierung beibehalten, oder eine andere Variante nutzen wollen. In
der Regel ist es sinnvoll, für jeden Server eine eigene Protokolldatei zu erzeugen,
die dann mit einem Spezialisten wie AWStats (http://www.awstats.org) ausgewer-
tet wird.
Sie können auch ein externes Programm verwenden. Dazu geben Sie die ge-
wünschten Kommandos in das Eingabefeld Programm ein. Es folgt die Konfigura-
tion des zu protokollierenden Fehlerlevels. Sie haben hier die Wahl zwischen fol-
genden Einstellungen:
· Notfälle – System ist unbrauchbar (emerg)
· Es müssen sofort Maßnahmen ergriffen werden (alert)
· Fehler (error)
· Warnungen (warn)
· Normale, aber signifikante Vorfälle (notice)
· Informativ (info)
· Debug-Level-Nachrichten (debug)

Webmin kompakt
194 Apache-Webserver

Für welchen Level Sie sich entscheiden, ist abhängig vom Einsatzbereich des vir-
tuellen Servers. Wenn Sie beispielsweise einen Online-Shop implementieren und
sich noch in der Testphase befinden, kann es sinnvoll sein, dass Sie bis auf Weite-
res den Level Debug-Level-Nachrichten verwenden.
Im „normalen“ Server-Betrieb ist der Level Error meist ausreichend. Dabei wird
Ihre Protokolldatei nicht mit unnötigen Informationen zugemüllt.
Es folgt die Auswahl des Protokollformats. In der Apache-Konfiguration sind
bereits verschiedene Standardformate wie common und combined definiert. In der
Regel kommen Sie mit dem Standardformat gut aus.
Unter Zugang zu den Protokolldateien können Sie schließlich das Format und die
Datei bestimmen. Auch hier kommen Sie meist mit den Standardeinstellungen aus.

Die Dokumentoptionen für Ihren Server.

Wenn Sie dem Link Dokumentoptionen folgen, so können Sie das Dokumenten-
Root- und das Benutzerverzeichnis für den Server ändern. Standardmäßig ist der
Server beispielsweise für jedermann zugänglich. Sie können den Zugriff aber auch
gezielt beschränken, indem Sie entweder Benutzer ausschließen oder den Zugriff
nur bestimmten Anwendern erlauben. Tragen Sie dazu die Benutzer in das zugehö-
rige Feld ein. Es muss sich dabei um System-Benutzer handeln.

www.brain-media.de
Fehlerbehandlung 195

Mindestens genauso interessant sind die Anpassungsmöglichkeiten, die Ihnen der


Bereich Verzeichnisoptionen bietet. Hier können Sie verschiedene sicherheitsrele-
vante Einstellungen bearbeiten. So können Sie beispielsweise die Ausführung von
CGI-Programmen und Server-Side-Includes und das Erzeugen von Verzeichnis-
Indizes aktivieren bzw. deaktivieren.
Da standardmäßig alle Verzeichnisoptionen deaktiviert sind, ist Ihr virtueller Ser-
ver zumindest für derlei Gefahren nicht anfällig.

Die Fehlerbehandlung erlaubt das Erstellen von


benutzerdefinierten Fehlermeldungen.

18.4 Fehlerbehandlung
Versucht ein Besucher des virtuellen Servers auf ein Dokument zuzugreifen, das
nicht existiert oder die Datei bzw. das Verzeichnis passwortgeschützt ist, so gibt
der Apache-Webserver standardmäßig eine typische Fehlermeldung aus. Das sieht
nicht immer sonderlich professionell aus.
Um Ihren Benutzern ansprechendere Informationen beim Auftreten eines Fehlers
präsentieren zu können, folgen Sie dem Link Fehlerbehandlung. In dem einfachen
Formular können Sie benutzerdefinierte Fehlermeldungen erstellen.
Dazu geben Sie zunächst in der Spalte Fehlercode einen Apache-Fehlercode ein
(beispielsweise 403, 403, 401 oder 500) und bestimmen dann in der Spalte Mel-
dung, ob der Benutzer beim Auftreten des Fehlers zu einer anderen Seite (URL)
geführt oder ob ihm eine kurze Hinweismeldung angezeigt wird. Die URL oder die
Nachricht geben Sie in das Eingabefeld ein und speichern die Einstellungen mit
einem Klick auf Speichern.

Webmin kompakt
196 Apache-Webserver

18.5 Aliasse und Umleitungen


Bei einer typischen Apache-Installation besteht eine direkte Beziehung zwischen
der URL, mit der ein Dokument oder eine Datei angefordert wird, und der Datei,
die an den Browser des Benutzers zurückgegeben wird. Fordert ein Benutzer bei-
spielsweise im Browser folgenden http://www.testserver.de/bilder/testbild.gif an,
so wird die Datei aus dem Verzeichnis /home/test/bilder/testbild.gif bezogen.

Die Konfiguration der Aliasse und Umleitungen.

Mithilfe der Funktion Aliase und Umleitungen können Sie diesen – und mehr –
ändern. Die Einstellungen im Einzelnen:
· Dokumentverzeichnis Aliase: In diesen Feldern bestimmen Sie das
Mapping von Verzeichnis und Alias. Typische Paare könnten wie folgt
aussehen:
/error/ /usr/share/apache2/error
/icons/ /usr/share/apache2/icons/

www.brain-media.de
Aliasse und Umleitungen 197

· Regulärer Ausdruck für den Dokumentenverzeichnis-Alias: Das Er-


zeugen von Aliassen vereinfacht sich durch die Verwendung von regulä-
ren Ausdrücken. Hier ein Beispiel:
^/manual(?:/(?:de|en|fr|ja|ko|ru))?(/.*)?$
/usr/share/apache2/manual$1

Umleitungen sind den Aliassen sehr ähnlich, allerdings erfüllen sie einen anderen
Zweck und haben eine andere Aufgabe. Konkret können Sie mit diesem Mecha-
nismus beispielsweise einen Benutzer von A nach B umleiten. Sie könnten bei-
spielsweise alle Requests an http://www.testserver.de/webmin/ an die Adresse
http://www.webmin.com umleiten.
In der Praxis wird bei der Umleitung ein 302-Status-Code an den Browser übermit-
telt, der den Benutzer über die Umleitung informiert. Ob dieser die Umleitung
akzeptiert, ist natürlich dessen Entscheidung, denn schließlich könnte es sich auch
um eine getarnte Attacke handeln, die den Anwender zu einer speziell präparierten
Site führt. Über das Aliasse- und Umleitungsformular können Sie vier Umleitun-
gen aktivieren:
· Standard-Umleitung
· Verwendung eines regulären Ausdrucks für die Umleitung
· Permanente Umleitung
· Temporäre Umleitung

Testen Sie in jedem Fall die Umleitung und Aliasse, bevor Sie diese der Allge-
meinheit zugänglich machen, damit Sie auch den gewünschten Effekt erzielen.

Webmin kompakt
198 Apache-Webserver

Webmin erlaubt auch die Konfiguration der CGI-Umgebung.

18.6 CGI-Konfiguration
Mithilfe der CGI-Schnittstelle lassen sich externe Anwendungen in den Apache-
Webserver integrieren. Aus Sicht der Systemsicherheit ist das CGI immer proble-
matisch, weil Schwachstellen für Angreifer beliebte Ziele sind. Außerdem ist die
Ausführung von Anwendungen recht langsam. CGI-Skripts können in unterschied-
lichen Programmiersprachen entwickelt werden, beispielsweise in Perl.
Die CGI-Skripts werden in der Regel im CGI-Verzeichnis abgelegt oder aber er-
halten die Dateierweiterung CGI, damit sie als Skripts erkannt und entsprechend
behandelt werden. Für welchen Weg Sie sich entscheiden, bleibt Ihnen überlassen.
Der eine Anwender findet es bequemer, alle CGI-Skripts in einem Ordner zu ver-
walten. Ein anderer zieht es vor, Skripts in die jeweiligen Verzeichnisse zu packen,
in denen auch die relevanten HTML-Dokumente und sonstigen Dateien lagern.
Um Dateien mit der Erweiterung CGI als CGI-Skripts zu registrieren, gehen Sie
wie folgt vor:
1. Öffnen Sie die Einstellungen des Standard-Servers.
2. Wechseln Sie dann zu den Per-Directory-Einstellungen und öffnen
Sie das Verzeichnis, für das Sie die CGI-Einstellungen bearbeiten

www.brain-media.de
CGI-Konfiguration 199

wollen. Auf die Per-Directory-Einstellungen kommen wir später noch


zu sprechen.
3. Wenn Sie ein neues Verzeichnis anlegen wollen, für das diese Ein-
stellungen gelten, wählen Sie im Feld Einstellungen anwenden auf …
den Typ Verzeichnis, geben den Pfad an und klicken auf Speichern.
4. Nachdem Sie zu dem gewünschten Verzeichnis gewechselt sind, kli-
cken Sie auf Dokumentoptionen und aktivieren die Option CGI-
Programme ausführen.
5. Speichern Sie die Änderung mit einem Klick auf Speichern. Nun
weiß der Apache schon einmal, dass die CGI-Unterstützung aktiviert
ist.
6. Nun wechseln Sie zu den MIME-Typ-Einstellungen. Im Auswahlme-
nü Content Handler wählen Sie den Eintrag cgi-script und geben in
das Eingabefeld Erweiterungen cgi ein.
7. Mit einem Klick auf Speichern weiß der Apache-Webserver jetzt,
dass alle Dateien mit der Dateierweiterung cgi in diesem Verzeichnis
(samt Unterverzeichnissen) CGI-Skripts sind. Wenn Sie wollen, dass
diese Einstellung Apache-weit greift, müssen Sie nur die höchste
Verzeichnisebene entsprechend konfigurieren.

Die CGI-Konfiguration erlaubt Ihnen auch das Erstellen eines zentralen CGI-
Verzeichnisses. Dazu führen Sie folgende Schritte aus:
1. Öffnen Sie den Standard-Server und klicken Sie auf das Icon CGI-
Programme.
2. Unter CGI-Verzeichnis-Aliasse erzeugen Sie ein Mapping, das bei-
spielsweise wie folgt aussieht:
/cgi-bin/ /srv/www/cgi-bin/

3. Sichern Sie die Konfiguration mit einem Klick auf Speichern. Sie
können nun Ihre Skripts in den Ordner /cgi-bin legen, damit diese
Apache-weit verfügbar sind.

Webmin kompakt
200 Apache-Webserver

18.7 Verzeichnisindizierung
Hinter dem Link Verzeichnisindizierung verbergen sich die sogenannten IndexOp-
tions-Einstellungen. Diese bestimmen das Erscheinungsbild der vom Server erstell-
ten Verzeichnislisten durch das Hinzufügen von Symbolen und Dateibeschreibun-
gen usw.
Ist diese Funktion aktiviert, was standardmäßig der Fall ist, so kann Ihr Webserver
eine Verzeichnisliste erstellen, wenn er eine HTTP-Anforderung wie die folgende
empfängt:
http://ihre _domain/Verzeichnis/

Dabei sucht der Server in diesem Verzeichnis nach einer Datei aus der Liste, die
nach der DirectoryIndex-Anweisung angegeben ist (z. B. index.html). Kann er
keine der Dateien finden, wird eine HTML-Verzeichnisliste der in dem Verzeich-
nis enthaltenen Unterverzeichnisse und Dateien erstellt. Mit bestimmten Anwei-
sungen (z. B. mit IndexOptions) können Sie in httpd.conf das Erscheinungsbild
dieser Verzeichnisliste anpassen.

Die Konfiguration der Verzeichnisindizierung.

www.brain-media.de
Mehr Sicherheit dank SSL 201

In der Standardkonfiguration ist FancyIndexing aktiviert. Wenn FancyIndexing


aktiviert ist, werden durch Klicken auf die Überschrift der Spalte in der Verzeich-
nisliste die Einträge entsprechend dieser Spalte sortiert. Ein weiterer Klick auf
dieselbe Überschrift schaltet von aufsteigender zu absteigender Reihenfolge um
und umgekehrt.
IndexOptions hat eine Reihe von weiteren Parametern, die zur Festlegung des Er-
scheinungsbilds der vom Server erstellten Verzeichnisse verwendet werden kön-
nen. Zu diesen Parametern gehören beispielsweise die Icon-Höhe und -Breite, die
Ansicht des Datums der letzten Änderung, das Einfügen von horizontalen Linien
und dergleichen mehr.
Sie können mit dem Formular außerdem festlegen, welches die Index-Dateien für
die Server-Verzeichnisse sind (z. B. index.html oder index.php) und welche Icons
für die unterschiedlichen Dateientypen verwendet werden und welches die Datei-
erweiterungen sind.

18.8 Mehr Sicherheit dank SSL


Wenn Sie auf Ihrem Webserver einen Online-Shop oder einen anderen wichtigen
Dienst bereitstellen, der erhöhten Schutz bei der Datenübermittlung zwischen
Client und Server benötigt, sollten Sie die SSL-Unterstützung aktivieren.

Die Konfiguration der SSL-Unterstützung des virtuellen Servers.

Webmin kompakt
202 Apache-Webserver

Die Verwendung der SSL-Funktionalität setzt zunächst einmal die Installation der
OpenSSL-Komponenten voraus. Sollten diese nicht installiert sein, gibt Ihnen die
Webmin-Schnittstelle einen entsprechenden Hinweis aus. Am einfachsten holen
Sie die Installation mit einem Paketmanager nach.
Außerdem muss das Apache-SSL-Modul installiert und über das Apache-Webmin-
Modul (Installierte Module neu konfigurieren) aktiviert sein.
Das Herzstück der SSL-Technik sind die Zertifikate, durch die sichergestellt ist,
dass beide Seiten über einen sicheren Kommunikationskanal miteinander kommu-
nizieren. Im Idealfall besitzen Sie bereits die erforderlichen Schlüssel. Falls nicht,
sollten Sie sich bei Verisign & Co. welche besorgen. Ihr Provider kann Sie im
Zweifelsfall dabei unterstützen. Zu Testzwecken können Sie auch eigene Zertifika-
te mit openssl erzeugen. Die taugen aber natürlich nur zu Testzwecken.
Wenn Sie das Zertifikat und den privaten Schlüssel besitzen, können Sie sich an
die SSL-Konfiguration für Ihren Server machen.
In der Praxis ist es am besten, wenn Sie für die Nutzung von SSL einen neuen
virtuellen Server erzeugen, der die Verbindungen auf dem SSL-Port 443 entgegen-
nimmt. Der Vorteil dieser Vorgehensweise: Bestehende Virtuelle-Server-
Konfigurationen sind von der SSL-Aktivierung nicht betroffen. Führen Sie folgen-
de Schritte aus:
1. Wechseln Sie zunächst zur Apache-Modul-Seite und öffnen Sie die
Einstellungen Netzwerk und Adressen.
2. Unter Lausche auf Adressen und Ports aktivieren Sie in der zweiten
Spalte die Option all und geben unter Port 443 ein. Speichern Sie die
Konfiguration mit einem Klick auf den Button Speichern.
3. Als Nächstes wechseln Sie wieder zur Apache-Hauptseite und erzeu-
gen über das Feld Einen neuen virtuellen Server anlegen einen neuen
Server.
4. Wichtig ist, dass Sie hier die Adressoption auf Jede Adresse und den
Port auf 443 setzen.
5. Unter Dokument-Root können Sie das Verzeichnis definieren, das der
Benutzer beim SSL-Zugriff zu sehen bekommt.
6. Im Feld Server-Name geben Sie die Bezeichnung des SSL-
gesicherten virtuellen Servers an.
7. Mit einem Klick auf Jetzt erzeugen wird der virtuelle Server angelegt,
der automatisch in der Server-Liste aufgeführt wird.

www.brain-media.de
PHP-Konfiguration 203

8. Öffnen Sie als Nächstes den neuen Virtuellen-Server-Eintrag und


greifen Sie auf die SSL-Optionen zu.
9. Setzen Sie dann den Schalter Aktiviere SSL? auf Ja. Damit weiß der
virtuelle Server, dass er alle Verbindungen als SSL-Verbindungen
behandelt.
10. Im Feld Zertifikatdatei geben Sie den Pfad zur Datei pem.cert an.
11. Dann ist das Feld Private Key-Datei dran. Hier geben Sie den Pfad
zur Datei key.pem an.
12. Hinterlegen Sie außerdem unter Password for SSL key Ihr Passwort.
13. Die drei übrigen Einstellungen können Sie mit Standard beibehalten.
14. Mit einem abschließenden Klick auf Speichern übernehmen Sie die
Änderungen. Wird keine Fehlermeldung ausgegeben, dürfen Sie da-
von ausgehen, dass die Konfiguration erfolgreich verlaufen ist. Prüfen
Sie dennoch mit einem Standard-Browser, ob die Konfiguration beim
Zugriff korrekt funktioniert.

18.9 PHP-Konfiguration
Sie können für Ihre virtuellen Server auch einige PHP-Einstellungen bearbeiten.
Konkret sind es vier Anpassungen:
· PHP-Administrations-Einstellungen
· PHP-Konfigurationswerte
· PHP-Administrations-Flags
· PHP-Konfigurationsflags

Leider ist nirgends vernünftig dokumentiert, welche Einstellungen hier Sinn ma-
chen.

18.10 Filter
Mit dem Apache 2.0 wurde die sogenannte Filterfunktion eingeführt. Apache-
Module können als Filter entwickelt und zur Filterung des ein- und ausgehenden
Datenstroms des Servers eingesetzt werden.

Webmin kompakt
204 Apache-Webserver

Mithilfe dieser Funktion kann beispielsweise die Ausgabe von CGI-Skripts durch
den INCLUDES-Filter von mod_include bearbeitet werden und so Server-Side-
Include-Anweisungen ausgeführt werden. Das Modul mod_ext_filter erlaubt exter-
nen Programmen als Filter zu agieren, in der gleichen Weise wie CGI-Programme
als Eingabe dienen können.

Die Filter-Konfiguration.

Damit Sie diese Funktionalität nutzen können, muss das Apache-Modul


mod_include installiert und aktiviert sein. Das Filterformular erlaubt Ihnen die
Aktivierung von Eingangs- und Ausgangsfiltern sowie das Setzen von Includes-
Erweiterungen.

www.brain-media.de
Sprachen und Zeichensätze 205

Ein Blick auf die Konfiguration der Zeichensätze.

18.11 Sprachen und Zeichensätze


Webmin erlaubt Ihnen auch die Konfiguration von Sprachen und Zeichensätzen.
Wenn Sie dem Link Sprachen folgen, können Sie sich ein Bild von der breiten
Zeichensatzunterstützung machen. Hier sind in der Regel keine Änderungen vor-
zunehmen.

18.12 Direktiven
Schließlich können Sie dem jeweiligen virtuellen Server entnehmen, welche
Kommandos an ihn übergeben wurden und welche Befehle bzw. Aktionen er aus-
geführt hat. Klicken Sie dazu einfach auf den Link Zeige Direktiven.

Webmin kompakt
206 Apache-Webserver

Wir sind bereits des Öfteren den Per-Directory-Einstellungen begegnet. Schauen


wir uns kurz an, was es damit auf sich hat. Diese Einstellungen erlauben es Ihnen,
für bestimmte Verzeichnisse unterschiedliche Einstellungen vorzunehmen.

Die Per-Directory-Einstellungen erlauben das


gezielte Definieren von Ordneroptionen.

Sie können diese Einstellung auf folgende Apache-Objekte anwenden:


· Verzeichnis: Die Optionen gelten für das Verzeichnis inklusive aller Un-
terverzeichnisse und den darin enthaltenen Dateien.
· Dateien: Die Einstellungen gelten für Dateien, deren Namen es zu spezi-
fizieren gilt. Mit dieser Funktion können Sie beispielsweise die .htaccess-
Datei editieren.
· Ort: Die Einstellungen gelten für Dateien und Verzeichnisse mit einem
bestimmten Pfad, beispielsweise www.testserver.de/pfad/.
· Proxy: Schließlich können Sie den Apache-Server auch als Proxy-Server
konfigurieren. Dazu später mehr.

www.brain-media.de
Typische Aktionen bei der Administration von virtuellen Servern 207

Wenn der Apache einen Request verarbeitet, so prüft er diese Optionen, ob sie für
die Anforderung relevant sind. Dabei werden zunächst auch die Einstellungen
durch die .htaccess und schließlich die Einstellungen für die virtuellen Server ein-
gelesen. Konkret bedeutet das, dass Optionen, die für ein bestimmtes Verzeichnis
gelten, die von höheren Verzeichnissen überschreiben.
Um die Einstellungen für ein Verzeichnis zu definieren, gehen Sie wie folgt vor:
1. Öffnen Sie den virtuellen Server, dessen Verzeichnisoptionen Sie
konfigurieren wollen. Sollen die Einstellungen für alle virtuellen Ser-
ver gelten, so öffnen Sie den Standard-Server. Sie können für jedes
Verzeichnis des Servers eigene Einstellungen definieren.
2. Scrollen Sie zu den Per-Directory-Einstellungen.
3. In dem oben beschriebenen Auswahldialog wählen Sie dann aus, ob
Sie ein Verzeichnis, eine Datei etc. erstellen wollen. Wenn Sie einen
Ort erstellen, so achten Sie darauf, den relativen Pfad zum virtuellen
Server zu verwenden, also beispielsweise /bilder oder /dokumente.
Sie können auch Platzhalter verwenden. Dazu fügen Sie ein Stern-
chen ein.
4. Sie können außerdem einen regulären Ausdruck verwenden.
5. Klicken Sie anschließend auf die Schaltfläche Erzeugen. Ihr neues
Verzeichnis wird augenblicklich in der Liste aufgeführt.
6. Um nun die weiteren Einstellungen dieses neuen Verzeichnisses, der
Datei oder des Ortes zu bearbeiten, klicken Sie auf den Eintrag und
nehmen die oben beschriebenen Einstellungen vor.

18.13 Typische Aktionen bei der Administration


von virtuellen Servern
Schauen wir uns noch einige typische Aktionen bei der Administration von virtuel-
len Servern an. Konkret wollen wir uns anschauen, wie Sie
· einen Passwortschutz für ein Verzeichnis einführen,
· den Zugriff auf Grundlage der Client-Adressen bestimmen,
· den Apache-Webserver als Proxy-Server konfigurieren.

Webmin kompakt
208 Apache-Webserver

Wenn Sie die voranstehenden Abschnitte aufmerksam verfolgt haben, dürfen Sie –
zumindest teilweise – ahnen, welche Aktionen erforderlich sind.
Um den Zugriff auf bestimmte Verzeichnisse durch ein Passwort zu schützen,
führen Sie folgende Schritte aus:
1. Öffnen Sie in der Modul-Hauptseite den virtuellen Server, für den Sie
den Passwortschutz einführen wollen.
2. Öffnen Sie das Verzeichnis, für das der Schutz gelten soll, oder er-
zeugen Sie ein neues.
3. Öffnen Sie die Zugriffskontrolle, wählen Sie die Option Standard und
hinterlegen Sie eine Beschreibung, beispielsweise Private Dateien.
4. Unter Authentifizierungstyp wählen Sie Basic. Diese Variante genügt
in der Regel, wenngleich die Variante Digest deutlich sicherer ist, al-
lerdings nicht von allen Browsern unterstützt wird.
5. Unter Beschränke Zugriff über Anmeldung aktivieren Sie die Option
Alle gültigen Benutzer. Damit gewährt der Apache nur Benutzern Zu-
griff, die in der Benutzerdatei hinterlegt sind. Deren Pfad muss eben-
falls in diesem Formular noch angegeben werden. Sie können den
Zugriff auch auf bestimmte Benutzer und Gruppen beschränken. Falls
Sie das wollen, geben Sie im Eingabefeld Nur diese Benutzer bzw.
Nur diese Gruppen die Benutzer- bzw. Gruppennamen an. Mehrere
Einträge sind durch Kommata voneinander zu trennen.

Der Passwortschutz für ein Verzeichnis.

www.brain-media.de
Typische Aktionen bei der Administration von virtuellen Servern 209

6. Wenn Sie Benutzer- bzw. Gruppendateien verwenden wollen, so


müssen Sie diese Dateien zunächst erzeugen. Deren Aufbau ent-
spricht der Datei /etc/shadow. Verwenden Sie folgendes Format:
Benutzername: verschlüsseltes Passwort

7. Wenn Sie nun einer Gruppe Benutzer zuordnen wollen, so müssen


Sie die Gruppen-Textdatei erzeugen. Sie muss folgendes Format be-
sitzen:
Gruppenname: Benutzername1 Benutzername2 etc.

8. Klicken Sie anschließend auf die Schaltfläche Speichern, um die Ein-


stellungen zu übernehmen.

Sie können alternativ auch eine DBM-Datenbank für die Benutzer- und Gruppen-
verwaltung verwenden. Das macht aber eigentlich nur Sinn, wenn Sie ohnehin eine
solche Datenbank nutzen.

Kein Problem: Mithilfe von Webmin können Sie den Zugriff von Rechnern
mit bestimmten IP-Adressen verhindern – oder aber gezielt zulassen.

Der Apache-Webserver erlaubt zudem die Beschränkung des Zugriffs auf IP-
Adressenbasis. So können Sie gezielt Ihr System vom Zugriff ausschließen. Das ist
nicht nur im Internet, sondern auch im Intranet sinnvoll, denn so können Sie bei-
spielsweise verhindern, dass Praktikanten auf unternehmenskritische Server zugrei-
fen und womöglich Schäden verursachen.

Webmin kompakt
210 Apache-Webserver

Die Vorgehensweise ist wieder recht einfach:


1. Öffnen Sie den virtuellen Server und das gewünschte Verzeichnis, für
das Sie den Zugriff beschränken wollen.
2. Wechseln Sie wieder zur Zugriffskontrolle.
3. Unter Zugang einschränken steht Ihnen eine Tabelle zur Verfügung,
über die Sie unterschiedlichen Netzwerksystemen den Zugriff gewäh-
ren bzw. unterbinden können.
4. Um den Zugriff zu verbieten, wählen Sie aus dem Auswahlmenü Ak-
tion die Option Verweigern. Unter Bedingung wählen Sie Anfrage
von IP und geben in das folgende Feld die IP-Adresse ein. Sie können
weitere Bedingungen verwenden:
5. Alle Anfragen: Mit dieser Option können Sie alle Anfragen zulassen
bzw. unterbinden.
6. Anfrage von Teil-IP: Mit dieser Option können Sie den Zugriff für
ein Teilnetzwerk erlauben bzw. unterbinden. Verwenden Sie bei-
spielsweise die Eingabe 192.168.
7. Anfrage von Netzwerk/Netzmaske: Mit dieser Option geben Sie die
Netzmaske an. Ein Beispiel: 192.168.1.0/255.255.255.0
8. Anfrage von Netzwerk/CIDR: Mit dieser Konfiguration können Sie
ein Subnetz gezielt ein- oder ausschließen. Ein Beispiel:
192.168.1.0/25
9. Wenn Variable gesetzt ist: Mit der letzten Option können Sie schließ-
lich eine Umgebungsvariable als Bedingung definieren. Denkbar ist
beispielsweise die Angabe eines Header-Felds (Browser etc.).

Sie sehen: Sie können die unterschiedlichen Kriterien miteinander kombinieren.


Um den ersten Eintrag zu speichern, klicken Sie auf die gleichnamige Schaltfläche.
Automatisch wird die Tabelle um ein weiteres Feld erweitert, in das Sie noch eine
Bedingung einführen können.

18.14 Apache als Proxy-Server


Ihr Apache kann auch als Proxy-Server agieren, der als Vermittlung die Verbin-
dungsaufnahme von Netzwerk-Clients über den Server zu anderen Netzen wie dem
Internet erlaubt. Diese Technik eignet sich hervorragend, um beispielsweise ein

www.brain-media.de
Apache als Proxy-Server 211

Firmennetzwerk über eine DSL-Verbindung ans Internet zu hängen. Ein weiterer


Vorteil: Da lediglich ein System eine direkte Verbindung mit dem Internet hat,
sind die anderen Rechner weniger leicht angreifbar.
Sicher: Der Apache kann zwar als Proxy-Server genutzt werden, seine Funktionali-
tät kann sich aber in diesem Bereich nicht mit einem Spezialisten wie Squid mes-
sen.

Zunächst muss das Proxy-Modul aktiviert werden.

Für die Apache-Proxy-Konfiguration sind folgende Schritte erforderlich:


1. Zunächst müssen Sie in der Apache-Modul-Konfiguration das Modul
mod_proxy aktivieren. Klicken Sie dazu in der Apache-Übersicht auf
Installiere Modul neu konfigurieren und aktivieren Sie das Modul.
2. Mit einem Klick auf Konfigurieren landen Sie wieder in der Apache-
Übersicht.
3. Nun öffnen Sie die Apache-Konfigurationsdateien mit einem Klick
auf Bearbeite Konfigurationsdateien.
4. Öffnen Sie die Datei httpd.conf und suchen Sie nach der Zeile
LoadModule proxy_module. Sollten Sie keine entsprechende Zeile
finden, ist das Proxy-Modul vermutlich nicht installiert. In diesem
Fall müssen Sie zunächst die Installation nachholen.
5. Entfernen Sie als Nächstes die Auskommentierung, also das #-
Zeichen vor der entsprechenden Zeile.
6. Klicken Sie anschließend auf Speichern, um die Änderung zu über-
nehmen.

Webmin kompakt
212 Apache-Webserver

7. Führen Sie dann einen Neustart des Servers aus, damit Änderungen
greifen.
8. Führen Sie dann eine erneuerte Modulkonfiguration durch, damit die
der Apache um die Proxy-Funktionalität erweitert wird.

Nachdem Sie die Proxy-Funktion aktiviert haben, können Sie sich im nächsten
Schritt mit deren Funktionen auseinandersetzen, die über Webmin zugänglich sind.
Wenn Sie nun den virtuellen Server bearbeiten, den Sie als Proxy-Server aktiviert
haben, so finden Sie dort ein neues Icon: Proxy.
Wenn Sie dem Proxy-Link folgen, können Sie auf dem zugehörigen Formular
zunächst die Proxy-Funktion aktivieren. Sie können außerdem das Cache-
Verzeichnis und dessen Größe aktivieren.
Selbst das Deaktivieren der Zwischenspeicherung für bestimmte Websites ist in der
Webmin-Schnittstelle vorgesehen. Das ist beispielsweise bei Seiten sinnvoll, die
regelmäßig aktualisiert werden.
Weitere Optionen, die Sie definieren können:
· Die Verwendung von kaskadierenden Proxy-Servern kann aktiviert bzw.
gesteuert werden.
· Authentifizierung auf dem Proxy-Server durch Benutzername und Pass-
wort.

Das Apache-Proxy-Modul bietet damit die wichtigsten Proxy-Server-spezifischen


Funktionen. Für den Einstieg in die Welt der Proxy-Server ist das sicherlich aus-
reichend.

18.15 Die Apache-Modulkonfiguration


Auch für das Apache-Modul steht Ihnen eine eigene Modulkonfiguration für die
Anpassung der Modulfunktionen zur Verfügung. Diese ist mit anderen Konfigura-
tionen vergleichbar. Konkret präsentiert sie Ihnen drei Bereiche:
· Konfigurierbare Optionen
· Systemkonfigurationen
· Apache-Variablen

www.brain-media.de
Die Apache-Modulkonfiguration 213

Diese Einstellungen bezieht das Webmin-Modul natürlich aus den Apache-


Konfigurationsdateien. Insbesondere an den Systemeinstellungen sollten Sie keine
Änderungen vornehmen, denn diese (beispielsweise das Apache-
Wurzelverzeichnis oder die Kommandos für das Starten und Anhalten des Apache)
sind durch das Betriebssystem vorgegeben.

Die Konfiguration des Apache-Moduls.

In den Konfigurationseinstellungen können Sie beispielsweise festlegen, ob die


virtuellen Server durch Icons oder als Liste in der Übersicht aufgeführt werden. Sie
können auch die Sortierung ändern. Folgende Einstellungen stehen Ihnen zur Ver-
fügung:
· Reihenfolge in Konfigurationsdateien
· Server-Name
· IP-Adresse

Webmin kompakt
214 Apache-Webserver

Sie können auch die Ansicht der Server beschränken. Mit dem Standardwert von
maximal 100 dürften die meisten Leser auskommen.

www.brain-media.de
215

19 BIND DNS-Server

Der DNS-Server BIND (Berkeley Internet Name Domain) ist einer der wichtigsten
Domain-Name-System-Server. Dank seiner weiten Verbreitung und der zeitnahen
Umsetzung der aktuellen DNS-RFCs gilt BIND seit Jahren als DNS-
Referenzsoftware.

Das DNS-Server-Modul.

Schon ein erster Blick auf die BIND-Modulseite lässt vermuten, dass der Umgang
mit dem Server nicht ganz so einfach ist. Die korrekte Konfiguration ist aber für
viele Netzwerke lebenswichtig.

Webmin kompakt
216 BIND DNS-Server

Die Konfiguration von BIND erfolgt über eine zentrale Konfigurationsdatei


named.conf. Pro Zone gibt es eine Zonendatei, deren Name gewöhnlich aus dem
Zonennamen und der Dateierweiterung db gebildet wird. Die Konfigurationsdatei
named.conf weist mehrere Bereiche auf:
· Globaler Bereich
· Server-Liste
· Zonen-Liste

Im globalen Bereich werden Zugriffsberechtigungen, Krypto-Keys und Optionen


definiert. In der Serverliste sind Informationen über Partner-Server enthalten, bei-
spielsweise ob ein Server inkrementellen Zonentransfer unterstützt. In der Zonen-
Liste ist für jede Zone ein Eintrag enthalten, der den Namen der Zone, den Namen
des Zonenfiles, den Zonen-Typ (Master oder Slave), Zugriffsberechtigungen sowie
Options enthält.

19.1 Zonen erstellen


Beim ersten Zugriff auf Vorgängerversionen von Webmin 1.3.x muss man noch
festlegen, ob der DNS-Server für die interne Verwendung, als Internet-Nameserver
zum Einsatz kommt, und ob dieser sich eventuell die Rootserver-Daten aus dem
Internet herunterladen soll. Bei aktuellen Webmin-Versionen ist das zum Glück
nicht mehr der Fall, wohl auch, weil die „richtige“ Entscheidung vielen Anwen-
dern nicht leicht gefallen ist.
Webmin 1.3.x präsentiert Ihnen beim Zugriff auf das BIND-Modul drei Bereiche:
· die globalen Servereinstellungen
· die existierenden DNS-Zonen
· die Client-Ansicht – sofern vorhanden

Eine der wichtigsten Aufgaben beim Umgang mit einem DNS-Server ist das Er-
zeugen und Verwalten von Master-Zonen. Um eine solche zu erstellen, klicken Sie
unter Existierende DNS-Zonen auf den Verweis Neue Master-Zone anlegen.
Auf dem zugehörigen Formular legen Sie zunächst den Zonentyp fest. Sie haben
die Wahl zwischen zwei Optionen:
· Forward (Namen zu Adressen)

www.brain-media.de
Zonen erstellen 217

· Reverse (Adressen zu Namen)

In der Regel benötigen Sie die Forward-Variante. Die Reverse-Variante ist für Sie
von Interesse, wenn Sie IP-Adressen einen Namen zuordnen wollen.

Eine neue Master-Zone in der Entstehung.

Die weiteren Einstellungen, die Sie beim Erzeugen der neuen Master-Zone vor-
nehmen müssen:
· Domainname/Netzwerk: Hier können Sie einen Domainnamen oder
auch eine Netzwerkadresse wie beispielsweise 192.168.1 angeben.
· Datensatzdatei: Hier geben Sie den Pfad zu der sogenannten Datensatz-
datei (Record file) an. In dieser sind die Zonendaten gespeichert. In der
Regel ist es sinnvoll, die Standardeinstellung Automatisch beizubehalten,
um die Verwaltung BIND zu überlassen. Wenn Sie die Option deaktivie-
ren und eine bereits existierende Datei angeben, so werden die bestehen-
den Einträge überschrieben.
· Master-Server: Hier tragen Sie den Namen des Master-Servers ein. Das
Webmin-Modul präsentiert Ihnen in der Regel einen ersten Eintrag. Prü-
fen Sie, ob dieser mit Ihren Vorstellungen übereinstimmt.
· E-Mail-Adresse: Hier tragen Sie die E-Mail-Adresse des Nameserver-
Administrators ein.

Webmin kompakt
218 BIND DNS-Server

· Zonenvorlage benutzen: Sie können auch eine Zonenvorlage verwenden.


Wenn Sie dies wollen, aktivieren Sie diese Option.
· IP-Adresse für Vorlagendatensätze: In diesem Eingabefeld können Sie
die IP-Adresse für Vorlagendatensätze hinterlegen.
· Zeit aktualisieren: Über dieses Feld bestimmen Sie die Zeitspanne, nach
der die Zeiteinstellung des Servers aktualisiert wird.
· Wiederholungszeit übertragen: Hier legen Sie fest, welche Zeit zwi-
schen der Übertragung von Zonendaten zwischen Ihrem und einem zwei-
ten Server vergeht, bevor ein erneuerter Datentransfer versucht wird.
· Ablaufzeit: Hier legen Sie fest, wie lange Daten im Zwischenspeicher
gehalten werden.
· Standard-Time-To-Live: Bestimmt den Standard-TTL-Wert der Daten.

Um die neue Master-Zone zu erstellen, klicken Sie auf die Schaltfläche Erstellen.
Sie landen automatisch in der Zonenansicht, in der Sie nun die verschiedenen Re-
cords bearbeiten und unterschiedliche Einstellungen vornehmen bzw. anpassen
können.

Ihre erste Master-Zone ist erstellt.

www.brain-media.de
Zonen erstellen 219

Neben den in voranstehender Abbildung dargestellten Funktionen finden Sie beim


Öffnen eines Master-Zone-Eintrags im unteren Bereich zwei weitere Schaltflächen:
· Lösche Zone: Drücken Sie diese Schaltfläche, um die Zone aus Ihrem
DNS-Server zu löschen. Beachten Sie, dass die zugehörigen Reverse-
Adresseinträge in anderen Zonen auf diesem Server auch gelöscht wer-
den.
· Änderungen anwenden: Klicken Sie diesen Button, um die Änderungen
nur für diese Zone zu übernehmen. Dabei wird das Kommando rndc
reload localhost ausgeführt. Dies wird nur funktionieren, wenn die Ände-
rungen für den gesamten Server mindestens einmal angewandt wurden,
seitdem die Zone erzeugt wurde.

Bei der von uns erstellten Master-Zone finden Sie sechzehn Datensätze, die soge-
nannten Records, die es mit den korrekten Zone-Daten zu füllen gilt: Adresse,
Name-Server, Namens-Alias, Mail-Server, Host-Information, Text, Sender
Permitted Form (SPF), Bekannter Dienst, Verantwortliche Person, Reverse-
Adresse, Ortsangabe, Service-Adresse und Öffentlicher Schlüssel. Zu jedem dieser
Datensätze wird die Anzahl der zugehörigen Einträge in Klammern angezeigt.
Schauen wir uns zwei Einträge exemplarisch an.

Der Datensatz Host-Information.

Der Aufbau der Datensatzformulare ist weitgehend identisch. Im Datensatz Host-


Information geben Sie beispielsweise den Hostnamen, eine Info zur Hardware und
zum Betriebssystem an. Außerdem können Sie den TTL-Wert definieren.
Ähnlich ist es beim Datensatz Verantwortliche Person, mit dem Sie Kontaktinfor-
mationen des Administrators hinterlegen. Hier hinterlegen Sie ebenfalls den Na-

Webmin kompakt
220 BIND DNS-Server

men, die E-Mail-Adresse und gegebenenfalls den Textdatensatz, in dem beispiels-


weise weitere Kontaktmöglichkeiten zu finden sind. Diese Daten sind für Betreiber
anderer Nameserver wichtig, wenn Sie mit dem Server-Administrator in Kontakt
treten wollen.

Der Datensatz Verantwortliche Person.

Die neuen Einträge werden mit einem Klick auf die Schaltfläche Erstellen erzeugt.

19.2 Datensatztypen
Webmin unterstützt nicht alle von BIND vorgesehenen Datensatztypen, aber zu-
mindest die wichtigsten. Die wichtigsten sind:
· Adresse: Hier geben Sie den Namen und die IP-Adresse des Servers an.
Sie können außerdem die Unterstützung für Reserve-Aktualisierungen ak-
tivieren.
· Name-Server: Dieses Formular erlaubt das Hinzufügen eines Nameser-
ver-Datensatzes. Dabei müssen Sie den Zonennamen und den Nameser-
ver-Namen angeben. Das Formular erlaubt außerdem das Löschen von
bestehenden Einträgen.
· Namens-Alias: Über dieses Formular können Sie einen Alias für den
Nameserver definieren. Damit ist der Server dann unter einer anderen Be-
zeichnung erreichbar und selbst ebenfalls schwerer angreifbar.
· Mail-Server (MX): Der Mailserver-Eintrag teilt Zustellsystemen wie
Sendmail und Qmail mit, welche Systeme für die Zustellung von E-Mails
kontaktiert werden müssen. Der MX-Record ermöglicht es, unter einer
Domain mehrere Mailserver zu betreiben. Außerdem erlaubt es die Ein-
führung von Prioritäten, die vorgeben, in welcher Reihenfolge die Mail-

www.brain-media.de
Datensatztypen 221

server eine bestimmte Domain kontaktieren sollen. Fällt einer dieser Ser-
ver aus, erhöht das die Wahrscheinlichkeit, dass eine E-Mail trotzdem an
die Empfängerdomain zugestellt werden kann. Für primäre Mailserver
verwendet man meist den Wert 5, für Back-up-Relays eine 10.
· Host-Information: Diesen Record haben Sie zuvor bereits kennengelernt.
Hier können Sie beispielsweise das Betriebssystem Ihres Servers, also in
unserem Fall Linux eingeben.
· Text: Dieser Typ wird zwar eher selten verwendet, erlaubt Ihnen aber das
Einfügen von Zusatzinformationen zu Ihrer BIND-Installation.

Sender Permitted Form verspricht mehr Schutz beim E-Mail-Versand.

· Sender Permitted Form (SPF): SPF ist eine Technik, die das Fälschen
des Absenders einer E-Mail auf SMTP-Ebene erschweren soll. Dazu wird
in der DNS-Zone einer Domäne ein sogenannter Resource Record vom
Typ TXT oder SPF mit Informationen darüber hinterlegt, welche Systeme
E-Mails für diese Domäne versenden dürfen. Anhand dieser Informatio-
nen soll der Empfangs-Server dann sowohl die MAIL-FROM-Identität als
auch die HELO-Identität des Senders nachprüfen. Absenderangaben im
Webmin kompakt
222 BIND DNS-Server

E-Mail-Header werden nicht überprüft. Inzwischen trägt diese Funktion


eine andere Bezeichnung: Sender Policy Framework, kurz SPF.
· Bekannter Dienst: WKS-Records geben Auskunft über die Dienste, die
ein Rechner im Netz für ein bestimmtes Protokoll (UDP oder TCP) anbie-
tet. Die Liste der Dienste entstammt der Datei /etc/services. Pro Host und
Protokoll sollte es nur einen WKS-Record geben.
· Verantwortliche Person: Das RP-Record (Responsible Person Record)
benennt eine Person oder eine Gruppe von Personen, die für einen Rech-
ner und seinen ordnungsgemäßen Betrieb verantwortlich sind. Dieser Da-
tensatztyp ermöglicht es den Benutzern, bei einem Rechnerausfall Kon-
takt mit den Verantwortlichen aufzunehmen und die Ausfallzeiten zu mi-
nimieren.
· Reverse-Adresse: Dieser Eintrag gibt an, welche Hosts E-Mails von die-
ser Domain senden dürfen. Hier geben Sie die Adresse und den Hostna-
men an.
· Ortsangabe: Mit den sogenannten LOC-Resource-Record (location) wird
einem Namen eine präzise Positionsangabe zugeordnet. Über Längen-,
Breiten- und Höhenangaben wird exakt ein geometrischer Ort bestimmt.
Um auch räumlich ausgedehnte Ortsdefinitionen zu ermöglichen, kann
durch Angabe eines Radius um diesen Punkt eine virtuelle Kugel definiert
werden.
· Service-Adresse: Über den Service-Address-Record, kurz SRV, können
für einen spezifischen Dienst ein oder mehrere Server angegeben werden.
· Öffentlicher Schlüssel: Schließlich können Sie sogenannten KEY-
Records erzeugen. KEY-Resource-Records dienen der Propagierung öf-
fentlicher Schlüssel durch das DNS. Mit dieser Technik versucht man ein
zentrales Problem zu lösen: Wie macht ein User seinen öffentlichen
Schlüssel bekannt? Dazu dient der Eintrag Öffentlicher Schlüssel. Der Be-
sitzer des Schlüssels legt diesen als KEY-RR auf einem öffentlich zugän-
gigen DNS-Server ab. Jeder, der den Public Key dieses Users benötigt,
sendet eine entsprechende DNS-Anfrage. Als Antwort erhält er dann den
öffentlichen Schlüssel. Das Verfahren entspricht damit der Propagierung
von IP-Adressen.

www.brain-media.de
Slave-Zone erstellen 223

Das Formular für das Erstellen eines Öffentlichen-Schlüssel-Records.

19.3 Slave-Zone erstellen


Mithilfe des Webmin-Moduls können Sie auch sogenannte Slave-Zonen erstellen.
Eine Slave-Zone ist immer dann erforderlich, wenn der Nameserver offizieller
Ersatzserver beim Ausfall eines primären Nameservers ist. Man bezeichnet ihn
auch als Secondary Nameserver. Bei einer solchen Konfiguration muss der Master-
Server und die Domain eingetragen werden.
Bevor Sie dies tun können, muss der Primary-DNS-Server korrekt aufgesetzt wor-
den sein und der Secondary-Nameserver muss zudem korrekt im Adressen-Menü
eingetragen worden sein. Wenn nicht, erscheint eine Fehlermeldung in der Datei
/var/log/messages. Auch für die Slave-Zone muss ein Reverse-Record eingetragen
werden.

Webmin kompakt
224 BIND DNS-Server

Das Formular zum Erstellen einer Slave-Zone.

Nachdem Sie eine Slave-Zone erstellt haben, können Sie dieser verschiedene Zo-
ne-Eigenschaften zuordnen. Folgen Sie dazu dem Verweis Bearbeiten Zonenein-
stellungen. In dem zugehörigen Formular können Sie folgende Einstellungen bear-
beiten:
· Master-Server: Hier finden Sie die IP-Adresse des Master-Servers, also
beispielsweise 192.168.0.1 in einem lokalen Netzwerk. Sie können in das
Eingabefeld weitere Server von Hand eintragen.
· Server-Port: Hier finden Sie den Port für den Slave-Zonen-Server. Der
Standard-Port ist 53. Sie können aber auch einen anderen Wert eintragen.
· Maximale Transferzeit: Hier legen Sie fest, wie lange der Server maxi-
mal auf einen Datentransfer wartet. Die Angabe erfolgt in Minuten.
· Datensatzdatei: Hier finden Sie den Pfad zum Record-File. Die Angabe
könnte wie folgt aussehen: /var/lib/named/testnetz.hosts. Wenn Sie sich
für die Option Keine entscheiden, so werden die Datensätze, die von Mas-
ter-Server kommen, lediglich im Speicher gehalten.
· Namen überprüfen? Hier legen Sie fest, ob Namen geprüft werden sol-
len oder nicht.
· Slaves über Änderungen benachrichtigen? Hier legen Sie fest, ob der
Master den Slave-Server über Änderungen informiert.
· Updates erlauben von …: In diesem Eingabefeld können Sie Systeme
angeben, von denen der Slave-Server Updates beziehen darf.

www.brain-media.de
Slave-Zone erstellen 225

Die Zoneneinstellungen für eine Slave-Zone.

· Transfers erlauben von …: Entsprechend können Sie festlegen, von


welchen Servern Transfers akzeptiert werden.
· Anfragen erlauben von …: Hier legen Sie fest, welches System Anfra-
gen an den Slave stellen darf.
· Auch Slaves benachrichtigen …: Schließlich können Sie Slaves be-
stimmen, die über Änderungen informiert werden.

Mit dem BIND-Modul können Sie auch eine sogenannte Stub-Zone erstellen. Fol-
gen Sie dazu dem Link Neue Stub-Zone anlegen. Ein Stub ist ein Stummel, also nur
ein Teil einer offiziellen Domain. Man kann somit z. B. die Einträge für eine Filia-
le dieser selbst überlassen. Diese setzt dann eine Stub-Zone auf und gibt den Na-
meserver der Zentrale als Master Server an. Alle Einträge werden dann regelmäßig
auf dem Master-Server aktualisiert.
Sie können zwei weitere Zonen erstellen:
· Weiterleitungszone
· Delegationszone

Webmin kompakt
226 BIND DNS-Server

Die Funktionen beim Erstellen einer solchen Zone entsprechen weitgehend den
zuvor beschriebenen.

19.4 Globale BIND-Einstellungen


Bislang haben wir uns lediglich mit dem Erstellen von Zonen befasst. Nun wollen
wir uns noch mit den globalen BIND-Einstellungen befassen. Dazu gehören bei-
spielsweise die Protokollierung der BIND-Aktivitäten, die Konfiguration des Zu-
gangs, das Weiterleiten und der Datentransfer und die DNS-Schlüssel.
Schauen wir uns zunächst die Protokoll- und Fehlerfunktionen an. Ein zentraler
Begriff in der Protokoll- und Fehlerfunktion ist der des Protokollierungskanals. Bei
einer Standardinstallation präsentiert Ihnen das BIND-Modul vier vordefinierte
Kanäle, die durch eine eigene Bezeichnung, durch die Angabe, wo die Protokollie-
rung erfolgt (Syslog, Standardausgabe etc.), und durch den minimalen Meldungs-
level bestimmt sind.

In der Protokollierungs- und Fehlerfunktion finden Sie


vordefinierte Protokollkanäle und können neue erstellen.

www.brain-media.de
Globale BIND-Einstellungen 227

Mit einem Klick auf Neuen Kanal hinzufügen wird die Seite um ein Formular er-
weitert, das das Erstellen eines neuen Protokollierungskanals erlaubt. Dabei müs-
sen Sie neben der Kanalbezeichnung folgende Angaben vornehmen:
· Wo erfolgt die Protokollierung? Sie können beispielsweise eine neue Da-
tei für die Protokolldaten erzeugen oder diese in den Syslog schreiben.
· Welches ist der minimale Meldungslevel? Hier haben Sie die Wahl zwi-
schen typischen Leveln (critical, error, warning, notive, info, Debug-
Level und Globaler Level).

Außerdem können Sie festlegen, ob die Protokollierungskategorie und der Schwe-


regrad der Protokolldatei in der Log-Datei vermerkt werden sollen.
Am Fuße des Protokolldialogs finden Sie die Funktion Protokollierungskategorien.
Damit können Sie eigene Kategorien erstellen, um die verschiedenen Protokollka-
näle gruppieren zu können.
BIND unterstützt die Zugriffssteuerung mithilfe von ACLs (Access Control Lists).
So können Sie den Zugriff auf den Nameserver einschränken. Man unterscheidet
zwischen folgenden Berechtigungen:
· Notify
· Query (Abfragen)
· Transfer (komplette Zone transferieren)
· Update (dynamische Änderungen an Zonen vornehmen)

Die Handhabung der ACL-Funktion ist einfach: Geben Sie einfach in das Feld
ACL-Name die gewünschte Bezeichnung ein und legen Sie dann im danebenste-
henden Eingabefeld die IP-Adressen, Netzwerk und ACL-Dateien fest. Mit einem
Klick auf Speichern ist der erste Zugriff definiert. Die Liste wird um eine weitere
Zeile erweitert und Sie können weitere Berechtigungen definieren.
Sie können BIND so konfigurieren, dass dieser alle Anfragen an einen DNS-Server
weiterleitet. In diesem Fall wird Ihr BIND-Server zu einem DNS-Client. Sinnvoll
ist das beispielsweise zur temporären oder permanenten Entlastung Ihres Servers.

Webmin kompakt
228 BIND DNS-Server

Hier bestimmen Sie, an welche Server die Daten


der DNS-Abfragen weitergeleitet werden.

Auch die Konfiguration der globalen Weiterleitungs- und Transfereinstellungen ist


recht einfach. Ihnen stehen folgende Einstellungen zur Verfügung:
· Server, an die Anfragen weitergeleitet werden sollen: Hier geben Sie
die IP-Adresse und eventuell den Port des Systems an, an das die Anfra-
gen weitergeleitet werden. Sie können in den vordefinierten Feldern meh-
rere alternative Server angeben.
· Direkter Lookup, wenn die Weiterleitung keinen Lookup machen
kann? Gelingt Ihrem BIND-Server die Kontaktaufnahme zu einem an-
gegebenen Server nicht, so kann dieser einen direkten Lookup durchfüh-
ren. Das setzt natürlich voraus, dass Ihr System Lookups ausführen kann.
· Maximale Zonentransferzeit: Hier bestimmen Sie, wie lange Ihr BIND-
Server maximal auf die Übermittlung der Daten wartet. Der Standard ist
120 Minuten.
· Zonentransferformat: Hier legen Sie fest, ob verschiedene Transferfor-
mate zulässig sind.
· Maximale Anzahl gleichzeitiger Zonentransfers: Schließlich können
Sie festlegen, wie viele Zonentransfers maximal gleichzeitig durchgeführt
werden können. Standardmäßig sind es zwei.

www.brain-media.de
DNS-Schlüssel 229

19.5 DNS-Schlüssel
Um die Kommunikation zwischen DNS-Server und -Clients abzusichern, unter-
stützt BIND Schlüssel, die den Datentransfer verschlüsseln. Sie müssen lediglich in
das zugehörige Formular die Schlüsselnummer, den Verschlüsselungsalgorithmus
und die Phrase eingeben.

Die Definition von Zonenstandards.

19.6 Zonenstandards
In den globalen BIND-Einstellungen können Sie auch sogenannten Zonenstandards
definieren. Dazu folgen Sie dem gleichnamigen Link. Das zugehörige Formular
erlaubt die Definition von Standardeinstellungen für neue Master-Zonen. Diese
Einstellungen gelten standardmäßig für alle neu erzeugten Master-Zonen, können
aber in den jeweiligen Zonenkonfigurationen individuell angepasst werden.

Webmin kompakt
230 BIND DNS-Server

19.7 rndc
BIND enthält das Utility rndc, mit dem Sie den named-Daemon über die Befehls-
zeile vom lokalen und von einem Remote-Host verwalten können.
Um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf den named-Daemon
erlangen, verwendet BIND eine Authentifizierungsmethode, auf einem gemeinsa-
men geheimen Schlüssel basierend, um Hostsystemen den Zugriff zu gewähren.
Das heißt, dass ein übereinstimmender Schlüssel in /etc/named.conf und der rndc-
Konfigurationsdatei /etc/rndc.conf existieren muss.
Über den Link RNDC einrichten können Sie BIND unter die Kontrolle des RNDC-
Programmes stellen. So können einzelne Zonen aktualisiert werden, ohne einen
ganzen Neustart des BIND machen zu müssen. Dies ist beispielsweise sinnvoll,
wenn Ihr BIND-Server auf einem schwachbrüstigen ausgeführt wird oder die An-
zahl der verwalteten Zonen über 30 liegt. Um die Einrichtung von RNDC durchzu-
führen, klicken Sie auf die Schaltfläche Ja, RNDC einrichten.
Anschließend können Sie sich an der Remote-Administration auf Konsolenebene
versuchen. Ein rndc-Befehl sieht wie folgt aus:
rndc <options> <command> <command-options>

Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgeführt wird, stehen
Ihnen folgende Befehle zur Verfügung:
· halt: hält den named-Service sofort an.
· querylog: protokolliert alle Abfragen, die von Clients auf diesem Name-
Server durchgeführt wurden.
· refresh: aktualisiert die Datenbank des Nameservers.
· reload: weist den Nameserver an, die Zone-Dateien neu zu laden, aber al-
le vorher verarbeiteten Antworten zu behalten.
· stats: schreibt die aktuellen named-Statistiken in die Datei
/var/named/named.stats.
· stop: stoppt den Server vorsichtig und speichert dabei alle dynamischen
Updates und die vorhandenen Incremental-Zone-Transfers-Daten (IXFR)
vor dem Beenden.

www.brain-media.de
Konfigurationsdateien einsehen und bearbeiten 231

Webmin erlaubt auch das Editieren der BIND-Konfigurationsdateien.

19.8 Konfigurationsdateien einsehen und bear-


beiten
Auch beim BIND-Modul ist das Öffnen der BIND-Konfigurationsdateien möglich.
Folgen Sie dazu dem Verweis Edit Config File, wählen Sie über das Auswahlmenü
eine der beiden Konfigurationsdateien aus. Sie können mit Webmin die beiden
folgenden Dateien editieren:
/etc/named.conf
/etc/named.conf.include

Webmin kompakt
232 BIND DNS-Server

Die BIND-Modulkonfiguration fällt sehr umfangreich aus.

19.9 Modulkonfiguration
Die Modulkonfiguration für den BIND-Server stellt Ihnen eine Vielzahl an Konfi-
gurationsmöglichkeiten zur Verfügung. Die Einstellungen sind in vier Bereiche
gruppiert:
· BIND-Pfade: Hier finden Sie verschiedene Pfadangaben, die Webmin der
BIND-Installation entnimmt. Sie können außerdem anpassen, welcher
Benutzer und welche Gruppe BIND startet.
· Anzeigeoptionen: Hier legen Sie beispielsweise fest, ob die Domänen als
Icons, als Liste oder hierarchisch aufgeführt werden. Sie können auch die
Reihenfolge anpassen.
· Zonendatei-Optionen: Mit diesen Einstellungen passen Sie die Zonenda-
tei an.

www.brain-media.de
Modulkonfiguration 233

· Systemkonfiguration: In diesem Bereich finden Sie die Pfade zu den


BIND-Konfigurationsdateien und verschiedenen Hilfsprogrammen wie
whois, ndc und rndc. Diese Einstellungen müssen in der Regel nicht bear-
beitet werden.

Mit dem BIND-Modul ist es recht einfach, ein so komplexes Werkzeug wie den
DNS-Server zu konfigurieren. BIND-Profis wird das oft nicht genügen, den meis-
ten Admins sicherlich schon.

Webmin kompakt
234 BIND DNS-Server

www.brain-media.de
235

20 DHCP-Server-Konfiguration

Mit dem DHCP-Server-Modul konfigurieren Sie den ISC DHCP-Server in der auf
Ihrem System installierten Version. Mithilfe von DHCP (Dynamic Host Configura-
tion Protocol) können Sie Ihrem Netzwerk-Client eine IP-Adresse und weiterer
Konfigurationsparameter dynamisch zuweisen.

Die Übersichtsseite des DHCP-Server-Moduls.

Den meisten Lesern dürfte der Begriff DHCP geläufig sein. Es kommt insbesonde-
re in lokalen Netzwerken und bei sehr großen Netzen zum Einsatz. Es wurde spe-
ziell für zwei zentrale Einsatzbereiche entwickelt:

Webmin kompakt
236 DHCP-Server-Konfiguration

· Große Netzwerke mit häufig wechselnder Topologie, beispielsweise für


typische Provider-Umgebungen.
· Für Umgebungen, in denen Anwender eine einfache Netzwerkkonfigura-
tion wünschen.

Der entscheidende Vorteil von DHCP: Sie müssen nicht mehr alle Systeme des
Netzwerks von Hand konfigurieren, sondern können die entsprechenden Vorgaben
vom Administrator einmal in der Konfigurationsdatei des DHCP-Servers ändern.
Auch für Rechner mit häufig wechselndem Standort (z. B. Notebooks) entfällt die
fehleranfällige Konfiguration – der Rechner wird einfach ans Netzwerk gesteckt
und holt sich alle relevanten Parameter vom DHCP-Server. Man spricht daher
gelegentlich auch von einem Plug’n’Play-Netzwerk.

20.1 DHCP-Server-Basics
Schauen wir uns kurz an, was Sie über den DHCP-Server wissen sollten. Stan-
dardmäßig wartet der DHCP-Server auf UDP-Port 67 auf Client-Anfragen. In
seiner Konfigurationsdatei befinden sich Informationen über den zu vergebenden
Adresspool sowie zusätzliche Angaben über netzwerkrelevante Parameter wie die
Subnetzmaske, die lokale DNS-Domäne oder das zu verwendende Gateway. Der
Server kennt drei verschiedene Betriebsmodi: manuelle, automatische und dynami-
sche Zuordnung.
Die wichtigsten Eigenschaften der Modi:
· Manuelle Zuordnung: In diesem Modus werden am DHCP-Server die
IP-Adressen bestimmten MAC-Adressen fest zugeordnet. Die Adressen
werden der MAC-Adresse auf unbestimmte Zeit zugeteilt. Der Nachteil:
Sie können keine zusätzlichen Clients in das Netz einbinden, da die Ad-
ressen fest vergeben sind. Man verwendet diesen Modus vor allem dann,
wenn der DHCP-Client beispielsweise Server-Dienste zur Verfügung
stellt und daher unter einer festen IP-Adresse erreichbar sein soll. Auch
Port-Weiterleitungen von einem Router an einen Client benötigen in der
Regel eine feste IP-Adresse.
· Automatische Zuordnung: Bei diesem Modus wird am DHCP-Server
ein Bereich von IP-Adressen definiert. Wenn die Adresse aus diesem Be-
reich einmal einem DHCP-Client zugeordnet wurde, dann gehört sie die-
sem für eine unbestimmte Zeit. Ist der Adressbereich komplett vergeben,
so können sich keine zusätzlichen Clients in das Netz einbinden.

www.brain-media.de
Das Webmin-DHCP-Modul 237

· Dynamische Zuordnung: Dieses Modul ist der automatischen Zuord-


nung sehr ähnlich, allerdings hat der DHCP-Server in seiner Konfigurati-
onsdatei eine Angabe, wie lange eine bestimmte IP-Adresse an einen
Client vergeben werden darf, bevor der Client sich erneut beim Server
melden und eine Verlängerung beantragen muss. Meldet er sich nicht,
wird die Adresse frei und kann an einen anderen (oder auch den gleichen)
Rechner neu vergeben werden. Man bezeichnet diese Zeit auch als Lease-
Time (Mietzeit).

20.2 Das Webmin-DHCP-Modul


Mit dem Webmin-DHCP-Modul können Sie eine Vielzahl wichtiger DHCP-
spezifischer Funktionen vornehmen. Sie finden das DHCP-Servermodul wie alle
anderen Servermodule auch in der Server-Kategorie. Über die Einstiegsseite kön-
nen Sie verschiedene Aktionen durchführen:
· Einsehen und Einrichten von Subnetzen
· Hosts und Hostgruppen erzeugen und anpassen
· DNS-Zonen erstellen und bearbeiten
· Client-Einstellungen bearbeiten
· Server starten

Ist der DHCP-Server noch nicht auf Ihrem System installiert, so gibt auch dieses
Modul eine entsprechende Warnmeldung aus, dass der Server zunächst installiert
werden muss. Sollten Sie allerdings sicher sein, dass der Server konfiguriert ist, so
müssen Sie gegebenenfalls die Modulkonfiguration anpassen.
Wie Sie obiger Abbildung entnehmen können, kommt dieses Linux-System bereits
mit verschiedenen Beispielinstallationen daher. Dies variiert von System zu Sys-
tem.
Beachten Sie, dass es im Bereich Hosts und Hostgruppen mit Assignment eine
spezifische Ordnungsfunktion gibt, die der Sortierung dient. Dabei werden Host-
namen vor Gruppen aufgeführt – und zwar in der Reihenfolge, in der Sie in der
DHCP-Serverkonfigurationsdatei aufgeführt werden. Die Anpassung der Standard-
sortierung ist über folgende Links möglich:
· File structure
· Name

Webmin kompakt
238 DHCP-Server-Konfiguration

· Hardware address
· IP address

Eine ähnliche Sortierung war für die Netzwerkliste in Vorgängerversionen auch


verfügbar. Warum Jamie Cameron Sie in der aktuellen Version nicht mehr inte-
griert, ist leider nicht bekannt.

20.3 Subnetze editieren und hinzufügen


Schauen wir uns zunächst die Funktion Subnetze editieren und hinzufügen an. In
einer einfachen DHCP-Serverkonfiguration erzeugen Sie ein simples Subnetz mit
einem mehr oder minder kleinen Adressbereich, den die Clients nutzen können.
Um ein solches Subnetz zu erzeugen, folgen Sie dem Link Ein neues Subnetz hin-
zufügen. In dem zugehörigen Formular bestimmen Sie eine Vielzahl von Eigen-
schaften.

Ein neues Subnetz in der Entstehung.

www.brain-media.de
Subnetze editieren und hinzufügen 239

Das Formular Subnet-Details verlangt folgende Eingaben bzw. Einstellungen von


Ihnen (leider ist auch dieses Formular nicht durchgängig deutschsprachig):
· Subnet description: Hier hinterlegen Sie eine Beschreibung für Ihr
Subnetz. Sie finden diese Bezeichnung in der Subnetzliste wieder und
greifen über die Liste auf die Einstellungen zu.
· Netzwerkadresse: In diesem Feld hinterlegen Sie die Netzwerkadresse.
Bei einem lokalen Netzwerk kann diese beispielsweise 192.168.1.0 lau-
ten.
· Netzmaske: In diesem Feld bestimmen Sie die Netzmaske. Bei einem
Netzwerk mit obiger Adresse kann dies beispielsweise 255.255.255.0
sein.
· Adressbereiche: Mit diesen beiden Eingabefeldern bestimmen Sie den
Adressbereich, der den Clients zugewiesen werden kann. Er kann bei-
spielsweise 192.168.0.10 bis 192.168.0.20 lauten. Wichtig bei der Wahl
des Bereichs ist, dass Sie den Umfang ausreichend, aber nicht zu groß di-
mensionieren. Wenn Sie nur 10 oder 20 Clients anzubinden haben, benö-
tigen Sie auch keinen Bereich mit 100 oder gar 200 Adressen. Das Be-
sondere an dieser Funktion: Sie können Ihrem Subnetz auch mehrere Ad-
ressbereiche zuweisen. Dazu speichern Sie Ihr Subnetz zunächst und edie-
ren es dann. Über den Link Add an address pool weisen Sie dann dem
Subnetz einen weiteren Adressenbereich zu.
· Dynamisches BOOTP? Mit diesem Kontrollkästchen legen Sie fest, ob
Sie dynamisches BOOTP verwenden wollen. Das ist eine Erweiterung des
BOOTP-Protokolls, das dem DHCP-Server die Konfiguration von
BOOTP-Clients ohne die Verwendung einer expliziten, festen Adressen-
konfiguration ermöglicht. Diese Funktion vereinfacht die Administration
großer BOOTP-Netzwerke, mit denen die automatische Verteilung von
IP-Adressen (nahezu identisch mit der DHCP-Verwendung) ohne client-
seitige Änderungen möglich ist.
· Freigegebenes Netzwerk: Über dieses Auswahlmenü können Sie das
neue Subnetz einem anderen Netzwerk zuordnen.
· Standardvergabezeit: Hier legen Sie fest, wie lange eine Adresse einem
Client zugewiesen wird. Der Standard ist 600 Sekunden, also 10 Minuten.
Nach Ablauf dieser Zeitspanne muss der Client die Adresse erneuern.
· Boot-Dateiname: Wenn Sie in Ihrem Netzwerk Systeme ohne Festplatte
verwenden, so können diese beim Booten die notwendigen Daten von ei-
ner Boot-Datei beziehen. In diesem Eingabenfeld bestimmen Sie den Da-
teinamen sowie den Pfad.
Webmin kompakt
240 DHCP-Server-Konfiguration

· Maximale Vergabezeit: Hier bestimmen Sie die maximale Zuweisungs-


dauer der Adresse. Sie ist standardmäßig 7200 Sekunden. Eine Anpassung
dieses Werts ist in der Regel nicht erforderlich.
· Boot-Datei-Server: In diesem Feld legen Sie fest, vom welchem Server
festplattenlose Geräte Ihre IP-Adresse beziehen. Sie können in großen
Umgebungen diese Aufgabe auch auf einen anderen Server auslagern.
Geben Sie dazu dessen Hostname oder dessen IP-Adresse an.
· Vergabelänge für BOOTP-Clients: Hier legen Sie die Vergabelänge für
BOOTP-Clients in Sekunden an.
· Vergabeende für BOOTP-Clients: Entsprechend können Sie das Ende
für BOOTP-Clients definieren.
· Dynamic DNS enabled? Für die Adresszuweisung können Sie außerdem
die Verwendung von dynamischen CNS aktivieren bzw. deaktivieren. In
der Regel können Sie die Standardeinstellung beibehalten.
· Dynamic DNS domain name: In diesem Eingabenfeld können Sie den
DNS-Domainnamen anpassen. Dieser kann beispielsweise server.de lau-
ten.
· Dynamic DNS reverse domain: Auch die Anpassung des Reverse-DNS
ist möglich.
· Dynamic DNS hostname: Wollen Sie ein spezifisches DNS-System oder
auch mehrere nutzen, so geben Sie hier den Hostnamen bzw. die IP-
Adresse an. Bei Verwendung mehrerer Systeme trennen Sie die einzelnen
Einträge durch ein Leerzeichen.
· Allow unknown clients? Hier legen Sie fest, wie der DHCP-Server mit
ihm unbekannten Clients umgeht. Das Webmin-Modul sieht vier Einstel-
lungen vor:
o Allow – zulassen
o Deny – ablehnen
o Ignore – ignorieren
o Standard – Standardeinstellung

· Client-Updates: Hier legen Sie fest, ob Clients ihre eigenen Einträge än-
dern dürfen. Auch hier stehen Ihnen folgende Einstellungen zur Verfü-
gung:

www.brain-media.de
Subnetze editieren und hinzufügen 241

o Allow – zulassen
o Deny – ablehnen
o Ignore – ignorieren
o Standard – Standardeinstellung
Aus sicherheitstechnischen Überlegungen heraus sollten Sie diese Fähig-
keit deaktivieren.

· Server is authoritative for this subnet? Soll Ihr DHCP-Server der zent-
rale Server in Ihrem Netz sein, so setzen Sie diesen Schalter auf Ja.
· Hosts directly in this subnet: Über dieses Auswahlmenü können Sie
Hosts direkt dem Subnetz zuordnen.
· Groups directly in this subnet: Auch Gruppen können Sie direkt dem
Subnetz zuordnen.

Mit einem Klick auf Erstellen speichern Sie die Einstellungen des neuen Subnet-
zes. Wenn Sie Ihren ersten Subnetzeintrag nun editieren, finden Sie am Fuße des
Formulars verschiedene weitere wichtige Funktionen. Dort können Sie insbesonde-
re folgende Aktionen durchführen:
· die Client-Einstellungen bearbeiten
· die Lease-Einstellungen einsehen
· einen neuen Host bzw. eine Hostgruppe dem Subnetz zuordnen
· einen neuen Adressenpool hinzufügen

Webmin kompakt
242 DHCP-Server-Konfiguration

Das Hinzufügen eines neuen Adresspools.

Um dem Subnetz einen Adresspool hinzuzufügen, klicken Sie am unteren Formu-


larende auf den Verweis Add an address pool. Die Einstellungen des zugehörigen
Formulars entsprechen weitestgehend den Funktionen beim Erstellen eines neuen
Subnetzes. Auch hier legen Sie zunächst den Adressbereich fest.

www.brain-media.de
Hosts und Hostgruppen erstellen 243

Das Hinzufügen eines neuen Hosts.

20.4 Hosts und Hostgruppen erstellen


Sowohl über die DHCP-Server-Einstiegsseite als auch über die Subnetzseite kön-
nen Sie Hosts und Hostgruppen erstellen. Zum Erstellen eines Hosts, der über den
DHCP-Server mit einer IP-Adresse versorgt wird, klicken Sie im Bereich Hosts
und Hostgruppen auf den Link Einen neuen Host hinzufügen.
Auf dem Formular Host erstellen hinterlegen Sie zunächst eine Beschreibung und
den Hostnamen. Als Nächstes ist die Zuweisung dran. Dabei können Sie die Ver-
erbungsfunktion nutzen und dem Host beispielsweise die Eigenschaften eines Sub-
netzes zuordnen. In diesem Fall wählen Sie aus dem Auswahlmenü den Eintrag
Subnet und bestimmen dann in dem zweiten Auswahlmenü das Netz, dessen Ein-
stellungen für den neuen Host übernommen werden sollen.
Wenn Sie dem Host eine feste Adresse zuordnen wollen, hinterlegen Sie diese im
Eingabefeld Feste IP-Adresse. Mit einem Klick auf Erstellen ist der erste neue
Host-Eintrag erzeugt.

Webmin kompakt
244 DHCP-Server-Konfiguration

Die Client-Einstellungen.

20.5 Die Client-Einstellungen


Auch das Bearbeiten der DHCP-Client-Einstellungen ist mithilfe von Webmin
möglich. Dabei ist zwischen den allgemeinen und den Host-spezifischen Client-
Einstellungen zu unterscheiden.
Auf die Host-spezifischen Einstellungen greifen Sie zu, indem Sie einen Host
öffnen und dann am Fuße des Host-Formulars auf die entsprechende Schaltfläche
klicken. Die allgemeinen Einstellungen einzusehen, wenn Sie über die DHCP-
Server-Startseite auf die Schaltfläche Bearbeite Client-Einstellungen klicken.
Funktional sind beide identisch, allerdings wirken sich die allgemeinen Einstellun-
gen auf alle Subnetze, freigegebenen Netzwerke, Hosts und Hostgruppen aus.
Interessant sind hier sicherlich die Konfigurationsmöglichkeiten für die verschie-
denen Server. Sie können insbesondere folgende Server in die DHCP-Client-
Konfiguration einbinden:
· Zeit-Server
· Protokoll-Server
· Swap-Server

www.brain-media.de
Die Client-Einstellungen 245

· NIS-Server
· Font-Server
· XDM-Server
· NTP-Server

Die Wahl der Netzwerkschnittstelle.

Am Fuße der Einstiegsseite finden Sie verschiedene weitere Funktionen. Dort


können Sie beispielsweise den TSIG-Schlüssel bearbeiten. Mittels TSIG (Transac-
tion SIGnatures) sind sichere Transaktionen möglich. Dabei kommen sogenannte
Transaktionsschlüssel (Transaction Keys) und -signaturen (Transaction Signatures)
zum Einsatz.
Benötigt werden sichere Transaktionen bei der Kommunikation von Server zu
Server und für dynamische Aktualisierungen der Zonendaten. Eine auf Schlüsseln
basierende Zugriffskontrolle bietet dafür eine weit größere Sicherheit als eine Kon-
trolle, die auf IP-Adressen basiert.
Sie können außerdem die Konfigurationsdatei des DHCP-Servers einsehen und
bearbeiten, die Netzwerkschnittstelle ändern, über die der Server ansprechbar ist,
und die Liste der aktuell von Ihrem Server zugewiesenen dynamischen Adressen.
Schließlich können Sie den Server über die entsprechende Schaltfläche starten,
sofern Sie ihn noch nicht in Betrieb genommen haben.

Webmin kompakt
246 DHCP-Server-Konfiguration

Der integrierte Texteditor erlaubt direkte Eingriffe


in die DHCP-Konfigurationsdatei.

20.6 Modulkonfiguration
Auch das DHCP-Servermodul besitzt eine eigene Modulkonfiguration, auf die Sie
wie gewohnt über den Link im Kopfbereich des Servermoduls zugreifen. Wie Sie
es von anderen Modulkonfigurationen inzwischen kennen, präsentiert Ihnen das
zugehörige Formular zwei Bereiche: anpassbare Einstellungen und Systemeinstel-
lungen.

www.brain-media.de
Modulkonfiguration 247

Ein Blick auf die DHCP-Server-Modulkonfiguration.

Für mögliche Anpassungen sind ohnehin fast ausnahmslos die konfigurierbaren


Optionen interessant. Werfen wir daher einen Blick auf diese:
· Sortiere Leases nach: Hier legen Sie die Sortierreihenfolge der Leases
fest. Sie haben die Wahl zwischen folgenden Einstellungen:
o Reihenfolge in Datei
o IP-Adresse
o Hostname

· Zeige Sub-Netze und Hosts als: Hier legen Sie fest, ob die Subnetze und
Hosts als Icons oder als Liste angezeigt werden.
· Icons in Reihe: Wenn Sie sich für die Darstellung durch Icons entschei-
den, können Sie die Anzahl an Icons pro Reihe definieren.

Webmin kompakt
248 DHCP-Server-Konfiguration

· Zeige Leases-Zeiten in: Dieser Schalter erlaubt Ihnen die Anpassung der
Leases-Zeiten. Sie können sich zwischen GMT und der Lokalzeit ent-
scheiden. Die Verwendung von GMT macht insbesondere dann Sinn,
wenn Sie Systeme in mehreren Zeitzonen verwalten. Da das vermutlich
eher selten der Fall ist, können Sie den Schalter auch auf Lokalzeit setzen.
· Show IP addresses for hosts? Hier legen Sie fest, ob die IP-Adressen der
Hosts angezeigt werden oder nicht. In der Regel kommen Sie gut ohne
diese Information aus.
· Show MAC addresses for hosts? Auch hier können Sie die Ansicht akti-
vieren bzw. deaktivieren. Meist wird die Zusatzinformation nicht benö-
tigt.
· Show group names as: Hier legen Sie fest, wie der Gruppenname ange-
zeigt wird. Sie haben die Wahl zwischen folgenden Einstellungen:
o domain-name option
o Name or member count
o Description
Die Option Name ist standardmäßig aktiviert und dürfte in den meisten
Fällen auch den Anforderungen genügen, denn dabei wird in der Grup-
penübersicht die Bezeichnung angezeigt, die Sie ihr zugewiesen haben.

· Show other object descriptions instead of names? Anstelle des Objekt-


namens können Sie auch die Objektbeschreibung anzeigen lassen. In der
Regel bringt das keinen Informationsgewinn.
· Maximum number of subnets and hosts to display: Schließlich können
Sie die Anzahl an Subnetzen und Hosts beschränken, die auf der Über-
sicht angezeigt werden.

Im Bereich System configuration finden Sie die Einstellungen, die Webmin Ihrem
DHCP-Server entnimmt. Hier sind in der Regel keine Änderungen erforderlich –
außer Sie nehmen manuelle Eingriffe in die DHCP-Server-Konfiguration vor.

www.brain-media.de
Modulkonfiguration 249

Auf der Fetchmail-Übersichtsseite fügen Sie einen neuen Fetchmail-Server


hinzu und konfigurieren die regelmäßige Überprüfung.

Webmin kompakt
250 DHCP-Server-Konfiguration

www.brain-media.de
251

21 Fetchmail-Konfiguration

Mithilfe von Webmin ist auch die Administration eines Fetchmail-Servers mög-
lich. Die dazugehörige Konfiguration ist ebenfalls in der Server-Kategorie verfüg-
bar. Fetchmail dient dazu, E-Mails von POP-, IMAP-, ETRN-, oder ODMR-
fähigen Mailservern abzurufen und leitet sie dann an (E)SMTP- oder LMTP-fähige
Mailserver oder ein lokales Zustellprogramm weiter. In der Vergangenheit wurde
Fetchmail allerdings häufig wegen seines Designs und der Sicherheitslücken kriti-
siert, trotzdem ist es auf Unix-artigen Systemen weit verbreitet und wird mit den
meisten Linux-Distributionen ausgeliefert.
Für Fetchmail gibt es zwei Konfigurationsvarianten: die benutzerspezifische oder
systemweite Variante. Die Konfiguration erfolgt über die Konfigurationsdatei
fetchmailrc, die sich bei der systemweiten Konfiguration im Home-Verzeichnis
von Root befindet. Falls sie noch nicht existiert, kann man die Datei von Hand
anlegen. Aber Vorsicht bei den Zugriffsrechten. Diese File darf nur von Root les-
bar sein, weil darin die POP3-Passwörter in Klartext gespeichert werden.

Das Hinzufügen eines neuen Servers für das Abrufen von E-Mails.

Webmin kompakt
252 Fetchmail-Konfiguration

Das Formular zum Hinzufügen eines Servers, der mithilfe von Fetchmail auf neue
Nachrichten überprüft wird, verlangt von Ihnen folgende Einstellungen:
· E-Mailserver-Name: Hier geben Sie den Hostnamen bzw. die IP-Adresse
des Servers an.
· Abholung aktiviert? Mit diesem Schalter bestimmen Sie, ob Fetchmail
den Server regelmäßig auf neue Nachrichten prüfen soll. Wenn Sie den
Schalter auf Nein setzen, muss die Überprüfung manuell erfolgen.
· E-Mailserver, der abgefragt werden soll: Hier können Sie einen alterna-
tiven E-Mail-Server angeben.
· Protokoll: Über dieses Auswahlmenü bestimmen Sie den Server-Typ. Sie
haben die Wahl zwischen folgenden Protokollen:
o POP3
o POP2
o IMAP
o IMAP-K4
o IMAP-GSS
o APOP
o KPOP
Sollten Sie nicht wissen, welches Protokoll auf dem abzurufenden Server
verwendet wird, sollten Sie dessen Administrator konsultieren. Meist
kommt POP3, seltener hingegen IMAP zum Einsatz.
· E-Mailserver-Port: Hier können Sie den Port des abzurufenden Mailser-
ver ändern. In der Regel sollten Sie die Konfiguration Standard beibehal-
ten, außer Sie wissen zuverlässig, dass der Zielserver einen anderen Port
verwendet und welcher dies ist.
· Authentisierungsmethode: Für den Zugriff auf den abzurufenden Server
ist natürlich auch die Authentifizierungsmethode relevant, denn der Zu-
griff kann natürlich nur mit der korrekten Technik erfolgen, die der ent-
fernte Mailserver verlangt. Über dieses Auswahlmenü stehen Ihnen alle
gängigen Authentifizierungsmethoden zur Auswahl:
o PASSWORD
o KERBEROS_V5
o KERBEROS_V4

www.brain-media.de
253

o GSSAPI
o CRAM-MD5
o OTP
o NTLM
o SSH
Der Zugriff dürfte in den meisten Fällen über die Passwort-Variante erfol-
gen.
· Prüfe Zustand: Mit diesem Schalter bestimmen Sie, ob Fetchmail den
Zustand des abzurufenden Servers prüfen soll oder nicht. Standardmäßig
ist die Option Prüfe immer aktiviert, damit Fetchmail immer weiß, in
welchem Status sich der Server befindet. Alternativ können Sie die beiden
folgenden Einstellungen verwenden:
o Nur wenn die Schnittstelle aktiviert ist: Wenn Sie diese Option
wählen, versucht Fetchmail lediglich dann eine Verbindung auf-
zubauen, wenn die Netzwerkstelle verfügbar ist.
o mit Adresse / Netzmaske: In diesen Eingabefeldern bestimmen
Sie den Adressbereich, für den eine Verbindungsaufnahme ver-
sucht wird.

Im Bereich E-Mailserver-Benutzerdetails stehen Ihnen folgende Anpassungsmög-


lichkeiten zur Verfügung.
· Benutzername auf E-Mailserver: In diesem Eingabefeld hinterlegen Sie
den Benutzernamen, mit dem sich Fetchmail auf dem abzurufenden Ser-
ver anmeldet.
· Paßwort auf E-Mailserver: In dieses Eingabefeld geben Sie das dazuge-
hörige Passwort ein.
· Lokaler Benutzer: In dieses Feld geben Sie den lokalen Benutzernamen
ein. Dabei kann es sich um einen Namen wie user_sowieso oder auch um
die E-Mail-Adresse handeln. Das ist abhängig von dem abzurufenden
System. Sie können auch mehrere Benutzernamen einfügen und diese
durch Kommata trennen. Es gibt eine dritte Möglichkeit: Sie verwenden
das Sternchen (*). In diesem Fall liefert Fetchmail alle E-Mails an die Be-
nutzer aus, bei denen der Benutzername mit der Benutzerkennung der E-
Mail-Adresse übereinstimmt.

Webmin kompakt
254 Fetchmail-Konfiguration

· Nachrichten auf dem Server belassen? Mit dieser Einstellung legen Sie
fest, ob die von Fetchmail angeforderten Nachrichten auch weiterhin auf
dem Server verbleiben sollen oder nicht. In der Regel ist das nicht ge-
wünscht.
· Immer alle Nachrichten abholen? Hier legen Sie fest, ob immer alle
Nachrichten von dem Server abgerufen werden sollen. Das ist in der Re-
gel ebenfalls nicht erwünscht.
· Verbinde mit SSL? Hier legen Sie fest, ob die Verbindungsaufnahme
zwischen Fetchmail und dem Remote-Mailserver per SSL erfolgt. In der
Regel ist auch das nicht der Fall. Aus Sicht der Sicherheit aber in jedem
Fall wünschenswert.
· Befehl, der vor dem Verbindungsaufbau ausgeführt werden soll: Sie
können dieses Eingabefeld nutzen, um vor dem Verbindungsaufbau ein
spezifisches Kommando auszuführen. Sie könnten beispielsweise einen
SSH-Tunnel über den zugehörigen Konsolenbefehl aufbauen.
· Befehl, der nach dem Verbindungsaufbau ausgeführt werden soll:
Dieses Eingabefeld wird in der Regel dazu genutzt, den im voranstehen-
den Feld gestarteten Befehl bzw. um den zugehörigen Prozess zu been-
den.

Mit einem Klick auf Erstellen wird der neue Server in die Server-Liste aufgenom-
men. Dort können Sie dann auch alle Server mit einem Klick auf Alle Server prü-
fen auf neue Nachrichten checken.

21.1 Fetchmail-Modulkonfiguration
Im Kopfbereich der Fetchmail-Übersicht finden Sie auch bei diesem Modul die
Fetchmail-Modulkonfiguration. Auch das zugehörige Formular präsentiert Ihnen
wieder konfigurierbare Einstellungen und die Systemkonfiguration.
Im Bereich Konfigurierbare Optionen finden Sie folgende Anpassungsmöglichkei-
ten:
· Fetchmail Konfigurations-Datei bearbeiten: Wenn Sie die Standardein-
stellung .fetchmailrc-Dateien aller Benutzer beibehalten, werden die
Fetchmail-Konfigurationen aller Systembenutzer über die Webmin-
Schnittstelle angezeigt und können geändert werden. Wenn Sie lediglich
eine Konfigurationsdatei über die Admin-Schnittstelle zugänglich machen
wollen, so geben Sie in das zweite Eingabefeld den zugehörigen Pfad ein.
www.brain-media.de
Fetchmail-Modulkonfiguration 255

· Zeige Benutzerliste an als: Hier legen Sie fest, in welchem Format die
Benutzerliste angezeigt wird. Sie haben die Wahl zwischen beiden fol-
genden selbsterklärenden Optionen:
o Nur Benutzernamen
o Benutzernamen und Fetchmail-Konfiguration

Standardmäßig ist die zweite Option aktiviert. In kleinen Umgebungen


kann auch mal nur der Benutzername genügen.

Die Modulkonfiguration des Fetchmail-Servers.

· Maximum number of users to display: Mit diesem Schalter legen Sie


fest, wie viele Benutzer maximal angezeigt werden. Das sind standardmä-
ßig 400. Sie können den Wert aber natürlich auch auf unbegrenzt
(Unlimited) hochsetzen.
· Fetchmail-Daemon läuft als Benutzer: In diesem Textfeld erfolgt die
Benutzerzuweisung des Fetchmail-Daemons. Er gehört standardmäßig
Root.

Webmin kompakt
256 Fetchmail-Konfiguration

· E-Mail-Auslieferungs-Befehl: Mit der letzten anpassbaren Option be-


stimmen Sie den Auslieferungsbefehl. Die Auslieferung erfolgt in der Re-
gel per SMTP, Sie können aber beispielsweise auch ein benutzerdefinier-
tes Sendmail-Kommando in das Eingabefeld eingeben.

Im Bereich Systemkonfiguration stehen Ihnen lediglich vier Anpassungsmöglich-


keiten zur Verfügung:
· Pfad zum Fetchmail-Programm: Hier zeigt Ihnen das Webmin-Modul
den Pfad zum Fetchmail-Programm an.
· Pfad zur Fetchmail-Daemon PID-Datei: Und hier den Pfad zur PID-
Datei.
· Kommando um den Fetchmail-Daemon zu starten: Hier legen Sie fest,
ob Fetchmail einfach gestartet oder ein benutzerdefiniertes Kommando
ausgeführt werden soll.
· Kommando um den Fetchmail-Daemon zu stoppen: Schließlich wird
standardmäßig der Befehl fetchmail -q aufgerufen, um den Daemon zu
beenden. Sie können in dem Eingabefeld alternativ einen anderen Befehl
definieren.

www.brain-media.de
257

22 Benutzer-E-Mails lesen über Postfix

In der Server-Kategorie finden Sie auch den Eintrag Benutzer-E-Mails lesen. Da-
hinter verbirgt sich der Zugriff auf einen auf Ihrem System installierten Postfix-
Server. Postfix ist ein Mail-Transfer-Agent für Unix und Linux. Er wurde erschaf-
fen, um eine kompatible Alternative zu Sendmail zu bieten. Bei der Entwicklung
wurde insbesondere auf Sicherheitsaspekte geachtet. Postfix ist aber nicht nur
sicher, sondern auch schnell und vergleichsweise einfach zu administrieren.

Die Übersichtsseite beim Zugriff auf den Postfix-Mailserver.

Wenn Sie auf das Benutzer-Mail-Modul zugreifen, so präsentiert Ihnen die zuge-
hörige Übersicht die verschiedenen Benutzer, für die auf Ihrem System Mailkonten
eingerichtet sind. Das ist natürlich abhängig von den Berechtigungen, die Webmin
besitzt bzw. mit welchen Berechtigungen der eingeloggte Webmin-Benutzer aus-
gestattet ist.
Um auf das Postfach eines Benutzers zuzugreifen, klicken Sie einfach auf den
entsprechenden Link. Liegt für den Benutzer eine Nachricht vor, so wird diese in
der Nachrichtenübersicht angezeigt.
Sie können über die Schaltfläche Schreiben eine Mitteilung an beliebige Empfän-
ger verfassen. Dazu geben Sie im zugehörigen Formular den Absender, den Betreff
und gegebenenfalls die Priorität an.
Webmin kompakt
258 Benutzer-E-Mails lesen über Postfix

www.brain-media.de
259

23 Mailinglisten mit Majordomo verwalten

Majordomo ist der Klassiker unter den Mailinglisten-Managern. Wie viele andere
Server, die Webmin verwalten kann, ist Majordomo ebenfalls Open-Source-
Software. Der Manager arbeitet insbesondere mit Sendmail, aber auch mit anderen
Mail-Transfer-Agents wie Postfix zusammen.
Da Majordomo nicht der GPL unterliegt, sondern eine eingeschränkte Open-
Source-Lizenz besitzt, die eine Weiterentwicklung und Verbreitung durch Dritte
erschwert, wird es seit 1997 nicht mehr weiterentwickelt und weist inzwischen
einige nicht geschlossene Sicherheitslücken auf.
Da der Mailinglisten-Manager inzwischen nicht mehr weiterentwickelt wird, er-
scheinen viele Prozeduren heute nicht mehr zeitgemäß, beispielsweise das vorge-
sehene Verfahren zum An- und Abmelden durch E-Mail-Kommandos. Zur kom-
fortableren Bedienung wurden später Web-basierte Frontends erstellt. Das bekann-
teste Frontend ist Majorcool. Auch über Webmin ist die Konfiguration des Tools
möglich.

Die Übersichtsseite beim ersten Zugriff auf


den Mailinglisten-Manager Majordomo.

Inzwischen sind viele Listenbetreiber auf das neuere und sicherere GNU-
Programm Mailman (http://www.gnu.org/software/mailman/) umgestiegen. Auch

Webmin kompakt
260 Mailinglisten mit Majordomo verwalten

dieser Manager lässt sich über Webmin administrieren, und zwar über das
Mailman-Modul for Webmin (http://sourceforge.net/projects/mailman-mod/).
Voraussetzung für die Nutzung von Majordomo ist eine erfolgreiche Sendmail-
Installation. Prüfen Sie daher zunächst, ob Sendmail auf Ihrem System installiert
und konfiguriert ist. Auf Sendmail kommen wir später noch zu sprechen.
Sind Sendmail und Majordomo auf Ihrem System installiert, müssen Sie zunächst
die E-Mail-Adresse des Besitzers in der Sendmail-Alias-Datei eintragen. Dazu
geben Sie die gewünschte Adresse in das Eingabefeld ein und klicken dann auf die
Schaltfläche Einrichten von Aliasen.

23.1 Mailinglisten-Übersicht
Sie landen automatisch in der Mailinglisten-Übersicht. Da Sie bislang noch keine
Liste erzeugt haben, müssen Sie über den Verweis Hinzufügen einer Mailingliste
erst eine einrichten. Sie landen auf dem Formular Details der neuen Liste, das
folgende Eingaben von Ihnen verlangt:
· Name der Liste: Zunächst müssen Sie der Liste eine Bezeichnung zuwei-
sen. Über diese ist sie dann in der Übersicht aufruf- und editierbar.
· Adresse des Listenverwalters: In diesem Eingabefeld geben Sie die E-
Mail-Adresse des Listen-Administrators an.
· Passwort des Verwalters: Und hier sein das Passwort des Listen-
Administrators.
· Beschreibung: In diesem Textfeld hinterlegen Sie eine kurze Beschrei-
bung Ihrer Liste.
· Einleitende Mitteilung: Und hier hinterlegen Sie den Text, der jedem
neuen Abonnenten gemailt wird. Dabei kann es sich um eine Einführung
in die Liste, Forenregeln oder andere wichtige Informationen für neue Le-
ser handeln.
· Fußzeile einer weitergeleiteten E-Mail: Sie können einer weitergeleite-
ten Nachricht auch eine Fußzeile mit auf den Weg geben. Meist hinterlegt
man hier die Informationen, die für das Abbestellen der Mailingliste
wichtig sind.

www.brain-media.de
Mailinglisten-Übersicht 261

Die Details der neuen Mailingliste.

· Moderierte Liste? Hier legen Sie fest, ob die neue Liste moderiert wer-
den soll oder nicht. Bei einer moderierten Liste werden erst alle Beiträge
vom Moderator auf Ihre Inhalte und die Listen-Konformität geprüft. Er
kann die Beiträge dann manuell freigeben oder löschen.
· Adresse des Moderators: Wenn Sie einen Moderator haben, so muss das
System natürlich auch wissen, wer das ist. Übernimmt der Majordom-
Administrator ebenfalls die Rolle des Moderators, so aktivieren Sie die
Option Identisch mit der Adresse des Verwalters. Andernfalls geben Sie
die E-Mail-Adresse des Administrators in das Eingabefeld ein. An diese
Adresse wird dann immer eine Kopie des Forenbeitrags gemailt.
· Mailingliste archivieren? Schließlich können Sie die Beiträge archivie-
ren. Sie haben die Wahl zwischen folgenden Optionen:
o Nein
o In jährlicher Datei
o In monatlicher Datei
o In täglicher Datei

Webmin kompakt
262 Mailinglisten mit Majordomo verwalten

Standardmäßig ist die Archivierung deaktiviert. Ob eine Archivierung, die


bisweilen sehr speicherplatzintensiv wird, Sinn macht, muss im Einzelfall
entschieden werden.

Mit einem Klick auf Erstellen ist Ihre erste Mailingliste – zumindest das Grundge-
rüst – erstellt. Sie landen in der Bearbeiten-Übersicht, in der Sie dann beispielswei-
se der Liste erste Mitglieder verpassen, die Zugriffskontrolle, Kopf- und Fußzeilen
definieren können. Auch das Löschen der Liste ist mit einem einzigen Klick auf
die Löschen-Schaltfläche möglich.

Die Details der neuen Mailingliste.

Wie Sie voranstehender Abbildung entnehmen können, ist über die Listen-
Editierfunktion insbesondere das Bearbeiten von der Mitgliederliste möglich.

www.brain-media.de
Mailinglisten-Übersicht 263

Das Bearbeiten der Mailinglisten-Mitgliederliste.

Um Mitglieder in die Mailingliste aufzunehmen, verwenden Sie das Textfeld. Dort


geben Sie die Liste der E-Mail-Adressen an, die die E-Mails erhalten sollen, die an
diese Liste gesendet werden. Für jeden Eintrag verwenden Sie eine einzelne Zeile.
Sie können vier weitere Aktionen durchführen:
· Eine E-Mail-Adresse zu der Liste hinzufügen: Mit diesem Eingabefeld
fügen Sie einzelne Benutzer der Liste hinzu.
· Entferne E-Mail-Adresse aus der Liste: Diese Funktion erlaubt das Ent-
fernen bestehender Listeneinträge.
· Unixbenutzer mit der Liste synchronisieren? Die Benutzeradministra-
tion vereinfacht sich womöglich, wenn Sie die bestehenden Systembenut-
zer mit der Mitgliederliste abgleichen.
· Domainname, der an den Usernamen angehängt wird: Im letzten Ein-
gabefeld können Sie den Domainnamen bestimmen, der den Benutzerna-
men angehängt wird. Das macht nur Sinn, wenn Sie im Benutzerfeld nur
Benutzerkennungen anstelle von vollständigen E-Mail-Adressen verwen-
den.

Webmin kompakt
264 Mailinglisten mit Majordomo verwalten

Wenn Sie dem Link Mitteilungen und Beschreibungen folgen, finden Sie die Ein-
leitung und Beschreibung, die Sie beim Erstellen der Liste hinterlegt haben. In dem
dazugehörigen Formular können Sie beide nachträglich ändern.
Weitaus wichtiger sind die Funktionen, die sich hinter dem Icon Einschreibung
und Moderation verbergen. Dort finden Sie verschiedene Einschreibungs- und
Moderationsregeln, die beispielsweise festlegen, wer sich an der Liste anmelden
und wer wem kündigen darf.

Die Konfiguration der Einschreibungs- und Moderationsfunktionen.

Die Einstellungen im Einzelnen:


· Einschreibungsregeln: Diese Regeln sehen drei Optionen vor:
o Jeder darf sich selbst einschreiben.
o Jeder darf jeden einschreiben.
o Zustimmung des Verwalters wird benötigt.
o Aus sicherheitstechnischen Überlegungen heraus sollte die Zu-
stimmung des Verwalters für das Einschreiben erforderlich sein.

www.brain-media.de
Mailinglisten-Übersicht 265

· Kündigungsregeln: Auch hier haben Sie drei Optionen:


o Jeder kann sich selbst kündigen.
o Jeder kann jeden kündigen.
o Zustimmung des Verwalters wird benötigt.
o Empfehlenswert ist auch hier die letzte (und auch die erste) Op-
tion.

· Wird eine Bestätigung der Einschreibung verlangt? Setzen Sie diese


Option auf Ja, damit eine Einschreibebestätigung erforderlich ist.
· Soll die einleitende Mitteilung versandt werden? Mit diesem Schalter
bestimmen Sie, ob bei der ersten E-Mail an den neuen Teilnehmer die ein-
leitende Mitteilung gesendet werden soll oder nicht.
· Nur die ursprüngliche E-Mail-Adresse zur Liste hinzufügen? Soll nur
die ursprüngliche E-Mail-Adresse der Liste hinzugefügt werden, behalten
Sie die Standardeinstellung Ja bei.
· Benachrichtigung an den Verwalter über Einschreibungen und Kün-
digungen? Standardmäßig erhält der Mailinglisten-Verwalter eine Be-
nachrichtigung, dass sich ein Benutzer an- bzw. abgemeldet hat.
· Weiterleitung der Einschreibungs-/Kündigungsanfrage an den Ver-
walter? In der Regel ist es außerdem gewünscht, dass Einschreibe- bzw.
Kündigungsanfragen beim Verwalter landen. Behalten Sie in diesem Fall
die Standardeinstellung Ja bei.
· Passwort des Verwalters: In diesem Eingabefeld hinterlegen Sie das
Passwort des Mailinglisten-Verwalters.
· Moderierte Liste? Soll sich ein Moderator um die Liste und Ihre Inhalte
kümmern, schalten Sie hier auf Ja.
· E-Mail-Adresse des Moderators? Als Moderator ist standardmäßig der
Verwalter vorgesehen. Wenn Sie eine andere Person damit beauftragen
wollen, geben Sie hier den Benutzernamen oder die E-Mail-Adresse an.
· Moderationspasswort: Hier geben Sie das Passwort des Moderators an.
· Die E-Mail-Adresse des Eigentümers: Hier die E-Mail-Adresse des Ei-
gentümers.

Webmin kompakt
266 Mailinglisten mit Majordomo verwalten

· Die E-Mail-Adresse der Genehmigung: Und schließlich die E-Mail-


Adresse für die Genehmigung von Forenanmeldungen.

Die E-Mail-Optionen für Ihre erste Mailingliste.

In den E-Mail-Optionen für Ihre Liste bestimmen Sie beispielsweise, ob ein


Betreffzusatz wie [Mailingliste-Sowieso] bei weitergeleiteten Nachrichten verwen-
det wird und wie groß Beiträge maximal sein dürfen. Die Einstellungen im Einzel-
nen:
· "Reply-To:"-E-Mail-Adresse in der zurückgesandten E-Mail: Wenn
Sie die Standardeinstellung Nichts beibehalten, so wird ein Reply auf eine
Nachricht direkt an den Absender der Nachricht gesendet.
· "Sender:"-E-Mail-Adresse in der E-Mail: Hier legen Sie den Absender
von an die Mitglieder der Liste weitergeleiteten E-Mails fest. Dieser lautet
standardmäßig owner-listname. Sie können natürlich jede andere Ihnen
passende Bezeichnung verwenden.
· Hostname für die zurückgesandte E-Mail: In diesem Feld können Sie
den Hostnamen für zurückgesandte Nachrichten bestimmen.
· "Subject:"-Zusatz für zurückgesandte E-Mail: Hier den dazugehörigen
Betreffzusatz.
· Priorität der zurückgesandten E-Mail: In diesem Feld bestimmen Sie
die Priorität zugesandter Nachrichten. Bulk ist in der Regel eine gute
Wahl.

www.brain-media.de
Zugriffskontrolle 267

· Entferne "Recieved:"-Kopfzeile der zurückgesandten E-Mail: Sie


können auch die Received-Kopfzeile aus zurückgesandten E-Mails ent-
fernen. Das ist in der Regel nicht gewünscht.
· Maximal erlaubte Nachrichtengröße: Um Ihr System nicht von zu fet-
ten Mails lahmlegen zu lassen, sollten Sie die maximale Nachrichtengröße
(in Bytes) bestimmen. Werte zwischen 40 und 100 tausend sind meist
praxistauglich.

23.2 Zugriffskontrolle
Majordomo stellt Ihnen eine Vielzahl an Funktionen zur Steuerung der Zugriffs-
kontrolle zur Verfügung. Sie können beispielsweise festlegen, wer Informationen
über eine Liste abrufen darf, wer Postings senden darf und vieles mehr.
Für sechs wichtige Majordomo-Befehle stehen Ihnen drei Einstellungen zur Verfü-
gung: get, index, info, intro, which und who. Für diese können Sie folgende Be-
rechtigungen verteilen:
· Jedermann
· Mitglieder der Liste
· Niemand

Die Zugriffssteuerung auf die neue Liste.

Webmin kompakt
268 Mailinglisten mit Majordomo verwalten

Die beiden folgenden Befehle beziehen sich auf das Archiv:


· index <Name_der_Liste>: Mit dieser Anweisung erfährt man, ob und
welche Dateien es gibt.
· get <Name_der_Datei>: Mit diesem Befehl können Sie eine bestimmte
Datei anfordern.

Die Befehle intro und info liefern der Außenwelt wichtige Informationen zur Liste:
· intro: Das Intro informiert neue Listenteilnehmer.
· info: Die Info soll Neugierigen mitteilen, wozu diese Liste gut ist und
vielleicht auch, wie sie sich eintragen können.
· Die beiden Kommandos which und who liefern zusätzliche Informationen
über die Liste:
· which <EmailAdresse>: Mit diesem Befehl können Sie herausfinden,
wer wo alles eingetragen ist.
· who: Mit diesem Kommando können Berechtigte abfragen, wer die Liste
abonniert hat.

Mit fünf weiteren Einstellungen können Sie festlegen, wer an die Liste schreiben
kann, und welche Ausdrücke nicht im Nachrichtentext bzw. der Kopfzeile erschei-
nen dürfen. Wichtig ist dabei, dass alle Ausdrücke (regexps) der Taboo-/ und der
Adressen-Liste mit einem Schrägstrich (/) beginnen und enden müssen.

In den Mailinglisten-Einstellungen können Sie


auch die Kopf- und Fußzeilen bestimmen.
www.brain-media.de
Übersichtsliste 269

Die Mailinglisten-Konfiguration hat zwei weitere Anpassungsmöglichkeiten zu


bieten. Wenn Sie dem Link Kopf- und Fußzeilen folgen, landen Sie in einem einfa-
chen Formular, über das Sie Kopf- und Fußzeile sowie optional zusätzliche SMTP-
Headerzeilen definieren. Insbesondere das Feld für die Fußzeile sollten Sie nutzen,
um die Teilnehmer darüber zu informieren, wie man die Liste abbestellt.
Unter Diverse weitere Optionen können Sie beispielsweise den Debug-Modus
aktivieren.

23.3 Übersichtsliste
Die meisten Leser werden – sofern Sie in der Vergangenheit Mailinglisten genutzt
haben – sicherlich auch die sogenannten Übersichtslisten kennen. Sie werden häu-
fig auch als Digest bezeichnet. In diesen Listen werden die Beiträge eines be-
stimmten Zeitraums zusammengefasst und in chronologischer Reihenfolge aufge-
führt.

Das Erstellen einer Übersichtsliste.

Die Handhabung der Digest-Funktion ist einfach. Weisen Sie der Liste eine Be-
zeichnung, eine Mailingliste und einen Administrator zu. Hinterlegen Sie außer-
dem eine Beschreibung und eine Infomitteilung samt typischer Fußzeile.

Webmin kompakt
270 Mailinglisten mit Majordomo verwalten

Die Zusammenstellung der Liste erfolgt mit den beiden letzten Optionen. Sie kön-
nen festlegen, nach wie vielen Tagen eine Nachrichtensammlung erstellt wird oder
wie umfangreich (in Zeilen) die bisherigen Beiträge sein müssen.
Zu jeder Liste stehen Ihnen wiederum spezifische Einstellungen zur Verfügung,
die im Wesentlichen denen beim Erstellen einer Liste entsprechen.

23.4 Majordomo-Optionen
Die Majordomo-Übersichtsseite erlaubt auch die Bearbeitung der globalen Optio-
nen, die auf alle Mailinglisten angewendet werden. Dazu gehören der Hostname
des E-Mail-Servers, die E-Mail-Adresse des Systems, die des Eigentümers und der
Sendmail-Pfad. Änderungen sind hier in der Regel nicht erforderlich.

Die globalen Majordomo-Optionen.

23.5 Modulkonfiguration
Auch für das Majordomo-Modul gibt es eine Modulkonfiguration, in der Sie
konfigurierbare Einstellungen und die Systemkonfiguration finden. Sie können die
anpassbaren Funktionen beispielsweise nutzen, um die Sortierung der Listen in der
Übersicht anzupassen (Name oder erzeugte Reihenfolge).

www.brain-media.de
Modulkonfiguration 271

Die Modulkonfiguration.

Webmin kompakt
272 Mailinglisten mit Majordomo verwalten

www.brain-media.de
273

24 Administration des MySQL-Servers

Das Web in seiner heutigen Form wäre so ohne den Datenbankserver MySQL
nicht denkbar. Auf Millionen dynamischer Websites kommt das relationale Daten-
bankverwaltungssystem zum Einsatz. Auch MySQL ist eine freie Software, die
unter der GPL steht. Die Datenbank kann aber auch mit einer kommerziellen Li-
zenz eingesetzt werden.
MySQL ist eine sehr leistungsfähige Software mit einem beachtlichen Funktions-
umfang. Das Datenbanksystem unterstützt beispielsweise die folgenden Funktio-
nen:
· Prepared Statements
· updateable und insertable View
· Trigger

Auch ein Replikationssystem steht Ihnen zur Verfügung. Es ist für den Einsatz in
einem Computercluster ausgelegt. Dabei sind dem DBMS mehrere Datenbanken
auf unterschiedlichen Rechner-Knoten zugeordnet.
Das bevorzugte Einsatzgebiet von MySQL dürfte inzwischen die Datenspeiche-
rung für Web-Dienste sein. MySQL wird häufig in Verbindung mit dem Webser-
ver Apache und PHP eingesetzt. Diese Kombination wird entsprechend der An-
fangsbuchstaben der beteiligten Software als LAMP, MAMP bzw. WAMP (mitt-
lerweile als XAMPP) bezeichnet.
Zur Verwaltung von MySQL-Datenbanken kommen verschiedene mitgelieferte
Kommandozeilen-Clients (Kommandos mysql und mysqladmin) zum Einsatz. Die
beiden einzigen praktikablen grafischen Werkzeuge für Linux-Systeme sind das
PHP-basierte phpMyAdmin und eben Webmin.
Ein erhebliches Problem beim Einsatz von MySQL stellt die problematische Nut-
zung des Systems dar. Zwar gibt es mit phpMyAdmin einen leistungsfähigen Da-
tenbankmanager, doch auch der ist nicht immer einfach in der Handhabung.
Leider ist auch das Webmin-Modul nicht der Weisheit letzter Schluss. Sie können
zwar alle wichtigen Datenbank-spezifischen Aktionen mit diesem Modul durchfüh-
ren, doch früher oder später erweist es sich als zu wenig flexibel.

Webmin kompakt
274 Administration des MySQL-Servers

Ein erster Blick auf das MySQL-Modul von Webmin.

Über das Webmin-Modul können Sie Datenbanken erzeugen, Tabellen, Felder und
Einträge editieren, unterschiedliche Berechtigungen definieren und verwalten,
Datenbankverbindungen einsehen, die MySQL-Datenbank konfigurieren und
Sicherheitskopien Ihrer Daten erzeugen.
Sollte Ihr Datenbankserver beim ersten Zugriff womöglich noch nicht laufen, müs-
sen Sie diesen erst in Gang setzen. Webmin gibt eine entsprechende Meldung aus,
die Ihnen das Starten erlaubt.

Starten Sie den Datenbankserver zuerst.

www.brain-media.de
Datenbanken editieren und erzeugen 275

Die MySQL-Übersicht präsentiert Ihnen eine dreigeteilte Schnittstelle. Im oberen


Bereich finden Sie die bereits auf dem Server eingerichteten Datenbanken. Hier ist
auch das Löschen und Erstellen von neuen Ablagen möglich. Darunter befinden
sich die verschiedenen globalen Einstellungen, mit denen Sie beispielsweise unter-
schiedliche Rechte steuern. Im unteren Bereich stehen Ihnen zwei Funktionen zur
Verfügung, mit denen Sie den Server starten bzw. beenden und ein Back-up der
Datenbank durchführen können.

24.1 Datenbanken editieren und erzeugen


Das Bearbeiten einer Datenbank ist einfach. Klicken Sie dazu einfach in der Über-
sicht auf die gewünschte Datenbankbezeichnung. Welches Bild sich Ihnen auf dem
folgenden Formular präsentiert ist davon abhängig, welche Daten bereits in der
Ablage lagern. Bei einer typischen MySQL-Standardinstallation sollten Sie die
beiden folgenden Datenbanken vorfinden: tmp und mysql. Wir editieren die Daten-
bank mysql, um uns ein Bild von den weiteren Funktionen zu machen.

Die Datenbank tmp besitzt noch keine Tabellen.

Wenn Sie wie in diesem Beispiel die Datenbank tmp öffnen und diese besitzt noch
keine Tabelle, so zeigt Ihnen Webmin dies mit einem einfachen Dialog an. Sie
können allerdings über die Bearbeitungsfunktionen eine neue Tabelle mit einer
definierbaren Anzahl an Feldern erzeugen.

Webmin kompakt
276 Administration des MySQL-Servers

Die Datenbank mysql präsentiert Ihnen ein anderes Bild.


Hier finden Sie bereits siebzehn Tabellen und drei Indizes.

Wenn Sie die Datenbank mysql öffnen, präsentiert sich Ihnen ein anderes Bild.
Diese ist bereits mit verschiedenen Tabellen gefüllt und verfügt zudem über drei
Indizes. Indizes sind meistens eine Spalte in einer Tabelle, nach der besonders
häufig gesucht wird. Die Einträge in der Spalte werden als HASH-Index gespei-
chert. Damit beschleunigt sich die Suche erheblich. Insbesondere bei Verknüpfun-
gen von Tabellen wird MySQL dadurch erheblich schneller.
Um nun auf die Daten in einer Tabelle zuzugreifen, klicken Sie auf den gewünsch-
ten Tabellennamen. Das zugehörige Formular präsentiert Ihnen die in der Tabelle
erzeugten Felder samt aktuellen Einträgen. Um ein Feld zu bearbeiten, klicken Sie
auf dessen Bezeichnung und passen die Einträge an.

www.brain-media.de
Neue Datenbank erzeugen 277

Eine editierte Tabelle.

24.2 Neue Datenbank erzeugen


Erstellen wir also eine erste Datenbank, beispielsweise eine Adressdatenbank.
Dazu wechseln Sie zur MySQL-Übersicht und folgen dem Link Erstelle eine neue
Datenbank. In dem Formular Datenbank erstellen weisen Sie der neuen Ablage
zunächst eine Bezeichnung zu und bestimmen den Zeichensatz (meist Standard
oder ISO 8859-2).
Dann bestimmen Sie die Feldnamen. Da wir eine Adressdatenbank erstellen wol-
len, verwenden wir hier die typischen Inhalte einer Adressdatenbank wie Name,
Vorname, Adresse und Telefonnummer.

Die Adressdatenbank in der Entstehung.

Webmin kompakt
278 Administration des MySQL-Servers

Dann hinterlegen Sie die Feldnamen, die Sie beispielsweise mit Name, Vorname,
Adresse und Telefon bezeichnen könnten. Sehr wichtig für die Funktionstüchtig-
keit und die Performance Ihrer Datenbank ist die Wahl des Datentyps.
Gerade bei größeren Datenmengen zahlt sich die korrekte Zuweisung des Daten-
typs durch eine höhere Geschwindigkeit aus. Falsch eingesetzt können diese Zu-
ordnungen aber auch zu Problemen führen, da jeder Typ nur limitierte Bereiche
aufnehmen kann.
Man unterscheidet zwischen folgenden Datentypen:
· Numerische Typen
· Datums- und Uhrzeit-Datentypen
· Zeichenketten-Datentypen

In den drei nachfolgenden Tabellen finden Sie zu den verschiedenen Typen einige
Beispiele, die Ihnen helfen werden, den Datentyp korrekt zu setzen:
Numerische Datentypen
Datentyp Bedeutung Bereich
TINYINT sehr kleine Ganzzahl -128 bis 127
SMALLINT kleine Ganzzahl -32768 bis 32767
INT Ganzzahl -2147283648 bis
2147283647
FLOAT Fließkommazahl

Datums- und Uhrzeit-Datentypen


Datentyp Bedeutung Bereich
DATE Datum 1.1.1000 bis 31.12.9999,
Format: YYYY-MM-DD
DATETIME Datum und Uhr- 1.1.1000, 0:00:00 Uhr bis 31.12.9999,
zeit 23:59:59,
Format: YYYY-MM-DD hh:mm:ss
TIME Uhrzeit Format hh:mm:ss
YEAR Jahreszahl 1901 bis 2155

www.brain-media.de
Neue Datenbank erzeugen 279

Zeichenketten-Datentypen
Datentyp Bedeutung Länge
CHAR Zeichenkette mit fester max. 255 Zeichen
Größe
VARCHAR Zeichenkette mit variabler max. 255 Zeichen
Größe
MEDIUMTEXT, mittelgroße Zeichenkette max. 16777215 Byte
MEDIUMBLOB

ENUM Auflistung Auswahl nur eines Feldes


SET Auflistung Mehrfachauswahl

Die weiteren Einstellungen können Sie vorerst ignorieren. Klicken Sie auf Erstel-
len, um die Datenbank zu erzeugen.

Achtung
In der Praxis kann es vorkommen, dass das Erstellen der Felder über das Daten-
bank-erstellen-Formular nicht funktioniert. In diesem Fall erstellen Sie zuerst die
Datenbank ohne weitere Details. Editieren Sie dann im nächsten Schritt die Daten-
bank und erzeugen Sie die gewünschte Anzahl an Feldern.

Angenommen, Sie haben zuerst die Datenbank erzeugt und wollen diese dann mit
einer ersten Tabelle füllen, so editieren Sie zunächst die Datenbank und klicken
dann auf die Schaltfläche Erstelle eine neue Tabelle. Dabei können Sie gleich auch
die Anzahl an Feldern bestimmen. Im Dialog Tabelle erstellen bestimmen Sie den
Tabellennamen, kopieren gegebenenfalls bestehende Felder über das Auswahlme-
nü in die Tabelle und bestimmen den Tabellentyp.

Webmin kompakt
280 Administration des MySQL-Servers

Das Erstellen einer Tabelle.

Das Formular stellt Ihnen fünf Tabellentypen zur Auswahl:


· MyISAM: Dies ist der standardmäßig verwendete Typ. Es handelt sich
um die für SQL optimierte MyISAM-Datenbankstruktur. Sie ist nicht mit
dem Vorgänger ISAM kompatibel.
· ISAM: Dies ist der MyISAM-Vorläufer und sollte in der Regel nicht
verwendet werden.
· HEAP: Dies ist die Datenstruktur für eine Tabelle, die nur im RAM abge-
legt wird. Entsprechend sind die Zugriffe darauf deutlich schneller, als auf
die normale Datenbank.
· Merge: Eine Merge-Tabelle ist eine Sammlung identischer MyISAM-
Tabellen, die wie eine benutzt werden können.
· Innodb: InnoDB stellt MySQL einen transaktionssicheren Tabellen-
Handler mit Fähigkeiten für Commit, Rollback und Reparatur nach Ab-
sturz zur Verfügung.

Im Formular für die Tabelleneinstellungen stehen Ihnen sechs weitere Konfigurati-


onsmöglichkeiten zur Verfügung:
· Typenbreite: Hier legen Sie fest, wie viele Zeichen in das Feld eingege-
ben werden können. Eine Beschränkung ist schon deshalb sinnvoll, damit
www.brain-media.de
Neue Datenbank erzeugen 281

nicht bestimmte Benutzer unsinnige und überlange Zeichenfolgen ver-


wenden.
· Primärschlüssel: In relationalen Datenbanken kommt das Schlüsselkon-
zept zum Einsatz. Ein Schlüssel ist eine Menge von Attributen (also eines
oder mehrere), die eine Datenzeile einer Tabelle eindeutig identifiziert.
Ein Schlüsselkandidat ist ein Schlüssel mit minimaler Anzahl Attribute.
Und ein Primärschlüssel ist ein beliebig ausgewählter Schlüsselkandidat,
der zur eindeutigen Identifizierung jeder Zeile benutzt wird. Wenn Sie
dieses Kontrollkästchen aktivieren, wird das Feld Teil des Primärschlüs-
sels für diese Tabelle.
· Automatisch erhöhen: Diese Funktion kommt bei nummerischen Daten-
typen zum Einsatz. Sie können beispielsweise für IDs die automatische
Erhöhung aktivieren, damit die ID von Eintrag zu Eintrag erhöht wird.
· Erlaubt NULL: Hier legen Sie fest, ob auch die NULL ein zulässiger
Wert ist. Dabei bezeichnet NULL einen fehlenden unbekannten Wert,
nicht aber einen leeren Eintrag.
· Ohne Vorzeichen: Hier legen Sie fest, ob Sie Vorzeichen verwenden
wollen oder nicht.
· Standardwert: Schließlich können Sie auch einen Standardwert definie-
ren.

Sie können natürlich Felder nachträglich bearbeiten.

Webmin kompakt
282 Administration des MySQL-Servers

Nachdem Sie Ihre Tabelle mit einem Klick auf Erstellen erzeugt haben, können Sie
die Felder natürlich auch nachträglich bearbeiten. Dazu öffnen Sie die Tabelle und
klicken auf den gewünschten Feldeintrag.

24.3 Daten sichten


Sie können mit Webmin nicht nur Datenbanken und Tabellen erzeugen, sondern
auch die in der Datenbank gesicherten Daten sichten. Öffnen Sie dazu die ge-
wünschte Tabelle und klicken Sie auf die Schaltfläche Daten zeigen. Sollten noch
keine Daten in der Tabelle gespeichert sein, so gibt Webmin einfach folgende
Meldung aus: Diese Tabelle enthält keine Daten.
Das können Sie unmittelbar ändern, indem Sie auf die Schaltfläche Neue Zeile
klicken und das zugehörige Formular mit Daten füttern. Sie können allerdings nur
dann Daten hinzufügen, wenn die Tabelle einen Primärschlüssel besitzt.

Die Tabelle enthält noch keine Daten? Kein Problem, denn mit
Webmin können Sie sie mit Informationen speisen.

24.4 SQL-Kommandos ausführen


Wenn Sie womöglich phpMyAdmin kennen, so suchen Sie sicherlich auch die
Möglichkeit, SQL-Kommandos auszuführen. Auch das ist über die Webmin-
Schnittstelle möglich. Dazu öffnen Sie die gewünschte Datenbank, in der Sie bei-

www.brain-media.de
SQL-Kommandos ausführen 283

spielsweise Daten suchen oder einfügen wollen und klicken auf die Schaltfläche
SQL ausführen.
Das Formular SQL ausführen erlaubt Ihnen neben der Ausführung von SQL-
Befehlen noch zwei weitere Aktionen: Sie können SQL-Kommandos aus einer
anzugebenen Datei ausführen und Daten aus einer Textdatei in die aktuelle Daten-
bank importieren.
Zur Ausführung von SQL-Kommandos geben Sie diese in das erste Eingabefeld
ein. Eines der wichtigsten SQL-Kommanods ist SELECT. Es startet eine Abfrage
in dem bestehenden Datenbestand. Die Syntax sieht wie folgt aus:
SELECT [DISTINCT] Auswahlliste
FROM Quelle
WHERE Where-Klausel
[GROUP BY (Group-by-Attribut)+
[HAVING Having-Klausel]]
[ORDER BY (Sortierungsattribut [ASC|DESC])+]

Zur Erläuterung: DISTINCT gibt an, dass aus der Ergebnisrelation gleiche
Ergebnistupel entfernt werden sollen. Die weiteren Bestandteile der Abfrage:
· Auswahlliste bestimmt, welche Spalten der Quelle auszugeben sind.
· Quelle gibt an, wo die Daten herkommen.
· Where-Klausel bestimmt Bedingungen, unter denen die Daten ausgegeben
werden sollen.
· Group-by-Attribut listet Attribute auf, deren Werte festlegen, welche
Tupel zu Gruppen zusammengefasst werden sollen.
· Having-Klausel ist wie die Where-Klausel, nur dass hier auf Aggregati-
onsfunktionen zugegriffen wird.
· Sortierungsattribut: Mit ORDER BY werden Attribute definiert, nach de-
nen die Sortierung erfolgt.

Ein einfaches Beispiel:


SELECT * FROM Adressen

Webmin kompakt
284 Administration des MySQL-Servers

Diese SQL-Anweisung listet die Werte aller Spalten aus der Tabelle Adressen auf.
Beim Umgang mit Datenbanken spielen auch die Manipulationsbefehle INSERT,
UPDATE und DELETE eine wichtige Rolle. Deren Syntax sieht wie folgt aus:
INSERT INTO Relation ['(' (Attribut)+ ')'] VALUES (
'('(Konstanten)+')' )+
INSERT INTO Relation ['(' (Attribut)+ ')'] SFW-Block
UPDATE Relation SET (Attribut=Ausdruck)+ WHERE Where-Klausel
DELETE FROM Relation [WHERE Where-Klausel]

Mit dem Kommando INSERT können explizit konstruierte Tupel oder die Ergeb-
nisse eines Select-Blocks in eine Relation eingefügt werden. Für weitere Informa-
tionen zur Verwendung von SQL-Befehlen sei auf entsprechende Literatur verwie-
sen. Auch in der offiziellen MySQL-Dokumentation (http://dev.mysql.com/doc/)
finden Sie viele Beispiele.

Die Ausführung von SQL-Kommandos.

www.brain-media.de
Import von Daten in Datenbank 285

Sie können sich die Ausführung auch vereinfachen, wenn Sie bereits SQL-
Kommandos vorbereitet und in einer Textdatei gespeichert haben.

Das Formular für die Ausführung von SQL-Kommandos


erlaubt auch den Import von Daten.

24.5 Import von Daten in Datenbank


In der Praxis kommt es immer wieder vor, dass man bereits Daten besitzt, die in
eine Datenbank integriert werden sollen. Der Import (und auch der Export) ist
leider nach wie vor eine problematische Angelegenheit bei MySQL. Immerhin
können Sie mit Webmin Daten aus einer Textdatei in Ihre Datenbank importieren.
Wichtig dabei, damit der Import auch klappt: Diese Datei muss pro Zeile einen
Datensatz enthalten und die Felder müssen durch Tabs getrennt sein.
Der Import kann aus einer lokal gespeicherten oder aus einer hochgeladenen Datei
erfolgen. In beiden Fällen bestimmen Sie zunächst den Pfad. Wollen Sie Daten aus
anderen Datenbanken bzw. deren Tabellen importieren, die auf dem Server lagern,
so bestimmen Sie über das Auswahlmenü die gewünschte Tabelle. Ihnen stehen
drei Importoptionen zur Verfügung:
· Vorhandene Daten vorher löschen? Hier entscheiden Sie, ob bereits
vorhandene Daten überschrieben werden sollen. Das ist in der Regel nicht
gewünscht.
· Doppelte Datensätze ignorieren? Hier bestimmen Sie, wie Sie mit dop-
pelt vorhandenen Datensätzen umgehen.

Webmin kompakt
286 Administration des MySQL-Servers

· File format: Schließlich können Sie das Dateiformat der zu importieren-


den Daten bestimmen.

Bevor Sie die Importfunktionen auf einem Produktivitätssystem nutzen, sollten Sie
ausreichend prüfen, ob der Import Ihrer Dateien korrekt funktioniert.

24.6 Globale MySQL-Einstellungen


Kommen wir zu den globalen MySQL-Einstellungen, die sich im mittleren Bereich
der MySQL-Übersicht finden. Diese Funktionen dienen wie bereits oben erwähnt
in erster Linie der Vergabe von Rechten.

Die Konfiguration der Benutzerberechtigungen.

Der Zugriff auf die MySQL-Datenbank erfolgt, die anonymen Nutzer einmal aus-
genommen, über die Authentifizierung mit einer Kennung und dem dazugehörigen
Passwort. Diese Authentifizierung ist insbesondere dann erforderlich, wenn die
Benutzer mit den Datenbanken arbeiten, also bearbeiten wollen.

www.brain-media.de
Globale MySQL-Einstellungen 287

Über das Benutzerberechtigungsformular können Sie exakt steuern, wer was mit
Ihren Daten anstellen darf. Bei einer Standardinstallation finden Sie bereits zwei
User eingerichtet:
· Root
· Anonymer Benutzer

Beide haben Zugang zum System, auf dem Webmin ausgeführt wird – und zwar
einmal auf das Loopback-Interface localhost und dann auf den Hostnamen.

Das Anlegen eines neuen MySQL-Datenbankbenutzers.

Um einen neuen Benutzer zu erstellen, folgen Sie dem Link Erstelle neuen Benut-
zer. Im Formular MySQL-Benutzerdetails bestimmen Sie zunächst den Benutzer-
namen, das Passwort und dann den Host. Im Auswahlmenü Berechtigungen stehen
Ihnen vielfältige Konfigurationsmöglichkeiten zur Verfügung. Konkret können Sie
folgende Berechtigungen setzen:
· Tabellendaten auswählen
· Tabellendaten einfügen
· Tabellendaten aktualisieren

Webmin kompakt
288 Administration des MySQL-Servers

· Tabellendaten löschen
· Tabellen erstellen
· Tabellen löschen
· Berechtigungen neu laden
· Datenbank herunterfahren
· Prozesse verwalten
· Dateioperationen
· Indizes verwalten
· Tabellen verändern
· Datenbanken anzeigen
· Superuser
· Erzeuge temporäre Tabellen
· Tabellen sperren
· Ausführen
· Slave-Replikation
· Client-Replikation
· Ansicht erstellen
· Ansicht zeigen
· Routine erzeugen
· Routine bearbeiten
· Benutzer erzeugen

Sie sehen: Sie können sehr vielfältige Berechtigungen verwenden. Um einem Be-
nutzer mehrere verschiedene Berechtigungen zuzuteilen, halten Sie die Strg-Taste
gedrückt und markieren der Reihe nach die gewünschten Berechtigungen.
Mit einem Klick auf Speichern wird der neue Benutzer in die Benutzerverwaltung
aufgenommen. Dort finden Sie nun auch dessen Eintrag. Neben dem verschlüssel-
ten Passwort werden in der Benutzerübersicht auch die Berechtigungen aufgeführt.

www.brain-media.de
Globale MySQL-Einstellungen 289

In der Benutzerliste findet sich jetzt auch der neue MySQL-User


samt verschlüsseltem Passwort und Berechtigungen.

Sie können die Benutzerverwaltung auch vereinfachen, indem Sie die Synchronisa-
tion zwischen Unix-Benutzern, die unter Webmin angelegt werden, und MySQL-
Benutzern aktivieren. Dabei können Sie drei selbsterklärende Schalter verwenden:
· Neuen MySQL-Benutzer anlegen, wenn ein neuer Unix-Benutzer ange-
legt wird, mit den Berechtigungen ...
· MySQL-Benutzer aktualisieren, wenn der entsprechende Unix-Benutzer
geändert wird.
· MySQL-Benutzer löschen, wenn der entsprechende Unix-Benutzer ge-
löscht wird.

Diese drei Funktionen können Sie auch miteinander kombinieren.

Webmin kompakt
290 Administration des MySQL-Servers

Die Datenbankrechte.

In den globalen Berechtigungen finden Sie weitere sicherheitsrelevante Einstellun-


gen. So können Sie beispielsweise auch Benutzern Zugriff nur auf spezifische
Datenbanken gewähren. Hier verwenden Sie die Datenbankrechte.
Beim ersten Zugriff auf die Datenbankrechte werden Ihnen die beiden Datenban-
ken test und test\ % samt den dazugehörigen Benutzern, Hosts und Rechten ange-
zeigt.
Und so gehen Sie in der Praxis vor:
1. Stellen Sie zunächst sicher, dass der Benutzer bislang noch keine Be-
rechtigungen auf der Benutzer-Seite erhalten hat.
2. Dann wechseln Sie zu den Datenbankberechtigungen und klicken auf
den Link Erstelle neue Datenbankrechte.
3. In dem zugehörigen Formular bestimmen Sie die Datenbank, für die
die Berechtigung gelten soll, und geben den Benutzernamen an.
4. Unter Hosts legen Sie fest, von welchen Rechnern der oben angege-
bene Benutzer auf die Datenbank zugreifen kann. In der Regel kön-
nen Sie die Option beliebig wählen. Aus sicherheitstechnischen Über-
legungen heraus kann es auch sinnvoll sein, den Zugriff nur von ei-
nem bestimmten System zu gewähren.
5. Wählen Sie unter Rechte wie oben beschrieben die gewünschten Be-
rechtigungen aus und klicken Sie auf Speichern, um die Einstellungen

www.brain-media.de
Globale MySQL-Einstellungen 291

zu übernehmen. Der neue Eintrag landet automatisch in der Daten-


bankrechteliste.

Das Erstellen von spezifischen Datenbankrechten.

In eine ähnliche Richtung gehen die Host-Rechte, auf die Sie über das gleichnami-
ge Icon in der MySQL-Übersicht zugreifen. Mit diesen Funktionen können Sie
exakt steuern, über welche Rechte spezifische Clients verfügen. Da bei einer Stan-
dardinstallation eine solche Konfiguration noch nicht gesetzt ist, müssen Sie diese
erst definieren.

Das Formular zum Erstellen von Host-Rechten


ist denen anderer Rechtedialoge sehr ähnlich.

Webmin kompakt
292 Administration des MySQL-Servers

Das Erstellen von Host-Rechten ist sehr einfach. Bestimmen Sie zunächst die Da-
tenbank, dann gegebenenfalls den Host und wählen Sie dann die Rechte aus. Wie
Sie es von anderen Rechtevergaben kennen, landet die neue Konfiguration ist in
der Host-Rechte-Liste – samt typischen Details.
Ähnlich verläuft die Definition von Tabellenrechten. Da auch bei diesem Rechte-
typ bislang noch keine Rechtevergabe existiert, müssen Sie im ersten Schritt die
Datenbank auswählen, für die Sie eine Beschränkung einführen wollen. Klicken
Sie dann auf die Schaltfläche Füge neue Rechte zu Datenbank hinzu.

Die Definition von Tabellenrechten.

Das MySQL-Webmin-Modul präsentiert Ihnen das Formular, auf dem Sie die
Tabelle auswählen und dann wieder den Benutzer und den Host bestimmen. Mar-
kieren Sie dann die gewünschten Tabellen- und Feldrechte und klicken Sie ab-
schließend auf Speichern.
Entsprechend funktioniert die Vergabe von Feldrechten über das Feldrechte-Icon
der MySQL-Startseite.

www.brain-media.de
MySQL-Server-Konfiguration 293

24.7 MySQL-Server-Konfiguration
Mithilfe von Webmin können Sie auch die MySQL-Server-Konfiguration bearbei-
ten. Auf dem zugehörigen Formular können Sie beispielsweise den Server-Port
und verschiedene Puffer konfigurieren.

Die Konfiguration des MySQL-Servers fällt vergleichsweise bescheiden aus.

Im oberen Bereich der MySQL-Konfiguration finden Sie folgende Einstellungen:


· MySQL Server Port: Hier geben Sie den Port des Servers an. In der Re-
gel ist es Port 3306. Aber Sie können diesen natürlich beliebig anpassen.
· MySQL server listening address: Hier legen Sie die Adresse fest, auf
die der Datenbankserver hört.
· Skip locking of table files? Wenn Sie diesen Schalter auf Ja setzen, wird
das Sperren von Tabellendateien ausgelassen.
· Allow big tables? Standardmäßig ist die Verwendung von sehr großen
Tabellen nicht zulässig.
· MySQL Unix socket: Hier geben Sie den Pfad zur Linux-Socket-
Konfiguration.

Webmin kompakt
294 Administration des MySQL-Servers

· Databases files directory: Auch Dateiverzeichnisse Ihres Servers können


Sie beliebig an Ihre Anforderungen anpassen.

Es folgen verschiedene Einstellungen, mit denen Sie die Größe von unterschiedli-
chen Zwischenspeichern definieren.
· Key buffer size: Hier können Sie den Schlüsselpuffer bestimmen.
· Maximum packet size: Hier die maximal zulässige Paketgröße.
· Sort buffer size: Hier die Größe des Sortierungspuffers.
· Network buffer size: Auch die Netzwerkpuffergröße lässt sich anpassen.
· MyISAM sort buffer: Wenn Sie MyISAM nutzen, kann unter Umstän-
den eine Anpassung des MyISAM-Puffers erforderlich sein.
· Tables to cache: Was diese Funktion genau macht, ist leider nicht doku-
mentiert.
· Maximum number of connections: Schließlich können Sie die maximal
zulässige Anzahl an Verbindungen bestimmen, die zum Server aufgebaut
werden dürfen.

In der Regel müssen Sie an den Standardeinstellungen keine Änderungen vorneh-


men. Das wird erst dann erforderlich, wenn Engpässe oder andere Probleme auftre-
ten.

Das MySQL-Modul zeigt Ihnen auch die


aktuellen Datenbankverbindungen an.

Als Server-Administrator will man natürlich auch gelegentlich wissen, wie viele
Verbindungen zu dem System aufgebaut werden. Auch diese Informationen kann

www.brain-media.de
Systemvariablen 295

Ihnen das Webmin-MySQL-Modul liefern. Klicken Sie in der MySQL-Übersicht


einfach auf Database Connections.
Auf dem zugehörigen Formular werden Ihnen der Benutzer, der Client, die Daten-
bank, auf die der Zugriff erfolgt und der Modus angezeigt. Sie können uner-
wünschte Verbindungen auch beenden, indem Sie diese markieren und dann auf
die Schaltfläche Kill Selected Connections klicken.

24.8 Systemvariablen
Der MySQL-Datenbankserver verwendet eine Vielzahl von Systemvariablen, die
angeben, wie der Server konfiguriert ist. Für alle diese Variablen gibt es Vorgabe-
werte. Diese können beim Serverstart über Optionen auf der Befehlszeile oder auch
über das Webmin-Modul konfiguriert werden. Die meisten Variablen lassen sich
zur Laufzeit des Servers dynamisch mithilfe der SET-Anweisung ändern. Doch das
benötigen Sie als Webmin-Administrator nicht, denn Sie können die Einstellungen
– wenn auch nicht alle – einfach editieren. Der Vorteil: Sie können den Betrieb des
Servers beeinflussen, ohne ihn beenden und neu starten zu müssen.
Der MySQL-Server verwendet zwei Arten von Systemvariablen:
· Globale Variablen beeinflussen den Gesamtbetrieb des Servers.
· Sitzungsvariablen hingegen wirken sich auf seinen Betrieb bezogen auf
jeweils individuelle Clientverbindungen aus.

Eine gegebene Systemvariable kann sowohl einen globalen als auch einen sit-
zungsbezogenen Wert haben. Beim Servers-tart setzt er alle globalen Variablen auf
ihre jeweiligen Standardwerte.
Alle editierbaren Einstellungen besitzen ein Kontrollkästchen in der ersten Spalte.
Um diese zu editieren, versehen Sie diese mit einem Häkchen und klicken am Fuße
des Formulars auf Edit Selected.

Webmin kompakt
296 Administration des MySQL-Servers

Das Editieren der Umgebungsvariablen.

Anschließend verwandeln sich die ausgewählten Einstellungen in Eingabefelder, in


denen Sie der jeweiligen Konfiguration einen neuen Wert verpassen können.

24.9 Datenbank-Back-up
Datenbanken werden in der Regel nicht zum Selbstzweck erzeugt, sondern spei-
chern oft unternehmenskritische Inhalte. Ob Sie nun in MySQL Ihre Adressen
verwalten oder die Daten Ihres Online-Shops speichern, ist zweitrangig. Wichtig
ist, dass Sie einen Sicherungsmechanismus benötigen, mit dem Sie Ihre Daten an
anderer Stelle sichern können.
Auch für diese Anforderung ist im MySQL-Modul mit der Funktion Backup Data-
base gesorgt, die Sie am Fuße der MySQL-Übersicht finden.

www.brain-media.de
Datenbank-Back-up 297

Die Back-up-Optionen.

Das Back-up-Formular erlaubt Ihnen die Sicherung aller Datenbanken als Dateien.
Dazu bestimmen Sie zunächst ein Verzeichnis, in das die Daten geschrieben wer-
den. Mit den folgenden Einstellungen können Sie die Durchführung der Sicherung
exakt steuern.
Sie können auch das Datenbankformat definieren, in dem Sie aus dem Auswahl-
menü Backup Compatibility Format das für Ihren Einsatzbereich optimale Format
wählen.
Um Speicherplatz auf dem Zielsystem zu sparen (insbesondere dann, wenn Sie
große Datenmengen zu sichern haben), sollten Sie die Komprimierung aktivieren.
Über die Zeitsteuerung lassen sich Folge-Back-ups zudem automatisieren.
Wenn Sie eine Sicherung erfolgreich durchführen, gibt Webmin eine entsprechen-
de Erfolgsmeldung mit Details aus, denen Sie entnehmen können, welche Daten-
banken wohin gesichert wurden.
Damit kennen Sie alle wichtigen Funktionen des MySQL-Moduls. Werfen wir
noch einen Blick auf die Modul-Konfiguration.

Webmin kompakt
298 Administration des MySQL-Servers

Die MySQL-Modulkonfiguration.

24.10 Modul-Konfiguration
Die Modul-Konfiguration des MySQL-Moduls entspricht im Aufbau der der ande-
ren Module. Auch hier finden Sie konfigurierbare Optionen und die Systemkonfi-
guration. Bei den konfigurierbaren Optionen können Sie beispielsweise das Log-in
und Passwort des Datenbankadministrators ändern.

www.brain-media.de
299

25 SSH-Server

Einer jede Linux-Distribution liegt in der Regel auch der OpenSSH-Server bei.
Dabei handelt es sich um eine freie Version der bekannten SSH-Verbindungssuite.
Wofür benötigt man nun dieses Tool? Die Beantwortung der Frage ist recht ein-
fach. Viele Benutzer verwenden Protokolle und/oder Dienste wie Telnet, rlogin,
FT etc., bei denen allerdings das Passwort unverschlüsselt über das Internet über-
tragen wird.
Schutz für diese Dienste bietet OpenSSH, denn er verschlüsselt die Passwörter und
die gesamte Verbindung, um das Mithören, das Entführen von Verbindungen und
ähnliche Angriffe zu verhindern. Außerdem bietet OpenSSH neben einer Unzahl
sicherer Tunnel- und Authentifikationsmöglichkeiten die Unterstützung für alle
SSH-Protokollversionen an.

Die OpenSSH-Übersicht.

Die OpenSSH-Suite ersetzt rlogin und telnet mit dem Programm ssh, rcp mit scp
und ftp mit sftp. Außerdem sind der Server sshd und andere Werkzeuge wie ssh-
add, ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen und sftp-server enthalten.

Webmin kompakt
300 SSH-Server

25.1 OpenSSH im Überblick


OpenSSH kann eine ganze Menge für Sie tun, wenn Sie die Sicherheit Ihrer Um-
gebung und insbesondere die Client-Anbindungen verbessern wollen. Die High-
lights der Lösung im Überblick:
· Open-Source-Projekt: OpenSSH ist, wie man seiner Bezeichnung ent-
nehmen kann, ein quelloffenes Projekt. Das ermutigt zur Wiederverwen-
dung und weiteren Untersuchung des Quellcodes. Diese weitere Untersu-
chung stellt sicher, dass Fehler von jedem gefunden und korrigiert werden
können. Und das führt letztlich zu sicherem Code.
· Freie Lizenzpolitik: OpenSSH wird nicht von einer restriktiven Lizenz
eingeschränkt. Es kann für jeglichen Zweck eingesetzt werden und das
schließt natürlich auch jegliche kommerzielle Nutzung ein.
· Starke Verschlüsselung: OpenSSH unterstützt 3DES, Blowfish, AES
und Arcfour an Verschlüsselungsalgorithmen. Sie sind patentfrei. Die
Techniken im Einzelnen:
o Triple DES ist ein sehr gut verstandener Chiffrieralgorithmus,
der den Zahn der Zeit überstanden hat und eine starke Verschlüs-
selung bereitstellt.
o Blowfish ist ein schneller Blockchiffrierer, der von Bruce
Schneier entworfen wurde und der die schnellere Verschlüsse-
lung erlaubt.
o AES ist der verbesserte Verschlüsselungsstandard des US Fede-
ral Information Processing Standard (FIPS), der als Ersatz für
DES entwickelt wurde. Er ist eine Blockchiffre.
o Arcfour ist eine schnelle Stromchiffre. Er wird als kompatibel zu
RC4 angesehen, einer proprietären Chiffre von RSA Security
Inc.
o Die Verschlüsselung beginnt vor der Authentifizierung und es
werden keine Passwörter oder andere Daten im Klartext übermit-
telt. Verschlüsselung wird auch benutzt, um sich gegen Spoo-
fing-Attacken zu schützen.
· X11-Weiterleitung: Dank der X11-Weiterleitung ist die Verschlüsselung
von X-Windows-Netzwerkverkehr möglich, also Netzwerkübertragung,
auf eine Weise, die niemanden den Datenverkehr mitlesen oder bösartige
Kommandos einschleusen lässt.

www.brain-media.de
OpenSSH im Überblick 301

· Port-Weiterleitung: Die Port-Weiterleitung ermöglicht das Weiterleiten


von TCP/IP-Verbindungen zu einer entfernten Maschine über ein ver-
schlüsseltes Protokoll. Auf diese Weise können auch Standard-
Internetapplikationen wie POP sicherer gemacht werden.
· Starke Authentifizierung: OpenSSH verfügt über starke Authentifizie-
rungsmechanismen, die gegen verschiedene Sicherheitsprobleme wie bei-
spielsweise IP- und DNS-Spoofing schützen.
· Agent-Weiterleitung: Ein Authentifizierungsagent, der auf dem Client
oder auch auf einem Notebook ausgeführt wird, kann dazu verwendet
werden, den RSA- oder DSA-Authentifizierungsschlüssel des Anwenders
bereitzuhalten. OpenSSH leitet die Verbindung automatisch an den Au-
thentifizierungs-Agent über jede Verbindung weiter, und es gibt keine
Notwendigkeit, die RSA-Authentifizierungsschlüssel auf jedem Rechner
im Netzwerk zu haben.
· Interoperabilität: Der OpenSSH-Server unterstützt auch die Vorgänger-
versionen. Damit ist sichergestellt, dass auch die Kommunikation mit den
meisten UNIX-, Windows- und anderen, kommerziellen SSH-
Implementierungen funktioniert. OpenSSH bietet neben den SSH-
Protokollversionen 1.3 und 1.5 auch die SSH-Protokollversion 2.0.
· Datenkompression: Schließlich bietet OpenSSH Datenkompression vor
der Verschlüsselung. Das beschleunigt insbesondere die Performance über
langsame Netzwerkverbindungen.

Die Netzwerkkonfiguration für Ihren OpenSSH-Server.

Webmin kompakt
302 SSH-Server

25.2 Netzwerkkonfiguration
Da Sie nun wissen, wozu der Server zu gebrauchen ist, stellt sich als Nächstes die
Frage, wo Sie bei dem Webmin-Modul beginnen sollen. Über das Modul können
Sie folgende Aktionen durchführen:
· Den Server starten, sofern dieser noch nicht aktiv ist.
· Die Netzwerkkonfiguration anpassen, damit der Server im Netzwerk an-
sprechbar ist.
· Den Zugriff auf den Server steuern.
· Client-Optionen definieren
· Schlüssel einrichten
· Die Konfigurationsdatei manuell bearbeiten.

Damit Ihr OpenSSH-Server im Netzwerk erreichbar ist, müssen Sie zunächst ein-
mal dessen Netzwerkkonfiguration anpassen. Dazu folgen Sie dem Link Netzwerk.
Dort geben Sie zunächst die Adresse des Servers an, auf die er hört, also ansprech-
bar ist.
Dann können Sie gegebenenfalls den Port anpassen. Unter Umständen macht es
Sinn, einen Nicht-Standard-Port zu verwenden, weil das System dann weniger
leicht angreifbar ist. Das setzt aber natürlich voraus, dass die Clients den Port ken-
nen.
Die weiteren Einstellungen:
· Akzeptiere Protokolle: Stellen Sie hier sicher, dass die beiden Protokolle
SSH v1 und v2 aktiviert sind, damit Sie ein hohes Maß an Interoperabili-
tät haben.
· Verbindung trennen wenn Client abgestürzt ist? Die Standardeinstel-
lung Ja schützt Sie vor möglichen Attacken über eine bestehende SSH-
Verbindung.
· Wartezeit für Anmeldung: Hier legen Sie fest, wie lange der Server bei
der Anmeldung wartet. Passen Sie den Standardwert Unbegrenzt auf ei-
nen vernünftigen Wert an, beispielsweise 60 Sekunden.
· TCP Weiterleitung erlauben? Hier legen Sie fest, ob Ihr Server auch die
TCP-Weiterleitung erlaubt. In der Regel ist das gewünscht. Diese Option
erscheint nur dann, wenn Ihr Server SSH v2 oder höher unterstützt.

www.brain-media.de
Zugriffsbeschränkung 303

· Verbindung auf weitergeleiteten Ports erlauben? Auch das Weiterlei-


ten auf Ports sollte in der Regel zugelassen werden. Auch diese Option ist
nur dann verfügbar, wenn Sie einen OpenSSH-v2-Server verwenden.

Klicken Sie auf Speichern, um mögliche Änderungen zu übernehmen.

25.3 Zugriffsbeschränkung
Standardmäßig kann sich jeder Linux-Benutzer auf Ihrem SSH-Server einloggen.
Da Sie das sicherlich nicht wollen, sollten Sie Zugriffsbeschränkungsfunktionen
nutzen, um nur bestimmten Benutzern und Gruppen den Zugriff zu gewähren.

Die Netzwerkkonfiguration für Ihren OpenSSH-Server.

Die Zugriffssteuerungsoptionen für das Netzwerk und das Anmelden auf dem
System bestehen aus lediglich vier Eingabefeldern:
· Erlaube nur Benutzern: In das Eingabefeld bzw. über die Schaltfläche
am Ende des Feldes können Sie die gewünschten Benutzer eintragen bzw.
auswählen. Mehrere Einträge sind dabei durch ein Leerzeichen zu tren-
nen. Sie können auch die Platzhalter Sternchen (*) und Fragezeichen (?)
verwenden.
· Erlaube nur Mitgliedern der Gruppe: Entsprechend können Sie den
Zugriff auf bestimmte Gruppen beschränken.
· Verbiete Benutzern: Über dieses Eingabefeld können Sie Benutzer ex-
plizit vor dem Zugriff ausschließen.
· Verbiete Mitgliedern der Gruppen: Auch Gruppen können Sie den Zu-
griff verwehren.

Webmin kompakt
304 SSH-Server

Mit der Echtheitsbestätigung sorgen Sie für


noch mehr Sicherheit beim Client-Zugriff.

25.4 Authentifizierung
Der OpenSSH-Server, genauer alle SSH-Implementierungen, unterstützt verschie-
dene Authentifizierungsmechanismen, wie sich ein Client Zugang zu dem Server
verschaffen kann. Sie können beispielsweise vorgeben, ob die Anmeldung als Root
möglich ist und/oder ob ein leeres Passwort zulässig ist.
All diese Einstellungen sind auf dem Formular Echtheitsbestätigung zusammenge-
fasst. Dort können Sie folgende Einstellungen bearbeiten:
· Erlaube Echtheitsbestätigung durch Passwort: Wenn Sie unterbinden
wollen (was standardmäßig der Fall ist), dass sich Clients mit einem
Passwort einloggen, so setzen Sie diesen Schalter auf Nein. In dieser Kon-
figuration ist eine Authentifizierung nur mit einem gültigen Zertifikat
möglich.
· Erlaube das Anmelden mit leerem Passwort? Die Anmeldung mit ei-
nem leeren Passwort sollte ebenfalls nicht möglich sein.
· Erlaube Anmeldung als root? Auch die Anmeldung als Root können Sie
unterbinden. Bei einem OpenSSH-Server, auf den globaler Zugriff mög-
lich ist, sollten Sie die Option Nur mit RSA-Echtheitsbestätigung aktivie-
ren.
· Erlaube RSA Echtheitsbestätigung? Setzen Sie diesen Schalter auf Ja,
um die Verwendung von RSA-Zertifikaten zuzulassen.
www.brain-media.de
Exkurs: Zugriff im heterogenen Netzwerk 305

· Prüfe Berechtigungen auf Dateien der Schlüssel? Aus Sicherheitsgrün-


den sollten Sie auch diese Option aktivieren, damit eine Überprüfung der
Berechtigungen erfolgt.
· Anzeigen von /etc/motd beim Anmelden? In der Datei /etc/motd werden
Kurzinformationen für die Nutzer angezeigt. Mit diesem Schalter können
Sie die Einblendung beim Einloggen auch deaktivieren, indem Sie sie auf
Nein setzen.
· Ignoriere Datei known_hosts des Benutzers? Mit diesem Schalter kön-
nen Sie die Datei known_hosts ignorieren.
· Meldungs Datei vor dem Anmelden: Sie können eine Datei definieren,
deren Inhalt dem Client vor dem Anmelden angezeigt wird.
· User authorized keys file (~/.ssh/authorized_keys): Hier legen Sie den
Pfad zu den Authentifizierungsschlüsseln fest.
· Ignoriere .rhosts Datei? Auch die Datei rhosts kann bei der Authentifi-
zierung nicht berücksichtigt werden. Das ist in der Regel nicht gewünscht.

25.5 Exkurs: Zugriff im heterogenen Netzwerk


In modernen IT-Infrastrukturen kommen meist heterogene Netzwerke zum Einsatz.
Um eine gesicherte Verbindung zu dem OpenSSH-Server aufbauen zu können,
benötigen Sie einen entsprechenden SSH-Client. Bei Linux-Systemen ist der stan-
dardmäßig immer dabei.
Was aber tun, wenn auch Windows-Clients eine SSH-gesicherte Verbindung auf-
bauen wollen? Hier bietet sich der Einsatz von WinSCP (http://winscp.net/de/), der
auch in einer deutschen Version verfügbar ist.
Mit dem freien WinSCP ist es möglich, sich mit einem SSH-Server mit SFTP
(SSH File Transfer Protocol) oder SCP (Secure Copy Protocol) zu verbinden.
SFTP ist ein standardisierter Teil des SSH-2-Paketes. SCP ist ein standardisierter
Teil des SSH-1-Paketes. Beide Protokolle können auch auf neueren SSH-
Versionen zum Einsatz gebracht werden. WinSCP unterstützt SSH-1 und SSH-2.
Mit WinSCP können Sie alle grundlegenden Operationen mit Dateien wie down-
loaden und uploaden erledigen. Das Programm kann Dateien und Ordner umbe-
nennen, neue Ordner erstellen, Eigenschaften von Dateien und Ordnern ändern
sowie symbolische Links und Verknüpfungen erstellen.
Die wichtigsten Funktionen im Überblick:

Webmin kompakt
306 SSH-Server

· Stapelverarbeitung-Skripte und Kommandozeileneingabe


· Verzeichnis-Synchronisation in mehreren halb- oder komplett-
automatisierten Schritten
· Integrierter Text-Editor
· Unterstützung für SSH-Passwort-, Tastatur-, Public-Key- und Kerberos-
(GSS) Identifikation
· Integration in Pageant (PuTTY Agent) für vollen Support von Public-
Key-Identifikation
· Windows-Explorer-ähnliche Oberfläche
· Optionale Speicherung der Session-Informationen
· Optionale Unterstützung von Standalone-Operationen unter Verwendung
einer Konfigurations-Datei anstelle eines Registrierungsschlüssels

Auf der WinSCP-Website finden Sie eine umfangreiche Dokumentation, die alle
wichtigen Funktionen und typischen Aktionen mit dem Client beschreibt. Leider
ist die Dokumentation überwiegend in englischer Sprache verfügbar. Der Client
selbst ist in einer mehrsprachigen Version verfügbar.

Mit dem ebenfalls freien SSH-Client WinSCP wird der Zugriff auf den
OpenSSH-Server auch von Windows-Clients aus einfach möglich.
www.brain-media.de
Client-Optionen 307

25.6 Client-Optionen
Auch wenn das Webmin-SSH-Modul in erster Linie der Konfiguration des SSH-
Servers dient, können Sie mit dem Tool dennoch auch verschiedene Vorgaben für
die Kommunikation mit den Clients definieren. In den zugehörigen Einstellungen
können Sie beispielsweise den Port oder die Protokollversion anpassen.
Beachten Sie dabei Folgendes: Die Einstellungen, die Sie hier vornehmen, gelten
standardmäßig für alle Benutzer Ihres Systems, können aber durch manuelle Ein-
griffe in deren SSH-Konfigurationsdatei ~/.ssh/config überschrieben werden. Das
Modul erlaubt aber auch die Client-spezifische Konfiguration.

Die Client-Optionen.

Im Einzelfall machen sehr unterschiedliche Einstellungen Sinn. Daher wollen wir


uns anschauen, wie man eigene Client-Konfigurationen erstellt. Um die Standard-
einstellungen einzusehen bzw. zu bearbeiten, folgen Sie dem Verweis Optionen für
Client-Rechner und klicken dort auf den Link Alle Rechner.

Webmin kompakt
308 SSH-Server

Wenn Sie eigene Client-Einstellungen definieren wollen, beispielsweise um mit


spezifischen Funktionen zu spielen, klicken Sie auf Optionen für Client-Rechner
hinzufügen. Auf dem zugehörigen Formular können Sie folgende Einstellungen
bearbeiten:
· Optionen für Host: Hier bestimmen Sie, ob die Konfiguration für alle
oder nur ausgewählte Rechner gelten soll. Dabei können Sie auch das
Sternchen als Platzhalter verwenden. Tragen Sie beispielsweise
*.server.de in das Eingabefeld ein, damit diese Konfiguration für alle
Hosts der Domain server.de gilt.
· Anmelden als Benutzer: Hier legen Sie fest, ob sich der Client mit dem
aktuellen Log-in einloggen oder ob er ein anderes verwenden muss.
· Verbindung trennen wenn Server abgestürzt ist? Setzen Sie diese Op-
tion auf Ja, damit die Verbindung zwischen SSH-Server und -Client be-
endet wird, falls der Server abstürzen sollte. So schützen Sie sich vor
möglichen Attacken, die etwa zum Serverabsturz geführt haben.
· Echter Hostname zu dem verbunden werden soll: Mit diesem Schalter
legen Sie fest, ob der gleiche Name wie oben oder ein anderer für die
Verbindungsaufnahme verwendet werden soll.
· Frage nach einem Passwort falls benötigt? Auch diesen Schalter sollten
Sie auf Ja setzen, damit bei der Verbindungsaufnahme das Passwort des
Clients abgefragt wird.
· Port zu dem verbunden werden soll: Mit diesem Schalter legen Sie den
Port fest, über den die Kommunikation laufen soll. Der Standardport ist
22. Ein Ändern macht nur Sinn, wenn Sie auch die Clients entsprechend
konfigurieren.
· Escape Zeichen: Der OpenSSH-Server geht standardmäßig davon aus,
dass das Tilde-Zeichen (~) als Escape-Zeichen zu interpretieren ist, auf
das ein Befehl für den Server folgt. So bedeutet ~. beispielsweise, dass die
Verbindung beendet wird. In der Regel sollten Sie die Standardeinstellung
beibehalten.
· Standard-SSH-Verkehr komprimmieren? Standardmäßig verwenden
der SSH-Server und der -Client eine Komprimierung der Daten, um deren
Transport zu beschleunigen. Die Kehrseite der Medaille: Die Verarbei-
tung der komprimierten Daten kann negative Auswirkungen auf die Sys-
temperformance haben. Daher ist es ratsam, die Komprimierung aktiviert
zu lassen, den Grad der Komprimierung aber nicht zu hoch zu setzen.

www.brain-media.de
Client-Optionen 309

Die optimale Komprimierungskonfiguration ist


nicht immer einfach zu finden.

· Grad der Kompression: Über dieses Auswahlmenü bestimmen Sie den


Komprimierungsgrad, der zwischen den Wert 1 für minimale und 9 für
maximale Komprimierung eingestellt werden kann. Welches im Einzelfall
die optimale Konfiguration ist, lässt sich leider nicht allgemein sagen, da
dies erheblich von den übermittelten Daten abhängig ist. Spielen Sie da-
her ein wenig mit der Einstellung und haben Sie dabei immer auch die
CPU-Last im Blick.
· Anzahl Versuche eine Verbindung herzustellen: Hier können Sie die
Anzahl an Verbindungsversuchen definieren. Setzen Sie den Wert nicht
zu hoch oder behalten Sie die Standardeinstellung im Zweifelsfall bei.
· Benutze privilegierten Quell Port? Wie bereits mehrfach erwähnt, wird
standardmäßig der Port 22 für die Verbindungsaufnahmen zwischen SSH-
Client und -Server verwendet. Da aber häufig Firewalls die Verwendung
privilegierter Ports unterbinden, kann es – abhängig von Ihrer Netzwerk-
konfiguration – sinnvoll sein, diesen nicht zu verwenden.
· Versuche RSH falls SSH fehlschlägt? Wenn Sie wollen, dass eine RSH-
Verbindung versucht wird, wenn der SSH-Verbindungsaufbau nicht ge-
lingt, so wählen Sie hier die Option Ja.
· Nur RSH Verbindungen herstellen? Sie können den Client auch dazu
zwingen, nur RSH-Verbindungen mit dem Server aufzubauen.
· Host zur known_hosts Datei hinzufügen? Soll der Client in die Datei
für vertrauenswürdige Clients hinzugefügt werden, so setzen Sie diesen

Webmin kompakt
310 SSH-Server

Schalter auf Ja. Diese Datei enthält pro Zeile einen Eintrag eines entfern-
ten Rechners.
· Prüfe IP Adressen in known_hosts Datei? Noch mehr Sicherheit erzie-
len Sie, indem Sie die IP-Adressen der bekannten Clients prüfen.
· Versuche SSH Protokolle: Hier legen Sie fest, welche Protokolle für die
Verbindungsaufnahme zwischen Client und Server verwendet werden. Sie
können beispielsweise SSH v1 oder SSH v2 vorgeben.
· Lokale Ports, die an den Server weitergeleitet werden: Hier können
Sie einen lokalen Port angeben, an den entfernte SSH-Server übergeben
werden.
· Server Ports: Und hier den Server-Port.

Die sonstigen Optionen.

25.7 Sonstige Optionen


Das OpenSSH-Modul hat weitere Anpassungsmöglichkeiten. Über den Link Sons-
tige Optionen können Sie beispielsweise den Aufbau von X11-Verbindungen zu
dem Server unterbinden, die Protokollierung anpassen und die Schlüssellänge
definieren.

www.brain-media.de
Schlüssel-Setup 311

Das Einrichten des SSH-Schlüssels.

25.8 Schlüssel-Setup
Über den Link User SSH Key Setup können Sie die Schlüsseleinrichtung für neue
Linux-Benutzer konfigurieren. Der Vorteil dieser Funktion: Für neue Linux-
Benutzer wird automatisch ein SSH-Schlüssel erzeugt und muss nicht erst manuell
mit ssh-keygen generiert werden. Auf diesem Formular können Sie dies aktivieren
und den Schlüsseltyp anpassen.
Im Admin-Alltag bringt die automatische SSH-Schlüssel-Generierung Vor- und
Nachteile: Von Vorteil ist sicherlich, dass man sich das nachträgliche Anlegen
spart. Nachteilig ist, dass auch für solche Benutzer Schlüssel existieren, die keinen
SSH-Server-Zugriff benötigen. Und das wiederum ist mit zusätzlichen Sicherheits-
risiken verbunden.

25.9 Konfigurationsdateien editieren


Über den Verweis Edit Config Files können Sie außerdem die beiden OpenSSH-
Konfigurationsdateien /etc/ssh/sshd_config und /etc/ssh/ssh_config manuell anpas-
sen. Diese Funktion kennen Sie bereits von anderen Modulen und Server-
Konfigurationen.

25.10 Modulkonfiguration
Auch das OpenSSH-Server-Modul besitzt eine Modulkonfiguration. In dieser fin-
den Sie verschiedene Informationen zur Server-Konfiguration, beispielsweise den
Pfad zum SSHD-Programm, den zu den verschiedenen Konfigurationsdateien, die

Webmin kompakt
312 SSH-Server

Kommandos zum Starten und Beenden des Servers sowie den Pfad zum Programm
ssh-keygen, mit dem die Schlüssel erzeugt werden. Änderungen sind hier in der
Regel nicht erforderlich, denn die Einstellungen liest Webmin auf der bestehenden
Installation ein.

Die Konfiguration des SSH-Server-Moduls.

www.brain-media.de
313

26 Samba-Administration

In heterogenen Netzwerken – und Sie sind ja eher die Regel, also die Ausnahme –
ist es essenziell, dass man Dateiablagen plattformübergreifend nutzen kann. Hier-
für bietet sich natürlich der Einsatz von Samba (http://www.samba.org) an, der das
Server-Message-Block-Protokoll (SMB) für Unix-Systeme verfügbar macht. Das
SMB-Protokoll wird gelegentlich auch als CIFS (Common Internet File System),
LanManager- oder NetBIOS-Protokoll bezeichnet.
Mithilfe von Samba können Sie eine Vielzahl von typischen Windows-Server-
Funktionen auf einem Linux-System abbilden. Der Vorteil: Samba gilt als stabiler
und leistungsfähiger als Windows-Alternativen. Als Open-Source-Lösung ist Sam-
ba außerdem frei verfügbar.
Auch der Reifegrad ist inzwischen derart hoch, dass man die Software bedenkenlos
in jedes Produktionssystem integrieren kann. Einziges Manko – sofern man davon
sprechen kann – ist, dass Samba das SMB-Protokoll nicht vollständig implemen-
tiert.
Da Samba außerdem zum Lieferumfang (fast) einer jeden Linux-Distribution ge-
hört, ist es schnell installiert und in Betrieb genommen.
Der Samba-Server selbst besteht aus einer Reihe von einzelnen Modulen, die ver-
schiedene Aufgaben von der grundlegenden Funktion bis hin zur Konfiguration
und Dokumentation übernehmen.
Verschiedene Aufgaben können auch durch andere Programme ersetzt werden,
beispielsweise die Konfiguration von Samba über das Samba-eigene Modul SWAT
oder aber eben mit Webmin.
Das Kernmodul von Samba ist der smbd-Daemon. Er stellt die Datei- und Druck-
dienste für andere SMB-Clients bereit, also für „normale“ Windows- oder Linux-
Clients in Ihrem Netzwerk.

Webmin kompakt
314 Samba-Administration

Ein erster Blick auf die Samba-Schnittstelle,


die Ihnen Webmin zur Verfügung stellt.

Die Webmin-Schnittstelle präsentiert Ihnen einen dreigeteilten Dialog:


· Im oberen Bereich werden die bereits existierenden Shares/Freigaben
samt Pfad und Sicherheitsinformationen aufgeführt.
· Im mittleren Bereich finden Sie die allgemeinen Konfigurationen des
Samba-Systems.
· Im unteren Bereich verwalten Sie die Benutzer.

Außerdem finden Sie am Fuße der Samba-Übersicht den typischen Button zum
Starten, Neustarten und Beenden des Servers.
Womöglich spuckt die Schnittstelle eine Warnung wie die folgende aus:
Warnung - Ihre Samba-Konfiguration in /etc/samba/smb.conf
beinhaltet die config oder include Direktive. Dies kann dazu
führen, daß Webmin die Datei /etc/samba/smb.conf falsch ver-
ändert.

www.brain-media.de
Erste Freigabe erstellen 315

In diesem Fall sollten Sie die Samba-Konfigurationsdatei gegebenenfalls anpassen.


Kommentieren Sie die entsprechenden Zeilen in der Konfigurationsdatei, wenn Sie
nicht benötigt werden. Die include-Direktive versucht beispielsweise häufig, einen
DHCP-Server einzubinden.

26.1 Erste Freigabe erstellen


Über das Samba-Webmin-Modul ist es ein Leichtes, eine neue Datei- oder Dru-
ckerfreigabe zu erstellen. Um eine erste Freigabe zu erzeugen, folgen Sie dem Link
Neue Dateifreigabe erstellen.
Der Rest ist wieder einfach: Weisen Sie in dem zugehörigen Formular der Freigabe
eine Bezeichnung zu. Alternativ können Sie auch das Home-Verzeichnis zur Frei-
gabe machen.

Eine neue Freigabe in der Entstehung.

Im Eingabe- bzw. Auswahlfeld Directory to share geben Sie das gewünschte Ver-
zeichnis an bzw. wählen Sie dasjeinige aus, welches Sie freigeben wollen.
Dann legen Sie fest, ob das Verzeichnis automatisch erzeugt werden soll und wer
der Besitzer ist. Bestimmen Sie mit Verfügbar, ob das neue freigegebene Ver-
zeichnis unmittelbar verfügbar sein soll und ob es von anderen Benutzern durch-
forstet werden kann (Sichtbar). Schließlich können Sie einen ergänzenden Kom-
mentar hinzufügen. Mit einem Klick auf Speichern erstellen Sie die neue Freigabe,
die dann in der oben erwähnten Freigabeliste aufgeführt wird.
Sicherlich fragen Sie sich nun, wie Sie denn als Nächstes die Eigenschaften wie die
Zugriffsbeschränkungen, Dateiberechtigungen etc. definieren. Die Beantwortung

Webmin kompakt
316 Samba-Administration

der Frage ist einfach: Editieren Sie die Freigabe durch einen Klick auf den zugehö-
rigen Listeneintrag.

Eine editierte Freigabe.

Wie Sie voranstehender Abbildung entnehmen können, präsentiert Ihnen der Dia-
log Freigaben bearbeiten neben den zunächst hinterlegten Eigenschaften vier Frei-
gabeeinstellungen:
· Sicherheit und Zugriffskontrolle
· Dateiberechtigungen
· Dateinamen
· Erweiterte Einstellungen

Außerdem können Sie über die Schaltfläche Verbindungen anzeigen die aktuellen
Sessions einsehen. Auch das Löschen der Freigabe ist möglich.
Schauen wir uns die einzelnen Funktionen für das Bearbeiten einer Freigabe ge-
nauer an. Zunächst die Einstellungen Sicherheit und Zugriffskontrolle.

www.brain-media.de
Erste Freigabe erstellen 317

Die sicherheitsrelevanten Einstellungen für eine Freigabe.

Die Einstellungen für die Sicherheit und Zugriffskontrolle sind weitestgehend


selbsterklärend. Zunächst legen Sie fest, ob die Freigabe auch schreibbar ist oder
nicht. Standardmäßig ist sie es nicht. Sie können die Freigabe auf für Gäste öffnen,
indem Sie die Option Gastzugang definieren. Unter Unix-Gastbenutzer können Sie
explizit einen solchen definieren.
Es folgen verschiedene Optionen, mit denen Sie explizit definieren, welchen Rech-
nern, Benutzern und Gruppen Sie den Zugriff erlauben wollen. Soweit verfügbar
helfen Ihnen dabei die Auswahlmenüs.
Im unteren Formular bestimmen Sie mögliche Benutzer und Benutzergruppen,
legen fest, welcher Benutzer bzw. welche Gruppe Lese- und wer Lese-
/Schreibrechte besitzen soll. Die Auswahl erfolgt aus den bereits eingerichteten
Benutzern und Gruppen Ihres Linux-Systems.

Webmin kompakt
318 Samba-Administration

Die Dateiberechtigungen.

Wenn Sie dem Verweis Dateiberechtigungen folgen, finden Sie einige wichtige
Einstellungen. Da das SMB von Haus aus keine Berechtigungen unterstützt, ist es
sinnvoll, diese mithilfe des Samba-Servers zu setzen. Die Einstellungen hierzu
finden Sie auf dem Formular Dateiberechtigungen. Auch diese Einstellungen gel-
ten nur für die aktuelle Freigabe.
Bestimmen Sie zunächst den typischen Datei- und dann den Verzeichnismodus.
Geben Sie einfach in die beiden dafür vorgesehenen Eingabefelder den entspre-
chenden Wert ein. Der Standardwert ist 755.
Wenn Sie Verzeichnisse nicht anzeigen wollen, so geben Sie deren Bezeichnung in
das Eingabefeld Nicht angezeigte Verzeichnisse ein. Entsprechend können Sie
Linux-Benutzer und -Gruppen für den Zugriff auswählen. Da Windows-Clients
keine symbolischen Links unterstützen, sollten Sie die Option Symbolischen Links
folgen deaktivieren, denn das stellt ein gewisses Sicherheitsrisiko dar.

Die Dateinamensumsetzungen.

www.brain-media.de
Erste Freigabe erstellen 319

Da Linux und Windows unterschiedliche Dateinamenkonventionen verwenden,


stellt Ihnen Samba eine Funktion zur Verfügung, mit der Sie dies konfigurieren.
Diese Funktionen waren insbesondere bei den Windows-95-Vorgängern wichtig,
da diese beispielsweise keine langen Dateinamen unterstützten. Wenn Ihre Netz-
werk-Clients neueren Datums sind, müssen Sie sich hierum in der Regel nicht
kümmern. Anders ist das, wenn auch DOS-Clients auf das Samba-System zugrei-
fen sollen.
Auf dem Register Dateinamensumsetzungen können Sie beispielsweise die Unter-
scheidung zwischen Groß- und Kleinschreibung deaktivieren.

Die erweiterten Einstellungen für die Freigabe.

Schließlich können Sie für jede Freigabe eine Fülle von erweiterten Einstellungen
definieren. Dazu folgen Sie dem Verweis Erweiterte Einstellungen. Auf dem zuge-
hörigen Formular können Sie beispielsweise die maximale Anzahl an Verbindun-
gen beschränken und die Ausführung von bestimmten Kommandos beim Verbin-
dungsauf- und -abbau definieren.

Webmin kompakt
320 Samba-Administration

26.2 Druckerfreigabe erstellen


Kommen wir zum zweiten wichtigen Einsatzbereich: Dem Erstellen einer Drucker-
freigabe, damit ein Netzwerkdrucker auch von anderen Netzwerk-Clients genutzt
werden kann.

Eine neue Druckerfreigabe entsteht.

Geben Sie in dem Formular den Freigabenamen, den Drucker, das Spool-
Verzeichnis und die Verfügbar- bzw. Sichtbarkeit im Netzwerk an. Mit einem
Klick auf die Schaltfläche Erstellen ist der Netzwerkdrucker erstellt und Sie finden
auch diesen in der Freigabeliste.

Die Druckereinstellungen.

www.brain-media.de
Freigabeeinstellungen als Vorlagen 321

Nach dem Erstellen der Druckerfreigabe können Sie auch diese wieder editieren.
Dort finden Sie neben den oben beschriebenen Einstellungen für Sicherheit und
Zugriffskontrolle noch die Druckereinstellungen. Diese erlauben Ihnen das Er-
zwingen eines PostScript-Druckers und die Verwendung spezifischer Druckbefeh-
le.

26.3 Freigabeeinstellungen als Vorlagen


Eine weitere Besonderheit des Samba-Moduls ist die Funktion Freigabe kopieren.
In dem einfachen Formular wählen Sie einfach die Freigabe samt den dazugehöri-
gen Einstellungen aus, deren Einstellungen in der zu erstellenden Freigabe über-
nommen werden sollen. Die Ausgangsfreigabe spielt also die Rolle einer Vorlage.
Auf diesem Weg können Sie mit minimalem Aufwand eine neue Freigabe erstel-
len, die die Eigenschaften der Vorlage besitzt. Die neu erzeugte Vorlage können
Sie dann im nächsten Schritt anpassen.

Bei der Kopierfunktion dient die Ausgangsfreigabe als Vorlage für die neue.

26.4 Globale Samba-Konfiguration


Kommen wir zum mittleren Bereich, in dem Sie zehn Funktionen für die globale
Konfiguration des Samba-Servers finden. All diese Einstellungen wirken sich –
wie die Bezeichnung schon erkennen lässt – auf das gesamte Samba-System aus.

Webmin kompakt
322 Samba-Administration

Die globalen Unix-Einstellungen des Samba-Systems.

26.4.1 Unix-Einstellungen
Wenn Sie dem Link Unix-Einstellungen folgen, landen Sie auf einem recht um-
fangreichen Formular, auf dem Sie zunächst festlegen können, ob und falls ja nach
welcher Zeit eine inaktive Verbindung zum Server beendet wird. Standardmäßig
ist diese Option nicht aktiv. Sie sollten aber ein Beenden erzwingen, beispielsweise
nach 5 Minuten, damit eine offene Verbindung nicht von Angreifern genutzt wird.
Unter Netzwerkschnittstelle können Sie ein alternatives Interface und eine andere
Netzwerkmaske verwenden. Eher für Profis sind die Anpassungen der Paketgröße
und die der Socket-Optionen gedacht.

26.4.2 Windows-Einstellungen
Neben den Unix- können Sie auch die Windows-Einstellungen anpassen. Folgen
Sie dazu dem gleichnamigen Link. In dem zugehörigen Dialog können Sie bei-
spielsweise den Arbeitsgruppennamen, den Servernamen und Protokoll-Level
anpassen.
Die wichtigsten Einstellungen dieses Formulars:

www.brain-media.de
Globale Samba-Konfiguration 323

· Arbeitsgruppe: In diesem Eingabefeld können Sie den Arbeitsgruppen-


namen anpassen, um den Samba-Server beispielsweise in eine bestehende
Netzwerkumgebung einzubinden.
· WINS Modus: Wenn in Ihrem Netzwerk ein WINS-Server verwendet
wird. Falls das nicht der Fall ist, aktivieren Sie die Option Server emulie-
ren, damit Windows-Clients Ihr System nutzen können, um Samba-
Servernamen auflösen zu können.
· Serverbeschreibung: Hier können Sie eine eigene Server-Beschreibung
hinterlegen.
· Servername: Hier geben Sie den Servernamen an, damit Ihr Samba-
System im Netzwerk eindeutig identifizierbar ist.

Die Windows-Einstellungen des Samba-Servers.

· Standardfreigabe: Über dieses Auswahlmenü bestimmen Sie, ob und


falls ja welche Freigabe die Standardfreigabe sein soll. In der Standard-
konfiguration ist keine Freigabe als Standardfreigabe vorgesehen.
· Folgende Freigaben immer anzeigen: Entsprechend können Sie über
dieses Auswahlmenü festlegen, welche bereits erzeugten Freigaben immer

Webmin kompakt
324 Samba-Administration

angezeigt werden. Achten Sie hier darauf, wirklich nur die Freigaben an-
zuzeigen, die auch tatsächlich von Dritten benötigt werden.
· Maximale Festplattengrösse (aus Clientsicht): Legen Sie hier fest, wie
die maximale Festplattengröße für die Clients ausfällt. Es empfiehlt sich,
den Wert Unbegrenzt nicht zu verwenden, sondern stattdessen eine ange-
messene Größe zu definieren.
· Master Browser?/ Master browser Priorität: Wenn Sie Ihren Samba-
Server zum Master-Server machen wollen, der auch andere SMB-Server
und -Clients im Netzwerk listet, so müssen Sie zunächst die Option Mas-
ter Browser aktivieren und dann im nächsten Schritt dessen Priorität defi-
nieren. Der Server mit der höchsten Priorität wird als Master – auch von
anderen Servern – behandelt. Um sich über Windows-9x-Systeme und de-
ren Nachfolger zu stellen, genügt der Standardwert 20. Wenn Sie eine hö-
here Priorität als einen Windows-NT-Server besitzen wollen, müssen Sie
die Priorität auf 65 setzen.
· Protokolllevel: Über dieses Auswahlmenü bestimmen Sie den Protokoll-
level. Sie haben die Wahl zwischen folgenden Optionen:
o CORE
o COREPLUS
o LANMAN1
o LANMAN2
o NT1
Dieses Auswahlmenü bedarf der Erläuterung. Da Samba auf eine beacht-
liche Entwicklungsdauer zurückblicken kann, haben sich auch die Dialek-
te verändert, die das SMB-Protokoll verwendet. Das SMB-Protokoll wur-
de in der Vergangenheit immer wieder überarbeitet und/oder erweitert.
Diese verschiedenen Versionen des Protokolls nennt man Dialekte. Nach-
stehende Tabelle fasst die verschiedenen Versionen zusammen: Die ak-
tuellste Version des SMB-Protokolls ist der CIFS-Dialekt, der von allen
modernen Windowsvarianten benutzt wird.

www.brain-media.de
Globale Samba-Konfiguration 325

Protokollname ID String Verwendet


Core PC NETWORK PROGRAM 1.0 Erste Implementierung
Core Plus MICROSOFT NETWORKS 1.03
LAN Manager LANMAN1.0 bessere Sicherheit
1.0
LAN Manager LM1.2X002
2.0
NT LAN Man- NT LM 0.12 Windows NT 4.0
ager 1.0
Samba’s NT LM Samba Samba
0.12
Common Inter- System CIFS 1.0 Windows 2000/XP
net File

Da die meisten neueren Dialekte auf den alten aufbauen, ist auch in der
Regel Abwärtskompatibilität gewährleistet. Denn alle neueren Dialekte
müssen auch die Funktionalität der Vorgänger beherrschen. Deshalb be-
herrschen SMB-Clients und Server auch verschiedene Dialekte. Um nun
korrekt kommunizieren zu können, müssen Sie sich als Erstes über einen
gemeinsamen Dialekt einigen.
In der Regel ist es sinnvoll, die Standardeinstellung beizubehalten. Ände-
rungen machen nur dann Sinn, wenn Sie zuverlässig wissen, dass die zu-
greifenden Clients das gewählte Protokoll auch verstehen.
· Sicherheit: Wie wir später noch sehen werden, besitzt der Samba-Server
umfangreiche Funktionen zur Steuerung des Zugriffs. Sie können bei-
spielsweise den Zugriff auf Benutzer- und/oder Gruppenebene definieren.
Samba erlaubt aber auch die Verwendung weiterer Zugriffsmechanismen.
Diese sind über das Auswahlmenü Sicherheit verfügbar. Die möglichen
Optionen sind:
o Freigabeebene
o Benutzerebene
o Passwort-Server
o Domäne
o Active Directory

Webmin kompakt
326 Samba-Administration

· Password Server: Wenn Sie einen Passwort-Server für die Zugriffssteue-


rung verwenden wollen, geben Sie in diesem Eingabefeld die IP-Adresse
an.
· Browselisten weitergeben an: Samba-Server verteilen Informationen
über Ihre Freigaben in sogenannten Browse-Listen im Netzwerk, damit
andere Clients dies erkennen, einlesen und dann die angebotenen Freiga-
ben nutzen können. Mit dieser Funktion können Sie das Verteilen deakti-
vieren bzw. auf spezifische Systeme beschränken. Falls Sie eine Be-
schränkung der Weitergabe wollen, geben Sie in dem Feld IP Addresse
die gewünschten Adressen ein.

Die Passwort-Einstellungen des Samba-Servers.

26.4.3 Passwort-Einstellungen
Auf dem Formular Passwort-Einstellungen können Sie verschiedene Passwort-
spezifische Anpassungen vornehmen. Hintergrund dieser Funktion: Das SMB-
Protokoll erlaubt Benutzern das Ändern des Passworts, und zwar vom Client aus.
In einem solchen Fall muss das Passwort aufseiten des Servers aktualisiert werden.
Außerdem unterstützt das Webmin-Modul das Usernamen-Mapping, also das Um-
setzen von Linux- in Windows-Benutzernamen.
www.brain-media.de
Globale Samba-Konfiguration 327

Die Einstellungen im Einzelnen:


· Verschlüsselte Passwörter verwenden? Da Windows-Versionen ein
verschlüsseltes Passwortformat verwenden, sollten Sie diese Option auf
Ja setzen bzw. die Standardeinstellung beibehalten.
· Leere Passwörter erlauben? Auch hier sollten Sie die Standardeinstel-
lung Nein beibehalten, damit sich Benutzer nicht mit einem leeren Pass-
wort Zugriff auf den Samba-Server verschaffen – ein gefundenes Fressen
für Angreifer.
· Programm zum Ändern des Passwortes: Hier können Sie ein alternati-
ves Programm nutzen, das zum Anpassen des Passworts verwendet wer-
den soll. Samba verwendet standardmäßig /bin/passwd.
· Ändere Unix-Passwort ebenfalls? Wenn ein Client sein Passwort ändert,
und Sie damit auch das Ändern des Systempassworts erlauben wollen, so
aktivieren Sie die Option Ändere Unix-Passwort ebenfalls. Aus sicher-
heitstechnischen Überlegungen heraus sollten Sie diese Funktion auch
deaktiviert lassen, um nicht möglichen Angreifern unnötige Angriffspunk-
te zu liefern.
· Aufforderung zur Passwortänderung: Hier können Sie bestimmte
Kommandos für die Passwortänderung einbinden.
· Umsetzung der Benutzernamen: Schließlich können Sie die Umsetzung
von Client- und Systembenutzernamen definieren. Clients, die sich mit
einem aufgeführten Benutzernamen anmelden, erhalten automatisch die
mit dem verknüpften Linux-Benutzernamen verbundenen Rechte.

26.4.4 Windows-zu-Unix-Druckereinstellungen
Eine Besonderheit von Samba ist, dass der Server nicht nur Datei-, sondern auch
Druckdienste im heterogenen Netzwerk bereitstellen kann. Die hierfür relevanten
Einstellungen finden Sie unter Windows-zu-Unix-Druckereinstellungen. Auf dem
zugehörigen Formular legen Sie beispielsweise fest, welches Drucksystem ver-
wendet werden soll.

Webmin kompakt
328 Samba-Administration

Die Drucker-Einstellungen.

Die Einstellungen:
· Unix Druckverfahren: Über dieses Auswahlmenü bestimmen Sie das zu
verwendende Drucksystem. Welches Sie dabei idealerweise verwenden,
ist auch von dem von Ihnen verwendeten Linux-/Unix-System abhängig.
In der Regel sind Sie mit CUPS bestens bedient. CUPS können Sie übri-
gens auch mithilfe von Webmin konfigurieren.
· Alle Drucker freigeben? Mit dieser Option können Sie dafür sorgen,
dass alle angeschlossenen Drucker sichtbar sind und freigegeben werden.
Wenn Sie dies nicht wollen, setzen Sie den Schalter auf Nein. Die Dru-
cker sind aber dennoch weiterhin über \\server_name\drucker_name von
den Clients aus nutzbar.
· Druckerdefinitionsdatei: In einer Druckerdefinitionsdatei (eine ASCII-
Datei) sind Variablen, Steuerzeichen für die Formatierung und Zeichende-
finitionen enthalten. Sie dient dazu, den von Ihnen verwendeten Drucker
anzupassen. Hier können Sie eine existierende Datei auswählen. Wenn
Sie mit CUPS arbeiten, ist die Datei cups die richtige.
· Druckerstatus zwischenspeichern: Hier können Sie bestimmen, wie
lange der Druckerstatus zwischengespeichert wird. Standardmäßig sind es
10 Sekunden. Bei sehr langsamen Druckvorgängen kann es sinnvoll sein,
den Wert hochzusetzen.

26.4.5 Erweiterte Einstellungen


Wenn Sie dem Verweis Erweiterte Einstellungen folgen, gelangen Sie zu sehr
spezifischen Anpassungsmöglichkeiten, die meist nur für fortgeschrittene Anwen-
der interessant sind.

www.brain-media.de
Globale Samba-Konfiguration 329

Zunächst können Sie den Debug-Level von null bis zehn verändern, wobei ein
höherer Wert mehr Ausgaben bedeutet. Treten Probleme bei der Client-Anbindung
oder bei der Server-Ausführung auf, ist es sinnvoll, den Level nach oben zu setzen.

Die erweiterten Samba-Einstellungen.

Eine weitere nützliche Einstellung: Sie können gezielt Verzeichnisse für den Zu-
griff sperren. Geben Sie deren Pfad in dem Verzeichnis an oder wählen Sie diese
gezielt aus.

26.4.6 Winbind-Optionen
Über das Webmin-Modul ist auch die Konfiguration von Winbind möglich.
Winbind ist eine Komponente der Samba-Suite, die das Problem der einheitlichen
Anmeldung löst. Winbind verwendet eine Unix-Implementierung der MS-RPC-
Aufrufe, PAM (Pluggable Authentication Module) und NSS (Name Service
Switch), um Windows-NT-Domänenbenutzer auf Linux-Systemen als Linux-
Benutzer erscheinen und arbeiten zu lassen.

Webmin kompakt
330 Samba-Administration

Auch die Winbind-Einstellungen lassen sich mithilfe von Webmin anpassen.

Winbind stellt drei unterschiedliche Funktionen zur Verfügung:


· die Authentifizierung der Benutzerbeglaubigung mithilfe von PAM
· die Auflösung der Identität (mittels NSS)
· Winbind verfügt über die Datenbank winbind_idmap.tdb, in der die Zu-
ordnungen zwischen den Linux-UIDs/GIDs und den NT-SIDs hinterlegt
sind. Diese Zuordnungen werden nur für Benutzer und Gruppen verwen-
det, die nicht über eine lokale UID/GID verfügen. Winbind sichert die
Zusammengehörigkeit zwischen der UID/GID, die im idmap-uid/gid-
Bereich zugeteilt wird, und der NT-SID.

In den Winbind-Einstellungen können Sie beispielsweise die Verwendung von


Winbind für lokale Benutzer aktivieren bzw. deaktivieren oder die Auflistung der
Benutzer verbieten. Die Standardeinstellungen sollten Sie nur ändern, wenn Sie
wissen, was Sie tun.

26.4.7 Vorgaben für Freigaben


Wenn Sie dem Link Vorgaben für Freigaben folgen, gelangen Sie zu einem weite-
ren nützlichen Konfigurationsbereich, über den Sie eine Fülle von Vorgaben für
Ihre Freigaben definieren können, die dann von neu zu erstellenden Freigaben
automatisch berücksichtigt werden. So richtig neu sind die Einstellungen nicht, wie
Sie nachfolgendem Dialog entnehmen können.

www.brain-media.de
Globale Samba-Konfiguration 331

Die Freigabevorgaben.

Die Handhabung der Vorgabenfunktion ist einfach: Wählen Sie das freizugebende
Verzeichnis aus, bestimmen Sie die Verfügbarkeit und hinterlegen Sie einen
Kommentar. Außerdem können Sie folgende Bereiche konfigurieren, die bereits
zuvor besprochen wurden:
· Sicherheit und Zugriffskontrolle
· Dateiberechtigungen
· Dateinamen
· Erweiterte Einstellungen

26.4.8 Vorgaben für Druckerfreigaben


Was für Dateifreigaben möglich ist, funktioniert auch bei Druckerfreigaben: Fol-
gen Sie dem Verweis Vorgaben für Druckerfreigaben, um für Ihre Ausgabegeräte
spezifische Vorgaben zu definieren. Dabei bestimmen Sie den Drucker, das Spool-
Verzeichnis und die Verfügbarkeit.
Bei den Druckervorgaben stehen Ihnen entsprechend obiger Beschreibung zwei
weitere Freigabeeinstellungen zur Verfügung:
· Sicherheit und Zugriffskontrolle
· Druckereinstellungen
Webmin kompakt
332 Samba-Administration

· Konfigurationsdatei editieren

Wenn Sie dem Link Edit Config File folgen, gelangen Sie zu einem Textfeld, in
dem die aktuelle Samba-Konfigurationsdatei angezeigt wird. Natürlich können Sie
hier manuelle Eingriffe vornehmen.
Dabei handelt es sich um die Konfigurationsdatei /etc/smb.conf, die bestimmt,
welche Ressourcen das System nach außen anbietet und welche Einschränkungen
hierbei existieren. Diese Funktion ist insbesondere dann für Sie interessant, wenn
Sie Anpassungen vornehmen wollen, die nicht über das Webmin-Modul zugäng-
lich sind.
Hier ein typisches Beispiel für die smb.conf. In dieser Beispielkonfiguration ist
einem Remote-User der Zugriff auf sein Heimatverzeichnis auf dem Linux-
Rechner und außerdem der Schreibzugriff auf ein temporäres Verzeichnis erlaubt:
; /etc/smb.conf
;
; Wichtig: Der Server muss bei Änderungen
; angehalten und anschließend neu gestartet
; werden:
; /etc/rc.d/init.d/smb stop
; /etc/rc.d/init.d/smb start

[global]
; Entkommentieren, wenn Gästen der Zugriff
; erlaubt werden soll.
; guest account = nobody
log file = /var/log/samba-log.%m
lock directory = /var/lock/samba
share modes = yes

[homes]
comment = Home Directories

www.brain-media.de
Globale Samba-Konfiguration 333

browseable = no
read only = no
create mode = 0750

[tmp]
comment = Temporary file space
path = /tmp
read only = no
public = yes

Eine typische Samba-Konfigurationsdatei weist verschiedene Abschnitte auf, bei-


spielsweise die Folgenden:
global
homes
tmp
printers
public

Jeder Abschnitt ist für die Steuerung eines Teilbereichs des Servers zuständig, z. B.
für die Folgenden:
· global: In diesem Abschnitt werden Variablen definiert, die Samba für die
Zuteilung aller Ressourcen nutzt.
· homes: Hier wird einem entfernten Benutzer der Zugriff auf sein und nur
sein Home-Verzeichnis auf dem Linux-Rechner ermöglicht. Diese Ma-
schine muss allerdings im lokalen Netz eingebunden sein. Voraussetzung
ist allerdings, dass der Windows-Benutzer eine Zugangsberechtigung für
das Linux-System besitzt.
· printers: In diesem Abschnitt werden die in der /etc/printcap spezifizier-
ten Drucker den Clients zur Verfügung gestellt.

Für weitere Details zur Samba-Konfigurationsdatei sei auf die Samba-Website


verwiesen. Dort finden Sie Details in Hülle und Fülle.

Webmin kompakt
334 Samba-Administration

Ein Blick auf die typische Samba-Schnittstelle.

26.4.9 SWAT
Zum Lieferumfang von Samba gehört auch das Web-basierte Konfigurationswerk-
zeug SWAT (Samba Web Administration Tool). SWAT präsentiert Ihnen nach
dem Log-in (am besten als root einloggen) eine einfache Schnittstelle, über die Sie
beispielsweise im Menü Globals verschiedene grundlegende Einstellungen wie den
Arbeitsgruppennamen und auch sicherheitsrelevante Einstellungen bearbeiten
können.
Eine Besonderheit von SWAT ist sicherlich der Wizard. Dabei handelt es sich um
einen Assistenten, der dem weniger kundigen Administrator die Konfiguration von
Samba so einfach wie möglich machen will.

www.brain-media.de
Globale Samba-Konfiguration 335

Der SWAT-Assistent unterstützt Sie bei


der Konfiguration des Samba-Systems.

Über die Wizard-Seite können Sie einige Einstellungen der Samba-


Konfigurationsdatei smb.conf in einem optimierten Format zurückschreiben. Kli-
cken Sie dazu auf die Schaltfläche Commit. Der Unterschied zwischen dem
Rewrite-Button und dem Commit-Button besteht darin, dass Rewrite alle Änderun-
gen ignoriert und Commit sämtliche vorgenommenen Änderungen umsetzt.

Das Editieren mithilfe von SWAT.

Webmin kompakt
336 Samba-Administration

Mit einem Klick auf den Edit-Button öffnet sich ein einfaches Formular, über das
Sie verschiedene grundlegende Parameter einer Basiskonfiguration bearbeiten
können. Auch drei sicherheitsrelevante Einstellungen können über den Dialog
angepasst werden.

Tipp: SWAT eindeutschen


Sie können SWAT so konfigurieren, dass das Tool seine Ausgaben in der Sprache
erzeugt, die in Ihrem Webbrowser eingestellt ist. Diese Anweisung wird SWAT im
Accept-Language-Header der HTTP-Anfrage übergeben. Standardmäßig präsen-
tiert Ihnen SWAT eine englischsprachige Schnittstelle. Um die Anpassungen vorzu-
nehmen, führen Sie Folgendes aus:
- Installieren Sie die passenden msg-Dateien aus dem Samba-source/
po-Verzeichnis nach $LIBDIR.
- Setzen Sie den korrekten Wert für display charset.
- Stellen Sie gegebenenfalls die Sprache im Browser ein.

Die Bezeichnung der msg-Datei entspricht der Sprach-ID des Browsers, also bei-
spielsweise en für Englisch und de für Deutsch

Neben der Auflistung der Datei- und Druckerfreigaben und den zuvor beschriebe-
nen Besonderheiten hat SWAT noch drei weitere Funktionen zu bieten: Status,
View und Password.
Die Status-Seite erlaubt die Überwachung der Samba-Daemons, wobei die Haupt-
Daemonen, aus denen der Samba-Server besteht, smbd, nmbd und winbindd sind.
Alle drei Daemons können angehalten, gestartet und neu gestartet werden. Sie
können die Status-Seite auch dazu verwenden, bestimmte smbd-
Clientverbindungen zu unterbrechen und um Dateien freizugeben, die womöglich
gesperrt sind.
Auf der Seite View präsentiert Ihnen SWAT standardmäßig die wichtigsten Einträ-
ge der Sambakonfigurationsdatei smb.conf. Mit einem Klick auf die Schaltfläche
Show all werden alle Einträge gezeigt. Änderungen können Sie nicht vornehmen.
Auf der Passwortseite können Sie die Passwörter von Windows-Benutzern erstel-
len, löschen sowie de- und reaktivieren Wenn der Benutzer als Nicht-Root-
Benutzer angemeldet ist, muss er bei Änderungen von Passwörtern das alte und
zweimal das neue Passwort eingeben. Ist er als root angemeldet, wird nur das neue
Passwort benötigt.

www.brain-media.de
Samba-Benutzer 337

Diese Funktion wird häufig verwendet, um Benutzerpasswörter über mehrere Win-


dows-Server hinweg zu ändern.

26.5 Samba-Benutzer
Wie bereits oben erwähnt, verwendet das SMB-Protokoll ein Passwortverschlüsse-
lungsformat, das mit dem Standard-Linux/Unix-Format inkompatibel ist. Bis Win-
dows 95 stellt das kein Problem dar, da diese Systeme Ihr Passwort unverschlüsselt
an den Samba-Server übermitteln – ähnlich wie bei Telnet oder FTP.
Bei aktuellen Windows-Versionen ist das anders. Sie verwenden ein NTLM-
verschlüsseltes Format. Das lässt sich zwar in der Windows-Registry abschalten,
doch das hilft bei vielen Clients natürlich auch nicht weiter.
Um nun allen Benutzern den Zugriff zu gewähren, müssen Sie zunächst in den
Passwort-Einstellungen, die zuvor beschreiben wurden, sicherstellen, dass die
Option Verschlüsselte Passwörter verwenden? auf Ja gesetzt ist.
Damit ist die Passwortliste von Samba aktiviert. Nun können Sie die bestehenden
Linux-Benutzer zu Samba-Benutzern machen. Dazu folgen Sie dem Verweis Unix-
Benutzer zu Samba-Benutzer konvertieren.

Mit minimalem Aufwand sind Ihre Linux-Benutzer auch Samba-Benutzer.

Das Formular Benutzer konvertieren erlaubt Ihnen, mit minimalem Aufwand Unix-
und Samba-Benutzer zu synchronisieren. Haben Sie Samba so konfiguriert, dass

Webmin kompakt
338 Samba-Administration

der Server verschlüsselte Passwörter verwendet, verwaltet das System seine Benut-
zer getrennt vom Betriebssystem – das ist zuvor bereits angeklungen. Sie können
die Liste der Benutzer, die nicht konvertiert werden sollen, explizit in dem Konver-
tierungsformular bestimmen. Geben Sie dazu den Benutzernamen, die UIDs
und/oder den Gruppennamen mit einem vorgestellten @ in das erste Eingabefeld
ein. Sie können auch einen UID-Bereiche verwenden, beispielsweise 500-1000
oder 500-.
Das Formular bietet Ihnen vier weitere Funktionen für die Konvertierung an:
· Vorhandene Samba Benutzer aus Unix Benutzern aktualisieren: Die-
se Option sorgt dafür, dass bestehende Samba-Benutzer aus Systembenut-
zern aktualisiert werden. Diese Option ist standardmäßig aktiviert.
· Neue Samba Benutzer aus Systembenutzern erstellen: Diese Option
sorgt dafür, dass neue Samba-User aus dem Linux-Benutzereinträgen er-
stellt werden.
· Samba Benutzer löschen, die keine Unix Benutzer sind: Löscht Samba-
User, die dem System unbekannt sind. Das ist in der Regel nicht gewollt,
denn häufig führt man bei getrennten Benutzerlisten auch unterschiedliche
User ein.
· Passwort für neu erstellte Benutzer: Hier legen Sie fest, ob neue Benut-
zer kein Passwort besitzen, ob sie gesperrt werden oder ob sie ein festes
Passwort verwenden müssen.

Mit einem Klick auf die Schaltfläche Benutzer konvertieren leiten Sie die Konver-
tierung ein. Webmin gibt Ihnen im Folgedialog die konvertierten Einträge an.

Die Einstellungen für die Benutzer-Synchronisation.


www.brain-media.de
Samba-Benutzer 339

26.5.1 Benutzer- und Gruppen-Synchronisation


Das Webmin-Modul stellt Ihnen verschiedene Funktionen zur Verfügung, mit
denen Sie Benutzer und Gruppen zwischen Ihrem Linux-System und Samba syn-
chronisieren können. Dazu verwenden Sie die beiden folgenden Funktionen:
· Automatische Unix- und Samba-Benutzer-Synchronisation konfigurieren
· Konfiguriere automatische Synchronisation (Unix- zu Samba-Gruppe)

Werfen wir zunächst einen Blick auf die Funktion für den Benutzerabgleich. Mit
dieser können Sie Webmin so konfigurieren, dass Änderungen von Systembenut-
zern automatisch auf Samba-Benutzer angewendet werden. Das funktioniert jedoch
nur, wenn Sie das Webmin-Modul Benutzer und Gruppen verwenden, um Unix-
Benutzer zu erstellen, zu ändern oder zu löschen.
Standardmäßig sind die folgenden selbsterklärenden Optionen aktiviert:
· Erstelle einen Samba-Benutzer, wenn ein Unix-Benutzer erstellt wird.
· Modifiziere einen Samba-Benutzer, wenn der entsprechende Unix-
Benutzer modifiziert wird.
· Lösche einen Samba-Benutzer, wenn der entsprechende Unix Benutzer
gelöscht wird.

Außerdem können Roaming-Profile gelöscht bzw. umbenannt werden, wenn Sie


Linux-Benutzer löschen bzw. umbenennen.
Sehr ähnlich sind die Funktionen der Gruppensynchronisation, mit der Sie dafür
sorgen, dass Änderungen an der Unix-Gruppenliste auch an die Samba-
Gruppenliste weitergereicht werden. Auch hier gilt: Das klappt nur dann zuverläs-
sig, wenn Sie ausschließlich das Webmin-Benutzer- und Gruppen-Modul verwen-
den.
Sie können folgende Optionen verwenden:
· Wird eine Samba-Gruppe erzeugt, so kann auch eine Unix-Gruppe er-
zeugt werden Dabei können Sie die Art der neuen Gruppe (lokale Gruppe,
Domaingruppe, NT-Builtin oder unbekannt) und die Rechte für neue
Gruppen (allerdings nur für lokale Gruppen) definieren.
· Sie können dafür sorgen, dass sich die Samba-Gruppe ändert, wenn die
Unix-Gruppe modifiziert wird.

Webmin kompakt
340 Samba-Administration

· Der Abgleich kann dafür sorgen, dass eine Samba-Gruppe gelöscht wird,
wenn Sie eine Unix-Gruppe entfernen.

Die Konfiguration der Gruppen-Synchronisation.

26.5.2 Benutzer und Gruppen verwalten


Das weitere Verwalten von Benutzern und Gruppen gestaltet sich ebenfalls recht
einfach. Folgen Sie dazu entweder dem Link Hinzufügen und Bearbeiten von Sam-
ba-Gruppen oder dem Link Samba-Benutzer und Passwörter bearbeiten.
Nachdem Sie die ersten Benutzer konvertiert und damit für Samba nutzbar ge-
macht haben, wollen Sie möglicherweise deren Passwort ändern. Das Anpassen
von Benutzerpasswörtern geht nur von Benutzer zu Benutzer. Wechseln Sie dazu
in die Benutzerverwaltung und klicken Sie den gewünschten Benutzereintrag an.
Geben Sie in das Passwort-Feld die gewünschte Zeichenkombination ein. Sie kön-
nen dem Benutzer außerdem über Keinen Zugriff den Zugriff auf den Samba-
Server verwehren.

www.brain-media.de
Samba-Benutzer 341

Die Gruppenverwaltung von Samba.

Das Bearbeiten von Gruppeneinstellungen verläuft ähnlich. In der Gruppenverwal-


tung werden alle bestehenden Gruppen samt Art und SID aufgeführt. Um einen
Eintrag zu bearbeiten, folgen Sie dem Gruppennamenlink.
Das zugehörige Formular erlaubt das Bearbeiten der Gruppenart, der Unix-Gruppe
und der Beschreibung. Über die Schaltfläche Löschen können Sie die Gruppe aus
der Liste entfernen.
Das Erstellen einer neuen Samba-Gruppe ist ebenfalls einfach: Folgen Sie in der
Gruppenliste dem Link Eine neue Samba-Gruppe hinzufügen. Im Formular Sam-
bagruppen-Details bestimmen Sie folgende Eigenschaften:
· Gruppenname
· Gruppenart
· Unixgruppe
· Beschreibung
· Rechte

Webmin kompakt
342 Samba-Administration

Die Gruppenverwaltung von Samba.

Eine letzte Funktion hat der Bereich Samba-Benutzer zu bieten: Binde an Domain.
Mit dieser Funktion sorgen Sie für die Anbindung Ihres Samba-Servers an eine
Windows-Domain. Zur Anbindung ist die Angabe des Benutzernamens, des Pass-
worts und die Angabe zur Domain notwendig. Die Domain-Angabe kann in der
Samba-Konfiguration oder manuell hinterlegt werden. Die Anbindung erfolgt mit
dem Kommando /usr/bin/net join -U benutzername. Gelingt die Anbindung, gibt
der Folgedialog eine Erfolgsmeldung aus. Gelingt die Anbindung nicht, etwa weil
das Passwort falsch ist, werden ebenfalls entsprechende Details ausgegeben, die
Ihnen helfen, die korrekte Einstellung zu finden.

26.6 Konfiguration des Samba-Moduls


Das Samba-Modul geht davon aus, dass Sie Samba ordnungsgemäß installiert
haben. In der Regel erkennt das Samba-Modul eine bestehende Installation korrekt
und kann diese problemlos nutzen. Wenn Sie allerdings eine benutzerdefinierte
Installation verwendet haben oder aus anderen Gründen Samba in ein Nicht-
Standardverzeichnis installiert haben, so stimmen die Pfade nicht mehr und Sie
müssen die Samba-Modulkonfiguration anpassen.

www.brain-media.de
Konfiguration des Samba-Moduls 343

Die Konfiguration des Samba-Moduls.

Die Modulkonfiguration präsentiert Ihnen zwei Bereiche: Konfigurierbare Optio-


nen und Systemkonfigurationen. Die beiden anpassbaren Einstellungen sind:
· Liste der Unix-Benutzer, die nicht zur Samba Passwort-Liste hinzu-
gefügt werden: In dem Konvertierungsdialog für Benutzer (siehe oben).
Die Standardvorgabenwerte für auszuschließende Benutzer entnimmt das
Modul der Samba-Konfigurationsdatei. Hier können Sie weitere Vorga-
ben definieren.
· Sortiere Benutzer und Gruppen nach Name? Wenn Sie diese Konfigu-
ration auf Ja setzen, werden die Benutzer- und Gruppennamen alphabe-
tisch sortiert. In der Standardkonfiguration Nein werden sie in der Reihen-
folge aufgeführt, in der sie hinzugefügt wurden.

Im Bereich Systemkonfiguration listet die Modulkonfiguration die Pfade zu fol-


genden wichtigen Dateien auf:
· Samba-Konfigurationsdatei
· Samba-Passwortdatei

Webmin kompakt
344 Samba-Administration

· Vollständiger Pfad zu smbstatus


· Vollständiger Pfad zu smbpasswd
· Vollständiger Pfad zu smbd
· Vollständiger Pfad zu nmbd
· Vollständiger Pfad zu SWAT
· Vollständiger Pfad zu smbgroupedit
· Vollständiger Pfad zu pdbedit
· Vollständiger Pfad zu net

Außerdem können Sie den Befehl zum Start des Samba-Servers eingeben. Soll er
bei jedem Systemstart hochgefahren werden, aktivieren Sie die Option Automa-
tisch. Auch den Befehl zum Stoppen des Samba-Servers können Sie einsehen bzw.
anpassen.

www.brain-media.de
345

27 SpamAssassin-Administration

Der Platzhirsch unter den Mailfiltern ist zweifelsohne SpamAssassin


(http://spamassassin.apache.org). Das Open-Source-Tool kommt millionenfach
zum Einsatz und hat sich in der Vergangenheit bestens bewährt. Der Filter ist für
Unix-basierte Systeme konzipiert. Zur Identifikation von Spam nutzt
SpamAssassin verschiedene Methoden. Mithilfe der Header-Analyse versucht der
Filter herauszufinden, ob der Sender eine Identität vortäuscht und ob eine Nach-
richt von einer gültigen Adresse stammt.
SpamAssassin führt außerdem Textanalysen durch, um die Nachrichteninhalte auf
typische Charakteristika von Werbemails zu untersuchen. Ergänzend dazu nutzt
SpamAssassin verschiedene Blacklists und greift auf die Spam-Tracking-
Datenbank Vipuls Razor zurück. Identifiziert SpamAssassin eine Nachricht als
Spam, so wird sie entsprechend gekennzeichnet.
Der in SpamAssassin integrierte Bayesscher-Filter berechnet auf Grundlage der
Einteilung der bisher empfangenen E-Mails die statistische Wahrscheinlichkeit, ob
es sich bei einer neuen Nachricht um eine erwünschte oder unerwünschte E-Mail
handelt.

Die Einstiegsseite des SpamAssassin-Moduls.

Webmin kompakt
346 SpamAssassin-Administration

Der Vorteil von SpamAssassin: Das Tool kommt mit geringem Konfigurations-
aufwand aus. Als Administrator ist man nicht gezwungen, das System laufend zu
aktualisieren oder mit Einzelheiten über Mailaccounts, Mailinglisten etc. zu füt-
tern. Das bewerkstelligt der Filter quasi von alleine. GUI-verwöhnte Administrato-
ren müssen sich allerdings weitgehend mit der textbasierten Konfiguration an-
freunden. Allerdings gibt es auch hier Abhilfe. Mit dem SpamAssassin Configura-
tion Generator (http://www.yrex.com/spam/spamconfig.php) und eben mit dem
SpamAssassin-Webmin-Modul (http://webmin.com/third.html) gibt es auch grafi-
sche Schnittstellen für den Filter.
Über die SpamAssassin-Übersichtsseite wird die Handhabung des Spam-Filters
fast zum Kinderspiel. Hier können Sie erlaubte und verbotene E-Mail-Adressen
bestimmen, Spam klassifizieren, E-Mail-Modifikationen vornehmen und vieles
mehr. Doch bevor Sie sich an die Konfiguration des Filters machen, müssen Sie
sich womöglich zuerst mit folgender Fehlermeldung herumschlagen:
SpamAssassin scheint nicht in der globalen Konfigurationsda-
tei /etc/procmailrc aufgenommen zu sein. Solange ein Benutzer
SpamAssassin nicht in seine persönliche Procmail-
Konfigurationsdatei aufnimmt, wird jede Konfigurationsände-
rung hier keinerlei Wirkung zeigen.

Da sich Procmail ebenfalls über Webmin konfigurieren lässt, ist das Problem
schnell behoben. Damit SpamAssassin und Procmail zusammenspielen, müssen
Sie die Datei procmailrc um folgende Zeilen erweitern:
:0fw
| /usr/local/bin/spamassassin

Die Anpassung der Procmail-Konfigurationsdatei. Nach dem Speichern


klappt das Zusammenspiel zwischen Filter und MDA (Mail Delivery Agent).

www.brain-media.de
347

Damit werden die Mails gefiltert und entsprechend den vom SpamAssassin defi-
nierten Regeln als Spam gekennzeichnet. Wollen Sie die als Spam deklarierten E-
Mails zusätzlich in einem speziellen E-Mail-Ordner sammeln, so fügen Sie unter
den obigen Zeilen nach einer Leerzeile folgende Anweisungen ein:
:0:
* ^X-Spam-Status: Yes
JUNK

Damit werden Spam-Mails im Ordner JUNK gesammelt.


Nach dem Speichern der angepassten Procmail-Einstellungen sollte die Fehlermel-
dung auf der SpamAssassin-Homepage verschwunden sein.

In diesem Formular bestimmen Sie, welches die erlaubten


und welches die verbotenen E-Mail-Adressen sind.

Webmin kompakt
348 SpamAssassin-Administration

27.1 Erlaubte und verbotene Adressen


Wenn Sie dem Link Erlaubte und verbotene Absender-E-Mail-Adressen folgen,
gelangen Sie zu einer umfangreichen Tabelle, die es Ihnen erlaubt, Absender- und
Empfänger-E-Mail-Adressen zu definieren, deren E-Mails immer oder niemals als
Spam erkannt werden sollen.
Jede andere E-Mail wird durch SpamAssassin geprüft. Bei der Eingabe von E-
Mail-Adressen können Sie auch Platzhalter wie *@absender.de oder auch
*.spammer.de verwenden, damit E-Mails ganzer Domains spezifisch behandelt
werden.
Das Formular stellt Ihnen sechs Felder für die Filterung zur Verfügung:
· Absender-E-Mail-Adressen, die niemals als Spam gelten sollen.
· Ausnahmen für Absender-E-Mail-Adressen, die niemals als Spam gelten
sollen.
· Absender-E-Mail-Adressen, die niemals als Spam gelten sollen, basierend
auf der Received-Domain. Hier geben Sie die Adresse und die Quell-
Domäne an.
· Absender-E-Mail-Adressen, die immer als Spam gelten sollen.
· Ausnahmen für Absender-E-Mail-Adressen, die immer als Spam gelten
sollen.
· To: oder Cc:-E-Mail-Adressen, an die wenig oder aller Spam ausgeliefert
werden soll.

Bei Textfeldern verwenden Sie für jede Adresse eine neue Zeile. Achten Sie au-
ßerdem auf die korrekte Eingabe Ihrer Adressen, denn das Formular führt keine
Verifizierung Ihrer Eingaben durch – auch nicht bei sinnvollen Zeichenfolgen.
Um Daten beispielsweise aus einem E-Mail-Client oder einem anderen Filtersys-
tem einfacher nutzen zu können, finden Sie am Fuße des Formulars eine Import-
funktion, die den Import von E-Mail-Adressen aus einer Datei im CVS-Format
erlaubt. Bestimmen Sie einfach die Datei und klicken Sie anschließend auf Impor-
tiere jetzt.

www.brain-media.de
Spam-Klassifizierung 349

27.2 Spam-Klassifizierung
SpamAssassin führt eine Vielzahl von Tests mit den Mails durch und untersucht
die Nachrichten auf bekannte Kriterien. Hierbei werden auffällige Strukturen,
typische Wortkombinationen aber auch externe Datenbanken mit einbezogen.
Das Ergebnis der SpamAssassin-Prüfung ist eine Kennzahl. Diese kann positiv
oder negativ sein. Je höher sie ist, umso wahrscheinlicher handelt es sich bei dieser
Nachricht um Werbemüll.
Typische Werte liegen zwischen -10,0 und 2,0 für reguläre E-Mails. Bei Nachrich-
ten mit einer Wertung von über 5,0 handelt es sich meist um Spam.

Hier passen Sie die Klassifikation von Spam an.

Im Klassifizierungsformular können Sie beispielsweise den Standardwert 5 nach


oben bzw. unten anpassen, ab dem Mails als Spam behandelt werden. Entspre-
chende Anpassungen sind für den Whitelist-Faktor und weitere Einstellungen mög-
lich. In der Regel müssen Sie an diesen Vorgaben keine Anpassungen vornehmen,
denn sie sind so gesetzt, dass sie typischen Anforderungen genügen.
Nützlich sind sicherlich die beiden letzten Auswahlmenüs der Seite, über die Sie
die Sprachen und Zeichensätze bestimmen können, die nicht als Spam identifiziert
werden.

Webmin kompakt
350 SpamAssassin-Administration

27.3 E-Mail-Modifikationen
Zuvor wurde erwähnt, dass SpamAssassin verschiedene Modifikationen an E-
Mails vornehmen kann, beispielsweise die Erweiterung des Headers. Auf diesem
Formular bestimmen Sie, welche Änderungen SpamAssassin an E-Mail-Headern
und Testkörpern aller E-Mails vornimmt. Sie bestimmen auch die Änderungen, die
der Filter vornimmt, damit eine E-Mail als Spam klassifiziert werden kann.

Die Konfiguration der E-Mail-Modifikation.

In den Standardeinstellungen erweitert SpamAssassin als Werbemüll erkannte E-


Mails um den Zusatz Junk bzw. Spam. Auch hier gilt: Änderungen sind meist nicht
erforderlich.
Über das Feld Additional headers to add können Sie beispielsweise Spam-Mails
um ein Spam-Header-Feld erweitern und einen beliebigen Text einfügen.
Das Formular zur E-Mail-Modifikation erlaubt außerdem das Anhängen eines
Berichts, falls eine Nachricht den Schwellenwert überschritten hat. Verwenden Sie
dazu das Eingabefeld im unteren Formularbereich.

27.4 Verschiedene Benutzeroptionen


Wenn Sie dem Link Verschiedene Benutzeroptionen folgen, gelangen Sie zu den
Einstellungen der externen Spam-Identifizierungstools/-dienste Razor, DCC und
www.brain-media.de
Verschiedene Benutzeroptionen 351

Pyzor, auf die der Filter bei seiner Analyse zurückgreift. Sie können außerdem
mitteilen, ob er DNS-Lookups machen soll oder nicht.

Die Benutzeroptionen dienen in erster Linie


der Integration von Drittwerkzeugen.

Zunächst können Sie bestimmen, ob SpamAssassin DNS-Lookups durchführen


darf. In der Regel ist das nicht zwingend erforderlich, auch weil es den Filter ver-
langsamt.

27.4.1 Razor
Dann bestimmen Sie die Zeitspanne (in Sekunden), die Razor
(http://razor.sourceforge.net) auf Ergebnisse der Spam-Analyse warten soll. Zu

Webmin kompakt
352 SpamAssassin-Administration

Razor vielleicht einige Hintergrundinformationen. Razor heißt korrekt eigentlich


Vipuls Razor. Dabei handelt es sich um ein Prüfsummen-basiertes, verteiltes E-
Mail-Spam-Erkennungs- und -Filter-Netzwerk.
Razor basiert auf einem verteilten Spam-Katalog, der durch Rückmeldungen der
Benutzer kontinuierlich aktualisiert wird. Die Erkennung erfolgt über statistische
und zufällige Signaturen. Die Benutzerrückmeldungen werden anhand eines rück-
gekoppelten Bewertungssystems gewichtet: Benutzer erhalten eine Reputation, die
die Zuverlässigkeit ihrer Rückmeldungen bewertet. Die Reputation wird anhand
von (übereinstimmenden) Rückmeldungen angepasst. Razor kann auch von E-
Mail-Clients verwendet werden, wird aber insbesondere von SpamAssassin ge-
nutzt.
Der Standardwert von 10 Sekunden für das Warten auf Razor ist in der Regel pra-
xistauglich.

27.4.2 DCC-Einstellungen
Es folgen verschiedene DCC-Einstellungen. Bei DCC (Distributed Checksum
Clearinghouse) handelt es sich nicht um ein Verfahren, das nicht nur Spam, son-
dern allgemein massenhaft versandte E-Mails erkennt. In einem DCC-Verbund
ermittelt die Anti-Spam-Software zu jeder eingehenden E-Mail eine spezielle Prüf-
summe und sendet diese an einen Server (Clearinghouse). Dieser antwortet mit der
Angabe, wie oft diese Mail-Prüfsumme bereits registriert wurde und erhöht gleich-
zeitig den entsprechenden Zähler. DCC-Server tauschen wiederum untereinander
entsprechend den Vorgaben ihrer Betreiber Daten über Bulk-Mails aus.
Der anfragende DCC-Client (in unserem Fall SpamAssassin) erhält als Antwort
ein verlässliches Maß für die Zahl der teilnehmenden Mail-Server, bei denen die-
selbe Nachricht eingegangen ist. Eine E-Mail mit einem hohen bulk count ist ent-
weder Spam oder eine Nachricht aus einer populären Mailing-Liste. Für Mailing-
listen-Beiträge gibt es eine Freigabeliste (White List), um ihre Nachrichten zu
identifizieren. Für weitere Informationen zu DCC sei auf die Website von Rhyolite
Software (http://www.rhyolite.com/anti-spam/dcc/) verwiesen.
Im Rahmen eines Webmin-Beitrags können die DCC-spezifischen Einstellungen
nicht ausreichend behandelt werden. Behalten Sie daher die Standardeinstellungen
bei bzw. prüfen Sie anhand der DCC-Dokumentation, ob andere Einstellungen
mehr Schutz versprechen.

www.brain-media.de
Zusätzliche Tests einführen 353

27.4.3 Pyzor
Die Einstellungen für Pyzor sind denen von DCC sehr ähnlich. Auch hier können
Sie den Pfad, die Prüfsummenzahl und die Dauer, die das System auf Ergebnisse
wartet, anpassen.

27.5 Zusätzliche Tests einführen


Eine Besonderheit der SpamAssassin-Funktion ist sicherlich, dass Sie selbst eigene
Tests einführen können. Dazu folgen Sie dem Verweis E-Mail-Header- und Text-
körpertests. Diese Tests können auf Inhalte des E-Mail-Headers, des Textkörpers,
der URLs, die im Textkörper gefunden werden, angewendet werden oder vorhan-
dene Tests kombinieren.

Sie wollen eigene Tests einführen oder bestehende gezielt kombinieren?


Kein Problem mit der Header- und Textkörpertestfunktion.

Die Testfunktion bietet Ihnen einen einfachen und einen erweiterten Modus. Stan-
dardmäßig wird Ihnen der einfache Testmodus präsentiert, der die Einführung von
drei Tests vorsieht. Um in den erweiterten Modus zu schalten, klicken Sie auf
Switch to advanced mode.

Webmin kompakt
354 SpamAssassin-Administration

Im Eingabefeld Testname sollten Sie eine aussagekräftige Bezeichnung hinterle-


gen. Um einen E-Mail-Header-Test einzuführen, geben Sie nach der Testbezeich-
nung den Header an und wählen aus dem Prüfe-ob-Auswahlmenü eine der vier
folgenden Operatoren aus:
· ist ähnlich
· ist nicht ähnlich
· Existiert
· Auswerten

Im Feld Regulärer Ausdruck können Sie einen solchen verwenden. Auch die Vor-
gabe eines Standardwerts ist möglich. Die Handhabung der weiteren Tests ist ähn-
lich. Klicken Sie auf Speichern, um Ihren Test zu sichern.

Verschiedene privilegierte Optionen.

27.6 Weitere Optionen


Schließlich können Sie über das Formular Verschiedene privilegierte Optionen
einige globale Systemanpassungen vornehmen, beispielsweise den Pfad zur
Whitelist, den zur Timing-Logdatei und den zur Razor-Konfigurationsdatei. Meist
sind auch hier keine Änderungen erforderlich.

www.brain-media.de
Modulkonfiguration 355

27.7 Modulkonfiguration
Auch für das SpamAssassin-Modul steht Ihnen eine Modulkonfiguration zur Ver-
fügung. Die Konfigurationseinstellungen wie den Pfad zur SpamAssassin-
Konfigurationsdatei, dem Pfad zum Filter, den zur Procmail-Konfigurationsdatei
bezieht das Modul aus der Systemeinstellung.

Die Einstellungen der SpamAssassin-Modulkonfiguration.

Webmin kompakt
356 SpamAssassin-Administration

www.brain-media.de
357

28 Administration des Squid-Proxy-Servers

Der am häufigsten eingesetzte Proxy-Server der Linux-Gemeinde ist zweifelsohne


Squid (http://www.squid.org). Der Server ist für seine gute Skalierbarkeit bekannt.
Squid unterstützt die Netzwerkprotokolle HTTP/HTTPS, FTP über HTTP und
Gopher. Er eignet sich sowohl für sehr kleine Netze mit 5 bis 50 Benutzer, als auch
für sehr große Proxy-Server-Verbände mit mehreren hunderttausend Benutzern.

Die Übersichtsseite des Squid-Proxy-Servers.

Squid hat sich ebenfalls als transparenter Proxy bei ISPs bewährt. In dieser Funkti-
on werden alle Anfragen von Kunden über den Proxy geleitet, was zur spürbaren

Webmin kompakt
358 Administration des Squid-Proxy-Servers

Beschleunigung der Datenübertragung sowie zur Reduktion von Bandbreite des


Providers führt.
In der Praxis wird Squid häufig auch als Reverse-Proxy-Server zum Schutz und zur
Beschleunigung von Webservern eingesetzt. Seit Version 2.6 läuft Squid auch als
HTTPS-Proxy. Damit wird die SSL-Verschlüsselung vom Webserver auf den
Proxy verlagert.
Mithilfe einer zusätzlichen Redirector-Software kann Squid auch Filterfunktionen
übernehmen. So können dann bestimmte Seiten oder Seiteninhalte ausgeblendet
und Ersatzseiten oder Ersatzgrafiken angezeigt werden. Ein typischer Einsatzbe-
reich hierfür ist das Filtern von Werbeinhalten oder aber zur Zensur. Für die
Redirector-Funktionalität wird das SquidGuard verwendet, das mit Squid ausgelie-
fert wird.
Die weiteren Vorzüge von Proxy-Servern sind hinlänglich bekannt. Sie eignen sich
hervorragend, um mehr oder minder große lokale Netzwerke an das Internet anzu-
binden. Dabei werden die lokalen Clients quasi hinter dem Proxy-Server versteckt.
Auch der Squid-Proxy präsentiert Ihnen beim ersten Zugriff ebenfalls eine Fehler-
meldung:
Ihr Squid-Cache-Verzeichnis /var/cache/squid wurde noch nicht
initialisiert. Dies muss erledigt werden, bevor Squid gestar-
tet werden kann.

Das Problem ist schnell gelöst: Unterhalb der Fehlermeldung finden Sie den But-
ton Initialisiere Cache. Bestimmen Sie außerdem den Benutzer, in der Regel heißt
er squid. Nach der erfolgreichen Initialisierung sollte die Fehlermeldung ver-
schwunden sein und Sie können über die Schaltfläche Start Squid den Server hoch-
fahren.
Wie Sie obiger Abbildung entnehmen können, verfügt das Squid-Modul über vier-
zehn Moduld, über die Sie das Verhalten des Proxy-Servers steuern. Außerdem
finden Sie am Fuße des Proxy-Servers die Schaltfläche zum Starten des Servers. Ist
er bereits gestartet, können Sie ihn auch anhalten oder Änderungen mit einem
Klick auf Apply Configuration wirksam machen (ein Neustart ist also nicht erfor-
derlich).

28.1 Anschlüsse und Netzwerk


Standardmäßig hört Squid auf den Port 3128/TCP. Da dies nicht unbedingt der
gängigste Port ist, sollten Sie auf dem Formular Anschlüsse und Netzwerk eventuell

www.brain-media.de
Anschlüsse und Netzwerk 359

die Port-Einstellungen (und weitere) anpassen. Gängige Ports für einen Proxy-
Server sind beispielsweise 80 oder 8080. Um die Einstellungen zu ändern, geben
Sie einfach in das Eingabefeld Proxy-Adressen und -Anschlüsse den gewünschten
Wert ein. Passen Sie auch den SSL-Port an.
Eine weitere wichtige Einstellung: Unter Host-Name/ IP-Adresse sollten Sie gege-
benenfalls die Option All in eine Spezifische ändern. Bei All nimmt Ihr System auf
allen verfügbaren Schnittstellen Verbindungen entgegen. Entsprechend sollten Sie
den SSL-Port anpassen.

Das Formular Anschlüsse und Netzwerk.

Squid nutzt beispielsweise das ICP-Protokoll, um mit anderen Proxy-Servern in


einem Cluster zu kommunizieren. Passen Sie auch hier gegebenenfalls den An-
schluss an.
Da Squid auch alle eingehenden UDP-Anfragen auf jedem beliebigen Interface
annimmt, sollten Sie prüfen, ob eine Beschränkung auf eine bestimmte Schnittstel-
le sinnvoll ist.
Mit einem Klick auf Speichern übernehmen Sie die Änderungen. Damit Sie wirk-
sam werden, müssen Sie die oben erwähnte Apply-Configuration-Schaltfläche
betätigen.

Webmin kompakt
360 Administration des Squid-Proxy-Servers

28.2 Andere Caches


Eine der wichtigsten Funktionen eines Proxy-Servers ist das Zwischenspeichern
von Inhalten, um diese für die angeschlossenen Clients verfügbar zu machen. Das
schont bekanntlich die Bandbreiten und sorgt in der Regel für eine deutlich höhere
Performance aufseiten des Clients.
Squid verwendet standardmäßig ein Cache-Verzeichnis (z. B. /var/squid/cache), in
dem die Daten zwischengespeichert werden. Wenn Ihr System über ausreichend
Ressourcen und mehrere Festplatten verfügt, macht es Sinn, weitere Caches zu
erstellen. Das führt meist ebenfalls zu einem spürbaren Performancegewinn.
Um einen neuen Cache hinzuzufügen, folgen Sie dem Verweis Andere Caches.
Auf dem zugehörigen Dialog präsentiert Ihnen das Modul einige grundlegende
Cache-Einstellungen, die für die neuen Caches gelten. Um einen neuen Cache
hinzuzufügen, klicken Sie auf Einen anderen Cache hinzufügen.

Das Hinzufügen eines neuen Caches.

www.brain-media.de
Speichernutzung 361

Geben Sie auf dem Formular Cache-Host erstellen zumindest die IP-Adresse bzw.
den Hostnamen und den Port an. Außerdem sollten Sie bestimmen, um welchen
Cache-Typ es sich handelt. Sie haben die Wahl zwischen folgenden Typen:
· übergeordneter
· untergeordneter
· multicast

Zwingend erforderlich ist außerdem die Angabe des ICP-Anschlusses, damit eine
Kommunikation zwischen den Proxys möglich ist.
Mit der Typauswahl können Sie eine hierarchische Cache-Struktur aufbauen. Ist
für den Zugriff auf den Proxy eine Anmeldung erforderlich, so bestimmen Sie den
Benutzer und das Kennwort. Für die allgemeinen Cache-Einstellungen verwenden
Sie den gleichnamigen Link auf der Squid-Übersicht.

28.3 Speichernutzung
Abhängig vom jeweiligen Einsatzbereich benötigt Ihr Proxy-Server mehr oder
minder weitreichende Arbeits- und Festplattenspeicherkapazitäten. Es versteht sich
von selbst, dass bei kleinen Netzwerken deutlich weniger Ressourcen benötigt
werden, als beim Einsatz bei einem Internet Provider. Um den Server optimal an
die jeweiligen Erfordernisse anpassen zu können, stellt Ihnen das Squid-Modul die
Speichernutzungsfunktionen zur Verfügung.

Die Einstellungen für die Speichernutzung.

Webmin kompakt
362 Administration des Squid-Proxy-Servers

Die Einstellungen im Einzelnen:


· Speichernutzungsgrenzwert: Das Limit für die Speicherbelegung ist
standardmäßig 8 MB. Dieser Wert begrenzt nicht die maximale Prozess-
größe. Sie bestimmen hiermit den verfügbaren Speicher für folgende Ob-
jekte:
o In-Transit-Objekte (Objekte, die gerade zwischen dem Proxy und
einem Client übermittelt werden)
o Hot Objects (die am häufigsten genutzten Seiten werden im Ar-
beitsspeicher gehalten)
o Negative-Cached-Objekte (fehlgeschlagene Anfragen werden für
eine bestimmte Zeit gecacht)
Die Daten werden in Objekten zu je 4 KB-Blöcken gespeichert. Dieser
Wert hat sich in der Vergangenheit als optimal erwiesen. Prinzipiell besit-
zen In-Transit-Objekte die höchste Priorität. Wird zusätzlicher Speicher
benötigt, wird der Speicher für negative gechachte und Hot-Objekte frei-
gegeben.
· FQDN-Cache-Größe. Der Standardwert ist 1024. Hier bestimmen Sie die
maximale Anzahl an Fully-Qualified-Domain-Name-Cache-Einträgen.
· Oberer Schwellenwert für Festplatte: Hiermit bestimmen Sie die obe-
ren Schwellenwerte für die Speicherbelegung. Der Standardwert ist 95
Prozent. Wird er erreicht, wird Platz geschaffen durch das Entfernen von
Objekten mit einer niedrigeren Priorität.
· Unterer Schwellenwert für Festplatte: Hier bestimmen Sie den unteren
Schwellenwert.
· Maximale Größe zwischengespeicherter Objekte: Bestimmt die maxi-
mal zulässige Größe von Cache-Objekten. Sie beträgt standardmäßig
4096 KB. Objekte, die diese Größe überschreiten, werden nie zwischen-
gespeichert.
· IP-Adressen-Cache-Größe: Bestimmt die maximale Anzahl an gespei-
cherten IP-Adressen. Der Standard ist 1024.
· Oberer Schwellenwert für IP-Cache: Bestimmt den maximalen Wert an
IP-Cache-Einträgen. Der Standard ist auch hier 95 Prozent.
· Unterer Schwellenwert für IP-Cache: Bestimmt entsprechend den unte-
ren Wert. Standard: 90 Prozent.

www.brain-media.de
Protokollierung 363

· Disk bzw. Memory replacement policy: Hier bestimmen Sie, nach wel-
cher Policy die Festplatten bzw. Speicher bereinigt werden.

Die Konfiguration der Protokollfunktionen.

28.4 Protokollierung
Squid stellt Ihnen verschiedene Protokollierungsfunktionen zur Verfügung, die
Ihnen immer dann, wenn etwas nicht rund zu laufen scheint, wichtige Informatio-
nen für die Erkennung und Behebung eines Problems liefern.
Die Protokollierungsfunktion erlaubt Ihnen folgende Anpassungen:
· Zugriffskontrolldatei: Der Zugriff auf Squid wird mit System-ACL-
Funktionen realisiert. In der Regel finden Sie die zugehörige Protokollda-
tei im Verzeichnis /var. In ihr werden die Client-Request- und Aktionen
aufgezeichnet. Dabei wird für jeden HTTP- und ICP-Request ein Eintrag
erzeugt.
· Debug-Protokolldatei: Auch diese Einstellung ist systemabhängig. Hier
finden Sie allgemeine Informationen über das Cache-Verhalten.

Webmin kompakt
364 Administration des Squid-Proxy-Servers

· Speicherprotokolldatei: Auch hier ist der Speicherort systemabhängig.


In ihr werden die Aktionen des Speichermanagers aufgezeichnet. Dort
finden Sie beispielsweise Informationen darüber, welche Objekte und wie
lange sie gespeichert wurden.
· Cache-Metadata-Datei: Der Standard ist swap.log in jedem Cache-
Verzeichnis. Sie speichert Metadateien der Objekte, die von dem Proxy
zwischengespeichert werden.
· Benutze HTTPD-Protokollformat: Standardmäßig wird dieses Format
nicht verwendet, das von httpd-Programmen genutzt werden könnte.
Vielmehr verwendet Squid ein natives Log-Format, das von den meisten
Logfile-Analyzern unterstützt wird.
· MIME Header protokollieren: Standardmäßig wird der MIME-Header
der HTTP-Transaktionen nicht protokolliert.
· Benutzeragentprotokolldatei: Diese Option ist standardmäßig deakti-
viert. Wenn Sie den Schalter aktivieren, erfolgt die Speicherung des
HTTP-Headers User-Agent von Client-Anfragen in einer eigenen Proto-
kolldatei (useragent.log).
· PID-Datei: Auch diese Einstellung ist systemabhängig. In die Datei wird
die Prozess-ID geschrieben.
· Führe RFC931-Ident-Lookups für ACLs aus: Hier können Sie ver-
schiedene Kriterien für die Suche des Benutzers im ACL-System definie-
ren.
· RFC931-Ident-Timeout: Bestimmt die maximale Wartezeit auf eine
Antwort auf einen IDENT-Request. Der Standard ist 30 Sekunden.
· Vollen Hostnamen protokollieren: Standardmäßig wird auch der Host-
name nicht protokolliert.
· Protokollierung der Netzmaske: Hier bestimmen Sie, ob auch die
Netzmaske protokolliert werden soll.
· Debug-Einstellungen: Mit dieser Option bestimmen Sie den Umfang der
Protokollierung. Dieser lässt sich über den Konfigurationsparameter
debug_options selektiv für die einzelnen Squid-Programmkomponenten
einstellen. Bei Problemen in einzelnen Programmkomponenten (z. B.
Authentisierung) lässt sich der Debug-Level dieser Komponente erhöhen
und durch die Auswertung der Protokolldatei cache.log lässt sich das
Problem eingrenzen. Die Standardkonfiguration ist ALL,1.

www.brain-media.de
Cache-Einstellungen 365

Die Protokolloptionen werden nach dem Muster Abschnitt, Level definiert.


Das Schlüsselwort ALL bestimmt beispielsweise das Debugging für alle
Abschnitte.
· MIME-Header-Tabelle: Hier können Sie den Pfad zur MIME-Tabelle
von Squid anpassen. In der Regel ist hier keine Änderung erforderlich.

28.5 Cache-Einstellungen
Sehr umfangreich fallen die Cache-Einstellungen aus, die sich hinter dem gleich-
namigen Verweis finden. Sie können diese Einstellungen beispielsweise nutzen,
um zu verhindern, dass Squid mächtige Dateien zwischenspeichert und um ver-
schiedene Timeout-Werte zu optimieren.

Ein Blick auf die umfangreichen Cache-Einstellungen.

Webmin kompakt
366 Administration des Squid-Proxy-Servers

Zunächst bestimmen Sie den Pfad zu Ihrem Cache-Verzeichnis. Dieser ist stan-
dardmäßig /var/cache/squid/. Sie können es aber natürlich auch in jedes beliebige
andere Verzeichnis bzw. Laufwerk legen. Neben dem Typ können Sie auch die
Größe anpassen. Standardmäßig ist das Cache-Verzeichnis 100 MB groß.
Mit den beiden Einstellungen Verz. der ersten Ebene und Verz. der zweiten Ebene
bestimmen Sie die Anzahl der Unterverzeichnisse, die in dem Cache-Verzeichnis
erstellt und in die zwischenzuspeichernden Daten abgelegt werden. Der Standard-
wert für die erste Ebene ist 16, der für die zweite 256.
Schauen wir uns weitere wichtige Einstellungen an. Es folgt die Definition der
durchschnittlichen Objektgröße. Sie beträgt standardmäßig 13 KB – ein Wert, der
sich in der Vergangenheit bewährt hat. Rechts daneben finden Sie die Anpas-
sungsmöglichkeit für die Anpassung der Objekte pro Verzeichnis. Der Standard-
wert ist hier 50. Wenn Sie die Cache-Größe nach oben hin anpassen, kann es sinn-
voll sein, auch diesen Wert zu erhöhen.
Die weiteren Cache-Einstellungen sind für den „normalen“ Betrieb optimiert und
müssen daher kaum verändert werden. Wenn Sie wissen wollen, welche Änderun-
gen gegebenenfalls Sinn machen, sollten Sie spezielle Squid-Literatur zurate zie-
hen.

Die Einbindung von Hilfsprogrammen.

www.brain-media.de
Hilfsprogramme 367

28.6 Hilfsprogramme
Wenn Sie dem Verweis Hilfsprogramme folgen, landen Sie auf einem einfachen
Formular, das die Einbindung von verschiedenen Drittprogrammen erlaubt. Inte-
ressant ist hier sicherlich die Möglichkeit, das DNS-Hilfsprogramm anzupassen.
Standardmäßig ist es dnsserver. Sie können auch ein alternatives Programm für das
Leeren des Caches (anstelle von inlinkd) einbinden. Standardmäßig werden außer-
dem maximal fünf Redirect-Programme verwendet.

28.7 Zugriffskontrolle
Für die meisten Anwender sind die Zugriffskontrollfunktionen meist weit interes-
santer. Folgen Sie dazu dem gleichnamigen Link auf der Squid-Übersichtsseite.
Dies ist die vielleicht mächtigste Funktion, die Squid zu bieten hat.

Die mächstigste Zugriffskontrollfunktion des Squid-Moduls.

Webmin kompakt
368 Administration des Squid-Proxy-Servers

Mithilfe der Access-Controll-Funktion können Sie exakt steuern, wer welche Akti-
onen auf Ihrem System ausführen darf. Neben den Zugriffskontrolllisten finden Sie
auf obigem Formular noch die Möglichkeit, Proxy- und ICP-Beschränkungen
einzuführen.
Die häufigste Verwendung der ACL-Funktion: das Blocken von unerwünschten
Verbindungen, die von außerhalb des eigenen Netzwerks kommen. In der Regel
dient ein Proxy-Server auch als Schutz vor Attacken von außen.
Ein Problem stellt die Verwendung des CONNECT-Proxy-Requests dar, der für
den Verbindungsaufbau zu jedem Port verwendet werden kann. Meist wird die
ACL so konfiguriert, dass dieser Request lediglich an den Port 443 (den SSL-Port)
übergeben wird.
Was nun in der Praxis beim Einsatz einer ACL passiert, ist eigentlich recht einfach:
Empfängt der Proxy-Server einen Request, so prüft er, ob und falls ja, welche ACL
zu dem Request definiert wurde. Findet sich eine Regel, wie der Request zu be-
handeln ist, wird diese Regel angewendet. Dabei sind zwei Aktionen möglich:
Allow und Deny, also der Zugriff wird erlaubt oder verwehrt. Squid prüft auch
ICP-Requests, die von anderen Proxy-Servern stammen und kann auch für diese
spezielle Aktionen zulassen und verhindern.
In einer Standardinstallation kommt Squid bereits mit einem Satz an Standard-
ACL- und Proxy-Beschränkungen daher. Aus Sicherheitsgründen werden alle
Requests unterbunden. Um den Proxy-Server also nutzen zu können, müssen Sie
erst einige Anpassungen vornehmen, konkret müssen Sie eigene Regeln definieren,
die die gewünschten Aktionen bearbeiten.
Damit konkret bestimmte Clients den Proxy-Server nutzen können, gehen Sie wie
folgt vor:
1. Wählen Sie im Auswahlmenü Erstelle neue ACL den Eintrag Client-
Adresse und klicken Sie dann auf den Erstellen-Button.
2. Auf dem zugehörigen Formular weisen Sie der Regel eine Bezeich-
nung zu, beispielsweise MeineNetzwerkClients.
3. In den beiden folgenden Eingabefeldern bestimmen Sie den Adress-
bereich, für den die Regel gelten soll. Die Eingabe könnte beispiels-
weise 192.168.1.0 und 192.168.1.100 lauten. Geben Sie auch die
Netzwerkmaske an. In diesem Beispiel etwa 255.255.255.0.
4. In das Feld Fehler-URL geben Sie die Adresse ein, an die ein Client
übergeben wird, wenn ein Fehler auftritt.

www.brain-media.de
Zugriffskontrolle 369

5. Standardmäßig wird die neue Regel in der Squid-Konfigurationsdatei


gespeichert. Wenn Sie stattdessen eine andere Datei vorziehen, geben
Sie diese samt Pfad in dem Eingabefeld an.

Eine neue ACL entsteht.

6. Mit einem Klick auf Speichern übernehmen Sie die neue Regel. Nach
dem Speichern Ihres ersten ACL-Eintrags finden Sie diesen in der
ACL-Liste.
7. Da bislang lediglich eine ACL erstellt, ihr aber noch keine Aktion zu-
gewiesen ist, folgen Sie als Nächstes dem Verweis Füge Proxy-
Beschränkung hinzu.
8. Auf dem Formular Proxy-Regel erstellen wählen Sie zunächst die
Aktion Gestatten aus und markieren dann in dem Auswahlfeld Über-
einstimmende ACLs den oben erstellten Eintrag
MeineNetzwerkClients.
9. Klicken Sie dann auf Speichern. Nach dem Speichern landet die neue
Beschränkung in der Beschränkungstabelle. Die Reihenfolge der Ta-
belleneinträge bestimmt deren Priorität. Daher sollten Sie Ihren neuen
Eintrag über den Eintrag Deny All führen, denn alle auf diesen fol-
genden Einträge werden unterbunden.

Webmin kompakt
370 Administration des Squid-Proxy-Servers

10. Wichtig ist, dass Sie anschließend auf den Verweis Änderungen an-
wenden im Kopfbereich des Squid-Moduls klicken, damit Ihre neuen
Einstellungen auch greifen.

Die Auswahl des ACL-Typs.

Wir sind beim Erstellen des ersten ACL-Eintrags dem ACL-Typ begegnet. Wie Sie
voranstehender Abbildung entnehmen können, kennt Squid eine Vielzahl solcher
Typen. All diese Typen sind für unterschiedliche Aufgabenbereiche geeignet und
weisen im Folgeformular spezifische Felder auf. Nachstehende Tabelle fasst diese
wichtigsten Typen zusammen:
Typ Kurzinfo Felder
Anfragemethode Für diesen Typ werden die http- Das zugehörige For-
Kommandos GET, POST, HEAD, mular erlaubt die Akti-
CONNECT, PUT und DELETE vierung aller Kom-
herangezogen. mandos.
Browser-Regexp. Dieser Typ prüft den User-Agent- Erlaubt die Angabe
Header, der bei einem Request an von regulären Ausdrü-
den Proxy-Server übermittelt wird. cken, beispielsweise
Damit können Sie beispielsweise Mozilla/4.
gezielt bestimmte Browser vom
Zugriff ausschließen.

www.brain-media.de
Zugriffskontrolle 371

Typ Kurzinfo Felder


Client-Adresse Diesen Typ haben Sie zuvor ken- Die Verwendung die-
nengelernt. Er erlaubt es Ihnen, ses Typs wurde zuvor
einen IP-Adressbereich zu definie- beschrieben.
ren, der Zugriff auf den Server hat
– oder auch nicht.
Client-Hostname Führt einen Reverse-DNS-Lockup Liste mit Domains
der IP-Adresse des Clients durch. bzw. Hostnamen.
Der Einsatz dieses Typs ist sinn-
voll, um Clients Zugriff auf das
Netzwerk zu gewähren.
Client-Regexp Dieser Typ entspricht weitgehend In diesem Eingabefeld
dem Vorstehenden, allerdings mit können Sie Perl-
dem Unterschied, dass hier ein typische reguläre
regulärer Ausdruck für die Auswahl Ausdrücke verwen-
der Clients verwendet wird. den. Aktivieren Sie
außerdem die Option
Ignore case?, damit
bei den Abfragen nicht
zwischen Groß- und
Kleinschreibung un-
terschieden wird.
Datum und Uhr- Dieser Typ greift bei bestimmten In dem zugehörigen
zeit Daten bzw. Uhrzeiten. Der Einsatz Formular bestimmen
dieses Filters macht beispielsweise Sie die Tage und die
dann Sinn, wenn Sie den Zugriff Stunden, für die die
auf den Squid-Server auf bestimm- Regel gelten soll. Um
te Wochentage beschränken wol- mehrere Tage auszu-
len, beispielsweise von Montag bis wählen, halten Sie die
Freitag. Strg-Taste gedrückt.
Geben Sie außerdem
die Uhrzeit an, für die
die ACL gilt. Sie kön-
nen Stunden und
Minuten definieren.
Ethernet Address Diese ACL bezieht sich auf eine Geben Sie in das
oder auch mehrere MAC-Adressen. Textfeld die MAC-
Ihr Einsatz ist beispielsweise dann Adressen ein. Ein
sinnvoll, wenn sich zwischen dem Beispiel:
Client und Proxy-Server ein Router 08:00:20:ae:fd:7e.
befindet. Setzt voraus, dass Sie Verwenden Sie für
Squid mit der Option --enable-arp- jede Adresse eine
acl kompiliert haben. Zeile.

Webmin kompakt
372 Administration des Squid-Proxy-Servers

Das Erstellen einer Datums-/Zeit-ACL mit genauer


Beschränkung auf Tage und Uhrzeit.

Typ Kurzinfo Felder


External Auth Dieser ACL-Typ erlaubt die Ver- Geben Sie in das
Regexp wendung von regulären Ausdrü- Textfeld den regulären
cken für die Authentifizierung von Ausdruck ein. Aktivie-
Benutzern auf dem System. ren Sie am besten
auch hier die Option
Ignore case?
External Pro- Dieser Typ erlaubt Ihnen die Ein- Geben Sie das Pro-
gramm bindung eines externen Pro- gramm, seine Klasse
gramms. und eventuell weitere
Optionen an.
Externe Auth. Wenn Sie diesen Typ verwenden, Aktivieren Sie auf dem
müssen sich Clients gegen die zugehörigen Formular
Benutzerliste authentifizieren. All users, damit sich
alle Benutzer authenti-
fizieren müssen.

www.brain-media.de
Zugriffskontrolle 373

Typ Kurzinfo Felder


Max User IP Mit diesem Typ können Sie die Bestimmen Sie den
maximale Anzahl an IP-Adressen Wert.
pro Benutzer definieren.
Maximale Anzahl Erlaubt Ihnen die Konfiguration der Geben Sie den ge-
an Verbindungen maximalen Anzahl an gleichzeiti- wünschten Wert an.
gen Anfragen von Clients. Mit ei-
nem praktikablen Wert von 5 bis 10
beschränken Sie die Server-Last.
Proxy-Anschluss Mit dieser ACL können Sie den Geben Sie den ge-
Port angeben, auf den der Proxy- wünschten Port an.
Server horcht. Der Einsatz ist bei
Proxy-Servern sinnvoll, die mehre-
re Ports verwenden.
Proxy-IP- Dieser ACL-Typ erlaubt Ihnen die Geben Sie die IP-
Adresse Definition einer IP-Adresse, auf der Adresse und die
der Squid-Proxy-Server Verbin- Netzmaske an.
dungen akzeptiert.
Quelle ALS Dieser Typ ist fehlerhaft lokalisiert. In dem zugehörigen
Nummer Es müsste AS-Nummer lauten. Mit Formular bestimmen
solchen Nummern werden große Sie den AS-
Netzwerke identifiziert. Zwei Bei- Zahlenwert.
spiele: Web.de besitzt die Nummer
AS20796 und Freenet.de die
Nummer AS5430. In der Regel ist
dieser Typ nicht für Sie relevant.
RFC931 User Mit den in RPC931 definierten Geben Sie einen regu-
Regexp Funktionen ist die Identifikation lären Ausdruck für den
eines entfernten Benutzers beim Benutzer an.
Zugriff auf den Proxy-Server mög-
lich. Der Einsatz dieses ACL-Typs
ist sinnvoll, wenn Sie vertrauens-
würdigen Benutzern den Zugriff
erlauben wollen.
RFC931- Entsprechend voranstehendem Geben Sie die Benut-
Benutzer Typ, allerdings werden die Benut- zernamen an.
zernamen für die Authentifizierung
verwendet.
Reply MIME- Dieser Typ erlaubt die Verwendung Geben Sie den Typ
Type des Reply-MIME-Typs für die Au- an.
thentifizierung.

Webmin kompakt
374 Administration des Squid-Proxy-Servers

Typ Kurzinfo Felder


Request MIME Hier können Sie entsprechend den Geben Sie den ge-
Type MIME-Typ angeben, der in einem wünschten Typ an.
Client-Request verwendet wird.
SNMP Communi- Mit diesem ACL-Typ können Sie Geben Sie den Com-
ty SNMP-Agents beschränkten Zugriff munity-String an.
auf den Squid-Proxy-Server ge-
währen. Das macht Sinn, um die
Verfügbarkeit des Systems über-
wachen zu können.
URL-Anschluss Hier geben Sie den Port an. Dieser Geben Sie den bzw.
Typ ist sinnvoll einsetzbar, um die Ports an. Mehrere
Zugriffe auf nicht HTTP-Ports wie Einträge sind durch
23 oder 25 zu steuern. ein Leerzeichen zu
trennen.
URL-Pfad- Dieser ACL-Typ erlaubt die Steue- Geben Sie den regulä-
Regexp rung auf bestimmte Pfade mithilfe ren Ausdruck für den
von regulären Ausdrücken. Sinnvoll Pfad an.
einsetzbar ist das beispielsweise
zur Zugriffsbeschränkung auf dy-
namisch erzeugte Inhalte.
URL-Protokoll Mit diesem Typ können Sie die Bestimmen Sie das
Nutzung von bestimmten Protokol- bzw. die Protokolle.
len unterbinden. Sie können bei-
spielsweise den FTP-Zugriff ver-
wehren.
URL-Regexp Mittels regulärer Ausdrücke können Geben Sie die ge-
Sie den Zugriff auf bestimmte Pfa- wünschten Ausdrücke
de oder auch ganze Sites unterbin- in dem Eingabefeld
den. an.
Web-Server- Mit diesem ACL-Typ können Sie Geben Sie den regulä-
Regexp den Zugriff mithilfe von regulären ren Ausdruck an.
Ausdrücken verhindern.
Web-Server- Geben Sie hier den IP- Angabe des Adress-
Adresse Adressbereich ein, für den Sie bereichs.
beispielsweise den Zugriff verweh-
ren wollen.
Webserver-Host- Erlaubt die Angabe von Hostna- Geben Sie die Host-
Name men, auf die der Zugriff möglich namen bzw. Domains
bzw. verhindert wird. an.

www.brain-media.de
Administrative Einstellungen 375

28.8 Administrative Einstellungen


Die Squid-Konfiguration erlaubt Ihnen die Anpassung verschiedener administrati-
ver Einstellungen. Dazu folgen Sie dem gleichnamigen Link. Die Einstellungen
dieses Formulars sind weitgehend selbsterklärend. Hier legen Sie beispielsweise
fest, unter welcher Benutzerkennung Squid ausgeführt wird und welcher Gruppe er
angehört. Sie können außerdem die E-Mail-Adresse des Cache-Managers, den
Hostnamen und die Bekanntmachung (Squid versendet automatisch Broadcast-
Meldungen, um andere auf sich aufmerksam zu machen) anpassen.

Die administrativen Einstellungen des Proxy-Servers.

28.9 Authentifizierung
Wie wir gesehen haben, ist es mithilfe der ACL-Funktionen recht einfach, den
Zugriff auf den Server und die Nutzung bestimmter Dienste auf IP-Adressen zu
beschränken. Sie können aber auch die Authentifizierung von Clients gegenüber
dem Proxy-Server einführen. So können Sie auch Benutzern den Zugriff gewähren,
die nicht über eine feste, dann freizugebende IP-Adresse verfügen.
Dabei sind unterschiedliche Szenarien denkbar, beispielsweise, dass die Authenti-
fizierung über den Browser erfolgt und der Benutzer seine Kennung und sein
Passwort angibt.
Squid kann für die Authentifizierung auf externe Programme zurückgreifen, wie
sie beispielsweise von Webmin oder dem Betriebssystem bereitgestellt werden.

Webmin kompakt
376 Administration des Squid-Proxy-Servers

Die Einbindung externer Tools für die Authentifizierung gegenüber Squid.

Die Einstellungen für ein externes Authentifizierungsprogramm verbergen sich


hinter dem Verweis Authentication Programs. Das Formular bietet Ihnen die Au-
thentifizierung über Webmin oder über eine benutzerdefinierte Eingabe an. Wenn
Sie den Linux-Passwort-Mechanismus verwenden wollen, so geben Sie in das
Eingabefeld beispielsweise /usr/etc/passwd ein. Dann haben alle dort eingetrage-
nen Benutzer die Möglichkeit, sich Squid gegenüber zu authentifizieren. Wenn Sie
sich für den Webmin-Mechanismus entscheiden, greift Squid auf Ihre Webmin-
Benutzer zurück.
Ab Squid 2.5 ist außerdem die Nutzung von NTLM und Digest möglich. Bestim-
men Sie dazu die entsprechenden Tools.

28.10 Delay Pools


Mit den sogenannten Delay-Pools stellt Ihnen Squid eine effektive Funktion zur
Bandbreitenbegrenzung für bestimmte Clients oder URL-Teile zur Verfügung. Mit
dieser Funktion können Sie das System so konfigurieren, dass für alle relevanten
Aufgaben immer ausreichende Bandbreite verfügbar ist.
Squid kennt drei verschiedene Arten von Delay-Pools:

www.brain-media.de
Delay Pools 377

1. Bei einem Pool der Klasse 1 wird die Download-Rate aller Verbin-
dungen zusammengefasst und darf eine gewisse Bandbreite nicht
überschreiten. Mit dieser Konfiguration können Sie allen Nutzern ei-
nen maximalen Rahmen zuweisen.
2. Bei einem Pool der Klasse 2 kann zum einen wieder die gesamte
Bandbreite begrenzt werden und zum anderen die Bandbreite für ei-
nen mit einer ACL festgelegten Bereich oder Benutzer definiert wer-
den.
3. Bei einem Pool der Klasse 3 kann schließlich zusätzlich zu den bei-
den Pools 1 und 2 noch eine Begrenzung für ein gesamtes Subnetz
eingeführt werden.

In der Standardkonfiguration ist eine maximale Nutzung von 50 Prozent der ver-
fügbaren Bandbreite vorgesehen.

Das Erstellen eines ersten Delay-Pools.

Um einen erstes Pool zu erstellen, folgen Sie dem Link Add a new delay pool.
Bestimmen Sie die Pool-Klasse und definieren Sie die Begrenzungen. Mit einem
Klick auf Erstellen ist die erste Bandbreitenbeschränkung erzeugt.

Webmin kompakt
378 Administration des Squid-Proxy-Servers

28.11 Header-Zugriffskontrolle
Die Funktion des Verweises Header Access Control ist sehr einfacher Art. Hier
können Sie die HTTP-Header beschränken, die Squid von Clients an die Server
weitergibt.

28.12 Refresh-Regeln
Ähnlich simpel ist die Funktion Refresh-Regeln. Hier können Sie Regeln erstellen,
die die Standard-Refresh-Zeit auf Grundlage von regulären Ausdrücken über-
schreiben. Mit dieser Funktion können Sie beispielsweise die Cache-Zeit für be-
stimmte Websites oder Protokolle neu definieren – ohne dabei alle Squid-weiten
Einstellungen ändern zu müssen.

28.13 Verschiedene Einstellungen


Die Funktionen, die sich hinter dem Verweis Verschiedene Einstellungen verber-
gen, sind nichts für Einsteiger. Hier können routinierte Squid-Administratoren an
verschiedenen Schrauben drehen. Sie können beispielsweise den Pfad zu einer
Fehlermeldungstextdatei angeben oder verschiedene HTTP- und WCCP-
Einstellungen bearbeiten.

Die Port-Umleitung von Squid.

www.brain-media.de
Port-Umleitung 379

28.14 Port-Umleitung
Squid kommt häufig als transparenter Proxy zum Einsatz, der Requests von Port 80
verarbeitet. Für den Anwender ist die Verbindung über einen transparenten Proxy
nicht von einer direkten Verbindung über ein Gateway zu unterscheiden. Squid
kann so konfiguriert werden, dass es als transparenter Proxy zum Einsatz kommt,
aber im Zusammenspiel mit einer Firewall Requests an Port 3128 übergibt. Dazu
müssen Sie zunächst die Linux-Firewall aktivieren und dann im zweiten Schritt die
Port-Umleitung für die Clients aktivieren.

28.15 Cache-Manager-Statistik
Der Proxy-Server Squid kommt mit einem einfachen CGI-Programm cachemgr.cgi
daher, das Ihnen statistische Informationen zu Ihren Cache-Daten liefert. Um auf
die Daten zuzugreifen, folgen Sie auf der Squid-Index-Seite dem Verweis Cache-
Manager-Statistiken, wählen den Cache-Server aus (meist localhost) und loggen
sich ein. Bei einer neuen Installation können Sie die Felder Manager und Passwort
meist leer lassen.

Der Logfile-Analyzer Calamaris ist bestens für


die Auswertung von Squid-Dateien geeignet.

Webmin kompakt
380 Administration des Squid-Proxy-Servers

Squid-Protokolldateien auswerten
Ihrer Aufmerksamkeit ist sicherlich nicht entgangen, dass über die Webmin-Server-
Übersicht auch SARG (Squid Analysis Report Generator) verfügbar ist. Dabei han-
delt es sich um einen Logfile-Analyzer, der die Protokolldateien des Proxy-Servers
analysiert und aufbereitet. Diese Daten helfen Ihnen, den Zustand des Proxy-
Servers zu erkennen – und gegebenenfalls Maßnahmen für die Optimierung der
Konfiguration zu ergreifen.
Noch einen Tick besser ist Calamaris (http://calamaris.cord.de). Calamaris ist wie
SARG ein Analyseprogramm für Logdateien, das auf die Analyse von Proxy-
Servern spezialisiert ist.

28.16 Cache leeren und neue erstellen


Über das letzte Icon auf der Squid-Übersicht können Sie schließlich den Zwischen-
speicher leeren und einen neuen Cache erstellen. Dazu folgen Sie dem Link und
klicken auf die gleichnamige Schaltfläche. Das Webmin-Modul zeigt das zugehö-
rige Squid-Kommando und mögliche Fehlermeldungen an.

28.17 Modulkonfiguration
Auch das Squid-Modul besitzt eine eigene Modulkonfiguration, über die Sie
konfigurierbare und Systemeinstellungen einsehen und gegebenenfalls anpassen
können.

www.brain-media.de
Modulkonfiguration 381

Die Modulkonfiguration für das Squid-Modul.

Auch bei der Squid-Modulkonfiguration finden Sie zwei Bereiche: zunächst die
konfigurierbaren und dann die Systemkonfigurationen. Die anpassbaren Einstel-
lungen sind insbesondere dann interessant, wenn Sie Calamaris für die Auswertung
der Protokolldateien verwenden.
Bestimmen Sie zunächst, ob alle Calamaris-Berichte erstellt werden und welches
Format (HTML oder Text) die Berichte besitzen sollen. Außerdem können Sie
weitere Kommandozeilenparameter an Calamaris übergeben. Alle weiteren Ein-
stellungen können Sie in der Regel guten Gewissens beibehalten.

Webmin kompakt
382 Administration des Squid-Proxy-Servers

www.brain-media.de
383

29 Netzwerkeinstellungen

Das Hauptaugenmerk von Webmin liegt in der Administration der unterschied-


lichsten Server. Wie Sie gesehen haben, können Sie nahezu alle wichtigen Server
in der Standardkonfiguration verwalten. Doch Webmin taugt für mehr. Auch zur
Bearbeitung der Netzwerkeinstellungen. Diesen wollen wir uns in diesem Kapitel
widmen. Um es vorwegzunehmen: Auch sie sehr umfangreich. Wollte man sie
detailliert beschreiben, so könnte man hierfür ein eigenes Buch schreiben.

Die Funktionen der Netzwerkkategorie.

Das vorliegende Kapitel beschränkt sich auf die wesentlichen Funktionen. Wie Sie
nachstehender Abbildung entnehmen können, sind über die Netzwerkkategorie
siebzehn Bereiche konfigurierbar, angefangen beim ADSL-Client über die Firewall
bis hin zum SSL-Tunnel.

Webmin kompakt
384 Netzwerkeinstellungen

Wenn Ihr Linux-System über eine DSL-Verbindung mit dem Internet verfügt, so
können Sie über den Verweis ADSL-Client dessen Einstellungen bearbeiten.

29.1 Bandbreitenmessung
Mit dem Modul Bandbreitenmessung können Sie einen einfachen Bericht erzeu-
gen, der Ihnen Auskunft darüber gibt, welche Datenmengen mit Ihrer Umgebung
übertragen werden. Über das zugehörige Formular bestimmen Sie den Zeitraum,
für den die Daten angezeigt werden sollen. Um den Bericht zu erzeugen, klicken
Sie auf Generiere Report. Die Berichtfunktion greift auf die Funktionen auf
IPTables zurück.

Die Bandbreitenauswertung präsentiert Ihnen den übertragenen Traffic.

Die hier ausgegebenen Informationen sind nützliche Informationen, um sich ein


Bild von dem bisherigen Datenauskommen machen zu können. Über das Aus-
wahlmenü Zeige Traffic können Sie bestimmen, für welche Komponenten die
Auswertung erstellt wird. Sie haben die Wahl zwischen vier Optionen:
· Host
· Protokoll
· Interner Port
· Externer Port

www.brain-media.de
Erweiterte Internetdienste 385

In der Modulkonfiguration können Sie außerdem anpassen, welche Firewalldaten


für die Auswertung verwendet werden.

29.2 Erweiterte Internetdienste


Zur Steuerung und Überwachung von Netzwerkverbindungen kam bei Linux-
Systemen inetd zum Einsatz. Wird der Daemon beispielsweise mit einer Anfrage
an Port x angesprochen, wird diese an das Programm tcpd weitergeleitet. tcpd ent-
scheidet auf Basis der Regeln in den Dateien hosts.allow und hosts.deny, ob die
Anfrage zulässig ist. Ist dies der Fall, so wird der entsprechende Serverprozess,
zum Beispiel ftpd, gestartet und die Anfrage bearbeitet.
inetd ist in der Vergangenheit immer wieder durch Schwachstellen und Unzuläng-
lichkeiten ins Gerede gekommen und wird inzwischen von der erweiterten Varian-
te xinetd abgelöst. Diese bietet weitreichendere Sicherheitsfunktionen, beispiels-
weise
· die Zugriffssteuerung von TCP, UDP und RPC-Diensten,
· die Zugriffsbeschränkung auf bestimmte Zeiten,
· die Protokollierung von zulässigen, als auch von unzulässigen Anfragen,
und
· einen effizienten Schutz gegen Denial-of-Service-Angriffe.

Seine Konfiguration erfolgt über die /etc/xinetd.conf – oder eben über Webmin.
Wenn Sie dem Verweis Erweiterte Internetdienste (xinetd) folgen, präsentiert Ih-
nen das Modul eine Liste mit Services, die über das System prinzipiell verfügbar
sind.
In der Dienstübersicht werden Ihnen neben der Dienstbezeichnung folgende In-
formationen angezeigt: Typ, Port/Nummer, Protokoll, Benutzer, Serverprogramm
und Status (ein-/ausgeschaltet). Die Einstellungen eines Dienstes öffnen Sie, indem
Sie auf die jeweilige Dienstbezeichnung klicken.
Der Dialog zum Bearbeiten eines Internetdienstes präsentiert Ihnen drei Bereiche:
Dienst-Netzwerkoptionen, Dienst-Programmoptionen und Dienst-Zugriffskon-
trolle. In den beiden erstgenannten Bereichen müssen Sie in der Regel keine Ände-
rungen vornehmen. Weitaus interessanter sind die Funktionen der Zugriffskontrol-
le. Wenn Sie den Dienst nur für bestimmte Hosts freigeben wollen, aktivieren Sie
unter Erlaube Zugriff von die Option Nur aufgelistete Hosts und geben in das da-
runterliegende Feld die IP-Adressen der Hosts ein. Entsprechend gehen Sie vor,
Webmin kompakt
386 Netzwerkeinstellungen

wenn Sie bestimmte Systeme explizit aussperren wollen. Außerdem können Sie die
Zugriffszeiten bestimmen. Diese müssen das Format Std.Std : MinMin - Std.Std :
MinMin besitzen.

Das Formular zum Bearbeiten eines Internetdienstes.

Über die Dienstliste können Sie auch eigene Einträge erzeugen. Klicken Sie dazu
auf Erzeuge einen neuen Internetdienst und füllen Sie das Dienstformular mit der
Dienstbezeichnung, der Adresse, dem Port etc. aus.
Das Interessante an dieser Funktion: Am Fuße der Dienstliste finden Sie den But-
ton Standardoptionen, über den Sie Ihre Vorgaben für alle Dienste definieren kön-
nen. So können Sie beispielsweise bestimmten Hosts immer den Zugang verweh-
ren.

www.brain-media.de
VPN-Konfiguration 387

In der xinetd-Modulkonfiguration finden Sie die Pfade zu den relevanten Dateien.


Sie können über die Netzwerkkategorie übrigens auch den xinetd-Vorläufer inetd
konfigurieren. Verzichten Sie auf dessen Einsatz und verwenden Sie besser die
erweiterte Variante.

29.3 VPN-Konfiguration
Über die Netzwerkkonfiguration lässt sich auch die OpenSwan-basierte VPN-
Umgebung konfigurieren. Die VPN-Konfiguration erlaubt das Erstellen neuer und
das Bearbeiten bestehender Tunnel sowie das Bearbeiten der globalen Einstellun-
gen und Richtlinien. Mit einer VPN-Lösung wie OpenSwan wird über das ansich
unsichere Internet ein sicherer Verbindungskanal erzeugt, der von außen kaum zu
knacken ist.

Die umfangreichen VPN-Funktionen.

Je nach Systemkonfiguration kommt Ihre VPN-Installation bereits mit verschiede-


nen vordefinierten Verbindungen daher. Wie Sie es von verschiedenen anderen
Server-Modulen kennen, können Sie auch hier Vorgaben für alle Verbindungen

Webmin kompakt
388 Netzwerkeinstellungen

definieren. Folgen Sie dazu dem Verweis Defaults for all connections. Um eine
neue Verbindung zu definieren, klicken Sie auf Add a new IPsec VPN connection.
Im Bereich Options and policies verwalten Sie insbesondere die öffentlichen und
geheimen Schlüssel sowie verschiedene Netzwerk-spezifische Einstellungen. De-
ren Nutzung ist nur mit soliden OpenSwan-Kenntnissen möglich. Sie sollten sich
daher zunächst eingehend mit der Lösung auseinandersetzen.

29.4 Kerberos-Konfiguration
Nichts für schwache Nerven ist die Handhabung von Kerberos. Das ist ein verteil-
ter Authentifizierungsdienst, der für offene und unsichere Computernetze entwi-
ckelt wurde. Der Dienst bietet Ihnen sichere und einheitliche Authentifizierung in
einem ungesicherten TCP/IP-Netzwerk auf sicheren Hostrechnern. Die Authentifi-
zierung übernimmt eine vertrauenswürdige dritte Partei. Diese dritte Partei ist ein
besonders geschützter Kerberos-5-Netzwerkdienst.
Über die Kerberos-Konfiguration können Sie insbesondere die Einstellungen für
die Protokolldateien und verschiedene allgemeine Einstellungen anpassen. Auch
hier gilt: Wenn Sie sich für Kerberos interessieren, sollten Sie sich entsprechende
Literatur zulegen. Das ist im Rahmen eines Buches wie dem vorliegenden leider
nicht möglich. Dazu ist die Materie zu komplex.

29.5 Linux-Firewall
Wenn Sie Ihr Webmin-System direkt mit dem Internet verbinden und dieses bei-
spielsweise als Gateway für das lokale Netzwerk dient, so sollten Sie sich unbe-
dingt mit der Firewall-Funktion auseinandersetzen, denn sie hilft, Angreifer fern-
zuhalten.
Seit Jahren verfügen Linux-Distributionen über mehrere Firewall-Lösungen. Aktu-
ell findet man im Kernel die IPTables-Implementierung, die als ausgesprochen
robust und solide gilt.
In der IPTables-Terminologie spielen verschiedene Begriffe eine wichtige Rolle.
Die Firewall besteht aus drei Objekten:
· Tabellen (tables)
· Ketten (chains)
· Regeln (rules)

www.brain-media.de
Linux-Firewall 389

Die IPTables-Architektur gruppiert die Regeln für die Verarbeitung von Netzwerk-
Paketen in drei Tabellen:
· filter für Paketfilter
· nat für Network Address Translation
· mangle für Paketmanipulationen

Diese Tabellen enthalten Ketten von Verarbeitungsregeln, die aus Mustern beste-
hen, die wiederum bestimmen, auf welche Pakete die Regel angewendet wird und
Ziele, die festlegen, was mit den Paketen passiert.
Chains bestimmen also, wo geprüft wird, Pattern, welche Pakete betroffen sind und
Targets, was mit diesen geschehen soll. Wichtig für das Verständnis des Systems:
Die Filterregeln werden sequenziell bis zum ersten Treffer abgearbeitet.

Die Konfiguration der Linux-Firewall.

Das Linux-Firewall-Modul erlaubt Ihnen die Verwaltung von Regeln, Tabellen und
Ketten. Die Handhabung ist an sich recht einfach. Die Konfiguration kommt mit

Webmin kompakt
390 Netzwerkeinstellungen

drei vordefinierten Ketten daher, die sich um den eingehenden, den ausgehenden
und den weitergeleiteten Traffic kümmern. Um eine neue Regel für eine dieser
Ketten zu erstellen, klicken Sie auf Add Rule. Natürlich können Sie auch eigene
Ketten erstellen und diese dann mit Regeln füllen. Dazu geben Sie die gewünschte
Kettenbezeichnung im oberen Eingabefeld ein.

Das Editieren einer Regel.

Ein wesentliches Element von Regeln sind die durchzuführenden Aktionen. Sie
können beispielsweise folgende Aktionen (Targets) definieren:
· Accept: Das Paket wird akzeptiert.
· Drop: Das Paket wird ohne Rückmeldung an den Sender verworfen.
· Queue: Das Paket wird in eine Warteschlange im Userspace geschickt,
sodass es von einem Benutzerprogramm bearbeitet werden kann.

www.brain-media.de
Netzwerkkonfiguration 391

Essenziell für die Effektivität der Firewall ist ein schlüssiges Konzept, wie Sie mit
Ketten, Tabellen und Regeln umgehen. Im Internet finden Sie ausreichend Material
für die optimale Handhabung der Firewall-Funktionen.

Hinweis:
Nicht weiter eingehen können wir im Rahmen dieses Buchs auf die Funktionen
NFS-Exporte und NIS-Client und -Server sowie die Shorewall-Firewall. Hier sei auf
die Buch-Site verwiesen.

29.6 Netzwerkkonfiguration
Wie es sich für eine Netzwerkkategorie gehört, finden Sie dort auch eine Netz-
werkkonfiguration. In selbiger finden Sie die Einstellungen für die Netzwerk-
schnittstellen, das Routing/Gateways, den DNS-Client sowie die Host-Adressen.

Die Netzwerkkonfiguration von Webmin.

Außerdem finden Sie auf der Netzwerkkonfigurationsübersicht den Button Konfi-


guration anwenden, mit dem Sie Ihre Änderungen übernehmen.
Wenn Sie dem Verweis Netzwerkschnittstellen folgen, präsentiert Ihnen das zuge-
hörige Formular all die Schnittstellen, die aktuell aktiv sind und in einem zweiten
Bereich die, die beim Booten des Systems aktiviert werden. Zu jeder Schnittstelle
werden die Bezeichnung, der Typ, die IP-Adresse, die Netzmaske und der Status
angezeigt.

Webmin kompakt
392 Netzwerkeinstellungen

Das Hinzufügen einer neuen Schnittstelle ist einfach: Folgen Sie einfach dem
gleichnamigen Link und bestimmen Sie die Parameter.
Ähnlich einfach ist die Handhabung der Routing- und Gateway-Funktion. Hier
präsentiert Ihnen das Webmin-Modul die aktuellen Systemeinstellungen und er-
laubt das Bearbeiten und das Erzeugen neuer Routen.

Die Routing- und Gateway-Konfiguration.

Ähnlich einfach zu handhaben sind die Funktionen, die sich hinter den beiden
Links DNS-Client und Host-Adressen verbergen. Auf dem ersten können Sie ver-
schiedene Client-Optionen wie den Hostnamen und die Auflösungsreihenfolge, auf
dem zweiten die IP-Adressen und Hostnamen des Systems bearbeiten.

www.brain-media.de
PPP-Konfiguration 393

29.7 PPP-Konfiguration
Auch im DSL-Zeitalter dürfte es noch so manchen Anwender geben, der mit einem
herkömmlichen Modem eine Internet-Verbindung herstellt. Über Webmin können
Sie die Einwahl und auch die Entgegennahme eines Anrufs konfigurieren. Dazu
sind die beiden Funktionen PPP Diaup Client und PPP Einwahl-Server relevant.
Um die Verbindung zu einem Provider herzustellen, erzeugen Sie einen Telefon-
bucheintrag. Klicken Sie auf Add a new ISP Dialer Configuration und geben Sie
im dazugehörigen Dialog die Standardinformationen wie Telefonnummer, Modem-
Port, Log-in und Passwort an. Im unteren Bereich der Verbindungsübersicht kön-
nen Sie mit einem Klick auf Connect at boot with dafür sorgen, dass bei jedem
Systemstart ein bestimmtes Profil angewählt wird.
Wenn Ihr System als Einwahlrechner dienen soll, folgen Sie in der Netzwerkkonfi-
gurationsübersicht dem Verweis PPP Einwahl-Server. Dort bestimmen Sie über
Serial Port Configuration, welcher Port für die Einwahl verwendet werden darf.
Damit sich Anwender von außen einwählen können, müssen Sie entsprechende
Einwahlkonten definieren. Außerdem können Sie die Anrufer-ID zur Identifizie-
rung verwenden, wenn dieser von einem stationären Anschluss die Verbindungs-
aufnahme startet.

29.8 PPTP-Konfiguration
Das Point-to-Point Tunneling Protocol (PPTP) ist ein weiteres Protokoll zum Auf-
bau eines Virtual Private Network (VPN). Es ermöglicht das Tunneling des PPP
durch ein IP-Netzwerk. Da es in der Windows-Welt eine feste Größe ist und war,
wurde es auch für Linux implementiert. Über die beiden Links PPTP VPN Client
und PPTP VPN Server machen Sie Ihr System zu einem entsprechenden Client
bzw. Server.

29.9 SSL-Tunnel
Schließlich ist über die Netzwerkkonfiguration die STunnel-Konfiguration verfüg-
bar. STunnel (sprich: S-Tunnel) arbeitet typischerweise als SSL-Tunnel zwischen
einem Windows-Client und dem Server. Es ermöglicht auf einfache Weise ver-
schlüsselte Sitzungen. Mithilfe von STunnel lassen sich auch Clients wie z. B.
Eudora oder Pegasus, die SSL nicht beherrschen, über verschlüsselte Verbindun-
gen betreiben.

Webmin kompakt
394 Netzwerkeinstellungen

www.brain-media.de
CD-Brenner 395

30 Hardware-Konfiguration

Webmin taugt nicht nur zur Administration und Konfiguration verschiedenster


Server und Netzwerkfunktionen, sondern auch zur Hardware-Konfiguration –
wenngleich auch in überschaubarem Rahmen. Über die Hardware-Kategorie kön-
nen Sie beispielsweise Ihren CD-Brenner, den Drucker, die Festplatten und even-
tuell vorhandene RAID-Laufwerke konfigurieren.

Die Hardware-spezifischen Einstellungen,


die Sie über Webmin bearbeiten können.

30.1 CD-Brenner
Ein Brenner gehört seit Langem zur Grundausstattung eines jeden Rechners. Über
den Verweis CD-Brenner können Sie die sogenannten Brenn-Profile und einige
Dateisystem- und Geräteoptionen bearbeiten. Hinter den Brenn-Profilen verbergen
sich typische Zusammenstellungen, die Sie auf ein Medium schreiben können. Die
Brennfunktion unterstützt vier Profiltypen:
· Einzelnes ISO-Image
· Dateien und Verzeichnisse
· Audio-Tracks
· Kopiere CD

Webmin kompakt
396 Hardware-Konfiguration

Die Handhabung ist einfach: Bestimmen Sie den Typ und klicken Sie anschließend
auf Neues Profil hinzufügen. Wenn Sie Audio-Daten auf CD schreiben wollen,
muss das Tool mpg123 installiert sein. Beim Kopieren einer CD bestimmen Sie
Quell- und Ziellaufwerk und speichern das Profil bzw. speichern und brennen es
direkt. Auch das Brennen eines ISO-Images ist sehr einfach, denn dazu müssen Sie
lediglich eine Profilbezeichnung angeben und das Image auswählen.
Am umfangreichsten sind die Funktionen für den Typ Dateien und Verzeichnisse.
Weisen Sie dem Profil zunächst eine Bezeichnung zu und legen Sie dann fest,
welche Dateien bzw. Verzeichnisse wo auf CD gesichert werden sollen. Wie Sie es
von K3b und anderer Brennsoftware kennen, können Sie den Schreibvorgang tes-
ten oder direkt durchführen.
Nach dem Speichern eines Profils landet es in der Profilverwaltung. Das Schöne an
dieser: Sie können Profile einfach nochmals auf CD schreiben, auch wenn sich
Daten in diesem geändert haben.

Die Profiloptionen für den Typ Dateien und Verzeichnisse.

Unterhalb der Profilfunktion können Sie die verschiedenen Dateisystemeinstellun-


gen wie das Verfolgen von symbolischen Links aktivieren. Hier sind in der Regel
keine Anpassungen erforderlich. Wohl aber bei den Geräteoptionen. Hier wählen
Sie das zu verwendende Brennwerk aus und bestimmen die Schreibgeschwindig-

www.brain-media.de
Druckerverwaltung 397

keit. Da die Schreibgeschwindigkeit auf einfach eingestellt ist, sollten Sie diese auf
den Wert hochsetzen, den Ihr Brenner unterstützt.

30.2 Druckerverwaltung
Die sicherlich wichtigste Hardware-spezifische Funktion ist die Druckerverwal-
tung. Dabei handelt es sich um Webmin-basierte Schnittstellen für das am meisten
eingesetzte Drucksystem CUPS (Common Unix Printing System,
http://www.cups.org). CUPS ist ein Drucksystem, genauer ein Daemon, der das
Drucken unter den verschiedenen UNIX-artigen Betriebssystemen ermöglicht. Das
Drucksystem wurde von Easy Software Products (http://www.easysw.com) entwi-
ckelt und kann sowohl unter der GPL als auch unter proprietären Lizenzen ver-
wendet werden. Es ist der Nachfolger von älteren Drucksystemen, beispielsweise
von LPD.

Die Installation eines Druckers.

Webmin kompakt
398 Hardware-Konfiguration

Welches Bild sich Ihnen beim ersten Zugriff auf das CUPS-Modul präsentiert, ist
abhängig von der jeweiligen Systemkonfiguration. Verfügt Ihr Linux-System be-
reits über einen Drucker, so finden Sie diesen in der Druckerverwaltung. Falls
nicht, können Sie einen ersten Drucker einrichten, indem Sie dem gleichnamigen
Link folgen.
Der Dialog Drucker installieren bzw. Drucker bearbeiten weist drei Bereiche auf:
· Druckerkonfiguration: Hier hinterlegen Sie den Namen und eine Be-
schreibung. Außerdem können Sie festlegen, ob der Drucker Anfragen
akzeptiert, ob er aktiviert wird und ob es sich um den Standarddrucker Ih-
res Systems handeln soll.
· Druckerziel: Hier bestimmen Sie, ob es sich um einen lokalen Anschluss,
einen Netzwerkdrucker oder einen Windows-Drucker handelt. Gegebe-
nenfalls geben Sie die Netzwerkadresse und die Kennung samt Passwort
an.
· Druckertreiber: Im letzten Bereich bestimmen Sie den Treiber, der das
Gerät ansteuert. In der Regel sind Sie mit dem CUPS-Treiber am besten
bedient. Hier finden Sie fast alle gängigen Modelle und können meist
auch erweiterte Druckereinstellungen wie die Auflösung, den Speicher
etc. definieren.

Die Druckerverwaltung erlaubt außerdem das Anhalten bzw. Starten der Drucker-
warteschlange. Halten Sie diese an, um beispielsweise temporär das Drucken über
einen Netzwerkdrucker zu stoppen.

Die Druckerkonfiguration über die CUPS-eigene Schnittstelle.

www.brain-media.de
Festplattenpartitionen 399

Wenn Ihnen die Druckerkonfiguration über Webmin zu wenig flexibel ist, so kön-
nen Sie auch die CUPS-eigene Schnittstelle nutzen, auf die Sie mit einem Stan-
dard-Browser über http://ip-adresse_des_systems:631 zugreifen. Über die Schnitt-
stelle sind alle wichtigen Druckkommandos, administrative Aufgaben und eine
Unmenge an Anpassungsmöglichkeiten verfügbar.

Die Modulkonfiguration für die Druckerverwaltung.

Da Sie interessante Anpassungsmöglichkeiten bietet, werfen wir noch einen Blick


auf die Modulkonfiguration. Sollten Sie ein alternatives Drucksystem anstelle von
CUPS verwenden wollen, so kann es vorkommen, dass dieses nicht korrekt von der
Druckerverwaltung erkannt wird. In diesem Fall müssen Sie gegebenenfalls über
die Modulkonfiguration den Typ und den Treiber anpassen.

30.3 Festplattenpartitionen
In der Hardware-Konfiguration findet sich auch der Partitionsmanager, der Ihnen
beim Zugriff einen Überblick zu verwendeten Festplatten und zu den eingerichte-
ten Partitionen bietet. Außerdem ist das Hinzufügen von primären und logischen
Partitionen möglich.

Webmin kompakt
400 Hardware-Konfiguration

Der Partitionsmanager präsentiert Ihnen eine


Übersicht der eingerichteten Partitionen.

Um die Details einer Partition abzurufen, klicken Sie auf die jeweilige Nummer.
Wenn Sie eine primäre Partition hinzufügen wollen, klicken Sie auf den gleichna-
migen Link, bezeichnen die Partition, bestimmen den Typ (z. B. Linux, NTFS oder
FAT32) und weisen ihr eine bestimmte Größe zu. Fertig. Entsprechend gehen Sie
bei einer logischen Partition vor.

Auch der Bootmanager GRUB lässt sich


über die Hardware-Kategorie nutzen.

30.4 GRUB-Bootmanager
In der Hardware-Konfiguration finden Sie auch den Eintrag GRUB-Boot-
Konfiguration. Damit ist die Konfiguration des Boot-Managers GRUB (GRand

www.brain-media.de
RAID-Geräte 401

Unified Bootloader) möglich. Ein Bootmanager ist für das Starten des Rechners
verantwortlich. Er lädt insbesondere beim Startvorgang bestimmte Teile des Be-
triebssystems, meist einen Kernel.
Für Linux gibt es verschiedene solcher Manager. Da GRUB deutlich flexibler ist
als der traditionelle Bootloader LILO (LInux-LOader) kommt er immer häufiger
bei Linux-Distributionen zum Einsatz. Die GRUB-Übersicht präsentiert Ihnen – je
nach Systemkonfiguration – die verfügbaren Boot-Optionen. In diesem Beispiel
sind es drei: SUSE Linux 10.1, Diskette und Failsafe-Variante.

Die globalen Optionen für den Boot-Manager.

Um eine neue Boot-Option zu stellen, klicken Sie auf den Verweis Eine neue Boot-
Option hinzufügen. Zum Bearbeiten einer Option klicken Sie auf das jeweilige
Icon. Im Bearbeiten-Dialog können Sie erkennen, von welcher Partition das Be-
triebssystem gestartet wird, welches der Pfad zum Kernel ist und welche Kernel-
Optionen verwendet werden. Außerdem können Sie den Passwortschutz für jede
Boot-Option aktivieren.
In den globalen Boot-Optionen bestimmen Sie, welches System das Standardsys-
tem beim Rechnerstart ist. Außerdem hinterlegen Sie hier das Boot-Passwort.

30.5 RAID-Geräte
Mit RAID steht Ihnen eine spezielle Technik zur Verfügung, mit der Sie mehrere
physische Festplatten zu einem logischen Laufwerk zusammenfassen können, das
dann eine größere Speicherkapazität, eine höhere Datensicherheit bei Ausfall ein-
zelner Festplatten und/oder einen größeren Datendurchsatz als eine physische Plat-
te hat. Über den Linux-RAID-Link können Sie entsprechend Geräte mit dem unter-

Webmin kompakt
402 Hardware-Konfiguration

schiedlichen RAID-Leveln erstellen. Webmin macht dabei Gebrauch von den Tool
MADM. Die Funktion setzt voraus, dass Sie über freie Partitionen verfügen.

30.6 SMART-Festplattenstatus
Eine weitere nützliche Informationsquelle für Ihre Festplatten ist das Tool
SMART. Es kann den Status einer Festplatte samt unterschiedlichen Details zur
Größe, Umdrehungszahl, Temperatur etc. liefern.

Die SMARTsuite verrät Ihnen jede Menge Details zu Ihren Festplatten.

30.7 Systemzeit
Über die Hardware-Kategorie können Sie auch die System- und Hardware-Zeit
anpassen. Auch die Zeitzone können Sie ändern. Wenn Sie auf Ihrem System bei-
spielsweise eine Groupware-Lösung wie eGroupWare ausführen, sollten Sie einen
Zeitserver einbinden, von dem sich Ihr System kontinuierlich die Zeit holt.

www.brain-media.de
Voicemail-Server und LVM 403

30.8 Voicemail-Server und LVM


Sie können Ihren Rechner auch in einen Voicemail-Server verwandeln und die
LVM-Funktionalität über Webmin konfigurieren. Für den Aufbau eines digitalen
Anrufbeantworters benötigen Sie das vgetty-Paket, das in der Regel erst nachin-
stalliert werden muss.
Ähnlich verhält es sich mit der LVM-Funktionalität. Auch hier müssen meist erst
die LVM-Tools installiert werden. LVM (Logical Volume Manager) dient dazu,
Festplatten zu einem Pool zusammenzufassen, aus dem dynamisch Partitionen
(Logical Volumes) angefordert werden können. Auf diesen Logical Volumes wer-
den die Dateisysteme angelegt.

Das Erzeugen einer Laufwerksgruppe.

Webmin kompakt
404 Hardware-Konfiguration

www.brain-media.de
405

31 Cluster-Kategorie

Mit Webmin lässt sich eine Vielzahl von Aktionen auf entfernten Rechnern durch-
führen. Für einen Administrator vereinfacht sich das Ganze natürlich erheblich,
wenn er bestimmte Aufgaben nicht auf einem System, sondern an mehreren vor-
nehmen kann – und zwar gleichzeitig. Genau für diesen Aufgabenbereich besitzt
Webmin die Kategorie Cluster.
Mit dem „normalen“ Cluster-Begriff, der eine Rechnerfarm beschreibt, die die
Kapazitäten der einzelnen Rechner bündelt, hat die Webmin-Cluster-Funktion an
sich wenig zu tun. Webmin verwendet für die Steuerung ein eigenes Remote-
Procedure-Call-Protokoll (RPC). Das Prinzip ist ansich recht einfach: Ein soge-
nannter Master-Server kennt die Root-Passwörter der zu managenden Systeme,
loggt sich automatisch ein und führt die gewünschten Aktionen aus. Es handelt
sich um ein Webmin-spezifisches Protokoll, das meines Wissens nicht öffentlich
dokumentiert ist.

Die Funktionen der Cluster-Kategorie.

Wofür kann man nun die Webmin-Cluster-Funktion konkret verwenden? Diese


wahrlich berechtigte Frage beantwortet sich fast von alleine, wenn Sie einen Blick
in die Cluster-Kategorie werfen. Sie können mit dieser Funktion beispielsweise
zentral Benutzer und Gruppen verwalten, Aufträge starten, Passwörter ändern und
sogar Software installieren. Sie sehen: Die Cluster-Funktion hält eine Vielzahl
interessanter Funktionen für Sie bereit.
Webmin kompakt
406 Cluster-Kategorie

Bevor Sie von Ihrem Webmin-System einen oder mehrere andere Rechner verwal-
ten können, muss Ihre Installation diese kennen. Dazu wechseln Sie zunächst zum
Webmin-Server-Index in der Webmin-Kategorie. Erzeugen Sie dort einen neuen
Server-Eintrag und stellen Sie sicher, dass Sie dort den Benutzernamen und das
Passwort für die Anmeldung über Webmin angegeben haben. Achten Sie darauf,
dass Sie auch tatsächlich einen Account angegeben haben, der administrative
Rechte (meist als root oder admin) auf dem Remote-System besitzt. Nur so ist ein
Einloggen und anschließendes Bearbeiten der Einstellungen auf dem Remote-
System möglich.
Kehren Sie dann zur Cluster-Kategorie zurück. Als Nächstes können Sie sich bei-
spielsweise an das Benutzermanagement oder die Software-Installation machen.
Vielleicht sollte noch angemerkt werden, dass aufseiten der entfernten Systeme
eine Webmin-Installation erforderlich ist. Leider können Sie mit der Cluster-
Funktionalität keine Windows- oder Mac-Systeme verwalten – auch nicht, wenn
dort eine Webmin-Installation ausgeführt wird.

Die Benutzer- und Gruppen-Verwaltung.

31.1 Benutzer-/Gruppenmanagement im Cluster


Um einen neuen Benutzer oder eine neue Benutzergruppe zu erzeugen, folgen Sie
dem Verweis Cluster – Benutzer und Gruppen. Das zugehörige Formular präsen-
tiert Ihnen die betreuten Server, stellt Ihnen eine Suchfunktion zur Verfügung und
erlaubt das Anlegen von Benutzern und Gruppen sowie das Synchronisieren.
Beachten Sie, dass die Cluster-Benutzer- und -Gruppenfunktion voraussetzt, dass
auf allen Systemen das gleiche Benutzerdateiformat verwendet wird. Da auf unter-

www.brain-media.de
Benutzer-/Gruppenmanagement im Cluster 407

schiedlichen Linux-Varianten auch verschiedene Passwortdateien verwendet wer-


den, z. B. /etc/passwd, /etc/shadow etc., sollten Sie zunächst sicherstellen, dass alle
Systeme ein einheitliches Format nutzen.
Um einen neuen Benutzer anzulegen, gehen Sie wie folgt vor:
1. Klicken Sie auf die Schaltfläche Benutzer hinzufügen. Es öffnet sich
ein umfangreiches Formular, auf dem Sie die Benutzerdetails, die
Kennworteinstellungen, die Gruppenzugehörigkeit und weitere Opti-
onen definieren.
2. Geben Sie unter Benutzerdetails den Benutzernamen an und sichern
Sie das Log-in durch ein Passwort – am besten mit der Option Vor-
verschlüsseltes Passwort.
3. Bestimmen Sie dann unter Kennworteinstellungen ein Ablaufdatum
oder verwenden Sie eine maximale Anzahl an Tagen, die das Pass-
wort gültig ist.

Ein erster Cluster-Benutzer entsteht.

Webmin kompakt
408 Cluster-Kategorie

4. Im Bereich Gruppenzugehörigkeit weisen Sie den neuen Benutzer


zumindest einer primären, eventuell auch weiteren sekundären Grup-
pe zu.
5. Im letzten Bereich unter Beim Erstellen können Sie außerdem dafür
sorgen, dass ein Home-Verzeichnis erstellt wird, wenn es noch nicht
existiert. Standardmäßig werden auch die Dateien ins Stammver-
zeichnis kopiert.
6. Schließen Sie das Erstellen mit einem Klick auf Erstellen ab.
Webmin gibt eine Statusmeldung bei der Durchführung der verschie-
denen Aktionen aus.

Die Statusmeldung zum Erzeugen eines Cluster-Benutzers.

Noch einfacher ist das Erstellen einer Gruppe. Klicken Sie in der Benutzer-
/Gruppenübersicht auf die Schaltfläche Füge Gruppe hinzu. Geben Sie die Grup-
penbezeichnung, das Kennwort, die ID und eventuell bereits erste Mitglieder an.
Sie können die neue Gruppe auf allen Servern, auf solchen, die die Gruppe noch
nicht besitzen und auf dem lokalen System einrichten.
Die Gruppenfunktion stellt Ihnen über die Schaltfläche Synchronisieren eine fle-
xible Funktion zur Verfügung, über die Sie beispielsweise den Abgleich zwischen
Benutzern und Gruppen auf den Systemen quasi per Knopfdruck durchführen kön-
nen.

www.brain-media.de
Kopierauftrag 409

Der Abgleich von Benutzern und Gruppen über das Cluster hinweg.

31.2 Kopierauftrag
Mit der Cluster-Funktion können Sie beliebige Dateien in Ihrem Rechner-Verbund
verteilen. Folgen Sie dem Verweis Cluster – Dateien kopieren. Auf dem zugehöri-
gen Formular erzeugen Sie einen neuen zeitgesteuerten Kopierauftrag. Bestimmen
Sie die zu kopierenden Dateien und das Zielverzeichnis. Das Zielverzeichnis ist auf
allen Servern identisch. Sie können dem Kopiervorgang außerdem Kommandos
vor bzw. nach dessen Ausführung mit auf den Weg geben.
Bestimmen Sie als Nächstes die Ziele. Sie können den Kopiervorgang auf alle und
auf spezifische Gruppen anwenden.
Den Kopiervorgang können Sie direkt oder aber auch per Zeitsteuerung zeitlich
versetzt ausführen. Aktivieren Sie dazu unter Kopieren nach Zeitplan? die ge-
wünschte Option. Wenn Sie sich für die Zeitsteuerung entscheiden, geben Sie im
unteren Bereich den Zeitpunkt und eventuell die Wiederholung an. Um den Auf-
trag zu speichern, klicken Sie auf Erstellen. Sie landen anschließend in der Liste

Webmin kompakt
410 Cluster-Kategorie

der Kopieraufträge, die über die Spalte Aktion die unmittelbare Ausführung er-
laubt.

31.3 Cron-Auftrag
Die Webmin-Cluster-Funktion erlaubt auch die Ausführung eines Cronjobs über
die zu verwaltenden Systeme hinweg. Auch bei dieser Funktion ist die Handha-
bung simpel: Geben Sie an, wer den Auftrag ausführt, welcher Befehl ausgeführt
und auf welche Systeme dieser angewendet werden soll. Auch hier können Sie
wieder den Zeitpunkt bestimmen.

31.4 Kommandozeile
Über den Verweis Kommandozeile ist auch die Ausführung von Befehlen auf Kon-
solenebene möglich. Allerdings bietet die Funktion keine Interaktivität. Sie können
lediglich Kommandos ausführen und die Ausgabe betrachten. Diese Funktion
verfügt auch über eine History-Funktion, die die Wiederholung von Kommandos
vereinfacht.

31.5 Passwort ändern


Wie bereits erwähnt, erlaubt die Web-Cluster-Funktion auch das Ändern von
Passwörtern über die angeschlossenen Systeme hinweg. Folgen Sie dem Verweis
Cluster – Passwort ändern, wählen Sie den Benutzer aus und geben Sie im Folge-
dialog das neue Passwort samt Bestätigung ein.

Das Ändern des Passworts.

www.brain-media.de
Software-Management 411

31.6 Software-Management
Eine echte Arbeitserleichterung im ohnehin oft sehr stressigen Admin-Alltag ist die
Software-Managementfunktion der Cluster-Kategorie. Mit ihrer Hilfe können Sie
Software zentral installieren, ohne vor den entfernten Rechnern sitzen zu müssen.
Einfacher geht es also kaum. Eine entsprechende Lösung in der Windows-Welt
kostet richtig viel Geld. Bei Linux bekommen Sie sie wieder einmal zum Nulltarif.

Die Software-Managementfunktion erlaubt


das zentrale Installieren von Paketen.

Beim Zugriff auf einen Server, der sich in der Cluster-Verwaltung befindet, liest
die Managementkomponente zunächst von dem jeweiligen Rechner die installier-
ten Pakete ein und präsentiert Ihnen deren Anzahl unterhalb des jeweiligen Rech-
ner-Icons. Über die Schaltfläche Server vergleichen können Sie einen Vergleich
der Software-Informationen durchführen. Die Vergleichsfunktion erlaubt die Aus-
wahl der zu vergleichenden Server und die Beschränkung der Anzeige auf die
Unterschiede. Die Managementfunktion erlaubt außerdem die Suche nach Paketen
auf den Rechnern.

Webmin kompakt
412 Cluster-Kategorie

Die Handhabung der Installation entspricht ansonsten der Vorgehensweise, wie sie
in der System-Kategorie im Modul Software beschrieben ist.

Der Paketvergleich zwischen mehreren Servern.

31.7 Usermin-Server verwalten


Die Cluster-Funktion erlaubt auch die Verwaltung von bestehenden Usermin-
Servern. Das setzt voraus, dass das Usermin-Modul installiert ist. Ist das der Fall,
können Sie über die Usermin-Server-Verwaltung beispielsweise Module, Themes,
Usermin-Benutzer und -Gruppen verwalten. Die Usermin-Server-Verwaltung stellt
eine gegenüber der Webmin-Server-Verwaltung abgespeckte Funktionalität zur
Verfügung.

31.8 Webmin-Server-Verwaltung
Von Ihrem zentralen Webmin-Server aus können Sie auf den zu administrierenden
Servern eine Vielzahl an Anpassungen vornehmen. So können Sie beispielsweise
Server-übergreifend Themes installieren oder auch Benutzer einführen. Im Kopf-
bereich der Verwaltung präsentiert Ihnen die Cluster-Funktion alle bekannten
Webmin-Server.
Darunter finden Sie die Einstellungen für die Konfiguration der Webmin-Benutzer
und -Gruppen. Hier können Sie Benutzer sowie die ACLs für Benutzer und Grup-
pen bearbeiten. Über die entsprechenden Schaltflächen ist das Hinzufügen von
Benutzern und Gruppen möglich.

www.brain-media.de
Heartbeat-Monitor 413

Die zentrale Konfiguration der Webmin-Server-Einstellungen.

Im Bereich Module und Designs ist die System-übergreifende Anpassung aller


Module möglich. Wählen Sie dazu aus dem umfangreichen Auswahlmenü das
Modul aus, dessen Eigenschaften Sie vorgeben wollen und klicken dann auf Modul
bearbeiten. Passen Sie im Folgedialog beispielsweise die Installation, die Modul-
konfiguration oder die ACL an.
Unterhalb der Module- und Design-Einstellungen stehen Ihnen einfach zu handha-
bende Funktionen für die Aktualisierung bzw. Erweiterung von Webmin zur Ver-
fügung.

31.9 Heartbeat-Monitor
Zwei weitere Funktionen hat die Cluster-Funktion noch zu bieten. Zum einen den
Heartbeat-Monitor, zum anderen den so genannten Konfigurationsautomat. Der
Monitor dient der Überwachung von Netzwerkverbindungen zwischen zwei oder
mehr Cluster-Knoten. Über deren Verbindung benachrichtigen sich die beiden
Clusternodes gegenseitig, ob ihr jeweiliges Gegenstück noch betriebsbereit ist und

Webmin kompakt
414 Cluster-Kategorie

seine Aufgaben noch erfüllen kann, also „am Leben“ ist. Daher auch der Begriff
Heartbeat (Herzschlag). Um die Überwachung zu starten, klicken Sie auf die
Schaltfläche Start Heartbeat Monitor. Zuvor sollten Sie allerdings die Cluster-
Ressourcen anmelden, damit der Monitor auch etwas zu überwachen hat.

31.10 Konfigurationsautomat
Als letzte Funktion hat die Cluster-Kategorie noch den Konfigurationsautomat zu
bieten. Dahinter verbergen sich die Funktionen der Cfengine, einer Richtlinien-
basierten Computer-Verwaltung. Sie stellt Ihnen eine automatisierte, gruppenricht-
linien-spezifische Konfiguration und Wartung von Computern zur Verfügung.

www.brain-media.de
Dateimanager 415

32 Sonstiges

Wir nähern uns mit großen Schritten den letzten Funktionen. In der Kategorie
Sonstiges finden Sie all die Funktionen, die in den anderen Kategorien nichts zu
suchen haben. Bei einer Standardinstallation sind es zehn Funktionen, die wir ge-
gen Schluss noch im Schnelldurchlauf mitnehmen wollen.

32.1 Dateimanager
Wenn Sie bei der Administration häufig mit Dateien hantieren müssen, so sind Sie
sicherlich für den Java-basierten Dateimanager dankbar, der Ihnen gerade auch
beim Remote-Zugriff die Durchführung typischer Dateiaktionen wie das Löschen,
das Verschieben, das Kopieren etc. erlaubt.

Der Java-basierte Datei-Manager.

Da der Aufbau dem typischer Dateimanager entspricht, muss man zur Handhabung
nicht unnötige Worte verlieren. Seine Funktionalität erklärt sich von selbst.
Webmin kompakt
416 Sonstiges

32.2 Passwortgeschützte Web-Verzeichnisse


Neben dem Dateimanager dürfte die Funktion Passwort-geschützte Web-
Verzeichnisse die zweitwichtigste sein. Sie erlaubt Ihnen, ohne mit dem Apache
direkt hantieren zu müssen, das Erstellen der Dateien .htaccess und .htpasswd, die
den Passwortschutz für ein Verzeichnis auf Ihrem Webserver erlauben. Im Formu-
lar zum Hinzufügen des Schutzes geben Sie den Pfad, die berechtigten Benutzer
sowie die Art des Passwortschutzes an.

Die Konfiguration des Passwortschutzes für ein Web-Verzeichnis.

32.3 System- und Server-Status


In der Kategorie Sonstiges finden Sie auch die Statusfunktion, die Ihnen in einer
übersichtlichen Tabelle anzeigt, welche Server aktuell aktiv sind. Ein Starten eines
inaktiven Servers aus der Statusübersicht heraus ist leider nicht möglich.
Sie können die Ansicht allerdings um alle auf Ihrem System verfügbaren Server
erweitern. Wählen Sie dazu den Servertyp aus und klicken Sie auf die Schaltfläche
Füge Überwachung hinzu.

www.brain-media.de
Die weiteren Funktionen 417

Der System- und Server-Status.

32.4 Die weiteren Funktionen


Die Kategorie Sonstiges hat noch einige weitere Funktionen zu bieten, die hier
allerdings nicht weiter beschrieben werden. Alle weiteren Funktionen in Kürze:
· HTTP-Tunnel-Konfiguration: Erlaubt die Konfiguration eines HTTP-
Tunnels.
· Eigene Befehle: Mithilfe der Funktion Eigene Befehle können Sie neue
Befehle definieren. Die Kommandos werden von sh ausgeführt und kön-
nen daher Shell-Metacharakter wie |, > und & beinhalten. Auch die Ver-
wendung von Parametern ist möglich, die von Ihnen vor der Ausführung
abgefragt werden.
· Kommandozeile: Erlaubt die Ausführung eines Kommandozeilenbefehls.
Über die History-Funktion lassen sich Befehle bequem wiederholt ausfüh-
ren.
· PHP-Konfiguration: Zeigt Ihnen die Einstellung der PHP-Konfiguration
an.
· Perl-Module: Hier werden alle Perl-Module samt Kurzbeschreibung,
Version und Installationsdatum aufgeführt.
· SSH-/Telnet-Login: Eine weitere Java-basierte Funktion, die den SSH-
bzw. Telnet-Zugriff erlaubt.

Webmin kompakt
418 Sonstiges

· Upload und Download: Funktion, die das einfache Hoch- und Herunter-
laden von Dateien auf den Server sowie den Download auf den PC er-
laubt.

www.brain-media.de
419

Index

Benutzernamen .................................... 74
Benutzer-Synchronisation ................... 80
A Benutzerverwaltung............... 74, 94, 289
Berechtigungen.................................... 79
ACL ............................................. 79, 227 BIND ................................................. 215
ACL-Funktion ...................................368 BIND-Modul ..................................... 225
ACL-Typ ...........................................370 Blacklist............................................. 345
Admin-Rechte......................................15 Boot-Konfiguration ........................... 111
Alias...................................................196 BOOTP .............................................. 239
Anzeigeoptionen ................................104 BOOTP-Client ................................... 240
Apache ...............................................182 Boot-Vorgang .................................... 171
Apache-Konfiguration .......................191 Bootzeit ............................................. 175
Apache-Konfigurationsdateien ..........188 Browse-Liste ..................................... 326
Apache-Modul ...................................187 Brute-Force-Attacke ............................ 59
Apache-Modulkonfiguration .............212
Apache-Proxy-Konfiguration ............211
Apache-Server-Konfiguration ...........182 C
Apache-SSL-Modul ...........................202
AT......................................................131
AT-Steuerung ....................................131 Cache ................................................. 212
Ausführungslevel ...............................113 Cache leeren ...................................... 380
Authentifizierung .........................59, 375 Cache-Einstellungen .......................... 365
Authentifizierungsagent .....................301 Cache-Manager-Statistik ................... 379
Authentifizierungstyp ........................208 Cache-Verzeichnis..................... 360, 366
Automatische Abmeldung ...................61 Calamaris ........................................... 381
Automounter ......................................151 CA-Zertifikat ....................................... 71
CD-Brenner ....................................... 395
CGI .................................................... 186
CGI-Konfiguration ............................ 198
B CGI-Programm .......................... 195, 199
CGI-Verzeichnis ................................ 198
Back-up-Funktion ................................89 CIDR ................................................. 210
Back-up-Konfiguration ......................119 Cluster ............................................... 405
Back-up-Modul..................................120 Cluster-Kategorie .............................. 405
Back-up-Optionen .............................117 CRM-System ..................................... 182
Bandbreitenmessung ..........................384 Cron-Auftrag ..................................... 410
Batch-Datei ..........................................96 Cronjob ...................................... 127, 130
Bayesscher-Filter ...............................345 crontab ............................................... 125
Benutzer...............................................51 Cron-Tabelle...................................... 125
Benutzergruppen................................317 CUPS ................................................. 397
Benutzermanagement ........................406 CUPS-Dienst ..................................... 170

Webmin kompakt
420 Index

CUPS-Skript ......................................171 Ereignisanzeige ................................... 83


Ergebnisliste ........................................ 83
ext3-Dateisystem ............................... 147
D
Dateiberechtigung ..............................316 F
Dateifreigabe .....................................315
Dateimanager .....................................415 FancyIndexing ................................... 201
Dateinamenkonventionen ..................319 Fehlerlevels ....................................... 193
Dateisperrung ......................................69 Festplattenpartition ............................ 399
Dateisystem .......................................146 Fetchmail ........................................... 253
Daten wiederherstellen ......................119 Fetchmail-Konfiguration ........... 254, 255
Datenbank erzeugen...........................277 Fetchmail-Übersicht .......................... 254
Datenbank-Back-up ...........................296 Filter .................................................. 203
Datenbankberechtigungen .................290 Freigabe ............................................. 314
Datenbankverbindungen ....................274 Freigabe erstellen .............................. 315
Datenbankverwaltungssystem ...........273 Freigabeeinstellungen ........................ 321
Datenkompression .............................301 Freigabevorgaben .............................. 330
Datensatztypen...................................220
Datentypen .........................................278
DCC ...................................................350 G
DCC-Einstellungen ............................352
Debug-Level-Nachrichten .................194
Google ............................................... 180
Deinstallationsskript ............................29
GRUB ........................................ 111, 401
Delay-Pool .........................................376
GRUB-Bootmanager ......................... 400
DHCP ................................................235
Gruppe anlegen.................................... 80
DHCP-Client .....................................236
Gruppenmanagement ......................... 406
DHCP-Server .....................................235
Gruppenverwaltung ....................... 74, 94
DHCP-Servermodul...........................246
Digest-Funktion .................................269
DNS-Schlüssel ...................................229
Dokumenten-Root .............................194 H
Druckerfreigabe ................. 315, 320, 331
Druckerkonfiguration ........................398 Hardlimit ........................................... 123
Druckertreiber ....................................398 Hardware-Konfiguration ................... 395
Druckerverwaltung ............................397 Header-Analyse ................................. 345
Druckerziel ........................................398 Header-Zugriffskontrolle ................... 378
Druckjobs ............................................74 Heartbeat-Monitor ............................. 413
Drucksystem ......................................170 Herunterfahren................................... 169
Herunterfahren-Kommando............... 176
Home-Verzeichnis-Optionen ............. 102
E Host-Rechte ....................................... 291
htaccess ............................................. 206
HTTP-Header .................................... 186
Echtheitsbestätigung ..........................304
Einschreibungsregeln.........................264
E-Mail-Modifikationen ......................350

www.brain-media.de
421

I M
INCLUDES-Filter .............................204 Mailingliste........................................ 263
IndexOptions .....................................201 Mailman ............................................ 259
Indexseitenoptionen .............................55 Majorcool .......................................... 259
inittab-Datei .......................................112 Majordomo ........................................ 259
InnoDB ..............................................280 man-Befehl ........................................ 179
Internetdienste ...................................385 Manpage ............................................ 179
IP-basierter virtueller Server..............190 Master-Boot-Record .......................... 111
IPTables .............................................388 Master-Server .................................... 217
ISAM .................................................280 Master-Zone ...................................... 216
Master-Zone-Eintrag ......................... 219
MBR .................................................. 111
J Medientyp.......................................... 184
Merge ................................................ 280
MIME-Typ ........................................ 184
Jetzt-sichern-Bericht ..........................119
Mitgliederliste ................................... 262
Moderationsregel ............................... 264
Moderator .......................................... 261
K Modul klonen ...................................... 52
Modulberechtigungen .......................... 76
Kennworteinstellungen ........................92 Modul-Konfiguration .......................... 40
Kennwort-Konfiguration .....................92 Modultitel ............................................ 64
Kerberos-Konfiguration .....................388 Modulübersicht.................................. 190
KEY-Resource-Record ......................222 Modulverwaltung ................................ 50
Klartextpasswort ..................................92 Modulzugriff ....................................... 68
Klon-Funktion .....................................52 Mountpoint ........................................ 145
Konfigurationsautomat ......................414 MX-Record........................................ 220
Konfigurationsdatei .............................39 MyISAM ........................................... 280
Kopierauftrag .....................................409 MySQL .............................................. 181
Kündigungsregeln ..............................265 MySQL-Benutzer .............................. 289
MySQL-Einstellungen ....................... 286
MySQL-Server-Konfiguration .......... 293
L MySQL-Systemvariablen .................. 295

LAMP ................................................273
LanManager .......................................313 N
Laufende Prozesse .............................133
Lease-Einstellung ..............................241 Namenbasierter Server ...................... 190
LILO .......................................... 111, 401 Nameserver........................................ 223
Linux-Firewall ...................................388 NetBIOS ............................................ 313
Listenteilnehmer ................................268 Netzwerkeinstellungen ...................... 383
Logical Volume Manager ..................403 Netzwerkkonfiguration ...................... 391
Log-in-Dialog ......................................61 NIS-Server ......................................... 245
LVM ..................................................403 NTP-Server........................................ 245

Webmin kompakt
422 Index

O R
OpenSSH ...........................................299 RAID-Geräte ..................................... 401
OpenSSH-Konfigurationsdateien ......311 Razor ................................................. 350
OpenSSH-Server ...............................301 RBAC .................................................. 81
OpenSSL .............................................31 Redirector .......................................... 358
OpenSSL-Komponente ......................202 Refresh-Regeln .................................. 378
OpenSwan..........................................387 Replikationssystem ............................ 273
Ortsangabe .........................................222 Restore-Modul ................................... 120
OSDN ..................................................48 Reverse-Adresse ................................ 222
rlogin ................................................. 299
rndc.................................................... 230
P Roaming-Profil .................................. 339
Rootserver ......................................... 216
RPC ................................................... 405
PAM ....................................................62
RPC-Protokoll ..................................... 84
PAM-Authentifizierung .......................89
RPM ............................................ 50, 163
PAM-Konfiguration...........................156
RPM-Manager ................................... 164
Partitionsmanager ..............................399
RP-Record ......................................... 222
Passwort-Checker ..............................108
Runlevel .................................... 112, 176
Passwort-Einstellungen..............107, 326
Passwortgeschützte Web-Verzeichnisse
......................................................416
Passwortschutz...................................208 S
Passwort-Server .................................326
PEM .....................................................71 Samba ................................................ 313
Per-Directory-Einstellung .......... 186, 199 Samba Web Administration Tool ...... 334
Perl-SSLeay-Bibliothek .......................18 Samba-Konfigurationsdatei ............... 332
PHP-Einstellung ................................203 Samba-Modul ...................................... 78
phpMyAdmin ............................181, 273 Samba-Modulberechtigung ................. 78
Port-Umleitung ..................................379 Samba-Zugriffskontrolle ..................... 78
Port-Weiterleitung .....................236, 301 Schlüsselgröße ..................................... 71
PPP-Konfiguration.............................393 SCP.................................................... 305
PPTP-Konfiguration ..........................393 Secondary Nameserver ...................... 223
Primärschlüssel ..................................281 SELECT ............................................ 283
Primary DNS Server ..........................223 Sender Permitted Form ...................... 221
Procmail.............................................346 Sendmail ............................................ 270
Protokolldateien ...........................89, 168 Server hinzufügen................................ 84
Protokolleinstellungen .......................192 Server-Message-Block-Protokoll ...... 313
Protokollierungskategorie ..................227 Servername ........................................ 323
Protokoll-Server.................................244 Server-Prozess ..................................... 15
Proxy-Request ...................................368 Server-Side-Includes ......................... 195
Proxy-Server ................ 47, 187, 206, 210 Server-Status ..................................... 416
Prozessdetails ....................................135 Server-zu-Server-Verbindungen .......... 85
Prozess-ID, ........................................134 Session-Authentifizierung ................... 69
Prozessverwaltung .............................133 Session-ID ........................................... 81
Pyzor.......................................... 351, 353 Sessions einsehen .............................. 316

www.brain-media.de
423

SFTP ..................................................305
Share ..................................................314
T
Sicherheitsdienste ................................89
Sitzungen .............................................81 Tabellenrechte ................................... 292
Slave-Zone.........................................223 TAR-Dateisystemsicherungsdetails ... 116
SMART-Festplattenstatus..................402 telnet .................................................. 299
SMB...................................................313 Telnet................................................. 417
SMB-Client........................................313 Textanalyse........................................ 345
smbfs-Dateisystem.............................152 TSIG .................................................. 245
SMTP-Headerzeile ............................269 TTL ................................................... 218
Softlimit .............................................123 Typenbezeichung............................... 185
Software-Management .......................411 Typenbreite........................................ 280
SourceForge .........................................47
Spam ..................................................345
SpamAssassin-Modulkonfiguration...355 U
Spam-Filter ........................................346
Spam-Klassifizierung ........................349 Umleitung .......................................... 197
SQL-Kommandos ausführen .............282 Unix-Benutzer-Authentifizierung ........ 81
Squid..................................................211 Usermin-Server verwalten ................. 412
Squid-Hilfsprogramme ......................367
Squid-Konfiguration ..........................375
Squid-Modulkonfiguration ................380
Squid-Protokollierungsfunktion.........363
V
Squid-Zugriffskontrolle .....................367
SSH....................................................417 Verisign ............................................. 202
SSH-Client................................. 305, 309 Verzeichnisindizierung ...................... 200
SSH-Schlüssel ...................................311 Vipuls Razor...................................... 345
SSL ........................................ 18, 70, 201 virtueller Server ................................. 183
SSL-Encryption-Modul .......................33 Voicemail-Server............................... 403
SSL-Funktionalität...............................70 Vorverschlüsseltes Kennwort .............. 92
SSL-Port ............................................202 VPN-Konfiguration ........................... 387
SSL-Tunnel........................................393
Standardfreigabe ................................323
Standardmodule ...................................51 W
Stapelverarbeitungsdatei ......................98
strftime .................................................41 WAMP .............................................. 273
STunnel .............................................393 WBM-Datei ......................................... 50
Suchfunktion......................................137 Webmin aktualisieren .......................... 56
SWAT ................................................334 Webmin-Add-ons ................................ 15
Syslog-NG .........................................167 Webmin-Administrator........................ 15
System-Handbücher...........................179 Webmin-Aktualisierung ...................... 57
Systemkonfiguration ..........................108 Webmin-Benutzerschnittstelle............. 49
System-Status ....................................416 Webmin-Benutzerverwaltung .............. 73
Systemzeit..........................................402 Webmin-Homepage. ............................ 25
Webmin-Installation ...................... 16, 57
Webmin-Installationsskript ........... 18, 44
Webmin-Kategorie ........................ 26, 83

Webmin kompakt
424 Index

Webmin-Konfiguration............ 31, 64, 82 WKS-Record ..................................... 222


Webmin-Konfigurationsverzeichnis ....29
Webmin-Log-in ...................................25
Webmin-Logo ......................................25 X
Webmin-Modul ....................... 26, 27, 28
Webmin-Modul-Übersicht ...................36
X11-Weiterleitung ............................. 300
Webmin-Port .......................................44
XAMPP ............................................. 273
Webmin-Protokollfunktion ..................45
XDM-Server ...................................... 245
Webmin-Prozessmanager ..................133
Webmin-Schnittstelle ..........................36
Webmin-Server ....................................18
Webmin-Server-Farm ..........................85 Z
Webmin-Server-Index .........................83
Webmin-Server-Sicherheit ..................30 Zeichensatzunterstützung .................. 205
Webmin-Server-Verwaltung ..............412 Zeit-Server ......................................... 244
Webmin-Themes .................................65 Zertifikatautorität................................. 70
Webmin-User ......................................15 Zonenstandards.................................. 229
Webmin-Webserver .......................17, 43 Zonenvorlage ..................................... 218
Weiterleitung .....................................228 Zugriffskontrolle ......... 52, 210, 267, 316
Wemin-Konfigurationsmodul ..............43 Zugriffskontrollliste............................. 51
Winbind .............................................329 Zugriffsroutine................................... 145
Windows-zu-Unix-Druckereinstellungen Zugriffssteuerung .............................. 227
......................................................327 Zwischenspeicher .............................. 294
WinSCP .............................................305 Zwischenspeicherung ........................ 212
WINS-Server .....................................323

www.brain-media.de