ICT-Infrastruktur für Bildungsaufgaben
2. Systemadministration allgemein
Thomas Leitner <thomas.leitner@univie.ac.at>
Fakultät für Mathematik, Universität Wien Sommersemester 2013
Letzte Änderung: 2013-09-20 20:46:17 +0200
Inhalt
Häufige Aufgaben Arbeiten als root
Wichtige Verzeichnisse
Syntax von Konfigurationsdateien Systemservices/Dämonen
Hilfsmittel für Systemadministration
Häufige Aufgaben
Installation und Konfiguration von Servern und Arbeitsplatzrechnern (möglichst automatisiert, ev. über ein Netzwerk, wiederholbar)
Benutzerverwaltung (Anlegen, modifizieren und löschen von Benutzern und Gruppen)
Installation und Konfiguration von Software (Benutzerapplikationen, konfigurieren des automatischen Einspielens von Sicherheitsupdates, erstellen systemweiter Standardkonfigurationen)
Tausch von fehlerhafter Hardware (einzelne Komponenten, ganzer Rechner, Peripheriegeräte) Behebung von Softwareproblemen
Backups (einrichten, kontrollieren, wiederherstellen)
Monitoring (überwachen von Serversoftware, Netzwerk, … auf Probleme bzw. Angriffe) Erstellen einer Benutzungsordnung („Policy“, politischer Aspekt)
Arbeiten als root
Systemadministration muss als Benutzer root durchgeführt werden, da nur dieser die nötigen Berechtigungen hat → birgt großes Gefahrenpotential!
Es ist empfehlenswert, nicht direkt als root einzuloggen, sondern über su oder sudo kurzfristig root zu werden (besser nachvollziehbar, wer wann etwas als root gemacht hat).
Die einzelnen Rechte von root können nicht auf mehrere Benutzer aufgeteilt werden. Über den Befehl sudo kann man aber trotzdem relativ einfach andere Benutzer Systemadministrationsaufgaben durchführen lassen.
Wichtig Verzeichnisse
Die Lage der Konfigurations-, Daten- und Systemdateien ist bei den meisten Linux-Distributionen FHS-konform.
/etc/
→ Systemkonfigurationsdateien/var/
→ Veränderbare Datendateien:/var/cache/
→ Cachedaten von Applikationen/var/cache/
→ Cachedaten von Applikationen/var/log/
→ Logdateien/var/run/
→ Laufzeitdaten von Prozessen/var/spool/
→ Spooling von Daten (Spool = Simultaneous Peripheral Operation On-Line und aufspulen/abspulen; Zwischenlagerung von Druckjobs, Mails, …)/proc/
→ Datendateien des Kernels (auch Informationen zu Prozessen)/sys/
→ Informationen über alle Geräte, die der Kernel kennt, und Möglichkeit, diese zu konfigurierenSyntax von Konfigurationsdateien
Die Konfigurationsdateien unter Linux (Unix) sind alles Textdateien. Daher braucht man nur einen Texteditor (z.B. Vim), um sie zu bearbeiten.
Textdateien haben einige Vorteile:
Wird die Datei korrupt, kann man den Großteil trotzdem richtig auslesen.
Man braucht nur einen Texteditor.
Man wird sie auf zukünftigen Computern ohne spezielle Hilfsmittel sicher lesen können.
Ein großer Nachteil ist, dass es keinen Standard für die Syntax von Konfigurationsdateien gibt:
Tabellenstruktur (z.B.
/etc/passwd
)Ausführbare Datei (z.B.
/etc/bash.bashrc
)XML (z.B.
/etc/fonts/fonts.conf
)Assoziation von Parametern mit Werten, eventuell unterteil in Sektionene (z.B.
/etc/X11/xorg.conf
)Spezielles Format
Systemservices/Dämonen 1
Beim Systemstart werden durch den init-Prozess die nötigen Systemservices/Dämonen (Disk and execution monitor) gestartet.
Es gibt mehrere verschiedene init-Programme, früher SysV-Init mit den Init-Skripten (Shell-Skripte).
Um den Start zu optimieren, verwenden moderne Distributionen andere init-Programme (bei Ubuntu z.B. Upstart, bei Fedora z.B. systemd).
Bei Upstart liegen die Konfigurationsdateien in
/etc/init/
, das Verzeichnis/etc/init.d/
gibt es aber weiterhin (Upstart ist kompatibel zu SysV). Es enthält SysV-Init-Skripte, die noch nicht auf Upstart konvertiert worden sind bzw. symbolische Links für alle Upstart-Konfigurationsdateien.
Services können bei SysV direkt durch Aufruf des Init-Skriptes gestartet oder gestoppt werden. Für Upstart gibt es z.B. die Befehle service, start, stop und restart.
Welche Init-Skripte beim Systemstart automatisch gestartet werden, wird durch symbolische Links in den Verzeichnissen
/etc/rc{0..6}.d/
angegeben bzw. direkt in den Upstart-Konfigurationsdateien.
Systemservices/Dämonen 2
Im Verzeichnis
/etc/default/
finden sich zu vielen Systemservices und Dämonen zusätzliche Konfigurationsdateien (Shell-Skripte, welche Variablen definieren), z.B./etc/default/dbus
.Dämonen laufen im Hintergrund und führen wichtige Systemaufgaben aus (z.B. udevd oder dbus) oder stellen bestimmte Services bereit (z.B. sshd oder atd).
Kommuniziert wird mit Dämonen meist über Signale (z.B. wird HUP verwendet, um die Konfiguration neu zu laden).
Systemservices/Dämonen 3
Zwei wichtige Systemservices:
udev ist verantwortlich für die automatische Erstellung von Gerätedateien in
/dev/
.D-Bus dient zur Interprozesskommunikation. Es stellt eine genormte Schnittstelle zur
Verfügung, über die sich Prozesse gegenseitig Nachrichten schicken können. Zusätzlich wird auch die Möglichkeit geboten, dass sich ein Prozess für eine bestimmte Nachricht registriert und er dann automatisch benachrichtigt wird, sobald jemand die Nachricht schickt (z.B.
Netzwerkverbindung hergestellt/getrennt).
Hilfsmittel für Systemadministration 1
Es gibt einige Programme, über die zentral ein Linuxsystem administriert werden kann (z.B. Webmin).
Die Benutzung von Webmin (oder anderer solcher Programme) hat Vor- aber auch Nachteile:
Pro: Man muss die unterschiedlichen Konfigurationsdateien und deren Syntax nicht kennen, um Änderungen vorzunehmen.
Pro: Einheitliche Oberfläche, gut aufbereitet, leicht verständlich.
Contra: Die Version des Admin-Programms muss zu den Versionen der Programme passen, die man konfigurieren will. Ist ein Programm neuer und hat es Änderungen in der Syntax oder der Konfigurationsparameter gegeben, muss man warten, bis das Admin-Programm nachzieht.
Contra: Automatisches Ändern von Konfigurationsdateien über Tools kann gefährlich sein.
Contra: Man wird eventuell von „abhängig“ von dem Admin-Programm.
Hilfsmittel für Systemadministration 2
Besser sind Konfigurationsmanagementprogramme (z.B. Puppet, Chef, CFEngine), die aus einer Server- und einer Client-Komponente bestehen. Auf Wikipedia gibt es einen Vergleich von mehreren dieser Programme).
Diese erlauben es, einen Rechner reproduzierbar in einen bestimmten Zustand zu versetzen. Dazu wird der gewünschte Zustand mittels Konfigurationsdateien definiert und das Programm weiß, was es ändern muss, um diesen Zustand zu erreichen.
Sobald man mehrere Server/Arbeitsplatzrechner verwalten muss, sollte man sich überlegen, ob man nicht so ein Programm einsetzen will.
Einige der Programme (z.B. Puppet und Chef) erlauben auch die Ausführung ohne Serverdienst. Das ist z.B. sehr nützlich, um nach einer Neuinstallation des eigenen Rechners schnell wieder alles richtig konfiguriert zu haben.
Copyright und Lizenz
Copyright: Thomas Leitner thomas.leitner@univie.ac.at Lizenz: Creative Commons CC BY-NC-SA
„Namensnennung-Keine kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 3.0 Österreich.“ - http://creativecommons.org/licenses/by-nc-sa/3.0/at/
