• Wenn ich einen Mailserver betreibe: Wie verwalte ich die Accounts und – noch viel wichtiger! – wie verwalten die Benutzer ihre Passwörter?
• Wenn die Anwender auf meinen Server Speicherplatz (zum Beispiel in /home/benutzer) nutzen können: Wie beschränke und kontrolliere ich und der Benutzer den Speicherplatz?
• Wenn ich Benutzer anlege: Wieviele persönliche Daten will ich von meinen Benutzern und warum (nicht)? Wie sicher ist dies alles zu betreiben?

Fragen über Fragen. Und da fängt die Admin- Arbeit eigentlich erst richtig an.

Natürlich gibt es out-of-the-box-Lösungen. Sehr gut hat mir z.B. Zimbra 7.1.0 auf Ubuntu 10.04 LTS gefallen. Der Nachteil war allerdings, dass Zimbra alle Dienste (auch den Webserver) mitbrachte, installierte und damit alle Ressourcen in Beschlag nahm. Es wurde für mich schwierig, die eigenen Projekt-Ziele mit den von Zimbra gegebenen (und konfigurierten) Diensten umzusetzen – schade, ich fand Zimbra super! Wer also einen Server mit einer Minimal-Installation, mit Internet-Anbindung und ohne installierte Dienste betreut, sollte sich unbedingt mal Zimbra anschauen.

Dann habe ich schmale, einzelne Lösungen gesucht, gefunden und ausprobiert. So habe ich mir – wie viele andere Admins! – SquirrelMail angeschaut. Aber als ich das Datum der Plugins zum Wechsel der Passwörter gesehen habe (beim Script für das SASL Passwort stand: Last Release: 1.4.1 on Mar 2, 2005 – zweitausendfünf! [2]) habe ich über die angebliche (!) Unsicherheit von Webmin nur noch gelacht! Kein SquirrelMail-Admin, der über solche Scripte, seine Anwender das Passwort wechseln läßt, soll mir in den Foren was von einen “unsicheren Webmin” erzählen! Bei allen Respekt! Letztlich habe ich mir also Webmin angeschaut.

Mal ehrlich: Wenn ein Admin sagt, dass die Optik der Tools KEINE Rolle spielt, hat er schon gelogen. Natürlich schätzen auch Admins eine schöne und überschaubare Web-Anwendung! Und wenn dann Webmin installiert ist (was übrigens einfach und fehlerfrei geht, ich würde es NICHT aus dem Repository installieren) bekommt man erstmal ein Augenleiden. Ich weiß auch nicht, warum die Webmin-Buben in die Webmin-Optik keine Liebe reinstecken…. Letztlich sollte man sich nach einen Theme umschauen (so viele gibt es leider nicht!) und erstmal “Klar Schiff” machen. Ich habe mich für das StressFree Theme [5] entschieden.

Bei aller Liebe zur Optik sollte natürlich die Sicherheit NIEMALS zurückstehen und weitestgehend optimiert werden – aber so, dass der Anwender noch atmen kann. Und da Webmin einen eigenen Webserver mitbringt, per HTTPS angesprochen (und seine Anmeldung nach HTTPS umleiten kann) und auch Zertifikate für die Serverdienste generiert, gibt es einiges Potenzial für Optimierungen [1] [3]. Ich würde empfehlen, die Server-Dienste direkt in den Scripten einzurichten und dann Webmin hinterher (sozusagen) drüberzulegen und nur zur Verwaltung der Serverdienste einzusetzen. Letztlich stellt sich dann die Frage, wieviel Zugeständnisse macht Admina an das grafische Frontend?! So hatte ich den Fall, dass ich im Script “wenn es gewollt ist” konfiguriert habe, aber Webmin nur “Ja” oder “Nein” kannte. Ich empfehle dann, sich für die Option zu entscheiden, die ich auch grafisch verwalten kann, weil es ja eigentlich der Sinn ist, nicht mehr in die Scripte zu schauen und dann hätte ich gerne alle aktiven Optionen in der Grafik auf einen Blick. Letztlich ist das wohl Geschmackssache – aber sicherlich kommt man an den Punkt, sich entscheiden zu müssen!

Entscheiden muß man auch, wie es denn mit der Benutzerverwaltung aussieht. Es kann auf keinen Fall eine Option sein, den Benutzern den Zugriff per SSH auf die Linux-console zu ermöglichen, damit sie ihr Passwort wechseln können!! Und auch da hat in meinen Augen Webmin gepunktet: Mit dem Anlegen der Benutzer unter Webmin kann ich ein Benutzer-Profil vor-definieren. So können alle Benutzer mit der Shell /bin/false angelegt werden und schon ist keine (brauchbare) Anmeldung am Linux Server möglich. Und da Usermin für das Mailfrontend eine sehr schöne Möglichkeit bietet, mit der Benutzer unter ihrer Anmeldung das Passwort wechseln können, ist auch dafür keinerlei Zugriff auf den Server notwendig. Auch der Umweg über Datenbanken oder LDAP ist nicht notwendig: Die 6 WG-Genossen als Benutzer einfach normal mit useradd (oder mit Webmin) anlegen und dann kann Admin sie einfach mit Webmin in der /etc/passwd verwalten [4]. Wenn ich das richtig verstanden habe, verträgt die passwd rund 65000 Einträge. Eine große WG…. Und auch Dovecot und Postfix finden die Benutzer dort.

Usermin?? Verdammt, jetzt habe ich ein neues Wort eingebaut… [6] In Foren habe ich immer wieder heraus gelesen, dass es Unklarheiten gibt, was Webmin und Usermin eigentlich unterscheidet. Nochmal deutlich: Mit Webmin verwaltet man den Server (die Hardware, Installationen), die Serverdienste (FTP, Apache, Postfix) und Ressourcen (Plattenplatz, Quota, Benutzer). Mit dem Usermin, welches “in das” Webmin hinein installiert wird, gebe ich meinen Benutzer den kontrollierten Zugriff auf Ressourcen (Postfach, Speicherplatz) – deswegen ja USERmin. Also: erst mit Webmin den Server rund machen, Usermin unter Webmin für die Benutzer konfigurieren und sie dann an Usermin anmelden lassen. Achtet auf die verschiedenen Ports…. Verdammt, der Text wird zu lang.

[Zeige als Diashow]

Mit der Verwaltung der Benutzer, dem Mailserver und der Sicherheit ist das nämlich so eine Sache! Ich würde z.B. versuchen, verschlüsselte Passwörter einzusetzen. Damit muß ich aber in Zusammenhang mit Dovecot und Postfix auch eine zweite DB (die erste ist die /etc/passwd) – nämlich die sasldb2 – pflegen, bzw. den Benutzern auch den Zugriff auf die DB für den Passwortwechsel einrichten! Spannende Sache: Ich baue mir ein 2tes Sicherheitsproblem ein. Vielleicht ist es aber mehr Sicherheitsgewinn, wenn ich auf die verschlüsselten Passwörter verzichte und TLS (also die verschlüsselte Übertragung des unverschlüsselten Passwortes) als mandatory (-> Pflicht) vorgebe. Und damit muß ich den Benutzern nur noch den Zugriff auf eine Datenbank konfigurieren. Vielleicht gewinnt man manchmal mehr, wenn man etwas aufgibt. (So hat wohl auch meine Ex gedacht.)

Tja, ich könnte noch lange weiterschreiben, aber ich habe Hunger und will langsam zum Ende kommen. Vor dem Ende sollte man nochmal den Anfang betrachten: Ich will ein einfaches tool zur Verwaltung des Servers (Webmin) und die Benutzer sollen ein schönes Mailfrontend im Browser haben und eine einfache Möglichkeit, dass Passwort zu wechseln (Usermin). Also konfiguriere deinen Server optimal auf der console, installiere Webmin/Usermin, hübsche Webmin auf und schlanke es ab (ich deinstalliere erstmal alle Webmin-Module, die ich nicht brauche), beachte Sicherheitsüberlegungen – Welche Daten von Benutzern brauche ich unbedingt? Welche nicht? Ist ein shell-Zugang unbedingt erforderlich? Specke das Usermin für die Anwender ab (Module ausblenden, Theme einstellen) – letztlich bleiben ca. 5 Module für den Benutzer und alle sind sicher und glücklich. Später mehr (z.B. Quota) …

| [1 Sicherheit] | [2 Squirrelmail] | [3 Sicherheitsempfehlungen] | [4 Linux Befehlsübersicht] |  [5 Webmin Theme] | [6 Webmin] |

Die Messungen wurden an zwei PC’s durchgeführt, die gleich ausgestattet sind (siehe unten) – allerdings sind beide Geräte mit verschiedenen Betriebssystemen installiert. Ein PC läuft Tag und Nacht mit Fedora 15 Linux (64 bit,SMP-Kernel) als Server und der zweite PC fungiert als Arbeitsmaschine  und hat Windows 7 Enterprise (mit SP1, 64 bit) installiert. Beide Geräte nutzen die gleichen Seasonic Netzteile (430Watt) und verbrauchen im ausgeschalteten Zustand 2,5 Watt, der Monitor Hanns.G HH192 genehmigt sich konstant knapp 20 Watt und die externe Festplatte (500GB) frißt über ein externes Netzteil 7 Watt im Ruhezustand (zeitgleich per USB an den PC angeschlossen).

Interessant fand ich das Verhalten des Druckers. Der HP Deskjet 6940 (externes Netzteil, Lan) verbraucht im Ruhezustand 3 bis 4 Watt und während des Drucks ca. 10Watt. Allerdings macht der Drucker nach jeden Druckvorgang mit seiner Mechanik noch ein paar Aufräumarbeiten die ca. 10 Sekunden dauern und auch laut vernehmbar sind. Und in genau diesen 10 Sekunden gönnt er sich nochmal 20 (zwanzig) Watt! Also das doppelte vom Druckvorgang! Wenn man in einen Unternehmen, wie das meine arbeitet, in dem mehrere Hundert Drucker im Einsatz sind, kann man sich die Dimension in der Stromrechnung ausmalen.

Der Windows 7 PC lag im ausgeschalteten Zustand bei 2,5 Watt, beim hochfahren zeigte das Meßgerät stark schwankend Werte bis maximal 105 Watt an. Diese Werte sanken dann aber wieder auf 70 Watt mit erscheinen des Anmeldefensters.  Der Unterschied vor der Anmeldung und nach der Anmeldung (also Desktop im Ruhezustand, ohne den start von Programmen) machte 10 Watt aus (70/80 Watt). Auffallend waren dann die starken Ausschläge bis auf 105 Watt mit dem starten von z.B. Thunderbird und Google Chrome. Auffallend deswegen, weil bei Fedora 15 Linux ein ganz gegensätzliches Verhalten auftritt.

Auch der Fedora 15 Linux PC zeigte im ausgeschalteten Zustand 2,5 Watt, beim hochfahren allerdings nur 70 Watt und das sehr konstant! Mit hochfahren in den Runlevel 3 (also volle Funktionalität, aber ohne grafische Oberfläche) zeigte das Meßgerät gleichbleibend 70 Watt an und nach (!) dem Start der grafischen Oberfläche (LXDE) erschien das nächste Wunder: Das Meßgerät zeigte nur noch 60 Watt – also 10 Watt weniger! Das ist in so weit ein Wunder, weil die Allgemeine Lehrmeinung besagt, dass Grafik Strom frißt. Erklären kann ich mir das eigentlich nur damit, dass ein Linux für den Grafischen Modus in einen anderen Runlevel wechselt und damit auch verschiedene Dienste ab- und angeschaltet werden – Vermutlich greifen die Energiespar-Dienste erst in der Grafik effektiv. Das Starten von verschiedenen Programmen in der Grafischen Oberfläche von Fedora Linux brachte so gut wie keine Veränderung in der Anzeige des Meßgerätes!

Nun, natürlich sind diese Messungen nicht unbedingt Nobelpreis-verdächtig, aber sie zeigen doch auch, dass es im Umgang mit Energie Unterschiede zwischen den führenden Betriebssystemen gibt. Was ich besonders erwähnenswert finde, sind die starken Schwankungen in den Werten bei Windows: Sprünge von 30 Watt sind bei normalen Arbeitsvorgängen unter Windows 7 dauerhaft präsent. Im Vergleich dazu erscheint Linux wie ein alter Fuchs: Keep cool, Baby. Keine großen Schwankungen und immer einige Watt unter den Werten von Windows 7 erscheint mir – natürlich rein subjektiv – Linux sparsamer und ausgeglichener im Verbrauch. Die richtige Entscheidung für meinen Home-Server.

(Gemessen wurde nur der PC mit dem Stromkabel im Meßgerät – also kein Monitor, externe Festplatte oder sonstiges Zubehör am Stecker. Alle Werte sind grob gerundet.)

Hardware

• Core2Duo E7600 (2x 3,06Ghz)
• 4GB Ram (DDR2 / 1066Mhz)
• Netzteil Seasonic S12II-430W 80+ (sehr leise!)
• ATI Radeon HD 5670 (GDDR3, max. 61Watt, passiv gekühlt)
• Asus Mainboard P5QD Turbo (ICH 10R, ACPI 3.0)
• Seagate  Barracuda 7200.12 (250GB)
• nicht übertaktet
• kein RAID
• ein einfaches Mittelklasse System!

Stellen wir uns ein Intranet vor und wir wollen aus dem Internet mit einen grafischen Sicherheitstool unsere Firewall testen, oder wir müssen einen Aushilfs-Admin den Zugang aus einer Filiale auf den Backup-Server ermöglichen und (weil das immer so ist) schlappt noch ein Redakteur oder Entwickler an, der “unbedingt” einen grafischen Zugang zu einen Webserver braucht – Krisen über Krisen. 

Als geübte Admins mit zwei Liter Kaffee im Blut sollten wir jetzt nicht in Panik verfallen: Sicherlich können wir vielleicht, dass eine oder andere Problem mit Webmin entschärfen, SSH/Putty geht vielleicht auch noch aber dann kommt man vielleicht doch an einen Punkt, an dem “es schön wäre”, eine grafische Oberfläche zu haben. Letztlich hatte ich (und Kollegen) solche Aufgabenstellungen und stelle hier meine Lösung vor.

Die Wahl der grafischen Oberfläche ist wahrscheinlich sehr nach Neigung gewählt. KDE, Gnome, was auch immer. Vielleicht ist es auch egal, weil sowieso im Rechenzentrum kein Monitor am Server hängt… Nach dem ich aber gesehen habe, dass KDE fast 1GB auf die Festplatte nageln, Gnome sich ca. 600MB genehmigen wollte und LXDE mit knapp 100MB die geizigste Oberfläche bot, war bei mir die Entscheidung gefallen. Falls jetzt jemand meint, dass bei heutigen Festplatten die Größe der Anwendung keine Geige spielt, ist leider im Irrtum. Die Provider bieten sehr wohl auch Server mit einen festgelegten Webspace an. Wer also einen Webspace von 10GB gemietet hat und davon 1GB an KDE abgeben soll, überlegt sich das vielleicht genauer!

Ich spreche hier nur von den vollständigen Installationen der Grafischen Oberfläche:

• yum grouplist
• yum groupinstall LXDE

Nur mal so: Unter Fedora 15 wird die grafische Standard-Oberfläche mit der Datei “desktop” festgelegt, die den Start-Aufruf für die Oberfläche (für LXDE also “lxsession”) beinhaltet und im Ordner /etc/sysconfig gespeichert ist. Mit dem nächsten Aufruf von “startx” würde also LXDE starten. Das setzt natürlich voraus, dass mit “yum groupinstall LXDE” das Paket auch installiert ist. Für die folgende Beschreibung ist der Eintrag aber nicht notwendig. 

Für den Remote Zugriff auf den Server muss ein Dienst laufen – dazu installieren wir von NoMachine.com die Pakete “NX Free Edition for Linux” [1]. Auf der Download-Seite werden die Pakete sortiert in tar, rpm oder deb angeboten und eine passende Installationsanleitung angezeigt. Also nach download (z.B. mit putty -> wget +download-URL) auf den Server kann die Installation erfolgen. Nach der Installation ist der NX Dienst automatisch gestartet. Die grafische Oberfläche (hier also LXDE) muss auf dem Server NICHT ständig laufen – nur installiert sein!!

Zu beachten ist, dass auf dem Server OpenSSH installiert sein und laufen muss! Wenn man AllowUsers in der /etc/ssh/sshd_config benutzt, muss der Benutzer nx eingetragen werden. Das ist meiner Meinung nach keine Sicherheitslücke. Notwendig ist in diesen Fall natürlich auch ein gültiger Linux Benutzer für die Anmeldung am Server – Meine Empfehlung: NICHT root!! Der gewünschte Linux-Benutzer muß bei Einsatz der AllowUsers Option in der sshd_config ebenfalls eingetragen sein. Die genannte Option macht natürlich nur wirklich Sinn, wenn man PermitRootLogin auf no stellt (also quasi: erlaube dem root keinen ssh Zugang, zum root wechselt man dann über den Befehl su.)

Jetzt noch den NX Client von NoMachine.com für Windows auf der Client-Maschine installieren [2]. Unter winXP und win7 geht das problemlos. Dann noch im NX Client eine Verbindung zum Server einrichten und auf dem Desktop als Icon ablegen und fertisch. Als Beispiel habe ich hier mal eine Konfiguration für LXDE als Bild abgelegt:

Übrigens: Sollten sich nach einem erfolgreichen Starten von LXDE über NX mehrere Fenster öffnen, solltest Du die Optionen in meinem Screenshot genauer betrachten. Für die IP-Adresse im Screenshot setzt Du natürlich die IP-Adresse oder den Namen deines Servers ein. Beachte bitte auch: Wenn Du auf deinen Server “denyhosts” im Einsatz hast (was ich sehr empfehlen würde!!) kann durch mehrfache falsche Anmeldung ruckzuck der Client (Beachte: nicht der Anwender!) am Server gesperrt sein. Das sollte Admin berücksichtigen, gerade wenn die Anwender einen Passwortwechsel hatten und im NX Client noch das alte PW hinterlegt ist. Über die Performance braucht man garnicht spekulieren: Kollegen und ich haben schon Filme vom Server über die NX Software geschaut!

Eine LXDE (oder was auch immer) Session wird normal über das abmelden des Benutzers beendet. Leider schließt sich dann manchmal der NX Client nicht oder reagiert nicht, dann schließe das Fenster über das Kreuz und “terminate” die Sitzung.

Übrigens: Auch wenn die NX Software von NoMachine.com eine “Free Edition” ist, sollte natürlich – bei Einsatz in produktiven und kommerziellen Umgebungen – die Lizenz-Frage geklärt werden. Beachte auch die Limits der Free Edition [3].

| 1 Nomachine | 2 Clientsoftware (die fonts waren unter Win7 nicht nötig) | 3 Limits free Nomachine | 4 Erläuterungen zu NX |

Also keine Panik. Generell gehe ich davon aus, dass alles, was von Menschenhand gebaut wurde, auch durch Menschenhand wieder platt gemacht werden kann. Ich gehe nicht davon aus, das Google oder Sony (wobei: bei denen bin ich mir nicht ganz sicher) nur beschränkte Administratoren haben.

Vielmehr kann einen manchmal die Komplexität einer Umgebung zu schaffen machen, verschiedene Interessen, die unter einen Hut sollen oder die mangelnde Zeit im Berufsalltag, um für die Kollegen brauchbare Dokus abzuliefern…. Letztlich: Wir sind nur Menschen – deswegen bin ich auch gegen Atomkraft! Aber was bedeutet das für meinen kleinen, mühsam zusammengebauten Home-Server, der doch so schön über dyndns.org im Internet zu sehen ist??

Gefühl entwickeln! Ähh?? Ja, Gefühl für die Technik. Wieviel Festplattenplatz ist nach einer sauberen Installation von Linux belegt? Wie hoch ist die Systemauslastung wenn die üblichen Dienste (Mailserver, Samba, Webserver) im Einsatz sind? Wieviel MB nimmt ein normales Online-Update meiner Distribution in Beschlag? Habe ich mir mal nach einer Neuinstallation die Liste der User in der /etc/passwd angeschaut und würde es merken, wenn plötzlich ein User mehr drinsteht? Fragen über Fragen. Wieder eine Zigarette (oder Tee).

Ich stelle mal eine Liste für einen regelmäßigen Server Check zusammen. Ziel ist es, jeden Tag, innerhalb von 11 Minuten, einen brauchbaren Überblick zu bekommen, in wie weit mein Server Schluckauf (oder ein Sicherheitsproblem) haben könnte:

1. Hat jemand Daten auf meinen Server geparkt? Das ist garnicht so selten! Überprüfe mit df -h die Belegung deiner Partitionen.
2. Wer war zu letzt eingelogt? Einfach mal den Befehl lastlog auf der console eingeben. Beachte: der Befehl überschreibt leider die eigene Anmeldung an der console mit der aktuellen Anmeldung.
3. Gab es sonstige Anmeldeversuche? Schau Dir mal die /var/log/auth.log (Ubuntu) und unter Fedora /var/log/audit/audit.log (alternativ /var/log/secure)  an und überlege kurz, ob das so plausibel ist.
4. Gibt es eine höhere Auslastung von CPU und Ram? In der console einfach mal den Befehl top eingeben. Beachte: mit dem eingeben einer “1″ werden alle Prozessoren angezeigt und mit der Eingabe der Buchstaben “m”, “t” und “l” (l wie eL) werden verschiedene Infos angezeigt. Zombie Prozesse sind kein (automatischer) Grund zur Panik: Leider kann man diese Prozesse schlecht abschießen.
5. Welche Prozesse laufen eigentlich – oder auch nicht? Am schnellsten hat man einen guten Überblick, wenn man den Befehl ps -ax auf der console eingibt. Das man mit SHIFT+Bild/hoch und Bild/runter die Ansicht entsprechend anpassen kann, sollte jeder wissen, der einen Server betreibt. Oder auch, dass man mit ps -ax | grep httpd unter Fedora Linux alle Prozesse, die mit dem Webserver zutun haben, angezeigt bekommt….
6. Die Logfiles /var/log/syslog und /var/log/messages sind Dir natürlich bekannt! Wenn nicht: Baue deinen Server wieder ab! Die Gefahr, dass dann dein Server eine Gefahr für andere wird (Botnetze) ist zu groß…
7. Was treiben die Leute auf meinen Webserver? Eine spannende Frage! Deswegen hast Du vielleicht AWStats, Piwik oder Google Analytics auf deinen Server eingerichtet. Wenn ja: Würde ich auch auf die Liste der regelmäßigen Checks setzen. Immerhin würde ich schon wissen wollen, wenn sich plötzlich 3000 Rechner für meine login.php interessieren…
8. Wer tanzt gerade Samba? Wenn ein Samba Fileserver und vielleicht ein WLan-Server (hostapd) eingerichtet ist, könnte es interessant sein, wer noch so auf deine Freigaben – also DATEN – zugreift. Einfach mal in der console den Befehl smbstatus eingeben …
9. Blutegel sind widerlich – Rechner die an unseren Ports saugen auch! Gerade auf die Firewall waren wir stolz und hofften, alle Ports sauber gesperrt zu haben – aber mal nachschauen sollte man trotzdem: Auf der console den Befehl netstat -an eingeben und gerade auf den oberen Teil der Ausgabe achten!
10. Sollte ein von Dir betriebener Mailserver laufen, dann nur für die eigene Sippe (sprich: zugelassene Benutzer). Also mal in die /var/log/mail.log oder maillog schauen, wer denn da so sendet. Kurz mal drüberfliegen, sollte für einen schnellen check ausreichen.
11. Check die root-mails: Immerhin mailen viele Dienste ihre Probleme und Warnungen an den root. Also einfach mal mail oder mailx auf der console eingeben.

Übrigens: Verschiedene Webseiten z.B. heise.de [2] bieten einen Portscan des eigenen Webservers an, um zu überprüfen, welche Ports geöffnet sind. Wenn kein grafischer Zugang auf den Webserver besteht, gibt es den nmap Befehl auf einen Linux PC. Interessant könnte vielleicht auch ein Passwort-Check sein [1].

Mit diesen 11 Punkten kann man jeden Tag in 11 Minuten seinen Server checken. Arbeit: wenig – Sicherheitsgefühl: wesentlich mehr. Und die letzte Zigarette (oder Tasse Tee).

| 1 Passwort-Check | 2 Netzwerkcheck |

• Samba
• dnsmasq
• hostapd
• system-config-firewall

Um die Verkabelung nochmal deutlich zu machen: Der Server hat drei Netzwerkkarten. Die eth0 ist der Zugang zum Kabelmodem des Providers und steht auf DHCP. Die eth1 ist die Netzwerkkarte für das kabelgebundene Heimnetzwerk und die wlan0 ist die Wlan-Karte und soll zum Wlan-Router werden.

Aktiviere in /etc/sysctl.conf mit der Option net.ipv4.ip_forward = 1 das forwarding. Damit wird das Weitergeben (forwarding) der Daten-Pakete auf dem Server zwischen den Karten aktiviert.

Um es nochmal deutlich zu sagen: Nur die eth0 hat einen dhcp-Eintrag! Die eth1 und wlan0 haben feste IP-Adressen aus verschiedenen Subnetzen! Damit hat die eth1 die 192.168.1.1 und die wlan0 die 192.168.2.1 bekommen.

Wie aber wlan0 konfigurieren? Ich gehe davon aus, dass ein Netzwerk-devices bei der Installation des Servers erstellt wurde. Das sieht man unter /etc/sysconfig/network-scripts. Dort sollten Dateien in der Art ifcfg-eth0 liegen. Kopiere oder erstelle eine dieser Dateien, benenne sie nach ifcfg-wlan0 um und korrigiere die folgenden Einträge entsprechend deinem Netzwerk:

# Atheros Communications AR5416/AR5008 TL-WN951N Ver.1.0
DEVICE=wlan0
ONBOOT=yes
IPADDR=192.168.2.1
BOOTPROTO=none
NAME="System wlan0"
NETMASK=255.255.255.0

Alternativ kannst Du mit system-config-network das wlan0 device anlegen.

Beachte: Manche Menschen staunen, dass sie wlan0 mit ifconfig nicht sehen. Wenn die Datei ifcfg-wlan0 in Fedora Linux nicht existiert oder der Eintrag device= nicht den gleichen device-Namen (also wlan0) hat, dann wird sie auch nicht mit ifconfig angezeigt! Damit die Karte nach dem booten aktiv ist, setzen wir auch noch ONBOOT=yes in der erstellten Datei.

Mit chkconfig NetworkManager off wird  der aktuelle Netzwerkdienst abgeschaltet. Das ist notwendig! Die Dienste-Verwaltung findest Du in Fedora Linux, wenn Du auf der console chkconfig eingibst.  Danach wird mit chkconfig network on der alte Netzwerkdienst und mit chkconfig hostapd on der Wlan-Router aktiviert. Gestartet werden die Dienste durch einen Neustart des Servers oder einen service hostapd start und service network start.

Wichtig ist bisher, das forwarding aktiviert ist, die eth1 und wlan0 in verschiedenen Subnetzen liegen und der richtige Netzwerkdienst aktiviert ist.

Als nächsten Schritt solltest Du eine Firewall aktivieren. Dazu kannst Du in /etc/sysconfig/system-config-firewall folgende Einträge machen:

# Configuration file for system-config-firewall
--enabled
--trust=eth1
--trust=wlan0
--masq=eth0
--service=https
--service=ssh
--service=http
--block-icmp=echo-request

Das Konfigurationstool ist mit system-config-firewall aufzurufen um die Einträge überprüfen und wirksam aktivieren zu können. Mit dieser Konfiguration sagt man der Firewall, dass die Netze an eth1 und wlan0 sicher sind, also nur deine PC’s beinhalten und eth0 (also die Schnittstelle zum Provider) maskiert werden soll. Die PC’s an eth1 und wlan0 bekommen also die IP-Adresse von eth0 (werden maskiert) wenn sie ins Internet gehen. Die service Einträge kannst du ignorieren, wenn Du keinen Webserver betreibst oder mit SSH (putty) auf deinen Server über das Internet zugreifen willst. Der block Eintrag besagt, dass die Firewall nicht auf pings aus dem Internet antworten soll.

Die Konfiguration des Wlan-Router’s in der /etc/hostapd/hostapd.conf sieht so aus:

# http://wireless.kernel.org/en/users/Documentation/hostapd
# Treiber, Netzwerkname und Netzwerkkarte:
driver=nl80211
ssid=meinsupinetz
interface=wlan0
ignore_broadcast_ssid=0

# wo der socket fuer hostapd liegt
# (sozusagen die Schnittstelle für andere Programme
# auf hostapd) und in welchen Benutzer-Kontext# hostapd laeuft:
ctrl_interface=/var/run/hostapd
ctrl_interface_group=wheel

# Aktiviert Laendereinstellungen, definiert, welches Land
# und aktiviert, Multimedia-Optionen (WMM) am Wlan-Router:
ieee80211d=1
country_code=DE
wmm_enabled=1

auth_algs=1
# strikt wpa2 und AES(CCMP):
wpa=2
wpa_key_mgmt=WPA-PSK
# rsn ist für wpa2 zuständig:
rsn_pairwise=CCMP
wpa_passphrase=hier_ein_Passwort_einsetzen_mit_min.12Zeichen:)

# Netz-Standard (es gibt keinen hw_mode=n), Kanal
# und maximale Anzahl (hier also 5)Netzwerkteilnehmer:
hw_mode=g
channel=13
max_num_sta=5

# wme aktiviert Energiespar-Optionen (hier aber nicht weiter
# konfiguriert), 300MB-Standard(n) aktivieren und ht_capab
# bestimmt den zweiten Kanal am Wlan-Router.
#
# Beispiel1: channel=13 und HT40- legt Kontroll-Kanal 13
# und sekundären Kanal 9 (also 13minus4) fest.
# Beispiel2: channel 7 und HT40+ legt Kontroll-Kanal 7
# und sekundären Kanal 11 (also 7plus4) fest.
# Beste Performance durch ausprobieren, da Ueberschneidungen
# durch andere Netze:
wme_enabled=1
ieee80211n=1
ht_capab=[HT40-]

Diese Konfiguration kann natürlich beliebig erweitert werden. Ich empfehle, mal die /usr/share/doc/hostapd-0.6.10/hostapd.conf anzuschauen.

Um beim Start von hostapd die Info-Ausgabe dieses Dienstes zu erweitern, können wir in /etc/sysconfig/hostapd das Argument -d eintragen. Beachte jetzt die Ausgabe beim Bootvorgang oder bei einem service hostapd start/restart.

Wenn ein Wlan-Client jetzt eine Verbindung herstellt, kann er sich wahrscheinlich am Netzwerk anmelden und bekommt aber keine IP-Adresse. Bei Windows Systemen gibt sich der PC eine 169.254… (die sogenannte APIPA Adresse) wenn er von einen DHCP Server keine IP-Adresse bekommt. Deswegen müßen wir jetzt dnsmasq konfigurieren:

1. Öffne die /etc/dnsmasq.conf und deaktiviere alle Optionen in dem Du ein # Zeichen vor die Zeilen schreibst – aber nicht vor die letzte Option: conf-dir=/etc/dnsmasq.d
2. Lege im Ordner /etc/dnsmasq.d eine Datei mit Namen dnsmasq.conf ab und füge folgende Einträge ein:

domain-needed
bogus-priv
filterwin2k
local=/meinsupinetz.lan/
interface=lo
interface=wlan0
interface=eth1
dhcp-range=interface:wlan0,192.168.2.15,192.168.2.25,3h
dhcp-range=192.168.1.55,192.168.1.105,6h
bind-interfaces
expand-hosts
domain=meinsupinetz.lan
dhcp-option=vendor:MSFT,2,1i
dhcp-authoritative
log-facility=/var/log/dnsmasq.log

Damit verteilt der dnsmasq über die Netzwerkkarte eth1 IP-Adressen an die kabelgebundenen PC’s (aus der genannten Range) und über die Wlan-Karte wlan0 (aus der genannten Range) an die wlan-PC’s. Die IP-Adressen sind 3 und 6 Stunden gültig. Hilfe zu dnsmasq gibt es hier. Mit einen service dnsmasq start wird der DNS- und DHCP-Server gestartet. Mit chkconfig dnsmasq on wird er dauerhaft aktiviert.

Will jetzt jemand aus den zwei Netzwerken (192.168.1.0 und 192.168.2.0) auf die Freigabe des Samba-Server’s (192.168.1.1) zugreifen, kann er im WindowsExplorer ein \\192.168.1.1\freigabe eingeben. Damit das aber funktioniert, muß vorher noch die /etc/samba/smb.conf erweitert werden:

interfaces = lo eth1 wlan0
bind interfaces only = yes
hosts allow = 127.0.0.1 192.168.1.0/24 192.168.2.0/24
hosts deny = ALL

Die restliche Samba-Konfiguration findest Du im Internet. Ein chkconfig smb on aktiviert den Fileserver und ein service smb start oder ein reboot (init 6) startet den Dienst.

Nach einen letzten Neustart wird der Wlan-Router mit DHCP, DNS und Fileserver-Zugriff funktionieren!

Kurze Anmerkungen zum Abschluss:

• Ich bin als Zyniker bekannt. Wer also jetzt mit Fragen kommt, die ein grundsätzliches Defizit in Sachen Netzwerk-Befehlen (ifconfig, traceroute, nslookup, ping, usw.), Anwendung von Linux-Befehlen (chkconfig, services, iw, usw.) und ähnlichen aufzeigt, dem kann ich leider nicht helfen. Es gibt ab 25 € einen fertigen Wlan-Router zu kaufen – versuche es dann erstmal damit.
• Um es nochmal deutlich zu sagen: Ich habe diese Zusammenfassung auf Grundlage von Fedora 13 geschrieben und nur Pakete installiert, die auch in Fedora über yum verfügbar sind.  Eine Installation von Firmware war nicht notwendig.
• Die TP-Link Wlan-Karte ist echt super! Sie ging out-of-the-box mit dem nl80211-Treiber. Aber der Treiber hat Einschränkungen: So wird lt. Entwickler nur der Standard “Lite N (bis 150 MB/sec)” unterstützt. Also vorher mal im Netz recherchieren, was mit den Karten so möglich ist. Dazu würde ich empfehlen, mal diese Seite anzuschauen: hostapd
• Als Test-Tools unter Windows 7 kann ich “Ekahau Heatmapper” und “inSSIDer” empfehlen. Google ist dein Freund.
• Sucht Euch vorher die entscheidenden Logfiles unter /var/log zusammen.
• Verschiedene Einstellungen können mit ifconfig, smbstatus, ps ax, iwconfig, iw und in der /var/log/messages und /var/log/dnsmasq.log überprüft werden.

Uns allen viel Spass mit Linux.

siehe auch: [1] [2] [3] [4] [5]

Ob es technisch ein Lichtjahr-Sprung nach Vorne in der menschlich-technischen Entwicklung ist, sei mal dahingestellt, aber vielmehr interessiert doch hier die vielzählige Verzahnung dieser Technik! So zeigte sich das Internet zufällig aus der Ecke eines Labors um Spickzettel zu ersetzen, oder besser noch, sie durch eine gänzlich andere Sprache (HTML) zu ersetzen und die Vernetzung im Haus und über die Häuser hinweg zu ermöglichen. Protokolle entstehen, Kabel-Standards werden entwickelt, Geschäftsmodelle, Stromversorgung – auf der Suche nach einer Angebot-Nachfrage-Strategie um diese Technik, wie auch immer, gewinnbringend einzusetzen - alles dies gebiert auch einen neuen Willen: die Freiheit.

Eben nicht als Sklave dieser Technik und seinen Monster-Unternehmen zu verfallen, sahen sich einige in der Pflicht, eine Technik zu entwickeln, die über diesen Dingen, Strukturen und Entwicklungen stand. Wer jetzt gleich an Linus denkt, ist nicht ganz so abwegig, aber Minix als besseres Schulsystem zu entwickeln, weil das Geld für die Studiengebühren (anstelle einer Software von AT&T) herhalten muss ist noch nicht der Paulus der Freiheit den wir suchen.

Und so begab es sich an der Zeit…. das die GNU Foundation [1] zwar freie Tools aber kein Betriebssystem, und Linus ein OS aber keine Tools hatte. Weiterentwickelt wurde der ganze Spass über das Internet und heraus kam: Linux (oder eben GNU/Linux). Ein umfangreiches Modell um umfassend Freie Technik und Freiheit zu diskutieren…

Fassen wir zusammen: Mit der Entwicklung des Internets, kam Linux, fand die GNU-Foundation (als hehrer Vertreter der Freiheit) einen Teppich und damit folgten - nicht wie bei dem anderen OS aus Richmond – fragen, die dieser neuen Technik angemessen sind: Wenn alles Offen ist, wenn alles Wissen zentralisiert und ausgewertet werden kann, wenn einige ein Monopol haben: Was erhält oder wie erhalte ich meine Freiheit? Nun, seien wir ehrlich. Sollte jemand seine Daten in das Internet gestellt haben, ist er nicht mehr frei (von etwas) um über diese zu entscheiden. Wenn jemand einen Code schreibt, ist er mit Herausgabe des Quellcodes nicht mehr frei, ihn zurück zu ziehen. Und so finden sich selbst für den einfachsten Mitdenker zahlreiche Beispiele, in dem die Freiheit sein Ende findet.

Was aber, wenn wir alles unter der Absicht geschehen lassen, dass wir es in frei-er Absicht schaffen? Die Idealisten unter meinen Lesern werden gleich aufschreien: “JA, JA!” und ganz eifrig bestätigen, dass das Bewußtsein (der Freiheitsgedanke) das Sein bestimmt. Die Materialisten werden sich empören und es genau anders herum sehen – das Sein bestimmt das Bewußtsein – und mir erwidern, dass alles im Kapitalismus erzeugte, auch den kapitalistischen Gesetzen (der materiellen und geistigen Ausbeutung) unterliegt. Die Pragmatiker (Wahr ist was funktioniert!) werden sich zurücklehnen und darauf verweisen, dass sich Linux und der GNU-Gedanke (an freier Software) etabliert und z.B. die Lizenz-Diskussion hilfreich war. Also was nun? Was bedeutet nun “Freiheit” in Bezug auf unsere Technik und dem Arbeiten damit? Ist Freiheit geboren worden? Hat es sie nie gegeben? Können wir sie erobern oder befreien?

Ich werde mich hüten, die salomonische Antwort zu geben, den rhetorischen Schwertstreich, mit dem alles Beantwortet ist! Allerdings halte ich es für wichtig, solche Fragen zu betrachten! (Wenn wir nicht ganz die Lust am Internet – und seinen zunehmenden  (!) Reglementierungen – verlieren wollen.)

http://www.gnu.org/philosophy/philosophy.de.html