Product SiteDocumentation Site

8.9. Weitere Konfigurationen: Zeitsynchronisation, Protokolle, Gemeinsamer Zugang…

Die zahlreichen in diesem Abschnitt aufgeführten Elemente sind für jeden wissenswert, der alle Aspekte der Konfigurierung eines GNU/Linux-Systems beherrschen möchte. Sie werden jedoch nur kurz behandelt, und häufig wird auf die Dokumentation verwiesen.

8.9.1. Zeitzone

ZURÜCK ZU DEN GRUNDLAGEN Symbolische Verknüpfungen

Eine symbolische Verknüpfung ist ein Verweis auf eine andere Datei. Wenn man auf sie zugreift, wird die Datei, auf die sie verweist, geöffnet. Die Entfernung der Verknüpfung führt nicht dazu, dass die Datei, auf die sie verweist, gelöscht wird. Ebenso hat sie nicht ihren eigenen Satz von Berechtigungen, sondern behält die Berechtigungen ihres Ziels bei. Und schließlich kann sie auf jede Art von Datei verweisen: Verzeichnisse, spezielle Dateien (Sockets, benannte Pipes, Gerätedateien usw.) und selbst auf andere symbolische Verknüpfungen.
Der Befehl ln -s ziel verknüpfungsname erstellt eine symbolische Verknüpfung namens verknüpfungsname, die auf ziel verweist.
Falls das Ziel nicht existiert, ist die Verknüpfung „gebrochen“, und der Zugriff darauf ergibt eine Fehlermeldung, die besagt, dass die Zieldatei nicht existiert. Falls die Verknüpfung auf eine andere Verknüpfung verweist, hat man eine „Kette“ von Verknüpfungen, die zu einem „Kreis“ wird, falls eines der Ziele auf einen seiner Vorgänger verweist. In diesem Fall führt der Zugriff auf eine der Verknüpfungen in diesem Kreis zu einer besonderen Fehlermeldung („too many levels of symbolic links“); das heißt, dass der Kernel nach einigen Runden des Kreises aufgegeben hat.
The timezone, configured during initial installation, is a configuration item for the tzdata package. To modify it, use the dpkg-reconfigure tzdata command, which allows you to choose the timezone to be used in an interactive manner. Its configuration is stored in the /etc/timezone file. Additionally, the corresponding file in the /usr/share/zoneinfo directory is copied into /etc/localtime; this file contains the rules governing the dates where daylight saving time is active, for countries that use it.
Wenn man die Zeitzone vorübergehend ändern muss, verwendet man die Umgebungsvariable TZ, die Vorrang vor der konfigurierten Voreinstellung des Systems hat: 
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

HINWEIS System-Uhr, Hardware-Uhr

There are two time sources in a computer. A computer's motherboard has a hardware clock, called the “CMOS clock”. This clock is not very precise, and provides rather slow access times. The operating system kernel has its own, the software clock, which it keeps up to date with its own means (possibly with the help of time servers, see Abschnitt 8.9.2, „Zeitsynchronisierung“). This system clock is generally more accurate, especially since it doesn't need access to hardware variables. However, since it only exists in live memory, it is zeroed out every time the machine is booted, contrary to the CMOS clock, which has a battery and therefore “survives” rebooting or halting of the machine. The system clock is, thus, set from the CMOS clock during boot, and the CMOS clock is updated on shutdown (to take into account possible changes or corrections if it has been improperly adjusted).
In der Praxis entsteht ein Problem, da die CMOS-Uhr lediglich ein Zähler ist und keinerlei Informationen zur Zeitzone enthält. Bezüglich ihrer Interpretation ist daher eine Entscheidung zu treffen: entweder geht das System davon aus, dass sie in Weltzeit (UTC, früher GMT) läuft, oder in Ortszeit. Diese Entscheidung könnte zu einer einfachen Verschiebung führen, in Wirklichkeit sind die Dinge jedoch etwas komplizierter: aufgrund der Sommerzeit ist dieser Versatz nicht konstant. Daher hat das System keine Möglichkeit zu entscheiden, ob der Versatz korrekt ist, insbesondere nicht zu Zeiten der Zeitumstellung. Da es immer möglich ist, die Ortszeit aus der Weltzeit und der Information über die Zeitzone abzuleiten, empfehlen wir nachdrücklich, die CMOS-Uhr in Weltzeit zu verwenden.
Leider ignorieren Windows-Systeme in ihrer Standardeinstellung diese Empfehlung; sie halten die CMOS-Uhr auf Ortszeit und ändern beim Hochfahren des Rechners die Zeit, indem sie bei einer Zeitumstellung abschätzen, ob die Umstellung bereits stattgefunden hat oder noch nicht. Dies funktioniert solange relativ gut, wie auf dem System nur Windows läuft. Wenn ein Rechner jedoch mehrere Systeme hat (ob dies nun eine „Dual-Boot“-Konfiguration ist oder andere Systeme als virtuelle Rechner laufen), entsteht Chaos, ohne eine Möglichkeit zu entscheiden, ob die Zeit korrekt ist. Falls Sie Windows unbedingt auf einem Rechner behalten müssen, sollten Sie dieses so einstellen, dass die CMOS-Uhr auf UTC eingestellt wird (durch Einstellen des Registry-Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\RealTimeIsUniversal vom Typ DWORD auf "1") oder indem Sie mit hwclock --localtime --set auf dem Debian System die Hardware-Uhr setzen und als Quelle für für die lokale Zeit festlegen (und sorgen Sie dafür, dass Ihre Uhr im Frühjahr und Herbst von Hand umgestellt wird).

8.9.2. Zeitsynchronisierung

Zeitsynchronisierung, die auf einem Rechner überflüssig erscheinen mag, ist in einem Netzwerk sehr wichtig. Da Benutzer keine Berechtigung zur Änderung des Datums und der Zeit haben, ist es wichtig, dass diese Information genau stimmt, um Verwirrung zu vermeiden. Außerdem können Informationen aus den Protokollen verschiedener Rechner besser aufeinander bezogen werden, wenn alle Rechner eines Netzwerks synchronisiert sind. Im Falle eines Angriffs ist es so einfacher, die zeitliche Abfolge der Ereignisse auf verschiedenen von der Störung betroffenen Rechnern zu rekonstruieren. Daten, die auf verschiedenen Rechnern zu statistischen Zwecken gesammelt werden, wären nicht sehr sinnvoll, wenn sie nicht synchronisiert wären.

ZURÜCK ZU DEN GRUNDLAGEN NTP

NTP (Network Time Protocol) ermöglicht es einem Rechner, sich mit anderen recht genau zu synchronisieren unter Berücksichtigung der Verzögerungen, die durch die Informationsübertragung über das Netzwerk und andere mögliche Verschiebungen entstehen.
Obwohl es im Internet zahlreiche NTP-Server gibt, können die bekannteren überlastet sein. Daher empfehlen wir, den NTP-Server pool.ntp.org zu benutzen, der in Wirklichkeit eine Gruppe von Rechnern ist, die laut Vereinbarung als öffentliche NTP-Server dienen. Sie können sogar die Benutzung auf eine für ein Land bestimmte Untergruppe beschränken, wie zum Beispiel de.pool.ntp.org für Deutschland oder at.pool.ntp.org für Österreich usw.
Wenn Sie jedoch ein großes Netzwerk verwalten, ist es empfehlenswert, Ihren eigenen NTP-Server zu installieren, der sich mit den öffentlichen Servern synchronisiert. Auf diese Weise können alle anderen Rechner in Ihrem Netzwerk Ihren internen NTP-Server benutzen, statt die Belastung der öffentlichen Server zu erhöhen. Sie steigern so auch die Homogenität Ihrer Uhren, da sich alle Rechner mit derselben Quelle synchronisieren und diese Quelle bezogen auf die Übertragungszeiten sehr nah ist.

8.9.2.1. Für Arbeitsplatzrechner

Da Arbeitsplatzrechner häufig neu gestartet werden (selbst wenn dies nur zur Energieersparnis dient), genügt es, sie beim Hochfahren über NTP zu synchronisieren. Hierzu installieren Sie einfach das Paket ntpdate. Bei Bedarf können Sie den verwendeten NTP-Server durch Änderung der Datei /etc/default/ntpdate wechseln.

8.9.2.2. Für Server

Server werden nur selten neu gestartet, und es ist sehr wichtig, dass ihre Systemzeit korrekt ist. Um dauerhaft die richtige Zeit beizubehalten, sollten Sie einen lokalen NTP-Server installieren, einen Dienst, der vom Paket ntp angeboten wird. In seiner voreingestellten Konfiguration synchronisiert sich dieser Server mit pool.ntp.org und stellt die Zeit auf Anfragen aus dem lokalen Netzwerk hin bereit. Sie können ihn konfigurieren, indem Sie die Datei /etc/ntp.conf editieren, wobei die wichtigste Änderung in dem NTP-Server besteht, an den er sich wendet. Falls das Netzwerk viele Server hat, könnte es von Interesse sein, einen lokalen Server einzurichten, der sich mit den öffentlichen Servern synchronisiert und der dann von den anderen Servern des Netzwerks als Quelle benutzt wird.

WEITERE SCHRITTE GPS-Module und andere Zeitquellen

Falls die Zeitsynchronisierung für Ihr Netzwerk besonders kritisch ist, können Sie einen Server mit einem GPS-Modul ausstatten (das die Zeit eines GPS-Satelliten verwendet) oder mit einem DCF-77-Modul (das die Zeit mit der Atomuhr in der Nähe von Frankfurt/Main synchronisiert). In diesen Fällen ist die Konfigurierung des NTP-Servers ein bisschen komplizierter und die vorherige Lektüre der Dokumentation eine absolute Notwendigkeit.

8.9.3. Protokolldateien rotieren

Protokolldateien können größer werden, und zwar schnell, und es ist wichtig, sie zu archivieren. Das häufigste System besteht in einem rotierenden Archiv: die Protokolldatei wird regelmäßig archiviert, und nur die letzten X Archivdateien aufbewahrt. logrotate, das für diese Rotationen zuständige Programm folgt den Anweisungen, die ihm in der Datei /etc/logrotate.conf und in allen im Verzeichnis /etc/logrotate.d/ befindlichen Dateien gegeben werden. Der Administrator kann diese Dateien verändern, falls er die von Debian festgelegten Richtlinien zur Protokollrotation anpassen möchte. Die Handbuchseite logrotate(1) beschreibt alle in diesen Konfigurationsdateien verfügbaren Optionen. Sie möchten vielleicht die Anzahl der in der Protokollrotation zurückbehaltenen Dateien erhöhen oder Protokolldateien in ein besonderes Verzeichnis verschieben, um sie zu archivieren statt zu löschen. Sie könnten sie auch per E-Mail verschicken, um sie andernorts zu archivieren.
Das Programm logrotate wird täglich durch das Termimsteuerungssprogramm cron ausgeführt (beschrieben in Abschnitt 9.7, „Aufgaben mit cron und atd zeitlich festlegen“).

8.9.4. Administratorrechte gemeinsam nutzen

Häufig arbeiten mehrere Administratoren am selben Netzwerk. Die Root-Passwörter gemeinsam zu nutzen, ist nicht sehr elegant und öffnet die Tür zu Missbrauch wegen der Anonymität, die eine derartige gemeinsame Nutzung schafft. Die Lösung dieses Problems besteht in dem Programm sudo, das es bestimmten Benutzern ermöglicht, bestimmte Befehle mit besonderen Rechten auszuführen. Im gewöhnlichsten Fall erlaubt sudo einem vertrauenswürdigen Benutzer die Ausführung jeden Befehls als Root. Hierzu führt der Benutzer einfach sudo befehl aus und authentifiziert sich dabei mit seinem persönlichen Passwort.
Wenn es installiert ist, gibt das Paket sudo volle Root-Rechte an Mitglieder der Gruppe sudo. Um andere Berechtigungen zu vergeben, muss der Administrator mit dem Befehl visudo die Konfigurationsdatei /etc/sudoers verändern (auch hier wird der Editor vi aufrufen oder ein anderer in der Umgebungsvariablen EDITOR definierter Editor). Das Hinzufügen einer Zeile mit benutzername ALL=(ALL) ALL ermöglicht es dem betreffenden Benutzer, einen beliebigen Befehl als Root auszuführen.
Komplexere Konfigurationen ermöglichen es, bestimmte Befehle nur bestimmten Benutzern zu erlauben. Alle Einzelheiten der verschiedenen Möglichkeiten werden auf der Handbuchseite sudoers(5) beschrieben.

8.9.5. Liste der Einhängepunkte

ZURÜCK ZU DEN GRUNDLAGEN Ein- und Aushängen

In einem unixähnlichen System wie Debian sind Dateien in einer einzelnen baumähnlichen Hierarchie von Verzeichnissen organisiert. Das Verzeichnis / wird „Wurzelverzeichnis“ genannt; alle weiteren Verzeichnisse sind Unterverzeichnisse dieser Wurzel. „Einhängen“ ist die Maßnahme, mit der der Inhalt eines Peripheriegerätes (häufig einer Festplatte) in den allgemeinen Dateienbaum des Systems einbezogen wird. Falls man eine separate Festplatte zur Speicherung der persönlichen Daten der Benutzer verwendet, muss diese Platte folglich in das Verzeichnis /home/ „eingehängt“ werden. Das Wurzelverzeichnis wird vom Kernel beim Hochfahren immer eingehängt; andere Geräte werden häufig später im Verlauf der Startsequenz eingehängt oder von Hand mit dem Befehl mount.
Einige auswechselbare Geräte werden automatisch eingehängt, wenn sie angeschlossen werden, insbesondere wenn die grafischen Arbeitsumgebungen GNOME, KDE oder andere verwendet werden. Andere Geräte müssen durch den Benutzer von Hand eingehängt werden. Sie müssen auch wieder ausgehängt (aus dem Dateibaum entfernt) werden. Normale Benutzer haben im Allgemeinen nicht die Berechtigung, die Befehle mount und umount auszuführen. Der Administrator kann jedoch diese Vorgänge erlauben (unabhängig für jeden einzelnen Einhängepunkt), indem er die Option user zur Datei /etc/fstab hinzufügt.
Der Befehl mount kann ohne Argumente benutzt werden (er listet dann alle eingehängten Dateisysteme auf). Die nachfolgenden Parameter sind erforderlich, um ein Gerät ein- oder auszuhängen. Entnehmen Sie bitte die vollständige Auflistung den Handbuchseiten mount(8) und umount(8). Für einfache Fälle ist die Syntax ebenfalls einfach: um zum Beispiel die Partition /dev/sdc1, die ein ext3-Dateisystem hat, in das Verzeichnis /mnt/tmp/ einzuhängen, würden Sie einfach mount -t ext3 /dev/sdc1 /mnt/tmp/ eingeben.
Die Datei /etc/fstab enthält eine Liste aller möglichen Einhängepunkte, die entweder während des Hochfahrens automatisch eingehängt werden oder bei auswechselbaren Speichergeräten von Hand. Jeder Einhängepunkt wird in einer Zeile mit mehreren durch Leerzeichen getrennten Feldern beschrieben:
  • einzuhängendes Gerät: dies kann eine lokale Partition sein (Festplatte, CD-ROM) oder ein entferntes Dateisystem (wie zum Beispiel ein NFS).
    Dieses Feld wird häufig durch die eindeutige ID des Dateisystems ersetzt (die man mit dem Befehl blkid gerät feststellen kann) mit vorausgestellter UUID=. Dies schützt vor einer Änderung des Gerätenamens, falls ein Gerät hinzugefügt oder entfernt wird, oder falls Platten in einer anderen Reihenfolge erkannt werden.
  • mount point: dies ist der Ort innerhalb des lokalen Dateisystems, an dem das Gerät, das entfernte System oder die Partition eingehängt werden.
  • type: dieses Feld legt das auf dem eingehängten Gerät verwendete Dateisystem fest. ext4, ext3, vfat, ntfs, btrfs, xfs sind einige Beispiele.

    ZURÜCK ZU DEN GRUNDLAGEN NFS, ein Netzwerk-Dateisystem

    NFS ist ein Netzwerk-Dateisystem; unter Linux ermöglicht es einen transparenten Zugriff auf entfernte Dateien, indem sie in das lokale Dateisystem einbezogen werden.
    Eine vollständige Liste bekannter Dateisysteme steht auf der Handbuchseite mount(8) zur Verfügung. Der besondere Wert swap gilt für Swap-Partitionen; der besondere Wert auto weist das Programm mount an, das Dateisystem selbstständig zu ermitteln (was besonders bei Laufwerken und USB-Sticks hilfreich ist, da jedes ein anderes Dateisystem haben kann);
  • options: es gibt viele in Abhängigkeit vom Dateisystem, und sie sind auf der Handbuchseite von mount dokumentiert. Die häufigsten sind
    • rw und ro bedeuten, dass das Gerät mit den Berechtigungen zum Lesen und Schreiben beziehungsweise nur zum Lesen eingehängt wird.
    • noauto deaktiviert das automatische Einhängen beim Hochfahren.
    • nofail allows the boot to proceed even when the device is not present. Make sure to put this option for external drives that might be unplugged when you boot, because systemd really ensures that all mount points that must be automatically mounted are actually mounted before letting the boot process continue to its end. Note that you can combine this with x-systemd.device-timeout=5s to tell systemd to not wait more than 5 seconds for the device to appear (see systemd.mount(5)).
    • user erlaubt es allen Benutzern, dieses Dateisystem einzuhängen (ein Vorgang, der sonst nur auf den Root-Benutzer beschränkt wäre).
    • defaults bezeichnet die Gruppe der voreingestellten Optionen: rw, suid, dev, exec, auto, nouser und async, von denen jede einzeln nach defaults abgestellt werden kann, indem man nosuid, nodev und so weiter hinzufügt, um suid, dev und so weiter zu sperren. Das Hinzufügen der Option userreaktiviert diese wieder, da defaults die Option nouser enthält.
  • backup: dieses Feld ist fast immer auf 0 gesetzt. Falls es 1 ist, weist dies das Hilfsprogramm dump darauf hin, dass die Partition Daten enthält, die gesichert werden müssen.
  • check order: dieses letzte Feld zeigt an, ob die Integrität des Dateisystems beim Hochfahren überprüft werden soll, und in welcher Reihenfolge diese Überprüfung durchgeführt werden soll. Falls es 0 ist, wird keine Überprüfung durchgeführt. Das Wurzelverzeichnis sollte den Wert 1 haben, während andere dauerhaft eingehängte Dateisysteme den Wert 2 erhalten.

Beispiel 8.5. Example /etc/fstab file

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / was on /dev/sda1 during installation
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
Der letzte Eintrag dieses Beispiels bezieht sich auf ein Netzwerk-Dateisystem (NFS): das Verzeichnis /shared/ auf dem Server arrakis wird auf dem lokalen Rechner unter /shared/ eingehängt. Das Format der Datei /etc/fstab ist auf der Handbuchseite fstab(5) dokumentiert.

WEITERE SCHRITTE Selbstständiges Einhängen

Das Paket am-utils stellt amd zur Verfügung, ein Dienstprogramm zum selbstständigen Einhängen, das in der Lage ist, Wechselmedien bei Bedarf einzuhängen, wenn ein Benutzer versucht, auf ihren üblichen Einhängepunkt zuzugreifen. Es hängt diese Geräte wieder aus, wenn kein Prozess mehr auf sie zugreift.
Es gibt weitere Dienstprogramme zum selbstständigen Einhängen, wie zum Beispiel automount im Paket autofs.
Beachten Sie auch, dass GNOME, KDE und andere grafische Arbeitsplatzumgebungen mit dem System udisks zusammenarbeiten und automatisch Wechselmedien einhängen können, wenn diese angeschlossen werden.

8.9.6. locate und updatedb

Der Befehl locate kann den Ort einer Datei finden, wenn Sie nur einen Teil ihres Namens kennen. Er zeigt das Ergebnis fast sofort an, da er in einer Datenbank nachschlägt, die den Ort aller auf dem System befindlichen Dateien speichert; diese Datenbank wird täglich durch den Befehl updatedb aktualisiert. Es gibt -zig Implementierungen des Befehls locate und Debian hat mlocate für sein Standard-System gewählt.
mlocate ist so intelligent, dass es nur Dateien zurückliefert, auf die der Anwender Zugriff hat, auch wenn die zugrundeliegende Datenbank alle Dateien auf dem System kennt (weil die Implementierung des zugehörigen updatedb ohne Root-Rechte läuft). Als zusätzliche Absicherung kann der Administrator mit PRUNEDPATHS in /etc/updatedb.conf einzelne Verzeichnisse von der Indexierung ausschließen.