Linux-Debian
Linux Debian ist ein weit verbreitetes und überaus stabiles Betriebssystem, welches sich sehr gut für unsere Belange eignet.
Für die Server-Systeme Nextcloud, Samba und FOG wird je eine eigene virtuelle Maschine mit Debian als Betriebssystem erzeugt. Empfehlungen für die Dimensionierung der virtuellen Hardware entnehmen Sie den jeweiligen Anleitungen zu den Server-Programmen.
Die aktuellen Beschreibungen basieren auf der 64-Bit-Variante (amd64) von Debian in Version 10 (Debian Buster).
Installation
Virtuelle Maschine erzeugen
- Offizielles stabiles amd64-Image von der Debian-Downloadseite herunterladen.
- Heruntergeladene ISO-Datei auf auf dem Virtualisierungs-Host ablegen.
- Auf dem Virtualisierungsserver eine neue virtuelle Maschine mit den in der jeweiligen Anleitung dargestellten virtuellen Hardwarekomponenten erzeugen.
- In den Einstellungen zur virtuellen Maschine als CD-Laufwerk das Debian-Image wählen und die virtuelle Maschine von diesem booten lassen.
- Die virtuelle Maschine einschalten und das Konsolenfenster öffnen. Nun sollte der Installationsassistent von Linux-Debian zu sehen sein.
Grundinstallation von Debian
Bei der Grundinstallation von Debian sind folgende Schritte zu durchlaufen
- Auswahl der Installationsmethode: grafische Installation
- Auswahl der Installationssprache
- Auswahl des Installationsstandorts
- Auswahl des Tastaturlayouts
- Vergabe des Hostnamens
- Ich verwende als Hostnamen nextcloud, samba bzw. fog.
- Angabe des Domänennamens
- Alle auf diese Weise installierten Systeme und OPNsense müssen den gleichen Domänennamen haben. Es empfiehlt sich, einen öffentlich erreichbaren Domänennamen zu vergeben. Am besten eignet sich hierzu eine Subdomain jener Domäne, welche Sie für Ihre Schulwebseite registriert haben.
- Beispiel für einen Domänennamen: directory.ihre-schule.de
- Passwortvergabe für den Benutzer root
- Künftig melden Sie sich für alle beschriebenen Arbeiten an der Konsole als Benutzer root und dem vergebenen Passwort an.
- Anlage eines weiteren Benutzers und Passwortvergabe
- Dieser Benutzer wird im Weiteren nicht benötigt, muss aber angelegt werden.
- Festplattenpartitionierung
- Ich verwende hier: "Geführt - vollständige Festplatte verwenden" und belasse im weiteren Partitionierungsverlauf alle Einstellungen auf den bereits hinterlegten Auswahlmöglichkeiten.
- Konfiguration des Paketmanagers
- Es wird keine weitere CD/DVD benötigt.
- Als Spiegelserver verwende ich die voreingestellte Auswahlmöglichkeit (Deutschland, deb.debian.org).
- HTTP-Proxy: sofern Sie im Netzwerk des Servers keinen oder einen transparenten Proxy verwenden, ist hier keine Angabe erforderlich
- Die Teilnahme an der Paktetverwendungserfassung ist optional.
- Softwareauswahl
- Ich verwende hier nur (alle anderen abwählen):
- SSH Server
- Standard-Systemwerkzeuge
- Ich verwende hier nur (alle anderen abwählen):
- Grub-Bootloader auf der Festplatte installieren
- Die Frage nach der Installation des Bootloaders im Master-Boot-Record mit Ja beantworten.
- Erster Start des neu installierten Systems.
- Das virtuelle Laufwerk mit dem Debian-Image wird nun nicht mehr benötigt und kann von der virtuellen Maschine entfernt werden.
Debian auf den neusten Stand bringen und grundlegende Pakete installieren
# Zeilen mit vorangestelltem Raute-Zeichen (#) sind lediglich Kommentare
# Paketlisten aktualisieren und installierte Pakete updaten
apt update && apt upgrade -y
# Texteditor vim installieren
apt install vim -y
Beispielhafte Netzwerk-Planung
Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
Diese kann selbstverständlich den eigenen Bedürfnissen angepasst werden.
Teilnetz (VLAN) |
VLAN | Netzwerkteilnehmer | IP/IP-Bereich |
10.1.254.0/24 (10 - LAN_MANAGEMENT) | 10 untagged virtueller Adapter | OPNsense-Interface LAN_MANAGEMENT | 10.1.254.1 |
10 untagged + 11 + 12 + 13 Switch-Port | Management-Interface des Virtualisierungshosts | 10.1.254.10 | |
10 untagged Switch-Port | NAS zur Datensicherung | 10.1.254.20 | |
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter |
WLAN-Controller als Hardware bzw. WLAN-Controller als virtuelle Maschine |
10.1.254.30 | |
10 untagged + 12 + 13 Switch-Port | Access-Points zur Nutzung in LAN_SCHUELER und LAN_LEHRER | 10.1.254.50 - 10.1.254.99 | |
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter |
DHCP-Bereich (OPNsense: Hardware-Clients) DHCP-Bereich (OPNsense: virtuelle Clients) |
10.1.1.254.200 - 10.1.1.254.254 | |
10.1.100.0/24 (11 - LAN_SERVER) | 11 virtueller Adapter | OPNsense-Interface LAN_SERVER | 10.1.100.1 |
OPNsense virtuelle IPs für HAProxy | 10.1.100.2 - 10.1.100.3 | ||
11 virtueller Adapter | Samba-Server | 10.1.100.7 | |
11 virtueller Adapter | Nextcloud-Server | 10.1.100.8 | |
11 virtueller Adapter | Collabora-Server für Nextcloud | 10.1.100.9 | |
11 untagged Switch-Port | OPNsense-DHCP-Bereich (OPNsense: Hardware-Clients) | 10.1.100.200 - 10.1.100.254 | |
11 virtueller Adapter | OPNsense-DHCP-Bereich (OPNsense: virtuelle Clients) | 10.1.100.200 - 10.1.100.254 | |
10.1.0.0/20 (12 - LAN_SCHUELER) | 12 virtueller Adapter | OPNsense-Interface LAN_SCHUELER | 10.1.0.1 |
12 virtueller Adapter | FOG-Server | 10.1.1.1 | |
12 untagged Switch-Port | OPNsense-DHCP-Bereich (kabelgebundene Clients) | 10.1.11.1 - 10.1.15.254 | |
12 virtueller Adapter bzw. | OPNsense-DHCP-Bereich (virtuelle Clients) | 10.1.11.1 - 10.1.15.254 | |
s. Access-Points | OPNsense-DHCP-Bereich (WLAN-Clients) | 10.1.11.1 - 10.1.15.254 | |
10.1.16.0/20 (13 - LAN_LEHERER) | 13 virtueller Adapter | OPNsense-Interface LAN_LEHRER | 10.1.16.1 |
s. Access-Points | DHCP-DHCP-Bereich (WLAN-Clients) | 10.1.27.1 - 10.1.31.254 |
Hinweise:
- Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
- Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
- Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
Netzwerkeinstellungen für die Systeme festlegen
# Bearbeiten der Datei für die Netzwerkeinstellungen mit dem Editor vim
vim /etc/network/interfaces
# Um die nun dargestellte Datei editieren zu können drücken Sie die Taste:
i
# "i" steht für "insert"
# Das Vorgehen zum Editieren von Dateien mit vim wird im weiteren
# Verlauf der Anleitungen vorausgesetzt.
Datei /etc/network/interfaces
# Die Zeile: iface <Interface-Name> inet dhcp
# abändern zu:
iface <Interface-Name> inet static
# Unter der abgeänderten Zeile "iface ..." folgende Angaben ergänzen:
# ACHTUNG: bei "address" die gewünschte IP angeben - z. B.:
address 10.1.1.1
netmask 255.255.240.0
gateway 10.1.0.1
dns-nameservers 10.1.0.1
# Ihre Eingaben in vim speichern und die Datei schließen:
Escape-Taste
:wq
Enter-Taste
# "w" und "q" stehen für "write" und "quit"
# Das Vorgehen zum Speichern und Schließen von Dateien mit vim wird im
# weiteren Verlauf der Anleitungen vorausgesetzt.
SSH-Zugriff für User root freischalten
Achtung: das beschriebene Vorgehen hebelt die eigentlich erforderliche Anmeldung des Benutzers root unter Zuhilfenahmen von Zertifikaten aus. Ich für mich habe entschieden, dass die root-Anmeldung über SSH ohne Zertifikate im Alltag der praktikablere Weg ist.
Möchten Sie alternativ die besonders sichere Variante der Anmeldung über Zertifikate verwenden, kann Ihnen > diese Beschreibung < helfen. Verzichten Sie in Folge auf die nachfolgenden Veränderungen an der Datei /etsc/ssh/sshd_conf.
vim /etc/ssh/sshd_config
Datei /etc/ssh/sshd_config
# Bei der Zeile "#PermitRootLogin prohibit-password" das vorangestellte
# Rautezeichen entfernen und die Zeile wie folgt abändern:
PermitRootLogin yes
# Den SSH-Server neu staten, damit die Änderungen wirsam werden:
service ssh restart
Von nun an ist es möglich, auf den Debian-Server von anderen Clients im Netzwerk aus als Benutzer root via SSH (Konsolenzugriff z. B. mit Putty) und SCP (Dateitransfers z. B. mit WinSCP) zuzugreifen.
Wartung
Update des Debian-Systems
Das Update ist mit einem einzigen Befehl schnell erledigt. Vor dem Update empfiehlt sich das Erstellen eines Snapshots auf dem Virtualisierungs-Host, um den aktuellen Stand Ihres virtuellen Systems zu sichern.
# Paketlisten aktualisieren und installierte Pakete updaten
apt update && apt upgrade -y
- Testen Sie Ihr aktualisiertes System.
- Nach erfolgreichem Test können Sie ggf. den zuvor erstellten Snapshot entfernen.
Letzte Aktualisierung der Seite: 2024-02-16 14:17