Linux-Debian

Linux Debian ist ein weit verbreitetes und überaus stabiles Betriebssystem, welches sich sehr gut für unsere Belange eignet.

Für die Server-Systeme Nextcloud, Samba und FOG wird je eine eigene virtuelle Maschine mit Debian als Betriebssystem erzeugt. Empfehlungen für die Dimensionierung der virtuellen Hardware entnehmen Sie den jeweiligen Anleitungen zu den Server-Programmen.

Die aktuellen Beschreibungen basieren auf der 64-Bit-Variante (amd64) von Debian in Version 10 (Debian Buster).

Installation

Virtuelle Maschine erzeugen

  1. Offizielles stabiles amd64-Image von der Debian-Downloadseite herunterladen.
  2. Heruntergeladene ISO-Datei auf auf dem Virtualisierungs-Host ablegen.
  3. Auf dem Virtualisierungsserver eine neue virtuelle Maschine mit den in der jeweiligen Anleitung dargestellten virtuellen Hardwarekomponenten erzeugen.
  4. In den Einstellungen zur virtuellen Maschine als CD-Laufwerk das Debian-Image wählen und die virtuelle Maschine von diesem booten lassen.
  5. Die virtuelle Maschine einschalten und das Konsolenfenster öffnen. Nun sollte der Installationsassistent von Linux-Debian zu sehen sein.

Grundinstallation von Debian

Bei der Grundinstallation von Debian sind folgende Schritte zu durchlaufen

  • Auswahl der Installationsmethode: grafische Installation
  • Auswahl der Installationssprache
  • Auswahl des Installationsstandorts
  • Auswahl des Tastaturlayouts
  • Vergabe des Hostnamens
    • Ich verwende als Hostnamen nextcloud, samba bzw. fog.
  • Angabe des Domänennamens
    • Alle auf diese Weise installierten Systeme und OPNsense müssen den gleichen Domänennamen haben. Es empfiehlt sich, einen öffentlich erreichbaren Domänennamen zu vergeben. Am besten eignet sich hierzu eine Subdomain jener Domäne, welche Sie für Ihre Schulwebseite registriert haben.
    • Beispiel für einen Domänennamen: directory.ihre-schule.de
  • Passwortvergabe für den Benutzer root
    • Künftig melden Sie sich für alle beschriebenen Arbeiten an der Konsole als Benutzer root und dem vergebenen Passwort an.
  • Anlage eines weiteren Benutzers und Passwortvergabe
    • Dieser Benutzer wird im Weiteren nicht benötigt, muss aber angelegt werden.
  • Festplattenpartitionierung
    • Ich verwende hier: "Geführt - vollständige Festplatte verwenden" und belasse im weiteren Partitionierungsverlauf alle Einstellungen auf den bereits hinterlegten Auswahlmöglichkeiten.
  • Konfiguration des Paketmanagers
    • Es wird keine weitere CD/DVD benötigt.
    • Als Spiegelserver verwende ich die voreingestellte Auswahlmöglichkeit (Deutschland, deb.debian.org).
    • HTTP-Proxy: sofern Sie im Netzwerk des Servers keinen oder einen transparenten Proxy verwenden, ist hier keine Angabe erforderlich
    • Die Teilnahme an der Paktetverwendungserfassung ist optional.
  • Softwareauswahl
    • Ich verwende hier nur (alle anderen abwählen):
      • SSH Server
      • Standard-Systemwerkzeuge
  • Grub-Bootloader auf der Festplatte installieren
    • Die Frage nach der Installation des Bootloaders im Master-Boot-Record mit Ja beantworten.
  • Erster Start des neu installierten Systems.
  • Das virtuelle Laufwerk mit dem Debian-Image wird nun nicht mehr benötigt und kann von der virtuellen Maschine entfernt werden.

Debian auf den neusten Stand bringen und grundlegende Pakete installieren

# Zeilen mit vorangestelltem Raute-Zeichen (#) sind lediglich Kommentare

# Paketlisten aktualisieren und installierte Pakete updaten
apt update && apt upgrade -y

# Texteditor vim installieren
apt install vim -y

Beispielhafte Netzwerk-Planung

Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
Diese kann selbstverständlich den eigenen Bedürfnissen angepasst werden.

Teilnetz (VLAN)

VLAN Netzwerkteilnehmer IP/IP-Bereich
10.1.254.0/24 (10 - LAN_MANAGEMENT) 10 untagged virtueller Adapter OPNsense-Interface LAN_MANAGEMENT 10.1.254.1
  10 untagged + 11 + 12 + 13 Switch-Port Management-Interface des Virtualisierungshosts 10.1.254.10
  10 untagged Switch-Port NAS zur Datensicherung 10.1.254.20
  10 untagged Switch-Port bzw.
10 untagged virtueller Adapter
WLAN-Controller als Hardware bzw.
WLAN-Controller als virtuelle Maschine
10.1.254.30
  10 untagged + 12 + 13 Switch-Port Access-Points zur Nutzung in LAN_SCHUELER und LAN_LEHRER 10.1.254.50 - 10.1.254.99
  10 untagged Switch-Port bzw.
10 untagged virtueller Adapter
DHCP-Bereich (OPNsense: Hardware-Clients)
DHCP-Bereich (OPNsense: virtuelle Clients)
10.1.1.254.200 - 10.1.1.254.254
10.1.100.0/24 (11 - LAN_SERVER) 11 virtueller Adapter OPNsense-Interface LAN_SERVER 10.1.100.1
    OPNsense virtuelle IPs für HAProxy 10.1.100.2 - 10.1.100.3
  11 virtueller Adapter Samba-Server 10.1.100.7
  11 virtueller Adapter Nextcloud-Server 10.1.100.8
  11 virtueller Adapter Collabora-Server für Nextcloud 10.1.100.9
  11 untagged Switch-Port OPNsense-DHCP-Bereich (OPNsense: Hardware-Clients) 10.1.100.200 - 10.1.100.254
  11 virtueller Adapter OPNsense-DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.100.200 - 10.1.100.254
10.1.0.0/20 (12 - LAN_SCHUELER) 12 virtueller Adapter OPNsense-Interface LAN_SCHUELER 10.1.0.1
  12 virtueller Adapter FOG-Server 10.1.1.1
  12 untagged Switch-Port OPNsense-DHCP-Bereich (kabelgebundene Clients) 10.1.11.1 - 10.1.15.254
  12 virtueller Adapter bzw. OPNsense-DHCP-Bereich (virtuelle Clients) 10.1.11.1 - 10.1.15.254
  s. Access-Points OPNsense-DHCP-Bereich (WLAN-Clients) 10.1.11.1 - 10.1.15.254
10.1.16.0/20 (13 - LAN_LEHERER) 13 virtueller Adapter OPNsense-Interface LAN_LEHRER 10.1.16.1
  s. Access-Points DHCP-DHCP-Bereich (WLAN-Clients) 10.1.27.1 - 10.1.31.254

Hinweise:

  • Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
  • Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
  • Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.

Netzwerkeinstellungen für die Systeme festlegen

# Bearbeiten der Datei für die Netzwerkeinstellungen mit dem Editor vim
vim /etc/network/interfaces

# Um die nun dargestellte Datei editieren zu können drücken Sie die Taste:
i
# "i" steht für "insert"

# Das Vorgehen zum Editieren von Dateien mit vim wird im weiteren
# Verlauf der Anleitungen vorausgesetzt.
Datei /etc/network/interfaces
# Die Zeile: iface <Interface-Name> inet dhcp
# abändern zu:
iface <Interface-Name> inet static

# Unter der abgeänderten Zeile "iface ..." folgende Angaben ergänzen:
# ACHTUNG: bei "address" die gewünschte IP angeben - z. B.:
address 10.1.1.1
netmask 255.255.240.0
gateway 10.1.0.1
dns-nameservers 10.1.0.1
# Ihre Eingaben in vim speichern und die Datei schließen:
Escape-Taste
:wq
Enter-Taste
# "w" und "q" stehen für "write" und "quit"

# Das Vorgehen zum Speichern und Schließen von Dateien mit vim wird im 
# weiteren Verlauf der Anleitungen vorausgesetzt.

SSH-Zugriff für User root freischalten

Achtung: das beschriebene Vorgehen hebelt die eigentlich erforderliche Anmeldung des Benutzers root unter Zuhilfenahmen von Zertifikaten aus. Ich für mich habe entschieden, dass die root-Anmeldung über SSH ohne Zertifikate im Alltag der praktikablere Weg ist.

Möchten Sie alternativ die besonders sichere Variante der Anmeldung über Zertifikate verwenden, kann Ihnen > diese Beschreibung < helfen. Verzichten Sie in Folge auf die nachfolgenden Veränderungen an der Datei /etsc/ssh/sshd_conf.

vim /etc/ssh/sshd_config
Datei /etc/ssh/sshd_config
# Bei der Zeile "#PermitRootLogin prohibit-password" das vorangestellte 
# Rautezeichen entfernen und die Zeile wie folgt abändern:
PermitRootLogin yes
# Den SSH-Server neu staten, damit die Änderungen wirsam werden:
service ssh restart

Von nun an ist es möglich, auf den Debian-Server von anderen Clients im Netzwerk aus als Benutzer root via SSH (Konsolenzugriff z. B. mit Putty) und SCP (Dateitransfers z. B. mit WinSCP) zuzugreifen.

Gewünschte Server-Software installieren

Fahren Sie nun mit der Installation der gewünschten Server-Software fort:

Verwenden Sie für jede Server-Software eine eigene Debian-Installation!

Wartung

Update des Debian-Systems

Das Update ist mit einem einzigen Befehl schnell erledigt. Vor dem Update empfiehlt sich das Erstellen eines Snapshots auf dem Virtualisierungs-Host, um den aktuellen Stand Ihres virtuellen Systems zu sichern.

# Paketlisten aktualisieren und installierte Pakete updaten
apt update && apt upgrade -y
  • Testen Sie Ihr aktualisiertes System.
  • Nach erfolgreichem Test können Sie ggf. den zuvor erstellten Snapshot entfernen.

Letzte Aktualisierung der Seite: 2024-02-16 14:17