Verwandte Seiten
Linux-FAQ
30. Warum soll man nach Möglichkeit nicht als root arbeiten?
root darf alles und Programme, die von root gestartet werden, dürfen auch alles (auch das Betriebssystem zerstümmeln und löschen)! Viren, Bugs in Programmen oder Fehler des Users können unter einem normalen Benutzeraccount dem System absolut nichts antun. Als root zu arbeiten reduziert die Sicherheit des System gegenüber Viren enorm. Es gibt unter Linux zwar nur eine kleine Anzahl an Viren, davon fast keiner in freier Wildbahn, aber auch einfache Tippfehler können das System zerstören wenn man als root arbeitet. Man sollte root also wirklich nur zur Systemadministration verwenden! Um ein einzelnes Programm als root zu starten kann man den Befehl su in einem Terminal oder auf der Konsole verwenden, oder, wenn man keine Lust hat ständig das Passwort einzugeben, Sudo verwenden. Auf weitere Aspekte der Ständig-als-root-arbeiten-Problematik geht der Artikel Alle Macht dem User ein.
31. Datei- und Ordner-Rechte unter GNU/Linux
Dateirechte
Verändert werden die Dateizugriffsrechte mittels:
$ chmod XYZ Datei
Wobei gilt:
X ist hier ein Platzhalter für die Berechtigungen für den Besitzer von Datei
Y ist hier ein Platzhalter für die Berechtigungen der weiteren Mitglieder in der Benutzergruppe, der die Datei gehört
Z ist der Platzhalter für alle übrigen Benutzergruppen und Benutzer (jeder mit Zugriff auf den Rechner)
Diese Rechte setzen sich jeweils wie folgt zusammen:
| Oktaler Wert | Nominaler Wert | Bedeutung |
|---|---|---|
| 1 | x | ausführen |
| 2 | w | schreiben/löschen |
| 4 | r | lesen |
Die gewünschten Zugriffsrechte für die gewünschte Gruppe werden dann schlicht addiert und aneinandergereiht. Wenn der Besitzer alles mit der gewünschten "Datei" durchführen darf (sie ausführen, überschreiben und lesen) zählt man die oktalen Werte für diese Aktionen zusammen. (1 + 2 + 4 = 7) und schreibt die 7 an die erste Stelle (im Beispiel: An die Stelle X). Will man die nominalen Werte benutzen, werden die Zugriffsrechte einfach aneinandergehängt: rwx.
Sollen die anderen Mitglieder in der Gruppe des Besitzers die Datei lesen und ausführen können, ergibt das 4 + 1 = 5 (oder rx).
Allen anderen (manchmal auch "Die Welt" genannt) möchte man eventuell keine Zugriffsrechte einräumen, dafür genügt eine 0.
Aneindandergereiht ergeben sich für unser Beispiel also die Rechte 750:
$ chmod 750 Datei
Beim Anlegen einer neuen Datei, wird automatisch der Loginname und die Logingruppe als Besitzer der Datei eingetragen (im Grunde nur die Login ID und Gruppen ID, aber das ist nicht so wichtig). Den Loginnamen und Gruppenzugehörigkeiten nennt ewa id(1).
$ id
uid=501(onkelchen) gid=501(onkelchen) Gruppen=1001(audio),1002(video),1003(disk)
uid, User ID, nennt Nummer und Namen des eingeloggten Benutzers
gid, Group ID, nennt die Logingruppe, also die Gruppe in der der Benutzer in erster Linie Mitglied ist. Gruppen sind alle weiteren Gruppenmitgliedschaften.
Legt man nun eine neue Datei an, wird standardmäßig uid der Besitzer und gid die Gruppe. Die Rechte, die eine neu angelegte Datei erhält, werden dabei von umask definiert (die von umask definierten Rechte werden weg gezählt!). Beispiel:
$ touch datei
legt eine leere Datei namens datei an. Für sie wird nun als Besitzer der Benutzer mit der UID 501 (aus obigem Beispiel) und als Gruppe ebenfalls die Gruppe mit der Nummer 501 eingetragen. Die Rechte die Datei dabei erhält , nennt umask (gibt zumeist 0022 aus). sind demnach 7-0 7-0 7-2 7-2= 0755. Die erste Stelle, hier 0, kann zunächst ignoriert werden. Dies sind die sog. Stickiebits, die hier nichts zur Sache tun.
Die Besitzer und Gruppeneigentümer einer Datei können natürlich auch geändert werden:
$ chown uid:gid datei
$ chown uid datei
$ chgrp gid datei
Angezeigt, werden die Rechte vom üblichen Dateilisting (' ls'), wenn man ls darum bittet:
$ ls -l datei
-rwxr-xr-x onkelchen onkelchen 218 2004-06-17 16:59 datei
Die erste Spalte sind dabei die nummerischen Rechte (einfach aneinandergereiht, hier 755), Besitzer und Gruppenname. Die weiteren Felder, hier uninteressant, sind Größe in Bytes, Änderungsdatum und Dateiname.
Ordner-Rechte
Bei Ordnern werden die Rechte analog zu Dateien gehandhabt, Alle Befehle die für Dateirechte gelten, lassen sich auch auf Ordner anwenden (Achtung: chmod auf Ordner, ändert nur die Rechte für den Ordner, nicht die Dateien darin. Ist das gewünscht, benutze man chmod mit dem Parameter -R).
| Oktaler Wert | Nominaler Wert | Bedeutung |
|---|---|---|
| 1 | x | "betreten" |
| 2 | w | löschen |
| 4 | r | auflisten |
Erklärungsbedürftig ist hier wohl nur der Begriff betreten. Angenommen ich möchte anderen Benutzern erlauben, die Dateien im Ordner /mein_home/public/ aufzulisten, nicht jedoch auch die in /mein_home/, so gebe ich dem Unterverzeichnis dem gewünschten Personenkreis Auflistungs- und Betretungsrechte, dem Ordner /mein_home/ jedoch nur das Recht in zu betreten. Um das zu verdeutlichen folgende Befehle:
$ mkdir /mein_home/
$ mkdir /mein_home/public/
$ chmod 751 /mein_home/
$ chmod 755 /mein_home_/public
$ su andererbenutzer
$ ls /mein_home/
bash: ls: Zugriff verweigert
$ cd /mein_home/public
$ lsdatei
Um den Inhalt eines Ordners aufzulisten (4) muss es auch gleichzeitig möglich sein in ihn zu wechseln (1).
32. Wie kann ich meinen Linux-Rechner sicherer machen?
Mit diesem wirklich sehr umfassenden Thema beschäftigt sich die deutschsprachige Seite www.linux-secure.de. Weiters gibt es ein exzellentes Howto nicht nur für, aber von Debian.Hier noch eigene Tipps einzubringen, unterlassen wir. Dieses Kapitel ist ein äußerst komplexes Thema, das niemals in einer FAQ beantwortet werden könnte. Paranoide Sicherheitstechniken mögen auf einem Desktop übertrieben sein, daher ist dieses Thema hier auch nicht unbedingt an erster Stelle zu nennen.
IDS (Intrusion Detection System), Netzwerkscanner und der gleichen sind auf dem Desktop schlicht nicht notwendig. Virenscanner und Spamfilter hingegen sollten auch da nicht fehlen. Aus sicherheitsrelevanter Seite, reicht es aus, potenziellen Angreifern nicht Tür und Tor zu öffnen. Eine Eigenschaft, die viele Distributionen mitbringen, ist leider auch die Tatsache, dass die Grundinstallation eine Vielzahl an Daemons (in Windows Services genannt), mitbringt und auch aktiviert. Die meisten davon wird der Endanwender nicht brauchen, geschweige denn überhaupt benötigen. Jeder dieser Dienste ist ein potenzielles Einfallstor und sollte unbedingt deaktiviert werden. Zu den unnötigen Diensten auf einem Desktoprechner zählen:
- Webserver (Apache, thttp)
- FTP-Server (PureFTP, ProFTPd, ftpd, wu-ftp, vsftpd, tftp)
- Datenbankserver (MySQL, Firebird/Interbase, MaxDB, Postgre SQL)
- E-Mail Verteiler (Postfix, QMail, sendmail, exim) - diese lassen sich eventuell nicht deinstallieren. In dem Fall sollten sie so konfiguriert werden, dass sie nur lokal Mails zustellen
- Nameserver (Bind8/9)
- Versionskontrollsysteme (CVS, subversion)
- Inetd Dienste (echo, discard, daytime, time sollten unbedingt deaktiviert werden)
- Remote Shells (rlogin, ssh, TELNET!)
33. Stellen Viren/Würmer/Trojaner eine Gefahr dar?
Solange du unseren dringenden Ratschlag befolgt hast, nicht als root zu arbeiten, ist die Antwort hier durchaus nein. Das viele Getier,das Windows Benutzer plagt, kennen Linux Benutzer eigentlich nicht. Es sei gesagt, es gibt eine handvoll Linux Viren. In freier Wildbahn sind aber nur die allerwenigsten davon, in nennenswerter Verbreitung so gut wie keine. Viren stellen für Linux aktuell kein nennenswertes Risiko dar. Unter Linux gibt es keine derart lückenhafte Abstraktionsschicht, wie unter Windows. Dies geht auf Kosten der Benutzerfreundlichkeit, ist jedoch wesentlich sicherer für den Anwender (Komponenten wie ActiveX, Visual Basic Script seien hier genannt). Weiterhin kann ein nicht privilegierter Linux Benutzer keine Änderungen am System vornehmen, was unter Windows ganz anders ist.
Die einzigen Virenscanner, die es für Linux gibt, erfüllen ihren Zweck als Mailscanner, um verseuchte Mails heruszufiltern und für Windows schädliche Viren auszuschalten. Dies ist dann vonnöten, wenn der Mailserver auf Linux Basis läuft, die Client Rechner aber auf Windows.
34. Ich habe mein Passwort vergessen
Vergessene Passwörter können nicht restauriert werden. Es besteht jedoch die Möglichkeit, vergessene Passwörter neu zu setzen. root kann jederzeit jedes beliebige Passwort ohne Eingabe des alten Passwortes neu setzen. Ist auch das root-Kennwort verloren gegangen, wird es komplizierter. Die meisten aktuellen Distributionen erlauben es, minimale Rettungssysteme im Notfall von CD zu booten (ansonsten eignet sich auch Knoppix).Darin enthalten ist zumindest eine Shell mit den Rechten des Benutzers root. Um das verlorene Passwort neu zu setzen, muss nun das Wurzelverzeichnis (/) der Installation gemountet werden, ein chroot(1) darauf gemacht werden, sowie das Passwort neu gesetzt werden:
# mount -t ext2 /dev/hdXY /mnt
# chroot /mnt
# passwd
<Passwort (blind) neu eingeben>
# exit
35. Wie konfiguriere ich meine Firewall?
Dies ist ein allzu komplexes Thema, als dass es hier ausreichend erörtert werden könnte. Viele Distributionen bieten mittlerweile Automatismen, oder Frontends um passende Firewalls zu konfigurieren. Firewalls sind in Linux großteils Aufgabe vom Kernel, die Paketfilter Regeln im Detail macht man ab Kernel 2.4 mit iptables. Einen einfachen Einstieg bietet etwa der Easy Firewall Generator und das einfach gehaltene, deutsche Packetfiltering Howto .
36. Wie kann ich Verbindungen routen?
Eine beliebte Aufgabe für Linux Rechner, ist es, als Router zudienen. Ein Router stellt die Verbindung zwischen zwei oder mehreren Netzwerken her, üblicherweise zwischen dem lokalen LAN und dem Internet. Der Linux Kernel unterstützt das Routen von Verbindungen (aka. NAT, aka. Masquerading) von Haus aus, man muss es ihm nur erlauben. Im Wesentlichen muss nämlich nur eine durch RFC1918 als privat definierte IP-Adresse (z.b. 192.168.0.0/24, oder 10.0.0.0/24) in eine global auflösbare (üblicherweise die vom Provider zugewiesene IP-Adresse) maskiert werden. Für weiterführende Informationen, sei auf Paketfilter Howtos verwiesen:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s -o -j MASQUERADE
< IP>: Ist hier die IP Adresse oder der IP Block der Clients,deren IPs maskiert werden sollen.
< DEVICE>: Ist das Zieldevice an das die maskierten TCP Pakete weitergeleitet werden sollen (Üblicherweise das PPP-Device, z.B. ppp0)
Auf Windows und Linux Clients reicht es nun aus, diesen Router als Gateway einzutragen. Windows benutzer machen dies in der Systemsteuerung -> Netzwerkkonfiguration -> Netzwerkkarte auswählen -> TCP/IP Einstellungen
37. Wo finde ich HOWTOs und andere Dokumentation?
Neben der auf dem System vorhandenen Dokumentation, die über die Befehle man und info gelesen werden kann sowie die Dateien in/usr/share/doc/packetname/, ist das Linux Documentatin Project in jeder Hinsicht die erste Anlaufstelle wenn man nicht weiss, wie man etwas bewerkstelligen soll. Deutsche übersetzungen einer Vielzahl von HOWTO's gibt es ebenfalls, sind jedoch häufig veraltet (bestes Negativbeispiel ist hier das deutsche Kernel-HOWTO). Zusätzlich sollte man einfach mit einer Suchmaschine wie Google nach dem gesuchten Begriff/Thema suchen, oft landet man schon beim ersten Versuch einen Volltreffer. Desweiteren gibt es noch mehrere verschiedene Newsgroups die sich mit Linux befassen (z.B. comp.os.linux.* oder alt.os.linux.*), ebenso hat praktisch jedes IRC-Netzwerk einen Linux-Channel in dem man über alles Rund um Linux chatten kann. Über den Umfang dieser FAQ bei weitem hinaus geht die Linux User FAQ.
38. Wie stelle ich Fragen im Forum richtig?
Auf jeden Fall solltet Ihr immer folgende Details angeben: Name und Version der Distribution (z.B. SuSE 8.2), Version des Kernels (z.B. 2.4.20) und ob der Kernel selber kompiliert wurde oder ob es sich um den Standardkernel der Distribution handelt. Dann, und das ist wohl das Wichtigste, eine detaillierte Problembeschreibung, inklusive eventueller Fehlermeldung, Programmversion und der Vorgehensweise die zum Fehler oder Problem geführt haben. Eine Fehlerbeschreibung wie "ISDN funzt net unter Linux. Was Soll ich machen???" ist für uns absolut nutzlos und erschwert eine schnelle Hilfe enorm. Bei Hardwareproblemen immer auch die genaue Hardwarebeschreibung (Hersteller, Chipsatz usw.) angeben.
39. Nützliche Links:
Foren:
www.linuxforen.de - ein Forum speziell für Linuxer (danke montgomery)
www.unixboard.de - dito
www.justlinux.com - großes englischsprachiges Linux-Forum (danke stronzo)
debianforum.de/forum/ - deutsches Debian-Forum (danke herr-k)
forums.gentoo.org - englisches Forum für Gentuxe (danke hal9003)
www.xandros-forum.de - speziell zur Xandros-Distribution (danke provokateur)
www.linuxtag.org/forum - Knoppix-Forum von den bekannten Linux-Messeveranstaltern
atar215-linux.sourceforge.net- Forum des Entwicklerteams des Eagle Kernel-Treibers für das AT AR 215ASDL-USB Modem. Ersatz für die traditionelle Mailingliste.
www.linux-club.de - Supportforum für SuSE Linux
Kompendia (Online-Bücher)
www.openoffice.de/linux/buch/ - das Debian GNU/Linux Anwenderhandbuch (danke fledderhater)
www.linuxfibel.de - viele gute dokus in deutsch
www.selflinux.de - grosses tutorial (D)
Software:
www.rpmseek.com - suchmaschine für .rpm und .deb pakete
www.freshmeat.net - immer die neueste software (danke fckalya)
www.sourceforge.net - developer hosting für das eigene projekt (dito)
www.berlios.de - ebenfalls hoster für viele open source projekte (deutsch)
packman.links2linux.de - viele aktuelle .rpms für SuSE
stommel.tamu.edu/~baum/linux...list/node2.html - rießiges Software-Archiv welches sich selbst als "Linux Software Encyclopedia" bezeichnet.
FAQs und Hilfeseiten allg.:
www.linuxprinting.org - infos rund ums drucken unter linux
www.linuxquestions.org - englischsprachige Site mit grossem forum (danke electrick)
www.linux-on-laptops.com - enthält Erfahrungsberichte der Installation von Linux auf Laptops (dito)
www.adsl4linux.de - site die sehr ausführlich die DSL-Konfiguration unter Linux erklärt. Mit eigenem Forum (danke fckalya)
ferris.dyndns.info/man - man pages online lesen (dito)
www.linuxlinks.com - sehr umfangreiche englische linksammlung (danke fckalya)
www.hotfeet.ch/~gemi/LDT/ - sehr umfangreiche Linksammlung für den Software-Entwickler und wissenschaftliche Arbeiten (dito)
www.little-penguin.de/phpsites/glossar/index.php - kleines linux begriffslexikon
wwwacs.gantep.edu.tr/guides/linux - englische Site mit Online-Books, Tuts und FAQs. Beschäftigt sich vorrangig mit Slackware.
www.multimedia4linux.de- site die sich mit Multi-Media rund um Linux befasst. Das betrifft dieKonfiguration von Sound"> -und TV-Karten, das Aufnehmenvon TV-Streams usw.
oase-shareware.org/s?k=linux&t=1075420147886- Linux Linksammlung zu Themen wie "Wie werde ichzertifizierter Linux-Admin". Größtenteils kommerzielle Links.
Portalseiten & Online-Magazine:
www.linuxeinsteiger.info - bietet leicht verständliche deutsche tutorials mit eigenem Forum und IRC-Chat (danke schnarchzapfen)
www.pro-linux.de - nachrichtensite rund um linux mit guten technischen Artikeln und nem eigenen Forum (danke dumpman)
www.linuxfocus.org - Internationales Linux Online-Maganzin
www.userlocal.com - portalsite in Englisch die sich speziell mit Slackware und BSD befasst. Hat zusätzlich ein eigenes Forum (danke electrick)
lug-bz.de/portal/index.php - webiste der LUG Bautzen mit Newsartikeln und nem eigenen Forum (danke xilef)
www.linuxsecurity.com- englische Newssite die sich speziell mit dem Thema Linux-Sicherheitbeschäftigt. Verfügt über eine Sammlung von Security-Manuals für Linux(unter "Documentation").
HOWTOs und Dokus
tldp.org - DAS Linux-HOWTO Projekt (danke mausmaki)
www.linuxhaven.de/dlhp/ - deutsches how-to Projekt, ein wenig out-of-date
wwwacs.gantep.edu.tr/guides/linux/ - umfangreiche englische doku (danke stronzo)
www.64-bit.de - sehr gute Linux-Dokus in Deutsch (danke Pi-Air)
Distris:
Gentoo:
www.gentoo.org - englischsprachige Website des Projekts
www.gentoo.de - deutschsprachige gentoo linux dokumentation (danke hal9003)boss
Debian:
www.debian.org - internationale Website des Projekts
www.debian.org/distrib/packages - debian Paketsuchmaschine (online-alternative zu apt)
www.debian.org/Bugs/ - das Debian Bucktracking System
www.apt-get.org - Backport-Suchmaschine für Debian-Stable
www.backports.org - Sehr gute Backports für Debian-Stable (nur Backports von Debian Maintainern)
channel.debian.de/faq - Channel FAQ von #debian.de (Freenode)
Knoppix:
www.knoppix.org - website der beliebten Live-Linux Distribution
www.knoppix-hd.de.vu - Knoppix auf die lokale HDD installieren
kano.mipooh.net - scripte für Knoppix von kano
