Aber noch eines Vorab: Die folgende Anleitung hat bei mir funktioniert, aber ich übernehme keine Gewährleistung das er auch in anderem Umgebungen funktioniert.

Systemkonfiguration

OS: Microsoft SBS 2011 Essentials (Basiert auf Windows Server 2008 R2)

Drive C: 60GB SSD, NTFS

Drive D: Software Stripeset ohne Parität über zwei Hardware RAID 1 (Leider kann der Kontroller kein Raid10), NTFS

Vorbereitungen

Da dies tiefe Eingriffe ins System sind, empfehle ich Dringend vorher ein Backup zu machen. So gehen bei Fehlern keine Daten verloren.

Anpassen der Registry (Teil 1)

Damit neue Profile automatisch richtig angelegt werden, müssen der folgenden Registrykey geändert werden:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\ProfilesDirectory => “D:\Users”

Kopieren der Dateien

Um die Dateien alle vernünftig zu kopieren sollten alle Benutzer abgemeldet sein. Um Probleme mit dem Profil zu vermeiden, das wir zum Kopieren nutzen empfehle ich den folgenden Weg:

1. Anlegen eines neuen Administrators für das Kopieren (In meinem Fall Server = DC muss er Domain Admin sein)
2. Anmelden mit dem neuen Benutzer und schauen ob das Profil auf Laufwerk D liegt (CMD => set), sonst stimmt der Regkey nicht.
3. Starten einer CMD mit Administrativen Rechen (Als Administrator ausführen)
4. robocopy C:\Users D:\Users /e /copyall /xj /sl /log:robocopy.log /R:3 /tee /ZB

Und hier die Erklärung der verwendeten Parameter:

/E :: Kopiert Unterverzeichnisse, einschließlich leerer Unterverzeichnisse.
/COPYALL :: Kopiert alle Dateiinformationen (Daten, Attribute, Zeitstempel, NTFS-ACLs, Besitzerinformationen, Überwachungsinformationen)
/XJ :: Schließt Abzweigungspunkte aus
/SL :: Kopiert symbolische Verknüpfungen gegenüber dem Ziel
/LOG:Datei :: Gibt den Status der Protokolldatei aus
/R:n :: Anzahl von Wiederholungsversuchen bei fehlerhaften Kopiervorgängen. Der Standardwert ist 1 Million.
/TEE :: Gibt Daten in das Konsolenfenster und die Protokolldatei aus.
/ZB :: Verwendet den Neustartmodus. Im Fall einer Zugriffsverweigerung wird der Sicherungsmodus verwendet.

Anpassen der Registry (Teil 2)

Damit das Default und das Public Profil gefunden werden, müssen noch die folgenden Registrykeys geändert werden:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\Default => “D:\Users\Default” HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\Public => “D:\Users\Public”

Zusätzlich müssen noch die Pfade für die schon existierenden Profile überarbeited werden. Dafür muss der Key

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\–USER SID (Beginnt mit S-1-5-21-)–\ProfileImagePath von “C:\…” nach “D:\…” geändert werden.

Abschiessende Massnahmen

Wenn Sie sich sichersind, das alles geht, können die alten Dateien gelöscht werden. Dabai aber nur die Userprofile, Default und Public löschen, nicht “All Users”.  Fals doch nicht alles geht. Es gibt ja ein Backup von dem Verzeichnis (Sollte im SYSTEMSTATE enthalten sein).

Neue Hardware braucht das Land…

Da ich die 4*2TB als Datenspeicher weiter benutzten möchte, aber für das OS was schnelleres möchte rüste ich noch etwas auf:

• Eine Samsung SSD mit 60 GB
• Ein externes eSATA Gehäuse.

Vorbereitungen

Die 4*2TB Festplatten konfiguriere ich als 2 Datenträger mit RAID 1 gespiegelt im Raidcontroller BIOS. Das StripeSet, das beide verbindet wird später in Windows erstellt. Wichtig ist bei HP die nötigen Treiber und das Bios Update runter zu laden. Das Biosupdate gibt es auch in einer USB-Installer Variante. Die Treiber alle auf einen USB Stick unter dem Ordner “Drivers” entpacken. Zusätzlich im Hauptverzeichnis des USB-Sticks eine Datei mit dem Namen “cfg.ini” und dem exakt dem folgenden Inhalt anlegen:

[WinPE]
ConfigDisk=1
CheckReqs=0
WindowsPartitionSize=MAX
Drivers=_:\Drivers

Den USB-Stick beim Booten schon einstecken, den Rest macht MS Windows wenn von CD gestartet wird. Wenn ihr einen 2ten Anlauf macht, schaut in die cfg.ini, da Windows nach der Verarbeitung dort einen Eintrag setzt die Datei nicht mehr für WinPE zu berücksichtigen. Auf die Eigentliche Installation gehe ich jetzt hier nicht ein, da der Assistent eigentlich sehr präzise Fragen stellt. Wer kein Optisches Laufwerk hat, der kann auch von Microsoft ein Tool herunterladen was einen Bootfähigen USB-Stick erzeugt. Allerdings muss der nach dem ersten Reboot wieder entfernt werden.

Wichtig ist das die SSD an externen eSATA Anschluss angeschlossen wird. Aus nicht nachvollziehbaren Gründen war bei mir die Bootreihenfolge egal, sobald mehr wie die SSD angeschlossen war klappte das booten nur über den externen Port. Auch ein zusätzlicher Sata Controller hat nicht geklappt. Eine Lösung könnte noch gewesen sein die 100 MB System Partition auf eines der RAID 1 zulegen, aber da ich das nicht wollte habe ich es auch nicht getestet.

Probleme beim Installieren?

Prüft bitte zuerst ob in der Datei cfg.ini der Eintrag “Processed=true” enthalten ist. Fehlt der, hat Windows aus irgend einem Grund die Datei nicht berücksichtigt und somit auch die Treiber nicht geladen.

Sollte bei Euch auch das Problem auftreten das Windows bei ca. 44% sich aufhängt (Länger als 30 Minuten solltet Ihr Sicherheitshalber warten), dann hat bei mir folgendes geholfen (Ja, klingt komisch, ich weiß):

• Windows 7 installieren
• Biosupdate (Windows Version) durchführen
• Netzwerkkartentreiber von der HP Seite installieren (Der führt wohl auch ein Firmware Update durch)

Leider funktioniert es seit dem, so das ich nicht sagen kann welcher der beiden Schritte der richtige war. Leider hab ich auch nicht rausfinden können wo das Problem lag.

Nach der Installation

Nach der Installation können dann die beiden Raiddevices als Stripeset konfiguriert werden.

Mit dem SBS Dashboard können dann die Freigaben von Laufwerk C: auf das neues Stripeset verschoben werden.

Wer mehr über die Thematik lesen möchte, dem empfehle ich den Heise Hintergrund Artikel.

Vorbereitung Postfix MTA

Damit die Alarme auch ankommen, muss zunächst der Postfix konfiguriert werden. Hier die Konfiguration für einen SMTP Server mit SMTP Auth und TLS. Die Unterstrichenen Werte müssen entsprechend Ihrem E-Mail Anbieter angepasst werden. Zu erst wird das Passwort in die Datei /etc/postfix/password gespeichert und die Berechtigung angepasst:

echo smtp.domain.tld:TLSPORT username:password >>/etc/postfix/password
chmod 0600 /etc/postfix/password

Jetzt muss die Postfixkonfiguration geändert werden, dafür benennen wir die bisherige main.cf um und erstellen eine neue:

mv /etc/postfix/main.cf /etc/postfix/main.cf.bak
cat < EOF > /etc/postfix/main.cf
mydestination =
inet_interfaces = loopback-only
relayhost = smtp.server.tld:TLSport
smtp_generic_maps = hash:/etc/postfix/generic
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtpd_tls_CApath = /etc/pki/tls/
smtp_sasl_password_maps = hash:/etc/postfix/password
EOF

Damit alle Mails an root weitergeleitet werden muss als nächstes die Datei /etc/postfix/generic angepasst werden. Dazu werden die folgenden Zeilen eingefügt:

root Administrator@domain.tld
@localhost.localadmin Administrator@domain.tld

Abschliessend muss die Umleitung noch aktiviert werden und der Postfix neugestartet werden:

postmap hash:/etc/postfix/password
postmap /etc/postfix/generic
service postfix restart
echo “Wenn Sie dies in Ihrem Postfach lesen, dann hat es geklappt” | mail -s “Testmail vom Homeserver” root

Überwachung des Software-RAID

Testen kann man den mdmonitor mit dem Befehl:

mdadm –monitor –test –oneshot /dev/md*

Damit wir täglich an defekte RAIDs erinnert werden, legen wir einen Cronjob an:

echo mdadm –monitor –scan –oneshot >/etc/cron.daily/mdmonitor
chmod ugo+x /etc/cron.daily/mdmonitor

Überwachen der Festplatten mit SMART

Zu erst aktivieren wir den SMART Daemon mit

chkconfig smartd on; service smartd start

In der Datei /etc/smartd.conf muss die Zeile “DEVICESCAN -H -m root” wie folgt geändert werden:

DEVICESCAN -n standby,10,q -H -m root

Dies ist sehr allgemein gehalten. Hier steckt auch noch Optimierungspotential, welches mit einem Studium der conf-Datei oder das Manpage für die eigenen Zwecke angepasst werden kann.

Fertig ist die Überwachung der Festplatten, im nächsten Teil wird dann der Samba als Domaincontroller konfiguriert.

Unnötige Dienste abschalten

Folgende Dienste brauchen wir nicht und können Abgeschaltet werden:

chkconfig bluetooth off

Durch die Minimalinstallation ist die Liste der aktivierten Dienste angenehm überschaubar.

Anpassen der IPv4 Settings

Um die IPv4 Einstellungen anzupassen fügen wir in die Datei /etc/sysctl.conf folgende Zeilen ein:

net.ipv4.icmp_ignore_bogus_error_messages=1
kernel.exec-shield=1
kernel.randomize_va_space=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.icmp_echo_ignore_broadcasts=1

Abschalten des Reboot bei  STRG + ALT + ENTF

Wer kennt es nicht von Windows, “Drücken Sie STRG + ALT + ENTF zum Anmelden”, das löst unter Linux normalerweise einen Neustart aus, und ist sehr unerwünscht. Damit der Server auch Sicher in der Nähe von Windows Administratoren ist, wird in der Datei /etc/init/control-alt-delete.conf vor der Zeile “exec /sbin/shutdown -r now “Control-Alt-Delete pressed”” ein # einfügen.

Anpassen der FSTAB

Nun werden die Parameter in der Datei /etc/fstab noch angepasst, das sie so aussieht (WICHTIG: nur die Parameter “defaults” modifizieren, auf keinen Fall etwas mit “/” ändern oder die Zahlen. Zeilen in denen nichts geändert werden muss, lasse ich hier weg!!!)

UUID=94363183-fcdc-4297-838c-ff7545cecb5c /boot                   ext4    defaults,nosuid,noexec,nodev        1 2
/dev/mapper/vg_hort-lv_home /home                   ext4    defaults,nosuid,nodev        1 2
/dev/mapper/vg_hort-lv_shares /shares                 ext4    defaults,nosuid,nodev        1 2
/dev/mapper/vg_hort-lv_var /var                    ext4    defaults,nosuid,nodev        1 2
/dev/mapper/vg_hort-lv_log /var/log                ext4    defaults,nosuid,nodev,noexec        1 2

Password Authentification Managment (PAM)

Damit nicht jeder der auf das System Zugriff hat, wird der Zugriff auf den  SuperUser root begrenzt auf Mitglieder der Guppe “wheel”. Dazu wird in der Datei /etc/pam.d/su das “#” aus der Zeile

“#auth           required        pam_wheel.so use_uid”

entfernt. Wer nicht möchte das die Administratoren das root Kennwort benötigen kann auch das “#” aus der Zeile

“#auth           sufficient      pam_wheel.so trust use_uid”

entfernen.

Automatisches Abmelden nach 15 Minuten Inaktivität (Auto-Logout)

Hierzu wird eine neue Datei ”/etc/profile.d/autologout.sh” angelegt. In diese Datei wird die Zeile: “readonly TMOUT=900″  eingefügt. Anschließend wird die Datei noch mit dem Befehl: “chmod +x /etc/profile.d/autologout.sh” ausführbar gemacht. Wer den Linuxnutzern die Möglichkeit geben möchte das aufzuheben, der kann das “readonly” weglassen. Dann kann mit “unset TMOUT” das Autologout abgeschaltet werden.

Anlegen des persönlichen Adminusers

Bevor wir den SSH Dienst richtig absichern können, wird erst einmal ein persönlicher Benutzer für die Administratoren benötigt. Der wird angelegt mit dem Befehl useradd, die Syntax ist einfach:

useradd -c “KOMMENTAR” -G wheel -m USERNAME

Bei Kommentar können auch Leerzeichen, Klein- und Großbuchstaben und auch Zahlen verwendet werden. Der Username darf nur aus Kleinbuchstaben und Zahlen bestehen.

Für diesen Benutzer muss noch ein Kennwort mit “passwd USERNAME” erstellt werden.

Anschließen legen wir für den User einen SSH Key an:

ssh-keygen -b 4096 -f FILENAME

Wer Windows benutzen möchte, der kann sich meine älteren Artikel  SSH ohne Kennwörter mit Zertifikaten, eine SSH SingleSignOn Lösung anschauen.

>>>!!! Dieser Schritt sollte nicht übersprungen werden, sonst kann sich nach der nächsten Änderung nicht mehr über SSH anmeldet werden !!!<<<

Anpassungen des SSHD

In der Datei /etc/ssh/sshd_config müssen ein paar Zeilen angepasst werden:

Abschalten von USB-Sticks

Wer gerne verhindern möchte das USB-Sticks genutzt werden können, der kann eine neue Datei /etc/modprobe.d/blacklist-usbstorage mit dem Inhalt: “blacklist usb-storage” erstellen.

RKHunter – Der Rootkit Jäger

Das Prgram rkhunter untersucht das System nach bekannten Rootkits und wird im EPEL Repository angeboten. Zum installieren einfach “yum install rkhunter” eingeben. Danach einfach mal mit “rkhunter –update  –propupd  –check” einmal durchlaufen lassen. Finden solle er nichts , aber man kann sehen wir er arbeitet und wie viele Rootkits es für Linux mittlerweile gibt. Allerdings wird er ein paar Warnungen ausgeben, z.B.

• Checking for passwd file changes
• Checking for group file changes

Dies ist beim ersten Scan normal.

• Checking if SSH protocol v1 is allowed
• Checking if SSH root access is allowed

Nach der SSH Konfig ist das nicht richtig. Auch ist ein Root Login nicht möglich, die Meldung kommt, weil RKHunter hier noch alte Parameter im Test verwendet (Siehe /var/log/rkhunter/rkhunter.log).

In der Konfiguration /etc/rkhunter.conf sollten nun noch ein paar Anpassungen gemacht werden:

ALLOW_SSH_ROOT_USER=no
ALLOW_SSH_PROT_V1=0

RKHunter trägt sich automatisch unter /etc/cron.daily/rkhunter ein, und wird so täglich schauen, ob was alles in Ordnung ist.

Logwatch

Logwatch verschickt einmal am Tag eine Zusammenfassung der Logfiles. So hat mal alles wichtige auf einem Blick. Die istallation ist sehr einfach:

yum install logwatch

Grafische Oberfläche oder nicht

Wer sich nicht an dem Bildschirm am Server einloggt, sondern SSH benutzt oder keinen Grafischen Desktop benötigt, der sollte ihn abschalten. Dazu muss in der Datei /etc/initab die Zeile: “id:5:initdefault:” in “id:3:initdefault:” geändert werden.

Die Sicherheit der Physik

Neben den üblichen Hinweisen zu sicheren Serverräumen (Die hier wohl etwas übertrieben wären) gibt es noch etwas anderes, was oft Vergessen wird. Nach der Installation im BIOS des Computers einstellen das nur von Festplatte gebootet wird, und das BIOS mit einem Kennwort sichern. Bitte auch keine Post-IT mit Kennwörtern auf die Server kleben!

Abschließende Worte

Natürlich sollte man noch viele weitere Dinge beachten, aber ich denke die würden hier den Rahmen sprengen. Ich empfehle auf jeden Fall die Lektüre der weiteren Quellen. Auch sollte man schauen wie man die Anwendungen auf dem System möglichst sicher bekommt. Auch denkbar wäre bei einem Webserver zum Beispiel  /var/www im nur lesenden Zugriff zu mounten. Ihr seht, es gibt noch viele Möglichkeiten.

Im Nächsten Teil kümmern wir uns dann um die Überwachung der Festplatten, des RAID und der Weiterleitung aller wichtigen Meldungen an den Administrator per E-Mail.

Updates

• Logwatch eingefügt.

Dies wird eine kleine Serie von Anleitungen. Im Prinzip kann jede alleine davon schon Nützlich sein. Dies ist der erste Teil, bei der Installation meines persönlichen Servers für zu Hause. Ziel war 6TB Daten so zu speichern, das selbst der Ausfall einer Festplatte  keinen Datenverlust zur folge hat. Natürlich war nicht nur der Datenerhalt wichtig, sondern auch, das der Server weiter läuft bis ich die Zeit habe die Festplatte zu tauschen. Dieser Artikel beschäftigt sich mir der Einrichtung des Betriebssystems inklusive Raid und der Grundkonfiguration.

Warum das ganze?

Ein NAS ist eine praktische Sache, nur manchmal nicht das beste / günstigste. Unsere Anforderungen für zu Hause (Einer umfangreich digitalisierten CD Sammlung, einem Digitalen Videorekorder, Fotographie im RAW Format und jeder Menge Virtueller Maschinen sei Dank):

• 6TB Speicherplatz mit Festlattenredundanz
• Vernünftige Performance beim Schreiben und lesen
• Unterstützung aller Vorhandener Betriebssysteme (diverse Linux, Mac Os X und Microsoft Windows XP und 7)
• Sicherer Zugriff von außen (Ohne VPN)
• Geringer Stromverbrauch (Deshalb nicht der Desktoprechner)

Optimal sollte das Gerät noch folgendes können:

• Benutzerverwaltung über SMB (Reine Faulheit)
• Erweiterbarkeit mir eventuellen Zusatzdiensten (z.B. Nagios, Radius, Webserver)
• Vernünftige Update Zyklen
• Günstiger Preis

Ja, ich weiß, eine Eierlegende Wollmichsau. Zu erst habe ich mir ein paar NAS auf dem Markt angeschaut. Die wenigsten Unterstützen 4 Festplatten im RAID 5. Eines was ich gefunden hatte war das ReadyNAS Ultra 4 von Netgear (ca. 473,91 € www.amazon.de, 28.06.2011) und das TS-459 Pro von QNAP (ca. 777,49 € www.amazon.de, 28.06.2011), die auch schon in der CT 20/2010 vom 13.09.2010 vorgestellt wurde. Dazu kommen dann noch die Preise für die 4x2TB Festplatten (ca. 230€), ich habe keine Stelle im Web gefunden die eines der Geräte im Vollausbau angeboten haben. Auch die Suche bei anderen Webseiten hat mich nicht zu einem NAS geführt mit einem für mich angenehmen Preis/Leistungsverhältnis und den gewünschten Funktionen. Ein Kollege brachte mich dann auf die Idee mal bei HP nach den MicroServern zu schauen. Gefunden habe ich den N36L , der dank normaler PC / Server Technik einfach zum Aufrüsten ist und Zertifiziert ist für Microsoft Windows Server 2008 R2 (Ihr könnt  euch Überlegen wie wohl der Plan B aussah…) und RedHat Enterprise Linux. Der HP ProLiant MicroServer ist schon (Mit 250 GB HDD und 1 GB RAM) für 249€ zu haben.

Das Angenehme an dem MicroServer ist, das man merkt das HP seit Jahren sehr gute Server baut. Alles ist gut durchdacht, aufgeräumt und das einzige Werkzeug was man braucht (Nein, kein Imbus, aber fast) wird mitgeliefert. Auch ist der MircoServer modular aufgebaut, wer möchte kann ein TPM oder eine Remotemanagementschnittstelle (ILo) nachrüsten.

Das Betriebssystem

Die häufiger meine Anleitungen lesen, wissen das ich als Ersatz für RHEL sonst immer das Binärkompatible CentOS bevorzuge. Leider war CentOS noch nicht bei Version 6 angekommen als die Arbeit an diesem Projekt begann, das ebenfalls aus den RHEL Quellen nachgebaute Scientific Linux schon.  Unterstützt wird die SL (Dies ist die Abkürzung) Community unter anderem durch das CERN, was eine gute Pflege gewährleistet. Als Beispiel für die Aktualität, bei SL ist momentan der RC vom 6.1 verfügbar, wo CentOS gerade Version 6.0 fertig hat.

Nicht wundern über englische Bezeichnungen oder Screenshots, ich installiere ein Server Betriebssystem im in englischer Sprache, nennt es Berufskrankheit

Der Server

Ein paar Veränderungen müssen sein, die 250GB Festplatte muss weichen, dafür kommen 4 2TB Festplatten hinein. Der Arbeitsspeicher würde mit 1 GB wahrscheinlich für die Grundlagen reichen, aber bei den heutigen Preisen stecken wir einfach noch ein 4GB Modul von Kingston mit ECC dazu. Das waren schon die Hardware umbauten. Da der Onboard Sata Controller leider nur RAID 1 oder RAID 0 kann, muss das RAID 5 leider über Software realisiert werden, dies ist aber bei den meisten günstigen NAS auch der Fall. Wer auf die 5 GB Ram verzichten kann (Das dürften die meisten sein, die nur ein NAS brauchen und nicht auch noch Virtuelle Maschinen hosten wollen), der bekommt mit den HP MicroServer ein NAS mit 8 TB brutto und etwas weniger als 6TB netto Speicherplatz für unter 550€.

Hier meine Konfiguration mit Preisen für  590,81€ (Preis Stand 27.07.2011, PC-King www.pc-king.de)

Die Screenshots habe ich mit einer entsprechenden VM gemacht. Das hat den Vorteil wenn man mal was beim Schreiben ausprobieren muss oder man feststellt das Weg A nicht geht, hat man Snapshots (Wenn man sie benutzt.).  Aber Mittlerweile läuft der Server bei mir als Physik, also der Weg funktioniert

Die Installation von SL 6.0

Weniger ist gerade bei Servern mehr, und deshalb wird nur das Notwendige installiert. Aus Gründen der Bequemlichkeit und um mich von Unterwegs mal bequem ins Netzwerk zu Hause einzuloggen, installiere ich eine Grafische Oberfläche mit ein paar Programmen mit. Wer das nicht benötigt, kann die einfach weglassen.

Bis auf ein paar, aber wichtige Unterschiede, wird eine Standard Installation mit minimal Konfiguration durch geführt. Ich gehe hier nur auf die Unterschiede ein:

Gestartet werden muss die Installation mit “Install system with basic video driver” (Vesa mode), sonst sieht man nichts.

Die Partitionierung (Create Custom Layout)

Auf allen Festplatten werden die Folgenden Partitionen angelegt:

• 500 MB Raid Partition

• 2048 MB Raid Partition
• Der Rest: Raid Partition (Fill to maximum allowable size)

Das Raid

• Die 500 MB Partitionen werden zu einem RAID 1 (Linux ist so Freundlich und spiegelt dann über alle 4 Platten) mit dem Mountpoint /boot
  

• Die 2048 MB Partitionen werden zu einem Raid 10 als SWAP zusammengefasst, das ergibt 4 GB Swap. Das sollte mit den 5GB Arbeitsspeicher ohne Probleme ausreichen.
  

• Der 4 verbleibenden werden als RAID5 mit LVM Disk erstellt, das ergibt eine etwas weniger als 6TB.
  

Das Logical Volume

Zu erst muss eine Volume Gruppe erstellt werden. Der Grund warum ich auf eine LVM Lösung statt auf statische Partitionen setzte ist, ich weiß noch nicht genau wo ich hinterher wie viel Speicherplatz ich brauche. Mit Hilfe von LVM können wir einzelne Bereiche vergrößern, oder zur Not auch verkleinern.

Meine Empfehlung für eine LVM Einrichtung ist (Den restlichen Platz weisen wir nach Bedarf zu):

• 10 GB für /

• 10 GB für /home (wer es Verschlüsseln möchte: Encrypted)

• 2 GB für /var/log

• 10 GB für /shares (Encrypted)

Wichtiger Hinweis bei der Verschlüsselung: die Passphrase nie vergessen, Möglichst kompliziert und nicht das Administratorkennwort benutzen. Die Passphrase muss bei jedem Boot eingegeben werden, und wenn sie vergessen wird ist ALLES WEG!!! Remote kann Sie nur eingegeben werden, wenn ein Ilo-Board nachgerüstet wurde.

Den Bootloader auf /dev/sda installieren, wir kümmern uns später darum, das das System auch ohne die Festplatte /dev/sda auskommt

Die Softwareauswahl

Als Grundlage nehme ich den “Minimal Desktop” den ich direkt anpasse. Man kann auch direkt die Online Repositorien aktivieren.

• SL Addons
• Yum Repositories
• RPMforge
• Epel

• Desktops
• Graphical Administration Tools
• Audit-viewer
• Policycoreutil-gui
• Setroubleshoot
• System-config-lvm

Spiegeln der Bootsektoren

In der Datei /boot/grub/grub.conf müssen die folgenden Zeilen kopiert und angepasst werden:

title Scientific Linux (2.6.32-71.el6.x86_64)

root (hd0,1)

kernel /vmlinuz-2.6.32-71.el6.x86_64 ro root=/dev/mapper/vg_homeserver-lv_main rd_MD_UUID=b556ad27:946a3486:33c88c9c:743a1e64 rd_LVM_LV=vg_homeserver/lv_main rd_MD_UUID=1c02b488:f7c3dcb6:300dfc61:77a01b15 rd_NO_LUKS rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYBOARDTYPE=pc KEYTABLE=de crashkernel=auto rhgb quiet

initrd /initramfs-2.6.32-71.el6.x86_64.img

Geändert werden muss nur in der Zeile “root” die Festplatten ID: “root (hd1,1)”, bitte drauf achten die UUID sind Hardwarespezifisch.

Jetzt müssen wir den Grub noch in den zweiten Bootsektor schreiben, wer auf Nummer Sicher gehen möchte kann den Grub in alle Bootsektoren schreiben:

# grub

device (hd1) /dev/sdb

root (hd1,1)

setup (hd1)

quit

Da das Raid5 immer noch am einrichten sein sollte, folgt jetzt hier erst mal eine Pause. Den aktuellen Staus kann man mit “cat /proc/mdstat” nachschauen.

Die Tests

Danach einmal den Server herunterfahren, die primäre Festplatte entfernen und den Server starten. Theoretisch sollte er jetzt normal hochfahren. Ein “cat /proc/mdstat” als root zeigt uns das die Festplatte fehlt.

Nach dem herunterfahren die Fehlende Festplatte wieder hinzufügen und den Server wieder starten. Kleine aber Wichtige Information am Rande, der Server ist nicht Hot-Plug fähig, leider.

Wenn der Server die Festlatte nicht automatisch wieder einbindet, hilft “mdadm –manage –re-add /dev/MDDEV /dev/SDDEV”. Nach dem wieder alle in Ordnung ist (“cat /proc/mdstat”), das kann einige Zeit dauern, sollte man das auch mit der 2ten Festplatte testen. Wer auf richtig Nummer sicher gehen möchte macht den Test nach und nach mit allen Festplatten. Wichtig bei allen Lösungen zur Hochverfügbarkeit ist, es zu Versuchen. Nur dies Schaft wirklich Sicherheit, es hilf nichts Jahrelang ein Backup zu machen um nach dem Datenverlust festzustellen das es nicht funktioniert.

Jetzt ist es an der Zeit den Server einmal mit den aktuellen Updates zu versorgen. “yum update” und die GPG Meldungen bestätigen.

Nach dem Kernel Update

Nach dem Updaten des Kernels müssen wir den Bootsektor und die Grub Konfiguration anpassen.  Wenn hier jemand ist, der Zeit hat, dafür ein kleines Script zu schreiben würde ich mich freuen davon zu hören. Nun, der Weg zu Fuß:

• Mit einem Editor wir die Datei /boot/grub/grub.conf als ROOT! Geöffnet.
  

• Der neue Eintrag wird Kopiert und die Informationen zur Festplatte “root (hd1,1)”werden angepasst
  

• Jetzt muss noch der Grub gestartet werden um wieder den Grub anzuweisen den Bootsektor neu zu schreiben. Dazu in einer Rootshell einfach “grub” eingeben und anschließend:

device (hd1) /dev/sdb
root (hd1,1)
setup (hd1)
quit

Zum Test ein mal neu starten. Wer möchte, kann den Fehlerfall erneut testen. Ein wichtiges Wort noch zum Schluss, eine Redundante Speicherung ersetzt kein Backup! Wenn ausversehen Daten gelöscht werden (oder durch einem Virus auf den Clients), sind sie genauso Weg als wenn sie nur auf einer Platte liegen.

Zu guter Letzt installieren wir noch 3 Pakete und ihre Abhängigkeiten die man immer brauchen kann:

yum install kernel-devel glibc-devel gcc

Ausblick auf die nächste Anleitung

Diese Anleitung und der Server bilden die Grundlage für das System was ich für zu Hause aufbauen möchte. Hier ein Ausblick auf die Dinge die in Planung sind:

• Samba als DC für das Netzwerk
• Linuxupdate Server mit MREPO
• MS Windows Updates mit WSUSOFFLINE
• Nagios zur Überwachung von der Fritz.Box, Internet Verbindung und Webservices

Vorbereitungen

Mrepo gibt es als fertiges RPM bei RPMForge, einem sehr guten Repository von Dag Wieers und einigen anderen. Um  RPMForge nutzen zu können, können wir einfach das Repo für Yum installieren:
Für i386: rpm -Uhv http://apt.sw.be/redhat/el6/en/i386/rpmforge/RPMS/mrepo-0.8.7-1.el6.rf.noarch.rpm
Für x86_64: rpm -Uhv http://apt.sw.be/redhat/el6/en/x86_64/rpmforge/RPMS/mrepo-0.8.7-1.el6.rf.noarch.rpm

Installation

Jetzt wird einfach mit YUM das nötige installiert:

yum install mrepo rsync httpd lftp createrepo

Jetzt muss noch SELinux konfiguriert werden, damit die Repositorien auch per Apache zugreifbar sind:

chcon -Rh –reference /var/www/html /var/www/mrepo
chcon -Rh –reference /var/www/html /var/mrepo/

Nun müssen die Repository Konfigurationen noch unter /etc/mrepo.d/ erstellt oder hierhin kopiert werden.
Fertige Konfigurationsdateien findet ihr hier:

• /usr/share/doc/mrepo-0.8.7/dists
• Auf meiner Übersichtsseite zu mrepo. Dort werden alle Konfigfiles von mir an gezeit
• Im offiziellen Github

Musterkonfiguration für Scientific Linux 6.0

### Name: Scientific Linux 6
### URL: https://www.scientificlinux.org/
### written by Fabian Niesen http://www.fabian-niesen.de
[sl6]
name = ScientificLinux $release ($arch)
release = 6
arch = x86_64
#arch = i386 x86_64
metadata = repomd repoview
### ISO images
#iso = ftp://ftp.scientificlinux.org/linux/scientific/$release/$arch/iso/SL-$release0-$arch-????-??-??-Install-DVD.iso
#iso = rsync://rsync.scientificlinux.org/scientific/$release/$arch/iso/SL-$release0-$arch-????-??-??-Install-DVD.iso

## BASE Release
#sl-base = http://ftp.scientificlinux.org/linux/scientific/$release/$arch/os/
sl-base = rsync://rsync.scientificlinux.org/scientific/$release/$arch/os/

## Updates
#updates = http://ftp.scientificlinux.org/linux/scientific/$release/$arch/updates/security/
updates = rsync://rsync.scientificlinux.org/scientific/$release/$arch/updates/security/

#fastbugs = http://ftp.scientificlinux.org/linux/scientific/$release/$arch/updates/fastbugs/
#fastbugs = rsync://rsync.scientificlinux.org/scientific/$release/$arch/updates/fastbugs/

## Additional repositories
#testing = http://ftp.scientificlinux.org/linux/scientific/6rolling/testing/$arch/
#source = http://ftp.scientificlinux.org/linux/scientific/$release/SRPMS/
#source-testing = http://ftp.scientificlinux.org/linux/scientific/6rolling/testing/SRPMS/

### RPMforge repository
rpmforge = http://apt.sw.be/redhat/el$release/en/$arch/rpmforge
rpmforge-extras = http://apt.sw.be/redhat/el6/en/$arch/extras
#rpmforge-testing = http://apt.sw.be/redhat/el6/en/$arch/testing

### Custom repository for your own RPM packages
custom =

Konfiguration von Yum Um unsere neuen Repositories auch zu nutzen, muss jetzt die Yum Konfiguration unter /etc/yum.repos.d/ angepasst werden. Entweder löscht man die bestehenden und legt eine neue an, oder man modifiziert die Links. Eine Musterkonfiguration ist (Erstetzt REPO-SERVER durch euren Hostnamen / IP des MREPO-Servers):

[sl]
name=Scientific Linux $releasever - $basearch
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.sl-base/
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

[sl-testing]
name=Scientific Linux $releasever Testing - $basearch
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.testing/
enabled=0
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

[sl-source]
name=Scientific Linux $releasever Alpha - Source
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.source/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

[sl-testing-source]
name=Scientific Linux $releasever Testing - Source
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.testing-source/
enabled=0
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

[rpmforge]
name = RHEL $releasever - RPMforge.net - dag
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.rpmforge/
enabled = 1
protect = 0
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck = 1

[rpmforge-extras]
name = RHEL $releasever - RPMforge.net - extras
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.rpmforge-extras/
enabled = 1
protect = 0
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck = 1

[rpmforge-testing]
name = RHEL $releasever - RPMforge.net - testing
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.rpmforge-testing/
enabled = 0
protect = 0
gpgkey = file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck = 1

[sl-security]
name=Scientific Linux $releasever - $basearch - security updates
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.updates/
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

[sl-fastbugs]
name=Scientific Linux $releasever - $basearch - fastbug updates
baseurl=http://REPO-SERVER/mrepo/sl6-$basearch/RPMS.fastbugs/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl file:///etc/pki/rpm-gpg/RPM-GPG-KEY-dawson

Warum oder was sollte nicht funktionieren?

• Ihr Webhoster bietet SSL Verschlüsselung an, aber das Zertifikat lautet auf Servername.betreiber.tld und sie möchten die Fehlermeldung nicht mehr?
• Ihr Mailserver hat keinen Hosteintrag in ihrer Domain für imap,smtp,pop3,pop,mail? (Zum Beispiel einen Exchangeserver: owa. / webmail.)
• Der Server nutzt keine Standardports?

Wenn alle Fragen mit nein Beantwortet haben, sollte (Internetverbindung ohne eine Firewall die es blockiert vorausgesetzt) die eingebaute Autokonfiguration im Thunderbird den Server automatisch einrichten können.

Die Suche nach der Konfiguration

Thunderbird sucht die Dateien unter http://domain.tld/.well-known/autoconfig/mail/config-v1.1.xml oder http://autoconfig.domain.tld/.well-known/autoconfig/mail/config-v1.1.xml

Danach erst wird bei Mozilla für den Server ein Eintrag in der DB gesucht. Hat auch dies keinen Erfolg, so probiert Thunderbird einige übliche Namen und Konfigurationen durch. Danach muss es dann von Hand eingegeben werden.

Aufbau der XML-Datei

Das folgende Muster ist auf einen Exchange Server  (UPN=Mailadresse) zurecht geschnitten, kann aber angepasst werden:

<?xml version="1.0"?>
<clientConfig version="1.1">
<emailProvider id="domain.tld">
<domain>domain.tld</domain>
<domain>domain2.tld</domain>
<displayName>Domain.tld Mail Server</displayName>
<displayShortName>domain</displayShortName>
<incomingServer type="imap">
<hostname>server.domain.tld</hostname>
<port>993</port>
<socketType>SSL</socketType>
<authentication>password-cleartext</authentication>
<username>%EMAILADDRESS%</username>
</incomingServer>
<outgoingServer type="smtp">
<hostname>server.domain.tld</hostname>
<port>587</port>
<socketType>STARTTLS</socketType>
<authentication>password-cleartext</authentication>
<username>%EMAILADDRESS%</username>
</outgoingServer>
</emailProvider>
</clientConfig>

Eine genaue Dokumentation des Aufbaus der XML-Datei ist in der Mozilla Doku beschrieben: https://developer.mozilla.org/en/Thunderbird/Autoconfiguration/FileFormat/HowTo

Eine Informaition für Hosting Anbieter ist auch bei Mozilla zu finden: https://developer.mozilla.org/en/Thunderbird/Autoconfiguration

Mögliche Fehlerquellen

Wenn es nicht funktioniert, einmal probieren die XML Datei im Browser zu öffnen. Bei mir war es die .htaccess Konfiguration vom Joomla, die alle  XML Dateien sicherheitshalber sperrt. Einfach in das Verzeichnis zu der “config-v1.1.xml”  eine neue “.htaccess” mit dem Inhalt:

<Files  "config-v1.1.xml">
Order allow,deny
Allow from all
Satisfy all
</Files>

Erstellen, und schon geht es.

An dieser Stelle weise ich ausdrücklich noch mal darauf hin, ich übernehme keine Verantwortung für Probleme die aus dem Befolgen dieser Anleitung entstehen. Jeder sollte sich bewusst sein was er tut und eine Datensicherung haben.

Wichtig sind ein paar Vorbereitungen:

• Ladet euch die Aktuelle Live DVD runter (http://fedoraproject.org/)
• Macht ein Backup eurer Windows 7 Installation und aller Wichtigen Daten (Auf eine USB Festplatte oder einen anderen Rechner)
• Erstellt für den Notfall einen Systemreparaturdatenträger (“Systemsteuerung” => “Sicherung des Computers erstellen” => “Systemreparaturdatenträger erstellen”) auf dem Computer den ihr anpassen wollt, oder auf einem mit der selben Architektur (32 oder 64 Bit)
• Diese Anleitung ausdrucken oder auf einen anderem Rechner öffnen
• Brennt Fedora auf DVD (Für Netbooks ohne CD-Rom gibt es auch eine Variante Das Livemedium auf einen USB-Stick zu installieren)
• Die Anleitung komplett durchlesen, dafür empfiehlt sich der nächste Arbeitsschritt
• Um die Festplatte etwas zu optimieren lassen wir einmal die “Datenträgerbereinigung” (Start => Alle Programme => Zubehör => Systemprogramme) durchlaufen. Anschließend defragmentieren die Festplatte, das nötige Programm ist an der selben Stelle wie die Datenträgerbereinigung.

Nun geht es los, Wichtig ist, einen Reboot zumachen damit alles unnötige einmal entladen wurde.

• Alle Programme schliessen die per Autostart geöffnet werden

• Öffnen der Systemsteuerung => System und Sicherheit => “Festplattenpartitionen erstellen und formatieren” (Unterpunkt von Verwaltung)
  • Rechter Mausklick auf Laufwerk C => Partition verkleinern
    
  • Kaffee trinken, das dauert einen Moment
  • Gewünschten Platz für Linux unter “Zu verkleinernder Speicherplatz in MB” eintragen, zum Beispiel 20480
    
  • Den Computer neustarten damit die Änderung auch überall richtig eingetragen wird

• Nachschauen im Laufwerksmanager ob die Partitionierung richtig übernommen wurde
• Neustarten und vom Fedora-Live Medium starten
• “Install to Hard Drive” starten
  • Next
  • Als Tastaturlayout “German” auswählen
  • “Basic Storage Devices” auswählen
  • Einen Hostnamen aussuchen
  • Als Zeitzone für Deuschland wählen wir “Europe/Berlin” aus
  • Das Rootkennwort sollte man nie vergessen, und auch nicht unter dem Rechner aufkleben, aber das wissen ja alle
  • Jetzt wird es Interessant: “Use free space” und “Review and modify partitioning layout” auswählen
  • Die Zielfestplatte als “Install Target Device” auswählen (Dieser Dialog kommt nur bei mehreren Festplatten oder USB Installation)
  • Aussehen sollte die Partitionierung ungefähr so (Größen Variieren entsprechend):

• “Write Changes to Disk”
• Die nächsten Einstellungen sind Extrem wichtig!
  • Unter “Change device” muss “First sector of boot partition – /dev/sda3″ ausgewählt werden
  • Den Eintrag “Other    /dev/sda1″ wird aus der “Boot loader list” gelöscht. Da Grub nur zum starten von Windows gebraucht wird.

• Nun erfolgt die Installation und nach der Installation neustarten und rechtzeitig das Live Medium entfernen.
• Gestartet wird automatisch Windows 7 und von dem Linux keine Spur?! Kein Grund zur Panik, das kommt jetzt..

• Zurück in Microsoft Windows 7
  • Ladet euch EasyBCD 2.0 bei Chip.de (http://www.chip.de/downloads/EasyBCD_23603661.html ) herunter
  • Bei der Installation einfach die Standarteinstellungen nutzen und das Programm starten lassen
    

• “Add New Entry” auswählen und im Reiter “Linux/BSD” die folgenden Settings machen
  • Type: GRUB (Legacy)
  • Name: Fedora Core 14
  • Device: Partition 3 (Linux – 500MiB)

• Mit Klick auf “Add Entry” wird der Eintrag dann angelegt.
  

• Das Programm beenden und Windows 7 zum testen neustarten

• Wieder zurück unter Fedora Core 14
  • Jetzt noch den zweiten Teil der Installation wie gewohnt abschließen

Und das geht?

Jepp, ich habe es auf meinem Netbook “Medion E1222″ getested. Daher auch der Hinweis auf den USB Boot. Damit sollte dann auch die Frage erledigt sein, warum ich nicht eine Virtuelle Maschine nutze

Alternative zu EasyBCD

Ihr könnt auch unter Linux mit “dd” den Grub Bootsektor in eine Datei schreiben und diese unter Windows 7 mit “bcdedit” in das Startmenu von Windows 7 einfügen. Nachteil dieser Methode ist nicht nur die Komplexität des “bcdedit” sondern auch, das ihr bei jeder Linux Bootsektor Änderung die Datei neu schreiben müsst. Dies umgeht EasyBCD mit einem kleinen Linuxbootloader der Chainloading macht und über .NET direkt die Änderungen in der Bootkonfiguration macht.

Was wenn was Schief läuft?

Im schlimmsten Fall habt ihr ja euer Backup brav gemacht, hoffe ich Naja, meistens helfen aber schon einfachere Dinge. Ich muss nur dazu sagen, das ich diese Wege nicht ausprobiert habe, da bei mir alles geklappt hat, und das im ersten Anlauf Ist Linux nicht schön? Gut Microsoft Windows 7 auch.

Wenn nichts mehr startet:

• Wenn es den Windows Bootloader zerstört hat, startet von dem erstellten Microsoft Windows 7 Systemreparaturdatenträger oder einer Windows 7 Install DVD.
• Dort dann “Repair your Computer” und anschliessend “Repair and Restart” auswählen.

Das sollte in 99,5% der Fälle ausreichen

Wenn ihr nur den Grub seht,dann habt ihr bei der Installation den Falschen Installationsort ausgewählt. Was helfen sollte:

• Von dem Systemreparaturdatenträger booten
• “Repair your Computer” auswählen
• Unter den “System Recovery Options” “Windows 7″ auswählen und auf “Next” klicken

• In der Comandobox dan eingeben:

Bootrec.exe /fixmbr

Exit

• Microsoft Windows 7 sollte nun normal starten. Nach dem ihr das geprüft habt könnt ihr nach dem nochmaligen lesen der ganzen Anleitung wieder bei dem Booten von Linux anfangen.

Anpassungen für Cygwin

Informationen zu Cygwin finden Sie unter www.cygwin.com

Ändern der Cygwin.bat

Vor “bash –login -i” wird “ssh-agent ” eingefügt

Änderung in “/etc/profile.d”

Anlegen der Datei “ssh-add.sh” wie bei OpenSUSE10.3 in der SSH-SingeSignOn

Anpassungen für Putty und WinSCP

Nützliche Links

PuTTY Homepage - PuTTY Portable für den USB-Stick

WinSCP Homepage - WinSCP Portable für den USB-Stick

Vorbereitungen mit PuTTYgen

Um die Linux-Keys mit PuTTY zu nutzen, müssen diese erst Konvertiert werden, das geht aber ganz einfach.

1. Privateb Key von Linux importieren
   
   
2. Passphrase eingeben
   
3. Den Privaten Key speichern
   
   

Einrichten von Pagent

1. pagent starten
2. Key in pagent hinzufügen
   
3. Passphrase eingeben und fertig

Tipp: Wenn sie Sessions im Putty gespeichert haben, können diese auch über das Trayicon des pagent gestartet werden

PuTTY

So, im PuTTY muss nichts geändert werden

WinSCP

Unter den Verbindungseinstellungen einfach den Usernamen eintragen, die Authorisierung übernimmt der pagent

Naja, muss ja nicht sein. Vor einiger Zeit hatte ich schon mal Piwik vorgestellt. Die Daten und Funktionen sind größtenteils die selben, aber die Daten bleiben bei dem Webmaster. Mehr dazu am Artikel “Es muss nicht immer Google Analytics sein”

Bitte auf jeden Fall die Hinweise zu Linuxanleitungen auf Basis von CentOS und RedHat Enterprise Linux lesen.

Sicher kann man auch einiges im Nachgang auf bestehende Systeme anwenden, aber direkt von Anfang an ein Paar Dinge zu Beachten ist nicht verkehrt. Also das wichtigste zu erst…

die Installation

Als Installationsmöglichkeit bietet sich DVD oder die Netzwerkinstallation an, das ist jedem selbst überlassen. Wichtig ist, das die Installation schon im Textmodus mit dem Befehl “linux text” im Bootmenu gestartet wird.

Installiert wird nur das Basesystem, die andere Software wird nach installiert. Bei der Partitionierung sollten wir direkt ein paar Dinge beachten. Bestimmte Teile des Filesystems sollten eigene Partitionen erstellt werden.  Das schütz vor bei einer Überfüllung eines Teiles den Rest des Systems, abgesehen davon können wir bestimmte Partitionen dann auch als “ReadOnly” mounten.  Gute Kandidaten für die Vereinzelung sind:

/boot – Die Boot Partition (Sollte die erste Partition sein, kein Logisches Volume, 200 MB sollten hier auch reichen)

Der Rest kann als Logisches Volume eingerichtet werden (Siehe Screenshots).  Es sollte nur der Benötigte Speicherplatz vergeben werden. Ungenutzte Größe kann mit LVM bei Logischen Volumens noch nachträglich zu gewiesen werden.

/home – Das Homelaufwerk der Benutzer
/tmp – Das Tempverzeichnis
/usr
/var
/var/www – Das Standartverzeichnis vom Apache (Wenn es mal ein Webserver werden soll)
/var/log – Logfiles

Als root Kennwort etwas sicheres auswählen.

[slideshow]

Nach der Installation – Basics

Als ersten Schritt nach der Installation führen wir ein Update durch, bei CentOS einfach mit dem Befehl “yum update”. Für RHEL bitte einmal nachschauen wie das System erst mal in das RHN eingebunden werden kann.

Der nächste Schritt ist optional und je nach bedarf: Die Installation der Kernelheader und der Compiler. Für manche ist die eine Sicherheitslücke, für andere eine unvermeidliche Notwendigkeit. Wer Software installieren möchte, die kompiliert werden muss, der braucht ein eigenes Buildsystem, oder kann die benötigte Software auch auf dem eigentliche Zielsystem kompilieren. Diese Entscheidung muss jeder selber treffen. Um das wichtigste nach zu installieren reicht es einfach die Pakete  gcc und kernel-headers (“yum install gcc kernel-headers”) mit ihren Abhängigkeiten nach zu installieren.  Damit können dann schon Kernelmodule, wie zum Beispiel die VMware Tools (Sollte die Version neu genug sein, sind vorkompilierte Module enthalten und man braucht den Compiler nicht) erstellt werden.

Unnötige Dienste

Folgende Dienste werden für die meisten Anwendungsbeispiele nicht benötigt und können Abgeschaltet werden:

• anacron – Cron Alternative wenn der Server nicht 24/7 läuft
• apmd – Advanced Power Managment daemon, macht bei Servern meistens keinen Sinn
• avahi-daemon – Stellt eine Apple ZeroConf Schnittstelle zur Verfügung
• bluetooth – Dürfe in den meisten Servern die Hardware (und auch der Sinn) fehlen
• cups – Die Linux Druckumgebung
• firstboot – Ist nach der Installation überflüssig
• gpm – Mausserver für Virtuelle Consolen (naja… wers braucht…)
• isdn – Stellt ISDN Unterstützung zur Verfügung
• Messagebus – Stellt einen Kommunikationsbus für dbus zur Verfügung
• pcscd – PC Smart Card Daemon
• readahead_early – Läd einige Programme schon im Vorfeld in den Arbeitsspeicher, damit diese schneller starten nach dem Boot
• readahead_later – Läd einige Programme schon im Vorfeld in den Arbeitsspeicher, damit diese schneller starten nach dem Boot
• ip6tables – IPv6 Packet Filter
• sendmail – Maildaemon
• haldaemon – Echtzeit Devicemanagment für neu installierte Geräte

Am einfachsten geht das mit dem Befehl “chkconfig DIENSTNAME off”.

Entfernen von unnötigen SUID-Bits (Link Wiki für SUID)

Mit dem folgenden Befehl (ja, das ist ein Befehl, bitte am Stück eingeben oder einfügen) werden unnötige SuperUserID-Bits gelöscht:

chmod -s /bin/ping6 /sbin/mount.nfs /sbin/mount.nfs4 /sbin/netreport /sbin/umount.nfs /sbin/umount.nfs4 /usr/bin/chage /usr/bin/chfn /usr/bin/chsh /usr/bin/crontab /usr/bin/lockfile /usr/bin/rcp /usr/bin/rlogin /usr/bin/rsh /usr/bin/wall /usr/bin/write /usr/kerberos/bin/ksu /usr/libexec/openssh/ssh-keysign  /usr/sbin/ccreds_validate /usr/sbin/userisdnctl /usr/sbin/usernetctl

Anpassen der IPv4 Settings

Um die IPv4 Einstellungen anzupassen fügen wir in die Datei /etc/sysctl.conf folgende Zeilen ein:

net.ipv4.icmp_ignore_bogus_error_messages=1
kernel.exec-shield=1
kernel.randomize_va_space=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.accept_source_route=0
net.ipv4.icmp_echo_ignore_broadcasts=1

Entfernen von unnötigen Benutzern

Die folgenden Benutzerkonten können ohne Probleme mit dem Befehl “userdel USERNAME” entfernt werden:

• avahi
• avahi-autoipd
• news
• games
• gopher
• ftp

Abschalten des Reboot bei  STRG + ALT + ENTF

Wer kennt es nicht von Windows, “Drücken Sie STRG + ALT + ENTF zum Anmelden”, das löst unter Linux normalerweise einen Neustart aus, und ist sehr unerwünscht. Damit der Server auch Sicher in der Nähe von Windows Administratoren ist, wird in der Datei /etc/inittab die Zeile “ca::ctrlaltdel:/sbin/shutdown -t3 -r now” gelöscht.

Anpassen der FSTAB

Nun werden die Parameter in der Datei /etc/fstab noch angepasst, das sie so aussieht (WICHTIG: nur die Parameter “defaults” modifizieren, auf keinen Fall etwas mit “/” ändern oder die Zahlen. Zeilen in denen nichts geändert werden muss, lasse ich hier weg!!!)

/dev/VolGroup00/LV_tmp  /tmp                    ext3    defaults,nosuid,noexec,nodev 1 2
/dev/VolGroup00/LV_var  /var                    ext3    defaults,nosuid 1 2
/dev/VolGroup00/LV_www  /var/www                ext3    defaults,nosuid,noexec,nodev 1 2
/dev/VolGroup00/LV_log  /var/log                ext3    defaults,nosuid,noexec,nodev 1 2
/dev/VolGroup00/LV_home /home                   ext3    defaults,nosuid,nodev        1 2
/dev/VolGroup00/LV_usr  /usr                    ext3    defaults,nosuid,nodev        1 2
LABEL=/boot             /boot                   ext3    defaults,nosuid,noexec,nodev 1 2

Ändern das Password Hash von MD5 aud SHA512

MD5 als Passwort Hashalgorithmus ist schon etwas in die Jahre gekommen, also möchten wir den Nachfolger SHA512 nutzen. Mit dem Befehl  “authconfig –passalgo=sha512 –update” wird der Standart Algorythmus geändert und die Passwordhashes aktualisiert.

Password Authentification Managment (PAM)

Damit nicht jeder der auf das System Zugriff hat, wird der Zugriff auf den  SuperUser root begrenzt auf Mitglieder der Guppe “wheel”. Dazu wird in der Datei /etc/pam.d/su das “#” aus der Zeile

“#auth           required        pam_wheel.so use_uid”

entfernt. Wer nicht möchte das die Admins das root Kennwort benötigen kann auch das “#” aus der Zeile

“#auth           sufficient      pam_wheel.so trust use_uid”

entfernen.

Zum Schutz vor Brute Force Angriffen auf die Benutzerkonten wird PAM_Tally genutzt. Als erstes wird die leere Logdatei angelegt: “touch /var/log/tallylog”.  Als nächstes wird die Datei /etc/pam.d/system-auth angepasst, so dass sie den folgenden Inhalt hat:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Automatisches Abmelden nach 15 Minuten Inaktivität (Auto-Logout)

Hierzu wird eine neue Datei ” /etc/profile.d/autologout.sh” angelegt. In diese Datei wird die Zeile: “readonly TMOUT=900″  eingefügt. Anschließend wird die Datei noch mit dem Befehl: “chmod +x /etc/profile.d/autologout.sh” ausführbar gemacht.

Anlegen des persönlichen Adminusers

Bevor wir den SSH Dienst richtig absichern können, wird erst einmal ein persönlicher Benutzer benötigt. Der wird angelegt mit dem Befehl useradd, die Syntax ist einfach: useradd -c “KOMMENTAR” -G wheel -m USERNAME

KOMMENTAR und USERNAME müssen entsprechend ersetzt werden. Bei Kommentar können auch Leerzeichen, Klein- und Großbuchstaben und auch Zahlen verwendet werden. Der Username darf nur aus Kleinbuchstaben und Zahlen bestehen.

Für diesen Benutzer muss noch ein Kennwort mit “passwd USERNAME” erstellt werden.

Anschliessen legen wir für den User einen SSH Key an.

>>>!!! Dieser Schritt sollte nicht übersprungen werden,
sonst kann sich nach der nächsten Änderung nicht mehr über SSH anmeldet werden !!!<<<

Absichern von SSH

Um SSH abzusichern wird die Konfigurationsdatei /etc/ssh/sshd_config geöffnet und folgende Zeilen geändert:

Jetzt darf sich der Benutzer “Root” nicht mehr anmelden, aber der persönliche Adminuser kann sich mit seinem SSH-Zertifikat anmelden und ein “su -” machen um “Root” zu werden. Anschließend muss der SSH Dienst einmal mit “service sshd restart” neugestartet werden.

Abschalten von USB-Sticks

Wer gerne verhindern möchte das USB-Sticks genutzt werden können, der kann eine neue Datei /etc/modprobe.d/blacklist-usbstorage mit dem Inhalt: “blacklist usb-storage” erstellen.

RootKennwort für den Single-User Modus

In die Datei /etc/inittab sollte die Zeile “~~:S:wait:/sbin/sulogin” einfügt werden. Dadurch wird das root-Kennwort auch für den SingleUser Mode notwendig.

Das Root Kennwort darf auf keinen Fall vergessen werden oder auf dem Server dokumentiert werden!

Die Sicherheit der Physik

Neben den üblichen Hinweisen zu sicheren Serverräumen gibt es noch etwas anderes, was oft Vergessen wird. Nach der Installation im BIOS des Computers einstellen das nur von Festplatte gebootet wird, und das BIOS mit einem Kennwort sichern. Bitte auch keine Post-IT mit Kennwörten auf die Server kleben!

Abschliessende Worte

Natürlich sollte man noch viele weitere Dinge beachten, aber ich denke die würden hier den Rahmen sprengen. Ich empfehle auf jeden Fall die Leküre der weiteren Quellen. Auch sollte man schauen wie man die Anwendungen auf dem System möglichst sicher bekommt. Auch denkbar wäre bei einem Webserver zum Beispiel  /var/www im nur lesenden Zugriff zu mounten. Ihr seht, es gibt noch viele Möglichkeiten.

Weitere Quellen

Es empfiehlt sich einen Blick in andere Dokumente zu dem Thema zu werfen, zum Beispiel:

Hardening Guide der National Security Agency der Vereinigten Staaten von Amerika zu RedHat Enterprise Linux 5 http://people.redhat.com/sgrubb/files/hardening-rhel5.pdf

Der Kurzzusammenfassung des NSA Guide http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf

Anleitung aus dem CentOS Wiki: http://wiki.centos.org/HowTos/OS_Protection

Grundfunktion, die am wichtigsten ist, ist die Suche meinen Kontakte auf Xing. Dabei werden nicht nur die Kontakte berücksichtigt, das PlugIn kann auch Ordner mit Emails nach Mailadressen und Namen durchsuchen. Diese werden dann verschlüsselt nach Xing übertragen und dort verglichen mit dem was andere Benutzer in ihren Emailfeldern (inkl. den Sonstigen Mail Adressen) eingetragen haben und dem vollständigen Namen der Person. Das Ergebnis wird in einer Webseite angezeigt, wo man auch direkt sehen kann, wen man schon kennt. Auch lassen sich die gefundenen Personen von hier schnell anschreiben oder als Kontakt hinzufügen.

Die andere für mich sehr wichtige Funktion ist der Datenimport aus Xing, damit kann ich alle Kontakte in Xing importieren die ich kenne, mit den Daten die sie mir freigegeben haben. Neue Telefonnummer in Xing eingetragen, und ich habe sie direkt im Outlook. Das PlugIn überträgt alle Daten die freigegeben und im Outlook darstellbar sind, Name, Telefonnummern, Foto, Geburtsdatum, Adressen, etc.. Alles wofür es kein Feld im Outlookkontakt gibt wird unter Notizen vermerkt, inklusive dem Datum der Aktualisierung. Jetzt müssten nur noch alle die ich kenne Xing pflegen und die Datenfreigabe richtig einstellen… ein Traum…

Naja, zurück zur Realität, was geht noch? Xing kann versuchen aus den Emails Kontaktdaten anzulegen. Dazu wertet Xing die Email Signatur (Wenn vorhanden) aus. Leider ist hierbei die Erfahrung, wenn der nicht genau ist wie Xing es erwartet bekommt man nur Murks. Unsere Firmen Signaturen sind leider nicht geeignet. Diese Kontakte speichert das PlugIn in einem Extraordner, so dass man bequem nachschauen kann, was sinnvolle Treffer sind.

Update vom 9.11.2010

Wie es scheint hat Xing etwas an der Schnittstelle getan. Seit einpaar Wochen funktioniert das PlugIn nicht mehr und es wird auch nicht mehr zum Download angeboten. Schade eigentlich, weil gerade die Funktion zum finden der potentiellen Kontakte habe ich bei den Outlook Konnektor noch nicht gefunden.

Alle Anleitungen schreibe ich nach besten Wissen und Gewissen. Es besteht kein Anspruch auf Richtigkeit und kein Support für die Anleitungen.  Jeder der da was nachmacht, tut dies auf eigene Gefahr und Verantwortung.

Windows + E:   Öffnet den Windows Explorer

Windows + X:   Öffnet das Windows Mobilitätscenter (Das Tool für Note- / Netbooks)

Windows + P:   Bildschirmumschaltung

Windows + Pfeil Hoch:   Aktives Fenster Maximieren

Windows + Pfeil Links:   Fenster auf der linken Hälfte des Bildschirms maximieren

Windows + Pfeil Rechts:   Fenster auf der rechten Hälfte des Bildschirms maximieren

Windows + Pfeil Unten:   Fenster Minimieren

Windows + Unterbrechen:   Öffnet aus der Systemsteuerung den Punkt System

Windows + R:   Öffnet den Ausführen Dialog

Windows + T:   Auswahl springt in die Taskleiste und ermöglicht den Programwechsel und Start mit den Pfeiltasten und Enter

Windows + U:   Öffnet das Center für erleichterte Bedienung

Windows + D:   Minimiert alle Programme und zeigt den Desktop an

Windows + F:   Startet die lokale Suche

Windows + L:   Sperrt den Bildschirm und ermöglicht außerhalb von Windows Domänen auch einen Benutzerwechsel

Windows + B:   Springt in den System Tray und ermöglicht dort mit den Pfeiltasten und Enter Programme zu öffnen

Die Dienste um die es geht sind:

• VMware Authorization Service – “VMAuthdService”
• VMware USB Arbitrations Service – “VMUSBArbService”
• VMware DHCP Service – “VMnetDHCP”
• VMware NAT Service – “VMware NAT Service”
• Vmware Agent Server – “ufad-ws60″  Braucht nur gestopt zu werden.

Diese Dienste müssen unter  Systemsteuerung  => Verwaltung => Dienste von Automatisch auf Manuell gestellt werden.

Zum starten legen wir eine CMD-File mit dem Notepad an, zum Beispiel die VMware_Start.cmd

Net start VMAuthdService
Net start VMnetDHCP
Net start "VMware NAT Service"
Net start VMUSBArbService

Für die Bequemen hängen wir direkt an, dadurch wird direkt VMware mitgestartet und die Dienste danach beendet:

Cd "%ProgamFiles%\VMware\VMware Workstation"
Vmware.exe
elevate Vmware_Stop.cmd

Genau dieses Stopscript müssen wir jetzt noch erstellen, aber das ist einfach:

Net stop VMAuthdService
Net stop VMnetDHCP
Net stop "VMware NAT Service"
Net stop VMUSBArbService
Net stop ufad-ws60

Getestet mit MS Windows 7 und VMware Workstation 7.0 und 7.1.2. Sollte auch bei Microsoft Windows Vista und Microsoft Windows XP funktionieren, ist aber nicht getestet.

Der Weg für Rug (Zenworks) für SLES10 GM und SLES 10 SP1 (von Thomas Bittermann)

rug shutdown -f
rm /var/lib/zmd/services
/etc/init.d/novell-zmd start
rug set require-verified-certs false
rug set security-level checksum
rug sa -t ZYPP -o alias=”mrepo – SUSE Linux Enterprise Server 10 SP1 Install” http://mrepo/sles10sp1-i586/CD1
rug sa -t ZYPP -o alias=”mrepo – SUSE Linux Enterprise Server 10 SP1 Updates” http://mrepo/sles10sp1-i586/RPMS.updates
rug sub “mrepo – SUSE Linux Enterprise Server 10 SP1 Install”

Der Weg für Rug (Zenworks) für SLES10 SP2 (von Fabian Niesen)

rug shutdown -f
rm /var/lib/zmd/services
/etc/init.d/novell-zmd start
rug set require-verified-certs false
rug set security-level checksum
rug sa -t ZYPP -o alias=”mrepo – SLES 10 SP2 Install” http://mrepo/sles10sp1-i586/CD1 “mrepo – SLES 10 SP2 Install”
rug sa -t ZYPP -o alias=”mrepo – SLES 10 SP2 Updates” http://mrepo/sles10sp1-i586/RPMS.updates “mrepo – SLES 10 SP2 Updates”
rug sub “mrepo – SLES 10 SP2 Install”
rug sub “mrepo – SLES 10 SP2 Updates”

Der Weg per Yast2 (von Fabian Niesen)

Yast2 starten
Installation Source auswählen
Add
Http auswählen
Als Server den FQDN des Installationsserver eintragen
Als Verzeichnis den Webpfad zu dem Repo auswählen
mit Next bestätigen
Die Fehlermeldung wegen der fehlenden Signatur bestätigen
Weitere Repos wie oben hinzufügen
Finish
nun können die Repos mit Yast genutzt werden

Doch was genau ist mrepo?

mrepo ist eine Software um einen Installationsserver zu erstellen und pflegen. Das bedeutet, es können ISO-Images eingebunden werden und andere Quellen für RPM Dateien mit verschiedenen Protokollen gespiegelt werden. Aus diesen Dateien erstellt mrepo ja nach Konfiguration verschiedene Repositorystrukturen (z.B. repomd, apt, yum, repoview) und stellt diese über einen lokalen Apache-Server zur Verfügung. Was mrepo aber besonders macht ist die Möglichkeit Updates aus dem RedHat Network (Login und Subscription notwendig) zu beziehen, und so einen lokalen Updateserver für RedHat Enterprise Linux zur Verfügung zustellen. Distributionen die eingebunden werden können sind unter anderem:

• CentOS (2-6)
• RedHat Enterprise Linux (RHEL) (2-6)
• Novell SuSe Linux Enterprise Server (SLES) (8-10)
• OpenSuSe 10
• Scientific Linux (4-6)
• Fedora Core

Es können aber auch alle anderen RPM basierten Distributionen die per HTTP, FTP, RSYNC, SFTP, FISH erreichbar sind gespiegelt werden. Fertige Config-Files gibt es mit MREPO, wem das nicht genug ist:

• mrepo Config for OpenSuse 11.1 - Grösse: 6.2 kB - Stand: 17.09.2009 - Version:
• MRepo Konfiguration für Scientific Linux 6.0 - Grösse: 1.56 kB - Stand: 03.07.2011 - Version: 1.0
• Mrepo config für FedoraCore 11 - Grösse: 3.53 kB - Stand: 16.09.2009 - Version: 1
• mrepo Config für SuSE Linux Enterprise Server 8 - Grösse: 778 bytes - Stand: 29.03.2008 - Version:
• mrepo Config für Red Hat Enterprise Linux 4 ES - Grösse: 1.88 kB - Stand: 29.03.2008 - Version:
• mrepo Config für Red Hat Enterprise Linux 3 ES - Grösse: 1.35 kB - Stand: 29.03.2008 - Version:
• Mrepo config für OpenSuSE 11.0 - Grösse: 6.82 kB - Stand: 10.09.2008 - Version: 1
• Mrepo config für OpenSuSE 10.3 - Grösse: 6.17 kB - Stand: 29.03.2009 - Version: 1
• mrepo Config für SuSE Linux Enterprise Server 10 SP 1 - Grösse: 1.1 kB - Stand: 29.03.2008 - Version:
• mrepo Config für SuSE Linux Enterprise Server 9 - Grösse: 990 bytes - Stand: 29.03.2008 - Version:
• mrepo Config für SuSE Linux Enterprise Server 10 - Grösse: 1.09 kB - Stand: 29.03.2008 - Version:

Doch all das ist noch nicht aussreichend . Durch die Kombination von einem TFTP Server mit einem DHCP-Server der PXE Bootimages ausliefert, wird daraus ein Installationsserver der Tagesaktuelle Installationen ermöglicht. Wenn man das ganze jetzt noch mit Kickstart oder Autoyast koppelt hat man eine Installationumgebung mit der auch Ohne grosse Probleme ein halbes Rechenzentrum installiert werden kann.

Ich suche / Ich biete

Ich zum Beispiel habe unter “Ich biete” eine Auflistung von Stichworten die mit Kommas getrennt sind. Ein klick auf eines dieser Stichworte führt mich zu andern Xing-Benutzern die dieses Keyword auch in ihrem Profil haben, dies ermöglicht Gleichgesinnte zu treffen. Diese Stichwörter verwertet XING auch in den “Power Suchen”, die aber nur den Premiummitgliedern vorbehalten sind, dort gibt es Möglichkeiten wie “Benutzer die bieten was ich suche”. Man sollte die Macht dieser Felder also nicht unterschätzen. Gerade wenn man neue Kunden, Job oder auch einfach nur Gleichgesinnte sucht. In die selbe Kategorie fallen auch die Felder Interessen und Organisationen, richtig gepflegt helfen sie zu finden und gefunden zu werden. Was auch mit hineinspielt ist “Profiltiefe” aber dazu später mehr.

Das Profilfoto oder das bin ich

Ein Foto macht ein Profil erst ansprechend, es gibt etwas Menschliches. Wichtig bei der Auswahl des Fotos ist, dass es Vertrauen erweckt und vernünftig aussieht. Nicht geeignet sind meistens Urlaubsfotos, Bilder von der Weihnachtsfeier oder die meisten Fotos die man aus Verlegenheit mit der Webcam im Laptop geschossen hat. Wer jetzt zum Fotographen geht, der sollte darauf achten das vertraglich geregelt ist, wofür man die Fotos verwenden darf (Stichwort: Urheberrecht bei Fotos).

Warum ich hier bin

Diese Felder dienen zur Information, und ermöglichen es eher zu erkennen warum der andere auf Xing ist. Besonders ist wie man hier sieht das Feld “An Karrierechancen interessiert”, hier kann man einstellen, von wem es gesehen werden kann, von allen (Entsprechend der Privatsphäre Optionen des Profils) oder nur von Mitgliedern mit einer Recruitermitgliedschaft. Mehr zur Recruitermitgliedschaft werde ich wenn ich zu Mitgliederstatis komme sagen, nur soviel jetzt: das ist der teure Status für Headhunter. Man sollte dieses Feld aber mit Bedacht wählen, sonst könnte der Chef falsche oder die richtigen Schlüsse zu früh ziehen.

Bisherige Firmen / Berufserfahrung

Warum sollte ich meinen Lebenslauf dort eingeben? Es reicht doch eigentlich wenn die anderen sehen wo ich jetzt arbeite. Naja, abgesehen von der “Profiltiefe”, da zu später mehr , hilft das auch ehemalige Kollegen zu finden. Nicht nur die Möglichkeit, wenn man jemanden sieht sich aber nicht sicher ist, zu sehen: Mensch von der Firma XY kenn ich den. Berücksichtigt wird dieser Lebenslauf auch bei der Powersuche “Ehemalige Kollegen” oder bei den Vorschlägen wenn man kennen könnte. Auch sollte man gerade wenn man auf Jobsuche ist, hier ruhig etwas eintragen, viele potentielle Arbeitgeber informieren sich vorher über Bewerber.

Referenzen & Auszeichnungen

Referenzen sind ein Feature nur für Premiummitglieder. Ihr Arbeitgeber oder Kunde ist zufrieden, dann kann er ihnen eine Referenz geben. Auch den Premiummitglieder vorbehalten sind Dateianhänge. Wer also sein Arbeitszeugnis oder Arbeitsproben anderen als Download anbieten möchte, brauch die Premiummitgliedschaft oder eine eigene Webseite (Stichwort “Weitere Profile im Netz”). Sollten sie Auszeichnungen verliehen bekommen haben, können sie das hier auch vermerken, sogar als Basismitglied.

Ausbildung / Hochschulen & Co.

Hier ist es neben dem Effekt, dass man damit zeigen kann, was man wo noch studiert hat, genau so wie mit den bisherigen Firmen. So kann man einfach alte Mitstudenten wieder finden.

Qualifikationen sind da schon wieder etwas anders, für manche ist das das Zertifikat XY, andere vermerken hier ihre Sprachzertifikate und wieder andere ihren Führerschein. Letztendlich ein Suchbares Volltextfeld wie auch schon “Interessen”. Aber trotzdem Relevant für zukünftige Arbeitgeber und Vertriebsmitarbeiter die nochmal nachschauen möchten, was für Skills sie eigentlich verkaufen. Zu Letzt in dieser Rubik dann noch die einfache Möglich zu sagen in welcher Sprache sie eigentlich reden, und welche anderen noch.

Weitere Profile im Netz

Hier sollte man sich gut überlegen welche man erwähnt. Es ist was anderes wenn ein Musiker sein Myspace Profil einträgt, als wenn das ein Banker macht. Wichtig ist auch sich vorher kritisch mal sein Profil bei den Seiten anzuschauen. Vermittelt das Profil bei den anderen Webseiten den Eindruck, den ich auch mit dem XING Profil erwecken möchte. Haben Besucher die auf das Profil zugreifen einen Mehrwert davon sich das andere Profil anzuschauen. Wobei man sich hier überlegen sollte was man Preisgeben möchte, nur weil ich ein Lastfm-Konto habe, müssen Kunden oder Partner von mir wissen was für Musik ich höre? Auch sollte man sich gut überlegen wen man auf den diversen Seiten im Web2.0 als Freund/Bekannter/etc akzeptiert, schnell wird daraus auch was abgeleitet: “Mit solchen Leuten umgibt er/sie sich?”

Kontaktinformationen

Bei den Kontaktdaten kann man Private und Geschäftliche Daten trennen, das hat den Vorteil, Freunde rufen nicht im Büro und Kunden nicht zu Hause an. Der Vorteil ist, man kann für jeden Kontakt die Felder einzeln freigeben. Dadurch ist der Datenschutz ohne Probleme gewährleistet.

Sonstige Email Adressen

Eines vorweg, auch wenn sie keiner sehen kann, sind diese Mailadressen wichtig. Aber eintragen alleine reicht nicht, man muss die Bestätigen. Das heißt sich eine Mail an diese Adresse schicken lassen und auf den Link klicken, so wird sicher gestellt das die Adresse auch wirklich eine der Eigenen ist. Aber keiner sieht sie, warum ist sie wichtig? Ganz einfach, diese Adressen werden beim Adressbuchabgleich berücksichtigt. Ein Beispiel, der als Consultant bin ich öfters mal länger im Projekt, also füge ich meine Projektmail Adresse hinzu. Jetzt nutzt einer der Mitarbeiter des Projektes seinen Adressbuchabgleich oder das Xing-PlugIn und findet so mein Profil, ohne meine eigentliche Geschäftsmail oder Privatmail zu kennen. Leider kann man nur 10 sonstige Mailadressen eintragen, einige (ich auch) müssen also Prioritäten setzten.

Der letzte Rest

Instantmessaging und Geburtstag sind selbsterklärend. Eine Besonderheit bei Geburtstag ist die Option im Datenschutz, darf der Kontakt den Geburtstag, den Geburtstag mit Alter oder gar nichts davon sehen. Nett ist aus meiner Sicht das dieses Feld (Wenn freigegeben) mit nach Outlook synchronisiert wird.

Screenshot: Xing.com

Welcher Kontakt meine Adresse, Telefonnummer oder gar die Handynummer sehen darf, kann man entscheiden wenn man die Verknüpfung zu Jemanden herstellt. Zuvor können nur die Standartinformationen eingesehen werden (und auch die kann man Festlegen). Das sorgt dafür, dass die Schwiegermutter nicht auf der Arbeit und der Kunde nicht am Wochenende anruft. Das ganze ist sehr graduiert .

Doch das kann doch nicht alles sein, warum Xing so beliebt ist? Nein, da ist noch mehr, tausende Gruppen in fast allen Sprachen zu fast allen Themen (Segel, Mittelalter, Kaffee trinken, Motorradfahren, Cloud Computing, Joomla, und so weiter) wo man Gleichgesinnte findet und auch so manchen hilfreichen Tipp erhält. Wobei mein persönlicher Favorit das Outlook-Plug-in ist, welches ermöglicht nicht nur seine Kontakte von Xing in Outlook zu importieren (mit den freigegebenen Daten), sondern auch meine Kontakt und Personen mit denen ich Mails schreibe einfach bei Xing zu finden. Hier ein kleiner Hinweis für die Nutzer von Outlook 2010, es wird eine neue Fassung geben die direkt über den “Outlook Social Network Connector” funktioniert. Mittlerweile wurde Xing auch um eine Jobbörse erweitert und immer mehr Headhunter suchen hier nach passenden Leuten was Xing sehr die Ausrichtung eines Karrierenetzwerkes gibt.

Wer jetzt denkt, so was ist teuer, der irrt. Die Grundfunktionen sind kostenlos, lediglich für erweiterte Funktionen (z.B. Suche nach alten Kollegen, Versenden von Nachrichten über Xing, sehen wer auf meinem Profil war) brauch man einen Premium Account. Aber die meisten Funktionen vereinfachen nur anderer Möglichkeiten, so dass man sich die Gebühr von 5,95€ pro Monat (bei 12 Monaten Laufzeit, Stand 14.08.2010) sparen kann.

Zum Beispiel brauch ich keine Privaten Nachrichten wenn mir jemand seine Mail Adresse freigeschaltet hat. Auch weiß ich meistens wie meine alten Kollegen mit Namen geheißen haben, wenn ich sie kenne. Weitere Einschränkungen gibt es bei der Möglichkeit Termine einzurichten.

Wer das jetzt gerne mal testen möchte, wer sich über den folgenden Link anmeldet bekommt kostenlos eine 30 Tage Premiummitgliedschaft (Ohne automatische Verlängerung) geschenkt. Danach verwandelt sich der Account wieder in eine kostenlose Basis Mitgliedschaft.

Hier geht es zur Xing-Anmeldung (Mit 30 Tagen kostenlosem Premium Account).

Und hier geht es zu .

Bei Gelegenheit werde ich noch weiter Tipps zum Thema Xing schreiben.

Noch etwas Rechtliches: Xing und OpenBC sind eingetragene Marken der Xing AG. Outlook ist eine eingetragene Marke von Microsoft Inc.