Administration

Systemadministration bündelt Grundlagen, die jeden Betrieb tragen: Speicher wird geplant statt geflickt, Zugänge sind nachvollziehbar, Fernzugriff ist gehärtet, Dateisysteme sind passend gewählt und Berechtigungen folgen klaren Regeln. Dieses Kapitel erklärt die zentralen Bereiche – LVMUsermanagementSSHFilesystem und Berechtigungen – jeweils mit Einordnung, typischen Mustern und Hinweisen, worauf es im Alltag ankommt.

Die Perspektive ist bewusst praxisnah: Was gehört zum Grundverständnis, wo liegen die häufigsten Fallstricke, und welche Entscheidungen zahlen sich langfristig im Betrieb aus?

LVM

Der Logical Volume Manager trennt die physischen Grenzen von Datenträgern von den logischen Grenzen der darauf liegenden Volumes. Aus Physical Volumes (PV) werden Volume Groups (VG) gebildet, innerhalb derer Logical Volumes (LV) flexibel angelegt und vergrößert werden können. Dieser Zwischenschicht-Ansatz löst das klassische Problem starrer Partitionen: Speicher wächst mit, ohne Server neu aufzusetzen.

Im Alltag spielen einige Mechanismen eine besondere Rolle: Snapshots frieren einen Blockzustand für Backups ein, verbrauchen aber schleichend Platz; Thin Provisioning spart Kapazität, verlangt jedoch enges Monitoring des Thin-Pools; Stripes und Mirrors beeinflussen Performance und Ausfallsicherheit. LVM sitzt häufig in einer Kette mit RAID und Verschlüsselung (dm-crypt/LUKS) – die Reihenfolge entscheidet über Wiederherstellbarkeit und Performance.

Wichtig ist ein sinnvolles Layout mit Reserven, dokumentierten Resize-Pfaden und getesteten Recovery-Schritten. So wird LVM zum Werkzeug, das Wachstum und Wartung planbar macht, statt zur Fehlerquelle zu werden.

Usermanagement

Benutzermodelle bestimmen, wer was darf – und wie sich das nachvollziehen lässt. Lokale Konten werden in /etc/passwd und /etc/shadow geführt, Gruppen bündeln Rechte, und PAM-Ketten regeln Anmeldung und Authentisierung. Für größere Umgebungen kommen zentrale Verzeichnisse wie LDAP mit SSSD ins Spiel, damit Zugriffe domänenweit konsistent bleiben.

Grundprinzipien sind Least Privilege und klare Rollen: Administrationsrechte laufen über kontrollierte Elevation (z. B. sudo), Dienstkonten erhalten nur die Rechte, die sie wirklich benötigen, und Anmeldeverfahren bevorzugen Schlüssel statt Passwörter. Lebenszyklen zählen: Konten entstehen über definierte Prozesse, Schlüssel werden rotiert, und inaktive Zugänge verschwinden.

Besondere Aufmerksamkeit verdienen gemeinsam genutzte Verzeichnisse, in denen Eigentum (Owner), Gruppen und Standard-ACLs sauber aufeinander abgestimmt sein müssen – sonst entstehen mit der Zeit schwer sichtbare Inkonsistenzen.

SSH

Secure Shell ist der Standard für administrativen Fernzugriff. Der eigentliche Sicherheitsgewinn entsteht durch die Kombination aus Public-Key-Authentisierung, geprüften Host-Schlüsseln und einer bewusst gehärteten Konfiguration. Passwort-Logins lassen sich abschalten; feinkörnige Match-Blöcke steuern Ausnahmen; Protokoll- und Krypto-Suiten werden aktuell gehalten.

In mehrstufigen Netzen hat sich ein Bastion-Host als zentraler Einstieg bewährt: Verbindungen laufen dort zusammen, werden geloggt und lassen sich nachvollziehen. Agent-Forwarding sollte bewusst und sparsam eingesetzt werden; FIDO2/Hardware-Schlüssel erhöhen das Sicherheitsniveau ohne großen Mehraufwand. Rate-Limiting und Sperrmechanismen (z. B. Fail2ban) reduzieren Rauschen und brute-force-Versuche.

Dokumentation und wiederkehrende Prüfungen sind Teil der SSH-Härtung: Welche Hosts gelten als vertrauenswürdig, welche KEX/HostKeys sind erlaubt, und über welchen Pfad existieren Notfallzugänge?

Filesystem

Die Wahl des Dateisystems folgt dem Einsatzzweck. Ext4 ist universell und genügsam, XFS spielt seine Stärken bei großen Volumes und hoher Metadaten-Last aus, ZFS bringt Copy-on-Write, Checksums und Snapshots „first-class“ – verlangt aber mehr RAM und sorgfältiges Tuning. Neben der Wahl des Typs prägen Mount-Optionen das Verhalten im Alltag: Optionen wie noexecnodev und nosuid reduzieren Angriffsflächen, Journaling-Modi und Commit-Intervalle beeinflussen Performance und Konsistenz.

Quotas und Inodes begrenzen Verbrauch kontrolliert, konsistente Mount-Pfade und eine saubere /etc/fstab vermeiden Überraschungen beim Boot. Überwachung gehört dazu: I/O-Latenzen, Warteschlangen und Fehlerzähler geben früh Hinweise, bevor Probleme sichtbar werden. Für Wiederherstellung gilt: Werkzeuge und Schritte sollten im Ruhezustand geübt sein, nicht erst im Incident.

In verteilten Szenarien (NFS/SMB) kommen Semantik und Sperrverhalten hinzu: Was lokal trivial wirkt, kann über das Netz andere Eigenschaften haben – von Caching bis Locking.

Berechtigungen

Das klassische Unix-Modell aus Nutzer, Gruppe und „Others“ bildet die Basis jeder Rechtevergabe. Modusbits steuern Lesen, Schreiben und Ausführen; Umask definiert Standardrechte neuer Dateien. Darüber hinaus erlauben POSIX-ACLs feinere Steuerung, und Capabilities können ausgewählten Programmen einzelne Root-Privilegien geben, ohne sie vollständig zu privilegieren.

Besondere Bits wie setuid/setgid und das Sticky-Bit sind mächtig, sollten aber gezielt und dokumentiert eingesetzt werden. In gemeinsamen Verzeichnissen sorgen standardisierte Ownership-Regeln und Default-ACLs für Ordnung; in heterogenen Landschaften ist die Konsistenz von UID/GID essenziell, damit Rechte über Systemgrenzen hinweg gelten.

Berechtigungen sind nicht isoliert zu sehen: Sicherheitsmechanismen wie SELinux oder AppArmor ergänzen das Modell, indem sie zusätzliche, kontextbasierte Regeln durchsetzen. Beides greift ineinander – und wirkt nur dann zuverlässig, wenn die einfache Basis stimmt.

Seminare

Passend zu den oben skizzierten Schwerpunkten bieten wir praxisnahe Seminare an. In kompakten Modulen (L1/L2) arbeiten wir an realen Admin-Szenarien – vom sicheren Basis-Setup bis zu Automatisierung und Compliance. Die Inhalte sind distributionsspezifisch aufgebaut und lassen sich 1:1 in Ihrem Betrieb übernehmen. Termine, Formate (remote/vor Ort) und Inhouse-Optionen finden Sie in den Kursübersichten.

Flexibler Speicher

Kurzprofil: logische Volumes statt starrer Partitionen.

Typische Nutzung: Resize ohne Downtime, Snapshots, Thin-Pools.

Technik: PV/VG/LV-Design, Alignment, Backup/Restore.

Was wir schulen: Layouts, Performance, Recovery-Pfad.

Usermanagement

Kurzprofil: Rollen, Gruppen, nachvollziehbare Rechte.

Typische Nutzung: sudo-Policies, Key-Rotation, SSSD/LDAP.

Technik: PAM-Ketten, Logging, On/Offboarding als Code.

Was wir schulen: Standards, Prozesse, Audit-Sicherheit.

SSH

Kurzprofil: Keys statt Passwörter, Bastion, Logging.

Typische Nutzung: Admin-Zugänge, Notfall-Pfad, 2FA.

Technik: sshd_config, KEX/HostKeys, Fail2ban.

Was wir schulen: Policies, Schlüssel-Mgmt, Bastion-Design.

Filesystem

Kurzprofil: Ext4, XFS, ZFS richtig wählen und betreiben.

Typische Nutzung: Mount-Policies, Quotas, I/O-Monitoring.

Technik: Optionen, fstab, Recovery-Pfad.

Was wir schulen: Layout-Patterns, Tuning, Wiederherstellung.

Berechtigungen

Kurzprofil: Rechte als feste Architektur-Regel.

Typische Nutzung: ACL-Defaults, Capabilities, Audits.

Technik: Umask, setuid/setgid, Sticky-Bit.

Was wir schulen: Policies, Team-Workflows, Fix-Jobs.

Häufig gestellte Fragen

In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Wir helfen gern persönlich.

Woran erkennt man ein sinnvolles LVM-Layout?

Freiräume für Wachstum, dokumentierte Resize-Pfade, getestete Backups und klare Regeln für Snapshots/Thin-Pools. Alles andere ist Optimierung im Detail.

Wo liegt der Unterschied zwischen Rechten und Policies wie SELinux/AppArmor?

Dateirechte regeln Zugriff auf Objekte (UGO/ACL). SELinux/AppArmor setzen zusätzliche, kontextabhängige Regeln durch. Beides ergänzt sich, ersetzt sich aber nicht.

Wann Ext4, wann XFS, wann ZFS?

Ext4 für universelle Einsätze mit wenig Pflegebedarf, XFS für große Volumes und Metadaten-Last, ZFS für integrierte Snapshots/Checksums und Replikation – sofern Ressourcen und Disziplin vorhanden sind.