Linux-Administration / Support

thwien.de arbeitet seit 23 Jahren erfolgreich mit Debian-Linux.

thwien.de ist Ihr Partner in der Serveradministration und dem Support unter Debian-Linux und unterstützt Sie in der Planung, Dokumentation und Netzwerkadministration/ Netzwerkbetreuung bestehender oder neuer IT-Netzwerke.

thwien.de berät Sie zu Fragen der Datensicherheit (Backup, Datenbank-Replikation, Kryptographie, Datenschutz), Verfügbarkeit von Servern (Performance, Cluster) und Skalierbarkeit (Virtualisierung).

Distributionen

thwien.de setzt auf Debian GNU Linux, da es sich in der Praxis bewährt und keinerlei Einschränkungen wie Lizenz- und Supportverträgen unterliegt.

Neben Debian-Linux administriert thwien.de auch Server unter Ubuntu und auf Raspberry-Pi-Rechnern Raspbian.

Server-Virtualisierung / Containerization

Containerization mit LXC (Linux Containers) in der Produktiv- und Entwicklungsumgebung.

Virtualisierung mit KVM, QEMU und libvirt in der Produktiv- und Entwicklungsumgebung.

Migration von physikalischen oder anderen Gast-Systemen nach LXC oder KVM, Aufsetzen von Gastmaschinen, automatisierte Datensicherung.

Administrierte Dienste / Lösungen

LVM, Software-RAID, Hardware-RAID (LSI MegaRAID mit BBU, Adaptec mit ZMCP)

ZFS mit verschlüsselten Partitionen und RAID

DNS, DHCP, SSH, Firewall, VRRP, OSPF, SNMPv2/SNMPv3, IMPI, OpenVPN, WLAN, Netflow

Automatisierte volle und inkrementelle Backups

USV mit APC SmartUPS (via USB, RS232 und Modbus)

Webserver

Apache, SSL/TLS, PHP, Nginx als Reverse Proxy mit Web Application Firewall (Naxsi)

MySQL-Datenbankserver

MySQL, MariaDB, Master/Slave-Replikation, Multimaster-Replikation, SQL- und Binärbackups

Mail-Server

Mail-Server unter Plesk mit Konfiguration von SPF, DKIM, Spamassassin, Greylisting und Einbinden von öffentlichen DNS-Blacklists zur Spamabwehr, Einrichtung von ClamAV als Antivirenscanner, Konfiguration von TLS-Zertifikaten, Webmail, Mail-Autodiscover, Rspamd als Spamfilter

Security / Kryptographie

IPv4/IPv6-Firewall, Intrusion Detection and Prevention (IDS/IPS), Portscanning, Portsniffing, Verschlüsselte Dateisysteme

SSL / TLS / x509, Zertifizierungsstellen (CA), Sub-Zertifizierungsstellen (Intermediate-CA), Zertifikatsanfragen (CSR) für Webserver und Dienste wie VPN, MySQL, etc., Zertifikatserstellung und -verwaltung

Monitoring

Distributed Monitoring von Linux-Servern, OPNsense-Firewalls und Cisco-Switches/Routern mit Zabbix

SIEM (Security Information and Event Management) mit Active Response und Anomaly Detection

MISP (Threat Intelligence Server)

Sicherheitsmaßnahmen nach ISO 27001 und IT-Grundschutz (im Aufbau)

Vulnerability-Scans

Nutzung von Raspberry-Pi zur Remote-Administration in Netzwerken ohne Linux-Server und zum Monitoring von WLAN-Verbindungen

Orchestration

Zentrales Konfigurationsmanagement von Linux-Servern mit Ansible

IPv6

IPv6, Routing, Firewall, Prefix Delegation, DHCPv6, Neigbour Solicitation

Projekte / Referenzen

Linux-Administration

DNS

DNS dient zur Namensauflösung von Domainnamen auf IP-Adressen. Über DNS werden aber auch viele andere Abfragen verarbeitet: Mail-Routing, Load-Balancing, Dienstsuche, Split-DNS, Forwarding, Replikation, SPF (Sender Policy Framework), SSHFP (SSH-Fingerprints), DNSSec, Reverse-Lookup, IDN (Umlaut-Domains), TSIG (Transaction Signature)

SSH - Secure Shell

SSH ist für Ad­mi­ni­stra­toren ein wichtiger Dienst, über welchen Daten über SCP/SFTP aus­ge­tauscht und Kommandos an Linux-Server über­tragen werden. Dabei ist die Kommunikation krypto­graphisch ge­schützt. Zur täg­lichen Arbeit mit SSH - gerade bei Ver­walten vieler Server - ge­hören auch die Nutzung von DSA/RSA-Authentifizierung, eines SSH-Agent, Agent-For­warding und dem DNS Resource Record SSHFP.

OSPF - Open Shortest Path First

OSPF ist ein Routing-Protokoll zur automatischen dynamischen Verteilung von Routing-Tabellen und gleichzeitiger Redundanz von Routing-Wegen und Lastverteilung. In Netzwerken, die in mehrere logische Netzwerke unterteilt sind und in denen mehrere Router im Einsatz sind, ist die Nutzung von OSPF weit verbreitet.

OpenVPN

Ein VPN (Virtual Private Network) kommt da zum Einsatz, wo externe Mitarbeiter Zugang zum internen Netzwerk eines Unternehmens benötigen oder wo zwei Firmennetze miteinander verbunden werden sollen. Dabei wird i.d.R. die Verbindung kryptographisch mit Zertifikaten gesichert.

Apache - Webserver

Apache ist ein weitverbreiteter modularer Webserver im UNIX/Linux-Bereich.

SSL - Secure Socket Layer

SSL kommt besonders in der Verschlüsselung von Internetverbindungen zum Einsatz. SSL wird aber auch zum Beispiel zur Sicherung von VPN-Verbindungen genutzt. Vorteil von SSL ist, dass eine Infrastruktur erstellt werden kann, in welcher Zertifizierungsstellen Zertifikate ausstellen. Zertifikate können dann kryptographisch gegen die ausstellende Zertifizierungsstelle auf Gültigkeit geprüft werden. Unter Apache können auch mehrere virtuelle SSL-Server mit SNI konfiguriert werden.

MySQL Server

MySQL ist im Webhosting-Bereich ein weitverbreiteter Datenbankserver, welcher häufig mit PHP und Apache eingesetzt wird. MySQL kann mit anderen MySQL-Servern in Master-Slave-Replikation, Multimaster-Replikation oder im Cluster konfiguriert werden.

Security / Kryptographie

Kryptographie kommt im Netzwerk/Server-Bereich an vielfältigen Stellen vor, z.B. bei der Speicherung von Passwörtern, Speicherung von sensiblen Daten auf Festplatten, Austausch von sensiblen Daten über Netzwerke und Internet, bei der Authentifizierung und Autorisierung von Benutzern, zur Prüfung von x509-Zertifikaten, der Integrität von Daten und auf Änderungen an Dateisystemen. Systeme und Netzwerk müssen auch vom Zugriff unberechtigter, fremder Personen geschützt werden, physikalisch wie auch technisch, z.B. durch Einsatz von Firewall und IDS (Intrusion Detection). Zur Prüfung des Sicherheitsstand eines Netzwerks oder Servers kommen typische Werkzeuge zum Einsatz wie Portscanner, TCP/IP-Sniffer und Port-Sniffer.

IPv6

Die nächste Generation des Internet wartet schon. Mit IPv6 eröffnen sich neue Möglichkeiten, wie verbessertes Routing, der Wegfall von NAT und einfacher Konfiguration von Netzwerkkarten und Firewalls.

Samba 4.x

Samba ist in UNIX/Linux der Kommunikationsdienst für Windows-Server und Windows-Arbeitsplätzen. Samba ist als Fileserver, als Domänencontroller und als Druckerserver einsetzbar.

OpenVZ

OpenVZ ermöglicht die effiziente Verwaltung von virtuellen Servern auf einer physikalischen Hardware. Mehrere physikalische Linux-Server können somit auf einer Hardware konsolidiert werden. Durch die Virtualisierung können virtuelle Server besser an ihren Anforderung angepasst werden.

WLAN - Wireless LAN

WLAN ist eine Netzwerkverbindung von Computern über elektromagnetische Wellen im 2,4 und 5 GHz-Bereich. Linux kann als WLAN-Client wie auch als Access Point konfiguriert werden. Als Access Point bietet sich die Möglichkeit der kundenspezifischen Konfiguration einer Firewall und eines Proxy-Servers.

Dynamic Host Configuration Protocol (DHCP)

DHCP ermöglicht die zentrale Verwaltung von Netzwerk-Konfigurationen wie IP-Adressbereiche, DNS-Server, Zeit-Server, WINS-Server, Gateways und WLAN-Controller.

Netflow / Softflow

Netflow liefert Daten über alle Verbindungen, die über einen Cisco-Router oder Linux-Router laufen. Diese können zu Auswertung der Netzwerkauslastung an einen Kibana/Logstash-Server übertragen werden. Dort können dann Grafiken erstellt werden, z.B. welche Port-Nummer den höchsten Anteil des Netzwerktraffics erzeugt.