znilwiki - Benutzerbeiträge [de]

Hauptseite

2026-06-07T20:39:07Z

BLinz:

__NOCACHE__
<div class="mainpage_row2">
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_orange"><big>'''Letzte Meldungen'''</big></div>
<div class="mainpage_boxcontents">
'''06.06.2026''' 
Server wird überlastet - wer oder was auch immer grast mein Wiki massiv ab mit maximal komplizierten Abfragen welche die CPU-Last hochtreiben. 
Das ganze von vielen verschiedenen IP-Adressen aus der ganzen Welt. 
Da die UFW-Firewall je eh schon Geoblocking macht, habe ich noch ein Ratelimit per {{code|ufw limit}} gesetzt, wenn es mehr als 6 Verbindungen innerhalb von 30 Sekunden sind, wird die IP so lange gesperrt bis diese für mindestens 30 Sekunden aufhört anfragen zu stellen. 
Der normale Leser sollte also nichts merken. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''15.05.2026''' 
Unter '''[[Zabbix Server + Agent unter Ubuntu 26.04 LTS installieren]]''' findet Ihr die aktuelle Version für die Installation eines Zabbix LTS-Servers unter dem aktuellen Ubuntu Server 26.04 LTS Diesmal musste nicht so viel wie letztes mal angepasst werden. Wenn man die Anleitung von der Zabbix-Webseite nutzt, funktioniert das Webinterface nicht. Zabbix will nun PHP-FPM nutzen und bringt unter Ubuntu 26.04 auch alles dafür mit, es fehlt aber die Aktivierung des FPM und Proxy Moduls im Apache Webserver. ''Nachtrag vom 07.06.2026: Inzwischen wird dort auch das aktivieren der Apache-Module mit aufgeführt!'' 
Auch den Teil für das Backup der Datenbank sowie dem Vergrößern der Festplatte habe ich angepasst / verbessert / erweitert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2026''' 
{{Hinweis|Mit dem Update auf 7.0.26-2 ist der Fehler wieder behoben}}
Zabbix verteilt gerade beim Update auf 7.0.26 unter Ubuntu 24.04 eine fehlerhafte {{code|/etc/zabbix/apache.conf}} 
Der Effekt ist das man dann auf der Weboberfläche entweder nur den PHP-Quellcode sieht oder eine Error 503 Fehlermeldung. 
Die Lösung ist aus der 
nano /etc/zabbix/apache.conf
den folgenden Abschnitt zu löschen / auszukommentieren: 
<FilesMatch \.(php|phar)$>
SetHandler "proxy:unix:/var/run/php/zabbix.sock|fcgi://localhost"
</FilesMatch>
Da wird {{code|php-fpm}} erwartet, meine Anleitung (und Zabbix in der Vergangenheit) installiert aber nur das klassische PHP. 
Alternativ kann man die Konfiguration auch einfach deaktivieren:
a2disconf zabbix && systemctl reload apache2
In meiner Anleitung wird ja eine eigene Konfigurationsdatei für den Aufruf der Weboberfläche gesetzt (so das man kein {{code|/zabbix}} an die URL anhängen muss), deshalb geht es dann auch ohne, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
Update: Die '''UFW''' Firewall unter Ubuntu kann auch Geoblocking! Der Artikel war schon älter und für Ubuntu 20.04, mit etwas Fehlersuche und Anpassungen funktioniert das aber ganz hervorragend. Das ganze habe ich mir hier zusammengeschrieben: [[ufw Geoblocking mit Ubuntu 24.04]] 
Nachtrag: Die CPU-Last des Servers hat nun enorm abgenommen, '''UFW''' verbraucht erheblich weniger ressourcen beim Blocken als der Apache. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
USA sind nun auch Blockiert. 
Es gibt eine Mediawiki-Funktion bzw. Spezialseite um alle Änderungen in einem bestimmten Zeitraum abzufragen. 
Das ist eine Datenbankabfrage. Und genau diese kommt nun schon seit mehren Tagen fast pausenlos aus Kalifornien, USA, über verschiedene IP-Adressen. 
Und erzeugt hohe Last auf meinem Webserver. 
Ich sperre die mal für eine paar Tage aus. 
Ich brauche dringend mal eine Firewall davor die das Geoblocking übernimmt (im Moment mache ich es im Apache). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.02.2026''' 
Extrem hohe Last auf dem Webserver hier ... 
Mein Internetzugang fing an "zu spinnen", dieser Webserver hier war nahezu auf 100%, der Upload stand bei konstant 10MBit/s ... 
Diesmal lag es lag es an einer Testversion vom März 2025 dieser Webseite. Vor dem Upgrade hatte ich eine Kopie erstellt welche unter der Domäne "testwiki.znil.net" zu erreichen war. 
Die war natürlich nicht gepatched und hatte kein Geoblocking. 
Ich habe diese nun einfach gelöscht und Ruhe ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.12.2025''' 
Geo-Blocking von Ländern: 
Es ist der 1. eines Monats und da bekomme ich immer die Auswertung von Matomo - das ist das Tool mit dem ich die Zugriffe auf meine Webseite auswerte. Normalerweise sind das so um die 5 bis 10.000 Besucher im Monat, während Corona waren es auch mal 20.000 (Der Artikel über Guacamole RDP war äußerst beliebt). 
In November waren es dann 167.000 eindeutige Besucher ... ok, hier stimmt etwas nicht. Ein Blick auf den Webserver - jupp der brummt für znil.net ordentlich. 
Blicke ins Log zeigen aber das zum einen - wie üblich - die ein oder andere Suchmaschine wieder mal die ganze Webseite abgrast. Das ist aber sonst auch so. 
Aber es gibt auch jede Menge Versuche, die Webseite zu hacken. Mit vergeblichen Aufrufen für Wordpress-Installationen, aber auch gezielt Mediwiki. Eine IP aus Polen die zufällig gerade stark aktiv war, habe ich dann von Hand gesperrt. Und mir die anderen Einträge mit solchen versuchen angeschaut. 
Tja, es sind ja eigentlich Klischees, aber China und Russland sind jetzt geblockt für diese Webseite. Die beiden Länder waren für 90% der fehlgeschlagenen Einträge verantwortlich, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''09.06.2025''' 
Lang vor mir hergeschoben - aber nun ist meine Webseite hier endlich auf der neuen MediaWiki LTS Version 1.43 welche dann bis Dezember 2027 Updates erhalten wird. Die bisherige Version 1.39 wäre im November diesen Jahres ausgelaufen. 
Probleme gab es diesmal überraschend wenig: 
* Die 2 Faktor-Authentifizierung in 1.43 hat einen Upgrade-Fehler, man muss manuell einmal das SQL-Skript für das Anlegen der Tabelleneinträge ausführen und die {{code|update.php}} noch mal starten. Dann klappte die Anmeldung mit dem bisherigen Token
* Mein Skin {{code|Pivot}} funktionierte nicht mehr, es musste die aktuelle Version sein. Zudem musste ich den Namen im Skin-Verzeichnis von {{code|pivot}} auf {{code|Pivot}} ändern, also mit Großschreibung. Sonst fehlten die Symbole bei den Menüs etc.
* Die Kommentarfunktion <strike>zickt noch, ich habe die aktuelle Version der Erweiterung einfach als Extension geladen. Die Darstellung funktioniert, es fehlen noch die Felder die es anonymen Benutzern erlaubte einen gewählten Namen anzugeben. Zudem Kann man als nicht angemeldeter Benutzer noch gar keine Kommentare anlegen (gibt eine Fehlermeldung). Ich habe da in der Vergangenheit immer eigene Anpassungen gemacht, die muss ich gleich noch einarbeiten.</strike> funktioniert jetzt auch wieder
Am besten gefällt mir aber, das die Erweiterung {{code|ClipUpload}} immer noch funktioniert. Die Erweiterung erlaubt es, in der Code-Ansicht beim Editieren einen Screenshot aus der Zwischenablage einfach per {{key|STRG}} + {{key|V}} einzufügen, ohne Nachfragen, direkter Upload und Einfügen des Dateinamens. Das normale Vorgehen will 1.001 Frage beantwortet haben (Lizenz, Name usw) und dauert mir beim dem Erstellen von Anleitungen viel zu lange. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''24.04.2025''' 
Diese Webseite ist umgezogen - und läuft nun "im Homeoffice". 
Wie immer unter Ubuntu - die aktuelle 24.04 LTS Version, mit Apache2 Webserver und MariaDB Datenbank. Mal schauen ob 500MBit/s an Upload reichen :-) 
<strike>Und die Seite ist - endlich - auch wieder über IPv6 zu erreichen.</strike> Sollte gehen, geht aber nicht. Ausgehend kein Problem, aber die Portweiterleitung der FRITZ!Box zickt scheinbar rum 
Ich habe hier noch einen 2. Linux Rechner mit IPv4, dieser lässt sich trotz identischer Einstellungen von außen pingen. Mal sehen ob ich herausbekomme woran das liegt. 
'''Update:''' Schön wenn man ein anderes System zum vergleichen hat. Es fehlte schlicht in der Netzwerkkonfiguration das IPv6 Gateway. 
Warum auch immer der ausgehende IPv6 Traffic trotzdem funktioniert hatte ... 
Also: Die Seite ist - endlich - auch wieder über IPv6 zu erreichen! 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''12.03.2025''' 
Umzug der Webseite im April! 
Mein bestehender Glasfaseranschluss der Telekom wird Anfang April zu einem Geschäftskundenanschluss geändert (Business Glasfaser Pro 1000), mit fester IP-Adresse (IPv4 und IPv6). 
Der Upload beträgt dann 500MBit - das ist zwar nur halb so schnell wie es angeblich zur Zeit ist (laut IONOS 1GBit/s), aber so viele Aufrufe hat meine Webseite nicht (abgesehen von sporadischen Hacking versuchen). 
Ich werde die Webseite dann von zu Hause hosten. In dem Zuge werde ich das Mediawiki dann auch auf die letzte LTS-Version bringen, im Moment läuft es noch auf der LTS-Version '''1.39.x''' die noch bis November 2025 unterstützt wird, aktuell wäre '''1.43.x''' welches bis November 2027 unterstützt wird. Meine Sorgenkinder bei Upgrades sind immer die "Paste from Clipboard" Funktion um Screenshots schnell in Artikel einzufügen und die Kommentarfunktion. 
Da ich dann aber ja voll Kontrolle über den Server habe, wird es dann einfach mit Backups und Snapshots. 
Im Moment bereite ich das Netzwerk und die Firewall dafür vor - ich bin ein großer Freund von Reverse Proxy, Geo-IP-Blocking und Let's Encrypt Zertifikaten, im Zweifel alles 3 zusammen. 
Ich werde über den Stand dann an dieser Stelle berichten. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''18.12.2024''' 
WireGuard schlägt IPSec! 
Ich habe fast den ganzen gestrigen Tag damit verbracht, die VPN-Verbindung zwischen meiner FRITZ!Box und meinem Mietserver von IPSec auf WireGuard umzustellen. 
Den Tunnel aufzubauen hatte schon nach ein paar Minuten geklappt, leider hat die FRITZ!Box aber hartnäckig ein NAT über den Tunnel gemacht. Konnte ich Lösen und habe eine Anleitung dafür geschrieben: [[FritzBox - Site to Site VPN zu pfSense mit WireGuard ohne Tunnel NAT]] 
Gemacht habe ich das ganze ich das weil ich mir eine besser Performance erhofft hatte. Und erste Tests mit {{code|iperf3}} zeigten einen um 40% höher Datendurchsatz. 
Heute Nacht lief nun das erste Backup (eine Veeam Replikation) über WireGuard statt IPSec: 
Vorher mit IPSec: 
:[[Datei:ClipCapIt-241218-112649.PNG]] 
Nun mit WireGuard: 
:[[Datei:ClipCapIt-241218-112719.PNG]] 
2h25m schneller! Bei sogar 1GByte mehr Daten. und von den 1h45m sind eine Stunde alleine die '''Retention Policy''', also das löschen und zusammenführen alter Snapshots am Ziel. 
Fazit: hat sich gelohnt!
----
'''29.09.2024''' 
Ich konnte mich endlich auch mal etwas mehr mit Proxmox beschäftigen (und wie gut Veeam es schon unterstützt). 
Zunächst auf einen Mini-PC der 200Euro Klasse (Intel N95 Prozessor, 16GB RAM, 512GB SSD, 2 x LAN) mit dem ich etwas herumgespielt habe, inklusive der Migration einer VMware-VM dorthin. Um die Live-Migration zu testen habe ich mir dann noch einen 2. Mini-PC gekauft. Und hatte dann eine steile Lernkurve (Datenträger müssen auf alles System gleich sein - und ZFS formatiert sein), inklusive einer kompletten Migration da ich beide Nodes noch mal neu mit ZFS installieren musste. 
Damit ich das später auch wieder hinbekommen, gibt es nun links einen neuen Bereich Proxmox unter welchen ich dann wie immer sammle was ich interessant fand bzw. wie ich mein System eingerichtet habe. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''03.07.2024''' 
Die Kommentarfunktion braucht ein paar Anpassungen an das aktuelle PHP8.3 
Da kommen zwar nur Warnungen, aber die erscheinen halt ständig im Log. Es gibt auf GitHub bereits eine angepasste Version (leider ohne angepasste Versionsnummer), die arbeitet aber mit meiner "alten" Mediawiki-Version 1.39 nicht zusammen. Das ist aber nun mal die aktuelle LTS-Version und die neue ist noch nicht erschienen. 
Jetzt muss ich also entweder mit den Warnungen leben, diese Seite auf dem älteren PHP8.1 laufen lassen, eine Kurzzeit-Mediawiki-Version mit nur einem Jahr Support einsetzen oder die Kommentarfunktion dauerhaft abschalten. Ich habe mich noch nicht entschieden. 
Ich nutze eine von mir angepasste Version von https://www.mediawiki.org/wiki/Extension:Comments die ich immer dahingehend ändere das auch anonyme Kommentare möglich sind (mit freier Angabe eines Names oder Email-Adresse). Zudem ist eine - mini - AntiSPAM Funktion eingebaut und ich erhalte immer sofort eine Email über einen neuen Kommentar. 
Das habe ich mir gut Dokumentiert, ist trotzdem ein Sonntagnachmittag Arbeit das jedes mal einzupflegen. Nur um mich dann per Kommentar beschimpfen zu lassen wenn da jemanden etwas nicht passt ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.06.2024''' 
Ich habe mal die Kommentarfunktion meiner Seite deaktiviert, da gab es heute wohl einen Angriff wo versuchte wurde diese als Lücke zu missbrauchen. Laut Logs hat das nicht geklappt, aber so habe ich den Angriff ins leere laufen lassen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 09:45Uhr''' 
Es ist 2024 ... und ich bekomme IPv6 an meinem neuen Server nicht zum laufen. Offensichtlich wird es nicht durchgelassen. Jedenfalls kommt kein IPv6 Datenverkehr an meinem Server an. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 00:55Uhr''' 
znil.net läuft nun auf einem neuen virtuellen Server bei IONOS. Nach 2 Tagen war der alte zwar migriert. Aber der neue - die technischen Daten sind identisch - kostet nur 4 statt 5 Euro im Monat. Und ich konnte so parallel gleich auf Ubuntu 24.04 LTS + PHP8.3 umziehen. 
Jetzt geht es ins Bett, morgen muss ich noch genauer prüfen ob noch alles funktioniert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''20.06.2024 13:44Uhr''' 
So, telefonisch konnte ich ein Ticket eröffnen. Nein, das ist nicht normal, die VM hätte schon längst wieder laufen sollen. Es wird jetzt geschaut was bei meiner VM hakt. 
----
'''20.06.2024 13:02Uhr''' 
:[[Datei:ClipCapIt-240620-130053.PNG]] 
so so, 20 Minuten. Die Meldung habe ich im Portal gefunden, wenn ich versuche auf '''''Server & Cloud''''' zu zugreifen werde ich immer noch sofort abgemeldet. 
Ich suche gerade wo ich dort ein Ticket eröffnen kann. 
[[Benutzer:BLinz|Bernhard Linz]]
'''20.06.2024 09:35Uhr''' 
Na IONOS, das klappt ja scheinbar toll. Statt "kurzer Unterbrechung" sind es nun schon fast 20h Ausfall, laut deren Status Webseite https://www.ionos-status.de/ läuft alles Störungsfrei, das Portal für die Cloud-Server Verwaltung ist immer noch komplett abgeschaltet (zumindest für mich). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.06.2024 20:23Uhr''' 
Heute seit 15:00 Uhr stellt IONOS meinen vServer um auf dem diese Webseite läuft. Das sollte angeblich nicht lange dauern. 
Jetzt, 5h später, ist mein Server immer noch nicht erreichbar. 
Das Webportal von IONOS zur Verwaltung meines vServers ist auch komplett abgeschaltet - man wird sogar sofort ausgeloggt wenn man auf den betreffenden Menüpunkt geht. 
Genügend Gelegenheit einmal mein Backup zu testen. 
So konnte ich meine Webseite mit Stand gestern, 22:00 Uhr wiederherstellen. Die Webseite läuft im Moment auf meinen Heimserver. Der hat zwar genügend Dampf, mein Internetanschluß von Kabel Deutschland hat aber leider nur 50MBit Upload. 
Aber besser als nichts, zur Not kann ich die Seite auch noch auf einen anderen Server mit 250Mbit Upload umziehen, aber das hier war jetzt schneller und einfacher. 
Und es wäre schön wenn der Originalserver doch noch wieder hoch kommt, ich habe heute noch diverses im Wiki geschrieben/korrigiert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.06.2024''' 
Ich bin endlich dazu gekommen eine aktuelle Anleitung für Ubuntu 24.04 und Zabbix 6 / Zabbix 7 zu schreiben: [[Zabbix Server + Agent unter Ubuntu 24.04 LTS installieren]] 
Es waren nicht so viele Änderungen wie befürchtet. Schlecht ist aber schon mal das ich bisher keine aus Zabbix 6 exportierten Templates in Zabbix 7 importiert bekommen habe, das muss ich mir noch mal genauer anschauen. 
Mein jetziger Zabbix 6.0 LTS Server stammt von von meinen allerersten Zabbix-Server 2.2 ab, dieser wurde immer wieder geupgradet. Nun möchte ich mal einen Neuanfang machen, auch um jede menge Altlasten los zu werden, z.B. habe meine Items noch alle eine Server-Node Id, allen Item-Ids ist also eine <code>42042000000</code> vorangestellt, das werde ich sonst nie los. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.05.2024''' 
znil.net ist nun nur noch über IPv4 zu erreichen. Grund ist das IONOS die virtuelle Maschine auf welcher diese Webseite läuft, migriert und dabei neue IPv6 Adressen zuweisen wird. Dei IPv4 soll unverändert erhalten bleiben. Scheinbar wird dabei auch der darunterliegende Hypervisor geändert. Bisher ist meine VM eine VMware vSphere-VM, mal sehen was es danach ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2024''' 
Und die Extension "ClipUpload" funktioniert nun doch. Nachdem ich bei einem Kunden die Extension [https://www.mediawiki.org/wiki/Extension:MsUpload MsUpload] gesehen hatte - mit der kann man einfach per Drag&Drop viele Dateien/Bilder in einem Rutsch hochladen - hatte ich diese bei mir installiert. Die Extension funktioniert aber nur in Verbindung mit dem [https://www.mediawiki.org/wiki/Extension:WikiEditor WikiEditor]. Der ist "ab Werk" dabei, ich hatte den aber deaktiviert weil ich diesen nicht gebraucht habe. Der WikiEditor erscheint in dem von mir bevorzugten Quelltext-Editor. Und in diesem / mit diesem funktioniert mein heiß geliebtes und Innig geliebtes "ClipUpload". Mit dieser Erweiterung kann ich Screenshots (aus der Zwischenablage) im Quelltext-Editor einfach per {{Key|STRG}} + {{Key|V}} einfügen - ohne nervige Nachfragen etc. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.02.2023''' 
Das MediaWiki-System auf dem diese Webseite basiert wurde von der LTS-Version 1.35.9 auf die neue LTS-Version 1.39.1 aktualisiert. Wie immer gab es Probleme mit einigen Erweiterungen. Bei den meisten reichte die für MediaWiki 1.39.x passende Version zu installieren. Die Kommentarfunktion musste ich wieder nach meinen Ansprüchen anpassen - was relativ schnell ging da ich beim letzten mal ordentlich dokumentiert hatte - so musste ich nur in der alten Version nach meinen Kommentaren suchen und die Abschnitte entsprechend in der neuen Version ändern. 
Leider - '''LEIDER''' - ist die Extension "ClipUpload" nun auf der Strecke geblieben, beim letzten mal konnte man die noch mit Codeänderungen zum laufen bringen. Die Erweiterung erlaubte es per {{Key|STRTG}} + {{Key|V}} einfach Bilder in das Mediawiki einzufügen. Es wird auf [https://www.mediawiki.org/wiki/Extension:SimpleBatchUpload simple-batch-upload] verwiesen ... mhh, nicht wirklich das selbe. 
Als nächstes steht dann das Upgrade auf 22.04 LTS + PHP8 an. 
Nachtrag: Es gibt einen '''[https://www.mediawiki.org/wiki/Extension:VisualEditor VisualEditor]''' der ab Werk bei MediaWiki dabei ist (keine Ahnung seit welcher Version), der kann das auch. In Umständlich. Titel, Beschreibung usw. muss alles über Dialoge angegeben werden anstatt das Bild einfach sofort hochzuladen (ich weis schon was ich tue). 

[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.10.2022''' 
Die Zabbix Summit 2022 in Riga: [https://www.meinekleinefarm.net Marco Hofmann] hat einen Vortrag darüber gehalten wie man unter Windows den Zabbix Agenten auf hunderten von Systemen und verschiedenen Kundenumgebungen synchron hält. Das erwähne ich weil er dazu unter anderem auch Werkzeuge von mir einsetzt - eine Abwandlung meiner [[Zabbix Agent für Windows per Skript automatisch installieren Musterdatei|InstallZabbixAgent.bat]] und das Tool für [[Agent Auto Updater|automatische Updates des Agenten]]. 
[[Datei:Hofmann-1200x628px.png|400px|link=https://www.meinekleinefarm.net/zabbix-summit-2022-in-riga-keeping-hundreds-of-windows-zabbix-agents-in-sync-across-different-customers/]] 
Seinen Vortrag findet ihr hier auf Youtube: https://youtu.be/IQQwTEtwl7M?t=19987 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.10.2021''' 
Das Mediwiki dieser Seite ist nun auf Version 1.35.4. Und ich müsste mal daran gehen wieder eine Kommentar-Übersichtsseite zu programmieren ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2021''' 
Das waren jetzt fast 4h Arbeit - aber die Kommentarfunktion funktioniert wieder wie vorher. 
Die Extension basiert wieder auf dem aktuellen Original: https://www.mediawiki.org/wiki/Extension:Comments und wurde wieder nach meinen Bedürfnissen angepasst. 
Unter anderem war in der aktuellen Version der Datenbank gar kein Feld mehr für den Namen/Email-Adresse vorgesehen, das habe ich wieder nachgerüstet. 
Die meiste Zeit habe ich damit verbracht die Stelle in den ganzen PHP-Skripten zu finden an der die eigentliche Datenbankabfrage durchgeführt wird. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.05.2021''' 
<big>'''Großes Update der Webseite!'''</big> 
* Upgrade auf die Mediawiki LTS Version 1.35.2
* Umzug von Ubuntu 18.04 LTS auf 20.04 LTS
* Umzug von MySQL auf MariaDB
* Umzug von PHP 7.2 auf 7.4.3
* Umzug auf V-Server M von IONOS
* Seite ist nun über IPv4 und IPv6 erreichbar!
Hat im ganzen ganz gut geklappt. Auf der Strecke sind 2 Erweiterungen geblieben: Die Anzeige der zuletzt geänderten Artikel sowie eine selbst programmierte Seite welche mir alle Kommentare auf einer Seite angezeigt hatte. 
Auch die Schaltfläche die auf jeder Seite unten rechts zum Hochscrollen war fehlt noch. 
Ganz hervorragend am '''IONOS V Server''' gefällt mir das es eine VM unter VMware ist, die Firewall davor in der man selbst Port für Port freischalten muss - und das ich die mit dem '''''Veeam Agent for Linux''''' einfach sichern kann. Und die Büchse ist angenehm schnell, mit 300Mbit angebunden und kostet nur 5 Euro im Monat. 
 
'''Nachtrag:''' Die Kommentarfunktion funktioniert ... aber der Refresh nachdem man senden gedrückt hat sieht komisch aus. {{Key|F5}} behebt das, mal sehen ob ich da was ändern kann. Das ist eine Extension die ich so angepasst habe das man auch ohne Anmeldung mit einem Namen etwas posten kann und das mir eine Email gesendet wird wenn es einen Kommentar gibt. Es gibt eine neuere Version davon die ich dann allerdings auch wieder neu anpassen muss. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2021''' 
Ich habe einen neuen Artikel zum Thema GeoIP-Blocking mit Apache2 veröffentlicht: [[Apache2 Ubuntu 24.04 22.04 20.04 GeoIP Blocking einrichten]] 
Und das ganze auch gleich als Gelegenheit genutzt bei meinen diversen Subdomänen das ganze umzusetzen. Meine Seafile- oder mein Zabbix-Server müssen z.B. nur aus Deutschland erreichbar sein. [[Benutzer:BLinz|Bernhard Linz]]
----
'''30.12.2020''' 
Eigentlich wollte ich diesen Webserver mal auf Ubuntu 20.04 LTS aktualiseren ... aber das hat per <code>do-release-upgrade</code> im Gegensatz zu meinen anderen VMs nicht geklappt. MediaWiki 1.3 mag irgendwie PHP 7.4 auch nicht richtig (auch wenn ich es woanders schon habe laufen gesehen). Also doch wie immer - neuen Server installieren und dann die Domänen Stück-für-Stück umziehen. [[Benutzer:BLinz|Bernhard Linz]]
----
'''25.06.2020''' 
[[Datei:MFA_Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "MFA technical Certification" der Firma WatchGuard abgeschlossen. Es geht um die [https://www.watchguard.com/de/wgrd-products/authpoint-multi-factor-authentication MFA Lösung AuthPoint der Firma WatchGuard] - bei der Vorbereitung war hilfreich das ich MFA schon länger auch privat für den Schutz meiner Zugänge einsetze. Unter anderem [https://duo.com/ duo.com] für RDP da es bis 10 Personen auch kostenlos genutzt werden kann. WatchGuard ist - aus meiner Sicht - mehr pures MFA, DUO hat dafür quasi jeden Anwendungsfall eine eigene Anleitung und geht tiefer auf die Endgeräte ein. Wobei z.B. eine nicht aktuelle Android-Version ständig angemeckert wird.
[[Benutzer:BLinz|Bernhard Linz]]
----
'''26.04.2020''' 
Stromkosten: Auch ich sitze nun mehr im Homeoffice. Und in meinem Kellerbüro habe ich meinen Rechner hinter mir - und einen 40HE Datenschrank im Blick vor mir. Mit den Tagen ging mir zum einen der Lärm der ganzen Lüfter irgendwann auf den Kecks. Und den Stromverbrauch (den ich bis dato aber nicht gemessen habe) wollte ich auch senken. Den Verbrauch der Switche kannte ich durch Einzelmessungen, der lag bei ca. 100 Watt (für 48 Gigabit Ports + 6 PoE Ports). Diesen habe ich durch einen neuen Switch Allnet-SG8428M (13 Watt maximal!) und einen sparsameren PoE Sitch für die Telefone und Kameras stark reduziert. Zeitgleich habe ich mit Gosund SP111 WLAN-Steckdosenschaltern herumgespielt. Mit der Tasmota Firmware und einer Kalibrierung taugen diese scheinbar auch ganz gut als Strommessgeräte. 
Ich hab nun also meinen Datenschrank zu Hause daran gehängt und musste ernüchternd einen Dauerstromverbrauch von 140 bis 150 Watt feststellen. 
* 44 Watt davon gehen für PoE drauf - 5 Cisco Telefone und 2 IP-Kameras. 
* 16 Watt maximal für die beiden anderen Switche (der ALLNET und ein 16 Port Netgear)
* 9 Watt mein ESXi Server auf Basis eines APU2C4 von PC Engines (inklusive 2TB USB Festplatte daran)
* um die 20 Watt schätze ich die beiden FritzBoxen ...
* bleiben ca. 89 Watt für meinen Heimserver - mit 2x 128GB SSD und 4 x 4TB HDD
* und die USV wird da mit Ihrem Eigenanteil auch irgendwo dazwischen liegen
Wenn ich den Verbrauch mal in einen Kostenrechner werfe: 
:[[Datei:ClipCapIt-200426-192323.PNG]] 
:(erstellt mit [https://www.stromverbrauchinfo.de/stromkostenrechner.php stromverbrauch info]) 
weis ich nun auch warum wir immer so eine fette Stromrechnung habe. Als 4 Personenhaushalt verbrauchen wir soviel wie einer mit 8. Und dabei habe ich doch gerade schon soviel eingespart ... 
Ich werde das nun - dank mit Zabbix überwachten Strom/Leistungsverbrauch mal besser beobachten und schauen wie ich da in Zukunft noch mehr einsparen kann. 
Jedes Watt sind 2,60 €/Jahr oder 22 Cent/Monat - klingt nicht viel aber wie man sieht läppert es sich. 
Mal sehen wie der Durchschnitt nach einem Monat ist. Nachts schaltet sich z.B. die Beleuchtung der IP-Telefone ab was schon 10 Watt spart. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''14.04.2020''' 
Mit gewissen Stolz habe ich meine Version eines "Active Directory-Gruppe mit Zabbix Benutzern Abgleichen via LDAP" Skriptes fertiggstellt: 
https://github.com/BernhardLinz/zabbix-ldap-sync-bash
Wer nach so etwas googelt landet quasi ausschließlich bei dem von Marc Schöchlin geschriebenen Python Script: https://github.com/zabbix-tooling/zabbix-ldap-sync 
An dem haben mich aber schon immer die ganzen Abhängigkeiten gestört wie '''pyldap''' oder '''pyzabbix'''. Ich hab nun mal leider auch Kunden mit Systemen ohne Internetanbindung oder älteren Linux Versionen - und da ist es schwer diese zu erfüllen. 
Mein Skript ist "pures" Bash. Es wird nur der Befehl '''ldapsearch''' und '''curl''' benötigt - und bisher waren die in allen Repositories der Distributionen vorhanden. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''03.04.2020''' 
Ich nutze nun [https://www.google.com/search?q=tripwire+ubuntu Tripwire] um meinen Webserver zu überwachen. Gefällt mir sehr gut, man muss nur daran denken nach jeden Update oder Änderung die Datenbank wieder auf Stand zu bringen. Ich bekomme im Moment jeden Tag einen Email-Report dazu - da muss ich noch mal schauen wir ich das in Zabbix unterbringe bzw. mir nur eine mail senden lasse wenn auch etwas ansteht. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Noch ein Nachtrag zum "Angriff": zwischendurch fehlten auf dem Server 16G an Speicherplatz. 
Gemerkt habe ich das mit Zabbix weil dadurch ein Schwellwert erst unter- und dann wieder überschritten wurde. 
Die 16G waren das <code>error.log</code> für die Domäne '''znil.net'''. Darin fand ich jede Menge Fehlermeldung das versucht wurde <code>\bin\bash</code> zu starten - was aber nun mal nicht erlaubt ist. 
Bin im Moment gerade glücklich darüber das ich jede Domäne / Webseite / Subdomäne unter einem eigenen, eingeschränkten Benutzer laufen lasse. 
Das mache ich nicht von Hand sondern per ISPConfig weil ich faul bin. Funktioniert aber scheinbar ja prima. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Also, wenn ich so ein Online-Tool nutze um meine Webseite zu überprüfen dann melden diese ggf. (nicht immer) eine "SQL-Injection" Lücke in meiner Kommentarfunktion. 
Und zwar weil wohl dann gängige Test-SQL-Abfragen mit gesendet werden. 
Das Senden erfolgt via JavaScript im Browser des Benutzers, der Empfänger ist das PHP-Skript auf dem Server. 
In der letzten Version dieses Skriptes (angepasst von mir) gibt es keine Filter mehr, er nimmt einfach alles an. Früher habe ich dort auf Viagra & Co gefiltert. 
Aber der Teil darunter der dann den Text in die Datenbank schreibt ist wohl ausreichend gefestigt - er schreibt einfach alles was kommt in den Datensatz der Datenbank. Die SQL-Injections tauchen so einfach als Text im Kommentarfeld auf, werden aber nicht ausgeführt. Also alles gut Denke ich. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Angriff auf diese Webseite: 
In der Nacht von gestern auf heute hat jemand versucht per SQL-Injektion sich Zugriff auf diese Webseite zu verschaffen. 
"Schwachstelle" ist die Kommentarfunktion. Ein Online-Scurity-Scanner hatte mir diese bereits mal als anfällig dafür gemeldet. 
Da ich die Mediawiki-Extension überarbeitet hatte, habe ich umfangreiche "Suchen und Erstzen"-Regeln erstellt die alles was mit SQL zu tun hat ausfiltert. 
Deshalb sehen manche Kommentare hier dann komisch aus. 
Ich prüfe mal das System intensiv ob die Abwehr erfolgreich war ... oder ob ich doch ein Backup wieder einspiele. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''25.02.2020''' 
znil.net weiterhin "Tracker-frei". 
Ich nutze Matomo (ehemals Piwik) um Statistiken für diese Webseite zu erhalten. Eigentlich mehr aus Neugier um zu sehen wie das funktioniert, es hat mir aber auch schon bei Verbesserungen geholfen da man manchmal recht gut erkennen kann wenn die Leute bei Suchanfragen falsch abbiegen. 
Ich hab in einem meiner Browser seit einiger Zeit ein "Anti-Tracking-Tool" installiert weil dadurch sich die Ladezeiten bei einer meiner Lieblingwebseiten dramatisch verbessert haben (https://thingiverse.com). Voller Freude sehe ich das ich wohl alles richtig gemacht habe - denn das Tool zeigt mir bei dieser Seite an das es nicht zu blockieren gibt. Alles bleibt also innerhalb dieser Seite. Siehe auch: [https://znil.net/index.php?title=Znilwiki:Impressum#Datenschutzerkl.C3.A4rung Datenschutzerklärung] 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.02.2020''' 
Sieht nicht nach Leben aus wenn sich die Startseite nie ändert - ich muss noch mal wieder nach einer Mediawiki-Extension schauen welche die neuesten Artikel hier präsentiert. 
Hatte ich schon mal, funktionierte nach einem Update nur nicht mehr. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''04.07.2019''' 
Diese Seite ab sofort nur noch über '''''https://''''' zu erreichen - die meisten Aufrufe kamen sowieso schon darüber. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''08.06.2019''' 
Die Mediawiki-Installation ist nun auf 1.13.2 aktulisiert - einige potentielle Sicherheitslücken wurden geschlossen. Hier der Artikel dazu: https://lists.wikimedia.org/pipermail/mediawiki-announce/2019-June/000230.html 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''25.05.2019''' 
Wenn man nicht alles testet ... die Kommentarfunktion war ohne "Funktion". 
Zum Glück ist es eine Erweiterung die noch gepflegt wird, ich habe mir die neue Version herunter geladen und wieder an diese Webseite angepasst: https://git.znil.net/mediawiki/Comments 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.05.2019''' 
[[Datei:WG Network Security Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "Network Security Technical Certification" der Firma WatchGuard abgeschlossen.
Ich hatte auch schon mal leichtere Prüfungen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''14.05.2019''' 
Das Wiki ist wieder einmal umgezogen. Statt auf einem Server in Frankreich läuft es nun auf einem Server in Deutschland - vielen Dank an meinen Arbeitgeber. 
Im gleichen Atemzug habe ich von der Mediawiki-Version 1.27 LTS auf die Version 1.31 LTS gewechselt - der Support läuft im Juni aus und 1.31 bietet nun wieder Updates bis Juni 2021. 
Dabei ist leider die '''WikiLog'''-Erweiterung auf der Strecke geblieben, diese ist nicht mehr kompatibel und wird auch schon länger nicht mehr weiter einwickelt. 
Also mache ich das jetzt von Hand ... 
[[Benutzer:BLinz|Bernhard Linz]]
</div>
</div>
 
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_ocean"><big>'''Wie ist <del>meine</del> deine IP-Adresse?'''</big></div>
<div class="mainpage_boxcontents" style="font-family:'Courier New', Monospace; background: #FFFFCC;">
{|
|-
| style="width: 70%; background-color: #FFFFCC"|<big>
'''IP :''' <ClientIP /> 
'''Typ:''' <IPv4orv6 /> 
'''DNS:''' <ClientName /> </big>
|| Ermittelt mit den PHP-Funktionen dafür
|}
</div>
 


<div class="mainpage_boxtitle_blue"><big>'''Tools - Kleine Programme für Batchdateien und anderes'''</big></div>
<div class="mainpage_boxcontents">
* [[ZnilTools:ifmemberDELUXE.exe|ifmemberDELUXE]] - Netzlaufwerke und Netzwerkdrucker in Anmeldeskripten verbinden
* [[ZnilTools:Telnet_SMTP_Test_Tool|Telnet_SMTP_Test_Tool.exe]] - Grafische Oberfläche für den Test von SMTP-Servern per Telnet
* [[Zabbix:Template Windows Dateien und Ordner]] - Überwachung mit vielen Beispielen
* [[Host per Popup-Skript aus der Zabbix-Server Weboberfläche in Wartung setzen]]
* [[Calibre eBook MultiUser Tool / Funktion]] - Calibre mit mehreren Benutzern gleichzeitig nutzen
</div>
 


<div class="mainpage_boxtitle_black"><big>'''Die letzten Änderungen'''</big></div>
<div class="mainpage_boxcontents">

{{Special:RecentChanges/days=365,limit=10,hidebots,hideminor,hidecategorization}}
</div>
 
<div class="mainpage_boxtitle_grey"><big>'''[[Spezial:Statistik|Informationen]] zum znilwiki, Stand {{CURRENTDAY2}}.{{CURRENTMONTH}}.{{CURRENTYEAR}} um {{LOCALTIME}} Uhr:'''</big></div>
<div class="mainpage_boxcontents">

* Dieses Wiki enthält '''{{NUMBEROFPAGES}}''' Seiten, zusammengefasst in '''{{NUMBEROFARTICLES}}''' Themen... 
* Die Beiträge wurden '''{{NUMBEROFEDITS}}''' mal bearbeitet (inklusive der Erstellung)
* Dieses Wiki wurde laut Matomo schon so oft besucht: <html><img src="https://znil.net/piwik/index.php?module=ClassicCounter&action=svg&idSite=1" width="180" height="43"></html>

* MediaWiki-Version: '''{{CURRENTVERSION}}''' - siehe auch [[Spezial:Version]]


<div style="text-align: right;">[[Testbereich|.]][[Testbereich:Seite2|.]][[Testbereich:Seite3|.]][[Testbereich:Seite4|π]]</div>
</div>

</div>
</div>

Hauptseite

2026-06-07T20:38:45Z

BLinz:

__NOCACHE__
<div class="mainpage_row2">
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_orange"><big>'''Letzte Meldungen'''</big></div>
<div class="mainpage_boxcontents">
'''06.06.2026''' 
Server wird überlastet - wer oder was auch immer grast mein Wiki massiv ab mit maximal komplizierten Abfragen welche die CPU-Last hochtreiben. 
Das ganze von vielen verschiedenen IP-Adressen aus der ganzen Welt. 
Da die UFW-Firewall je eh schon Geoblocking macht, habe ich noch ein Ratelimit per {{code|ufw limit}} gesetzt, wenn es mehr als 6 Verbindungen innerhalb von 30 Sekunden sind, wird die IP so lange gesperrt bis diese für mindestens 30 Sekunden aufhört anfragen zu stellen. 
Der normale Leser sollte also nichts merken. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''15.05.2026''' 
Unter '''[[Zabbix Server + Agent unter Ubuntu 26.04 LTS installieren]]''' findet Ihr die aktuelle Version für die Installation eines Zabbix LTS-Servers unter dem aktuellen Ubuntu Server 26.04 LTS Diesmal musste nicht so viel wie letztes mal angepasst werden. Wenn man die Anleitung von der Zabbix-Webseite nutzt, funktioniert das Webinterface nicht. Zabbix will nun PHP-FPM nutzen und bringt unter Ubuntu 26.04 auch alles dafür mit, es fehlt aber die Aktivierung des FPM und Proxy Moduls im Apache Webserver. **Nachtrag vom 07.06.2026: Inzwischen wird dort auch das aktivieren der Apache-Module mit aufgeführt!** 
Auch den Teil für das Backup der Datenbank sowie dem Vergrößern der Festplatte habe ich angepasst / verbessert / erweitert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2026''' 
{{Hinweis|Mit dem Update auf 7.0.26-2 ist der Fehler wieder behoben}}
Zabbix verteilt gerade beim Update auf 7.0.26 unter Ubuntu 24.04 eine fehlerhafte {{code|/etc/zabbix/apache.conf}} 
Der Effekt ist das man dann auf der Weboberfläche entweder nur den PHP-Quellcode sieht oder eine Error 503 Fehlermeldung. 
Die Lösung ist aus der 
nano /etc/zabbix/apache.conf
den folgenden Abschnitt zu löschen / auszukommentieren: 
<FilesMatch \.(php|phar)$>
SetHandler "proxy:unix:/var/run/php/zabbix.sock|fcgi://localhost"
</FilesMatch>
Da wird {{code|php-fpm}} erwartet, meine Anleitung (und Zabbix in der Vergangenheit) installiert aber nur das klassische PHP. 
Alternativ kann man die Konfiguration auch einfach deaktivieren:
a2disconf zabbix && systemctl reload apache2
In meiner Anleitung wird ja eine eigene Konfigurationsdatei für den Aufruf der Weboberfläche gesetzt (so das man kein {{code|/zabbix}} an die URL anhängen muss), deshalb geht es dann auch ohne, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
Update: Die '''UFW''' Firewall unter Ubuntu kann auch Geoblocking! Der Artikel war schon älter und für Ubuntu 20.04, mit etwas Fehlersuche und Anpassungen funktioniert das aber ganz hervorragend. Das ganze habe ich mir hier zusammengeschrieben: [[ufw Geoblocking mit Ubuntu 24.04]] 
Nachtrag: Die CPU-Last des Servers hat nun enorm abgenommen, '''UFW''' verbraucht erheblich weniger ressourcen beim Blocken als der Apache. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
USA sind nun auch Blockiert. 
Es gibt eine Mediawiki-Funktion bzw. Spezialseite um alle Änderungen in einem bestimmten Zeitraum abzufragen. 
Das ist eine Datenbankabfrage. Und genau diese kommt nun schon seit mehren Tagen fast pausenlos aus Kalifornien, USA, über verschiedene IP-Adressen. 
Und erzeugt hohe Last auf meinem Webserver. 
Ich sperre die mal für eine paar Tage aus. 
Ich brauche dringend mal eine Firewall davor die das Geoblocking übernimmt (im Moment mache ich es im Apache). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.02.2026''' 
Extrem hohe Last auf dem Webserver hier ... 
Mein Internetzugang fing an "zu spinnen", dieser Webserver hier war nahezu auf 100%, der Upload stand bei konstant 10MBit/s ... 
Diesmal lag es lag es an einer Testversion vom März 2025 dieser Webseite. Vor dem Upgrade hatte ich eine Kopie erstellt welche unter der Domäne "testwiki.znil.net" zu erreichen war. 
Die war natürlich nicht gepatched und hatte kein Geoblocking. 
Ich habe diese nun einfach gelöscht und Ruhe ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.12.2025''' 
Geo-Blocking von Ländern: 
Es ist der 1. eines Monats und da bekomme ich immer die Auswertung von Matomo - das ist das Tool mit dem ich die Zugriffe auf meine Webseite auswerte. Normalerweise sind das so um die 5 bis 10.000 Besucher im Monat, während Corona waren es auch mal 20.000 (Der Artikel über Guacamole RDP war äußerst beliebt). 
In November waren es dann 167.000 eindeutige Besucher ... ok, hier stimmt etwas nicht. Ein Blick auf den Webserver - jupp der brummt für znil.net ordentlich. 
Blicke ins Log zeigen aber das zum einen - wie üblich - die ein oder andere Suchmaschine wieder mal die ganze Webseite abgrast. Das ist aber sonst auch so. 
Aber es gibt auch jede Menge Versuche, die Webseite zu hacken. Mit vergeblichen Aufrufen für Wordpress-Installationen, aber auch gezielt Mediwiki. Eine IP aus Polen die zufällig gerade stark aktiv war, habe ich dann von Hand gesperrt. Und mir die anderen Einträge mit solchen versuchen angeschaut. 
Tja, es sind ja eigentlich Klischees, aber China und Russland sind jetzt geblockt für diese Webseite. Die beiden Länder waren für 90% der fehlgeschlagenen Einträge verantwortlich, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''09.06.2025''' 
Lang vor mir hergeschoben - aber nun ist meine Webseite hier endlich auf der neuen MediaWiki LTS Version 1.43 welche dann bis Dezember 2027 Updates erhalten wird. Die bisherige Version 1.39 wäre im November diesen Jahres ausgelaufen. 
Probleme gab es diesmal überraschend wenig: 
* Die 2 Faktor-Authentifizierung in 1.43 hat einen Upgrade-Fehler, man muss manuell einmal das SQL-Skript für das Anlegen der Tabelleneinträge ausführen und die {{code|update.php}} noch mal starten. Dann klappte die Anmeldung mit dem bisherigen Token
* Mein Skin {{code|Pivot}} funktionierte nicht mehr, es musste die aktuelle Version sein. Zudem musste ich den Namen im Skin-Verzeichnis von {{code|pivot}} auf {{code|Pivot}} ändern, also mit Großschreibung. Sonst fehlten die Symbole bei den Menüs etc.
* Die Kommentarfunktion <strike>zickt noch, ich habe die aktuelle Version der Erweiterung einfach als Extension geladen. Die Darstellung funktioniert, es fehlen noch die Felder die es anonymen Benutzern erlaubte einen gewählten Namen anzugeben. Zudem Kann man als nicht angemeldeter Benutzer noch gar keine Kommentare anlegen (gibt eine Fehlermeldung). Ich habe da in der Vergangenheit immer eigene Anpassungen gemacht, die muss ich gleich noch einarbeiten.</strike> funktioniert jetzt auch wieder
Am besten gefällt mir aber, das die Erweiterung {{code|ClipUpload}} immer noch funktioniert. Die Erweiterung erlaubt es, in der Code-Ansicht beim Editieren einen Screenshot aus der Zwischenablage einfach per {{key|STRG}} + {{key|V}} einzufügen, ohne Nachfragen, direkter Upload und Einfügen des Dateinamens. Das normale Vorgehen will 1.001 Frage beantwortet haben (Lizenz, Name usw) und dauert mir beim dem Erstellen von Anleitungen viel zu lange. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''24.04.2025''' 
Diese Webseite ist umgezogen - und läuft nun "im Homeoffice". 
Wie immer unter Ubuntu - die aktuelle 24.04 LTS Version, mit Apache2 Webserver und MariaDB Datenbank. Mal schauen ob 500MBit/s an Upload reichen :-) 
<strike>Und die Seite ist - endlich - auch wieder über IPv6 zu erreichen.</strike> Sollte gehen, geht aber nicht. Ausgehend kein Problem, aber die Portweiterleitung der FRITZ!Box zickt scheinbar rum 
Ich habe hier noch einen 2. Linux Rechner mit IPv4, dieser lässt sich trotz identischer Einstellungen von außen pingen. Mal sehen ob ich herausbekomme woran das liegt. 
'''Update:''' Schön wenn man ein anderes System zum vergleichen hat. Es fehlte schlicht in der Netzwerkkonfiguration das IPv6 Gateway. 
Warum auch immer der ausgehende IPv6 Traffic trotzdem funktioniert hatte ... 
Also: Die Seite ist - endlich - auch wieder über IPv6 zu erreichen! 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''12.03.2025''' 
Umzug der Webseite im April! 
Mein bestehender Glasfaseranschluss der Telekom wird Anfang April zu einem Geschäftskundenanschluss geändert (Business Glasfaser Pro 1000), mit fester IP-Adresse (IPv4 und IPv6). 
Der Upload beträgt dann 500MBit - das ist zwar nur halb so schnell wie es angeblich zur Zeit ist (laut IONOS 1GBit/s), aber so viele Aufrufe hat meine Webseite nicht (abgesehen von sporadischen Hacking versuchen). 
Ich werde die Webseite dann von zu Hause hosten. In dem Zuge werde ich das Mediawiki dann auch auf die letzte LTS-Version bringen, im Moment läuft es noch auf der LTS-Version '''1.39.x''' die noch bis November 2025 unterstützt wird, aktuell wäre '''1.43.x''' welches bis November 2027 unterstützt wird. Meine Sorgenkinder bei Upgrades sind immer die "Paste from Clipboard" Funktion um Screenshots schnell in Artikel einzufügen und die Kommentarfunktion. 
Da ich dann aber ja voll Kontrolle über den Server habe, wird es dann einfach mit Backups und Snapshots. 
Im Moment bereite ich das Netzwerk und die Firewall dafür vor - ich bin ein großer Freund von Reverse Proxy, Geo-IP-Blocking und Let's Encrypt Zertifikaten, im Zweifel alles 3 zusammen. 
Ich werde über den Stand dann an dieser Stelle berichten. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''18.12.2024''' 
WireGuard schlägt IPSec! 
Ich habe fast den ganzen gestrigen Tag damit verbracht, die VPN-Verbindung zwischen meiner FRITZ!Box und meinem Mietserver von IPSec auf WireGuard umzustellen. 
Den Tunnel aufzubauen hatte schon nach ein paar Minuten geklappt, leider hat die FRITZ!Box aber hartnäckig ein NAT über den Tunnel gemacht. Konnte ich Lösen und habe eine Anleitung dafür geschrieben: [[FritzBox - Site to Site VPN zu pfSense mit WireGuard ohne Tunnel NAT]] 
Gemacht habe ich das ganze ich das weil ich mir eine besser Performance erhofft hatte. Und erste Tests mit {{code|iperf3}} zeigten einen um 40% höher Datendurchsatz. 
Heute Nacht lief nun das erste Backup (eine Veeam Replikation) über WireGuard statt IPSec: 
Vorher mit IPSec: 
:[[Datei:ClipCapIt-241218-112649.PNG]] 
Nun mit WireGuard: 
:[[Datei:ClipCapIt-241218-112719.PNG]] 
2h25m schneller! Bei sogar 1GByte mehr Daten. und von den 1h45m sind eine Stunde alleine die '''Retention Policy''', also das löschen und zusammenführen alter Snapshots am Ziel. 
Fazit: hat sich gelohnt!
----
'''29.09.2024''' 
Ich konnte mich endlich auch mal etwas mehr mit Proxmox beschäftigen (und wie gut Veeam es schon unterstützt). 
Zunächst auf einen Mini-PC der 200Euro Klasse (Intel N95 Prozessor, 16GB RAM, 512GB SSD, 2 x LAN) mit dem ich etwas herumgespielt habe, inklusive der Migration einer VMware-VM dorthin. Um die Live-Migration zu testen habe ich mir dann noch einen 2. Mini-PC gekauft. Und hatte dann eine steile Lernkurve (Datenträger müssen auf alles System gleich sein - und ZFS formatiert sein), inklusive einer kompletten Migration da ich beide Nodes noch mal neu mit ZFS installieren musste. 
Damit ich das später auch wieder hinbekommen, gibt es nun links einen neuen Bereich Proxmox unter welchen ich dann wie immer sammle was ich interessant fand bzw. wie ich mein System eingerichtet habe. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''03.07.2024''' 
Die Kommentarfunktion braucht ein paar Anpassungen an das aktuelle PHP8.3 
Da kommen zwar nur Warnungen, aber die erscheinen halt ständig im Log. Es gibt auf GitHub bereits eine angepasste Version (leider ohne angepasste Versionsnummer), die arbeitet aber mit meiner "alten" Mediawiki-Version 1.39 nicht zusammen. Das ist aber nun mal die aktuelle LTS-Version und die neue ist noch nicht erschienen. 
Jetzt muss ich also entweder mit den Warnungen leben, diese Seite auf dem älteren PHP8.1 laufen lassen, eine Kurzzeit-Mediawiki-Version mit nur einem Jahr Support einsetzen oder die Kommentarfunktion dauerhaft abschalten. Ich habe mich noch nicht entschieden. 
Ich nutze eine von mir angepasste Version von https://www.mediawiki.org/wiki/Extension:Comments die ich immer dahingehend ändere das auch anonyme Kommentare möglich sind (mit freier Angabe eines Names oder Email-Adresse). Zudem ist eine - mini - AntiSPAM Funktion eingebaut und ich erhalte immer sofort eine Email über einen neuen Kommentar. 
Das habe ich mir gut Dokumentiert, ist trotzdem ein Sonntagnachmittag Arbeit das jedes mal einzupflegen. Nur um mich dann per Kommentar beschimpfen zu lassen wenn da jemanden etwas nicht passt ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.06.2024''' 
Ich habe mal die Kommentarfunktion meiner Seite deaktiviert, da gab es heute wohl einen Angriff wo versuchte wurde diese als Lücke zu missbrauchen. Laut Logs hat das nicht geklappt, aber so habe ich den Angriff ins leere laufen lassen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 09:45Uhr''' 
Es ist 2024 ... und ich bekomme IPv6 an meinem neuen Server nicht zum laufen. Offensichtlich wird es nicht durchgelassen. Jedenfalls kommt kein IPv6 Datenverkehr an meinem Server an. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 00:55Uhr''' 
znil.net läuft nun auf einem neuen virtuellen Server bei IONOS. Nach 2 Tagen war der alte zwar migriert. Aber der neue - die technischen Daten sind identisch - kostet nur 4 statt 5 Euro im Monat. Und ich konnte so parallel gleich auf Ubuntu 24.04 LTS + PHP8.3 umziehen. 
Jetzt geht es ins Bett, morgen muss ich noch genauer prüfen ob noch alles funktioniert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''20.06.2024 13:44Uhr''' 
So, telefonisch konnte ich ein Ticket eröffnen. Nein, das ist nicht normal, die VM hätte schon längst wieder laufen sollen. Es wird jetzt geschaut was bei meiner VM hakt. 
----
'''20.06.2024 13:02Uhr''' 
:[[Datei:ClipCapIt-240620-130053.PNG]] 
so so, 20 Minuten. Die Meldung habe ich im Portal gefunden, wenn ich versuche auf '''''Server & Cloud''''' zu zugreifen werde ich immer noch sofort abgemeldet. 
Ich suche gerade wo ich dort ein Ticket eröffnen kann. 
[[Benutzer:BLinz|Bernhard Linz]]
'''20.06.2024 09:35Uhr''' 
Na IONOS, das klappt ja scheinbar toll. Statt "kurzer Unterbrechung" sind es nun schon fast 20h Ausfall, laut deren Status Webseite https://www.ionos-status.de/ läuft alles Störungsfrei, das Portal für die Cloud-Server Verwaltung ist immer noch komplett abgeschaltet (zumindest für mich). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.06.2024 20:23Uhr''' 
Heute seit 15:00 Uhr stellt IONOS meinen vServer um auf dem diese Webseite läuft. Das sollte angeblich nicht lange dauern. 
Jetzt, 5h später, ist mein Server immer noch nicht erreichbar. 
Das Webportal von IONOS zur Verwaltung meines vServers ist auch komplett abgeschaltet - man wird sogar sofort ausgeloggt wenn man auf den betreffenden Menüpunkt geht. 
Genügend Gelegenheit einmal mein Backup zu testen. 
So konnte ich meine Webseite mit Stand gestern, 22:00 Uhr wiederherstellen. Die Webseite läuft im Moment auf meinen Heimserver. Der hat zwar genügend Dampf, mein Internetanschluß von Kabel Deutschland hat aber leider nur 50MBit Upload. 
Aber besser als nichts, zur Not kann ich die Seite auch noch auf einen anderen Server mit 250Mbit Upload umziehen, aber das hier war jetzt schneller und einfacher. 
Und es wäre schön wenn der Originalserver doch noch wieder hoch kommt, ich habe heute noch diverses im Wiki geschrieben/korrigiert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.06.2024''' 
Ich bin endlich dazu gekommen eine aktuelle Anleitung für Ubuntu 24.04 und Zabbix 6 / Zabbix 7 zu schreiben: [[Zabbix Server + Agent unter Ubuntu 24.04 LTS installieren]] 
Es waren nicht so viele Änderungen wie befürchtet. Schlecht ist aber schon mal das ich bisher keine aus Zabbix 6 exportierten Templates in Zabbix 7 importiert bekommen habe, das muss ich mir noch mal genauer anschauen. 
Mein jetziger Zabbix 6.0 LTS Server stammt von von meinen allerersten Zabbix-Server 2.2 ab, dieser wurde immer wieder geupgradet. Nun möchte ich mal einen Neuanfang machen, auch um jede menge Altlasten los zu werden, z.B. habe meine Items noch alle eine Server-Node Id, allen Item-Ids ist also eine <code>42042000000</code> vorangestellt, das werde ich sonst nie los. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.05.2024''' 
znil.net ist nun nur noch über IPv4 zu erreichen. Grund ist das IONOS die virtuelle Maschine auf welcher diese Webseite läuft, migriert und dabei neue IPv6 Adressen zuweisen wird. Dei IPv4 soll unverändert erhalten bleiben. Scheinbar wird dabei auch der darunterliegende Hypervisor geändert. Bisher ist meine VM eine VMware vSphere-VM, mal sehen was es danach ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2024''' 
Und die Extension "ClipUpload" funktioniert nun doch. Nachdem ich bei einem Kunden die Extension [https://www.mediawiki.org/wiki/Extension:MsUpload MsUpload] gesehen hatte - mit der kann man einfach per Drag&Drop viele Dateien/Bilder in einem Rutsch hochladen - hatte ich diese bei mir installiert. Die Extension funktioniert aber nur in Verbindung mit dem [https://www.mediawiki.org/wiki/Extension:WikiEditor WikiEditor]. Der ist "ab Werk" dabei, ich hatte den aber deaktiviert weil ich diesen nicht gebraucht habe. Der WikiEditor erscheint in dem von mir bevorzugten Quelltext-Editor. Und in diesem / mit diesem funktioniert mein heiß geliebtes und Innig geliebtes "ClipUpload". Mit dieser Erweiterung kann ich Screenshots (aus der Zwischenablage) im Quelltext-Editor einfach per {{Key|STRG}} + {{Key|V}} einfügen - ohne nervige Nachfragen etc. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.02.2023''' 
Das MediaWiki-System auf dem diese Webseite basiert wurde von der LTS-Version 1.35.9 auf die neue LTS-Version 1.39.1 aktualisiert. Wie immer gab es Probleme mit einigen Erweiterungen. Bei den meisten reichte die für MediaWiki 1.39.x passende Version zu installieren. Die Kommentarfunktion musste ich wieder nach meinen Ansprüchen anpassen - was relativ schnell ging da ich beim letzten mal ordentlich dokumentiert hatte - so musste ich nur in der alten Version nach meinen Kommentaren suchen und die Abschnitte entsprechend in der neuen Version ändern. 
Leider - '''LEIDER''' - ist die Extension "ClipUpload" nun auf der Strecke geblieben, beim letzten mal konnte man die noch mit Codeänderungen zum laufen bringen. Die Erweiterung erlaubte es per {{Key|STRTG}} + {{Key|V}} einfach Bilder in das Mediawiki einzufügen. Es wird auf [https://www.mediawiki.org/wiki/Extension:SimpleBatchUpload simple-batch-upload] verwiesen ... mhh, nicht wirklich das selbe. 
Als nächstes steht dann das Upgrade auf 22.04 LTS + PHP8 an. 
Nachtrag: Es gibt einen '''[https://www.mediawiki.org/wiki/Extension:VisualEditor VisualEditor]''' der ab Werk bei MediaWiki dabei ist (keine Ahnung seit welcher Version), der kann das auch. In Umständlich. Titel, Beschreibung usw. muss alles über Dialoge angegeben werden anstatt das Bild einfach sofort hochzuladen (ich weis schon was ich tue). 

[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.10.2022''' 
Die Zabbix Summit 2022 in Riga: [https://www.meinekleinefarm.net Marco Hofmann] hat einen Vortrag darüber gehalten wie man unter Windows den Zabbix Agenten auf hunderten von Systemen und verschiedenen Kundenumgebungen synchron hält. Das erwähne ich weil er dazu unter anderem auch Werkzeuge von mir einsetzt - eine Abwandlung meiner [[Zabbix Agent für Windows per Skript automatisch installieren Musterdatei|InstallZabbixAgent.bat]] und das Tool für [[Agent Auto Updater|automatische Updates des Agenten]]. 
[[Datei:Hofmann-1200x628px.png|400px|link=https://www.meinekleinefarm.net/zabbix-summit-2022-in-riga-keeping-hundreds-of-windows-zabbix-agents-in-sync-across-different-customers/]] 
Seinen Vortrag findet ihr hier auf Youtube: https://youtu.be/IQQwTEtwl7M?t=19987 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.10.2021''' 
Das Mediwiki dieser Seite ist nun auf Version 1.35.4. Und ich müsste mal daran gehen wieder eine Kommentar-Übersichtsseite zu programmieren ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2021''' 
Das waren jetzt fast 4h Arbeit - aber die Kommentarfunktion funktioniert wieder wie vorher. 
Die Extension basiert wieder auf dem aktuellen Original: https://www.mediawiki.org/wiki/Extension:Comments und wurde wieder nach meinen Bedürfnissen angepasst. 
Unter anderem war in der aktuellen Version der Datenbank gar kein Feld mehr für den Namen/Email-Adresse vorgesehen, das habe ich wieder nachgerüstet. 
Die meiste Zeit habe ich damit verbracht die Stelle in den ganzen PHP-Skripten zu finden an der die eigentliche Datenbankabfrage durchgeführt wird. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.05.2021''' 
<big>'''Großes Update der Webseite!'''</big> 
* Upgrade auf die Mediawiki LTS Version 1.35.2
* Umzug von Ubuntu 18.04 LTS auf 20.04 LTS
* Umzug von MySQL auf MariaDB
* Umzug von PHP 7.2 auf 7.4.3
* Umzug auf V-Server M von IONOS
* Seite ist nun über IPv4 und IPv6 erreichbar!
Hat im ganzen ganz gut geklappt. Auf der Strecke sind 2 Erweiterungen geblieben: Die Anzeige der zuletzt geänderten Artikel sowie eine selbst programmierte Seite welche mir alle Kommentare auf einer Seite angezeigt hatte. 
Auch die Schaltfläche die auf jeder Seite unten rechts zum Hochscrollen war fehlt noch. 
Ganz hervorragend am '''IONOS V Server''' gefällt mir das es eine VM unter VMware ist, die Firewall davor in der man selbst Port für Port freischalten muss - und das ich die mit dem '''''Veeam Agent for Linux''''' einfach sichern kann. Und die Büchse ist angenehm schnell, mit 300Mbit angebunden und kostet nur 5 Euro im Monat. 
 
'''Nachtrag:''' Die Kommentarfunktion funktioniert ... aber der Refresh nachdem man senden gedrückt hat sieht komisch aus. {{Key|F5}} behebt das, mal sehen ob ich da was ändern kann. Das ist eine Extension die ich so angepasst habe das man auch ohne Anmeldung mit einem Namen etwas posten kann und das mir eine Email gesendet wird wenn es einen Kommentar gibt. Es gibt eine neuere Version davon die ich dann allerdings auch wieder neu anpassen muss. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2021''' 
Ich habe einen neuen Artikel zum Thema GeoIP-Blocking mit Apache2 veröffentlicht: [[Apache2 Ubuntu 24.04 22.04 20.04 GeoIP Blocking einrichten]] 
Und das ganze auch gleich als Gelegenheit genutzt bei meinen diversen Subdomänen das ganze umzusetzen. Meine Seafile- oder mein Zabbix-Server müssen z.B. nur aus Deutschland erreichbar sein. [[Benutzer:BLinz|Bernhard Linz]]
----
'''30.12.2020''' 
Eigentlich wollte ich diesen Webserver mal auf Ubuntu 20.04 LTS aktualiseren ... aber das hat per <code>do-release-upgrade</code> im Gegensatz zu meinen anderen VMs nicht geklappt. MediaWiki 1.3 mag irgendwie PHP 7.4 auch nicht richtig (auch wenn ich es woanders schon habe laufen gesehen). Also doch wie immer - neuen Server installieren und dann die Domänen Stück-für-Stück umziehen. [[Benutzer:BLinz|Bernhard Linz]]
----
'''25.06.2020''' 
[[Datei:MFA_Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "MFA technical Certification" der Firma WatchGuard abgeschlossen. Es geht um die [https://www.watchguard.com/de/wgrd-products/authpoint-multi-factor-authentication MFA Lösung AuthPoint der Firma WatchGuard] - bei der Vorbereitung war hilfreich das ich MFA schon länger auch privat für den Schutz meiner Zugänge einsetze. Unter anderem [https://duo.com/ duo.com] für RDP da es bis 10 Personen auch kostenlos genutzt werden kann. WatchGuard ist - aus meiner Sicht - mehr pures MFA, DUO hat dafür quasi jeden Anwendungsfall eine eigene Anleitung und geht tiefer auf die Endgeräte ein. Wobei z.B. eine nicht aktuelle Android-Version ständig angemeckert wird.
[[Benutzer:BLinz|Bernhard Linz]]
----
'''26.04.2020''' 
Stromkosten: Auch ich sitze nun mehr im Homeoffice. Und in meinem Kellerbüro habe ich meinen Rechner hinter mir - und einen 40HE Datenschrank im Blick vor mir. Mit den Tagen ging mir zum einen der Lärm der ganzen Lüfter irgendwann auf den Kecks. Und den Stromverbrauch (den ich bis dato aber nicht gemessen habe) wollte ich auch senken. Den Verbrauch der Switche kannte ich durch Einzelmessungen, der lag bei ca. 100 Watt (für 48 Gigabit Ports + 6 PoE Ports). Diesen habe ich durch einen neuen Switch Allnet-SG8428M (13 Watt maximal!) und einen sparsameren PoE Sitch für die Telefone und Kameras stark reduziert. Zeitgleich habe ich mit Gosund SP111 WLAN-Steckdosenschaltern herumgespielt. Mit der Tasmota Firmware und einer Kalibrierung taugen diese scheinbar auch ganz gut als Strommessgeräte. 
Ich hab nun also meinen Datenschrank zu Hause daran gehängt und musste ernüchternd einen Dauerstromverbrauch von 140 bis 150 Watt feststellen. 
* 44 Watt davon gehen für PoE drauf - 5 Cisco Telefone und 2 IP-Kameras. 
* 16 Watt maximal für die beiden anderen Switche (der ALLNET und ein 16 Port Netgear)
* 9 Watt mein ESXi Server auf Basis eines APU2C4 von PC Engines (inklusive 2TB USB Festplatte daran)
* um die 20 Watt schätze ich die beiden FritzBoxen ...
* bleiben ca. 89 Watt für meinen Heimserver - mit 2x 128GB SSD und 4 x 4TB HDD
* und die USV wird da mit Ihrem Eigenanteil auch irgendwo dazwischen liegen
Wenn ich den Verbrauch mal in einen Kostenrechner werfe: 
:[[Datei:ClipCapIt-200426-192323.PNG]] 
:(erstellt mit [https://www.stromverbrauchinfo.de/stromkostenrechner.php stromverbrauch info]) 
weis ich nun auch warum wir immer so eine fette Stromrechnung habe. Als 4 Personenhaushalt verbrauchen wir soviel wie einer mit 8. Und dabei habe ich doch gerade schon soviel eingespart ... 
Ich werde das nun - dank mit Zabbix überwachten Strom/Leistungsverbrauch mal besser beobachten und schauen wie ich da in Zukunft noch mehr einsparen kann. 
Jedes Watt sind 2,60 €/Jahr oder 22 Cent/Monat - klingt nicht viel aber wie man sieht läppert es sich. 
Mal sehen wie der Durchschnitt nach einem Monat ist. Nachts schaltet sich z.B. die Beleuchtung der IP-Telefone ab was schon 10 Watt spart. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''14.04.2020''' 
Mit gewissen Stolz habe ich meine Version eines "Active Directory-Gruppe mit Zabbix Benutzern Abgleichen via LDAP" Skriptes fertiggstellt: 
https://github.com/BernhardLinz/zabbix-ldap-sync-bash
Wer nach so etwas googelt landet quasi ausschließlich bei dem von Marc Schöchlin geschriebenen Python Script: https://github.com/zabbix-tooling/zabbix-ldap-sync 
An dem haben mich aber schon immer die ganzen Abhängigkeiten gestört wie '''pyldap''' oder '''pyzabbix'''. Ich hab nun mal leider auch Kunden mit Systemen ohne Internetanbindung oder älteren Linux Versionen - und da ist es schwer diese zu erfüllen. 
Mein Skript ist "pures" Bash. Es wird nur der Befehl '''ldapsearch''' und '''curl''' benötigt - und bisher waren die in allen Repositories der Distributionen vorhanden. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''03.04.2020''' 
Ich nutze nun [https://www.google.com/search?q=tripwire+ubuntu Tripwire] um meinen Webserver zu überwachen. Gefällt mir sehr gut, man muss nur daran denken nach jeden Update oder Änderung die Datenbank wieder auf Stand zu bringen. Ich bekomme im Moment jeden Tag einen Email-Report dazu - da muss ich noch mal schauen wir ich das in Zabbix unterbringe bzw. mir nur eine mail senden lasse wenn auch etwas ansteht. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Noch ein Nachtrag zum "Angriff": zwischendurch fehlten auf dem Server 16G an Speicherplatz. 
Gemerkt habe ich das mit Zabbix weil dadurch ein Schwellwert erst unter- und dann wieder überschritten wurde. 
Die 16G waren das <code>error.log</code> für die Domäne '''znil.net'''. Darin fand ich jede Menge Fehlermeldung das versucht wurde <code>\bin\bash</code> zu starten - was aber nun mal nicht erlaubt ist. 
Bin im Moment gerade glücklich darüber das ich jede Domäne / Webseite / Subdomäne unter einem eigenen, eingeschränkten Benutzer laufen lasse. 
Das mache ich nicht von Hand sondern per ISPConfig weil ich faul bin. Funktioniert aber scheinbar ja prima. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Also, wenn ich so ein Online-Tool nutze um meine Webseite zu überprüfen dann melden diese ggf. (nicht immer) eine "SQL-Injection" Lücke in meiner Kommentarfunktion. 
Und zwar weil wohl dann gängige Test-SQL-Abfragen mit gesendet werden. 
Das Senden erfolgt via JavaScript im Browser des Benutzers, der Empfänger ist das PHP-Skript auf dem Server. 
In der letzten Version dieses Skriptes (angepasst von mir) gibt es keine Filter mehr, er nimmt einfach alles an. Früher habe ich dort auf Viagra & Co gefiltert. 
Aber der Teil darunter der dann den Text in die Datenbank schreibt ist wohl ausreichend gefestigt - er schreibt einfach alles was kommt in den Datensatz der Datenbank. Die SQL-Injections tauchen so einfach als Text im Kommentarfeld auf, werden aber nicht ausgeführt. Also alles gut Denke ich. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Angriff auf diese Webseite: 
In der Nacht von gestern auf heute hat jemand versucht per SQL-Injektion sich Zugriff auf diese Webseite zu verschaffen. 
"Schwachstelle" ist die Kommentarfunktion. Ein Online-Scurity-Scanner hatte mir diese bereits mal als anfällig dafür gemeldet. 
Da ich die Mediawiki-Extension überarbeitet hatte, habe ich umfangreiche "Suchen und Erstzen"-Regeln erstellt die alles was mit SQL zu tun hat ausfiltert. 
Deshalb sehen manche Kommentare hier dann komisch aus. 
Ich prüfe mal das System intensiv ob die Abwehr erfolgreich war ... oder ob ich doch ein Backup wieder einspiele. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''25.02.2020''' 
znil.net weiterhin "Tracker-frei". 
Ich nutze Matomo (ehemals Piwik) um Statistiken für diese Webseite zu erhalten. Eigentlich mehr aus Neugier um zu sehen wie das funktioniert, es hat mir aber auch schon bei Verbesserungen geholfen da man manchmal recht gut erkennen kann wenn die Leute bei Suchanfragen falsch abbiegen. 
Ich hab in einem meiner Browser seit einiger Zeit ein "Anti-Tracking-Tool" installiert weil dadurch sich die Ladezeiten bei einer meiner Lieblingwebseiten dramatisch verbessert haben (https://thingiverse.com). Voller Freude sehe ich das ich wohl alles richtig gemacht habe - denn das Tool zeigt mir bei dieser Seite an das es nicht zu blockieren gibt. Alles bleibt also innerhalb dieser Seite. Siehe auch: [https://znil.net/index.php?title=Znilwiki:Impressum#Datenschutzerkl.C3.A4rung Datenschutzerklärung] 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.02.2020''' 
Sieht nicht nach Leben aus wenn sich die Startseite nie ändert - ich muss noch mal wieder nach einer Mediawiki-Extension schauen welche die neuesten Artikel hier präsentiert. 
Hatte ich schon mal, funktionierte nach einem Update nur nicht mehr. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''04.07.2019''' 
Diese Seite ab sofort nur noch über '''''https://''''' zu erreichen - die meisten Aufrufe kamen sowieso schon darüber. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''08.06.2019''' 
Die Mediawiki-Installation ist nun auf 1.13.2 aktulisiert - einige potentielle Sicherheitslücken wurden geschlossen. Hier der Artikel dazu: https://lists.wikimedia.org/pipermail/mediawiki-announce/2019-June/000230.html 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''25.05.2019''' 
Wenn man nicht alles testet ... die Kommentarfunktion war ohne "Funktion". 
Zum Glück ist es eine Erweiterung die noch gepflegt wird, ich habe mir die neue Version herunter geladen und wieder an diese Webseite angepasst: https://git.znil.net/mediawiki/Comments 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.05.2019''' 
[[Datei:WG Network Security Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "Network Security Technical Certification" der Firma WatchGuard abgeschlossen.
Ich hatte auch schon mal leichtere Prüfungen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''14.05.2019''' 
Das Wiki ist wieder einmal umgezogen. Statt auf einem Server in Frankreich läuft es nun auf einem Server in Deutschland - vielen Dank an meinen Arbeitgeber. 
Im gleichen Atemzug habe ich von der Mediawiki-Version 1.27 LTS auf die Version 1.31 LTS gewechselt - der Support läuft im Juni aus und 1.31 bietet nun wieder Updates bis Juni 2021. 
Dabei ist leider die '''WikiLog'''-Erweiterung auf der Strecke geblieben, diese ist nicht mehr kompatibel und wird auch schon länger nicht mehr weiter einwickelt. 
Also mache ich das jetzt von Hand ... 
[[Benutzer:BLinz|Bernhard Linz]]
</div>
</div>
 
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_ocean"><big>'''Wie ist <del>meine</del> deine IP-Adresse?'''</big></div>
<div class="mainpage_boxcontents" style="font-family:'Courier New', Monospace; background: #FFFFCC;">
{|
|-
| style="width: 70%; background-color: #FFFFCC"|<big>
'''IP :''' <ClientIP /> 
'''Typ:''' <IPv4orv6 /> 
'''DNS:''' <ClientName /> </big>
|| Ermittelt mit den PHP-Funktionen dafür
|}
</div>
 


<div class="mainpage_boxtitle_blue"><big>'''Tools - Kleine Programme für Batchdateien und anderes'''</big></div>
<div class="mainpage_boxcontents">
* [[ZnilTools:ifmemberDELUXE.exe|ifmemberDELUXE]] - Netzlaufwerke und Netzwerkdrucker in Anmeldeskripten verbinden
* [[ZnilTools:Telnet_SMTP_Test_Tool|Telnet_SMTP_Test_Tool.exe]] - Grafische Oberfläche für den Test von SMTP-Servern per Telnet
* [[Zabbix:Template Windows Dateien und Ordner]] - Überwachung mit vielen Beispielen
* [[Host per Popup-Skript aus der Zabbix-Server Weboberfläche in Wartung setzen]]
* [[Calibre eBook MultiUser Tool / Funktion]] - Calibre mit mehreren Benutzern gleichzeitig nutzen
</div>
 


<div class="mainpage_boxtitle_black"><big>'''Die letzten Änderungen'''</big></div>
<div class="mainpage_boxcontents">

{{Special:RecentChanges/days=365,limit=10,hidebots,hideminor,hidecategorization}}
</div>
 
<div class="mainpage_boxtitle_grey"><big>'''[[Spezial:Statistik|Informationen]] zum znilwiki, Stand {{CURRENTDAY2}}.{{CURRENTMONTH}}.{{CURRENTYEAR}} um {{LOCALTIME}} Uhr:'''</big></div>
<div class="mainpage_boxcontents">

* Dieses Wiki enthält '''{{NUMBEROFPAGES}}''' Seiten, zusammengefasst in '''{{NUMBEROFARTICLES}}''' Themen... 
* Die Beiträge wurden '''{{NUMBEROFEDITS}}''' mal bearbeitet (inklusive der Erstellung)
* Dieses Wiki wurde laut Matomo schon so oft besucht: <html><img src="https://znil.net/piwik/index.php?module=ClassicCounter&action=svg&idSite=1" width="180" height="43"></html>

* MediaWiki-Version: '''{{CURRENTVERSION}}''' - siehe auch [[Spezial:Version]]


<div style="text-align: right;">[[Testbereich|.]][[Testbereich:Seite2|.]][[Testbereich:Seite3|.]][[Testbereich:Seite4|π]]</div>
</div>

</div>
</div>

Ufw Geoblocking mit Ubuntu 24.04

2026-06-07T20:36:08Z

BLinz: /* Blocking in Firewallregeln einbauen */

==Vorwort==
Unter Apache2 nutze ich ein Geoblocking - ich habe aber nach einer Möglichkeit gesucht, das ganz schon vor dem Apache zu blockieren (und mir die Logeinträge dafür damit zu sparen). 
Dafür habe ich diese Anleitung gefunden: 
https://www.seenlyst.com/blog/geo-blocking-ufw-iptables/
Die aber für Ubuntu 20.04 geschrieben wurde und so nicht mehr funktioniert. 
Ich habe die Fehler und Änderungen herausgesucht und hier ist meine Version des Artikels: 
 
----
==Zum root wechseln==
Ich wechsle einmal am Anfang zum {{code|root}}, alle nachfolgenden Befehle werden also als dieser ausgeführt! 
sudo -i
 
----

==Voraussetzungen installieren==
apt update -y
apt upgrade -y
apt install curl perl unzip xtables-addons-common libtext-csv-xs-perl libmoosex-types-netaddr-ip-perl
 
----
==Verzeichnis für unsere Daten erstellen==
mkdir -p /usr/share/xt_geoip
 
----
==Downloadskript erstellen==
nano /usr/local/bin/update-geoip.sh
mit folgendem Inhalt:
<source lang="bash">
#!/bin/bash

# Create temporary directory
mkdir -p /usr/share/xt_geoip/tmp/
mkdir -p /usr/share/xt_geoip/tmp/ip2loc/

# Download latest from db-ip.com
cd /usr/share/xt_geoip/tmp/
/usr/libexec/xtables-addons/xt_geoip_dl

# Download maxmind legacy csv and process
wget https://mailfud.org/geoip-legacy/GeoIP-legacy.csv.gz -O /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz
gunzip /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz
cat /usr/share/xt_geoip/tmp/GeoIP-legacy.csv | tr -d '"' | cut -d, -f1,2,5 > /usr/share/xt_geoip/tmp/GeoIP-legacy-processed.csv
rm /usr/share/xt_geoip/tmp/GeoIP-legacy.csv
# rm /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz

# Download latest from https://github.com/sapics/ip-location-db
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geo-whois-asn-country/geo-whois-asn-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geo-whois-asn-country/geo-whois-asn-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/iptoasn-country/iptoasn-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/iptoasn-country/iptoasn-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/dbip-country/dbip-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/dbip-country/dbip-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geolite2-country/geolite2-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geolite2-country/geolite2-country-ipv6.csv

# Combine all csv and remove duplicates
cd /usr/share/xt_geoip/tmp/
cat *.csv > geoip.csv
sort -u geoip.csv -o /usr/share/xt_geoip/dbip-country-lite.csv

# Remove temp directory and update geoip xtables
cd /usr/share/xt_geoip/
rm -r /usr/share/xt_geoip/tmp/
/usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip/ -i /usr/share/xt_geoip/dbip-country-lite.csv
rm /usr/share/xt_geoip/dbip-country-lite.csv

# reload ufw
ufw reload
</source>
Das Skript noch ausführbar machen und testen: 
chmod +x /usr/local/bin/update-geoip.sh
/usr/local/bin/update-geoip.sh
 
----
==Blocking in Firewallregeln einbauen==
nano /etc/ufw/before.rules
und unten vor dem {{code|COMMIT}} in der letzten Zeile folgendes einfügen: 
#GeoBlocking
-A ufw-before-input -m geoip --src-cc RU,CN,HK -j DROP
Das gleiche für IPv6: 
nano /etc/ufw/before6.rules
und unten das hier einfügen (ist nicht das gleiche wie bei IPv4!)
#GeoBlocking
-A ufw6-before-input -m geoip --src-cc RU,CN,HK -j DROP
Damit ist Russland (RU), China (CN) und Hongkong (HK) für alles gesperrt!
Die passenden Ländercodes findet Ihr hier (erste Spalte): 
https://de.wikipedia.org/wiki/ISO-3166-1-Kodierliste
 
----

==Regel aktivieren==
ufw reload
Gibt es dabei eine Fehler, so ist die Firewall ausgeschaltet!
In der Fehlermeldung wird die Datei und die Zeile stehen in der etwas falsch ist. 
Korrigieren und dann die Firewall mit
ufw enable
ufw reload
neu starten und die Regeln prüfen!
 
----
==Beispiele für weitere Regeln==
{{code|/etc/ufw/before.rules}}
-A ufw-before-input -p tcp --dport 3000 -m geoip --src-cc RU,CN -j DROP
{{code|/etc/ufw/before6.rules}}
-A ufw6-before-input -p tcp --dport 3000 -m geoip --src-cc RU,CN -j DROP
Sperrt TCP Datenverkehr auf Port 3000 für RU und CN
 
----
==Cronjob erstellen==
Einmal im Monat sollte man die Geodaten aktualisieren: 
Kommt noch - es muss das Skript einfach noch einmal gestartet werden
 
----

==Kommentare==
<comments />

Ufw Geoblocking mit Ubuntu 24.04

2026-06-07T20:34:41Z

BLinz: /* Vorwort */

==Vorwort==
Unter Apache2 nutze ich ein Geoblocking - ich habe aber nach einer Möglichkeit gesucht, das ganz schon vor dem Apache zu blockieren (und mir die Logeinträge dafür damit zu sparen). 
Dafür habe ich diese Anleitung gefunden: 
https://www.seenlyst.com/blog/geo-blocking-ufw-iptables/
Die aber für Ubuntu 20.04 geschrieben wurde und so nicht mehr funktioniert. 
Ich habe die Fehler und Änderungen herausgesucht und hier ist meine Version des Artikels: 
 
----
==Zum root wechseln==
Ich wechsle einmal am Anfang zum {{code|root}}, alle nachfolgenden Befehle werden also als dieser ausgeführt! 
sudo -i
 
----

==Voraussetzungen installieren==
apt update -y
apt upgrade -y
apt install curl perl unzip xtables-addons-common libtext-csv-xs-perl libmoosex-types-netaddr-ip-perl
 
----
==Verzeichnis für unsere Daten erstellen==
mkdir -p /usr/share/xt_geoip
 
----
==Downloadskript erstellen==
nano /usr/local/bin/update-geoip.sh
mit folgendem Inhalt:
<source lang="bash">
#!/bin/bash

# Create temporary directory
mkdir -p /usr/share/xt_geoip/tmp/
mkdir -p /usr/share/xt_geoip/tmp/ip2loc/

# Download latest from db-ip.com
cd /usr/share/xt_geoip/tmp/
/usr/libexec/xtables-addons/xt_geoip_dl

# Download maxmind legacy csv and process
wget https://mailfud.org/geoip-legacy/GeoIP-legacy.csv.gz -O /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz
gunzip /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz
cat /usr/share/xt_geoip/tmp/GeoIP-legacy.csv | tr -d '"' | cut -d, -f1,2,5 > /usr/share/xt_geoip/tmp/GeoIP-legacy-processed.csv
rm /usr/share/xt_geoip/tmp/GeoIP-legacy.csv
# rm /usr/share/xt_geoip/tmp/GeoIP-legacy.csv.gz

# Download latest from https://github.com/sapics/ip-location-db
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geo-whois-asn-country/geo-whois-asn-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geo-whois-asn-country/geo-whois-asn-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/iptoasn-country/iptoasn-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/iptoasn-country/iptoasn-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/dbip-country/dbip-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/dbip-country/dbip-country-ipv6.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geolite2-country/geolite2-country-ipv4.csv
wget -P /usr/share/xt_geoip/tmp/ https://cdn.jsdelivr.net/npm/@ip-location-db/geolite2-country/geolite2-country-ipv6.csv

# Combine all csv and remove duplicates
cd /usr/share/xt_geoip/tmp/
cat *.csv > geoip.csv
sort -u geoip.csv -o /usr/share/xt_geoip/dbip-country-lite.csv

# Remove temp directory and update geoip xtables
cd /usr/share/xt_geoip/
rm -r /usr/share/xt_geoip/tmp/
/usr/libexec/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip/ -i /usr/share/xt_geoip/dbip-country-lite.csv
rm /usr/share/xt_geoip/dbip-country-lite.csv

# reload ufw
ufw reload
</source>
Das Skript noch ausführbar machen und testen: 
chmod +x /usr/local/bin/update-geoip.sh
/usr/local/bin/update-geoip.sh
 
----
==Blocking in Firewallregeln einbauen==
nano /etc/ufw/before.rules
und unten vor dem {{code|COMMIT}} in der letzten Zeile folgendes einfügen: 
#GeoBlocking
-A ufw-before-input -m geoip --src-cc RU,CN,HK -j DROP
Das gleiche für IPv6: 
nano /etc/ufw/before6.rules
und unten das hier einfügen (ist nicht das gleiche wie bei IPv4!)
#GeoBlocking
-A ufw6-before-input -m geoip --src-cc RU,CN,HK -j DROP
Damit ist Russland (RU), China (CN) und Hongkong (HK) für alles gesperrt!
 
----
==Regel aktivieren==
ufw reload
Gibt es dabei eine Fehler, so ist die Firewall ausgeschaltet!
In der Fehlermeldung wird die Datei und die Zeile stehen in der etwas falsch ist. 
Korrigieren und dann die Firewall mit
ufw enable
ufw reload
neu starten und die Regeln prüfen!
 
----
==Beispiele für weitere Regeln==
{{code|/etc/ufw/before.rules}}
-A ufw-before-input -p tcp --dport 3000 -m geoip --src-cc RU,CN -j DROP
{{code|/etc/ufw/before6.rules}}
-A ufw6-before-input -p tcp --dport 3000 -m geoip --src-cc RU,CN -j DROP
Sperrt TCP Datenverkehr auf Port 3000 für RU und CN
 
----
==Cronjob erstellen==
Einmal im Monat sollte man die Geodaten aktualisieren: 
Kommt noch - es muss das Skript einfach noch einmal gestartet werden
 
----

==Kommentare==
<comments />

Ufw Limit gegen Überlastung einstellen

2026-06-07T14:55:45Z

BLinz: /* Eigene Limits statt 6 Versuche in 30 Sekunden setzen */

'''Changelog:''' 
* 07.06.2026 erste Version
----
==Vorwort==
Neulich hatte ich das Problem das mein Webserver auf dem diese Webseite läuft ständig auf 100% CPU lief. 
Mit {{code|htop}} konnte ich sehen das es die Prozesse für diese Webseite hier sind (jede meiner Webseiten / Subdomain läuft unter einem eigenen Benutzer). 
Im {{code|acccess.log}} konnte ich viele Zugriffe von verschiedenen IP-Adressen sehen. 
Per Einzeiler
tail -n 10000 /weg/zu/dem/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
zeigt die Top-Adressen der letzten 10.000 Logzeilen. 
Im Gegensatz zu früher war es diesmal aber ziemlich verteilt über die Welt. Die Aufrufe an mein Wiki waren dabei maximal Belastend - es wurde Änderungen für bestimmt Zeiträume abgefragt oder vorherige Versionen usw. 
Das übliche Sperren von 1 bis 2 IP-Adressen wirkte hier also nicht. 
Ich hatte diverse Dinge ausprobiert, was funktionierte war die Begrenzung der Anzahl der Verbindungen pro IP-Adresse. 
 
 
----
==Die ufw-Regel==
sudo ufw limit proto tcp from any to any port 80
sudo ufw limit proto tcp from any to any port 443
Dadurch wird automatisch jede IP-Adresse blockiert die versucht, mehr als 6 Verbindungen innerhalb von 30 Sekunden aufzubauen. 
Erfolgt mehr als 30 Sekunden kein Zugriff von der IP, wird diese wieder freigegeben. 
Zuschauen kann man dabei im Log: 
tail -n 100 -F /var/log/ufw.log
 
 
----
==Adressen oder IP-Blöcke whitelisten==
sudo ufw allow from 192.168.0.10
nimmt die {{code|192.168.0.10}} aus allen Regeln heraus, per 
udo ufw allow from 192.168.0.0/24
auch ein ganzes Netzwerksegment. 
 
 
----
==ufw-Regel wieder löschen==
sudo ufw delete limit proto tcp from any to any port 80
sudo ufw delete limit proto tcp from any to any port 443
 
 
----
==Eigene Limits statt 6 Versuche in 30 Sekunden setzen==
Einen direkten Befehl eigene Limits zu setzen als die 6 Versuche in 30 Sekunden gibt es nicht. 
Man muss die Regel zunächst erstellen und dann die folgende Datei bearbeiten: 
sudo nano /etc/ufw/user.rules
In der Datei müsste irgendwo ein Abschnitt ähnlich wie diesem hier stehen (2x einmal für Port 80 und einmal für Port 443): 
### tuple ### limit tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 80 -m conntrack --ctstate NEW -m recent --set
-A ufw-user-input -p tcp --dport 80 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 -j ufw-user-limit
-A ufw-user-input -p tcp --dport 80 -j ufw-user-limit-accept

### tuple ### limit tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --set
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 -j ufw-user-limit
-A ufw-user-input -p tcp --dport 443 -j ufw-user-limit-accept
Wonach Ihr suchen könnt ist {{code|--seconds 30}} und/oder {{code|--hitcount 6}}, bei {{code|--dport}} sollte 80 oder 443 stehen. 
Die beiden Werte passt Ihr einfach an, speichert die Datei und lasst diese per 
sudo ufw reload
neu einlesen. 
{{Hinweis|Bei {{code|--hitcount}} ist normalerweise ab Werk im Kernel auf maximal 20 begrenzt!}}
 
 
----

==Kommentare==
<comments />

Ufw Limit gegen Überlastung einstellen

2026-06-07T14:52:11Z

BLinz: /* Eigene Limits statt 6 Versuche in 30 Sekunden setzen */

'''Changelog:''' 
* 07.06.2026 erste Version
----
==Vorwort==
Neulich hatte ich das Problem das mein Webserver auf dem diese Webseite läuft ständig auf 100% CPU lief. 
Mit {{code|htop}} konnte ich sehen das es die Prozesse für diese Webseite hier sind (jede meiner Webseiten / Subdomain läuft unter einem eigenen Benutzer). 
Im {{code|acccess.log}} konnte ich viele Zugriffe von verschiedenen IP-Adressen sehen. 
Per Einzeiler
tail -n 10000 /weg/zu/dem/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
zeigt die Top-Adressen der letzten 10.000 Logzeilen. 
Im Gegensatz zu früher war es diesmal aber ziemlich verteilt über die Welt. Die Aufrufe an mein Wiki waren dabei maximal Belastend - es wurde Änderungen für bestimmt Zeiträume abgefragt oder vorherige Versionen usw. 
Das übliche Sperren von 1 bis 2 IP-Adressen wirkte hier also nicht. 
Ich hatte diverse Dinge ausprobiert, was funktionierte war die Begrenzung der Anzahl der Verbindungen pro IP-Adresse. 
 
 
----
==Die ufw-Regel==
sudo ufw limit proto tcp from any to any port 80
sudo ufw limit proto tcp from any to any port 443
Dadurch wird automatisch jede IP-Adresse blockiert die versucht, mehr als 6 Verbindungen innerhalb von 30 Sekunden aufzubauen. 
Erfolgt mehr als 30 Sekunden kein Zugriff von der IP, wird diese wieder freigegeben. 
Zuschauen kann man dabei im Log: 
tail -n 100 -F /var/log/ufw.log
 
 
----
==Adressen oder IP-Blöcke whitelisten==
sudo ufw allow from 192.168.0.10
nimmt die {{code|192.168.0.10}} aus allen Regeln heraus, per 
udo ufw allow from 192.168.0.0/24
auch ein ganzes Netzwerksegment. 
 
 
----
==ufw-Regel wieder löschen==
sudo ufw delete limit proto tcp from any to any port 80
sudo ufw delete limit proto tcp from any to any port 443
 
 
----
==Eigene Limits statt 6 Versuche in 30 Sekunden setzen==
Einen direkten Befehl eigene Limits zu setzen als die 6 Versuche in 30 Sekunden gibt es nicht. 
Man muss die Regel zunächst erstellen und dann die folgende Datei bearbeiten: 
sudo nano /etc/ufw/user.rules
In der Datei müsste irgendwo ein Abschnitt ähnlich wie diesem hier stehen (2x einmal für Port 80 und einmal für Port 443): 
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --set --name ufwlimit_443 --rsource
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 --name ufwlimit_443 --rsource -j ufw-user-limit
Wonach Ihr suchen könnt ist {{code|--seconds 30}} und/oder {{code|--hitcount 6}}, bei {{code|--dport}} sollte 80 oder 443 stehen. 
Die beiden Werte passt Ihr einfach an, speichert die Datei und lasst diese per 
sudo ufw reload
neu einlesen. 
{{Hinweis|Bei {{code|--hitcount}} ist normalerweise ab Werk im Kernel auf maximal 20 begrenzt!}}
 
 
----

==Kommentare==
<comments />

Ufw Limit gegen Überlastung einstellen

2026-06-07T14:50:28Z

BLinz: /* Eigene Limits statt 6 Versuche in 30 Sekunden setzen */

'''Changelog:''' 
* 07.06.2026 erste Version
----
==Vorwort==
Neulich hatte ich das Problem das mein Webserver auf dem diese Webseite läuft ständig auf 100% CPU lief. 
Mit {{code|htop}} konnte ich sehen das es die Prozesse für diese Webseite hier sind (jede meiner Webseiten / Subdomain läuft unter einem eigenen Benutzer). 
Im {{code|acccess.log}} konnte ich viele Zugriffe von verschiedenen IP-Adressen sehen. 
Per Einzeiler
tail -n 10000 /weg/zu/dem/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
zeigt die Top-Adressen der letzten 10.000 Logzeilen. 
Im Gegensatz zu früher war es diesmal aber ziemlich verteilt über die Welt. Die Aufrufe an mein Wiki waren dabei maximal Belastend - es wurde Änderungen für bestimmt Zeiträume abgefragt oder vorherige Versionen usw. 
Das übliche Sperren von 1 bis 2 IP-Adressen wirkte hier also nicht. 
Ich hatte diverse Dinge ausprobiert, was funktionierte war die Begrenzung der Anzahl der Verbindungen pro IP-Adresse. 
 
 
----
==Die ufw-Regel==
sudo ufw limit proto tcp from any to any port 80
sudo ufw limit proto tcp from any to any port 443
Dadurch wird automatisch jede IP-Adresse blockiert die versucht, mehr als 6 Verbindungen innerhalb von 30 Sekunden aufzubauen. 
Erfolgt mehr als 30 Sekunden kein Zugriff von der IP, wird diese wieder freigegeben. 
Zuschauen kann man dabei im Log: 
tail -n 100 -F /var/log/ufw.log
 
 
----
==Adressen oder IP-Blöcke whitelisten==
sudo ufw allow from 192.168.0.10
nimmt die {{code|192.168.0.10}} aus allen Regeln heraus, per 
udo ufw allow from 192.168.0.0/24
auch ein ganzes Netzwerksegment. 
 
 
----
==ufw-Regel wieder löschen==
sudo ufw delete limit proto tcp from any to any port 80
sudo ufw delete limit proto tcp from any to any port 443
 
 
----
==Eigene Limits statt 6 Versuche in 30 Sekunden setzen==
Einen direkten Befehl eigene Limits zu setzen als die 6 Versuche in 30 Sekunden gibt es nicht. 
Man muss die Regel zunächst erstellen und dann die folgende Datei bearbeiten: 
sudo nano /etc/ufw/user.rules
In der Datei müsste irgendwo ein Abschnitt ähnlich wie diesem hier stehen (2x einmal für Port 80 und einmal für Port 443): 
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --set --name ufwlimit_443 --rsource
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 --name ufwlimit_443 --rsource -j ufw-user-limit
Wonach Ihr suchen könnt ist {{code|--seconds 30}} und/oder {{code|--hitcount 6}}, bei {{code|--dport}} sollte 80 oder 443 stehen. 
Die beiden Werte passt Ihr einfach an, speichert die Datei und lasst diese per 
sudo ufw reload
neu einlesen. 
 
 
----

==Kommentare==
<comments />

Ufw Limit gegen Überlastung einstellen

2026-06-07T14:49:38Z

BLinz: Die Seite wurde neu angelegt: „'''Changelog:''' * 07.06.2026 erste Version ---- ==Vorwort== Neulich hatte ich das Problem das mein Webserver auf dem diese Webseite läuft ständig auf 100% CPU lief. Mit {{code|htop}} konnte ich sehen das es die Prozesse für diese Webseite hier sind (jede meiner Webseiten / Subdomain läuft unter einem eigenen Benutzer). Im {{code|acccess.log}} konnte ich viele Zugriffe von verschiedenen IP-Adressen sehen. Per Einzeiler tail -n…“

'''Changelog:''' 
* 07.06.2026 erste Version
----
==Vorwort==
Neulich hatte ich das Problem das mein Webserver auf dem diese Webseite läuft ständig auf 100% CPU lief. 
Mit {{code|htop}} konnte ich sehen das es die Prozesse für diese Webseite hier sind (jede meiner Webseiten / Subdomain läuft unter einem eigenen Benutzer). 
Im {{code|acccess.log}} konnte ich viele Zugriffe von verschiedenen IP-Adressen sehen. 
Per Einzeiler
tail -n 10000 /weg/zu/dem/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 20
zeigt die Top-Adressen der letzten 10.000 Logzeilen. 
Im Gegensatz zu früher war es diesmal aber ziemlich verteilt über die Welt. Die Aufrufe an mein Wiki waren dabei maximal Belastend - es wurde Änderungen für bestimmt Zeiträume abgefragt oder vorherige Versionen usw. 
Das übliche Sperren von 1 bis 2 IP-Adressen wirkte hier also nicht. 
Ich hatte diverse Dinge ausprobiert, was funktionierte war die Begrenzung der Anzahl der Verbindungen pro IP-Adresse. 
 
 
----
==Die ufw-Regel==
sudo ufw limit proto tcp from any to any port 80
sudo ufw limit proto tcp from any to any port 443
Dadurch wird automatisch jede IP-Adresse blockiert die versucht, mehr als 6 Verbindungen innerhalb von 30 Sekunden aufzubauen. 
Erfolgt mehr als 30 Sekunden kein Zugriff von der IP, wird diese wieder freigegeben. 
Zuschauen kann man dabei im Log: 
tail -n 100 -F /var/log/ufw.log
 
 
----
==Adressen oder IP-Blöcke whitelisten==
sudo ufw allow from 192.168.0.10
nimmt die {{code|192.168.0.10}} aus allen Regeln heraus, per 
udo ufw allow from 192.168.0.0/24
auch ein ganzes Netzwerksegment. 
 
 
----
==ufw-Regel wieder löschen==
sudo ufw delete limit proto tcp from any to any port 80
sudo ufw delete limit proto tcp from any to any port 443
 
 
----
==Eigene Limits statt 6 Versuche in 30 Sekunden setzen==
Einen direkten Befehl eigene Limits zu setzen als die 6 Versuche in 30 Sekunden gibt es nicht. 
Man muss die Regel zunächst erstellen und dann die folgende Datei bearbeiten: 
sudo nano /etc/ufw/user.rules
In der Datei müsste irgendwo ein Abschnitt ähnlich wie diesem hier stehen: 
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --set --name ufwlimit_443 --rsource
-A ufw-user-input -p tcp --dport 443 -m conntrack --ctstate NEW -m recent --update --seconds 30 --hitcount 6 --name ufwlimit_443 --rsource -j ufw-user-limit
Wonach Ihr suchen könnt ist {{code|--seconds 30}} und/oder {{code|--hitcount 6}}, bei {{code|--dport}} sollte 80 oder 443 stehen. 
Die beiden Werte passt Ihr einfach an, speichert die Datei und lasst diese per 
sudo ufw reload
neu einlesen. 
 
 
----
==Kommentare==
<comments />

Linux

2026-06-07T14:34:09Z

BLinz: /* ufw Firewall */

[[Kategorie:Linux]]
== Allgemeines ==
* [[ARP Cache unter Linux löschen]]
* [[root wieder aktivieren / Anmelden als Root bei Ubuntu & Co.]]
* [[root wieder aktivieren / Anmelden als Root per SSH Ubuntu 14.04]]
* [[Robocopy unter Linux?]]
* grep, sed und awk: http://unix.stackexchange.com/questions/42047/cut-grep-and-df-h
* [[Links unter Linux setzen - Harte und Symbolische]]
* [http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022525 VMware Tools unter Linux installieren (Ubuntu)]
* [[init.d Script in den automatischen Start/Stop mit aufnehmen]]
* [[Mini Benchmark mit bc - Vergleich Root Server]]
* [[Linux - Windows Freigabe automatisch beim Booten mounten]] (Ubuntu 12.04 LTS)
* [[Linux - Ubuntu 14.04. Windows Freigabe mounten - beim Booten automatisch mounten]]
* [[Linux - Festplatten / Dateisystem überprüfen beim reboot]]
* [[fsck.vfat not found - keine Überprüfung von FAT Datenträgern]]
* [[Verzeichnisgröße abfragen in der Bash Shell - Ordnergröße]]
* [[Linux Dateimanager wie Windows Explorer]]
* [[ssh scp ohne Passwort Passworteingabe einrichten]]
* [[Ubuntu Bash sudo ohne Passworteingabe]]
* [[Ubuntu installierte Pakete]]
* Hilfe zu regulären Ausdrücken:
** http://www.regexe.de/hilfe.jsp
** https://www.strassenprogrammierer.de/regular-expression-regex-praxis_tipp_597.html
* Ubuntu 18.04 IPv6 deaktivieren: https://linuxconfig.org/how-to-disable-ipv6-address-on-ubuntu-18-04-bionic-beaver-linux
* Nach Infektion / Rootkits suchen: https://www.tecmint.com/scan-linux-for-malware-and-rootkits/
* [[Bash History aus mehreren Sitzungen ohne überschreiben]]
* [[Linux main binary-i386 Packages wird übersprungen]]
* [[Linux Ubuntu MBR Datenträger in GPT Datenträger umwandeln kein LVM]]
* [[Linux leere Datei erzeugen mit zufälligen oder leeren Inhalt]]
* [[Linux systemd Dienst warten bis Mount erfolgt ist NFS Gluster SMB]]
* https://www.silvesterlangen.de/?Linux___%2BGrundlagen_und_Diverses___UID%2FGID_und_Dateien_eines_Users_aendern
* [[Ubuntu automatischen Neustart von Diensten nach Upgrade deaktivieren]]
* [[Linux Netzwerkbereich pingen ohne Zusatzprogramme kein fping kein nmap]]
* [[Linux Listen Ports mit Programm anzeigen]]
* [[Linux Stresstest Hardware CPU RAM Disk Festplatte]]
 
 
----

== Der eigene Webserver / Rootserver - How-To's ==
* [[Postfix HELO Meldung für SMTP 220 anpassen]]
* [[PHP beschleunigen mit php5-xcache]]
* [[APC Cache mit Plesk und die APC-Admin-Seite]]
* [[Xcache mit Plesk und die xcache-Admin-Seite]]
* [[Robocopy unter Linux?]]
* [[Ubuntu Backupskript Apache Webserver und MySQL Datenbank]]
* [[IONOS Mietserver Ubuntu 24.04 - Einrichtung ISPConfig]]
* [[Ubuntu automatischen Neustart von Diensten nach Upgrade deaktivieren]]
* [[Ubuntu CA Zertifikat importieren]]
* [[Ubuntu SAN Zertifikat anfordern mit interner Microsoft CA Zertifizierungsstelle und in Apache verwenden]]
 
 
----

== Apache2 ==
* [[Apache2 http zu https Umleitung]]
* [[Apache2 PHP Upload bringt 500 Internal Server Error]]
* [[Apache2 als http / https Proxy zu anderen Host]]
* [[Apache2 als Reverse Proxy für Exchange 2010 2013 2016 2019 inklusive Outlook Anywhere RPC over http]]
* [[Apache2 als Reverse Proxy für VMware vCenter WebClient mit Subdomain auf Port 443]]
* [[PHP beschleunigen mit php5-xcache]]
* Apache2 Subdomains anlegen: https://www.digitalocean.com/community/tutorials/how-to-set-up-apache-virtual-hosts-on-ubuntu-12-04-lts
* [[Apache OpenSSL Prüfen ob Zertifikat und Key zusammen passen]]
* [[Apache2 Ubuntu 24.04 22.04 20.04 GeoIP Blocking einrichten]]
* [[Apache2 als Reverse Proxy und Loadbalancer Beispiel Proxmox]]
* [[Apache2 als Reverse Proxy für Home Assistant]]
* [[Ubuntu SAN Zertifikat anfordern mit interner Microsoft CA Zertifizierungsstelle und in Apache verwenden]]
 
 
----

== Bash ==
* [[Bash History aus mehreren Sitzungen ohne überschreiben]]
* [[Bash cronjob alle 30 Sekunden]]
* [[Bash Color Prompt Links und Beispiele]]
* [[Bash Skript exit ohne die Shell zu beenden]]
* [[Bash Treesize Programm ncdu]]
* [[Bash cronjob Dateien älter als x Tage löschen]]
 
 
----

== BitTorrentSync ==
* [[Ubuntu 14.04.x btsync BitTorrent Sync Server installieren]]
* [[Raspbian lowmemorykiller: Killing 'btsync']]
 
 
----
== BookStack ==
* [[BookStack CSS Beispiele Verbesserungen Hacks]]
* Import/Export: https://github.com/toras9000/bookstack-export-import
 
 
----

== Clipperz ==
* [[Clipperz - Installation auf Ubuntu 14.04.x LTS mit ISPConfig]]
 
 
----
== Cockpit ==
* [[Linux Cockpit hinter Subdomain statt Port 9090 per Apache Reverse Proxy]]
 
 
----
== Docker ==
* [[Ubuntu 24.02 als Docker-Host]]
 
 
----
== DynDNS ==
* [[DynDNS Update Skript Linux Bash]]
 
 
----

== EFA - Email Filter Appliance ==
* [[eFa Appliance Active Directory in MailScanner und Postfix konfigurieren]]
* Die Fußnote / Signatur unter den zugestellten Emails entfernen: https://forum.efa-project.org/viewtopic.php?t=2907
* Dateianhänge mit VBA Makros blocken: https://forum.efa-project.org/viewtopic.php?t=1896
* [[eFa Appliance Emails mit VBA Makros Skripten blocken]]
 
----

== Etherpad ==
* [[Etherpad - Installion auf Ubuntu 14.04.x LTS mit ISPConfig]]
 
 
----

== Fail2Ban ==
* [[Fail2Ban mit ISPConfig und open_basedir restriction in effect]]
 
 
----

== GateOne ==
* [[Ubuntu 14.04.x LTS - GateOne SSH Client installieren mit Apache Reverse Proxy - lokal]]
 
 
----

== GitLab ==
* [[GitLab GitLab Community Edition unter Ubuntu 16.04.x LTS in Subdomain installieren]]
* GitLab anpassen: http://axilleas.me/en/blog/2014/custom-gitlab-login-page/
 
 
----

== Guacamole ==
* [[Ubuntu 20.04.x LTS - Guacamole HTML5 Remotedesktop Gateway installieren mit Apache Reverse Proxy]]
* [[Ubuntu 18.04.x LTS - Guacamole HTML5 Remotedesktop Gateway installieren mit Apache Reverse Proxy]]
* [[Ubuntu 16.04.x LTS - Guacamole HTML5 Remotedesktop Gateway installieren mit Apache Reverse Proxy]]
* [[Ubuntu 14.04.x LTS - Guacamole HTML5 Remotedesktop Gateway installieren mit Apache Reverse Proxy]]
* [[Zabbix mit Guacamole in Kombination|Zabbix mit Guacamole in Kombination - Demo-Video]]
 
----

== Gogs ==
* [[CentOS 7 Gogs Git-Server installieren]]
 
----

==Icinga==
* [[Linksammlung Icinga2 unter CentOS 7]]
 
 
----

== ISPConfig ==
* [[ISPConfig - Webinterface als Subdomain auf Port 443 einrichten]]
* [[ISPConfig ab 3.1.x - Webinterface als Subdomain auf Port 443 https einrichten]]
* [https://www.howtoforge.com/tutorial/how-to-install-php-7-on-debian/ ISPConfig - PHP 7.0.0 Installieren]
* [[ISPConfig 3.0.5.4p8 Webseiten https mit letsencrypt absichern und Zertifikate automatisch erneuern]]
* Basic Auth für Website https://davidstein.cz/2025/01/15/isp-config-website-password-protection/
 
 
----

== Kodi ==
* Kodi nachträglich auf Raspbian: https://www.makeuseof.com/tag/install-kodi-raspbian-media-center/
* Kodi 18 auf Raspbian Stretch: https://www.raspberrypi.org/forums/viewtopic.php?t=222954
 
 
----

== Let's Encrypt ==
* [[Lets Encrypt Zertifikate erneuern mit Apache Reverse Proxy]]
* [[Lets Encrypt Liste der Server Firewall]]
 
 
----

== LVM ==
* [[LVM root boot Volume umbenennen Ubuntu Debian]]
 
 
----

== Mattermost ==
* [[Mattermost unter Ubuntu 16.04 mit Apache und ISPConfig in Subdomain installieren]]
* [[Mattermost Farbschema]]
 
 
----

== Minecraft ==
* [[Minecraft Server mit rfwadmin unter Ubuntu 14.04 LTS und ISPConfig]]
 
 
----

== Monitorix ==
* [[Monitorix unter Ubuntu 14.04.x LTS installieren]]
 
 
----

==Multipathing==
* [[Solaris Multipathing Status abfragen]]
 
 
----

== mySQL ==
* [[mySQL - Verbindungsdaten ( Connections ) anzeigen lassen]]
* [[mySQL - weitere Instanz auf gleichen Server starten / betreiben]]
* [[MySQL - Datenbank direkt zwischen 2 Servern kopieren]]
* https://github.com/major/MySQLTuner-perl
 
 
----

==NetBox==
* [[NetBox unter Ubuntu 24.04 LTS installieren]]
 
 
----
== NextCloud ==
* [[NextCloud unter Ubuntu 24.04 LTS installieren]]
* [[NextCloud unter Ubuntu 22.04 LTS installieren]]
* Monitoring URL mit curl abfragen + Token dafür erstellen: https://help.nextcloud.com/t/howto-use-serverinfo-with-curl/173360
 
 
----

== OpenSim ==
* [[OpenSim Server auf Ubuntu 14.04.x LTS mit ISPConfig installieren]]
 
 
----
== OpenVPN ==
* OpenVPN Server unter Ubuntu Einfachlösung: https://www.cyberciti.biz/faq/ubuntu-20-04-lts-set-up-openvpn-server-in-5-minutes/#Install_OpenVPN_server
 
 
----
== OpenWISP ==
* [[OpenWISP Manager auf Ubuntu 14.04.x LTS installieren]]
 
 
----

== Parallels Plesk Panel ==
* [[SFTP Zugang unter Parallels Plesk Panel aktivieren]]
* [[Parallels Plesk 11 - Emails an anderen Mailserver weiterleiten]]
* [[Parallels Plesk lästige Statusmeldungen abschalten]]
* [[Parallels Plesk - Zugriff auf alle MySQL Datenbanken - Benutzer root funktioniert nicht]]
* [[Parallels Plesk - database disk image is malformed]]
* [[ERROR Zend_Db_Adapter_Exception SQLSTATE HY000 2002 No such file or directory]]
* Alt aber viel interessantes: http://www.grafxsoftware.com/faq.php/HOW-TO-Setup-a-PLESK-Dedicated-Server/1/4/
 
 
----

== pfSense ==
* [[FritzBox - Site to Site VPN zu pfSense mit WireGuard ohne Tunnel NAT]]
* [[pfSense - IPv6 mit Tunnel Broker und Reverse DNS rDNS]]
* [[pfSense - IPSec mit IPv4 Remote IP wird aber IPv6 genommen]]
* [[pfsense - Tor Proxy mit Anmeldung über Internet squid polipo]]
* [[pfsense - GeoIP Blocking auf bestimmte Ports oder Dienste IPv4 IPv6]]
* [[pfSense - GeoIP Blocking und Lets Encrypt Zertifikate]]
* https://www.biteno.com/tutorial/openvpn-auf-einer-pfsense-firewall-einrichten/
* pfSense und Duo.com:
** https://forum.netgate.com/topic/119303/openvpn-with-active-directory-authentication-and-duo-security
** https://github.com/jasonbeitler/www/wiki/PFSense-and-Duo-2FA
* [[pfSense - HAProxy + Lets Encrypt ACME + GeoIP-Blocking pfBlockerNG]]
* [[pfSense - ACME-Zertifikate auf anderen Server kopieren]]
* https://www.cyberciti.biz/faq/howto-configure-dual-wan-load-balance-failover-pfsense-router/
* QEMU Tools für Proxmox in der pfSense installieren: https://github.com/Weehooey/pfSense-scripts
 
 
----

==phpIPAM==
* https://github.com/thetechguysguide/thetechguysguide.github.io
** https://www.youtube.com/watch?v=GfBvFJLClHQ
* [[phpIPAM MAC-Adressen per arp ermitteln und hinzufügen]]
 
----

==PHPMyAdmin==
* [[PHPMyAdmin alle Benutzer bis auf einen verbieten]]
 
----

== PiHole ==
* [[PiHole Whitelist Amazon]]
* Liste der Microsoft 365: https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide
 
----

== Postfix ==
* [[Ubuntu root alle Emails weiterleiten an Postfach auf Exchange Server]]
* https://patrik.kernstock.net/2013/01/postfix-mailwarteschlange-ansehen-flushen-und-leeren/
 
----

== PuTTY ==
* [[PuTTY sinnvoll Voreinstellungen machen / Default Settings ändern]]
* [[PuTTY Anmeldung per SSH-Key ohne Pageant ganz ohne Passwort]]
* [[PuTTY nano in SSH Sitzung mit Maus bedienen]]
 
 
----

== Python ==
* [[Python Skripte als Dienst unter Windows oder Linux]]
 
 
----

== qmail ==
* qmail Queue löschen: http://dragos.fedorovici.com/plesk-clear-qmail-queue/
* qmail Queue diverses: http://www.debianhelp.co.uk/qmailqueue.htm
* qmail Bounce Messages verhindern: http://g33kinfo.com/info/archives/4080/
 
 
----

== RedHat ==
* [[Anmeldung per SSH-Key nicht möglich wenn der home-Ordner auf einem NFS-Share liegt]]
 
 
----
== Repository ==
* [[Ubuntu Offline Mirror Repository erstellen]]
 
 
----

==Samba==
* [[Samba Das angegebene Netzwerkkennwort ist falsch NTLMv2]]
 
 
----
== Seafile ==
* [[Seafile Server Docker - Installation auf Ubuntu 24.04.x LTS]]
* [[Seafile Server - Installation auf Ubuntu 24.04.x LTS]]
* [[Seafile Server - Installation auf Ubuntu 20.04.x LTS]]
* [[Seafile Server - Installation auf Ubuntu 18.04.x LTS]]
* [[Seafile Server - Installation auf Ubuntu 16.04.x LTS]]
* [[Seafile Server - Installation auf Ubuntu 14.04.x LTS mit ISPConfig]]
* [[Seafile Server - Installation auf Ubuntu 12.04.x LTS mit Plesk]]
* [[Seafile Server - als separater Server hinter Webserver mit Apache2]]
* [[Seafile - Speicherplatz freigeben von gelöschten Dateien]]
* [[Seafile Server - Upgrade Version 3 auf 4]]
* [[Seafile Server - Update/Upgrade des Servers auf neuere Version]]
* [[Seafile Terminal Client - Installation und Synchronisation unter Ubuntu 14.04.x LTS]]
* [http://seafile.com/en/help/ignore/ Seafile Server - Dateien oder Ordner beim Upload Client-seitig ignorieren]
* [[Seafile Server - Active Directory Anbindung]]
* [[Seafile Server - inaktive LDAP Benutzer finden - inactive LDAPUsers]]
 
 
----

== SNMP ==
* [[PoE am Switch per SNMP an oder abschalten]]
* [[Port am Switch per SNMP an oder abschalten]]
* https://www.m00nie.com/2010/08/how-to-install-and-use-snmpwalk/
* [[nmap Beispielsammlung]]
 
----

== SOLARIS ==
* [[Oracle Solaris FC Multipath Fibre Channel Multipathing prüfen und wiederherstellen]]
 
 
----
== SUSE ==
* [[SUSE Version abfragen]]
 
 
----

== Syncthing ==
* [[Ubuntu Syncthing installieren]]
* [[Ubuntu discosrv Global Discovery Server Syncthing installieren]]
 
 
----
== systemctl ==
* systemctl auf die Schnelle: http://mikuerschner.org/node/26
 
 
----

== Tor ==
* Anleitung Tor Server: https://2019.www.torproject.org/docs/tor-onion-service.html.en
* Eigene .onion-Adressen erstellen: https://www.jamieweb.net/blog/onionv3-vanity-address/
 
----
== Ubuntu ==
* [[Ubuntu Netzwerkkarteneinstellungen ändern ohne GUI in der Console]]
* [[Ubuntu 12.04 LTS - PHP Version auf 5.3.27 updaten]]
* [[Ubuntu 12.04 LTS - PHP intl PECL-Erweiterung nachinstallieren]]
* [[Ubuntu 12.04 LTS - BitTorrent Sync Server installieren]]
* [[Ubuntu 12.05 LTS - Gateone SSH Client installieren auf Server mit Plesk]]
* [[Ubuntu - Pakete installieren, entfernen, suchen und installierte anzeigen lassen]]
* [[Ubuntu - alte Version findet keine Paketquellen mehr]]
* [[VMware Tools Ubuntu installieren in der Bash / Shell]]
* [[Linux Farbiger Standard Prompt in der Bash auch bei root und PuTTY]]
* [[Linux Reboot per cron-Job automatisch]]
* [[Linux Script oder Befehl nach reboot ausführen]]
* [[Email nach SSH Login auf Linux-Server]]
* [[Bash bunter Text und Banner mit toilet]]
* [[Bash Hollywood - Hollywood in der Bash]]
* [[Logfiles in Logrotate aufnehmen - automatisches packen, rotieren und leeren von Logs]]
* [[Ubuntu Version in der Bash abfragen]]
* [[Linux SCP mit IPv6 nutzen]]
* [[Linux rsync statt scp zum kopieren]]
* [[Ubuntu 14.04.x LTS - GateOne SSH Client installieren mit Apache Reverse Proxy - lokal]]
* Virtuelle Maschinen auf Ubuntu Server:
** http://www.serveradventures.com/the-adventures/virtual-machines-in-ubuntu-server-virtualbox-phpvirtualbox
** http://www.unixmen.com/install-oracle-virtualbox-manage-using-phpvirtualbox-ubuntu-14-04-headless-server/
** http://www.howtoforge.com/vboxheadless-running-virtual-machines-with-virtualbox-4.3-on-a-headless-ubuntu-14.04-lts-server
* [[Ubuntu Linux - Festplatte mit LVM im laufenden Betrieb ohne Neustart vergrößern]]
* Ubuntu puTTY Zugriff mit SSH-Keys absichern: https://www.howtoforge.de/anleitung/key-basierte-ssh-logins-mit-putty/
* [[Ubuntu Bilder betrachten anzeigen mit puTTY in Konsole]]
* [[Ubuntu Syncthing installieren]]
* [[Ubuntu discosrv Global Discovery Server Syncthing installieren]]
* [[Ubuntu 14.04.x Inhalt der .bashrc]]
* [[Ubuntu 14.04.x Server minimale GUI und andere Spielereien]]
* [[IBM Storage Manager unter Ubuntu Linux installieren]]
* [[Ubuntu nano ist auf Englisch]]
* [[TSM Client auf Ubuntu installieren]]
* [[Ubuntu 14.04.x NFS Freigabe erstellen und verbinden]]
* [[Linux Bash wget etc http https Proxy angeben]]
* [[Ubuntu 14.04.x Apache 2.4.7 GeoIP Blocking mit IPv4 und IPv6 einrichten]]
* [[Ubuntu 16.04.x 2-Faktor bei SSH mit Google Authenticator einrichten]]
* [[Ubuntu 16.04.x Automatische Updates aktivieren oder deaktivieren in der Bash]]
* [[Ubuntu 16.04.x tmux für die Verwendung mit puTTY oder kiTTY]]
* [[Ubuntu automatischen Neustart von Diensten nach Upgrade deaktivieren]]
* [[Ubuntu CA Zertifikat importieren]]
* [[Ubuntu UFW konfigurieren]]
* [[Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern]]
 
 
----

==ufw Firewall==
* [[ufw Geoblocking mit Ubuntu 24.04]]
* [[ufw Limit gegen Überlastung einstellen]]
 
 
----

==Vaultwarden==
* [[Vaultwarden unter Ubuntu 24.04 und Apache Reverse Proxy]]
 
 
----

== Solaris==
* [[Solaris 10 - SSH Zugriff für root freischalten]]
* [[Solaris 10 - Tabulator und Pfeiltasten wie unter Linux]]
* [[Solaris 10 - NetBackup Client NetBackup Agent unter Solaris installieren]]
 
 
----

== STRATO ==
* [[V-PowerServer startet nach Wiederherstellung eines Backups mit BackupControl nicht - mySQL startet nicht]]
 
 
----

Hauptseite

2026-06-06T18:08:21Z

BLinz:

__NOCACHE__
<div class="mainpage_row2">
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_orange"><big>'''Letzte Meldungen'''</big></div>
<div class="mainpage_boxcontents">
'''06.06.2026''' 
Server wird überlastet - wer oder was auch immer grast mein Wiki massiv ab mit maximal komplizierten Abfragen welche die CPU-Last hochtreiben. 
Das ganze von vielen verschiedenen IP-Adressen aus der ganzen Welt. 
Da die UFW-Firewall je eh schon Geoblocking macht, habe ich noch ein Ratelimit per {{code|ufw limit}} gesetzt, wenn es mehr als 6 Verbindungen innerhalb von 30 Sekunden sind, wird die IP so lange gesperrt bis diese für mindestens 30 Sekunden aufhört anfragen zu stellen. 
Der normale Leser sollte also nichts merken. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''15.05.2026''' 
Unter '''[[Zabbix Server + Agent unter Ubuntu 26.04 LTS installieren]]''' findet Ihr die aktuelle Version für die Installation eines Zabbix LTS-Servers unter dem aktuellen Ubuntu Server 26.04 LTS Diesmaa musste nicht so viel wie letztes mal angepasst werden. Wenn man die Anleitung von der Zabbix-Webseite nutzt, funktioniert das Webinterface nicht. Zabbix will nun PHP-FPM nutzen und bringt unter Ubuntu 26.04 auch alles dafür mit, es fehlt aber die Aktivierung des FPM und Proxy Moduls im Apache Webserver. 
Auch den Teil für das Backup der Datenbank sowie dem Vergrößern der Festplatte habe ich angepasst / verbessert / erweitert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2026''' 
{{Hinweis|Mit dem Update auf 7.0.26-2 ist der Fehler wieder behoben}}
Zabbix verteilt gerade beim Update auf 7.0.26 unter Ubuntu 24.04 eine fehlerhafte {{code|/etc/zabbix/apache.conf}} 
Der Effekt ist das man dann auf der Weboberfläche entweder nur den PHP-Quellcode sieht oder eine Error 503 Fehlermeldung. 
Die Lösung ist aus der 
nano /etc/zabbix/apache.conf
den folgenden Abschnitt zu löschen / auszukommentieren: 
<FilesMatch \.(php|phar)$>
SetHandler "proxy:unix:/var/run/php/zabbix.sock|fcgi://localhost"
</FilesMatch>
Da wird {{code|php-fpm}} erwartet, meine Anleitung (und Zabbix in der Vergangenheit) installiert aber nur das klassische PHP. 
Alternativ kann man die Konfiguration auch einfach deaktivieren:
a2disconf zabbix && systemctl reload apache2
In meiner Anleitung wird ja eine eigene Konfigurationsdatei für den Aufruf der Weboberfläche gesetzt (so das man kein {{code|/zabbix}} an die URL anhängen muss), deshalb geht es dann auch ohne, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
Update: Die '''UFW''' Firewall unter Ubuntu kann auch Geoblocking! Der Artikel war schon älter und für Ubuntu 20.04, mit etwas Fehlersuche und Anpassungen funktioniert das aber ganz hervorragend. Das ganze habe ich mir hier zusammengeschrieben: [[ufw Geoblocking mit Ubuntu 24.04]] 
Nachtrag: Die CPU-Last des Servers hat nun enorm abgenommen, '''UFW''' verbraucht erheblich weniger ressourcen beim Blocken als der Apache. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.02.2026''' 
USA sind nun auch Blockiert. 
Es gibt eine Mediawiki-Funktion bzw. Spezialseite um alle Änderungen in einem bestimmten Zeitraum abzufragen. 
Das ist eine Datenbankabfrage. Und genau diese kommt nun schon seit mehren Tagen fast pausenlos aus Kalifornien, USA, über verschiedene IP-Adressen. 
Und erzeugt hohe Last auf meinem Webserver. 
Ich sperre die mal für eine paar Tage aus. 
Ich brauche dringend mal eine Firewall davor die das Geoblocking übernimmt (im Moment mache ich es im Apache). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.02.2026''' 
Extrem hohe Last auf dem Webserver hier ... 
Mein Internetzugang fing an "zu spinnen", dieser Webserver hier war nahezu auf 100%, der Upload stand bei konstant 10MBit/s ... 
Diesmal lag es lag es an einer Testversion vom März 2025 dieser Webseite. Vor dem Upgrade hatte ich eine Kopie erstellt welche unter der Domäne "testwiki.znil.net" zu erreichen war. 
Die war natürlich nicht gepatched und hatte kein Geoblocking. 
Ich habe diese nun einfach gelöscht und Ruhe ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''01.12.2025''' 
Geo-Blocking von Ländern: 
Es ist der 1. eines Monats und da bekomme ich immer die Auswertung von Matomo - das ist das Tool mit dem ich die Zugriffe auf meine Webseite auswerte. Normalerweise sind das so um die 5 bis 10.000 Besucher im Monat, während Corona waren es auch mal 20.000 (Der Artikel über Guacamole RDP war äußerst beliebt). 
In November waren es dann 167.000 eindeutige Besucher ... ok, hier stimmt etwas nicht. Ein Blick auf den Webserver - jupp der brummt für znil.net ordentlich. 
Blicke ins Log zeigen aber das zum einen - wie üblich - die ein oder andere Suchmaschine wieder mal die ganze Webseite abgrast. Das ist aber sonst auch so. 
Aber es gibt auch jede Menge Versuche, die Webseite zu hacken. Mit vergeblichen Aufrufen für Wordpress-Installationen, aber auch gezielt Mediwiki. Eine IP aus Polen die zufällig gerade stark aktiv war, habe ich dann von Hand gesperrt. Und mir die anderen Einträge mit solchen versuchen angeschaut. 
Tja, es sind ja eigentlich Klischees, aber China und Russland sind jetzt geblockt für diese Webseite. Die beiden Länder waren für 90% der fehlgeschlagenen Einträge verantwortlich, 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''09.06.2025''' 
Lang vor mir hergeschoben - aber nun ist meine Webseite hier endlich auf der neuen MediaWiki LTS Version 1.43 welche dann bis Dezember 2027 Updates erhalten wird. Die bisherige Version 1.39 wäre im November diesen Jahres ausgelaufen. 
Probleme gab es diesmal überraschend wenig: 
* Die 2 Faktor-Authentifizierung in 1.43 hat einen Upgrade-Fehler, man muss manuell einmal das SQL-Skript für das Anlegen der Tabelleneinträge ausführen und die {{code|update.php}} noch mal starten. Dann klappte die Anmeldung mit dem bisherigen Token
* Mein Skin {{code|Pivot}} funktionierte nicht mehr, es musste die aktuelle Version sein. Zudem musste ich den Namen im Skin-Verzeichnis von {{code|pivot}} auf {{code|Pivot}} ändern, also mit Großschreibung. Sonst fehlten die Symbole bei den Menüs etc.
* Die Kommentarfunktion <strike>zickt noch, ich habe die aktuelle Version der Erweiterung einfach als Extension geladen. Die Darstellung funktioniert, es fehlen noch die Felder die es anonymen Benutzern erlaubte einen gewählten Namen anzugeben. Zudem Kann man als nicht angemeldeter Benutzer noch gar keine Kommentare anlegen (gibt eine Fehlermeldung). Ich habe da in der Vergangenheit immer eigene Anpassungen gemacht, die muss ich gleich noch einarbeiten.</strike> funktioniert jetzt auch wieder
Am besten gefällt mir aber, das die Erweiterung {{code|ClipUpload}} immer noch funktioniert. Die Erweiterung erlaubt es, in der Code-Ansicht beim Editieren einen Screenshot aus der Zwischenablage einfach per {{key|STRG}} + {{key|V}} einzufügen, ohne Nachfragen, direkter Upload und Einfügen des Dateinamens. Das normale Vorgehen will 1.001 Frage beantwortet haben (Lizenz, Name usw) und dauert mir beim dem Erstellen von Anleitungen viel zu lange. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''24.04.2025''' 
Diese Webseite ist umgezogen - und läuft nun "im Homeoffice". 
Wie immer unter Ubuntu - die aktuelle 24.04 LTS Version, mit Apache2 Webserver und MariaDB Datenbank. Mal schauen ob 500MBit/s an Upload reichen :-) 
<strike>Und die Seite ist - endlich - auch wieder über IPv6 zu erreichen.</strike> Sollte gehen, geht aber nicht. Ausgehend kein Problem, aber die Portweiterleitung der FRITZ!Box zickt scheinbar rum 
Ich habe hier noch einen 2. Linux Rechner mit IPv4, dieser lässt sich trotz identischer Einstellungen von außen pingen. Mal sehen ob ich herausbekomme woran das liegt. 
'''Update:''' Schön wenn man ein anderes System zum vergleichen hat. Es fehlte schlicht in der Netzwerkkonfiguration das IPv6 Gateway. 
Warum auch immer der ausgehende IPv6 Traffic trotzdem funktioniert hatte ... 
Also: Die Seite ist - endlich - auch wieder über IPv6 zu erreichen! 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''12.03.2025''' 
Umzug der Webseite im April! 
Mein bestehender Glasfaseranschluss der Telekom wird Anfang April zu einem Geschäftskundenanschluss geändert (Business Glasfaser Pro 1000), mit fester IP-Adresse (IPv4 und IPv6). 
Der Upload beträgt dann 500MBit - das ist zwar nur halb so schnell wie es angeblich zur Zeit ist (laut IONOS 1GBit/s), aber so viele Aufrufe hat meine Webseite nicht (abgesehen von sporadischen Hacking versuchen). 
Ich werde die Webseite dann von zu Hause hosten. In dem Zuge werde ich das Mediawiki dann auch auf die letzte LTS-Version bringen, im Moment läuft es noch auf der LTS-Version '''1.39.x''' die noch bis November 2025 unterstützt wird, aktuell wäre '''1.43.x''' welches bis November 2027 unterstützt wird. Meine Sorgenkinder bei Upgrades sind immer die "Paste from Clipboard" Funktion um Screenshots schnell in Artikel einzufügen und die Kommentarfunktion. 
Da ich dann aber ja voll Kontrolle über den Server habe, wird es dann einfach mit Backups und Snapshots. 
Im Moment bereite ich das Netzwerk und die Firewall dafür vor - ich bin ein großer Freund von Reverse Proxy, Geo-IP-Blocking und Let's Encrypt Zertifikaten, im Zweifel alles 3 zusammen. 
Ich werde über den Stand dann an dieser Stelle berichten. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''18.12.2024''' 
WireGuard schlägt IPSec! 
Ich habe fast den ganzen gestrigen Tag damit verbracht, die VPN-Verbindung zwischen meiner FRITZ!Box und meinem Mietserver von IPSec auf WireGuard umzustellen. 
Den Tunnel aufzubauen hatte schon nach ein paar Minuten geklappt, leider hat die FRITZ!Box aber hartnäckig ein NAT über den Tunnel gemacht. Konnte ich Lösen und habe eine Anleitung dafür geschrieben: [[FritzBox - Site to Site VPN zu pfSense mit WireGuard ohne Tunnel NAT]] 
Gemacht habe ich das ganze ich das weil ich mir eine besser Performance erhofft hatte. Und erste Tests mit {{code|iperf3}} zeigten einen um 40% höher Datendurchsatz. 
Heute Nacht lief nun das erste Backup (eine Veeam Replikation) über WireGuard statt IPSec: 
Vorher mit IPSec: 
:[[Datei:ClipCapIt-241218-112649.PNG]] 
Nun mit WireGuard: 
:[[Datei:ClipCapIt-241218-112719.PNG]] 
2h25m schneller! Bei sogar 1GByte mehr Daten. und von den 1h45m sind eine Stunde alleine die '''Retention Policy''', also das löschen und zusammenführen alter Snapshots am Ziel. 
Fazit: hat sich gelohnt!
----
'''29.09.2024''' 
Ich konnte mich endlich auch mal etwas mehr mit Proxmox beschäftigen (und wie gut Veeam es schon unterstützt). 
Zunächst auf einen Mini-PC der 200Euro Klasse (Intel N95 Prozessor, 16GB RAM, 512GB SSD, 2 x LAN) mit dem ich etwas herumgespielt habe, inklusive der Migration einer VMware-VM dorthin. Um die Live-Migration zu testen habe ich mir dann noch einen 2. Mini-PC gekauft. Und hatte dann eine steile Lernkurve (Datenträger müssen auf alles System gleich sein - und ZFS formatiert sein), inklusive einer kompletten Migration da ich beide Nodes noch mal neu mit ZFS installieren musste. 
Damit ich das später auch wieder hinbekommen, gibt es nun links einen neuen Bereich Proxmox unter welchen ich dann wie immer sammle was ich interessant fand bzw. wie ich mein System eingerichtet habe. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''03.07.2024''' 
Die Kommentarfunktion braucht ein paar Anpassungen an das aktuelle PHP8.3 
Da kommen zwar nur Warnungen, aber die erscheinen halt ständig im Log. Es gibt auf GitHub bereits eine angepasste Version (leider ohne angepasste Versionsnummer), die arbeitet aber mit meiner "alten" Mediawiki-Version 1.39 nicht zusammen. Das ist aber nun mal die aktuelle LTS-Version und die neue ist noch nicht erschienen. 
Jetzt muss ich also entweder mit den Warnungen leben, diese Seite auf dem älteren PHP8.1 laufen lassen, eine Kurzzeit-Mediawiki-Version mit nur einem Jahr Support einsetzen oder die Kommentarfunktion dauerhaft abschalten. Ich habe mich noch nicht entschieden. 
Ich nutze eine von mir angepasste Version von https://www.mediawiki.org/wiki/Extension:Comments die ich immer dahingehend ändere das auch anonyme Kommentare möglich sind (mit freier Angabe eines Names oder Email-Adresse). Zudem ist eine - mini - AntiSPAM Funktion eingebaut und ich erhalte immer sofort eine Email über einen neuen Kommentar. 
Das habe ich mir gut Dokumentiert, ist trotzdem ein Sonntagnachmittag Arbeit das jedes mal einzupflegen. Nur um mich dann per Kommentar beschimpfen zu lassen wenn da jemanden etwas nicht passt ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.06.2024''' 
Ich habe mal die Kommentarfunktion meiner Seite deaktiviert, da gab es heute wohl einen Angriff wo versuchte wurde diese als Lücke zu missbrauchen. Laut Logs hat das nicht geklappt, aber so habe ich den Angriff ins leere laufen lassen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 09:45Uhr''' 
Es ist 2024 ... und ich bekomme IPv6 an meinem neuen Server nicht zum laufen. Offensichtlich wird es nicht durchgelassen. Jedenfalls kommt kein IPv6 Datenverkehr an meinem Server an. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''23.06.2024 00:55Uhr''' 
znil.net läuft nun auf einem neuen virtuellen Server bei IONOS. Nach 2 Tagen war der alte zwar migriert. Aber der neue - die technischen Daten sind identisch - kostet nur 4 statt 5 Euro im Monat. Und ich konnte so parallel gleich auf Ubuntu 24.04 LTS + PHP8.3 umziehen. 
Jetzt geht es ins Bett, morgen muss ich noch genauer prüfen ob noch alles funktioniert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''20.06.2024 13:44Uhr''' 
So, telefonisch konnte ich ein Ticket eröffnen. Nein, das ist nicht normal, die VM hätte schon längst wieder laufen sollen. Es wird jetzt geschaut was bei meiner VM hakt. 
----
'''20.06.2024 13:02Uhr''' 
:[[Datei:ClipCapIt-240620-130053.PNG]] 
so so, 20 Minuten. Die Meldung habe ich im Portal gefunden, wenn ich versuche auf '''''Server & Cloud''''' zu zugreifen werde ich immer noch sofort abgemeldet. 
Ich suche gerade wo ich dort ein Ticket eröffnen kann. 
[[Benutzer:BLinz|Bernhard Linz]]
'''20.06.2024 09:35Uhr''' 
Na IONOS, das klappt ja scheinbar toll. Statt "kurzer Unterbrechung" sind es nun schon fast 20h Ausfall, laut deren Status Webseite https://www.ionos-status.de/ läuft alles Störungsfrei, das Portal für die Cloud-Server Verwaltung ist immer noch komplett abgeschaltet (zumindest für mich). 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.06.2024 20:23Uhr''' 
Heute seit 15:00 Uhr stellt IONOS meinen vServer um auf dem diese Webseite läuft. Das sollte angeblich nicht lange dauern. 
Jetzt, 5h später, ist mein Server immer noch nicht erreichbar. 
Das Webportal von IONOS zur Verwaltung meines vServers ist auch komplett abgeschaltet - man wird sogar sofort ausgeloggt wenn man auf den betreffenden Menüpunkt geht. 
Genügend Gelegenheit einmal mein Backup zu testen. 
So konnte ich meine Webseite mit Stand gestern, 22:00 Uhr wiederherstellen. Die Webseite läuft im Moment auf meinen Heimserver. Der hat zwar genügend Dampf, mein Internetanschluß von Kabel Deutschland hat aber leider nur 50MBit Upload. 
Aber besser als nichts, zur Not kann ich die Seite auch noch auf einen anderen Server mit 250Mbit Upload umziehen, aber das hier war jetzt schneller und einfacher. 
Und es wäre schön wenn der Originalserver doch noch wieder hoch kommt, ich habe heute noch diverses im Wiki geschrieben/korrigiert. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.06.2024''' 
Ich bin endlich dazu gekommen eine aktuelle Anleitung für Ubuntu 24.04 und Zabbix 6 / Zabbix 7 zu schreiben: [[Zabbix Server + Agent unter Ubuntu 24.04 LTS installieren]] 
Es waren nicht so viele Änderungen wie befürchtet. Schlecht ist aber schon mal das ich bisher keine aus Zabbix 6 exportierten Templates in Zabbix 7 importiert bekommen habe, das muss ich mir noch mal genauer anschauen. 
Mein jetziger Zabbix 6.0 LTS Server stammt von von meinen allerersten Zabbix-Server 2.2 ab, dieser wurde immer wieder geupgradet. Nun möchte ich mal einen Neuanfang machen, auch um jede menge Altlasten los zu werden, z.B. habe meine Items noch alle eine Server-Node Id, allen Item-Ids ist also eine <code>42042000000</code> vorangestellt, das werde ich sonst nie los. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''27.05.2024''' 
znil.net ist nun nur noch über IPv4 zu erreichen. Grund ist das IONOS die virtuelle Maschine auf welcher diese Webseite läuft, migriert und dabei neue IPv6 Adressen zuweisen wird. Dei IPv4 soll unverändert erhalten bleiben. Scheinbar wird dabei auch der darunterliegende Hypervisor geändert. Bisher ist meine VM eine VMware vSphere-VM, mal sehen was es danach ist. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2024''' 
Und die Extension "ClipUpload" funktioniert nun doch. Nachdem ich bei einem Kunden die Extension [https://www.mediawiki.org/wiki/Extension:MsUpload MsUpload] gesehen hatte - mit der kann man einfach per Drag&Drop viele Dateien/Bilder in einem Rutsch hochladen - hatte ich diese bei mir installiert. Die Extension funktioniert aber nur in Verbindung mit dem [https://www.mediawiki.org/wiki/Extension:WikiEditor WikiEditor]. Der ist "ab Werk" dabei, ich hatte den aber deaktiviert weil ich diesen nicht gebraucht habe. Der WikiEditor erscheint in dem von mir bevorzugten Quelltext-Editor. Und in diesem / mit diesem funktioniert mein heiß geliebtes und Innig geliebtes "ClipUpload". Mit dieser Erweiterung kann ich Screenshots (aus der Zwischenablage) im Quelltext-Editor einfach per {{Key|STRG}} + {{Key|V}} einfügen - ohne nervige Nachfragen etc. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.02.2023''' 
Das MediaWiki-System auf dem diese Webseite basiert wurde von der LTS-Version 1.35.9 auf die neue LTS-Version 1.39.1 aktualisiert. Wie immer gab es Probleme mit einigen Erweiterungen. Bei den meisten reichte die für MediaWiki 1.39.x passende Version zu installieren. Die Kommentarfunktion musste ich wieder nach meinen Ansprüchen anpassen - was relativ schnell ging da ich beim letzten mal ordentlich dokumentiert hatte - so musste ich nur in der alten Version nach meinen Kommentaren suchen und die Abschnitte entsprechend in der neuen Version ändern. 
Leider - '''LEIDER''' - ist die Extension "ClipUpload" nun auf der Strecke geblieben, beim letzten mal konnte man die noch mit Codeänderungen zum laufen bringen. Die Erweiterung erlaubte es per {{Key|STRTG}} + {{Key|V}} einfach Bilder in das Mediawiki einzufügen. Es wird auf [https://www.mediawiki.org/wiki/Extension:SimpleBatchUpload simple-batch-upload] verwiesen ... mhh, nicht wirklich das selbe. 
Als nächstes steht dann das Upgrade auf 22.04 LTS + PHP8 an. 
Nachtrag: Es gibt einen '''[https://www.mediawiki.org/wiki/Extension:VisualEditor VisualEditor]''' der ab Werk bei MediaWiki dabei ist (keine Ahnung seit welcher Version), der kann das auch. In Umständlich. Titel, Beschreibung usw. muss alles über Dialoge angegeben werden anstatt das Bild einfach sofort hochzuladen (ich weis schon was ich tue). 

[[Benutzer:BLinz|Bernhard Linz]]
----
'''10.10.2022''' 
Die Zabbix Summit 2022 in Riga: [https://www.meinekleinefarm.net Marco Hofmann] hat einen Vortrag darüber gehalten wie man unter Windows den Zabbix Agenten auf hunderten von Systemen und verschiedenen Kundenumgebungen synchron hält. Das erwähne ich weil er dazu unter anderem auch Werkzeuge von mir einsetzt - eine Abwandlung meiner [[Zabbix Agent für Windows per Skript automatisch installieren Musterdatei|InstallZabbixAgent.bat]] und das Tool für [[Agent Auto Updater|automatische Updates des Agenten]]. 
[[Datei:Hofmann-1200x628px.png|400px|link=https://www.meinekleinefarm.net/zabbix-summit-2022-in-riga-keeping-hundreds-of-windows-zabbix-agents-in-sync-across-different-customers/]] 
Seinen Vortrag findet ihr hier auf Youtube: https://youtu.be/IQQwTEtwl7M?t=19987 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.10.2021''' 
Das Mediwiki dieser Seite ist nun auf Version 1.35.4. Und ich müsste mal daran gehen wieder eine Kommentar-Übersichtsseite zu programmieren ... 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''06.05.2021''' 
Das waren jetzt fast 4h Arbeit - aber die Kommentarfunktion funktioniert wieder wie vorher. 
Die Extension basiert wieder auf dem aktuellen Original: https://www.mediawiki.org/wiki/Extension:Comments und wurde wieder nach meinen Bedürfnissen angepasst. 
Unter anderem war in der aktuellen Version der Datenbank gar kein Feld mehr für den Namen/Email-Adresse vorgesehen, das habe ich wieder nachgerüstet. 
Die meiste Zeit habe ich damit verbracht die Stelle in den ganzen PHP-Skripten zu finden an der die eigentliche Datenbankabfrage durchgeführt wird. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''05.05.2021''' 
<big>'''Großes Update der Webseite!'''</big> 
* Upgrade auf die Mediawiki LTS Version 1.35.2
* Umzug von Ubuntu 18.04 LTS auf 20.04 LTS
* Umzug von MySQL auf MariaDB
* Umzug von PHP 7.2 auf 7.4.3
* Umzug auf V-Server M von IONOS
* Seite ist nun über IPv4 und IPv6 erreichbar!
Hat im ganzen ganz gut geklappt. Auf der Strecke sind 2 Erweiterungen geblieben: Die Anzeige der zuletzt geänderten Artikel sowie eine selbst programmierte Seite welche mir alle Kommentare auf einer Seite angezeigt hatte. 
Auch die Schaltfläche die auf jeder Seite unten rechts zum Hochscrollen war fehlt noch. 
Ganz hervorragend am '''IONOS V Server''' gefällt mir das es eine VM unter VMware ist, die Firewall davor in der man selbst Port für Port freischalten muss - und das ich die mit dem '''''Veeam Agent for Linux''''' einfach sichern kann. Und die Büchse ist angenehm schnell, mit 300Mbit angebunden und kostet nur 5 Euro im Monat. 
 
'''Nachtrag:''' Die Kommentarfunktion funktioniert ... aber der Refresh nachdem man senden gedrückt hat sieht komisch aus. {{Key|F5}} behebt das, mal sehen ob ich da was ändern kann. Das ist eine Extension die ich so angepasst habe das man auch ohne Anmeldung mit einem Namen etwas posten kann und das mir eine Email gesendet wird wenn es einen Kommentar gibt. Es gibt eine neuere Version davon die ich dann allerdings auch wieder neu anpassen muss. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''31.01.2021''' 
Ich habe einen neuen Artikel zum Thema GeoIP-Blocking mit Apache2 veröffentlicht: [[Apache2 Ubuntu 24.04 22.04 20.04 GeoIP Blocking einrichten]] 
Und das ganze auch gleich als Gelegenheit genutzt bei meinen diversen Subdomänen das ganze umzusetzen. Meine Seafile- oder mein Zabbix-Server müssen z.B. nur aus Deutschland erreichbar sein. [[Benutzer:BLinz|Bernhard Linz]]
----
'''30.12.2020''' 
Eigentlich wollte ich diesen Webserver mal auf Ubuntu 20.04 LTS aktualiseren ... aber das hat per <code>do-release-upgrade</code> im Gegensatz zu meinen anderen VMs nicht geklappt. MediaWiki 1.3 mag irgendwie PHP 7.4 auch nicht richtig (auch wenn ich es woanders schon habe laufen gesehen). Also doch wie immer - neuen Server installieren und dann die Domänen Stück-für-Stück umziehen. [[Benutzer:BLinz|Bernhard Linz]]
----
'''25.06.2020''' 
[[Datei:MFA_Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "MFA technical Certification" der Firma WatchGuard abgeschlossen. Es geht um die [https://www.watchguard.com/de/wgrd-products/authpoint-multi-factor-authentication MFA Lösung AuthPoint der Firma WatchGuard] - bei der Vorbereitung war hilfreich das ich MFA schon länger auch privat für den Schutz meiner Zugänge einsetze. Unter anderem [https://duo.com/ duo.com] für RDP da es bis 10 Personen auch kostenlos genutzt werden kann. WatchGuard ist - aus meiner Sicht - mehr pures MFA, DUO hat dafür quasi jeden Anwendungsfall eine eigene Anleitung und geht tiefer auf die Endgeräte ein. Wobei z.B. eine nicht aktuelle Android-Version ständig angemeckert wird.
[[Benutzer:BLinz|Bernhard Linz]]
----
'''26.04.2020''' 
Stromkosten: Auch ich sitze nun mehr im Homeoffice. Und in meinem Kellerbüro habe ich meinen Rechner hinter mir - und einen 40HE Datenschrank im Blick vor mir. Mit den Tagen ging mir zum einen der Lärm der ganzen Lüfter irgendwann auf den Kecks. Und den Stromverbrauch (den ich bis dato aber nicht gemessen habe) wollte ich auch senken. Den Verbrauch der Switche kannte ich durch Einzelmessungen, der lag bei ca. 100 Watt (für 48 Gigabit Ports + 6 PoE Ports). Diesen habe ich durch einen neuen Switch Allnet-SG8428M (13 Watt maximal!) und einen sparsameren PoE Sitch für die Telefone und Kameras stark reduziert. Zeitgleich habe ich mit Gosund SP111 WLAN-Steckdosenschaltern herumgespielt. Mit der Tasmota Firmware und einer Kalibrierung taugen diese scheinbar auch ganz gut als Strommessgeräte. 
Ich hab nun also meinen Datenschrank zu Hause daran gehängt und musste ernüchternd einen Dauerstromverbrauch von 140 bis 150 Watt feststellen. 
* 44 Watt davon gehen für PoE drauf - 5 Cisco Telefone und 2 IP-Kameras. 
* 16 Watt maximal für die beiden anderen Switche (der ALLNET und ein 16 Port Netgear)
* 9 Watt mein ESXi Server auf Basis eines APU2C4 von PC Engines (inklusive 2TB USB Festplatte daran)
* um die 20 Watt schätze ich die beiden FritzBoxen ...
* bleiben ca. 89 Watt für meinen Heimserver - mit 2x 128GB SSD und 4 x 4TB HDD
* und die USV wird da mit Ihrem Eigenanteil auch irgendwo dazwischen liegen
Wenn ich den Verbrauch mal in einen Kostenrechner werfe: 
:[[Datei:ClipCapIt-200426-192323.PNG]] 
:(erstellt mit [https://www.stromverbrauchinfo.de/stromkostenrechner.php stromverbrauch info]) 
weis ich nun auch warum wir immer so eine fette Stromrechnung habe. Als 4 Personenhaushalt verbrauchen wir soviel wie einer mit 8. Und dabei habe ich doch gerade schon soviel eingespart ... 
Ich werde das nun - dank mit Zabbix überwachten Strom/Leistungsverbrauch mal besser beobachten und schauen wie ich da in Zukunft noch mehr einsparen kann. 
Jedes Watt sind 2,60 €/Jahr oder 22 Cent/Monat - klingt nicht viel aber wie man sieht läppert es sich. 
Mal sehen wie der Durchschnitt nach einem Monat ist. Nachts schaltet sich z.B. die Beleuchtung der IP-Telefone ab was schon 10 Watt spart. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''14.04.2020''' 
Mit gewissen Stolz habe ich meine Version eines "Active Directory-Gruppe mit Zabbix Benutzern Abgleichen via LDAP" Skriptes fertiggstellt: 
https://github.com/BernhardLinz/zabbix-ldap-sync-bash
Wer nach so etwas googelt landet quasi ausschließlich bei dem von Marc Schöchlin geschriebenen Python Script: https://github.com/zabbix-tooling/zabbix-ldap-sync 
An dem haben mich aber schon immer die ganzen Abhängigkeiten gestört wie '''pyldap''' oder '''pyzabbix'''. Ich hab nun mal leider auch Kunden mit Systemen ohne Internetanbindung oder älteren Linux Versionen - und da ist es schwer diese zu erfüllen. 
Mein Skript ist "pures" Bash. Es wird nur der Befehl '''ldapsearch''' und '''curl''' benötigt - und bisher waren die in allen Repositories der Distributionen vorhanden. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''03.04.2020''' 
Ich nutze nun [https://www.google.com/search?q=tripwire+ubuntu Tripwire] um meinen Webserver zu überwachen. Gefällt mir sehr gut, man muss nur daran denken nach jeden Update oder Änderung die Datenbank wieder auf Stand zu bringen. Ich bekomme im Moment jeden Tag einen Email-Report dazu - da muss ich noch mal schauen wir ich das in Zabbix unterbringe bzw. mir nur eine mail senden lasse wenn auch etwas ansteht. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Noch ein Nachtrag zum "Angriff": zwischendurch fehlten auf dem Server 16G an Speicherplatz. 
Gemerkt habe ich das mit Zabbix weil dadurch ein Schwellwert erst unter- und dann wieder überschritten wurde. 
Die 16G waren das <code>error.log</code> für die Domäne '''znil.net'''. Darin fand ich jede Menge Fehlermeldung das versucht wurde <code>\bin\bash</code> zu starten - was aber nun mal nicht erlaubt ist. 
Bin im Moment gerade glücklich darüber das ich jede Domäne / Webseite / Subdomäne unter einem eigenen, eingeschränkten Benutzer laufen lasse. 
Das mache ich nicht von Hand sondern per ISPConfig weil ich faul bin. Funktioniert aber scheinbar ja prima. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Also, wenn ich so ein Online-Tool nutze um meine Webseite zu überprüfen dann melden diese ggf. (nicht immer) eine "SQL-Injection" Lücke in meiner Kommentarfunktion. 
Und zwar weil wohl dann gängige Test-SQL-Abfragen mit gesendet werden. 
Das Senden erfolgt via JavaScript im Browser des Benutzers, der Empfänger ist das PHP-Skript auf dem Server. 
In der letzten Version dieses Skriptes (angepasst von mir) gibt es keine Filter mehr, er nimmt einfach alles an. Früher habe ich dort auf Viagra & Co gefiltert. 
Aber der Teil darunter der dann den Text in die Datenbank schreibt ist wohl ausreichend gefestigt - er schreibt einfach alles was kommt in den Datensatz der Datenbank. Die SQL-Injections tauchen so einfach als Text im Kommentarfeld auf, werden aber nicht ausgeführt. Also alles gut Denke ich. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''01.02.2020''' 
Angriff auf diese Webseite: 
In der Nacht von gestern auf heute hat jemand versucht per SQL-Injektion sich Zugriff auf diese Webseite zu verschaffen. 
"Schwachstelle" ist die Kommentarfunktion. Ein Online-Scurity-Scanner hatte mir diese bereits mal als anfällig dafür gemeldet. 
Da ich die Mediawiki-Extension überarbeitet hatte, habe ich umfangreiche "Suchen und Erstzen"-Regeln erstellt die alles was mit SQL zu tun hat ausfiltert. 
Deshalb sehen manche Kommentare hier dann komisch aus. 
Ich prüfe mal das System intensiv ob die Abwehr erfolgreich war ... oder ob ich doch ein Backup wieder einspiele. 
[[Benutzer:BLinz|Bernhard Linz]] 
----
'''25.02.2020''' 
znil.net weiterhin "Tracker-frei". 
Ich nutze Matomo (ehemals Piwik) um Statistiken für diese Webseite zu erhalten. Eigentlich mehr aus Neugier um zu sehen wie das funktioniert, es hat mir aber auch schon bei Verbesserungen geholfen da man manchmal recht gut erkennen kann wenn die Leute bei Suchanfragen falsch abbiegen. 
Ich hab in einem meiner Browser seit einiger Zeit ein "Anti-Tracking-Tool" installiert weil dadurch sich die Ladezeiten bei einer meiner Lieblingwebseiten dramatisch verbessert haben (https://thingiverse.com). Voller Freude sehe ich das ich wohl alles richtig gemacht habe - denn das Tool zeigt mir bei dieser Seite an das es nicht zu blockieren gibt. Alles bleibt also innerhalb dieser Seite. Siehe auch: [https://znil.net/index.php?title=Znilwiki:Impressum#Datenschutzerkl.C3.A4rung Datenschutzerklärung] 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''19.02.2020''' 
Sieht nicht nach Leben aus wenn sich die Startseite nie ändert - ich muss noch mal wieder nach einer Mediawiki-Extension schauen welche die neuesten Artikel hier präsentiert. 
Hatte ich schon mal, funktionierte nach einem Update nur nicht mehr. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''04.07.2019''' 
Diese Seite ab sofort nur noch über '''''https://''''' zu erreichen - die meisten Aufrufe kamen sowieso schon darüber. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''08.06.2019''' 
Die Mediawiki-Installation ist nun auf 1.13.2 aktulisiert - einige potentielle Sicherheitslücken wurden geschlossen. Hier der Artikel dazu: https://lists.wikimedia.org/pipermail/mediawiki-announce/2019-June/000230.html 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''25.05.2019''' 
Wenn man nicht alles testet ... die Kommentarfunktion war ohne "Funktion". 
Zum Glück ist es eine Erweiterung die noch gepflegt wird, ich habe mir die neue Version herunter geladen und wieder an diese Webseite angepasst: https://git.znil.net/mediawiki/Comments 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''16.05.2019''' 
[[Datei:WG Network Security Badge.png|left]] Geschafft! Ich habe erfolgreich die Prüfung "Network Security Technical Certification" der Firma WatchGuard abgeschlossen.
Ich hatte auch schon mal leichtere Prüfungen. 
[[Benutzer:BLinz|Bernhard Linz]]
----
'''14.05.2019''' 
Das Wiki ist wieder einmal umgezogen. Statt auf einem Server in Frankreich läuft es nun auf einem Server in Deutschland - vielen Dank an meinen Arbeitgeber. 
Im gleichen Atemzug habe ich von der Mediawiki-Version 1.27 LTS auf die Version 1.31 LTS gewechselt - der Support läuft im Juni aus und 1.31 bietet nun wieder Updates bis Juni 2021. 
Dabei ist leider die '''WikiLog'''-Erweiterung auf der Strecke geblieben, diese ist nicht mehr kompatibel und wird auch schon länger nicht mehr weiter einwickelt. 
Also mache ich das jetzt von Hand ... 
[[Benutzer:BLinz|Bernhard Linz]]
</div>
</div>
 
<div class="mainpage_hubbox">
<div class="mainpage_boxtitle_ocean"><big>'''Wie ist <del>meine</del> deine IP-Adresse?'''</big></div>
<div class="mainpage_boxcontents" style="font-family:'Courier New', Monospace; background: #FFFFCC;">
{|
|-
| style="width: 70%; background-color: #FFFFCC"|<big>
'''IP :''' <ClientIP /> 
'''Typ:''' <IPv4orv6 /> 
'''DNS:''' <ClientName /> </big>
|| Ermittelt mit den PHP-Funktionen dafür
|}
</div>
 


<div class="mainpage_boxtitle_blue"><big>'''Tools - Kleine Programme für Batchdateien und anderes'''</big></div>
<div class="mainpage_boxcontents">
* [[ZnilTools:ifmemberDELUXE.exe|ifmemberDELUXE]] - Netzlaufwerke und Netzwerkdrucker in Anmeldeskripten verbinden
* [[ZnilTools:Telnet_SMTP_Test_Tool|Telnet_SMTP_Test_Tool.exe]] - Grafische Oberfläche für den Test von SMTP-Servern per Telnet
* [[Zabbix:Template Windows Dateien und Ordner]] - Überwachung mit vielen Beispielen
* [[Host per Popup-Skript aus der Zabbix-Server Weboberfläche in Wartung setzen]]
* [[Calibre eBook MultiUser Tool / Funktion]] - Calibre mit mehreren Benutzern gleichzeitig nutzen
</div>
 


<div class="mainpage_boxtitle_black"><big>'''Die letzten Änderungen'''</big></div>
<div class="mainpage_boxcontents">

{{Special:RecentChanges/days=365,limit=10,hidebots,hideminor,hidecategorization}}
</div>
 
<div class="mainpage_boxtitle_grey"><big>'''[[Spezial:Statistik|Informationen]] zum znilwiki, Stand {{CURRENTDAY2}}.{{CURRENTMONTH}}.{{CURRENTYEAR}} um {{LOCALTIME}} Uhr:'''</big></div>
<div class="mainpage_boxcontents">

* Dieses Wiki enthält '''{{NUMBEROFPAGES}}''' Seiten, zusammengefasst in '''{{NUMBEROFARTICLES}}''' Themen... 
* Die Beiträge wurden '''{{NUMBEROFEDITS}}''' mal bearbeitet (inklusive der Erstellung)
* Dieses Wiki wurde laut Matomo schon so oft besucht: <html><img src="https://znil.net/piwik/index.php?module=ClassicCounter&action=svg&idSite=1" width="180" height="43"></html>

* MediaWiki-Version: '''{{CURRENTVERSION}}''' - siehe auch [[Spezial:Version]]


<div style="text-align: right;">[[Testbereich|.]][[Testbereich:Seite2|.]][[Testbereich:Seite3|.]][[Testbereich:Seite4|π]]</div>
</div>

</div>
</div>

SmartHome

2026-06-02T19:56:31Z

BLinz: /* Link Sammlung */

==Amazon Echo / Alexa==
* https://forum.iobroker.net/topic/29885/gel%C3%B6st-alexa-findet-alte-ger%C3%A4te-die-es-nicht-mehr-gibt
* https://blog.deinhandy.de/alexa-zuruecksetzen-so-funktionierts
* https://forum.iobroker.net/topic/60728/amazon-alexa-vergisst-ger%C3%A4te-mit-direkter-steuerung
----

==Home Assistant==
* [[Apache2 als Reverse Proxy für Home Assistant]]
* Life360 Integration: https://github.com/pnbruckner/ha-life360
* Sensor erstellen aus Wert eines anderen Datenpunktes: https://community.home-assistant.io/t/template-sensor-total-out-in-kwh/466829
* Sensor per http-Request / API - HA holt sich den Wert: https://www.home-assistant.io/integrations/sensor.rest/
* Sensor per http - Wert wird in HA per http Aufruf gesetzt: https://www.home-assistant.io/integrations/http/#http-sensors
* [[Home Assistant MQTT RGB Light - RGB Lampe per MQTT]]

----

==ioBroker==
* [[ioBroker VIS Tasmota Steckdose per MQTT nativ]]
* [[ioBroker IQontrol Tasmota Steckdose per MQTT nativ]]
* [[ioBroker Blockly STATUS-Meldungen]]
* [[ioBroker Grafana Diagramme und Werte per Simple-api Adapter]]
* [[ioBroker Daten an Home Assistent senden]]
----

==Link Sammlung==
* [http://archive.shelly-tools.de/ Shelly Firmware Generator]
* Tasmota maximale Tagesleistung ermitteln: https://github.com/arendst/Tasmota/discussions/18020
* Typerkennung iob-Adapter ioBroker: https://forum.iobroker.net/topic/82719/typerkennung-iot-adapter-5-x-tab-alexa-v3
----

==MQTT==
* https://gridscale.io/community/tutorials/eclipse-mosquitto-mqtt-broker-ubuntu-16-04-18-04-installieren-einrichten
----
==Tasmota Firmware==
* [[ESP8266 Wemos D1 Mini mit Tasmota und OLED Display I2C SSH1106 und 4 Taster]]
* Übersicht der Kommandos: https://tasmota.github.io/docs/Commands/
* [[Shelly 1 mit Tasmota als Stromstossschalter Ersatz]]
* Backup der Konfiguration per Skript: https://github.com/tasmota/decode-config
* [[Tasmota Einschaltverzögerung nach Stromausfall konfigurieren]]
* [[Tasmota Unkown Command kryptische Zeichen in der Konsole]]
* [[Tasmota automatische Abschaltung bei Überhitzung ESP]]
----

==ESP8266==
----
===HowTo's===
* [[ESP8266 Wemos D1 Mini mit DHT22 Sensor Beispiel]]
* [[ESP8266 Wemos D1 Mini mit 0,96 Zoll OLED 128x64 I2C volle Auflösung nutzen Beispiel]]
* [[ESP8266 Wemos D1 Mini mit Servo Motor SG90 Beispiel]]
* [[ESP8266 Wemos D1 Mini mit RGB-LED Beispiel]]
* [[ESP8266 Wemos D1 Mini Batterie Versorgungsspannung auslesen überwachen]]
* http://blog.opendatalab.de/codeforbuga/2016/07/02/arduino-ide-mit-nodemcu-esp8266
 
----
===Projekte===
* [[Kühlschranktüren überwachen mit ESP8266 Wemos D1 Mini]]
* [[ESP8266 Wemos D1 Mini mit Tasmota und OLED Display I2C SSH1106 und 4 Taster]]
* [[ESP8266 Wemos D1 Mini mit Tasmota und NFC PN532 und Buzzer HW-508]]
 
----

Linux VM Festplatte im laufenden Betrieb vergrößern Universalskript mit und ohne LVM oder LUKS

2026-05-27T20:03:00Z

BLinz: /* Version A: Universalskript mit LUKS */

'''Changelog;''' 
* 15.05.2026 erste Version
----
==Vorwort==
Ich hatte heute meine neue Anleitung für Zabbix und Ubuntu geschrieben. Da gibt es einen Abschnitt um später im Betrieb die Festplatte im laufenden Betrieb zu vergrößern. 
Denn hatte ich angefangen anzupassen damit das ganze neben VMware auch unter Proxmox oder Hyper-V funktioniert. 
Und dann hatte ich die Idee es als vollautomatisches Skript zu machen. 
Das Skript ist ausnahmsweise mal nicht von Hand entstanden sondern in einer langen Gemini-Sitzung, also KI generiert. 
Die erste Version die 100% funktioniert war recht schnell gemacht, das ganze dann auch noch mit LUKS zum laufen zu bringen hat etwas länger gedauert. 
 
Das Skirpt funktioniert mit und ohne LVM. Wenn mit LVM wird auch noch geprüft ob LUKS im Einsatz ist. Dabei sollte es sowohl bei direkter Verschlüsselung (also ganze Festplatte) als auch wenn nur eine Partition verschlüsselt ist funktionieren. Es fragt dann nach dem jeweiligen Passwort/Passphrase des verschlüsselten Bereichs. Sind mehr als eine verschlüsselte Festplatte im Einsatz, fragt er auch entsprechend oft. Also auch bei den Festplatten wo nichts zu tun ist, das schadet aber nicht. 
 
Dis Skripte funktionieren mit ext2 / ext3 / ext4 und XFS Dateisystemen. 
----

==Version A: Universalskript mit LUKS==
nano adddiskspaceluks.sh
'''Inhalt:''' 
<source lang="bash">
#!/bin/bash

# Prüfen auf Root-Rechte
if [ "$EUID" -ne 0 ]; then
echo "Bitte als root ausführen."
exit 1
fi

echo "--- Schritt 1: SCSI Rescan (alle Controller) ---"
for host_path in /sys/class/scsi_host/host*; do
host_name=$(cat "$host_path/proc_name")
echo "Rescanning $host_name (${host_path##*/})..."

# Neue Geräte suchen
[ -e "$host_path/scan" ] && echo "- - -" > "$host_path/scan"

# Größenänderungen bestehender Geräte finden
find /sys/devices/ -name rescan | grep "/${host_path##*/}/" | while read -r r; do
echo 1 > "$r"
done
done

echo -e "\n--- Schritt 2: Analyse und Vergrößerung der Datenträger ---"

# Wir laden die Disks in ein echtes Bash-Array, um I/O-Interferenzen der LVM-Tools komplett auszuschließen
mapfile -t disks < <(lsblk -dnio NAME,TYPE | grep "disk" | awk '{print $1}')

for dev in "${disks[@]}"; do
disk="/dev/$dev"
echo "========================================"
echo "Untersuche Datenträger: $disk"
echo "========================================"

# 1. PRÜFUNG: Ist die nackte Festplatte direkt verschlüsselt oder ein LVM (ohne Partitionen)?
is_raw_luks=false
is_raw_lvm=false

if blkid "$disk" | grep -qi "crypto_LUKS"; then
is_raw_luks=true
elif pvs --noheadings -o pv_name "$disk" &>/dev/null; then
is_raw_lvm=true
fi

if [ "$is_raw_luks" = true ] || [ "$is_raw_lvm" = true ]; then
echo " -> Datenträger wird direkt (ohne Partitionstabelle) verwendet."
target_dev="$disk"

if [ "$is_raw_luks" = true ] ; then
# Sucht gezielt nach dem crypt-Device direkt unter DIESER disk
luks_name=$(lsblk -nlo NAME,TYPE "$disk" | grep "crypt" | awk '{print $1}' | head -n1)
if [ -n "$luks_name" ]; then
echo " Geöffneter Raw-LUKS-Container gefunden: /dev/mapper/$luks_name"
echo " Vergrößere LUKS-Container..."
cryptsetup resize "$luks_name" --batch-mode
target_dev="/dev/mapper/$luks_name"
else
echo " WARNUNG: Raw-LUKS-Container ist geschlossen! Überspringe."
continue
fi
fi

# --- LVM Check auf Raw-Device ---
if pvs --noheadings -o pv_name "$target_dev" &>/dev/null; then
echo " LVM auf Raw-Device erkannt: Vergrößere Physical Volume..."
pvresize "$target_dev"

vg_name=$(pvs --noheadings -o vg_name "$target_dev" | xargs)
lv_name=$(lvs "$vg_name" --noheadings -o lv_name --sort -lv_size | head -n1 | xargs)
if [ -n "$lv_name" ]; then
lv_path="/dev/${vg_name}/${lv_name}"
echo " Vergrößere Logical Volume $lv_path und Dateisystem..."
lvextend -l +100%FREE -r "$lv_path"
fi
else
# --- Non-LVM Resize ---
echo " Kein LVM: Vergrößere Dateisystem direkt..."
lsblk -f "$target_dev" | grep -qi "xfs" && xfs_growfs "$target_dev" || resize2fs "$target_dev"
fi

continue # Wichtig: Direkt zur nächsten Disk im Array springen
fi

# 2. ABLAUF: Klassisch mit Partitionstabelle
last_part_num=$(lsblk -nlo PARTN,TYPE "$disk" | grep "part" | awk '{print $1}' | sort -rn | head -n1)

if [ -z "$last_part_num" ]; then
echo " Keine Partitionen oder bekannten Dateisysteme auf $disk gefunden, überspringe."
continue
fi

partition="${disk}${last_part_num}"
[[ "$disk" =~ [0-9]$ ]] && partition="${disk}p${last_part_num}"

echo " Letzte Partition identifiziert: $partition (Nummer $last_part_num)"

# Versuch die Partition zu vergrößern
growpart "$disk" "$last_part_num" 2>/dev/null
growpart_status=$?

if [ $growpart_status -eq 0 ] || [ $growpart_status -eq 1 ]; then
target_dev="$partition"

# --- LUKS Check auf Partition ---
if blkid "$partition" | grep -qi "crypto_LUKS"; then
echo " LUKS-Verschlüsselung auf Partition $partition erkannt."
luks_name=$(lsblk -nlo NAME,TYPE "$partition" | grep "crypt" | awk '{print $1}' | head -n1)

if [ -n "$luks_name" ]; then
echo " Geöffneter LUKS-Container gefunden: /dev/mapper/$luks_name"
echo " Vergrößere LUKS-Container..."
cryptsetup resize "$luks_name" --batch-mode
target_dev="/dev/mapper/$luks_name"
else
echo " WARNUNG: LUKS-Container ist geschlossen! Überspringe."
continue
fi
fi

# --- LVM Check auf Partition ---
if pvs --noheadings -o pv_name "$target_dev" &>/dev/null; then
echo " LVM erkannt: Vergrößere Physical Volume..."
pvresize "$target_dev"

vg_name=$(pvs --noheadings -o vg_name "$target_dev" | xargs)
lv_name=$(lvs "$vg_name" --noheadings -o lv_name --sort -lv_size | head -n1 | xargs)
if [ -n "$lv_name" ]; then
lv_path="/dev/${vg_name}/${lv_name}"
echo " Vergrößere Logical Volume $lv_path und Dateisystem..."
lvextend -l +100%FREE -r "$lv_path"
fi
else
# --- Non-LVM Resize ---
echo " Kein LVM: Vergrößere Dateisystem direkt..."
lsblk -f "$target_dev" | grep -qi "xfs" && xfs_growfs "$target_dev" || resize2fs "$target_dev"
fi
fi
done

echo -e "\nFertig."
</source>
und noch ausführbar machen: 
chmod +x adddiskspaceluks.sh
 
 
Beispielausgabe: Vergrößern der Festplatte {{code|sdb}} von 1 auf 1,5TB, 
{{code|sda}} ist ebenfalls verschlüsselt, wurde aber nicht geändert. 
<source>
--- Schritt 1: SCSI Rescan (alle Controller) ---
Rescanning virtio_scsi (host0)...
Rescanning virtio_scsi (host1)...
Rescanning ata_piix (host2)...
Rescanning ata_piix (host3)...

--- Schritt 2: Analyse und Vergrößerung der Datenträger ---
========================================
Untersuche Datenträger: /dev/sda
========================================
Letzte Partition identifiziert: /dev/sda3 (Nummer 3)
NOCHANGE: partition 3 could only be grown by 2015 [fudge=2048]
LUKS-Verschlüsselung auf Partition /dev/sda3 erkannt.
Geöffneter LUKS-Container gefunden: /dev/mapper/dm_crypt-0
Vergrößere LUKS-Container...
Geben Sie die Passphrase für »/dev/sda3« ein:
LVM erkannt: Vergrößere Physical Volume...
Physical volume "/dev/mapper/dm_crypt-0" changed
1 physical volume(s) resized or updated / 0 physical volume(s) not resized
Vergrößere Logical Volume /dev/ubuntu-vg/ubuntu-lv und Dateisystem...
New size (7406 extents) matches existing size (7406 extents).
File system ext4 found on ubuntu-vg/ubuntu-lv mounted at /.
Size of logical volume ubuntu-vg/ubuntu-lv unchanged from <28,93 GiB (7406 extents).
Extending file system ext4 to <28,93 GiB (31063015424 bytes) on ubuntu-vg/ubuntu-lv...
resize2fs /dev/ubuntu-vg/ubuntu-lv
resize2fs 1.47.2 (1-Jan-2025)
Das Dateisystem ist bereits 7583744 (4k) Blöcke lang. Nichts zu tun!

resize2fs done
Extended file system ext4 on ubuntu-vg/ubuntu-lv.
Logical volume ubuntu-vg/ubuntu-lv successfully resized.
========================================
Untersuche Datenträger: /dev/sdb
========================================
-> Datenträger wird direkt (ohne Partitionstabelle) verwendet.
Geöffneter Raw-LUKS-Container gefunden: /dev/mapper/luks_sdb
Vergrößere LUKS-Container...
Geben Sie die Passphrase für »/dev/sdb« ein:
LVM auf Raw-Device erkannt: Vergrößere Physical Volume...
Physical volume "/dev/mapper/luks_sdb" changed
1 physical volume(s) resized or updated / 0 physical volume(s) not resized
Vergrößere Logical Volume /dev/luks_sdb/opt und Dateisystem...
File system ext4 found on luks_sdb/opt mounted at /opt.
Size of logical volume luks_sdb/opt changed from 1023,98 GiB (262139 extents) to <1,50 TiB (393211 extents).
Extending file system ext4 to <1,50 TiB (1649246470144 bytes) on luks_sdb/opt...
resize2fs /dev/luks_sdb/opt
resize2fs 1.47.2 (1-Jan-2025)
Dateisystem bei /dev/luks_sdb/opt ist auf /opt eingehängt; Online-Größenänderung ist
erforderlich
old_desc_blocks = 128, new_desc_blocks = 192
Das Dateisystem auf /dev/luks_sdb/opt is nun 402648064 (4k) Blöcke lang.

resize2fs done
Extended file system ext4 on luks_sdb/opt.
Logical volume luks_sdb/opt successfully resized.

Fertig.
</source>
----

==Version B: Simplere Version==
Wer ohne Verschlüsselung auskommt kann diese Version verwenden: 
nano adddiskspace.sh
'''Inhalt:''' 
<source lang="bash">
#!/bin/bash

# Prüfen auf Root-Rechte
if [ "$EUID" -ne 0 ]; then
echo "Bitte als root ausführen."
exit 1
fi

echo "--- Schritt 1: SCSI Rescan (alle Controller) ---"
for host_path in /sys/class/scsi_host/host*; do
host_name=$(cat "$host_path/proc_name")
echo "Rescanning $host_name (${host_path##*/})..."

# Neue Geräte suchen
[ -e "$host_path/scan" ] && echo "- - -" > "$host_path/scan"

# Größenänderungen bestehender Geräte finden
find /sys/devices/ -name rescan | grep "/${host_path##*/}/" | while read -r r; do
echo 1 > "$r"
done
done

echo -e "\n--- Schritt 2: Analyse und Vergrößerung der Datenträger ---"

# Alle Blockgeräte finden (sdX, nvmeXnX, virtblkX), die Partitionen haben
# Wir filtern nach 'disk', um keine Loop-Devices oder Partitionen selbst zu greifen
lsblk -dnio NAME,TYPE | grep "disk" | awk '{print $1}' | while read -r dev; do
disk="/dev/$dev"
echo "Untersuche $disk..."

# Alle Partitionen dieser Disk finden (sortiert nach Partitionsnummer, absteigend)
# Wir wollen die LETZTE Partition vergrößern
last_part_num=$(lsblk -nlo PARTN,TYPE "$disk" | grep "part" | awk '{print $1}' | sort -rn | head -n1)

if [ -z "$last_part_num" ]; then
echo " Keine Partitionen auf $disk gefunden, überspringe."
continue
fi

partition="${disk}${last_part_num}"
# Sonderbehandlung für NVMe oder MMC (z.B. p1 am Ende)
[[ "$disk" =~ [0-9]$ ]] && partition="${disk}p${last_part_num}"

echo " Letzte Partition identifiziert: $partition (Nummer $last_part_num)"

# Versuch die Partition zu vergrößern (growpart gibt 0 bei Erfolg, 1 bei "kein Platz" zurück)
growpart "$disk" "$last_part_num" 2>/dev/null
if [ $? -eq 0 ]; then
echo " Partition $partition wurde vergrößert."

# --- LVM Check ---
# Prüfen, ob diese Partition ein LVM Physical Volume ist
if pvs --noheadings -o pv_name "$partition" &>/dev/null; then
echo " LVM erkannt: Vergrößere Physical Volume..."
pvresize "$partition"

# Finde alle Logical Volumes auf diesem PV und vergrößere das LETZTE LV
# (Wir nehmen hier an, dass das LV vergrößert werden soll, das den Platz braucht)
lv_path=$(lvs --noheadings -o lv_path --sort -lv_size | head -n1 | xargs)
if [ -n "$lv_path" ]; then
echo " Vergrößere Logical Volume $lv_path und Dateisystem..."
lvextend -l +100%FREE -r "$lv_path"
fi
else
# --- Non-LVM Resize ---
echo " Kein LVM: Vergrößere Dateisystem direkt..."
# Erkennt automatisch ext2/3/4 oder XFS
lsblk -f "$partition" | grep -qi "xfs" && xfs_growfs "$partition" || resize2fs "$partition"
fi
else
echo " Kein freier Platz nach Partition $last_part_num gefunden oder bereits maximal groß."
fi
done

echo -e "\nFertig."
</source>
und noch Ausführbar machen: 
chmod +x adddiskspace.sh
 
 
'''Beispiel 1: System mit LVM:''' 
<source>
--- Schritt 1: SCSI Rescan (alle Controller) ---
Rescanning virtio_scsi (host0)...
Rescanning ata_piix (host1)...
Rescanning ata_piix (host2)...

--- Schritt 2: Analyse und Vergrößerung der Datenträger ---
Untersuche /dev/sda...
Letzte Partition identifiziert: /dev/sda3 (Nummer 3)
CHANGED: partition=3 start=4198400 old: size=79685632 end=83884031 new: size=100659167 end=104857566
Partition /dev/sda3 wurde vergrößert.
LVM erkannt: Vergrößere Physical Volume...
Physical volume "/dev/sda3" changed
1 physical volume(s) resized or updated / 0 physical volume(s) not resized
Vergrößere Logical Volume /dev/ubuntu-vg/ubuntu-lv und Dateisystem...
File system ext4 found on ubuntu-vg/ubuntu-lv mounted at /.
Size of logical volume ubuntu-vg/ubuntu-lv changed from <19,00 GiB (4863 extents) to <48,00 GiB (12287 extents).
Extending file system ext4 to <48,00 GiB (51535413248 bytes) on ubuntu-vg/ubuntu-lv...
resize2fs /dev/ubuntu-vg/ubuntu-lv
resize2fs 1.47.2 (1-Jan-2025)
Dateisystem bei /dev/ubuntu-vg/ubuntu-lv ist auf / eingehängt; Online-Größenänderung ist
erforderlich
old_desc_blocks = 3, new_desc_blocks = 6
Das Dateisystem auf /dev/ubuntu-vg/ubuntu-lv is nun 12581888 (4k) Blöcke lang.

resize2fs done
Extended file system ext4 on ubuntu-vg/ubuntu-lv.
Logical volume ubuntu-vg/ubuntu-lv successfully resized.

Fertig.
</source>
 
'''Beispiel 2: System ohne LVM:''' 
<source>
--- Schritt 1: SCSI Rescan (alle Controller) ---
Rescanning virtio_scsi (host0)...
Rescanning ata_piix (host1)...
Rescanning ata_piix (host2)...

--- Schritt 2: Analyse und Vergrößerung der Datenträger ---
Untersuche /dev/sda...
Letzte Partition identifiziert: /dev/sda2 (Nummer 2)
CHANGED: partition=2 start=4096 old: size=67102720 end=67106815 new: size=83881951 end=83886046
Partition /dev/sda2 wurde vergrößert.
Kein LVM: Vergrößere Dateisystem direkt...
resize2fs 1.47.2 (1-Jan-2025)
Dateisystem bei /dev/sda2 ist auf / eingehängt; Online-Größenänderung ist
erforderlich
old_desc_blocks = 4, new_desc_blocks = 5
Das Dateisystem auf /dev/sda2 is nun 10485243 (4k) Blöcke lang.

Fertig.
</source>
----

==Kommentare==
<comments />

Benutzer:BLinz

2026-05-27T09:20:20Z

BLinz:

<source>
Aktuelle Werte abfragen:
Get-WmiObject -Namespace "Root\MicrosoftDFS" -Class DfsrMachineConfig | select MaxOfflineTimeInDays

Um diesen beispielsweise auf 300 hochzusetzen, geht man so vor:
$dfsrConfig = Get-WmiObject -Namespace "Root\MicrosoftDFS" `
-Class DfsrMachineConfig

$dfsrConfig.MaxOfflineTimeInDays = 300
$dfsrConfig.Put()

Auf Standardwert zurücksetzen:
$dfsrConfig = Get-WmiObject -Namespace "Root\MicrosoftDFS" `
-Class DfsrMachineConfig

$dfsrConfig.MaxOfflineTimeInDays = 60
$dfsrConfig.Put()
</source>


Das ist ein {{bred|Test}} der Vorlage 
und in der Zeile darunter sieht es so aus
* https://www.cursor.com/

https://www.gl-inet.com/products/gl-rm1/
----
==FritzBox Verbindungsstatus==
* https://forum.iobroker.net/topic/73921/gel%C3%B6st-zabbix-fritzbox-etc
* https://forum.iobroker.net/topic/76396/gel%C3%B6st-fritzbox-routen-ein-oder-ausschalten

----
https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/pdf/configuring_infiniband_and_rdma_networks/red_hat_enterprise_linux-8-configuring_infiniband_and_rdma_networks-en-us.pdf 
https://github.com/openucx/ucx/issues/4742
https://github.com/ofiwg/libfabric/pull/5281 
qTZpzhtmjw2Dg4QTUXvL4N

https://github.com/arendst/Tasmota/discussions/20580#discussioncomment-8256030 
----
* https://docs.oracle.com/cd/E19914-01/820-6705-10/appendix2.html
* https://linux.die.net/man/8/ibping
* https://www.fibermall.com/de/blog/difference-ethernet-infiniband-adapter.htm
* https://de.wikipedia.org/wiki/Red_Hat_Enterprise_Linux
----
[[neue Seite zum testen]]
* https://docs.vmware.com/en/VMware-Horizon/2306/virtual-desktops/GUID-4A4A181F-E758-43BC-A812-B05379D8D8B0.html
* https://www.youtube.com/watch?v=Afe0-5_QRn8

* https://askubuntu.com/questions/1308941/migrating-ubuntu-20-04-lamp-from-mysql-to-mariadb
1.3.6.1.2.1.17.4.3.1.2


UN Location Code

'''cvxc'''
https://blog.deinhandy.de/alexa-zuruecksetzen-so-funktionierts

Tuya: https://pypi.org/project/tinytuya/ 
<big>Groß</big> 
[[Test43]]

:[[Datei:ClipCapIt-230124-105454.PNG]] 

* https://1ty.me/
* 64443
* https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447
* http://mt-naka.com/hotswap/index_enu.htm
robocopy R:\ S:\ /MIR /DCOPY:DAT /R:1 /W:1 /XD $RECYCLE.BIN /XD "System Volume Information"
for /R c:\sourceFolder\ %%G in (*) do ( move /Y "%%G" c:\destinationFolder\ )
for /R c:\sourceFolder\ %G in (*) do ( move /Y "%G" c:\destinationFolder\ )
magick mogrify -format gif *.webp
Outlook.exe /cleanips
----
get-childitem "Ordnerpfad" -recurse | where-object {$_.mode -notmatch "d"} | where-object {$_.lastwritetime -gt [datetime]::parse("26/02/2021")} | format-table lastwritetime, fullname -autosize | out-file newfiles.log -append
Zabbix Uploads: https://cloud.znil.org/u/d/ec404add66804ce98821/ 


https://sysadminde.com/questions/871051/doing-dpi-scaling-server-side-rdp-windows-server-2016 
https://helpcenter.veeam.com/archive/backup/95/vsphere/used_ports.html#guest 
 

Telekom Datenvolumen: http://pass.telekom.de/ 
https://docs.microsoft.com/en-us/office/client-developer/shared/integrating-im-applications-with-office 
http://standards-oui.ieee.org/oui.txt 
----
Zabbix RDP: https://github.com/ilianapro/zabbix_template_rdp_monitoring
 
----
https://www.boc.de/watchguard-info-portal/2016/08/letsencrypt-zertifikat-als-proxy-zertifikat-auf-watchguard-firebox/ 
https://www.zabbix.com/documentation/4.0/manual/introduction/whatsnew400 
https://www.heise.de/ct/artikel/Windows-10-Version-1903-ist-fertig-4367985.html 
https://share.zabbix.com/operating-systems/windows/windows-defender-wmi-monitoring 
 
https://jalbum.net 
 

SFConflict

* RDP-Gateway hinter Apache-Revers-Proxy: https://serverfault.com/questions/353832/using-apache-as-a-reverse-proxy-https-server-in-front-of-remote-desktop-gateway
*

* [https://www.youtube.com/watch?v=D7U7Og7gocE Horst Evers - Jan]
* https://www.youtube.com/watch?v=mWqT0LYhsnk&t=1s
* RDS2610:
** https://msandbu.wordpress.com/2016/02/04/office365-on-terminal-server-done-right/
** https://social.technet.microsoft.com/Forums/scriptcenter/de-DE/087526c8-3e16-4b32-8fa3-5dd492bd1789/farmname-einer-sammlung?forum=windowsserver8de
{{Trennlinie-02}}
{{Mediawiki_Wartung}}
{{Trennlinie-02}}
* https://www.amazon.de/ŠKODA-Auto-a-s-Connect/dp/B07B2YDVN2
{{Trennlinie-02}}
* https://www.youtube.com/watch?v=Hrug17skHbY
* https://community.arubanetworks.com/t5/Wireless-Access/ArubaOS-8-2-1-cannot-create-Wlan-without-PEF-license/td-p/405492/page/2
* https://community.arubanetworks.com/t5/Wireless-Access/Bridge-mode-not-avaliable-on-VMC-VMware-Web-Interface/td-p/400583
{{Trennlinie-02}}
Schlüsselanhänger: 
* https://www.amazon.de/dp/B01MUIHBPX/ref=sspa_dk_detail_0?psc=1&pd_rd_i=B01MUIHBPX&pf_rd_m=A3JWKAKR8XB7XF&pf_rd_p=00903874-3af0-47e0-8622-ee58087f71cf&pf_rd_r=8FQPWMY1FVBCBRZTQBWT&pd_rd_wg=TwMJ0&pf_rd_s=desktop-dp-sims&pf_rd_t=40701&pd_rd_w=StBre&pf_rd_i=desktop-dp-sims&pd_rd_r=115f3ab4-caf2-11e8-8b24-ed803f1d8857
* https://www.amazon.de/dp/B01N3K04LS/ref=pd_luc_rh_sspa_dk_huc_pt_sub_3?psc=1
----
Sims 4
* https://www.simtimes.de/sims4/tipps-tricks-guides-hilfe-sims4/die-sims-4-cheats/
* http://www.simfans.de/die-sims-4/erweiterungspacks/grossstadtleben/cheats-guides/die-sims-4-grossstadtleben-cheats/
* https://www.ea.com/de-de/games/the-sims/the-sims-4/pc/how-to-cheat
{{Trennlinie-02}}
* https://zabbixonly.com/how-to-install-zabbix-server-3-4-ubuntu-18-04/
{{Trennlinie-02}}
Playstation VR am PC 
* Einrichten: https://www.windowscentral.com/how-play-steam-games-playstation-vr
* Einrichten: https://www.youtube.com/watch?v=I9cUfN23mes
* Einrichten: https://www.youtube.com/watch?v=5BSeXv3KRaw
* Kontroller: https://www.youtube.com/watch?v=PTPHulcba5A
* Kino? https://www.youtube.com/watch?v=5EYV-rSopig

{{Trennlinie-02}}
Signal-CLI: 
* https://github.com/AsamK/signal-cli
* https://github.com/AsamK/signal-cli/wiki/HowToUbuntu

{{Trennlinie-02}}
Ansichtsboxen wie hier: https://clipperz.is/blog/2017/12/24/reliability/ 
----
https://www.youtube.com/watch?v=KfrU9_qTqwA 
https://www.youtube.com/watch?v=Von_enTSXM8 
https://www.youtube.com/watch?v=iEx6byhcGqg 
http://www.citycams.tv/de/deutschland/frankfurt-am-main/ 
https://www.youtube.com/watch?v=89q6hl7N7MY 
https://www.youtube.com/watch?v=GQWg6b1fWgE 
https://www.youtube.com/watch?v=WkXroQyvdTA Soggy Dollar Bar 
https://www.youtube.com/watch?v=2sGfGRM_f3w Bodo Terminalen 
https://www.youtube.com/watch?v=TVgdgpSX1e0 Casa Labhardt 
https://www.youtube.com/watch?v=RtU_mdL2vBM Nasa Live 

https://github.com/cDima/Aerial/releases
----
AutoIt Zertifikate + Verschlüsselung: 
* https://www.autoitscript.com/forum/topic/180965-certificate-expiration-check-script/#comment-1299267
AutoIt Datei Explorer Steuerung:
* https://www.autoitscript.com/forum/topic/162905-automating-windows-explorer/
----
https://de.wikipedia.org/wiki/Go_%28Programmiersprache%29
https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics
----
Statt der grauen Boxen: https://docs.phalconphp.com/en/latest/reference/tutorial-invo-2.html
Coole neue Bildervorschau: https://www.mediawiki.org/wiki/Extension:MultimediaViewer
----
Docker: 
https://github.com/mattiasgiese
http://kubernetes.io/
https://github.com/coreos/rkt
http://rancher.com/
http://boot2docker.io/
https://coreos.com/
http://mesos.apache.org/documentation/latest/docker-containerizer/
https://www.openshift.com/
LXC:
https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics
----
tmux:
http://www.hamvocke.com/blog/a-guide-to-customizing-your-tmux-conf/
http://www.pro-linux.de/artikel/2/1691/tmux-das-kung-fu-der-terminal-ninjas.html
----
Git - Prompt in Bash mit Status:
https://coderwall.com/p/pn8f0g/show-your-git-status-and-branch-in-color-at-the-command-prompt
----
zcat /SoYouStart-ftp/zabbix/zabbix1.sql.gz | pv --progress --size 5000m | mysql -uzabbix -pzabbix zabbix
----
Programmierumgebungen um Android Apps zu entwickeln:
Visual Basic ähnlich, $59: https://www.b4x.com/b4a.html
Mono, kostenlos, auch VB ähnlich: http://www.monodevelop.com/download/
----
https://hakshop.myshopify.com/collections/lan-turtle/products/lan-turtle
----
pfSense als Bridge:
https://magiksys.blogspot.de/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html
----
Linux 2 Faktor:
https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-14-04
https://www.linux.com/learn/how-set-2-factor-authentication-login-and-sudo
Für Apache Basic Auth
https://stackoverflow.com/questions/19696526/svn-two-factor-authentication
Beispiel eigene Webseite:
https://www.twilio.com/blog/2013/04/add-two-factor-authentication-to-your-website-with-google-authenticator-and-twilio-sms.html
----
https://www.deskmodder.de/wiki/index.php/Farben_%C3%A4ndern_anpassen_Windows_10
----
Umbau Telnet-SMTP-Tool auf TLS Unterstützung:
https://scottlinux.com/2014/06/05/check-for-smtp-tls-from-command-line-with-openssl/
----
Cooles Inferface für Dateidownloads: https://larsjung.de/h5ai/
----
Telekom Hybrid Zugang, VPN und Fritz!Box:
http://www.lubensky.de/hybrid/index.htm
https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Fritzbox-7390-hinter-Speedport-Hybrid-incl-DynDNS-Fernzugang-und/td-p/1405640
Sendemast finden:
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Die-richtige-Antenne-fuer-den-Speedport-Hybrid/td-p/1316157

Bis zu 150 MBit/s:
Telefonieren & Surfen mit dem Smartphone

Bis zu 150 MBit/s:
Surfen mit dem Laptop oder Tablet

Am markierten Punkt sind die Mobilfunktechnologien GSM, GPRS, EDGE, UMTS, HSPA, LTE 1800/2600, LTE 800 verfügbar.
Richtung zum nächsten LTE-Standort (LTE 1800 MHz) in 231° Südwest
:[[Datei:LTE_Meisenweg-Achim-001.png]] 
:[[Datei:LTE_Meisenweg-Achim-002.png]] 
:[[Datei:LTE_Meisenweg-Achim-003.png]] 
 
 
Antennentypen
http://www.lte800.com/test-lte-antennen-empfehlung-beratung.html
Empfangs- und Sendepegel am Speedport Hybrid sehen:
http://speedport.ip/engineer/html/lteinfo.html?lang=de
Bedeutung der Werte:
https://www.fts-hennig.de/mobilfunk-blog/antennen/lte-antennen/lte-leistung/
----
W10 dual Boot:
Disk2VHD: https://technet.microsoft.com/en-us/sysinternals/ee656415.aspx
http://blog.alekel.de/windows-10-preview-parallel-installieren-variante-2/

----
http://www.hypergridbusiness.com/faq/vr-headset-qr-codes/
https://vr.google.com/cardboard/viewerprofilegenerator/
----
Robocopy Progress Bar in Batch geschrieben: http://ss64.org/viewtopic.php?id=1499
----
Select * from Win32_OperatingSystem where Caption like "%Server%"
Select * from Win32_OperatingSystem where not Caption like "%Server%"
----
* https://www.secuso.informatik.tu-darmstadt.de/de/research/results/passsec/
* http://foonet.be/2012/03/09/monitoring-veeam-flr-sessions-using-powercli/
----
gwmi -Namespace root\wmi -Class MPIO_DISK_INFO
ipmitool -I lanplus -A RMCP+ -H 10.112.105.15 -U username -P password sensor
ipmitool -I lanplus -A MD5 -H 192.168.244.182 -L USER -U zabbix -P zabbix sensor get "Power Supply 1"

* http://www.tp-link.com/Common/Spotlight/EAP_controller.html
* http://www.ekahau.com/wifidesign/ekahau-heatmapper
* http://www.amazon.de/Schiebetür-Nischentür-wasserbeständig-Farbwahl-203x82cm/dp/B00F9T3OUU/
* Zabbi xmit MariaDB? http://www.tecmint.com/install-and-configure-zabbix-monitoring-on-debian-centos-rhel/
----
Windows 10 DeDup: http://www.slr-corp.fr/2015/08/windows-10-rtm-enabling-deduplication/
==VMware==
* Vorher-Nacher Scripts bei Snapshots: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006671
 
 
----
==rkhunter==
* http://www.woktron.com/secure/knowledgebase/79/Installation-Rootkit-Hunter-rkhunter-on-CentOS-5-and-6.html
 
 
----
==Autodiscover Exchange==
* https://www.kernel-error.de/postfix/autodiscover
* http://msdn.microsoft.com/en-us/library/office/bb204082(v=exchg.150).aspx
* http://0wned.it/geek-bits/scripts/open-source-autodiscover-implementation-in-php/
* https://github.com/jamesiarmes/php-ews
* http://blogs.technet.com/b/ilvancri/archive/2010/02/03/some-autodiscover-fun.aspx
 
 
----
==Minecraft Server==
* https://github.com/Thue/rfwadmin
* http://minecraft.gamepedia.com/Tutorials/Ubuntu_startup_script
* http://minecraft.gamepedia.com/Setting_up_a_server
* http://www.spigotmc.org/
* https://linux.freethenoise.com/ubuntu-14-04-secure-minecraft-server-setup/
* https://minecraft.net/download
* https://computerobz.wordpress.com/2014/06/13/how-to-minecraft-server-on-ubuntu/
 
 
----
==IPv6==
* https://doc.pfsense.org/index.php/Using_IPv6_on_2.1_with_a_Tunnel_Broker
 
 
----
==Guacamole==
* http://guac-dev.org/release/release-notes-0-9-3
* http://sourceforge.net/projects/guacamole/
* https://github.com/glyptodon/
* http://guac-dev.org/doc/gug/configuring-guacamole.html
* http://guac-dev.org/doc/gug/installing-guacamole.html
* http://tomba.tweakblogs.net/blog/9833/no-more-logmein-free-opensource-to-the-rescue!.html
* http://192.168.42.55:8080/guacamole/index.xhtml
LDAP + AD
* http://guac-dev.org/doc/gug/ldap-auth.html
* https://docs.google.com/document/d/1WD87zGuZuVlaoZvQb1VC4HNfu2cAKgFY2mDMScBSMeg/edit?pli=1
 
 
----
==VMware View==
* http://lab.piszki.pl/access-to-windows-7-or-8-via-a-web-browser/
 
 
----
==osTicket Link Sammlung: ==
* http://www.openscriptsolution.com/ticket-system/osticket/staff-cannot-view-ticket-until-they-are-assigned-in-osticket-v1-6-rc5/
* http://www.osticket.com/forum/discussion/2792/redirect/p1
* http://www.osticket.com/forum/discussion/3220/staff-to-view-only-assigned-tickets
 
 
----
==Zabbix Link-Sammlung==
* http://deinoscloud.wordpress.com/2010/07/05/unknown-or-overlooked-esxi4s-scripts-and-commands/
* http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2005821
* http://www.andysblog.de/windows-mit-apcupsd-einen-vmware-esxi-herunterfahren
* http://communities.vmware.com/docs/DOC-16872
* http://www.vm-help.com/esx40i/manage_without_VI_client_1.php
* http://esx-guy.blogspot.de/2012/03/how-to-query-virtual-machine-from.html
* http://esx-guy.blogspot.de/2012/03/power-of-esxcli-command-in-esxi-5.html
* http://esx-guy.blogspot.de/2010/11/vmware-esx-commands.html
* http://www.looke.ch/wp/monitoring-esx-servers-with-zabbix
* http://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.resourcemanagement.doc_41/performance_monitoring_utilities_resxtop_and_esxtop/c_using_the_resxtop_utility.html
* Backup: http://zabbixzone.com/zabbix/backuping-full-database/
 
 
----
==Fritz!Box Linksammlung==
* http://www.tecchannel.de/server/extra/432803/tuning_hacks_fritzbox_fritz_box_erweiterungen_ftp_telnet/index15.html
* Farbiger prompt: http://www.ip-phone-forum.de/showthread.php?t=257982
* Putty schliesst sich nach Telnet nicht: http://www.ip-phone-forum.de/showthread.php?t=190580
* DSl Daten abfragen in Telnet: http://wehavemorefun.de/fritzbox/Sar
 
 
----
==Openfire Link-Sammlung==
* http://www.thefanclub.co.za/how-to/how-setup-instant-messaging-server-using-openfire-ubuntu-1204
* http://library.linode.com/communications/xmpp/openfire/ubuntu-12.04-precise-pangolin
* http://community.igniterealtime.org/thread/48282
 
 
----
==1und1 vserver Linux: ==
* Limits: * http://www.codarbyte.de/2011/01/vserver-von-1und1-und-numproc-was-man-vor-der-bestellung-wissen-sollte/
* http://vervollkomm.net/tutorials/29-1und1-vserver
* http://blog.ha-com.com/2011/06/28/seltsame-zeichen-im-midnight-commander-mc-beheben/
* SecurePHP - notwendige Änderung: http://polyblogiol.wordpress.com/2010/02/06/mediawiki-und-php-scripting/
* http://www.mediawiki.org/wiki/Manual:Configuration_settings
* http://hilfe-center.1und1.de/server-c82640/virtual-server-linux-c82672/bedienung-c82783/-plesk-auf-virtual-server-aktualisieren-a784774.html
* http://hilfe-center.1und1.de/server-c82640/virtual-server-linux-c82672/problemloesung-c82779/virtual-server-mit-centos-ist-nach-update-nicht-mehr-erreichbar-a784759.html
* http://www.jungcreative.de/einen-vserver-von-1und1-mit-centos-updaten
* http://www.codarbyte.de/2010/12/parallels-plesk-panel-10-0-1-in-ubuntu-10-04/
* http://hilfe-center.1und1.de/sicherheit-c84638/server-absichern-c84651/dedicated-server-linux-c84657/server-aktuell-halten-und-neue-software-installieren-a788780.html
* http://www.ssl-faq.info/article/AA-00133/8/Technisches/Wie-kann-man-ein-Zertifikat-von-IIS-auf-Apache-verschieben.html (fehlt noch was)
* http://www.opensourcetutor.com/2007/08/08/convert-iis-ssl-certificate-to-use-in-apache/
* http://blog.zimmer-se.de/index.cfm/2008/7/28/IIS-SSLZertifikat-fr-Apache-convertieren (hier ist es mit drin)

HostEurope
* Limits: http://faq.hosteurope.de/index.php?cpid=13281

vservern Beine machen / absichern
* http://www.typo3forum.net/forum/typo3-4-x-installation-updates/48883-typo3-vserver-beschleunigungsmoeglichkeiten-4.html

==mx-Record besser abfragen LINUX==
* http://de.wikipedia.org/wiki/MX_Resource_Record

Rund um Ubuntu 12.04.x LTS
* http://wiki.ubuntu-forum.de/index.php/Apt-get#System-Update

==Eigener DynDNS Server:==
* http://www.grosseosterhues.com/2011/03/gnudip-setup-on-ubuntu-10-10/
* http://packages.ubuntu.com/hardy/gnudip
*
----
==Der REst==

* Logitech MX1000 Batterie wechseln: http://www.youtube.com/watch?v=O7Jp1oj_WxA
<big>* [http://znil.net/index.php?title=Vorlage:Mediawiki_Wartung&action=edit Wartung bearbeiten]</big>
<big>* [[Vorlage|Liste aller Vorlagen]]</big>
* Geschenke / Nerd-Stuff:
** http://www.getdigital.de/products/Thinking
** http://www.getdigital.de/products/USB_LED-Anzeigetafel
** http://www.getdigital.de/products/USB_Fridge
** http://www.getdigital.de/products/Khet_Laser_Spiel_2.0
** http://www.getdigital.de/products/Zeitmaschine
** http://www.getdigital.de/products/blutbadschuerze
** http://www.getdigital.de/products/ask_me_about_my_zombie
** http://www.getdigital.de/products/Big_Brother_Vogelhaus
** http://www.getdigital.de/products/Hello_World_Poster
** http://www.getdigital.de/products/Star_Wars_Wandaufkleber
** http://www.getdigital.de/products/Star_Wars_Film_Poster
** http://www.getdigital.de/products/Das_Keyboard_Model_S
** http://www.getdigital.de/products/Das_Keyboard_Model_S_Professional
** http://www.getdigital.de/products/Notebook_Cover
** http://www.getdigital.de/products/Abgerissener_USB_Speicher
** http://www.getdigital.de/products/Celluon_Laser_Tastatur
** http://www.getdigital.de/products/schluesselwerkzeug
** http://www.getdigital.de/products/Kreditkarten_Dietriche
** http://www.getdigital.de/products/DAU_Orden
**

{{Trennlinie-02}}
----
 
* Verschieben Demo von DIV Fenstern mit JavaScript: http://www.selfhtml.de/demo/drags.html und JavaScript im Wiki nutzen: http://www.mediawiki.org/wiki/Extension:Javascript
* Land und Ort bestimmen einer IP-Adresse: http://bartomedia.blogspot.com/2007/11/maxmind-geoip-setup-tutorial-using.html und http://www.it-academy.cc/article/1467/PHP:+Herkunft+einer+IPAdresse+ermitteln.html
 
Upgrade SBS 2003 zu 2008R2 und Exchange 2010:
* http://demazter.wordpress.com/2010/04/29/migrate-small-business-server-2003-to-exchange-2010-and-windows-2008-r2/
* http://technikblog.rachfahl.de/technik/howto-abloesung-eines-windows-small-business-server-2003-inkl-exchange-migration/

SBS2003 als Memberserver weiterlaufen lassen:
* http://www.certforums.com/forums/sbs/39759-sbs2003-change-member-server-guide.html

Android 3D Oberfläche: https://market.android.com/details?id=com.spb.shell3d&feature=search_result

http://www.youtube.com/watch?v=O7Jp1oj_WxA -> Logitech MX 1000 Batterie wechseln / Gehäuse öffnen

'''UltraVNC SC: http://www.uvnc.com/downloads/single-click/82-single-click-downloads.html'''

http://thelazyadmin.com/blogs/thelazyadmin/archive/2007/01/26/Configure-RDP-over-SSL-with-SelfSSL.aspx RDP mit SSL

http://www.mediawiki.org/wiki/Extension:MediawikiPlayer

http://www.mediawiki.org/wiki/Extension:Google_Translator

http://www.shoutwiki.com/wiki/Template:Email <- mal abschauen

http://www.wiki.xennis.de/index.php?title=Hauptseite

http://www.mediawiki.org/wiki/Extension:Semantic_Forms

Anmelden – wie gemacht? Tabelle mit Grafik oben links – wie gemacht? http://www.leerwiki.nl/Hoofdpagina

Zusätzliche Symbole unten beim Edieren ! http://www.mediawiki.org/wiki/Extension:CharInsert

An die Template (Vorlage:) können Parameter übergeben werden! Siehe Anleitung hier: http://www.mediawiki.org/wiki/Help:Templates/de

Bewertungsleiste (mit Sternen 1 bis 5): http://www.mediawiki.org/wiki/Extension:AjaxRatingScript

LightBox – Bilder Cooler betrachten: http://www.huddletogether.com/projects/lightbox2/ und dazu http://www.mediawiki.org/wiki/User:Alxndr/Lightbox2_hack

----

ComiPo!
http://comipoclubhouse.deviantart.com/favourites/66406281/Free-ComiPo-Resources
----
'''SVC 5.1.0 and above'''
In SVC software version 5.1.0 and above the active quorum disk can be specified with the svctask setquorum command and using the -active flag option. The current quorum disk status can be viewed using the svcinfo lsquorum command 
 
 
----
[[Datei:20250907_133844.jpg]]
----
<comments />

Benutzer:BLinz

2026-05-27T09:16:39Z

BLinz:

<source>
Aktuelle Werte abfragen:
Get-WmiObject -Namespace "Root\MicrosoftDFS" -Class DfsrMachineConfig | select MaxOfflineTimeInDays

Um diesen beispielsweise auf 300 hochzusetzen, geht man so vor:
$dfsrConfig = Get-WmiObject -Namespace "Root\MicrosoftDFS" `
-Class DfsrMachineConfig

$dfsrConfig.MaxOfflineTimeInDays = 300
$dfsrConfig.Put()

Auf Standardwert zurücksetzen:
$dfsrConfig = Get-WmiObject -Namespace "Root\MicrosoftDFS" `
-Class DfsrMachineConfig

$dfsrConfig.MaxOfflineTimeInDays = 60
$dfsrConfig.Put()
</source>


Das ist ein {{bred|Test}} der Vorlage 
und in der Zeile darunter sieht es so aus
* https://www.cursor.com/

https://www.gl-inet.com/products/gl-rm1/
----
==FritzBox Verbindungsstatus==
* https://forum.iobroker.net/topic/73921/gel%C3%B6st-zabbix-fritzbox-etc
* https://forum.iobroker.net/topic/76396/gel%C3%B6st-fritzbox-routen-ein-oder-ausschalten

----
https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/8/pdf/configuring_infiniband_and_rdma_networks/red_hat_enterprise_linux-8-configuring_infiniband_and_rdma_networks-en-us.pdf 
https://github.com/openucx/ucx/issues/4742
https://github.com/ofiwg/libfabric/pull/5281 
qTZpzhtmjw2Dg4QTUXvL4N

https://github.com/arendst/Tasmota/discussions/20580#discussioncomment-8256030 
----
* https://docs.oracle.com/cd/E19914-01/820-6705-10/appendix2.html
* https://linux.die.net/man/8/ibping
* https://www.fibermall.com/de/blog/difference-ethernet-infiniband-adapter.htm
* https://de.wikipedia.org/wiki/Red_Hat_Enterprise_Linux
----
[[neue Seite zum testen]]
* https://docs.vmware.com/en/VMware-Horizon/2306/virtual-desktops/GUID-4A4A181F-E758-43BC-A812-B05379D8D8B0.html
* https://www.youtube.com/watch?v=Afe0-5_QRn8

* https://askubuntu.com/questions/1308941/migrating-ubuntu-20-04-lamp-from-mysql-to-mariadb
1.3.6.1.2.1.17.4.3.1.2


UN Location Code

'''cvxc'''
https://blog.deinhandy.de/alexa-zuruecksetzen-so-funktionierts

Tuya: https://pypi.org/project/tinytuya/ 
<big>Groß</big> 
[[Test43]]

:[[Datei:ClipCapIt-230124-105454.PNG]] 

* https://1ty.me/
* 64443
* https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447
* http://mt-naka.com/hotswap/index_enu.htm
robocopy R:\ S:\ /MIR /DCOPY:DAT /R:1 /W:1 /XD $RECYCLE.BIN /XD "System Volume Information"
for /R c:\sourceFolder\ %%G in (*) do ( move /Y "%%G" c:\destinationFolder\ )
for /R c:\sourceFolder\ %G in (*) do ( move /Y "%G" c:\destinationFolder\ )
magick mogrify -format gif *.webp
Outlook.exe /cleanips
----
get-childitem "Ordnerpfad" -recurse | where-object {$_.mode -notmatch "d"} | where-object {$_.lastwritetime -gt [datetime]::parse("26/02/2021")} | format-table lastwritetime, fullname -autosize | out-file newfiles.log -append
Zabbix Uploads: https://cloud.znil.org/u/d/ec404add66804ce98821/ 


https://sysadminde.com/questions/871051/doing-dpi-scaling-server-side-rdp-windows-server-2016 
https://helpcenter.veeam.com/archive/backup/95/vsphere/used_ports.html#guest 
 

Telekom Datenvolumen: http://pass.telekom.de/ 
https://docs.microsoft.com/en-us/office/client-developer/shared/integrating-im-applications-with-office 
http://standards-oui.ieee.org/oui.txt 
----
Zabbix RDP: https://github.com/ilianapro/zabbix_template_rdp_monitoring
 
----
https://www.boc.de/watchguard-info-portal/2016/08/letsencrypt-zertifikat-als-proxy-zertifikat-auf-watchguard-firebox/ 
https://www.zabbix.com/documentation/4.0/manual/introduction/whatsnew400 
https://www.heise.de/ct/artikel/Windows-10-Version-1903-ist-fertig-4367985.html 
https://share.zabbix.com/operating-systems/windows/windows-defender-wmi-monitoring 
 
https://jalbum.net 
 

SFConflict

* RDP-Gateway hinter Apache-Revers-Proxy: https://serverfault.com/questions/353832/using-apache-as-a-reverse-proxy-https-server-in-front-of-remote-desktop-gateway
*

* [https://www.youtube.com/watch?v=D7U7Og7gocE Horst Evers - Jan]
* https://www.youtube.com/watch?v=mWqT0LYhsnk&t=1s
* RDS2610:
** https://msandbu.wordpress.com/2016/02/04/office365-on-terminal-server-done-right/
** https://social.technet.microsoft.com/Forums/scriptcenter/de-DE/087526c8-3e16-4b32-8fa3-5dd492bd1789/farmname-einer-sammlung?forum=windowsserver8de
{{Trennlinie-02}}
{{Mediawiki_Wartung}}
{{Trennlinie-02}}
* https://www.amazon.de/ŠKODA-Auto-a-s-Connect/dp/B07B2YDVN2
{{Trennlinie-02}}
* https://www.youtube.com/watch?v=Hrug17skHbY
* https://community.arubanetworks.com/t5/Wireless-Access/ArubaOS-8-2-1-cannot-create-Wlan-without-PEF-license/td-p/405492/page/2
* https://community.arubanetworks.com/t5/Wireless-Access/Bridge-mode-not-avaliable-on-VMC-VMware-Web-Interface/td-p/400583
{{Trennlinie-02}}
Schlüsselanhänger: 
* https://www.amazon.de/dp/B01MUIHBPX/ref=sspa_dk_detail_0?psc=1&pd_rd_i=B01MUIHBPX&pf_rd_m=A3JWKAKR8XB7XF&pf_rd_p=00903874-3af0-47e0-8622-ee58087f71cf&pf_rd_r=8FQPWMY1FVBCBRZTQBWT&pd_rd_wg=TwMJ0&pf_rd_s=desktop-dp-sims&pf_rd_t=40701&pd_rd_w=StBre&pf_rd_i=desktop-dp-sims&pd_rd_r=115f3ab4-caf2-11e8-8b24-ed803f1d8857
* https://www.amazon.de/dp/B01N3K04LS/ref=pd_luc_rh_sspa_dk_huc_pt_sub_3?psc=1
----
Sims 4
* https://www.simtimes.de/sims4/tipps-tricks-guides-hilfe-sims4/die-sims-4-cheats/
* http://www.simfans.de/die-sims-4/erweiterungspacks/grossstadtleben/cheats-guides/die-sims-4-grossstadtleben-cheats/
* https://www.ea.com/de-de/games/the-sims/the-sims-4/pc/how-to-cheat
{{Trennlinie-02}}
* https://zabbixonly.com/how-to-install-zabbix-server-3-4-ubuntu-18-04/
{{Trennlinie-02}}
Playstation VR am PC 
* Einrichten: https://www.windowscentral.com/how-play-steam-games-playstation-vr
* Einrichten: https://www.youtube.com/watch?v=I9cUfN23mes
* Einrichten: https://www.youtube.com/watch?v=5BSeXv3KRaw
* Kontroller: https://www.youtube.com/watch?v=PTPHulcba5A
* Kino? https://www.youtube.com/watch?v=5EYV-rSopig

{{Trennlinie-02}}
Signal-CLI: 
* https://github.com/AsamK/signal-cli
* https://github.com/AsamK/signal-cli/wiki/HowToUbuntu

{{Trennlinie-02}}
Ansichtsboxen wie hier: https://clipperz.is/blog/2017/12/24/reliability/ 
----
https://www.youtube.com/watch?v=KfrU9_qTqwA 
https://www.youtube.com/watch?v=Von_enTSXM8 
https://www.youtube.com/watch?v=iEx6byhcGqg 
http://www.citycams.tv/de/deutschland/frankfurt-am-main/ 
https://www.youtube.com/watch?v=89q6hl7N7MY 
https://www.youtube.com/watch?v=GQWg6b1fWgE 
https://www.youtube.com/watch?v=WkXroQyvdTA Soggy Dollar Bar 
https://www.youtube.com/watch?v=2sGfGRM_f3w Bodo Terminalen 
https://www.youtube.com/watch?v=TVgdgpSX1e0 Casa Labhardt 
https://www.youtube.com/watch?v=RtU_mdL2vBM Nasa Live 

https://github.com/cDima/Aerial/releases
----
AutoIt Zertifikate + Verschlüsselung: 
* https://www.autoitscript.com/forum/topic/180965-certificate-expiration-check-script/#comment-1299267
AutoIt Datei Explorer Steuerung:
* https://www.autoitscript.com/forum/topic/162905-automating-windows-explorer/
----
https://de.wikipedia.org/wiki/Go_%28Programmiersprache%29
https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics
----
Statt der grauen Boxen: https://docs.phalconphp.com/en/latest/reference/tutorial-invo-2.html
Coole neue Bildervorschau: https://www.mediawiki.org/wiki/Extension:MultimediaViewer
----
Docker: 
https://github.com/mattiasgiese
http://kubernetes.io/
https://github.com/coreos/rkt
http://rancher.com/
http://boot2docker.io/
https://coreos.com/
http://mesos.apache.org/documentation/latest/docker-containerizer/
https://www.openshift.com/
LXC:
https://www.thefanclub.co.za/how-to/how-secure-ubuntu-1604-lts-server-part-1-basics
----
tmux:
http://www.hamvocke.com/blog/a-guide-to-customizing-your-tmux-conf/
http://www.pro-linux.de/artikel/2/1691/tmux-das-kung-fu-der-terminal-ninjas.html
----
Git - Prompt in Bash mit Status:
https://coderwall.com/p/pn8f0g/show-your-git-status-and-branch-in-color-at-the-command-prompt
----
zcat /SoYouStart-ftp/zabbix/zabbix1.sql.gz | pv --progress --size 5000m | mysql -uzabbix -pzabbix zabbix
----
Programmierumgebungen um Android Apps zu entwickeln:
Visual Basic ähnlich, $59: https://www.b4x.com/b4a.html
Mono, kostenlos, auch VB ähnlich: http://www.monodevelop.com/download/
----
https://hakshop.myshopify.com/collections/lan-turtle/products/lan-turtle
----
pfSense als Bridge:
https://magiksys.blogspot.de/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html
----
Linux 2 Faktor:
https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-14-04
https://www.linux.com/learn/how-set-2-factor-authentication-login-and-sudo
Für Apache Basic Auth
https://stackoverflow.com/questions/19696526/svn-two-factor-authentication
Beispiel eigene Webseite:
https://www.twilio.com/blog/2013/04/add-two-factor-authentication-to-your-website-with-google-authenticator-and-twilio-sms.html
----
https://www.deskmodder.de/wiki/index.php/Farben_%C3%A4ndern_anpassen_Windows_10
----
Umbau Telnet-SMTP-Tool auf TLS Unterstützung:
https://scottlinux.com/2014/06/05/check-for-smtp-tls-from-command-line-with-openssl/
----
Cooles Inferface für Dateidownloads: https://larsjung.de/h5ai/
----
Telekom Hybrid Zugang, VPN und Fritz!Box:
http://www.lubensky.de/hybrid/index.htm
https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Fritzbox-7390-hinter-Speedport-Hybrid-incl-DynDNS-Fernzugang-und/td-p/1405640
Sendemast finden:
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Die-richtige-Antenne-fuer-den-Speedport-Hybrid/td-p/1316157

Bis zu 150 MBit/s:
Telefonieren & Surfen mit dem Smartphone

Bis zu 150 MBit/s:
Surfen mit dem Laptop oder Tablet

Am markierten Punkt sind die Mobilfunktechnologien GSM, GPRS, EDGE, UMTS, HSPA, LTE 1800/2600, LTE 800 verfügbar.
Richtung zum nächsten LTE-Standort (LTE 1800 MHz) in 231° Südwest
:[[Datei:LTE_Meisenweg-Achim-001.png]] 
:[[Datei:LTE_Meisenweg-Achim-002.png]] 
:[[Datei:LTE_Meisenweg-Achim-003.png]] 
 
 
Antennentypen
http://www.lte800.com/test-lte-antennen-empfehlung-beratung.html
Empfangs- und Sendepegel am Speedport Hybrid sehen:
http://speedport.ip/engineer/html/lteinfo.html?lang=de
Bedeutung der Werte:
https://www.fts-hennig.de/mobilfunk-blog/antennen/lte-antennen/lte-leistung/
----
W10 dual Boot:
Disk2VHD: https://technet.microsoft.com/en-us/sysinternals/ee656415.aspx
http://blog.alekel.de/windows-10-preview-parallel-installieren-variante-2/

----
http://www.hypergridbusiness.com/faq/vr-headset-qr-codes/
https://vr.google.com/cardboard/viewerprofilegenerator/
----
Robocopy Progress Bar in Batch geschrieben: http://ss64.org/viewtopic.php?id=1499
----
Select * from Win32_OperatingSystem where Caption like "%Server%"
Select * from Win32_OperatingSystem where not Caption like "%Server%"
----
* https://www.secuso.informatik.tu-darmstadt.de/de/research/results/passsec/
* http://foonet.be/2012/03/09/monitoring-veeam-flr-sessions-using-powercli/
----
gwmi -Namespace root\wmi -Class MPIO_DISK_INFO
ipmitool -I lanplus -A RMCP+ -H 10.112.105.15 -U username -P password sensor
ipmitool -I lanplus -A MD5 -H 192.168.244.182 -L USER -U zabbix -P zabbix sensor get "Power Supply 1"

* http://www.tp-link.com/Common/Spotlight/EAP_controller.html
* http://www.ekahau.com/wifidesign/ekahau-heatmapper
* http://www.amazon.de/Schiebetür-Nischentür-wasserbeständig-Farbwahl-203x82cm/dp/B00F9T3OUU/
* Zabbi xmit MariaDB? http://www.tecmint.com/install-and-configure-zabbix-monitoring-on-debian-centos-rhel/
----
Windows 10 DeDup: http://www.slr-corp.fr/2015/08/windows-10-rtm-enabling-deduplication/
==VMware==
* Vorher-Nacher Scripts bei Snapshots: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1006671
 
 
----
==rkhunter==
* http://www.woktron.com/secure/knowledgebase/79/Installation-Rootkit-Hunter-rkhunter-on-CentOS-5-and-6.html
 
 
----
==Autodiscover Exchange==
* https://www.kernel-error.de/postfix/autodiscover
* http://msdn.microsoft.com/en-us/library/office/bb204082(v=exchg.150).aspx
* http://0wned.it/geek-bits/scripts/open-source-autodiscover-implementation-in-php/
* https://github.com/jamesiarmes/php-ews
* http://blogs.technet.com/b/ilvancri/archive/2010/02/03/some-autodiscover-fun.aspx
 
 
----
==Minecraft Server==
* https://github.com/Thue/rfwadmin
* http://minecraft.gamepedia.com/Tutorials/Ubuntu_startup_script
* http://minecraft.gamepedia.com/Setting_up_a_server
* http://www.spigotmc.org/
* https://linux.freethenoise.com/ubuntu-14-04-secure-minecraft-server-setup/
* https://minecraft.net/download
* https://computerobz.wordpress.com/2014/06/13/how-to-minecraft-server-on-ubuntu/
 
 
----
==IPv6==
* https://doc.pfsense.org/index.php/Using_IPv6_on_2.1_with_a_Tunnel_Broker
 
 
----
==Guacamole==
* http://guac-dev.org/release/release-notes-0-9-3
* http://sourceforge.net/projects/guacamole/
* https://github.com/glyptodon/
* http://guac-dev.org/doc/gug/configuring-guacamole.html
* http://guac-dev.org/doc/gug/installing-guacamole.html
* http://tomba.tweakblogs.net/blog/9833/no-more-logmein-free-opensource-to-the-rescue!.html
* http://192.168.42.55:8080/guacamole/index.xhtml
LDAP + AD
* http://guac-dev.org/doc/gug/ldap-auth.html
* https://docs.google.com/document/d/1WD87zGuZuVlaoZvQb1VC4HNfu2cAKgFY2mDMScBSMeg/edit?pli=1
 
 
----
==VMware View==
* http://lab.piszki.pl/access-to-windows-7-or-8-via-a-web-browser/
 
 
----
==osTicket Link Sammlung: ==
* http://www.openscriptsolution.com/ticket-system/osticket/staff-cannot-view-ticket-until-they-are-assigned-in-osticket-v1-6-rc5/
* http://www.osticket.com/forum/discussion/2792/redirect/p1
* http://www.osticket.com/forum/discussion/3220/staff-to-view-only-assigned-tickets
 
 
----
==Zabbix Link-Sammlung==
* http://deinoscloud.wordpress.com/2010/07/05/unknown-or-overlooked-esxi4s-scripts-and-commands/
* http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2005821
* http://www.andysblog.de/windows-mit-apcupsd-einen-vmware-esxi-herunterfahren
* http://communities.vmware.com/docs/DOC-16872
* http://www.vm-help.com/esx40i/manage_without_VI_client_1.php
* http://esx-guy.blogspot.de/2012/03/how-to-query-virtual-machine-from.html
* http://esx-guy.blogspot.de/2012/03/power-of-esxcli-command-in-esxi-5.html
* http://esx-guy.blogspot.de/2010/11/vmware-esx-commands.html
* http://www.looke.ch/wp/monitoring-esx-servers-with-zabbix
* http://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.resourcemanagement.doc_41/performance_monitoring_utilities_resxtop_and_esxtop/c_using_the_resxtop_utility.html
* Backup: http://zabbixzone.com/zabbix/backuping-full-database/
 
 
----
==Fritz!Box Linksammlung==
* http://www.tecchannel.de/server/extra/432803/tuning_hacks_fritzbox_fritz_box_erweiterungen_ftp_telnet/index15.html
* Farbiger prompt: http://www.ip-phone-forum.de/showthread.php?t=257982
* Putty schliesst sich nach Telnet nicht: http://www.ip-phone-forum.de/showthread.php?t=190580
* DSl Daten abfragen in Telnet: http://wehavemorefun.de/fritzbox/Sar
 
 
----
==Openfire Link-Sammlung==
* http://www.thefanclub.co.za/how-to/how-setup-instant-messaging-server-using-openfire-ubuntu-1204
* http://library.linode.com/communications/xmpp/openfire/ubuntu-12.04-precise-pangolin
* http://community.igniterealtime.org/thread/48282
 
 
----
==1und1 vserver Linux: ==
* Limits: * http://www.codarbyte.de/2011/01/vserver-von-1und1-und-numproc-was-man-vor-der-bestellung-wissen-sollte/
* http://vervollkomm.net/tutorials/29-1und1-vserver
* http://blog.ha-com.com/2011/06/28/seltsame-zeichen-im-midnight-commander-mc-beheben/
* SecurePHP - notwendige Änderung: http://polyblogiol.wordpress.com/2010/02/06/mediawiki-und-php-scripting/
* http://www.mediawiki.org/wiki/Manual:Configuration_settings
* http://hilfe-center.1und1.de/server-c82640/virtual-server-linux-c82672/bedienung-c82783/-plesk-auf-virtual-server-aktualisieren-a784774.html
* http://hilfe-center.1und1.de/server-c82640/virtual-server-linux-c82672/problemloesung-c82779/virtual-server-mit-centos-ist-nach-update-nicht-mehr-erreichbar-a784759.html
* http://www.jungcreative.de/einen-vserver-von-1und1-mit-centos-updaten
* http://www.codarbyte.de/2010/12/parallels-plesk-panel-10-0-1-in-ubuntu-10-04/
* http://hilfe-center.1und1.de/sicherheit-c84638/server-absichern-c84651/dedicated-server-linux-c84657/server-aktuell-halten-und-neue-software-installieren-a788780.html
* http://www.ssl-faq.info/article/AA-00133/8/Technisches/Wie-kann-man-ein-Zertifikat-von-IIS-auf-Apache-verschieben.html (fehlt noch was)
* http://www.opensourcetutor.com/2007/08/08/convert-iis-ssl-certificate-to-use-in-apache/
* http://blog.zimmer-se.de/index.cfm/2008/7/28/IIS-SSLZertifikat-fr-Apache-convertieren (hier ist es mit drin)

HostEurope
* Limits: http://faq.hosteurope.de/index.php?cpid=13281

vservern Beine machen / absichern
* http://www.typo3forum.net/forum/typo3-4-x-installation-updates/48883-typo3-vserver-beschleunigungsmoeglichkeiten-4.html

==mx-Record besser abfragen LINUX==
* http://de.wikipedia.org/wiki/MX_Resource_Record

Rund um Ubuntu 12.04.x LTS
* http://wiki.ubuntu-forum.de/index.php/Apt-get#System-Update

==Eigener DynDNS Server:==
* http://www.grosseosterhues.com/2011/03/gnudip-setup-on-ubuntu-10-10/
* http://packages.ubuntu.com/hardy/gnudip
*
----
==Der REst==

* Logitech MX1000 Batterie wechseln: http://www.youtube.com/watch?v=O7Jp1oj_WxA
<big>* [http://znil.net/index.php?title=Vorlage:Mediawiki_Wartung&action=edit Wartung bearbeiten]</big>
<big>* [[Vorlage|Liste aller Vorlagen]]</big>
* Geschenke / Nerd-Stuff:
** http://www.getdigital.de/products/Thinking
** http://www.getdigital.de/products/USB_LED-Anzeigetafel
** http://www.getdigital.de/products/USB_Fridge
** http://www.getdigital.de/products/Khet_Laser_Spiel_2.0
** http://www.getdigital.de/products/Zeitmaschine
** http://www.getdigital.de/products/blutbadschuerze
** http://www.getdigital.de/products/ask_me_about_my_zombie
** http://www.getdigital.de/products/Big_Brother_Vogelhaus
** http://www.getdigital.de/products/Hello_World_Poster
** http://www.getdigital.de/products/Star_Wars_Wandaufkleber
** http://www.getdigital.de/products/Star_Wars_Film_Poster
** http://www.getdigital.de/products/Das_Keyboard_Model_S
** http://www.getdigital.de/products/Das_Keyboard_Model_S_Professional
** http://www.getdigital.de/products/Notebook_Cover
** http://www.getdigital.de/products/Abgerissener_USB_Speicher
** http://www.getdigital.de/products/Celluon_Laser_Tastatur
** http://www.getdigital.de/products/schluesselwerkzeug
** http://www.getdigital.de/products/Kreditkarten_Dietriche
** http://www.getdigital.de/products/DAU_Orden
**

{{Trennlinie-02}}
----
 
* Verschieben Demo von DIV Fenstern mit JavaScript: http://www.selfhtml.de/demo/drags.html und JavaScript im Wiki nutzen: http://www.mediawiki.org/wiki/Extension:Javascript
* Land und Ort bestimmen einer IP-Adresse: http://bartomedia.blogspot.com/2007/11/maxmind-geoip-setup-tutorial-using.html und http://www.it-academy.cc/article/1467/PHP:+Herkunft+einer+IPAdresse+ermitteln.html
 
Upgrade SBS 2003 zu 2008R2 und Exchange 2010:
* http://demazter.wordpress.com/2010/04/29/migrate-small-business-server-2003-to-exchange-2010-and-windows-2008-r2/
* http://technikblog.rachfahl.de/technik/howto-abloesung-eines-windows-small-business-server-2003-inkl-exchange-migration/

SBS2003 als Memberserver weiterlaufen lassen:
* http://www.certforums.com/forums/sbs/39759-sbs2003-change-member-server-guide.html

Android 3D Oberfläche: https://market.android.com/details?id=com.spb.shell3d&feature=search_result

http://www.youtube.com/watch?v=O7Jp1oj_WxA -> Logitech MX 1000 Batterie wechseln / Gehäuse öffnen

'''UltraVNC SC: http://www.uvnc.com/downloads/single-click/82-single-click-downloads.html'''

http://thelazyadmin.com/blogs/thelazyadmin/archive/2007/01/26/Configure-RDP-over-SSL-with-SelfSSL.aspx RDP mit SSL

http://www.mediawiki.org/wiki/Extension:MediawikiPlayer

http://www.mediawiki.org/wiki/Extension:Google_Translator

http://www.shoutwiki.com/wiki/Template:Email <- mal abschauen

http://www.wiki.xennis.de/index.php?title=Hauptseite

http://www.mediawiki.org/wiki/Extension:Semantic_Forms

Anmelden – wie gemacht? Tabelle mit Grafik oben links – wie gemacht? http://www.leerwiki.nl/Hoofdpagina

Zusätzliche Symbole unten beim Edieren ! http://www.mediawiki.org/wiki/Extension:CharInsert

An die Template (Vorlage:) können Parameter übergeben werden! Siehe Anleitung hier: http://www.mediawiki.org/wiki/Help:Templates/de

Bewertungsleiste (mit Sternen 1 bis 5): http://www.mediawiki.org/wiki/Extension:AjaxRatingScript

LightBox – Bilder Cooler betrachten: http://www.huddletogether.com/projects/lightbox2/ und dazu http://www.mediawiki.org/wiki/User:Alxndr/Lightbox2_hack

----

ComiPo!
http://comipoclubhouse.deviantart.com/favourites/66406281/Free-ComiPo-Resources
----
'''SVC 5.1.0 and above'''
In SVC software version 5.1.0 and above the active quorum disk can be specified with the svctask setquorum command and using the -active flag option. The current quorum disk status can be viewed using the svcinfo lsquorum command 
 
 
----
[[Datei:20250907_133844.jpg]]
----
<comments />

Zabbix Server + Agent unter Ubuntu 26.04 LTS installieren

2026-05-20T12:58:40Z

BLinz: /* Benötigte Programme für Zabbix installieren */

'''Changelog:''' 
* 13.05.2026 erste Version
* 15.05.2026 Teil mit Festplatten-Vergrößerung überarbeitet (Einzeiler hinzugefügt)
* 15.05.2026 Proxmox-Backupskripte von {{code|#!/bin/bash}} auf {{code|#!/bin/sh}} umgebaut, sonst gibt es eine Fehlermeldung in Proxmox
* 15.05.2026 Skript für das Vergrößern der Festplatte hinzugefügt
----
==Installation Ubuntu Server 26.04.x LTS (Long Term Support)==
----
{{Vorlage:Einstellungen-VM-2Core-4G}}
{{Vorlage:Installation-Ubuntu-2604}}
===Benötigte Programme für Zabbix installieren===
Die nachfolgende Zeile installiert alles notwendige um alle Features eines Zabbix-Server zu nutzen. Als Datenbank wird MariaDB verwendet. 
Wer lieber MySQL verwenden will muss in der Zeile {{Key|mariadb-server}} durch {{Key|mysql-server}} ersetzen: 
apt install -y apache2 default-jre-headless fonts-dejavu fonts-dejavu-core fonts-dejavu-extra fonts-dejavu-mono fping gcc htop ipmitool language-pack-en libcares2 libcurl4-openssl-dev libiksemel-dev libldap2-dev libmysqlclient-dev libnet-dns-perl libnet-ip-perl libnet-netmask-perl libnet-snmp-perl libopenipmi-dev libsnmp-base libsnmp-dev libsnmp-perl libssh2-1-dev libxml-writer-perl libxml2-dev libc6-dev make mariadb-client-core mariadb-common mariadb-server openjdk-25-jre-headless php-bcmath php-curl php-fpm php-gd php-ldap php-mbstring php-mysql php-xml sblim-wbemcli snmp snmp-mibs-downloader snmpd snmptrapd snmptt traceroute unixodbc unixodbc-dev

{{Tipp| Zum kopieren der oberen Zeile mit der Maus vor das <code>apt</code> gehen und 3x Klicken. Ggf. mehrmals versuchen - bis die ganze Zeile markiert ist. Diese kann dann so in z.B. PuTTY eingefügt werden}} 
Mit der obigen Zeite werden gewiss einige Pakete zuviel installiert - unter anderem alles was nötig wäre um Zabbix auch direkt aus dem Quellcode zu kompilieren. Aber es sind dann auch definitiv alle notwendigen Voraussetzungen für jegliche Zabbix-Abfrage vorhanden, z.B. für den Empfang von SNMP-Traps - unter anderem zum Beispiel die ganzen PHP-Pakete inklusive LDAP. 
----

==Zabbix Server installieren==
Ich würde in einer Produktivumgebung immer eine der LTS-Varianten installieren. Auch wenn es einem in den Finger juckt wegen der neuen Features. 
Ihr müsstet spätestens nach 6 Monaten ein Upgrade auf die nächste Version durchführen! 
Ich persönlich nutze auch privat nur die LTS-Version. Die Zwischenversionen installiere ich separat zum Testen. 
----
===Zabbix Repository hinzufügen===
{{Hinweis|Im Zweifel findet Ihr die richtigen Quellen unter https://www.zabbix.com/download}} 
<div style="background:lightgreen">'''Für die Version 7.0.x LTS (Support bis 31.06.2029)''' 
<nowiki>wget https://repo.zabbix.com/zabbix/7.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_latest_7.0+ubuntu26.04_all.deb</nowiki>
dpkg -i zabbix-release_latest_7.0+ubuntu26.04_all.deb
apt update && apt upgrade -y
rm zabbix-release_*
</div>
{{Hinweis|Im Moment gibt es noch folgende Meldung von {{code|apt}}: {{code|Hinweis: Einige Quellen können modernisiert werden. Führen Sie dafür »apt modernize-sources« aus.}} 
Das macht Ihr bitte nicht! Die Zabbix Quellen sind noch nicht so weit, ich ändere das hier sobald es geht. Ggf. liefert Zabbix irgendwann auch einfach das neue Format aus.}}


{{Hinweis| Das <code>apt update && apt upgrade -y</code> ist notwendig da ich bemerkt habe das darüber auch das Zabbix-Repo selbst geupdatet wurde. (Kann sich wieder ändern, schadet aber auch nicht)}}
----

===Zabbix installieren===
Die Installation der ausführbaren Dateien erfolgt bei allen Varianten nach <code>/sbin</code> ! 
{{Warnung| Achtet nachfolgend immer darauf ob Ihr den '''''Zabbix Server''''' oder den '''''Zabbix Proxy''''' installieren wollt!}}
Fehlermeldungen zum '''''Zabbix Java Gateway''''' ignorieren! 
 
----
====[[Datei:Button_Zabbix_SERVER.png]] Als Server====
'''Ab Version 7.0'''
apt install -y zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent2 zabbix-agent2-plugin-* zabbix-get zabbix-sender zabbix-java-gateway zabbix-web-service
 
----

====[[Datei:Button_Zabbix_PROXY.png]] Als Proxy====
'''Ab Version 6.0'''
apt install -y zabbix-proxy-mysql zabbix-sql-scripts zabbix-agent2 zabbix-agent2-plugin-* zabbix-get zabbix-sender zabbix-java-gateway
 
----

====Java Gateway deaktivieren====
Die wenigsten werden es nutzen - doch diese Anleitung ist so gemacht das sich danach alle Features von Zabbix nutzen lassen. 
'''Wann braucht Ihr es?''' Wenn Ihr Java-Applikationen habt die Ihr aus dieser Applikation selbst monitoren wollt. Dazu müssen beim Start der Applikation extra Parameter hierfür übergeben werden (nämlich unter anderen die Daten des Java-Gateways). 
 
Wer es nicht braucht (und gerade nur Bahnhof verstanden hat) deaktiviert es mit 
systemctl stop zabbix-java-gateway.service && systemctl disable zabbix-java-gateway.service
Bei der Installation gab es ggf. Fehlermeldungen das der Dienst nicht gestartet werden konnte - das würde jetzt aber funktionieren. 
 
----

===MariaDB (MySQL) Datenbank optimieren===
{{Hinweis| Es funktioniert auch alles ohne diese Optimierungen! Diese kann man machen wenn der Server etwas größer wird weil wir hunderte von Servern und Geräten überwachen! In diesem Fall sollte auch der Festplattenplatz entsprechend dimensoniert sein! Für einen einfachen Server könnt Ihr das hier auch überspringen!}}
Die Einrichtung wird auch hier beschrieben - allerdings etwas knapp: https://www.zabbix.com/documentation/current/manual/appendix/install/db_scripts 
 
Die Zabbix-Datenbank kann recht groß werden und jeder Zugriff zählt. Ich habe mir deshalb mal aus diversen Quellen im Internet Tipps zusammengesucht um die Performance der Datenbank zu steigern. 
 
'''MariaDB''' Einstellungen bearbeiten (wer MySQL einsetzt findet die passende Datei unter {{Key|nano /etc/mysql/mysql.conf.d/mysqld.cnf}}):
nano /etc/mysql/mariadb.conf.d/50-server.cnf
und unterhalb von 
[mariadbd]
Diese Zeilen einfügen ('''und die Kommentare lesen / beachten!!!)''':
# Größe der Logdatei statt 10MB
innodb_log_file_size = 512M
# Transaktionswerte nach Möglichkeit nicht in den Doublewritebuffer schreiben
innodb_doublewrite = 0
# Transaktionen schon bestätigen sobald diese im Cache stehen:
innodb_flush_log_at_trx_commit = 2
# Wieviel Hauptspeicher soll zum Puffern verwendet werden? Nehmt die Hälfte des vorhandenen Speichers (bei 4GB RAM also 2G, bei 1G also 512M)
innodb_buffer_pool_size = 1G
# Eigenes Fehlerprotokoll wieder aktivieren
log_error = /var/log/mysql/error.log

mit {{key|STRG}} + {{key|x}} den nano verlassen und speichern bestätigen {{key|j}} + {{key|Enter}}) 
{{Warnung|Prüft unbedingt den Wert von '''''<Code>innodb_buffer_pool_size</Code>'''''!!! Dieser Wert darf nicht größer sein als der tatsächlich vorhandene RAM, sonst startet MySQL nicht}}
 
Prüft ggf. ob diese Zeilen dann nicht doppelt vorkommen! 
 
Wenn Ihr später immer mehr Poller, Pinger und andere Zabbix-Prozesse startet müsst Ihr auch die Anzahl der möglichen Verbindungen zu MySQL Datenbank erhöhen. 
Auch jeder Nutzer der auf dem Webinterface arbeitet verbraucht Verbindungen. Im {{Key|zabbix_server.log}} steht dann eine Meldung mit "too many connection". 
 
Sucht die Zeile 
#max_connections = 100
und ändert diese auf
max_connections = 300
 

Nun müssen wir den mysql Server einmal neu starten:
systemctl restart mariadb.service
 
Ob Ihr alles richtig gemacht habt könnt Ihr im Log kontrollieren: 
cat /var/log/mysql/error.log
Die Ausgabe sollte dann etwa so aussehen: 
2026-05-13 12:27:33 0 [Note] Starting MariaDB 11.8.6-MariaDB-5 from Ubuntu source revision 9bfea48ce1214cc4470f6f6f8a4e30352cef84e7 server_uid VsIxMswVJ16uWmTBb207HuhaU8w= as process 17610
2026-05-13 12:27:33 0 [Note] InnoDB: Compressed tables use zlib 1.3.1
2026-05-13 12:27:33 0 [Note] InnoDB: Number of transaction pools: 1
2026-05-13 12:27:33 0 [Note] InnoDB: Using crc32 + pclmulqdq instructions
2026-05-13 12:27:33 0 [Note] InnoDB: Using io_uring
2026-05-13 12:27:33 0 [Note] InnoDB: innodb_buffer_pool_size_max=2048m, innodb_buffer_pool_size=2048m
2026-05-13 12:27:33 0 [Note] InnoDB: Initialized memory pressure event listener
2026-05-13 12:27:33 0 [Note] InnoDB: Completed initialization of buffer pool
2026-05-13 12:27:33 0 [Note] InnoDB: Buffered log writes (block size=512 bytes)
2026-05-13 12:27:33 0 [Note] InnoDB: End of log at LSN=45482
2026-05-13 12:27:33 0 [Note] InnoDB: Resizing redo log from 96.000MiB to 512.000MiB; LSN=45482
2026-05-13 12:27:33 0 [Note] InnoDB: Buffered log writes (block size=512 bytes)
2026-05-13 12:27:33 0 [Note] InnoDB: Opened 3 undo tablespaces
2026-05-13 12:27:33 0 [Note] InnoDB: 128 rollback segments in 3 undo tablespaces are active.
2026-05-13 12:27:33 0 [Note] InnoDB: Setting file './ibtmp1' size to 12.000MiB. Physically writing the file full; Please wait ...
2026-05-13 12:27:33 0 [Note] InnoDB: File './ibtmp1' size is now 12.000MiB.
2026-05-13 12:27:33 0 [Note] InnoDB: log sequence number 45482; transaction id 14
2026-05-13 12:27:33 0 [Note] InnoDB: Loading buffer pool(s) from /var/lib/mariadb/ib_buffer_pool
2026-05-13 12:27:33 0 [Note] Plugin 'FEEDBACK' is disabled.
2026-05-13 12:27:33 0 [Note] Plugin 'wsrep-provider' is disabled.
2026-05-13 12:27:33 0 [Note] InnoDB: Buffer pool(s) load completed at 260513 12:27:33
2026-05-13 12:27:36 0 [Note] Server socket created on IP: '127.0.0.1', port: '3306'.
2026-05-13 12:27:36 0 [Note] mariadbd: Event Scheduler: Loaded 0 events
2026-05-13 12:27:36 0 [Note] /usr/sbin/mariadbd: ready for connections.
Version: '11.8.6-MariaDB-5 from Ubuntu' socket: '/run/mysqld/mysqld.sock' port: 3306 -- Please help get to 10k stars at https://github.com/MariaDB/Server
Wichtig ist immer die Zeile mit dem Socket und Port (hier die letzte) - da muss der Port auftauchen auf dem der Server lauscht, in der Regel {{Key|3306}} 
 
 
----

===MariaDB/MySQL Datenbank erstellen und einrichten===
* Zabbix Datenbank anlegen: (ab Zabbix 7.0) 

mysql -u root -e "create database zabbix character set utf8mb4 collate utf8mb4_bin"
mysql -u root -e "create user 'zabbix'@'localhost' identified by 'zabbix'"
mysql -u root -e "grant all privileges on zabbix.* to 'zabbix'@'localhost'"
mysql -u root -e "SET GLOBAL log_bin_trust_function_creators = 1"
als Einzeiler: 
mysql -u root -e "create database zabbix character set utf8mb4 collate utf8mb4_bin" && mysql -u root -e "create user 'zabbix'@'localhost' identified by 'zabbix'" && mysql -u root -e "grant all privileges on zabbix.* to 'zabbix'@'localhost'" && mysql -u root -e "SET GLOBAL log_bin_trust_function_creators = 1"
Die Datenbank heißt '''''zabbix''''', der Datenbankbenutzer "zabbix" mit dem Passwort "zabbix" - wenn er also nach einem Passwort fragt nun dieses eingeben. Falls das jemand für unsicher hält - nun der MySQL Server sollte - wenn man es nicht ändert - eh nur lokale Anfragen erlauben, sprich von extern komme ich gar nicht ran. 
'''Aber selbstverständlich könnt Ihr ein entsprechendes Passwort setzen, Ihr müsst dies nur im weiteren Verlauf der Anleitung beachten:''' 
* beim dem Anlegen des Benutzers setzt Ihr euer Passwort bei <code>identified by 'zabbix'"</code> ein (das '''''zabbix''''' durch euer Passwort ersetzen
* Nachfolgend immer wenn es <code>-pzabbix</code> wieder das Wort '''''zabbix''''' durch euer Passwort ersetzen oder aber einfach nur <code>-p</code> angeben - dann fragt er jedes mal nach
{{Hinweis| Hinschauen! Hier folgen 2 unterschiedliche Wege für Server oder Proxy!}} 
[[Datei:Button_Zabbix_SERVER.png]]<big>''' Bei einem Server:'''</big> 
'''Ab Version 7.0''' 
zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbix -pzabbix zabbix
 
[[Datei:Button_Zabbix_PROXY.png]]<big>''' Bei einem Proxy:'''</big> 
Auf einem Proxy darf nur die <code>schema.sql</code> importiert werden!!!! 
Solltet Ihr aus versehen alle Schema importiert haben so löscht die Datenbank noch einmal und fangt von vorne an! Der Proxy funktioniert nicht wenn er alle Schemas hat! 
 
'''Ab Version 7.0''' 
cat /usr/share/zabbix-sql-scripts/mysql/proxy.sql | mysql --default-character-set=utf8mb4 -uzabbix -pzabbix zabbix 
----

===Konfigurationsdateien anpassen===
Nun die Konfigurationsdatei bearbeiten: 
 
[[Datei:Button_Zabbix_SERVER.png]] <big>'''für einen Server:'''</big>
nano /etc/zabbix/zabbix_server.conf
* folgende Zeilen finden und auf diese Werte ändern, ggf. den {{Key|#}} davor entfernen, {{key|STRG}} + {{key|W}} ist suchen! Beachtet die Kommentare
DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix

LogSlowQueries=20000

StartIPMIPollers=1
StartPollersUnreachable=5
StartPingers=10
StartVMwareCollectors=5 # Nur bei Bedarf => VMware soll überwacht werden!

#Die Cache Werte ggf. dem vorhandenen Arbeitsspeicher anpassen!
#Oder nicht ändern - Zabbix warnt euch wenn ein Wert ausgeschöpft ist und vergrößert werden muss - wenn das Template "Zabbix Server" zugeordnet wurde
VMwareCacheSize=64M
CacheSize=128M
HistoryCacheSize=64M
HistoryIndexCacheSize=16M
TrendCacheSize=64M
TrendFunctionCacheSize=64M
ValueCacheSize=64M

Timeout=30

# Problem mit fping6 beheben (ja, richtig, nichts hinter dem = Zeichen!)
Fping6Location=

EnableGlobalScripts=1

 
----
[[Datei:Button_Zabbix_PROXY.png]] <big>'''Bei einem Proxy:'''</big>
nano /etc/zabbix/zabbix_proxy.conf
* folgende Zeilen finden und auf diese Werte ändern, ggf. den '''#''' davor entfernen, {{key|STRG}} + {{key|W}} ist suchen!
ProxyMode=0

#IP oder DNS Name des Zabbix-Servers an den gemeldet werden soll. Falls der Port nicht 10051 ist dann mit : dahinter setzen
Server=123.123.123.123

# Hostname -> unter diesem Namen müssen wir den Proxy auch auf dem Hauptserver anlegen!
Hostname=zabbixproxy

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix

EnableRemoteCommands=1

Timeout=30

StartVMwareCollectors=5
# Nachfolgend: Richtig, nichts darf hinter dem = stehen!
Fping6Location=

 
----
{{Hinweis|Unter Ubuntu 26.04 ist<code>fping</code> und <code>fping6</code> das gleiche Programm. Die 6er Variante ist nur ein symbolischer Link auf die normale Version. Auf meinem Proxy zickte er deswegen rum (der hat eine IPv6 konfiguriert). Wenn den Eintrag wie zuvor beschrieben abändert geht es ohne Probleme. 
Die Fehlermeldung die er bringt ist 
Cannot detect the minimum interval of /usr/bin/fping6
}} 
----

===Automatischen Start beim Booten einrichten===

Die notwendigen Skripte werden bei der Installation aus den Repository direkt mit installiert, wir müssen diese nur noch aktivieren: 
[[Datei:Button_Zabbix_SERVER.png]] <big>'''Auf einem Server'''</big>
 
systemctl enable zabbix-server.service
 
 
----
[[Datei:Button_Zabbix_PROXY.png]] <big>'''Auf einem Proxy'''</big>
 
systemctl enable zabbix-proxy.service
 
 
----
[[Datei:Button_Zabbix_AGENT.png]] <big>'''und noch der Agent'''</big>
 
systemctl enable zabbix-agent2.service
 
 
----

===Start von Zabbix testen===
Nun müsste man den Zabbix Server wie andere Dienste auch über {{Key|systemctl}} starten können
systemctl start zabbix-server
Wenn alles in Ordnung ist gibt es keine Rückmeldung durch '''''systemctl''''', also fragen wir nach dem Status: 
systemctl status zabbix-server
Ausgabe: 
● zabbix-server.service - Zabbix Server
Loaded: loaded (/usr/lib/systemd/system/zabbix-server.service; enabled; preset: enabled)
Active: active (running) since Wed 2026-05-13 12:37:30 CEST; 3s ago
Invocation: f2fa72de6fbd42aebb62af38de67bc91
Process: 18044 ExecStart=/usr/sbin/zabbix_server -c $CONFFILE (code=exited, status=0/SUCCESS)
Main PID: 18046 (zabbix_server)
Tasks: 92 (limit: 1887)
Memory: 89M (peak: 89M)
CPU: 226ms
CGroup: /system.slice/zabbix-server.service
├─18046 /usr/sbin/zabbix_server -c /etc/zabbix/zabbix_server.conf
├─18048 "/usr/sbin/zabbix_server: ha manager"
├─18049 "/usr/sbin/zabbix_server: service manager #1 started"
├─18050 "/usr/sbin/zabbix_server: configuration syncer [synced configuration in 0.156140 sec, idle 10 sec]"
├─18059 "/usr/sbin/zabbix_server: alert manager #1 started"
├─18060 "/usr/sbin/zabbix_server: alerter #1 started"
├─18061 "/usr/sbin/zabbix_server: alerter #2 started"
├─18062 "/usr/sbin/zabbix_server: alerter #3 started"
├─18063 "/usr/sbin/zabbix_server: preprocessing manager #1 started"
├─18064 "/usr/sbin/zabbix_server: lld manager #1 started"
├─18065 "/usr/sbin/zabbix_server: lld worker #1 started"
├─18066 "/usr/sbin/zabbix_server: lld worker #2 started"
├─18069 "/usr/sbin/zabbix_server: ipmi manager #1 started"
├─18070 "/usr/sbin/zabbix_server: housekeeper [startup idle for 30 minutes]"
├─18072 "/usr/sbin/zabbix_server: timer #1 [updated 0 hosts, suppressed 0 events in 0.001246 sec, idle 29 sec]"
├─18073 "/usr/sbin/zabbix_server: http poller #1 [got 0 values in 0.000043 sec, idle 5 sec]"
├─18075 "/usr/sbin/zabbix_server: browser poller #1 [got 0 values in 0.000035 sec, idle 5 sec]"
├─18077 "/usr/sbin/zabbix_server: discovery manager #1 [processing 0 rules, 0 unsaved checks]"
├─18078 "/usr/sbin/zabbix_server: history syncer #1 [processed 1 values, 1 triggers in 0.001065 sec, idle 1 sec]"
├─18079 "/usr/sbin/zabbix_server: history syncer #2 [processed 0 values, 0 triggers in 0.000026 sec, idle 1 sec]"
├─18082 "/usr/sbin/zabbix_server: history syncer #3 [processed 0 values, 0 triggers in 0.000015 sec, idle 1 sec]"
├─18083 "/usr/sbin/zabbix_server: history syncer #4 [processed 0 values, 0 triggers in 0.000072 sec, idle 1 sec]"
├─18084 "/usr/sbin/zabbix_server: escalator #1 [processed 0 escalations in 0.000794 sec, idle 3 sec]"
├─18086 "/usr/sbin/zabbix_server: ipmi poller #1 started"
├─18089 "/usr/sbin/zabbix_server: proxy poller #1 [exchanged data with 0 proxies in 0.000041 sec, idle 5 sec]"
├─18090 "/usr/sbin/zabbix_server: self-monitoring [processed data in 0.000034 sec, idle 1 sec]"
├─18091 "/usr/sbin/zabbix_server: task manager [started, idle 5 sec]"
├─18093 "/usr/sbin/zabbix_server: poller #1 [got 0 values in 0.000038 sec, idle 5 sec]"
├─18094 "/usr/sbin/zabbix_server: poller #2 [got 0 values in 0.000048 sec, idle 5 sec]"
├─18113 "/usr/sbin/zabbix_server: poller #3 [got 0 values in 0.000046 sec, idle 5 sec]"
├─18114 "/usr/sbin/zabbix_server: poller #4 [got 0 values in 0.000041 sec, idle 5 sec]"
├─18115 "/usr/sbin/zabbix_server: poller #5 [got 0 values in 0.000045 sec, idle 5 sec]"
├─18116 "/usr/sbin/zabbix_server: unreachable poller #1 [got 0 values in 0.000045 sec, idle 5 sec]"
├─18117 "/usr/sbin/zabbix_server: unreachable poller #2 [got 0 values in 0.000036 sec, idle 5 sec]"
├─18118 "/usr/sbin/zabbix_server: unreachable poller #3 [got 0 values in 0.000043 sec, idle 5 sec]"
├─18119 "/usr/sbin/zabbix_server: unreachable poller #4 [got 0 values in 0.000056 sec, idle 5 sec]"
├─18120 "/usr/sbin/zabbix_server: unreachable poller #5 [got 0 values in 0.000870 sec, idle 5 sec]"
├─18121 "/usr/sbin/zabbix_server: trapper #1 [processed data in 0.000000 sec, waiting for connection]"
├─18122 "/usr/sbin/zabbix_server: trapper #2 [processed data in 0.000000 sec, waiting for connection]"
├─18124 "/usr/sbin/zabbix_server: trapper #3 [processed data in 0.000000 sec, waiting for connection]"
├─18125 "/usr/sbin/zabbix_server: trapper #4 [processed data in 0.000000 sec, waiting for connection]"
├─18126 "/usr/sbin/zabbix_server: trapper #5 [processed data in 0.000000 sec, waiting for connection]"
├─18127 "/usr/sbin/zabbix_server: icmp pinger #1 [got 0 values in 0.000055 sec, idle 5 sec]"
├─18128 "/usr/sbin/zabbix_server: icmp pinger #2 [got 0 values in 0.000039 sec, idle 5 sec]"
├─18129 "/usr/sbin/zabbix_server: icmp pinger #3 [got 0 values in 0.000040 sec, idle 5 sec]"
├─18130 "/usr/sbin/zabbix_server: icmp pinger #4 [got 0 values in 0.000036 sec, idle 5 sec]"
├─18131 "/usr/sbin/zabbix_server: icmp pinger #5 [got 0 values in 0.000038 sec, idle 5 sec]"
├─18132 "/usr/sbin/zabbix_server: icmp pinger #6 [got 0 values in 0.000036 sec, idle 5 sec]"
├─18139 "/usr/sbin/zabbix_server: icmp pinger #7 [got 0 values in 0.000038 sec, idle 5 sec]"
├─18140 "/usr/sbin/zabbix_server: icmp pinger #8 [got 0 values in 0.004012 sec, idle 5 sec]"
├─18142 "/usr/sbin/zabbix_server: icmp pinger #9 [got 0 values in 0.000049 sec, idle 5 sec]"
Zum Verlassen {{Key|q}} drücken. 
Genaueres können wir uns auch noch einmal im Log-File ansehen: 
tail -fn 1000 /var/log/zabbix/zabbix_server.log
Ausgabe: 
18046:20260513:123730.353 Starting Zabbix Server. Zabbix 7.0.26 (revision 3832e2a0553).
18046:20260513:123730.353 ****** Enabled features ******
18046:20260513:123730.353 SNMP monitoring: YES
18046:20260513:123730.353 IPMI monitoring: YES
18046:20260513:123730.353 Web monitoring: YES
18046:20260513:123730.353 VMware monitoring: YES
18046:20260513:123730.353 SMTP authentication: YES
18046:20260513:123730.353 ODBC: YES
18046:20260513:123730.353 SSH support: YES
18046:20260513:123730.353 IPv6 support: YES
18046:20260513:123730.353 TLS support: YES
18046:20260513:123730.353 ******************************
18046:20260513:123730.353 using configuration file: /etc/zabbix/zabbix_server.conf
18046:20260513:123730.382 current database version (mandatory/optional): 07000000/07000030
18046:20260513:123730.382 required mandatory version: 07000000
18048:20260513:123730.385 starting HA manager
18048:20260513:123730.388 HA manager started in active mode
18046:20260513:123730.393 server #0 started [main process]
18049:20260513:123730.394 server #1 started [service manager #1]
18050:20260513:123730.394 server #2 started [configuration syncer #1]
18059:20260513:123730.553 server #3 started [alert manager #1]
18061:20260513:123730.554 server #5 started [alerter #2]
18062:20260513:123730.555 server #6 started [alerter #3]
18063:20260513:123730.555 server #7 started [preprocessing manager #1]
18060:20260513:123730.556 server #4 started [alerter #1]
18064:20260513:123730.557 server #8 started [lld manager #1]
18065:20260513:123730.557 server #9 started [lld worker #1]
18066:20260513:123730.558 server #10 started [lld worker #2]
18069:20260513:123730.559 server #11 started [ipmi manager #1]
18070:20260513:123730.560 server #12 started [housekeeper #1]
18072:20260513:123730.560 server #13 started [timer #1]
18075:20260513:123730.562 server #15 started [browser poller #1]
18073:20260513:123730.563 server #14 started [http poller #1]
18077:20260513:123730.564 server #16 started [discovery manager #1]
18078:20260513:123730.565 server #17 started [history syncer #1]
18079:20260513:123730.566 server #18 started [history syncer #2]
18082:20260513:123730.569 server #19 started [history syncer #3]
18083:20260513:123730.570 server #20 started [history syncer #4]
18084:20260513:123730.570 server #21 started [escalator #1]
18089:20260513:123730.572 server #23 started [proxy poller #1]
18086:20260513:123730.572 server #22 started [ipmi poller #1]
18090:20260513:123730.573 server #24 started [self-monitoring #1]
18091:20260513:123730.575 server #25 started [task manager #1]
18093:20260513:123730.575 server #26 started [poller #1]
18063:20260513:123730.575 [1] thread started [preprocessing worker #1]
18094:20260513:123730.576 server #27 started [poller #2]
18063:20260513:123730.579 [2] thread started [preprocessing worker #2]
18063:20260513:123730.579 [3] thread started [preprocessing worker #3]
18063:20260513:123730.579 [4] thread started [preprocessing worker #4]
18063:20260513:123730.579 [5] thread started [preprocessing worker #5]
18063:20260513:123730.579 [6] thread started [preprocessing worker #6]
18063:20260513:123730.579 [7] thread started [preprocessing worker #7]
18063:20260513:123730.579 [8] thread started [preprocessing worker #8]
18063:20260513:123730.579 [9] thread started [preprocessing worker #9]
18063:20260513:123730.579 [10] thread started [preprocessing worker #10]
18063:20260513:123730.579 [12] thread started [preprocessing worker #12]
18063:20260513:123730.579 [13] thread started [preprocessing worker #13]
18063:20260513:123730.579 [14] thread started [preprocessing worker #14]
18063:20260513:123730.579 [11] thread started [preprocessing worker #11]
18063:20260513:123730.580 [16] thread started [preprocessing worker #16]
18113:20260513:123730.581 server #28 started [poller #3]
18114:20260513:123730.582 server #29 started [poller #4]
18115:20260513:123730.582 server #30 started [poller #5]
18063:20260513:123730.583 [15] thread started [preprocessing worker #15]
18116:20260513:123730.586 server #31 started [unreachable poller #1]
18117:20260513:123730.588 server #32 started [unreachable poller #2]
18118:20260513:123730.589 server #33 started [unreachable poller #3]
18119:20260513:123730.591 server #34 started [unreachable poller #4]
18120:20260513:123730.592 server #35 started [unreachable poller #5]
18121:20260513:123730.593 server #36 started [trapper #1]
18122:20260513:123730.596 server #37 started [trapper #2]
18124:20260513:123730.597 server #38 started [trapper #3]
18125:20260513:123730.598 server #39 started [trapper #4]
18126:20260513:123730.599 server #40 started [trapper #5]
18127:20260513:123730.600 server #41 started [icmp pinger #1]
18128:20260513:123730.601 server #42 started [icmp pinger #2]
18129:20260513:123730.601 server #43 started [icmp pinger #3]
18131:20260513:123730.602 server #45 started [icmp pinger #5]
18130:20260513:123730.602 server #44 started [icmp pinger #4]
18132:20260513:123730.603 server #46 started [icmp pinger #6]
18077:20260513:123730.604 thread started [discovery worker #1]
18077:20260513:123730.604 thread started [discovery worker #2]
18077:20260513:123730.604 thread started [discovery worker #3]
18077:20260513:123730.604 thread started [discovery worker #4]
18077:20260513:123730.604 thread started [discovery worker #5]
18140:20260513:123730.605 server #48 started [icmp pinger #8]
18143:20260513:123730.606 server #50 started [icmp pinger #10]
18144:20260513:123730.606 server #51 started [alert syncer #1]
18145:20260513:123730.607 server #52 started [history poller #1]
18142:20260513:123730.608 server #49 started [icmp pinger #9]
18139:20260513:123730.609 server #47 started [icmp pinger #7]
18149:20260513:123730.611 server #53 started [history poller #2]
18150:20260513:123730.612 server #54 started [history poller #3]
18151:20260513:123730.612 server #55 started [history poller #4]
18152:20260513:123730.613 server #56 started [history poller #5]
18158:20260513:123730.618 server #57 started [availability manager #1]
18160:20260513:123730.619 server #58 started [trigger housekeeper #1]
18161:20260513:123730.620 server #59 started [odbc poller #1]
18163:20260513:123730.621 server #60 started [http agent poller #1]
18164:20260513:123730.621 server #61 started [agent poller #1]
18165:20260513:123730.621 server #62 started [snmp poller #1]
18163:20260513:123730.621 thread started
18164:20260513:123730.621 thread started
18166:20260513:123730.622 server #63 started [configuration syncer worker #1]
18165:20260513:123730.622 thread started
18172:20260513:123730.623 server #65 started [proxy group manager #1]
18171:20260513:123730.624 server #64 started [internal poller #1]
18164:20260513:123737.624 enabling Zabbix agent checks on host "Zabbix server": interface became available
Wie Ihr seht ist der erste Host schon im Monitoring - Der Server selbst (der Agent startet automatisch bei der Installation). 
 
Bei einem Proxy kann es noch folgende Fehlermeldung geben: 
:<code>failed to update local proxy configuration copy: Can't open JSON object or array ""failed"}"</code> 
 
Naja, wir müssen den Proxy auf unserem Zabbix-Server unter
Administration - Proxies
noch anlegen - und zwar bitte genau mit dem gleichen Namen wie in der <code>zabbix_proxy.conf</code> unter <code>Hostname=</code> angegeben - dann ist der Fehler weg. 
:[[Datei:ClipCapIt-240610-152502.PNG]] 

 
Bei Erfolg sollte das dann so aussehen: 
:[[Datei:Zabbix_General_Proxys.png]] 
An den Sekunden unter ''''Last seen (age)'''' sehen wir die letzte Kontaktaufnahme. 
Wenn da überhaupt etwas steht hatten wir Erfolg!
 
----



==Webinterface installieren (nur Server)==
Aktuell läuft das Webinterface von Zabbix noch nicht! 
Folgt den nachfolgenden Schritten! 
{{Hinweis|Zabbix 7.x ab Ubuntu 26.04 läuft nun per Default mit dem PHP-FPM-Modul!}}
===Fehlende Apache Module aktivieren===
a2enmod proxy proxy_http proxy_fcgi
systemctl restart apache2
Jetzt findet Ihr die Weboberfläche unter '''<nowiki>http://IP-Adresse/zabbix</nowiki>''' (aber mit falscher Zeitzone) 
Das ist aber ja Blöd, der Server macht nur Zabbix und wir wollen uns das {{code|/zabbix}} sparen: 

===Konfigurationsdatei bearbeiten===
Umbau auf '''<nowiki>http://servername</nowiki>''' für den Aufruf des Zabbix-Webinterfaces: 
[[Datei:Button_Zabbix_SERVER.png]] 
nano /etc/apache2/sites-available/000-default.conf
und den gesamten Inhalt durch den folgenden ersetzen: ({{Key|F9}} löscht eine Zeile) 
<big>'''Ab Zabbix 7.0'''</big>
<source lang="XML">
<VirtualHost *:80>

DocumentRoot /usr/share/zabbix
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

ProxyTimeout 300

<Directory "/usr/share/zabbix">
Options FollowSymLinks
AllowOverride None
Require all granted

<IfModule dir_module>
DirectoryIndex index.php
</IfModule>

<FilesMatch \.(php|phar)$>
SetHandler "proxy:unix:/var/run/php/zabbix.sock|fcgi://localhost"
</FilesMatch>
</Directory>

<Directory "/usr/share/zabbix/conf">
Require all denied
</Directory>

<Directory "/usr/share/zabbix/app">
Require all denied
</Directory>

<Directory "/usr/share/zabbix/include">
Require all denied
</Directory>

<Directory "/usr/share/zabbix/local">
Require all denied
</Directory>

<Directory "/usr/share/zabbix/vendor">
Require all denied
</Directory>

</VirtualHost>
</source>
----
Danach Webserver neu starten:
systemctl restart apache2.service
 
Nun auf die Weboberfläche gehen, die sollte unter '''<nowiki>http://IP-Adresse</nowiki>''' oder '''<nowiki>http://DNS-Name</nowiki>''' verfügbar sein. 
Anmerkung: So ein Linux trägt sich nicht von allein in den DNS Server ein, ggf. müsst Ihr den da von Hand nachtragen. 
 
 
----

===Webinterface konfigurieren===
Ihr ruft den Zabbix-Server im Browser auf: 
:[[Datei:ClipCapIt-241112-140115.PNG]] 
Am besten wählt Ihr hier gleich die Sprache '''Englisch (en_GB)''', dann stimmt auch das Datums- und Uhrzeitformat. 
 
Dank der eigenen Zabbix-PHP-FPM Konfiguration (bringt Zabbix mit) sollte hier alles Grün sein! 
:[[Datei:ClipCapIt-260513-155738.PNG]] 
 
Die Datenbankkonfiguration, in die letzten 3 Felder muss überall "zabbix" stehen: 
:[[Datei:ClipCapIt-240610-150609.PNG]] 
 
In dem leeren Feld könnt Ihr den Namen des Servers angeben. Dieser wird oben rechts und auf den Web-Tabs angezeigt: 
:[[Datei:ClipCapIt-240610-150655.PNG]] 
 
Noch eben die Zusammenfassung bestätigen: 
:[[Datei:ClipCapIt-240610-150727.PNG]] 
 
Geschafft! 
:[[Datei:ClipCapIt-240610-150756.PNG]] 
 
:[[Datei:ClipCapIt-240610-150829.PNG]] 
Benutzername: Admin
Passwort: zabbix
{{Hinweis| '''Admin''' mit großem '''A'''!}} 
 
 
----

===Anzeigeformat 24h statt AM/PM festlegen===
Wenn Ihr es richtig eingestellt habt, sollte alle Zeiten im 24h Format angezeigt werden. 
Falls es doch das amerikanische Format mit AM und PM ist: 
:[[Datei:ClipCapIt-241107-102549.PNG]] 
Das ist der amerikanische Sprach-Standard. Das Zeitformat ändert sich auch auf die 24h Schreibweise wenn man die Anzeigesprache auf Deutsch stellt. 
Ich nutze aber gerne die englische Anzeige, möchte aber trotzdem das 24h Format haben. 
Dazu navigieren wir nach 
Administration => General => GUI
:[[Datei:ClipCapIt-241107-102835.PNG]] 
und stellen die '''Default language''' um auf <code>English (en_GB)</code>: 
:[[Datei:ClipCapIt-241107-103031.PNG]] 
:[[Datei:ClipCapIt-241107-103052.PNG]] 
Mit {{Key|Update}} bestätigen und schon haben wir überall das 24h Format:
:[[Datei:ClipCapIt-241107-103144.PNG]] 
----

==Empfang von SNMP-Traps einrichten==
{{Hinweis| Neue Methode! Statt '''''snmptt''''' wird ein Perl-Script von Zabbix.com verwendet. '''''snmptt''''' machte bei mir unter Ubuntu 22.04 jede Menge Ärger Die Lösung stammt in Teilen von https://sbcode.net/zabbix/snmp-traps/ }} 
[[Datei:Button_Zabbix_SERVER.png]] und [[Datei:Button_Zabbix_PROXY.png]] 
===fehlende Pakete nachinstallieren===
Wir Installieren ggf. die benötigten Pakete nach (sollten schon vorhanden sein): 
apt install -y snmp snmpd snmp-mibs-downloader snmptrapd libnet-snmp-perl libnet-ip-perl libnet-netmask-perl libnet-dns-perl libxml-writer-perl libnet-snmp-perl
 
 
----

===snmptrapd aktivieren und konfigurieren===
snmpd deaktivieren:
systemctl stop snmpd.service && systemctl disable snmpd.service
snmptrapd reparieren:
systemctl edit snmptrapd.service
und oben folgenden Text einfügen
<source lang="bash">
### Editing /etc/systemd/system/snmptrapd.service.d/override.conf
### Anything between here and the comment below will become the contents of the drop-in file

[Install]
WantedBy=multi-user.target

### Edits below this comment will be discarded
</source>
snmptrapd aktivieren:
systemctl enable snmptrapd.service
snmptrapd konfigurieren:
nano /etc/snmp/snmptrapd.conf
und fügen die folgenden Zeilen ans Ende: 
perl do "/usr/bin/zabbix_trap_receiver.pl";
disableAuthorization yes
und den Dienst neu starten: 
systemctl restart snmptrapd.service

----

===zabbix_trap_receiver.pl einrichten===
Aktuelles Skript herunterladen - der Download ist von meiner Webseite, das original findet Ihr unter https://git.zabbix.com/projects/ZBX/repos/zabbix/raw/misc/snmptrap/zabbix_trap_receiver.pl 
Der direkte Download von dort funktioniert aber nicht (immer): 
<nowiki>wget https://git.zabbix.com/projects/ZBX/repos/zabbix/raw/misc/snmptrap/zabbix_trap_receiver.pl -O /usr/bin/zabbix_trap_receiver.pl</nowiki>

und ausführbar machen
chmod a+x /usr/bin/zabbix_trap_receiver.pl
 
Für den Fall das der Download nicht zur Verfügung steht hier der Inhalt der Datei:
<source lang="perl">
#!/usr/bin/env perl

#
# Copyright (C) 2001-2026 Zabbix SIA
#
# This program is free software: you can redistribute it and/or modify it under the terms of
# the GNU Affero General Public License as published by the Free Software Foundation, version 3.
#
# This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY;
# without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
# See the GNU Affero General Public License for more details.
#
# You should have received a copy of the GNU Affero General Public License along with this program.
# If not, see <https://www.gnu.org/licenses/>.
#

#########################################
#### ABOUT ZABBIX SNMP TRAP RECEIVER ####
#########################################

# This is an embedded perl SNMP trapper receiver designed for sending data to the server.
# The receiver will pass the received SNMP traps to Zabbix server or proxy running on the
# same machine. Please configure the server/proxy accordingly.
#
# Read more about using embedded perl with Net-SNMP:
# http://net-snmp.sourceforge.net/wiki/index.php/Tut:Extending_snmpd_using_perl

#################################################
#### ZABBIX SNMP TRAP RECEIVER CONFIGURATION ####
#################################################

### Option: SNMPTrapperFile
# Temporary file used for passing data to the server (or proxy). Must be the same
# as in the server (or proxy) configuration file.
#
# Mandatory: yes
# Default:
$SNMPTrapperFile = '/tmp/zabbix_traps.tmp';

### Option: DateTimeFormat
# The date time format in strftime() format. Please make sure to have a corresponding
# log time format for the SNMP trap items.
#
# Mandatory: yes
# Default:
$DateTimeFormat = '%Y-%m-%dT%T%z';

###################################
#### ZABBIX SNMP TRAP RECEIVER ####
###################################

use Fcntl qw(O_WRONLY O_APPEND O_CREAT);
use POSIX qw(strftime);
use NetSNMP::TrapReceiver;

sub get_header_regex
{
my $format = shift;
my $regex = $format;

$regex =~ s/%Y/[0-9]{4}/g;
$regex =~ s/%m/[0-9]{2}/g;
$regex =~ s/%d/[0-9]{2}/g;
$regex =~ s/%T/[0-9]{2}:[0-9]{2}:[0-9]{2}/g;
$regex =~ s/%z/[+-][0-9]{4}/g;
$regex =~ s/%H/[0-9]{2}/g;
$regex =~ s/%M/[0-9]{2}/g;
$regex =~ s/%S/[0-9]{2}/g;

return "$regex ZBXTRAP";
}

sub zabbix_receiver
{
my (%pdu_info) = %{$_[0]};
my (@varbinds) = @{$_[1]};
my $r = get_header_regex $DateTimeFormat;

# fail if received vars clearly contain injection
foreach my $x (@varbinds)
{
if ($x->[1] =~ /$r/)
{
return NETSNMPTRAPD_HANDLER_FAIL;
}
}

# open the output file
unless (sysopen(OUTPUT_FILE, $SNMPTrapperFile, O_WRONLY|O_APPEND|O_CREAT, 0666))
{
print STDERR "Cannot open [$SNMPTrapperFile]: $!\n";
return NETSNMPTRAPD_HANDLER_FAIL;
}

# get the host name
my $hostname = $pdu_info{'receivedfrom'} || 'unknown';
if ($hostname ne 'unknown')
{
$hostname =~ /\[(.*?)\].*/; # format: "UDP: [127.0.0.1]:41070->[127.0.0.1]"
$hostname = $1 || 'unknown';
}

# print trap header
# timestamp must be placed at the beginning of the first line (can be omitted)
# the first line must include the header "ZBXTRAP [IP/DNS address] "
# * IP/DNS address is the used to find the corresponding SNMP trap items
# * this header will be cut during processing (will not appear in the item value)
printf OUTPUT_FILE "%s ZBXTRAP %s\n", strftime($DateTimeFormat, localtime), $hostname;

# print the PDU info
print OUTPUT_FILE "PDU INFO:\n";
foreach my $key(keys(%pdu_info))
{
if ($pdu_info{$key} !~ /^[[:print:]]*$/)
{
my $OctetAsHex = unpack('H*', $pdu_info{$key}); # convert octet string to hex
$pdu_info{$key} = "0x$OctetAsHex"; # apply 0x prefix for consistency
}

printf OUTPUT_FILE " %-30s %s\n", $key, $pdu_info{$key};
}

# print the variable bindings:
print OUTPUT_FILE "VARBINDS:\n";
foreach my $x (@varbinds)
{
printf OUTPUT_FILE " %-30s type=%-2d value=%s\n", $x->[0], $x->[2], $x->[1];
}

close (OUTPUT_FILE);

return NETSNMPTRAPD_HANDLER_OK;
}

NetSNMP::TrapReceiver::register("all", \&zabbix_receiver) or
die "failed to register Zabbix SNMP trap receiver\n";

print STDOUT "Loaded Zabbix SNMP trap receiver\n";
</source>

----

===MIBS nutzen===
Die MIBS übersetzen die OID in lesbare Namen. Um diese zu nutzen:
nano /etc/snmp/snmp.conf
und dort aus
mibs :
ein
#mibs :
machen. Dann den Dienst neu starten: 
systemctl restart snmptrapd.service
----

===logrotate für /tmp/zabbix_traps.tmp erstellen===
Gerade wenn viele Einträge in der Datei
/tmp/zabbix_traps.tmp
landen kann das schon mal einigen Platz kosten. 
Deshalb nutzen wir '''''logrotate''''' an um die Größe der Datei zu begrenzen. 
nano /etc/logrotate.d/zabbix_traps
und folgenden Inhalt einfügen / anpassen: 
/tmp/zabbix_traps.tmp {
'''su snmptt Debian-snmp'''
'''create 666 snmptt Debian-snmp'''
missingok
notifempty
'''daily'''
rotate 4
'''size 1M'''
compress
sharedscripts
'''maxage 365'''
}
 
 
----

===Zabbix Server oder Proxy konfigurieren===
Die Konfigurationsdatei zum bearbeiten öffnen:
nano /etc/zabbix/zabbix_server.conf
oder
nano /etc/zabbix/zabbix_proxy.conf
und folgende Zeilen suchen und ändern bzw. Kommentarzeichen davor entfernen: 
SNMPTrapperFile=/tmp/zabbix_traps.tmp
StartSNMPTrapper=1
 
Danach müssen wir den Zabbix Server oder Proxy Dienst neu starten: 
systemctl restart zabbix-server.service
oder
systemctl restart zabbix-proxy.service
 
 
----

===Trapper-Datei anlegen / Testen===
Die Datei <code>/tmp/zabbix_traps.tmp</code> gibt es noch nicht. 
Die wird aber ggf. erst beim ersten eintreffenden Trap erstellt. Deshalb: 
snmptrap -v 1 -c public localhost 1.3.6.1.4.1.2.3 "" 6 3 0000 s s "Zabbix-SNMP-Traps"
Damit senden wir einen Test-Trap an uns selbst. 
Nun sollte es die Datei geben: 
ls -l /tmp/zabbix_traps.tmp
Ausgabe:
-rw-r--r-- 1 Debian-snmp Debian-snmp 895 May 13 16:22 /tmp/zabbix_traps.tmp
Der Inhalt sollte wie folgt sein:
cat /tmp/zabbix_traps.tmp

2026-05-13T16:22:35+0200 ZBXTRAP 127.0.0.1
PDU INFO:
community public
messageid 0
requestid 0
errorstatus 0
errorindex 0
notificationtype TRAP
version 0
receivedfrom UDP: [127.0.0.1]:48195->[127.0.0.1]:162
transactionid 1
VARBINDS:
DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (0) 0:00:00.00
SNMPv2-MIB::snmpTrapOID.0 type=6 value=OID: SNMPv2-SMI::enterprises.2.3.0.3
SNMPv2-SMI::snmpV2 type=4 value=STRING: "Zabbix-SNMP-Traps"
SNMP-COMMUNITY-MIB::snmpTrapAddress.0 type=64 value=IpAddress: 192.168.0.102
SNMP-COMMUNITY-MIB::snmpTrapCommunity.0 type=4 value=STRING: "public"
SNMPv2-MIB::snmpTrapEnterprise.0 type=6 value=OID: SNMPv2-SMI::enterprises.2.3
Nach einem Reboot ist Datei weg bis der erste Trap eintrifft - was Zabbix aber nicht zu stören scheint. 
----

==Agent konfigurieren (nur Proxy)==
Wir wollen natürlich unseren ''''Zabbix Proxy'''' gleich mit überwachen! 
Wenn es ein Server ist, ist dieser gleich automatisch mit drin (ist der erste Host der schon in der Liste steht, ist sogar schon aktiv!)
Bearbeiten wir zunächst die Konfigurationsdatei: 
nano /etc/zabbix/zabbix_agent2.conf
und ändert folgende Zeile: 
Hostname=zabbixproxy.domain.local
Den Namen passt Ihr natürlich an eure Bedürfnisse an - wichtig ist nur das Ihr den Host auf dem Zabbix-Server unter exakt dem gleichen Namen anlegt! 
{{Hinweis| Ihr wollt die zabbix_agent<big>'''d'''</big>.conf ändern, NICHT die zabbix_agent.conf - man beachte den feinen Unterschied!}} 
 
Das Start-Skript haben wir vorhin schon aktiviert.
 
Am besten bootet Ihr euren Zabbix Proxy nun einmal durch und prüft hinterher ob die Prozesse für den Agenten und den Server laufen. 
----

==Zabbix Reporting-Services installieren / aktivieren==
Installiert sollte es schon sein, falls nicht:
apt install zabbix-web-service
Dann aktivieren und starten:
systemctl enable zabbix-web-service.service --now
Der Dienst lauscht per Default auf Port 10053 was in der <code>/etc/zabbix/zabbix_web_service.conf</code> konfiguriert wird. 
Anfragen nimmt er nur von lokal entgegen (127.0.0.1 / ::1) 
Nun den Dienst auch noch im Zabbix-Server bekannt machen: 
nano /etc/zabbix/zabbix_server.conf
und die folgenden Zeilen ändern: 
StartReportWriters=3
WebServiceURL=<nowiki>http://localhost:10053/report</nowiki>
Im Anschluß Zabbix einmal neu starten: 
systemctl restart zabbix-server.service
 
Im Webinterface müsst ihr nun einmal hinterlegen wir die Reporting-Services das Zabbix-Frontend erreichen können: 
Unter {{Key|Administration}} . {{Key|General}} - {{Key|Other}} bei '''''Frontend URL''''' folgendes setzen:
http://localhost/
 
Jetzt muss noch Google-Chromium-Browser installiert werden, den braucht der Dienst zum Erstellen der PDFs. Da wir keine GUI auf dem Zabbix-Server haben laden wir den Browser einfach direkt als Paket herunter und installieren diesen: 
wget <nowiki>https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb</nowiki>
dpkg -i google-chrome-stable_current_amd64.deb
apt install -f -y
dpkg --configure -a
Ja, das ist etwas umständlich, wir installieren Chrome, er meckert über fehlende Abhängigkeiten, die beheben wir dann und lassen das Konfigurieren noch mal laufen. 
Dafür ist der dann installiert ohne das wir eine grafische Oberfläche auf dem Server installieren mussten. 
Die Google-Paketquellen werden auch hinterlegt so das diese über das normale {{code|apt}} mit aktualisiert wird. 
 
----

==Datensicherung des Zabbix-Servers==
Bevorzugt installiere ich Zabbix-Server als Virtuelle Maschinen / VM. 
Die Backup-Software sichert am besten einfach die gesamte VM. 
Eigentlich macht quasi jede Backup-Software hierzu während der Sicherung einen Snapshot, sichert die Festplattendaten und löst dann den Snapshot wieder auf. 
Wer dabei sicher gehen will das die Datenbank in einem konsistenten Zustand gesichert wird kann folgendes tun: 
----
===Methode 1: Cold Backup - Zabbix und Datenbank anhalten===
Bei dieser Methode passiert folgendes:
* Die Zabbix-Server und die Datenbank werden vor einem Snapshot angehalten
* Der Snapshot wird erstellt
* Die Datenbank und der Zabbix-Server werden wieder gestartet
 
----
====VMware====
Unter VMware funktioniert das mit 2 Skripten die wir wie folgt anlegen: 
nano /usr/sbin/pre-freeze-script
mit folgendem Inhalt: 
<source lang="bash">
#!/bin/sh
echo "$(date) pre-freeze start" >> /tmp/snapshot.log
systemctl stop zabbix-server.service
systemctl stop mariadb.service
echo "$(date) pre-freeze stop" >> /tmp/snapshot.log
</source>
 
und 
nano /usr/sbin/post-thaw-script
<source lang="bash">
#!/bin/sh
echo "$(date) post-thaw start" >> /tmp/snapshot.log
systemctl start mariadb.service
systemctl start zabbix-server.service
echo "$(date) post-thaw stop" >> /tmp/snapshot.log
</source>
 
Jetzt müssen wir die beiden Skripte noch ausführbar machen und dem root zuordnen: 
chmod 0700 /usr/sbin/pre-freeze-script
chmod 0700 /usr/sbin/post-thaw-script
chown root:root /usr/sbin/pre-freeze-script
chown root:root /usr/sbin/post-thaw-script
 
Voraussetzung ist das die VMware-Tools installiert sind! 
Dabei ist es egal ob es sich um die Original VMware-Tools oder um die Open-VM-Tools aus den Repositories handelt. 
Nun können wir die Skripts testen indem wir einen Snapshot mit den folgenden Einstellungen erstellen: 
:[[Datei:ClipCapIt-200521-204401.PNG]] 
 
Wenn wir uns die Logs ansehen sollte
* Ein Eintrag in die Datei {{Key|/tmp/snapshot.log}} vorgenommen
* Der Zabbix-Server gestoppt
* Der MariaDB-Server gestoppt
* Wieder ein Eintrag in die Datei {{Key|/tmp/snapshot.log}} geschrieben
* Der MariaDB-Server wieder gestartet
* Der Zabbix-Server wieder gestartet
werden. 
 
{{Hinweis| Das ganze funktioniert sowohl mit den original VMware-Tools als auch den Open-VM-Tools!}} 
 
 
----
====Proxmox====
Voraussetzung ist, das Ihr den QEMU-Guest-Agent installiert und in der Konfiguration der VM eingeschaltet habt - das wurde weiter oben bei der Installation der VM beschrieben. 
Das nachfolgende findet Ihr ausführlicher beschrieben hier: [[Proxmox PVE Virtual Environment QEMU Agent Freeze und Thaw Skripte bei Snapshot ausführen pre-freeze-script post-thaw-script]] 
qemu-ga -D > /etc/qemu/qemu-ga.conf
danach 
nano /etc/qemu/qemu-ga.conf
und wie folgt abändern: 
[general]
daemon=false
method=virtio-serial
path=/dev/virtio-ports/org.qemu.guest_agent.0
pidfile=/var/run/qemu-ga.pid
statedir=/var/run
verbose=false
retry-path=false
# block-rpcs=
# allow-rpcs=
fsfreeze-hook=/etc/qemu/fsfreeze-hook
Die beiden gelben Zeilen müsst Ihr unbedingt auskommentieren (oder ganz löschen), sonst startet der Dienst hinterher nicht mehr (es darf nur eine der beiden Zeilen zur gleichen Zeit angegeben sein) 
Dienst neu starten: 
systemctl restart qemu-guest-agent.service
Nun das Zabbix-Skript-Stopp-Start-Skript: 
nano /etc/qemu/fsfreeze-hook.d/zabbix.sh
<source lang="bash">
#!/bin/sh
LOGFILE="/tmp/snapshot.log"
if [ "$1" = "freeze" ]; then
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze called" >> $LOGFILE
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') stopping zabbix-serer" >> $LOGFILE
systemctl stop zabbix-server.service
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') stopping mariadb" >> $LOGFILE
systemctl stop mariadb.service
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze stop" >> $LOGFILE
elif [ "$1" = "thaw" ]; then
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw called" >> $LOGFILE
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') starting mariadb" >> $LOGFILE
systemctl start mariadb.service
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') starting zabbix-serer" >> $LOGFILE
systemctl start zabbix-server.service
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw stop" >> $LOGFILE
else
echo "-------------------------------------------------------------------------------------" >> $LOGFILE
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') unkown parameter: $1" >> $LOGFILE
fi
</source>
und die Datei ausführbar machen: 
chmod +x /etc/qemu/fsfreeze-hook.d/zabbix.sh
Wenn Ihr jetzt einen Snapshot der VM erstellt, müsste nach der Erstellung folgendes in der Datei 
cat /tmp/snapshot.log
zu sehen sein: 
-------------------------------------------------------------------------------------
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:04 pre-freeze called
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:04 stopping zabbix-serer
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:05 stopping mariadb
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:05 pre-freeze stop
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:05 post-thaw called
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:05 starting mariadb
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:07 starting zabbix-serer
/etc/qemu/fsfreeze-hook.d/zabbix.sh 2026-05-15 14:04:07 post-thaw stop
Da es ein frischer Server ist, hat das Stoppen und Starten keine 3 Sekunden gedauert. Das wird später länger dauern. 
----

===Methode 2: Hot Backup - Datenbank einfrieren===
Bei dieser Methode passiert folgendes:
* Die Datenbank wird vor einem Snapshot auf "READ ONLY" gesetzt - zuvor werden noch alle Daten geschrieben ("FLUSH TABLES")
* Der Snapshot wird erstellt
* Die Datenbank wird wieder für Schreibzugriffe freigegeben
 
====VMware====
Unter VMware funktioniert das mit 2 Skripten die wir wie folgt anlegen: 
nano /usr/sbin/pre-freeze-script
mit folgendem Inhalt: 
{{Warnung|Vergesst nicht das Passwort in Zeile 9 zu setzen (steht auf Leer was per Default passen sollte)}}
<source lang="bash">
#!/bin/sh
# 2018-04-20 Bernhard Linz
# Original script by Pascal Di Marco, check https://www.veeam.com/wp-consistent-protection-mysql-mariadb.html for more information
# Log will be write to syslog and(!) to /tmp/snapshot.log
echo "$0 pre-freeze start" | logger
echo "-------------------------------------------------------------------------------------" >> /tmp/snapshot.log
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze start" >> /tmp/snapshot.log
# Set Username and Passwort for MySQL Access. Set mysql_password="" if no password needed
mysql_username="root"
mysql_password=""
timeout=300

# ************************************************************************************************
# No Changes behind this line!
# ************************************************************************************************
# Check if username + password is used
if [ -n "$mysql_password" ]; then
use_credentials="-u$mysql_username -p$mysql_password"
else
use_credentials=""
fi

# Name of the Lockfile
lock_file=/tmp/mysql_tables_read_lock

sleep_time=$((timeout+10))
rm -f $lock_file
echo "$0 executing FLUSH TABLES WITH READ LOCK" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') executing FLUSH TABLES WITH READ LOCK" >> /tmp/snapshot.log

# Start READ LOCK - Process will send to background (and will still run after script is completed. Lock will stop if process is stopped
# After READ ONLY mode is entered the lockfile will be created. Process will stop when getting stop signal from post-thaw-script or timeout reached
mysql $use_credentials -e "FLUSH TABLES WITH READ LOCK; system touch $lock_file; system nohup sleep $sleep_time; system echo lock released|logger; " > /dev/null &
# get the PID of the mysql process
mysql_pid=$!

echo "$0 child pid $mysql_pid" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') child pid $mysql_pid" >> /tmp/snapshot.log

# Waiting for the lockfile ...
c=0
while [ ! -f $lock_file ]
do
# check if mysql is running
if ! ps -p $mysql_pid 1>/dev/null ; then
echo "$0 mysql command has failed (bad credentials?)" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') mysql command has failed (bad credentials?)" >> /tmp/snapshot.log
exit 1
fi
sleep 1
c=$((c+1))
# check if the script run into timeout
if [ $c -gt $timeout ]; then
echo "$0 timed out waiting for lock" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') timed out waiting for lock" >> /tmp/snapshot.log
touch $lock_file
kill $mysql_pid
fi
done
# write PID into the lockfile
echo $mysql_pid > $lock_file

echo "$0 pre-freeze stop" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze stop" >> /tmp/snapshot.log

exit 0
</source>
 
und 
nano /usr/sbin/post-thaw-script
<source lang="bash">
#!/bin/sh
# 2018-04-20 Bernhard Linz
# Original script by Pascal Di Marco, check https://www.veeam.com/wp-consistent-protection-mysql-mariadb.html for more information
# Log will be write to syslog and(!) to /tmp/snapshot.log
echo "$0 post-thaw start" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw start" >> /tmp/snapshot.log

lock_file=/tmp/mysql_tables_read_lock

# get PID from lockfile
mysql_pid=$(cat $lock_file)
echo "$0 sending sigterm to $mysql_pid" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') sending sigterm to $mysql_pid" >> /tmp/snapshot.log
# and send stop to process
pkill -9 -P $mysql_pid
rm -f $lock_file

echo "$0 post-thaw stop" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw stop" >> /tmp/snapshot.log

exit 0
</source>
 
Jetzt müssen wir die beiden Skripte noch ausführbar machen und dem root zuordnen: 
chmod 0700 /usr/sbin/pre-freeze-script
chmod 0700 /usr/sbin/post-thaw-script
chown root:root /usr/sbin/pre-freeze-script
chown root:root /usr/sbin/post-thaw-script
 
Voraussetzung ist das die VMware-Tools installiert sind! 
Dabei ist es egal ob es sich um die Original VMware-Tools oder um die Open-VM-Tools aus den Repositories handelt. 
Nun können wir die Skripts testen indem wir einen Snapshot mit den folgenden Einstellungen erstellen: 
:[[Datei:ClipCapIt-200521-204401.PNG]] 
 
Beispielausgabe aus der
cat /tmp/snapshot.log

-------------------------------------------------------------------------------------
/usr/sbin/pre-freeze-script 2023-03-20 12:49:14 pre-freeze start
/usr/sbin/pre-freeze-script 2023-03-20 12:49:14 executing FLUSH TABLES WITH READ LOCK
/usr/sbin/pre-freeze-script 2023-03-20 12:49:14 child pid 11824
/usr/sbin/pre-freeze-script 2023-03-20 12:49:15 pre-freeze stop
/usr/sbin/post-thaw-script 2023-03-20 12:49:18 post-thaw start
/usr/sbin/post-thaw-script 2023-03-20 12:49:18 sending sigterm to 11824
/usr/sbin/post-thaw-script 2023-03-20 12:49:18 post-thaw stop
 
Falls es mit dem Passwort mal hakt so müsste das auch dort stehen:
/usr/sbin/pre-freeze-script 2018-06-13 12:01:04 mysql command has failed (bad credentials?)
Mehr Details stehen ggf. im '''''syslog'''''
tail -f -n 500 /var/log/syslog
Zabbix selbst nimmt den Vorgang relativ locker und meldet maximal einige '''''slow query''''' bei '''''inserts'''''. 
In den meisten Umgebungen geht das so schnell das nicht einmal diese kommen (4 bis 5 Sekunden). 
{{Hinweis| Das ganze funktioniert sowohl mit den original VMware-Tools als auch den Open-VM-Tools!}} 
 
 
----
====Proxmox====
{{Warnung|Wenn Ihr vorher die Start-Stopp Methode ausprobiert habt und nun auf diese Hot-Backup-Methode umschwenken wollt, müsst ihr nun die Datei {{code|/etc/qemu/fsfreeze-hook.d/zabbix.sh}} löschen! Ich nutze hier einen anderen Dateinamen da es hier nur die Datenbank betrifft}}
Voraussetzung ist, das Ihr den QEMU-Guest-Agent installiert und in der Konfiguration der VM eingeschaltet habt - das wurde weiter oben bei der Installation der VM beschrieben. 
Das nachfolgende findet Ihr ausführlicher beschrieben hier: [[Proxmox PVE Virtual Environment QEMU Agent Freeze und Thaw Skripte bei Snapshot ausführen pre-freeze-script post-thaw-script]] 
qemu-ga -D > /etc/qemu/qemu-ga.conf
danach 
nano /etc/qemu/qemu-ga.conf
und wie folgt abändern: 
[general]
daemon=false
method=virtio-serial
path=/dev/virtio-ports/org.qemu.guest_agent.0
pidfile=/var/run/qemu-ga.pid
statedir=/var/run
verbose=false
retry-path=false
# block-rpcs=
# allow-rpcs=
fsfreeze-hook=/etc/qemu/fsfreeze-hook
Die beiden gelben Zeilen müsst Ihr unbedingt auskommentieren (oder ganz löschen), sonst startet der Dienst hinterher nicht mehr (es darf nur eine der beiden Zeilen zur gleichen Zeit angegeben sein) 
Dienst neu starten: 
systemctl restart qemu-guest-agent.service
Nun das MariaDB/MySQL Freeze Skript: 
nano /etc/qemu/fsfreeze-hook.d/mariadb.sh
<source lang="bash">
#!/bin/sh
# 2026-05-15 Bernhard Linz
# Original script by Pascal Di Marco, check https://www.veeam.com/wp-consistent-protection-mysql-mariadb.html for more information
# Log will be write to syslog and(!) to /tmp/snapshot.log
LOGFILE="/tmp/snapshot.log"
if [ "$1" = "freeze" ]; then
echo "$0 pre-freeze start" | logger
echo "-------------------------------------------------------------------------------------" >> $LOGFILE
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze start" >> $LOGFILE
# Set Username and Passwort for MySQL Access. Set mysql_password="" if no password needed
mysql_username="root"
mysql_password=""
timeout=300

# ************************************************************************************************
# No Changes behind this line!
# ************************************************************************************************
# Check if username + password is used
if [ -n "$mysql_password" ]; then
use_credentials="-u$mysql_username -p$mysql_password"
else
use_credentials=""
fi

# Name of the Lockfile
lock_file=/tmp/mysql_tables_read_lock

sleep_time=$((timeout+10))
rm -f $lock_file
echo "$0 executing FLUSH TABLES WITH READ LOCK" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') executing FLUSH TABLES WITH READ LOCK" >> $LOGFILE

# Start READ LOCK - Process will send to background (and will still run after script is completed. Lock will stop if process is stopped
# After READ ONLY mode is entered the lockfile will be created. Process will stop when getting stop signal from post-thaw-script or timeout reached
mysql $use_credentials -e "FLUSH TABLES WITH READ LOCK; system touch $lock_file; system nohup sleep $sleep_time; system echo lock released|logger; " > /dev/null &
# get the PID of the mysql process
mysql_pid=$!

echo "$0 child pid $mysql_pid" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') child pid $mysql_pid" >> $LOGFILE

# Waiting for the lockfile ...
c=0
while [ ! -f $lock_file ]
do
# check if mysql is running
if ! ps -p $mysql_pid 1>/dev/null ; then
echo "$0 mysql command has failed (bad credentials?)" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') mysql command has failed (bad credentials?)" >> $LOGFILE
exit 1
fi
sleep 1
c=$((c+1))
# check if the script run into timeout
if [ $c -gt $timeout ]; then
echo "$0 timed out waiting for lock" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') timed out waiting for lock" >> $LOGFILE
touch $lock_file
kill $mysql_pid
fi
done
# write PID into the lockfile
echo $mysql_pid > $lock_file

echo "$0 pre-freeze stop" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') pre-freeze stop" >> $LOGFILE

exit 0

elif [ "$1" = "thaw" ]; then
echo "$0 post-thaw start" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw start" >> $LOGFILE

lock_file=/tmp/mysql_tables_read_lock

# get PID from lockfile
mysql_pid=$(cat $lock_file)
echo "$0 sending sigterm to $mysql_pid" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') sending sigterm to $mysql_pid" >> $LOGFILE
# and send stop to process
pkill -9 -P $mysql_pid
rm -f $lock_file

echo "$0 post-thaw stop" | logger
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') post-thaw stop" >> $LOGFILE

exit 0
else
echo "-------------------------------------------------------------------------------------" >> $LOGFILE
echo "$0 $(date '+%Y-%m-%d %H:%M:%S') unkown parameter: $1" >> $LOGFILE
fi
</source>
und die Datei ausführbar machen: 
chmod +x /etc/qemu/fsfreeze-hook.d/mariadb.sh
----

==Festplatte im laufenden Betrieb vergrößern==
Ihr habt den Server nach dieser Anleitung hier als VM installiert (und ohne LVM) und nun geht euch der Platz aus? 
Kein Problem, Ihr könnt die Festplatte im laufenden Betrieb vergößern! 
----
===Als erstes: Platz an die Festplatte anhängen===
* Stellt sicher das auf der VM zur Zeit kein Snapshot aktiv ist!
* Vergrößert die Festplatte um den benötigten Speicherplatz
Unter VMware indem Ihr die Hardware der VM bearbeitet und bei der aktuellen Größe der Festplatte einfach die neue Größe angebt, 
unter Proxmox in dem Ihr bei der VM unter {{code|Hardware}} die Festplatte markiert und oben über {{key|Disk Action}} => {{key|+ Resize}} den zusätzlichen Speicherplatz der angehängt werden soll angegeben. 
in dem Beispiel hier wird der Platz von 50 auf 100GB vergrößert. 
----
===Partition vergrößern===
Nachfolgend findet Ihr 2 Methoden den freien Speicherplatz an die vorhandene Partition anzuhängen. 
'''B''' ist erprobt und funktioniert aber nur ohne LVM, 
'''A''' ist neu, funktionierte bisher aber gut. 
Bei beiden Varianten schadet es nicht, vorher einen Snapshot der VM zu machen (und gleich wieder zu löschen wenn alles geklappt hat). 
----
===Variante A: automatisch per Skript===
Das Skript funktioniert mit und ohne LVM, mit den Dateisystemen ext2/3/4 oder XFS, unter VMware, Hyper-V, Proxmox und wahrscheinlich vielen anderen Hypervisoren. 
 
----
====Skript erstellen oder herunterladen====
Ihr seit als {{code|root}} angenmeldet und erstellt folgendes Skript: 
nano addiskspace.sh
Inhalt: 
<source lang="bash">
#!/bin/bash

# Prüfen auf Root-Rechte
if [ "$EUID" -ne 0 ]; then
echo "Bitte als root ausführen."
exit 1
fi

echo "--- Schritt 1: SCSI Rescan (alle Controller) ---"
for host_path in /sys/class/scsi_host/host*; do
host_name=$(cat "$host_path/proc_name")
echo "Rescanning $host_name (${host_path##*/})..."

# Neue Geräte suchen
[ -e "$host_path/scan" ] && echo "- - -" > "$host_path/scan"

# Größenänderungen bestehender Geräte finden
find /sys/devices/ -name rescan | grep "/${host_path##*/}/" | while read -r r; do
echo 1 > "$r"
done
done

echo -e "\n--- Schritt 2: Analyse und Vergrößerung der Datenträger ---"

# Alle Blockgeräte finden (sdX, nvmeXnX, virtblkX), die Partitionen haben
# Wir filtern nach 'disk', um keine Loop-Devices oder Partitionen selbst zu greifen
lsblk -dnio NAME,TYPE | grep "disk" | awk '{print $1}' | while read -r dev; do
disk="/dev/$dev"
echo "Untersuche $disk..."

# Alle Partitionen dieser Disk finden (sortiert nach Partitionsnummer, absteigend)
# Wir wollen die LETZTE Partition vergrößern
last_part_num=$(lsblk -nlo PARTN,TYPE "$disk" | grep "part" | awk '{print $1}' | sort -rn | head -n1)

if [ -z "$last_part_num" ]; then
echo " Keine Partitionen auf $disk gefunden, überspringe."
continue
fi

partition="${disk}${last_part_num}"
# Sonderbehandlung für NVMe oder MMC (z.B. p1 am Ende)
[[ "$disk" =~ [0-9]$ ]] && partition="${disk}p${last_part_num}"

echo " Letzte Partition identifiziert: $partition (Nummer $last_part_num)"

# Versuch die Partition zu vergrößern (growpart gibt 0 bei Erfolg, 1 bei "kein Platz" zurück)
growpart "$disk" "$last_part_num" 2>/dev/null
if [ $? -eq 0 ]; then
echo " Partition $partition wurde vergrößert."

# --- LVM Check ---
# Prüfen, ob diese Partition ein LVM Physical Volume ist
if pvs --noheadings -o pv_name "$partition" &>/dev/null; then
echo " LVM erkannt: Vergrößere Physical Volume..."
pvresize "$partition"

# Finde alle Logical Volumes auf diesem PV und vergrößere das LETZTE LV
# (Wir nehmen hier an, dass das LV vergrößert werden soll, das den Platz braucht)
lv_path=$(lvs --noheadings -o lv_path --sort -lv_size | head -n1 | xargs)
if [ -n "$lv_path" ]; then
echo " Vergrößere Logical Volume $lv_path und Dateisystem..."
lvextend -l +100%FREE -r "$lv_path"
fi
else
# --- Non-LVM Resize ---
echo " Kein LVM: Vergrößere Dateisystem direkt..."
# Erkennt automatisch ext2/3/4 oder XFS
lsblk -f "$partition" | grep -qi "xfs" && xfs_growfs "$partition" || resize2fs "$partition"
fi
else
echo " Kein freier Platz nach Partition $last_part_num gefunden oder bereits maximal groß."
fi
done

echo -e "\nFertig."
</source>
Jetzt noch ausführbar machen: 
chmod +x addiskspace.sh
----
====Skript ausführen====
./addiskspace.sh
Beispielausgabe (bei LVM): 
--- Schritt 1: SCSI Rescan (alle Controller) ---
Rescanning virtio_scsi (host0)...
Rescanning ata_piix (host1)...
Rescanning ata_piix (host2)...

--- Schritt 2: Analyse und Vergrößerung der Datenträger ---
Untersuche /dev/sda...
Letzte Partition identifiziert: /dev/sda3 (Nummer 3)
CHANGED: partition=3 start=4198400 old: size=79685632 end=83884031 new: size=100659167 end=104857566
Partition /dev/sda3 wurde vergrößert.
LVM erkannt: Vergrößere Physical Volume...
Physical volume "/dev/sda3" changed
1 physical volume(s) resized or updated / 0 physical volume(s) not resized
Vergrößere Logical Volume /dev/ubuntu-vg/ubuntu-lv und Dateisystem...
File system ext4 found on ubuntu-vg/ubuntu-lv mounted at /.
Size of logical volume ubuntu-vg/ubuntu-lv changed from <19,00 GiB (4863 extents) to <48,00 GiB (12287 extents).
Extending file system ext4 to <48,00 GiB (51535413248 bytes) on ubuntu-vg/ubuntu-lv...
resize2fs /dev/ubuntu-vg/ubuntu-lv
resize2fs 1.47.2 (1-Jan-2025)
Dateisystem bei /dev/ubuntu-vg/ubuntu-lv ist auf / eingehängt; Online-Größenänderung ist
erforderlich
old_desc_blocks = 3, new_desc_blocks = 6
Das Dateisystem auf /dev/ubuntu-vg/ubuntu-lv is nun 12581888 (4k) Blöcke lang.

resize2fs done
Extended file system ext4 on ubuntu-vg/ubuntu-lv.
Logical volume ubuntu-vg/ubuntu-lv successfully resized.

Fertig.

----

===Variante B: manuell von Hand===
Hier führen wie die Schritte Händisch aus, im Oment ist nur der Weg ohne LVM beschrieben. 
----

====Schritt 1: Betriebssystem die neue Größe erkennen lassen====
<big>'''Die einfachste und sicherste Methode ist den Server neu zu starten.'''</big> 
Wer will kann es aber auch im laufenden Betrieb durchführen, und das geht so: 
 
----
=====Variante 1: Manueller Rescan der Festplatten durchführen=====
Wir müssen die Festplattenkontroller-Adapternummer ermitteln: 
Die ersten beiden Befehle suchen diesen unter VMware, der 3. unter Proxmox: 
# VMware
grep mpt /sys/class/scsi_host/host*/proc_name
grep pvscsi /sys/class/scsi_host/host*/proc_name
# Proxmox
grep virtio_scsi /sys/class/scsi_host/host*/proc_name
Findet keiner der Befehle etwas, lasst euch den Namen des Controllers anzeigen:
cat /sys/class/scsi_host/host*/proc_name

Beispielausgaben (eine von denen wird kommen):
/sys/class/scsi_host/'''host32'''/proc_name:mptspi
/sys/class/scsi_host/'''host2'''/proc_name:vmw_pvscsi
/sys/class/scsi_host/'''host0'''/proc_name:virtio_scsi
Die Nummer ist in diesem Fall <code>host0</code>! Die brauchen wir für den nächsten Befehl: 
find /sys -name rescan | grep host0
Beispielausgaben: 
VMware: 
/sys/devices/pci0000:00/0000:00:10.0/host32/target32:0:0/32:0:0:0/rescan
Proxmox: 
/sys/devices/pci0000:00/0000:00:05.0/0000:01:01.0/virtio4/host0/target0:0:0/0:0:0:0/rescan
Ok, an die Festplatte schicken wir jetzt eine <code>1</code> um den Rescan auszulösen:
echo 1 > /sys/devices/pci0000:00/0000:00:10.0/host32/target32:0:0/32:0:0:0/rescan
oder
echo 1 > /sys/devices/pci0000:00/0000:00:05.0/0000:01:01.0/virtio4/host0/target0:0:0/0:0:0:0/rescan
Fertig! 
 
----
=====Variante 2: Rescan per Einzeiler auslösen=====
Der Einzeiler sollte auf allen Linux-Systemen funktionieren. AHCI Geräte, also SATA, werden übersprungen: 
for host_path in /sys/class/scsi_host/host*; do host_name=$(cat $host_path/proc_name); if [[ "$host_name" != "ahci" ]]; then echo "Rescanning $host_name (${host_path##*/})..."; [ -e "$host_path/scan" ] && echo "- - -" > "$host_path/scan"; find /sys/devices/ -name rescan | grep "/${host_path##*/}/" | while read r; do echo 1 > "$r"; done; fi; done
Wer doch SATA braucht nimmt es ohne Filter: 
for host_path in /sys/class/scsi_host/host*; do host_name=$(cat $host_path/proc_name); if [[ "$host_name" =~ (virtio|mpt|pvscsi|ahci) ]]; then echo "Rescanning $host_name (${host_path##*/})..."; echo "- - -" > $host_path/scan; find /sys/devices/ -name rescan | grep "${host_path##*/}" | while read r; do echo 1 > "$r"; done; fi; done

====Schritt 2: Kontrolle ob neue Größe erkannt wurde====
Im Anschluß zur Kontrolle ein
fdisk -l
Die Ausgabe sollte ähnlich wie diese sein: 
Festplatte /dev/sda: 100 GiB, 107374182400 Bytes, 209715200 Sektoren
Festplattenmodell: Virtual disk
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 9BE90D25-A550-48DB-9E50-6CAC38D87217

Gerät Anfang Ende Sektoren Größe Typ
/dev/sda1 2048 2203647 2201600 1G EFI-System
/dev/sda2 2203648 52426751 50223104 23,9G Linux-Dateisystem
Wir können sehen das {{key|sda}} nun 100GB groß ist, in der letzten Zeile sehen wir aber das die Partition {{key|sda2}} zur Zeit noch 23,9Gb groß ist - prima! 
----

====Schritt 3: Partition vergrößern====
Das <code>/</code> Verzeichnis unserer Root-Partition der Festplatte befindet sich auf dem Gerät
/dev/sda2
wenn Ihr nach dieser Anleitung installiert hattet. Kontrollieren könnte Ihr das z.B. mit
df -h
und dann schauen was links vom Verzeichnis <code>/</code> steht: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 392M 1,2M 391M 1% /run
/dev/sda2 63G 8,8G 51G 15% /
tmpfs 2,0G 0 2,0G 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 392M 12K 392M 1% /run/user/0
Die nächsten Befehle gehen von {{Key|/dev/sda2}}, wenn der Pfad anderes ist müsst Ihr diesen anpassen! 
growpart /dev/sda 2
resize2fs /dev/sda2
Ja, beim ersten Befehl ist da ein Leerzeichen zwischen dem sda und der 2, beim zweiten Befehl nicht. 
Wenn er {{code|growpart}} nicht findet, installiert es mit 
apt install cloud-guest-utils
nach. 
----

====Schritt 4: Das war schon alles!====
Ihr könnt mit 
df -h
es einmal kontrollieren - aber das war schon alles:
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 391M 1,2M 390M 1% /run
/dev/sda2 32G 7,6G 23G 26% /
tmpfs 2,0G 0 2,0G 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
/dev/sdb1 99G 655M 93G 1% /var/www
tmpfs 391M 4,0K 391M 1% /run/user/1000
----

==Kommentare==
<comments />

Vorlage:Installation-Ubuntu-2604

2026-05-20T12:14:29Z

BLinz: /* Zeitserver setzen */

===Grundinstallation===
{{Hinweis| Ich habe die offizielle ISO verwendet: https://ubuntu.com/download/server m die Datei heißt dann {{code|ubuntu-26.04-live-server-amd64.iso}}, an die Versionsnummer wird mit der Zeit ein .1, .2 und so weiter angehängt}}
{{Hinweis| Ich installiere mit Absicht '''OHNE''' LVM. Ubuntu erstellt inzwischen keine eigene Partition für SWAP mehr und ohne LVM lässt sich der Festplattenplatz bei einer Installation als VM auf einfachste Weise im laufenden Betrieb erweitern. Natürlich ginge das auch mit LVM (mit mehr Schritten), ich sehe hier den Nutzen und Vorteil in einer VM aber nicht.}}
Ggf. noch die ISO/CD einlegen (falls nicht schon in der VM Konfiguriert) und Einschalten/Starten, 
die Fragen beantwortet Ihr wie folgt (sind ggf. die Überschriften der Dialoge): 
{|
|[[Datei:ClipCapIt-260513-095215.PNG|250px]] ||Try or Install Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-095351.PNG|250px]] ||Deutsch
|-
|[[Datei:ClipCapIt-260513-095441.PNG|250px]] ||German / German
|-
|colspan="2"| Wenn er einen neueren Installer findet und fragt ob er auf diesen aktualisieren soll - Ja!
|-
|[[Datei:ClipCapIt-260513-095530.PNG|250px]] ||Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Jetzt könnt Ihr schon die gewünschte feste IP-Adresse einstellen. Wählt dazu mit den Pfeiltasten den <code>ensXXX</code> Eintrag aus und drückt {{Key|Enter}}:
|-
|[[Datei:ClipCapIt-260513-095823.PNG|250px]] ||ensXXX => Bearbeite IPv4
|-
|[[Datei:ClipCapIt-260513-095925.PNG|250px]] ||Manuell 
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Bei Subnetz kommt nicht die Subnetzmaske sondern das Netzwerk mit Suffix. Bei einer 24 Maske (= 255.255.255.0) ist das die IP 0 mit Suffix /24
|-
|[[Datei:ClipCapIt-260513-100432.PNG|250px]] ||Wenn Ihr kein IPv6 nutzt, würde ich es an dieser Stelle deaktivieren, ansonsten durchkonfigurieren
|-
|[[Datei:ClipCapIt-260513-100538.PNG|250px]] ||Erledigt 
|-
|[[Datei:ClipCapIt-260513-100618.PNG|250px]] ||Proxy bei Bedarf, sonst leer lassen
|-
|[[Datei:ClipCapIt-260513-100730.PNG|250px]] ||Den Test abwarten und dann auf Erledigt
|-
|[[Datei:ClipCapIt-260513-100901.PNG|250px]] ||Nutzt die ganze Festplatte ohne LVM (also Haken entfernen). Die Festplatte lässt sich später trotzdem sehr leicht vergrößern
|-
|[[Datei:ClipCapIt-260513-101002.PNG|250px]] ||Erledigt
|-
|[[Datei:ClipCapIt-260513-101040.PNG|250px]] ||Fortfahren
|-
|[[Datei:ClipCapIt-260513-101216.PNG|250px]] ||Den Servernamen festlegen. Ich lege hier den Benutzer '''''installadmin''''' an. Wählt euren Benutzer und Passwort nach Wunsch (Aufschreiben!)
|-
|[[Datei:ClipCapIt-260513-101253.PNG|250px]] ||Falls Ihr Ubuntu Pro habt, könnet Ihr es hier aktiveren, ansonsten einfach {{Key|[Fortfahren]}}
|-
|[[Datei:ClipCapIt-260513-101402.PNG|250px]] ||OpenSSH-Server auswählen => Erledigt (für Zugriff z.B. mit Putty). Falls Ihr hier per {{code|Import SSH key}} einen Schlüssel importiert, ist keine an SSH mit einem Passwort möglich! Also nur wenn Ihr wisst was Ihr tut!
|-
|[[Datei:ClipCapIt-260513-101620.PNG|250px]] ||Erledigt 
|-
|colspan="2"|Ab jetzt heißt es abwarten. Wenn er kann lädt er gleich ein paar Sicherheitsupdates nach. 
|
|-
|[[Datei:ClipCapIt-260513-103148.PNG|250px]] ||Jetzt neustarten 
|-
|[[Datei:ClipCapIt-260513-103236.PNG|250px]] ||ISO aus der VM entfernen (Konfiguration der VM bearbeiten!) und {{Key|Enter}} drücken 
|-
|[[Datei:ClipCapIt-260513-103345.PNG|250px]] ||Nach dem Reboot wartet ab bis diverse Meldungen abgelaufen sind / sich nichts mehr auf dem Bildschirm tut
|}
----

===PuTTY===
Ab dieser Stelle könnt Ihr PuTTY oder den SSH Client eurer Wahl nutzen - was ich dringend empfehle. Denn dann könnt Ihr hier vorgeschlagenen Befehle einfach per Copy&Paste übernehmen. 
Die IP-Adresse habt Ihr zu diesem Zeitpunkt ja bereits festgelegt: 
:[[Datei:ClipCapIt-200521-155245.PNG|150px]] [[Datei:ClipCapIt-200521-155339.PNG|150px]] [[Datei:ClipCapIt-200521-160706.PNG|150px]] 
Nach der Anmeldung nutze ich immer gerne ein
sudo -i
Damit wechselt man dauerhaft zum '''''root''''' Benutzer und muss nicht vor jedem Befehl ein <code>sudo</code> stellen. 
----
===Bei Bedarf: root wieder freischalten===
{{Hinweis| Ob nun wie ich immer als root arbeiten wollt oder aber als einfacher Benutzer und dann immer <code>sudo</code> verwendet müsst Ihr selbst wissen}}
* Mit Benutzer '''''installadmin''''' anmelden 
sudo -i
* Kennwort des Benutzer '''''installadmin''''' eintippen 
passwd root
* neues Kennwort für "root" 2x eintippen 
:[[Datei:ClipCapIt-200521-161108.PNG|150px]]
* Lokal Anmelden kann man sich nun mit '''''root''''' - aber eine Anmeldung über SSH funktioniert dann immer noch nicht. 
* Damit diese auch funktioniert müsst ihr die <code>sshd_config</code> bearbeiten: 
nano /etc/ssh/sshd_config

sucht nach der Zeile ({{Key|STRG}} + {{Key|W}} ist Suchen) nach
#PermitRootLogin prohibit-password
und stellt den Cursor in die Zeile. 
Drückt nun einmal {{Key|F9}} und 2x {{Key|F10}} - damit erstellt Ihr eine Kopie der Zeile. 
Ändert die Kopie wie folgt ab: 
PermitRootLogin yes
:[[Datei:ClipCapIt-260513-104318.PNG]] 
Speichert die Datei ({{Key|STRG}} + {{Key|x}}, dann {{Key|y}} und {{Key|Enter}}) und startet den ssh Dienst neu: 
systemctl restart ssh.service
Ab dann klappt es auch mit dem SSH-Login für den Benutzer root, z.B. über '''puTTY''' 
Jetzt 2x 
exit
eintippen wodurch sich das PuTTY Fenster schließt - der (eingeschränkte) Benutzer '''''installadmin''''' hat sich somit abgemeldet
 
 
{{Hinweis| Ja, ich persönlich arbeite gerne als root und habe diesen für die Anmeldung freigeschaltet. Was ich nicht mache ist das Login per SSH mit Passwort zu erlauben. 
'''Also das obige {{code|PermitRootLogin}} mache ich explizit nicht!'''. 
Ich hinterlege also immer einen SSH-Key für die Anmeldung und nutze diesen statt des Kennwortes. Die Lösung hier ist einfach gehalten, der Profi mögen anpassen wie er es braucht. Ein Anmeldung als eingeschränkter Benutzer geht natürlich auch, das erste was ich dann immer mache ist ein <code>sudo -i</code> um dauerhaft zum root zu wechseln}}
----

===Anmelden als root===
Startet PuTTY wieder und meldet euch diesmal gleich als Benutzer '''''root''''' an. 
Alternativ als der Installationsbenutzer und wechselt per 
sudo -i
dauerhaft zum '''''root''''' 
----

===nano & Co auf Deutsch===
'''''nano''''' war eben z.B. noch auf Englisch, mit
apt install -y language-pack-de
ist es (und vieles andere) auf deutsch. 
----

===root farbiger Prompt===
Ich nutze gerne den farbigen Prompt, wenn Ihr als normaler Benutzer zu diesem wechselt, sieht man das optisch noch besser das man gewechselt hat. 
Als '''''root''''' angemeldet: 
nano ~/.bashrc
Zeile 39 ({{Key|Alt}} + {{Key|C}} aktiviert Zeilennummernanzeige): 
#force_color_prompt=yes
ändern zu (# entfernen): 
force_color_prompt=yes
:[[Datei:ClipCapIt-200521-162422.PNG|250px]] 
 
Per 
source ~/.bashrc
könnt Ihr das direkt übernehmen.
----

===Bash History aus mehreren Sitzungen gleichzeitig===
Wenn man mehr als eine SSH Sitzung zum Zabbix-Server hat, gewinnt in der Bash-Histoy die Sitzung von der man sich zuletzt abmeldet. 
Nachfolgende Änderung sorgt dafür das sich alle Sitzungen eine Bash-History teilen, was ich in Session 1 also aufrufe lässt sich sofort danach in Session 2 per Pfeil nach oben oder {{key|STRG}} + {{key|R}} Suche finden. 
Dazu bearbeiten man noch einmal die 
nano ~/.bashrc
und hängt ganz unten folgendes an: 
<source lang="bash">
# don't put duplicate lines in the history. See bash(1) for more options
# ... or force ignoredups and ignorespace
HISTCONTROL=ignoredups:ignorespace:erasedups

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTSIZE=50000
HISTFILESIZE=50000

# After each command, append to the history file
# and reread it
export PROMPT_COMMAND="${PROMPT_COMMAND:+$PROMPT_COMMAND$'n'}history -a; history -c; history -r"
</source>
Damit es sofort aktiv wird wieder 
source ~/.bashrc
Ja, {{code|HISTSIZE}} und {{code|HISTFILESIZE}} stehen nun 2x in der Datei, der letzte Eintrag gewinnt. 
----

===Feste IP-Adresse vergeben===
Der Server hat dank des neuen Setupdialoges nun bereits eine feste IP-Adresse. 
Solltet Ihr an dieser etwas ändern müssen so müssen wir erst das Cloud-Init deaktivieren:
nano /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Inhalt:
network: {config: disabled}
Dann könnte Ihr in der folgenden Datei etwas ändern, die Warnungen das es einen reboot nicht übersteht könnt Ihr ignorieren, dafür haben wir die andere Datei angelegt. 
nano /etc/netplan/00-installer-config.yaml
:[[Datei:ClipCapIt-260513-105129.PNG|250px]] 
{{Hinweis| Weiter unten deinstalliere ich Cloud-Init komplett (wenn die VM nicht bei einem Hoster läuft), da könnte man sich diesen Schritt hier sparen}}
----

===Updates einspielen===
als '''''root''''' bzw. zum '''''root''''' wechseln: 
Ich mache das normalerweise immer als Einzeiler: 
apt update && apt upgrade -y && apt autoremove -y
Das ganze im Detail: 
* Updates suchen für Betriebssystem: (aktualisiert den Katalog aus den Update-Quellen)
apt update
* Updates einspielen:
apt upgrade -y
* Nach Update überflüssige Pakete entfernen:
apt autoremove -y
 
----

===VM Integrationsdienste installieren===
Wenn euer installiertes System eine VM, eine '''V'''irtuelle '''M'''aschine, ist, solltest Ihr je nach verwendeten Hypervisor die passenden Integrationsdienste installieren: 
 
----
====VMware====
Unter VMware braucht ihr nichts tun, die
apt install open-vm-tools
sind per Default installiert und aktiv. Ist es keine VMware VM, so könnt Ihr die Tools per
apt remove open-vm-tools
entfernen 
----
====Hyper-V====
In den Einstellungen der VM solltet Ihr hier den Haken setzen:
:[[Datei:ClipCapIt-250527-112648.PNG]] 
In der VM die folgende Datei bearbeiten: 
nano /etc/initramfs-tools/modules
und ganz unten die folgenden 4 Zeilen anhängen: 
hv_vmbus
hv_storvsc
hv_blkvsc
hv_netvsc
hv_utils
Und dann die Tools installieren: 
apt -y install linux-virtual linux-cloud-tools-virtual linux-tools-virtual
update-initramfs -u
und neu starten:
reboot
Quelle: https://community.veeam.com/blogs-and-podcasts-57/how-to-install-hyper-v-integration-services-in-the-ubuntu-linux-vm-6353
 
----

====Proxmox PVE====
In den Einstellungen der VM den {{code|QEMU Guest Agent}} aktivieren: 
:[[Datei:ClipCapIt-260513-105702.PNG]] 
:[[Datei:ClipCapIt-260513-105545.PNG]] 
Und dann in der VM die Tools installieren: 
apt -y install qemu-guest-agent
 
Falls die Harwareeinstellung so aussieht wie oben im Bild (mit dem orangenen Text),müssen wir die VM einmal ganz ausschalten und wieder einschalten: 
shutdown -h now
Und danach wieder einschalten und neu an SSH anmelden. 
Wenn da nichts orangenes ist, reicht ein reboot. 
Dann seht ihr in der Summary der VM sollte nun die IP-Adresse sichtbar sein: 
:[[Datei:ClipCapIt-260513-110008.PNG]] 
----

===Multipathing deinstallieren (wenn der Server eine VM ist)===
Ab Werk findet man im
tail -n 50000 -F /var/log/syslog | grep multipathd
einige Multipath-Meldungen: 
...
2026-05-13T09:03:29.804259+00:00 zabbixtest systemd[1]: Starting multipathd.service - Device-Mapper Multipath Device Controller...
2026-05-13T09:03:29.804288+00:00 zabbixtest multipathd[735]: multipathd v0.14.3: start up
2026-05-13T09:03:29.804291+00:00 zabbixtest multipathd[735]: reconfigure: setting up paths and maps
2026-05-13T09:03:29.804294+00:00 zabbixtest systemd[1]: Started multipathd.service - Device-Mapper Multipath Device Controller.
2026-05-13T09:03:29.804922+00:00 zabbixtest systemd[1]: Starting multipathd-queueing.service - Enable queuing for multipath maps...
2026-05-13T09:03:29.805021+00:00 zabbixtest systemd[1]: Finished multipathd-queueing.service - Enable queuing for multipath maps.
In einer VM macht Multipath nur in Ausnahmefällen Sinn, also deaktivieren und deinstallieren: 
systemctl stop multipathd.service && systemctl disable multipathd.service
apt install libsgutils2-1.48 sg3-utils sg3-utils-udev
apt remove -y multipath-tools && apt purge -y multipath-tools
apt autoremove -y
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakete werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Die Multipath-Bibliotheken habe ich dabei weggelassen. 
----

===Cloud-Init deinstallieren (Wenn es keine VM bei einem Cloudanbieter ist)===
Wenn Ihr die VM reboootet und die Console betrachtet tauchen kurz nach dem Reboot (Fehler-)Meldungen zum Cloud-init auf: 
:[[Datei:ClipCapIt-200521-163633.PNG|150px]] 
Das Cloud-Init ist - wenn ich mich recht erinnere - dafür da falls eure VM z.B. bei Amazon AWS, Azure oder andere Anbieter läuft um z.B. die Netzwerkinformationen vom Hoster/Provider zu erhalten. 
Brauchen wir nicht, also weg damit: 
echo 'datasource_list: [ None ]' | tee /etc/cloud/cloud.cfg.d/90_dpkg.cfg
apt purge -y cloud-init
rm -rf /etc/cloud/ && sudo rm -rf /var/lib/cloud/
apt install cloud-guest-utils eatmydata libeatmydata1 python-babel-localedata python3-jinja2 python3-jsonpatch python3-jsonschema-specifications python3-passlib python3-rpds-py python3-babel python3-json-pointer python3-jsonschema python3-markupsafe python3-referencing gdisk libjs-sphinxdoc -y
apt autoremove -y
reboot
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakte werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Insbesondere die {{code|cloud-guest-utils}} wollen wir behalten 
----

===OpenIPMI und IPMItool deinstallieren===
{{Hinweis|Scheint ab Ubuntu 26.04 nicht mehr automatisch installiert zu werden!}}
Bei meinen VMs schlägt der Start dieses Dienstes eh immer fehl (weil es keine passende Hardware gibt), also weg damit: 
apt remove openipmi ipmitool -y && apt purge openipmi ipmitool && apt autoremove -y
Unter Hyper-V wird das Paket scheinbar nicht automatisch installiert. 
 
----

===Zeitzone setzen===
In meiner VM ist die Uhrzeit zu diesem Zeitpunkt falsch (gebt mal probeweise <code>date</code> ein) - weil der ESXi- oder Proxmox-Host auf UTC Zeit läuft und Ubuntu in der VM die richtige Zeitzone nicht eingestellt hat. 
Wir korrigieren das mit 
timedatectl set-timezone Europe/Berlin
ein
date
sollte dann die richtige Uhrzeit ausspucken. 
----

===Zeitserver setzen===
Es kann Sinnvoll sein, statt externer Zeitserver die eigenen internen zu Nutzen. Eine meiner Prüfungen in meinen Templates ist die Zeitabweichung des Hosts gegenüber dem Zabbix Server. Zum Beispiel in Active Directory-Domänen scheiter die Anmeldung, wenn der Zeitunterschied zwischen Domänencontroller und Client mehr als 15 Minuten beträgt, ab 5 Minuten kann es schon zickig werden. 
Es ist ok wenn alle die gleiche falsche Zeit haben. Ich synchronisiere den Zabbix Servers deshalb gerne mit dem zentralen Domänenkontroller mit der PDC-Rolle. 
{{Hinweis| Wenn Ihr diesen Schritt überspringt, wird {{Key|ntp.ubuntu.com}} als Zeitserver verwendet}}
Für die Zeitsynchronisierung ist ab Ubuntu 26.04 '''''Chrony''''' zuständig, über das erstellen der Datei 
nano /etc/chrony/sources.d/local-ntp-server.sources
Können wir eigene Zeitserver hinzufügen (für jeden Server eine solche Zeile): 
<source "lang=bash">
server 192.168.1.81 iburst
</source>
Nach der Änderung müssen wir ''''''chrony''''' das neu laden lassen: 
chronyc reload sources
und mit folgenden Befehl könnt Ihr den Status abfragen: 
timedatectl status
Beispielausgabe: 
Local time: Mi 2026-05-13 11:21:27 CEST
Universal time: Mi 2026-05-13 09:21:27 UTC
RTC time: Mi 2026-05-13 09:21:26
Time zone: Europe/Berlin (CEST, +0200)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Die verwendeten Zeitquellen seht Ihr per 
chronyc sources
Beispielausgabe: 
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-nts-2.ps5.canonical.> 2 6 17 27 -2075us[-2480us] +/- 21ms
^? DC81.znil.local 4 6 17 27 -1255us[-1660us] +/- 46ms
^+ ntp-nts-3.ps5.canonical.> 2 6 17 28 +206us[ -199us] +/- 19ms
^- ntp-nts-2.ps6.canonical.> 2 6 17 28 +7728us[+7323us] +/- 81ms
^- ntp-nts-3.ps6.canonical.> 2 6 17 27 +1970us[+1565us] +/- 78ms
^- ntp-nts-1.ps5.canonical.> 2 6 17 28 +93us[ -312us] +/- 18ms
Und welche er letztendlich genommen hat mit 
chronyc tracking
Beispielausgabe: 
Reference ID : B97DBE7B (ntp-nts-3.ps5.canonical.com)
Stratum : 3
Ref time (UTC) : Wed May 13 09:25:28 2026
System time : 0.000000546 seconds slow of NTP time
Last offset : +0.000948038 seconds
RMS offset : 0.000487364 seconds
Frequency : 9.203 ppm slow
Residual freq : +7.510 ppm
Skew : 2.559 ppm
Root delay : 0.033688802 seconds
Root dispersion : 0.001197023 seconds
Update interval : 64.1 seconds
Leap status : Normal
Wie man sieht, nimmt er einen externen. Wenn wir aber den internen Erzwingen wollen, müssen wir die anderen Quellen auskommentieren: 
nano /etc/chrony/sources.d/ubuntu-ntp-pools.sources
und vor alle {{code|pool}} Zeilen ein {{code|#}} davor setzen: 
:[[Datei:ClipCapIt-260513-113129.PNG|300px]] 
Den Dienst einmal neu starten (statt reloaden, damit er schneller wieder synced): 
systemctl restart chrony.service
und den Status prüfen bis in der letzten Zeile {{code|Leap status : Normal}} steht: 
chronyc tracking
Ausgabe:
Reference ID : C0A80151 (DC81.znil.local)
Stratum : 5
Ref time (UTC) : Wed May 13 09:32:15 2026
System time : 0.000017215 seconds fast of NTP time
Last offset : +0.000032023 seconds
RMS offset : 0.000032023 seconds
Frequency : 10.343 ppm slow
Residual freq : +1.266 ppm
Skew : 31.972 ppm
Root delay : 0.026105130 seconds
Root dispersion : 0.038228851 seconds
Update interval : 2.0 seconds
Leap status : Normal
----

===Automatische Updates deaktivieren===
Ich persönlich möchte nicht das der Zabbix-Server automatisch Updates einspielt. 
Die automatischen Updates aktualisieren - soweit ich das beobachten konnte - nur den Kernel. Aber auch das möchte ich nicht. Ich möchte das geplant durchführen. 
Die automatischen Updates verhindern wir mit 
apt remove -y unattended-upgrades
Wer möchte kann auch die Suche nach Updates deaktivieren. Ansonsten schaut das Ubuntu täglich an einem zufälligen Zeitpunkt nach, ob es Updates gibt. Bei der Anmeldung per SSH erhält man dann eine entsprechende Meldung. Deaktivieren kann man die automatsche Suche danach per 
nano /etc/apt/apt.conf.d/20auto-upgrades
und in der Datei beide Optionen auf {{code|0}} setzen: 
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";
----

===Automatischen Neustart von Diensten bei Updates deaktivieren===
Wie schon zuvor beschrieben aktualisiere ich Ubuntu (und andere Software aus Repos) gerne per folgenden Einzeiler:
apt update && apt upgrade -y && apt autoremove -y
In neueren Ubunti Versionen werden dabei Dienste ggf. automatische neu gestartet (wenn man den Einzeiler nimmt!), es gibt dann eine Meldung wie diese:
systemctl restart apache2.service cron.service fwupd.service mariadb.service open-vm-tools.service packagekit.service polkit.service rsyslog.service snmptrapd.service snmptt.service udisks2.service upower.service vgauth.service zabbix-agent2.service zabbix-web-service.service

Dienste deren Neustart verschoben wurde:
systemctl restart ModemManager.service
/etc/needrestart/restart.d/dbus.service
systemctl restart getty@tty1.service
systemctl restart systemd-logind.service
Im Normalfall ist es kein Problem. Allerdings scheinen die Abhängigkeiten der Dienste nicht beachtet zu werden. 
Ist zum Beispiel ein Dienst abhängig von der Datenbank / MySQL|MariaDB, das steht auch so in der <code>/usr/lib/systemd/system/namedesdienstes.service</code>:
After=mysql.service
After=mysqld.service
After=mariadb.service
Der automatische Neustart startet aber z.B. MariaDB gnadenlos durch ohne vorher abhängige Dienste zu beenden. Schön ist das nicht. 
Als Lösung schalte ich inzwischen den automatischen Neustart der Dienste ab, es wird dann nur eine Liste der Dienste ausgegeben die neu gestartet werden müssten: 
nano /etc/needrestart/needrestart.conf
und dort ziemlich am Anfang ab Zeile 33:
<source lang="bash">
# Restart mode: (l)ist only, (i)nteractive or (a)utomatically.
#
# ATTENTION: If needrestart is configured to run in interactive mode but is run
# non-interactive (i.e. unattended-upgrades) it will fallback to list only mode.
#
# UBUNTU: the default restart mode when running as part of the APT hook is 'a',
# unless a specific UI is configured (see below).
#$nrconf{restart} = 'i';
</source>
Bei der letzten Zeile 40 entfernen wir das Kommentarzeichen davor und machen aus dem <code>i</code> ein <code>l</code>, wie es auch in der obersten Zeile beschrieben wird:
$nrconf{restart} = 'l';
So werden notwendige Neustarts nur aufgelistet. Diese kann man dann von Hand neu starten oder einfach das ganze System rebooten. 
----

Vorlage:Installation-Ubuntu-2604

2026-05-20T12:12:48Z

BLinz: /* Zeitserver setzen */

===Grundinstallation===
{{Hinweis| Ich habe die offizielle ISO verwendet: https://ubuntu.com/download/server m die Datei heißt dann {{code|ubuntu-26.04-live-server-amd64.iso}}, an die Versionsnummer wird mit der Zeit ein .1, .2 und so weiter angehängt}}
{{Hinweis| Ich installiere mit Absicht '''OHNE''' LVM. Ubuntu erstellt inzwischen keine eigene Partition für SWAP mehr und ohne LVM lässt sich der Festplattenplatz bei einer Installation als VM auf einfachste Weise im laufenden Betrieb erweitern. Natürlich ginge das auch mit LVM (mit mehr Schritten), ich sehe hier den Nutzen und Vorteil in einer VM aber nicht.}}
Ggf. noch die ISO/CD einlegen (falls nicht schon in der VM Konfiguriert) und Einschalten/Starten, 
die Fragen beantwortet Ihr wie folgt (sind ggf. die Überschriften der Dialoge): 
{|
|[[Datei:ClipCapIt-260513-095215.PNG|250px]] ||Try or Install Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-095351.PNG|250px]] ||Deutsch
|-
|[[Datei:ClipCapIt-260513-095441.PNG|250px]] ||German / German
|-
|colspan="2"| Wenn er einen neueren Installer findet und fragt ob er auf diesen aktualisieren soll - Ja!
|-
|[[Datei:ClipCapIt-260513-095530.PNG|250px]] ||Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Jetzt könnt Ihr schon die gewünschte feste IP-Adresse einstellen. Wählt dazu mit den Pfeiltasten den <code>ensXXX</code> Eintrag aus und drückt {{Key|Enter}}:
|-
|[[Datei:ClipCapIt-260513-095823.PNG|250px]] ||ensXXX => Bearbeite IPv4
|-
|[[Datei:ClipCapIt-260513-095925.PNG|250px]] ||Manuell 
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Bei Subnetz kommt nicht die Subnetzmaske sondern das Netzwerk mit Suffix. Bei einer 24 Maske (= 255.255.255.0) ist das die IP 0 mit Suffix /24
|-
|[[Datei:ClipCapIt-260513-100432.PNG|250px]] ||Wenn Ihr kein IPv6 nutzt, würde ich es an dieser Stelle deaktivieren, ansonsten durchkonfigurieren
|-
|[[Datei:ClipCapIt-260513-100538.PNG|250px]] ||Erledigt 
|-
|[[Datei:ClipCapIt-260513-100618.PNG|250px]] ||Proxy bei Bedarf, sonst leer lassen
|-
|[[Datei:ClipCapIt-260513-100730.PNG|250px]] ||Den Test abwarten und dann auf Erledigt
|-
|[[Datei:ClipCapIt-260513-100901.PNG|250px]] ||Nutzt die ganze Festplatte ohne LVM (also Haken entfernen). Die Festplatte lässt sich später trotzdem sehr leicht vergrößern
|-
|[[Datei:ClipCapIt-260513-101002.PNG|250px]] ||Erledigt
|-
|[[Datei:ClipCapIt-260513-101040.PNG|250px]] ||Fortfahren
|-
|[[Datei:ClipCapIt-260513-101216.PNG|250px]] ||Den Servernamen festlegen. Ich lege hier den Benutzer '''''installadmin''''' an. Wählt euren Benutzer und Passwort nach Wunsch (Aufschreiben!)
|-
|[[Datei:ClipCapIt-260513-101253.PNG|250px]] ||Falls Ihr Ubuntu Pro habt, könnet Ihr es hier aktiveren, ansonsten einfach {{Key|[Fortfahren]}}
|-
|[[Datei:ClipCapIt-260513-101402.PNG|250px]] ||OpenSSH-Server auswählen => Erledigt (für Zugriff z.B. mit Putty). Falls Ihr hier per {{code|Import SSH key}} einen Schlüssel importiert, ist keine an SSH mit einem Passwort möglich! Also nur wenn Ihr wisst was Ihr tut!
|-
|[[Datei:ClipCapIt-260513-101620.PNG|250px]] ||Erledigt 
|-
|colspan="2"|Ab jetzt heißt es abwarten. Wenn er kann lädt er gleich ein paar Sicherheitsupdates nach. 
|
|-
|[[Datei:ClipCapIt-260513-103148.PNG|250px]] ||Jetzt neustarten 
|-
|[[Datei:ClipCapIt-260513-103236.PNG|250px]] ||ISO aus der VM entfernen (Konfiguration der VM bearbeiten!) und {{Key|Enter}} drücken 
|-
|[[Datei:ClipCapIt-260513-103345.PNG|250px]] ||Nach dem Reboot wartet ab bis diverse Meldungen abgelaufen sind / sich nichts mehr auf dem Bildschirm tut
|}
----

===PuTTY===
Ab dieser Stelle könnt Ihr PuTTY oder den SSH Client eurer Wahl nutzen - was ich dringend empfehle. Denn dann könnt Ihr hier vorgeschlagenen Befehle einfach per Copy&Paste übernehmen. 
Die IP-Adresse habt Ihr zu diesem Zeitpunkt ja bereits festgelegt: 
:[[Datei:ClipCapIt-200521-155245.PNG|150px]] [[Datei:ClipCapIt-200521-155339.PNG|150px]] [[Datei:ClipCapIt-200521-160706.PNG|150px]] 
Nach der Anmeldung nutze ich immer gerne ein
sudo -i
Damit wechselt man dauerhaft zum '''''root''''' Benutzer und muss nicht vor jedem Befehl ein <code>sudo</code> stellen. 
----
===Bei Bedarf: root wieder freischalten===
{{Hinweis| Ob nun wie ich immer als root arbeiten wollt oder aber als einfacher Benutzer und dann immer <code>sudo</code> verwendet müsst Ihr selbst wissen}}
* Mit Benutzer '''''installadmin''''' anmelden 
sudo -i
* Kennwort des Benutzer '''''installadmin''''' eintippen 
passwd root
* neues Kennwort für "root" 2x eintippen 
:[[Datei:ClipCapIt-200521-161108.PNG|150px]]
* Lokal Anmelden kann man sich nun mit '''''root''''' - aber eine Anmeldung über SSH funktioniert dann immer noch nicht. 
* Damit diese auch funktioniert müsst ihr die <code>sshd_config</code> bearbeiten: 
nano /etc/ssh/sshd_config

sucht nach der Zeile ({{Key|STRG}} + {{Key|W}} ist Suchen) nach
#PermitRootLogin prohibit-password
und stellt den Cursor in die Zeile. 
Drückt nun einmal {{Key|F9}} und 2x {{Key|F10}} - damit erstellt Ihr eine Kopie der Zeile. 
Ändert die Kopie wie folgt ab: 
PermitRootLogin yes
:[[Datei:ClipCapIt-260513-104318.PNG]] 
Speichert die Datei ({{Key|STRG}} + {{Key|x}}, dann {{Key|y}} und {{Key|Enter}}) und startet den ssh Dienst neu: 
systemctl restart ssh.service
Ab dann klappt es auch mit dem SSH-Login für den Benutzer root, z.B. über '''puTTY''' 
Jetzt 2x 
exit
eintippen wodurch sich das PuTTY Fenster schließt - der (eingeschränkte) Benutzer '''''installadmin''''' hat sich somit abgemeldet
 
 
{{Hinweis| Ja, ich persönlich arbeite gerne als root und habe diesen für die Anmeldung freigeschaltet. Was ich nicht mache ist das Login per SSH mit Passwort zu erlauben. 
'''Also das obige {{code|PermitRootLogin}} mache ich explizit nicht!'''. 
Ich hinterlege also immer einen SSH-Key für die Anmeldung und nutze diesen statt des Kennwortes. Die Lösung hier ist einfach gehalten, der Profi mögen anpassen wie er es braucht. Ein Anmeldung als eingeschränkter Benutzer geht natürlich auch, das erste was ich dann immer mache ist ein <code>sudo -i</code> um dauerhaft zum root zu wechseln}}
----

===Anmelden als root===
Startet PuTTY wieder und meldet euch diesmal gleich als Benutzer '''''root''''' an. 
Alternativ als der Installationsbenutzer und wechselt per 
sudo -i
dauerhaft zum '''''root''''' 
----

===nano & Co auf Deutsch===
'''''nano''''' war eben z.B. noch auf Englisch, mit
apt install -y language-pack-de
ist es (und vieles andere) auf deutsch. 
----

===root farbiger Prompt===
Ich nutze gerne den farbigen Prompt, wenn Ihr als normaler Benutzer zu diesem wechselt, sieht man das optisch noch besser das man gewechselt hat. 
Als '''''root''''' angemeldet: 
nano ~/.bashrc
Zeile 39 ({{Key|Alt}} + {{Key|C}} aktiviert Zeilennummernanzeige): 
#force_color_prompt=yes
ändern zu (# entfernen): 
force_color_prompt=yes
:[[Datei:ClipCapIt-200521-162422.PNG|250px]] 
 
Per 
source ~/.bashrc
könnt Ihr das direkt übernehmen.
----

===Bash History aus mehreren Sitzungen gleichzeitig===
Wenn man mehr als eine SSH Sitzung zum Zabbix-Server hat, gewinnt in der Bash-Histoy die Sitzung von der man sich zuletzt abmeldet. 
Nachfolgende Änderung sorgt dafür das sich alle Sitzungen eine Bash-History teilen, was ich in Session 1 also aufrufe lässt sich sofort danach in Session 2 per Pfeil nach oben oder {{key|STRG}} + {{key|R}} Suche finden. 
Dazu bearbeiten man noch einmal die 
nano ~/.bashrc
und hängt ganz unten folgendes an: 
<source lang="bash">
# don't put duplicate lines in the history. See bash(1) for more options
# ... or force ignoredups and ignorespace
HISTCONTROL=ignoredups:ignorespace:erasedups

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTSIZE=50000
HISTFILESIZE=50000

# After each command, append to the history file
# and reread it
export PROMPT_COMMAND="${PROMPT_COMMAND:+$PROMPT_COMMAND$'n'}history -a; history -c; history -r"
</source>
Damit es sofort aktiv wird wieder 
source ~/.bashrc
Ja, {{code|HISTSIZE}} und {{code|HISTFILESIZE}} stehen nun 2x in der Datei, der letzte Eintrag gewinnt. 
----

===Feste IP-Adresse vergeben===
Der Server hat dank des neuen Setupdialoges nun bereits eine feste IP-Adresse. 
Solltet Ihr an dieser etwas ändern müssen so müssen wir erst das Cloud-Init deaktivieren:
nano /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Inhalt:
network: {config: disabled}
Dann könnte Ihr in der folgenden Datei etwas ändern, die Warnungen das es einen reboot nicht übersteht könnt Ihr ignorieren, dafür haben wir die andere Datei angelegt. 
nano /etc/netplan/00-installer-config.yaml
:[[Datei:ClipCapIt-260513-105129.PNG|250px]] 
{{Hinweis| Weiter unten deinstalliere ich Cloud-Init komplett (wenn die VM nicht bei einem Hoster läuft), da könnte man sich diesen Schritt hier sparen}}
----

===Updates einspielen===
als '''''root''''' bzw. zum '''''root''''' wechseln: 
Ich mache das normalerweise immer als Einzeiler: 
apt update && apt upgrade -y && apt autoremove -y
Das ganze im Detail: 
* Updates suchen für Betriebssystem: (aktualisiert den Katalog aus den Update-Quellen)
apt update
* Updates einspielen:
apt upgrade -y
* Nach Update überflüssige Pakete entfernen:
apt autoremove -y
 
----

===VM Integrationsdienste installieren===
Wenn euer installiertes System eine VM, eine '''V'''irtuelle '''M'''aschine, ist, solltest Ihr je nach verwendeten Hypervisor die passenden Integrationsdienste installieren: 
 
----
====VMware====
Unter VMware braucht ihr nichts tun, die
apt install open-vm-tools
sind per Default installiert und aktiv. Ist es keine VMware VM, so könnt Ihr die Tools per
apt remove open-vm-tools
entfernen 
----
====Hyper-V====
In den Einstellungen der VM solltet Ihr hier den Haken setzen:
:[[Datei:ClipCapIt-250527-112648.PNG]] 
In der VM die folgende Datei bearbeiten: 
nano /etc/initramfs-tools/modules
und ganz unten die folgenden 4 Zeilen anhängen: 
hv_vmbus
hv_storvsc
hv_blkvsc
hv_netvsc
hv_utils
Und dann die Tools installieren: 
apt -y install linux-virtual linux-cloud-tools-virtual linux-tools-virtual
update-initramfs -u
und neu starten:
reboot
Quelle: https://community.veeam.com/blogs-and-podcasts-57/how-to-install-hyper-v-integration-services-in-the-ubuntu-linux-vm-6353
 
----

====Proxmox PVE====
In den Einstellungen der VM den {{code|QEMU Guest Agent}} aktivieren: 
:[[Datei:ClipCapIt-260513-105702.PNG]] 
:[[Datei:ClipCapIt-260513-105545.PNG]] 
Und dann in der VM die Tools installieren: 
apt -y install qemu-guest-agent
 
Falls die Harwareeinstellung so aussieht wie oben im Bild (mit dem orangenen Text),müssen wir die VM einmal ganz ausschalten und wieder einschalten: 
shutdown -h now
Und danach wieder einschalten und neu an SSH anmelden. 
Wenn da nichts orangenes ist, reicht ein reboot. 
Dann seht ihr in der Summary der VM sollte nun die IP-Adresse sichtbar sein: 
:[[Datei:ClipCapIt-260513-110008.PNG]] 
----

===Multipathing deinstallieren (wenn der Server eine VM ist)===
Ab Werk findet man im
tail -n 50000 -F /var/log/syslog | grep multipathd
einige Multipath-Meldungen: 
...
2026-05-13T09:03:29.804259+00:00 zabbixtest systemd[1]: Starting multipathd.service - Device-Mapper Multipath Device Controller...
2026-05-13T09:03:29.804288+00:00 zabbixtest multipathd[735]: multipathd v0.14.3: start up
2026-05-13T09:03:29.804291+00:00 zabbixtest multipathd[735]: reconfigure: setting up paths and maps
2026-05-13T09:03:29.804294+00:00 zabbixtest systemd[1]: Started multipathd.service - Device-Mapper Multipath Device Controller.
2026-05-13T09:03:29.804922+00:00 zabbixtest systemd[1]: Starting multipathd-queueing.service - Enable queuing for multipath maps...
2026-05-13T09:03:29.805021+00:00 zabbixtest systemd[1]: Finished multipathd-queueing.service - Enable queuing for multipath maps.
In einer VM macht Multipath nur in Ausnahmefällen Sinn, also deaktivieren und deinstallieren: 
systemctl stop multipathd.service && systemctl disable multipathd.service
apt install libsgutils2-1.48 sg3-utils sg3-utils-udev
apt remove -y multipath-tools && apt purge -y multipath-tools
apt autoremove -y
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakete werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Die Multipath-Bibliotheken habe ich dabei weggelassen. 
----

===Cloud-Init deinstallieren (Wenn es keine VM bei einem Cloudanbieter ist)===
Wenn Ihr die VM reboootet und die Console betrachtet tauchen kurz nach dem Reboot (Fehler-)Meldungen zum Cloud-init auf: 
:[[Datei:ClipCapIt-200521-163633.PNG|150px]] 
Das Cloud-Init ist - wenn ich mich recht erinnere - dafür da falls eure VM z.B. bei Amazon AWS, Azure oder andere Anbieter läuft um z.B. die Netzwerkinformationen vom Hoster/Provider zu erhalten. 
Brauchen wir nicht, also weg damit: 
echo 'datasource_list: [ None ]' | tee /etc/cloud/cloud.cfg.d/90_dpkg.cfg
apt purge -y cloud-init
rm -rf /etc/cloud/ && sudo rm -rf /var/lib/cloud/
apt install cloud-guest-utils eatmydata libeatmydata1 python-babel-localedata python3-jinja2 python3-jsonpatch python3-jsonschema-specifications python3-passlib python3-rpds-py python3-babel python3-json-pointer python3-jsonschema python3-markupsafe python3-referencing gdisk libjs-sphinxdoc -y
apt autoremove -y
reboot
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakte werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Insbesondere die {{code|cloud-guest-utils}} wollen wir behalten 
----

===OpenIPMI und IPMItool deinstallieren===
{{Hinweis|Scheint ab Ubuntu 26.04 nicht mehr automatisch installiert zu werden!}}
Bei meinen VMs schlägt der Start dieses Dienstes eh immer fehl (weil es keine passende Hardware gibt), also weg damit: 
apt remove openipmi ipmitool -y && apt purge openipmi ipmitool && apt autoremove -y
Unter Hyper-V wird das Paket scheinbar nicht automatisch installiert. 
 
----

===Zeitzone setzen===
In meiner VM ist die Uhrzeit zu diesem Zeitpunkt falsch (gebt mal probeweise <code>date</code> ein) - weil der ESXi- oder Proxmox-Host auf UTC Zeit läuft und Ubuntu in der VM die richtige Zeitzone nicht eingestellt hat. 
Wir korrigieren das mit 
timedatectl set-timezone Europe/Berlin
ein
date
sollte dann die richtige Uhrzeit ausspucken. 
----

===Zeitserver setzen===
Es kann Sinnvoll sein, statt externer Zeitserver die eigenen internen zu Nutzen. Eine meiner Prüfungen in meinen Templates ist die Zeitabweichung des Hosts gegenüber dem Zabbix Server. Zum Beispiel in Active Directory-Domänen scheiter die Anmeldung, wenn der Zeitunterschied zwischen Domänencontroller und Client mehr als 15 Minuten beträgt, ab 5 Minuten kann es schon zickig werden. 
Es ist ok wenn alle die gleiche falsche Zeit haben. Ich synchronisiere den Zabbix Servers deshalb gerne mit dem zentralen Domänenkontroller mit der PDC-Rolle. 
{{Hinweis| Wenn Ihr diesen Schritt überspringt, wird {{Key|ntp.ubuntu.com}} als Zeitserver verwendet}}
Für die Zeitsynchronisierung ist ab Ubuntu 26.04 '''''Chrony''''' zuständig, über das erstellen der Datei 
nano /etc/chrony/sources.d/local-ntp-server.sources
Können wir eigene Zeitserver hinzufügen (für jeden Server eine solche Zeile): 
<source "lang=bash">
server 192.168.1.81 iburst
</source>
Nach der Änderung müssen wir ''''''chrony''''' das neu laden lassen: 
chronyc reload sources
und mit folgenden Befehl könnt Ihr den Status abfragen: 
timedatectl status
Beispielausgabe: 
Local time: Mi 2026-05-13 11:21:27 CEST
Universal time: Mi 2026-05-13 09:21:27 UTC
RTC time: Mi 2026-05-13 09:21:26
Time zone: Europe/Berlin (CEST, +0200)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Die verwendeten Zeitquellen seht Ihr per 
chronyc sources
Beispielausgabe: 
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-nts-2.ps5.canonical.> 2 6 17 27 -2075us[-2480us] +/- 21ms
^? DC81.znil.local 4 6 17 27 -1255us[-1660us] +/- 46ms
^+ ntp-nts-3.ps5.canonical.> 2 6 17 28 +206us[ -199us] +/- 19ms
^- ntp-nts-2.ps6.canonical.> 2 6 17 28 +7728us[+7323us] +/- 81ms
^- ntp-nts-3.ps6.canonical.> 2 6 17 27 +1970us[+1565us] +/- 78ms
^- ntp-nts-1.ps5.canonical.> 2 6 17 28 +93us[ -312us] +/- 18ms
Und welche er letztendlich genommen hat mit 
chronyc tracking
Beispielausgabe: 
Reference ID : B97DBE7B (ntp-nts-3.ps5.canonical.com)
Stratum : 3
Ref time (UTC) : Wed May 13 09:25:28 2026
System time : 0.000000546 seconds slow of NTP time
Last offset : +0.000948038 seconds
RMS offset : 0.000487364 seconds
Frequency : 9.203 ppm slow
Residual freq : +7.510 ppm
Skew : 2.559 ppm
Root delay : 0.033688802 seconds
Root dispersion : 0.001197023 seconds
Update interval : 64.1 seconds
Leap status : Normal
Wie man sieht, nimmt er einen externen. Wenn wir aber den internen Erzwingen wollen, müssen wir die anderen Quellen auskommentieren: 
nano /etc/chrony/sources.d/ubuntu-ntp-pools.sources
und vor alle {{code|pool}} Zeilen ein {{code|#}} davor setzen: 
:[[Datei:ClipCapIt-260513-113129.PNG|300px]] 
Den Dienst einmal neu starten (statt reloaden, damit er schneller wieder synced): 
systemctl restart chrony.service
und den Status prüfen bis in der letzten Zeile {{code|Leap status : Normal}} steht: 
Reference ID : C0A80151 (DC81.znil.local)
Stratum : 5
Ref time (UTC) : Wed May 13 09:32:15 2026
System time : 0.000017215 seconds fast of NTP time
Last offset : +0.000032023 seconds
RMS offset : 0.000032023 seconds
Frequency : 10.343 ppm slow
Residual freq : +1.266 ppm
Skew : 31.972 ppm
Root delay : 0.026105130 seconds
Root dispersion : 0.038228851 seconds
Update interval : 2.0 seconds
Leap status : Normal
----

===Automatische Updates deaktivieren===
Ich persönlich möchte nicht das der Zabbix-Server automatisch Updates einspielt. 
Die automatischen Updates aktualisieren - soweit ich das beobachten konnte - nur den Kernel. Aber auch das möchte ich nicht. Ich möchte das geplant durchführen. 
Die automatischen Updates verhindern wir mit 
apt remove -y unattended-upgrades
Wer möchte kann auch die Suche nach Updates deaktivieren. Ansonsten schaut das Ubuntu täglich an einem zufälligen Zeitpunkt nach, ob es Updates gibt. Bei der Anmeldung per SSH erhält man dann eine entsprechende Meldung. Deaktivieren kann man die automatsche Suche danach per 
nano /etc/apt/apt.conf.d/20auto-upgrades
und in der Datei beide Optionen auf {{code|0}} setzen: 
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";
----

===Automatischen Neustart von Diensten bei Updates deaktivieren===
Wie schon zuvor beschrieben aktualisiere ich Ubuntu (und andere Software aus Repos) gerne per folgenden Einzeiler:
apt update && apt upgrade -y && apt autoremove -y
In neueren Ubunti Versionen werden dabei Dienste ggf. automatische neu gestartet (wenn man den Einzeiler nimmt!), es gibt dann eine Meldung wie diese:
systemctl restart apache2.service cron.service fwupd.service mariadb.service open-vm-tools.service packagekit.service polkit.service rsyslog.service snmptrapd.service snmptt.service udisks2.service upower.service vgauth.service zabbix-agent2.service zabbix-web-service.service

Dienste deren Neustart verschoben wurde:
systemctl restart ModemManager.service
/etc/needrestart/restart.d/dbus.service
systemctl restart getty@tty1.service
systemctl restart systemd-logind.service
Im Normalfall ist es kein Problem. Allerdings scheinen die Abhängigkeiten der Dienste nicht beachtet zu werden. 
Ist zum Beispiel ein Dienst abhängig von der Datenbank / MySQL|MariaDB, das steht auch so in der <code>/usr/lib/systemd/system/namedesdienstes.service</code>:
After=mysql.service
After=mysqld.service
After=mariadb.service
Der automatische Neustart startet aber z.B. MariaDB gnadenlos durch ohne vorher abhängige Dienste zu beenden. Schön ist das nicht. 
Als Lösung schalte ich inzwischen den automatischen Neustart der Dienste ab, es wird dann nur eine Liste der Dienste ausgegeben die neu gestartet werden müssten: 
nano /etc/needrestart/needrestart.conf
und dort ziemlich am Anfang ab Zeile 33:
<source lang="bash">
# Restart mode: (l)ist only, (i)nteractive or (a)utomatically.
#
# ATTENTION: If needrestart is configured to run in interactive mode but is run
# non-interactive (i.e. unattended-upgrades) it will fallback to list only mode.
#
# UBUNTU: the default restart mode when running as part of the APT hook is 'a',
# unless a specific UI is configured (see below).
#$nrconf{restart} = 'i';
</source>
Bei der letzten Zeile 40 entfernen wir das Kommentarzeichen davor und machen aus dem <code>i</code> ein <code>l</code>, wie es auch in der obersten Zeile beschrieben wird:
$nrconf{restart} = 'l';
So werden notwendige Neustarts nur aufgelistet. Diese kann man dann von Hand neu starten oder einfach das ganze System rebooten. 
----

Vorlage:Installation-Ubuntu-2604

2026-05-20T12:03:44Z

BLinz: /* Bei Bedarf: root wieder freischalten */

===Grundinstallation===
{{Hinweis| Ich habe die offizielle ISO verwendet: https://ubuntu.com/download/server m die Datei heißt dann {{code|ubuntu-26.04-live-server-amd64.iso}}, an die Versionsnummer wird mit der Zeit ein .1, .2 und so weiter angehängt}}
{{Hinweis| Ich installiere mit Absicht '''OHNE''' LVM. Ubuntu erstellt inzwischen keine eigene Partition für SWAP mehr und ohne LVM lässt sich der Festplattenplatz bei einer Installation als VM auf einfachste Weise im laufenden Betrieb erweitern. Natürlich ginge das auch mit LVM (mit mehr Schritten), ich sehe hier den Nutzen und Vorteil in einer VM aber nicht.}}
Ggf. noch die ISO/CD einlegen (falls nicht schon in der VM Konfiguriert) und Einschalten/Starten, 
die Fragen beantwortet Ihr wie folgt (sind ggf. die Überschriften der Dialoge): 
{|
|[[Datei:ClipCapIt-260513-095215.PNG|250px]] ||Try or Install Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-095351.PNG|250px]] ||Deutsch
|-
|[[Datei:ClipCapIt-260513-095441.PNG|250px]] ||German / German
|-
|colspan="2"| Wenn er einen neueren Installer findet und fragt ob er auf diesen aktualisieren soll - Ja!
|-
|[[Datei:ClipCapIt-260513-095530.PNG|250px]] ||Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Jetzt könnt Ihr schon die gewünschte feste IP-Adresse einstellen. Wählt dazu mit den Pfeiltasten den <code>ensXXX</code> Eintrag aus und drückt {{Key|Enter}}:
|-
|[[Datei:ClipCapIt-260513-095823.PNG|250px]] ||ensXXX => Bearbeite IPv4
|-
|[[Datei:ClipCapIt-260513-095925.PNG|250px]] ||Manuell 
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Bei Subnetz kommt nicht die Subnetzmaske sondern das Netzwerk mit Suffix. Bei einer 24 Maske (= 255.255.255.0) ist das die IP 0 mit Suffix /24
|-
|[[Datei:ClipCapIt-260513-100432.PNG|250px]] ||Wenn Ihr kein IPv6 nutzt, würde ich es an dieser Stelle deaktivieren, ansonsten durchkonfigurieren
|-
|[[Datei:ClipCapIt-260513-100538.PNG|250px]] ||Erledigt 
|-
|[[Datei:ClipCapIt-260513-100618.PNG|250px]] ||Proxy bei Bedarf, sonst leer lassen
|-
|[[Datei:ClipCapIt-260513-100730.PNG|250px]] ||Den Test abwarten und dann auf Erledigt
|-
|[[Datei:ClipCapIt-260513-100901.PNG|250px]] ||Nutzt die ganze Festplatte ohne LVM (also Haken entfernen). Die Festplatte lässt sich später trotzdem sehr leicht vergrößern
|-
|[[Datei:ClipCapIt-260513-101002.PNG|250px]] ||Erledigt
|-
|[[Datei:ClipCapIt-260513-101040.PNG|250px]] ||Fortfahren
|-
|[[Datei:ClipCapIt-260513-101216.PNG|250px]] ||Den Servernamen festlegen. Ich lege hier den Benutzer '''''installadmin''''' an. Wählt euren Benutzer und Passwort nach Wunsch (Aufschreiben!)
|-
|[[Datei:ClipCapIt-260513-101253.PNG|250px]] ||Falls Ihr Ubuntu Pro habt, könnet Ihr es hier aktiveren, ansonsten einfach {{Key|[Fortfahren]}}
|-
|[[Datei:ClipCapIt-260513-101402.PNG|250px]] ||OpenSSH-Server auswählen => Erledigt (für Zugriff z.B. mit Putty). Falls Ihr hier per {{code|Import SSH key}} einen Schlüssel importiert, ist keine an SSH mit einem Passwort möglich! Also nur wenn Ihr wisst was Ihr tut!
|-
|[[Datei:ClipCapIt-260513-101620.PNG|250px]] ||Erledigt 
|-
|colspan="2"|Ab jetzt heißt es abwarten. Wenn er kann lädt er gleich ein paar Sicherheitsupdates nach. 
|
|-
|[[Datei:ClipCapIt-260513-103148.PNG|250px]] ||Jetzt neustarten 
|-
|[[Datei:ClipCapIt-260513-103236.PNG|250px]] ||ISO aus der VM entfernen (Konfiguration der VM bearbeiten!) und {{Key|Enter}} drücken 
|-
|[[Datei:ClipCapIt-260513-103345.PNG|250px]] ||Nach dem Reboot wartet ab bis diverse Meldungen abgelaufen sind / sich nichts mehr auf dem Bildschirm tut
|}
----

===PuTTY===
Ab dieser Stelle könnt Ihr PuTTY oder den SSH Client eurer Wahl nutzen - was ich dringend empfehle. Denn dann könnt Ihr hier vorgeschlagenen Befehle einfach per Copy&Paste übernehmen. 
Die IP-Adresse habt Ihr zu diesem Zeitpunkt ja bereits festgelegt: 
:[[Datei:ClipCapIt-200521-155245.PNG|150px]] [[Datei:ClipCapIt-200521-155339.PNG|150px]] [[Datei:ClipCapIt-200521-160706.PNG|150px]] 
Nach der Anmeldung nutze ich immer gerne ein
sudo -i
Damit wechselt man dauerhaft zum '''''root''''' Benutzer und muss nicht vor jedem Befehl ein <code>sudo</code> stellen. 
----
===Bei Bedarf: root wieder freischalten===
{{Hinweis| Ob nun wie ich immer als root arbeiten wollt oder aber als einfacher Benutzer und dann immer <code>sudo</code> verwendet müsst Ihr selbst wissen}}
* Mit Benutzer '''''installadmin''''' anmelden 
sudo -i
* Kennwort des Benutzer '''''installadmin''''' eintippen 
passwd root
* neues Kennwort für "root" 2x eintippen 
:[[Datei:ClipCapIt-200521-161108.PNG|150px]]
* Lokal Anmelden kann man sich nun mit '''''root''''' - aber eine Anmeldung über SSH funktioniert dann immer noch nicht. 
* Damit diese auch funktioniert müsst ihr die <code>sshd_config</code> bearbeiten: 
nano /etc/ssh/sshd_config

sucht nach der Zeile ({{Key|STRG}} + {{Key|W}} ist Suchen) nach
#PermitRootLogin prohibit-password
und stellt den Cursor in die Zeile. 
Drückt nun einmal {{Key|F9}} und 2x {{Key|F10}} - damit erstellt Ihr eine Kopie der Zeile. 
Ändert die Kopie wie folgt ab: 
PermitRootLogin yes
:[[Datei:ClipCapIt-260513-104318.PNG]] 
Speichert die Datei ({{Key|STRG}} + {{Key|x}}, dann {{Key|y}} und {{Key|Enter}}) und startet den ssh Dienst neu: 
systemctl restart ssh.service
Ab dann klappt es auch mit dem SSH-Login für den Benutzer root, z.B. über '''puTTY''' 
Jetzt 2x 
exit
eintippen wodurch sich das PuTTY Fenster schließt - der (eingeschränkte) Benutzer '''''installadmin''''' hat sich somit abgemeldet
 
 
{{Hinweis| Ja, ich persönlich arbeite gerne als root und habe diesen für die Anmeldung freigeschaltet. Was ich nicht mache ist das Login per SSH mit Passwort zu erlauben. 
'''Also das obige {{code|PermitRootLogin}} mache ich explizit nicht!'''. 
Ich hinterlege also immer einen SSH-Key für die Anmeldung und nutze diesen statt des Kennwortes. Die Lösung hier ist einfach gehalten, der Profi mögen anpassen wie er es braucht. Ein Anmeldung als eingeschränkter Benutzer geht natürlich auch, das erste was ich dann immer mache ist ein <code>sudo -i</code> um dauerhaft zum root zu wechseln}}
----

===Anmelden als root===
Startet PuTTY wieder und meldet euch diesmal gleich als Benutzer '''''root''''' an. 
Alternativ als der Installationsbenutzer und wechselt per 
sudo -i
dauerhaft zum '''''root''''' 
----

===nano & Co auf Deutsch===
'''''nano''''' war eben z.B. noch auf Englisch, mit
apt install -y language-pack-de
ist es (und vieles andere) auf deutsch. 
----

===root farbiger Prompt===
Ich nutze gerne den farbigen Prompt, wenn Ihr als normaler Benutzer zu diesem wechselt, sieht man das optisch noch besser das man gewechselt hat. 
Als '''''root''''' angemeldet: 
nano ~/.bashrc
Zeile 39 ({{Key|Alt}} + {{Key|C}} aktiviert Zeilennummernanzeige): 
#force_color_prompt=yes
ändern zu (# entfernen): 
force_color_prompt=yes
:[[Datei:ClipCapIt-200521-162422.PNG|250px]] 
 
Per 
source ~/.bashrc
könnt Ihr das direkt übernehmen.
----

===Bash History aus mehreren Sitzungen gleichzeitig===
Wenn man mehr als eine SSH Sitzung zum Zabbix-Server hat, gewinnt in der Bash-Histoy die Sitzung von der man sich zuletzt abmeldet. 
Nachfolgende Änderung sorgt dafür das sich alle Sitzungen eine Bash-History teilen, was ich in Session 1 also aufrufe lässt sich sofort danach in Session 2 per Pfeil nach oben oder {{key|STRG}} + {{key|R}} Suche finden. 
Dazu bearbeiten man noch einmal die 
nano ~/.bashrc
und hängt ganz unten folgendes an: 
<source lang="bash">
# don't put duplicate lines in the history. See bash(1) for more options
# ... or force ignoredups and ignorespace
HISTCONTROL=ignoredups:ignorespace:erasedups

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTSIZE=50000
HISTFILESIZE=50000

# After each command, append to the history file
# and reread it
export PROMPT_COMMAND="${PROMPT_COMMAND:+$PROMPT_COMMAND$'n'}history -a; history -c; history -r"
</source>
Damit es sofort aktiv wird wieder 
source ~/.bashrc
Ja, {{code|HISTSIZE}} und {{code|HISTFILESIZE}} stehen nun 2x in der Datei, der letzte Eintrag gewinnt. 
----

===Feste IP-Adresse vergeben===
Der Server hat dank des neuen Setupdialoges nun bereits eine feste IP-Adresse. 
Solltet Ihr an dieser etwas ändern müssen so müssen wir erst das Cloud-Init deaktivieren:
nano /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Inhalt:
network: {config: disabled}
Dann könnte Ihr in der folgenden Datei etwas ändern, die Warnungen das es einen reboot nicht übersteht könnt Ihr ignorieren, dafür haben wir die andere Datei angelegt. 
nano /etc/netplan/00-installer-config.yaml
:[[Datei:ClipCapIt-260513-105129.PNG|250px]] 
{{Hinweis| Weiter unten deinstalliere ich Cloud-Init komplett (wenn die VM nicht bei einem Hoster läuft), da könnte man sich diesen Schritt hier sparen}}
----

===Updates einspielen===
als '''''root''''' bzw. zum '''''root''''' wechseln: 
Ich mache das normalerweise immer als Einzeiler: 
apt update && apt upgrade -y && apt autoremove -y
Das ganze im Detail: 
* Updates suchen für Betriebssystem: (aktualisiert den Katalog aus den Update-Quellen)
apt update
* Updates einspielen:
apt upgrade -y
* Nach Update überflüssige Pakete entfernen:
apt autoremove -y
 
----

===VM Integrationsdienste installieren===
Wenn euer installiertes System eine VM, eine '''V'''irtuelle '''M'''aschine, ist, solltest Ihr je nach verwendeten Hypervisor die passenden Integrationsdienste installieren: 
 
----
====VMware====
Unter VMware braucht ihr nichts tun, die
apt install open-vm-tools
sind per Default installiert und aktiv. Ist es keine VMware VM, so könnt Ihr die Tools per
apt remove open-vm-tools
entfernen 
----
====Hyper-V====
In den Einstellungen der VM solltet Ihr hier den Haken setzen:
:[[Datei:ClipCapIt-250527-112648.PNG]] 
In der VM die folgende Datei bearbeiten: 
nano /etc/initramfs-tools/modules
und ganz unten die folgenden 4 Zeilen anhängen: 
hv_vmbus
hv_storvsc
hv_blkvsc
hv_netvsc
hv_utils
Und dann die Tools installieren: 
apt -y install linux-virtual linux-cloud-tools-virtual linux-tools-virtual
update-initramfs -u
und neu starten:
reboot
Quelle: https://community.veeam.com/blogs-and-podcasts-57/how-to-install-hyper-v-integration-services-in-the-ubuntu-linux-vm-6353
 
----

====Proxmox PVE====
In den Einstellungen der VM den {{code|QEMU Guest Agent}} aktivieren: 
:[[Datei:ClipCapIt-260513-105702.PNG]] 
:[[Datei:ClipCapIt-260513-105545.PNG]] 
Und dann in der VM die Tools installieren: 
apt -y install qemu-guest-agent
 
Falls die Harwareeinstellung so aussieht wie oben im Bild (mit dem orangenen Text),müssen wir die VM einmal ganz ausschalten und wieder einschalten: 
shutdown -h now
Und danach wieder einschalten und neu an SSH anmelden. 
Wenn da nichts orangenes ist, reicht ein reboot. 
Dann seht ihr in der Summary der VM sollte nun die IP-Adresse sichtbar sein: 
:[[Datei:ClipCapIt-260513-110008.PNG]] 
----

===Multipathing deinstallieren (wenn der Server eine VM ist)===
Ab Werk findet man im
tail -n 50000 -F /var/log/syslog | grep multipathd
einige Multipath-Meldungen: 
...
2026-05-13T09:03:29.804259+00:00 zabbixtest systemd[1]: Starting multipathd.service - Device-Mapper Multipath Device Controller...
2026-05-13T09:03:29.804288+00:00 zabbixtest multipathd[735]: multipathd v0.14.3: start up
2026-05-13T09:03:29.804291+00:00 zabbixtest multipathd[735]: reconfigure: setting up paths and maps
2026-05-13T09:03:29.804294+00:00 zabbixtest systemd[1]: Started multipathd.service - Device-Mapper Multipath Device Controller.
2026-05-13T09:03:29.804922+00:00 zabbixtest systemd[1]: Starting multipathd-queueing.service - Enable queuing for multipath maps...
2026-05-13T09:03:29.805021+00:00 zabbixtest systemd[1]: Finished multipathd-queueing.service - Enable queuing for multipath maps.
In einer VM macht Multipath nur in Ausnahmefällen Sinn, also deaktivieren und deinstallieren: 
systemctl stop multipathd.service && systemctl disable multipathd.service
apt install libsgutils2-1.48 sg3-utils sg3-utils-udev
apt remove -y multipath-tools && apt purge -y multipath-tools
apt autoremove -y
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakete werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Die Multipath-Bibliotheken habe ich dabei weggelassen. 
----

===Cloud-Init deinstallieren (Wenn es keine VM bei einem Cloudanbieter ist)===
Wenn Ihr die VM reboootet und die Console betrachtet tauchen kurz nach dem Reboot (Fehler-)Meldungen zum Cloud-init auf: 
:[[Datei:ClipCapIt-200521-163633.PNG|150px]] 
Das Cloud-Init ist - wenn ich mich recht erinnere - dafür da falls eure VM z.B. bei Amazon AWS, Azure oder andere Anbieter läuft um z.B. die Netzwerkinformationen vom Hoster/Provider zu erhalten. 
Brauchen wir nicht, also weg damit: 
echo 'datasource_list: [ None ]' | tee /etc/cloud/cloud.cfg.d/90_dpkg.cfg
apt purge -y cloud-init
rm -rf /etc/cloud/ && sudo rm -rf /var/lib/cloud/
apt install cloud-guest-utils eatmydata libeatmydata1 python-babel-localedata python3-jinja2 python3-jsonpatch python3-jsonschema-specifications python3-passlib python3-rpds-py python3-babel python3-json-pointer python3-jsonschema python3-markupsafe python3-referencing gdisk libjs-sphinxdoc -y
apt autoremove -y
reboot
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakte werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Insbesondere die {{code|cloud-guest-utils}} wollen wir behalten 
----

===OpenIPMI und IPMItool deinstallieren===
{{Hinweis|Scheint ab Ubuntu 26.04 nicht mehr automatisch installiert zu werden!}}
Bei meinen VMs schlägt der Start dieses Dienstes eh immer fehl (weil es keine passende Hardware gibt), also weg damit: 
apt remove openipmi ipmitool -y && apt purge openipmi ipmitool && apt autoremove -y
Unter Hyper-V wird das Paket scheinbar nicht automatisch installiert. 
 
----

===Zeitzone setzen===
In meiner VM ist die Uhrzeit zu diesem Zeitpunkt falsch (gebt mal probeweise <code>date</code> ein) - weil der ESXi- oder Proxmox-Host auf UTC Zeit läuft und Ubuntu in der VM die richtige Zeitzone nicht eingestellt hat. 
Wir korrigieren das mit 
timedatectl set-timezone Europe/Berlin
ein
date
sollte dann die richtige Uhrzeit ausspucken. 
----

===Zeitserver setzen===
Es kann Sinnvoll sein, statt externer Zeitserver die eigenen internen zu Nutzen. Eine meiner Prüfungen in meinen Templates ist die Zeitabweichung des Hosts gegenüber dem Zabbix Server. Zum Beispiel in Active Directory-Domänen scheiter die Anmeldung, wenn der Zeitunterschied zwischen Domänencontroller und Client mehr als 15 Minuten beträgt, ab 5 Minuten kann es schon zickig werden. 
Es ist ok wenn alle die gleiche falsche Zeit haben. Ich synchronisiere den Zabbix Servers deshalb gerne mit dem zentralen Domänenkontroller mit der PDC-Rolle. 
{{Hinweis| Wenn Ihr diesen Schritt überspringt, wird {{Key|ntp.ubuntu.com}} als Zeitserver verwendet}}
Für die Zeitsynchronisierung ist ab Ubuntu 26.04 '''''Chrony''''' zuständig, über das erstellen der Datei
nano /etc/chrony/sources.d/local-ntp-server.sources
Können wir eigene Zeitserver hinzufügen (für jeden Server eine solche Zeile): 
<source "lang=bash">
server 192.168.1.81 iburst
</source>
Nach der Änderung müssen wir ''''''chrony''''' das neu laden lassen: 
chronyc reload sources
und mit folgenden Befehl könnt Ihr den Status abfragen: 
timedatectl status
Beispielausgabe: 
Local time: Mi 2026-05-13 11:21:27 CEST
Universal time: Mi 2026-05-13 09:21:27 UTC
RTC time: Mi 2026-05-13 09:21:26
Time zone: Europe/Berlin (CEST, +0200)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Die verwendeten Zeitquellen seht Ihr per 
chronyc sources
Beispielausgabe: 
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-nts-2.ps5.canonical.> 2 6 17 27 -2075us[-2480us] +/- 21ms
^? DC81.znil.local 4 6 17 27 -1255us[-1660us] +/- 46ms
^+ ntp-nts-3.ps5.canonical.> 2 6 17 28 +206us[ -199us] +/- 19ms
^- ntp-nts-2.ps6.canonical.> 2 6 17 28 +7728us[+7323us] +/- 81ms
^- ntp-nts-3.ps6.canonical.> 2 6 17 27 +1970us[+1565us] +/- 78ms
^- ntp-nts-1.ps5.canonical.> 2 6 17 28 +93us[ -312us] +/- 18ms
Und welche er letztendlich genommen hat mit 
chronyc tracking
Beispielausgabe: 
Reference ID : B97DBE7B (ntp-nts-3.ps5.canonical.com)
Stratum : 3
Ref time (UTC) : Wed May 13 09:25:28 2026
System time : 0.000000546 seconds slow of NTP time
Last offset : +0.000948038 seconds
RMS offset : 0.000487364 seconds
Frequency : 9.203 ppm slow
Residual freq : +7.510 ppm
Skew : 2.559 ppm
Root delay : 0.033688802 seconds
Root dispersion : 0.001197023 seconds
Update interval : 64.1 seconds
Leap status : Normal
Wie man sieht, nimmt er einen externen. Wenn wir aber den internen Erzwingen wollen, müssen wir die anderen Quellen auskommentieren: 
nano /etc/chrony/sources.d/ubuntu-ntp-pools.sources
und vor alle {{code|pool}} Zeilen ein {{code|#}} davor setzen: 
:[[Datei:ClipCapIt-260513-113129.PNG|300px]] 
Den Dienst einmal neu starten (statt reloaden, damit er schneller wieder synced): 
systemctl restart chrony.service
und den Status prüfen bis in der letzten Zeile {{code|Leap status : Normal}} steht: 
Reference ID : C0A80151 (DC81.znil.local)
Stratum : 5
Ref time (UTC) : Wed May 13 09:32:15 2026
System time : 0.000017215 seconds fast of NTP time
Last offset : +0.000032023 seconds
RMS offset : 0.000032023 seconds
Frequency : 10.343 ppm slow
Residual freq : +1.266 ppm
Skew : 31.972 ppm
Root delay : 0.026105130 seconds
Root dispersion : 0.038228851 seconds
Update interval : 2.0 seconds
Leap status : Normal
----

===Automatische Updates deaktivieren===
Ich persönlich möchte nicht das der Zabbix-Server automatisch Updates einspielt. 
Die automatischen Updates aktualisieren - soweit ich das beobachten konnte - nur den Kernel. Aber auch das möchte ich nicht. Ich möchte das geplant durchführen. 
Die automatischen Updates verhindern wir mit 
apt remove -y unattended-upgrades
Wer möchte kann auch die Suche nach Updates deaktivieren. Ansonsten schaut das Ubuntu täglich an einem zufälligen Zeitpunkt nach, ob es Updates gibt. Bei der Anmeldung per SSH erhält man dann eine entsprechende Meldung. Deaktivieren kann man die automatsche Suche danach per 
nano /etc/apt/apt.conf.d/20auto-upgrades
und in der Datei beide Optionen auf {{code|0}} setzen: 
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";
----

===Automatischen Neustart von Diensten bei Updates deaktivieren===
Wie schon zuvor beschrieben aktualisiere ich Ubuntu (und andere Software aus Repos) gerne per folgenden Einzeiler:
apt update && apt upgrade -y && apt autoremove -y
In neueren Ubunti Versionen werden dabei Dienste ggf. automatische neu gestartet (wenn man den Einzeiler nimmt!), es gibt dann eine Meldung wie diese:
systemctl restart apache2.service cron.service fwupd.service mariadb.service open-vm-tools.service packagekit.service polkit.service rsyslog.service snmptrapd.service snmptt.service udisks2.service upower.service vgauth.service zabbix-agent2.service zabbix-web-service.service

Dienste deren Neustart verschoben wurde:
systemctl restart ModemManager.service
/etc/needrestart/restart.d/dbus.service
systemctl restart getty@tty1.service
systemctl restart systemd-logind.service
Im Normalfall ist es kein Problem. Allerdings scheinen die Abhängigkeiten der Dienste nicht beachtet zu werden. 
Ist zum Beispiel ein Dienst abhängig von der Datenbank / MySQL|MariaDB, das steht auch so in der <code>/usr/lib/systemd/system/namedesdienstes.service</code>:
After=mysql.service
After=mysqld.service
After=mariadb.service
Der automatische Neustart startet aber z.B. MariaDB gnadenlos durch ohne vorher abhängige Dienste zu beenden. Schön ist das nicht. 
Als Lösung schalte ich inzwischen den automatischen Neustart der Dienste ab, es wird dann nur eine Liste der Dienste ausgegeben die neu gestartet werden müssten: 
nano /etc/needrestart/needrestart.conf
und dort ziemlich am Anfang ab Zeile 33:
<source lang="bash">
# Restart mode: (l)ist only, (i)nteractive or (a)utomatically.
#
# ATTENTION: If needrestart is configured to run in interactive mode but is run
# non-interactive (i.e. unattended-upgrades) it will fallback to list only mode.
#
# UBUNTU: the default restart mode when running as part of the APT hook is 'a',
# unless a specific UI is configured (see below).
#$nrconf{restart} = 'i';
</source>
Bei der letzten Zeile 40 entfernen wir das Kommentarzeichen davor und machen aus dem <code>i</code> ein <code>l</code>, wie es auch in der obersten Zeile beschrieben wird:
$nrconf{restart} = 'l';
So werden notwendige Neustarts nur aufgelistet. Diese kann man dann von Hand neu starten oder einfach das ganze System rebooten. 
----

Vorlage:Installation-Ubuntu-2604

2026-05-20T12:03:16Z

BLinz: /* Bei Bedarf: root wieder freischalten */

===Grundinstallation===
{{Hinweis| Ich habe die offizielle ISO verwendet: https://ubuntu.com/download/server m die Datei heißt dann {{code|ubuntu-26.04-live-server-amd64.iso}}, an die Versionsnummer wird mit der Zeit ein .1, .2 und so weiter angehängt}}
{{Hinweis| Ich installiere mit Absicht '''OHNE''' LVM. Ubuntu erstellt inzwischen keine eigene Partition für SWAP mehr und ohne LVM lässt sich der Festplattenplatz bei einer Installation als VM auf einfachste Weise im laufenden Betrieb erweitern. Natürlich ginge das auch mit LVM (mit mehr Schritten), ich sehe hier den Nutzen und Vorteil in einer VM aber nicht.}}
Ggf. noch die ISO/CD einlegen (falls nicht schon in der VM Konfiguriert) und Einschalten/Starten, 
die Fragen beantwortet Ihr wie folgt (sind ggf. die Überschriften der Dialoge): 
{|
|[[Datei:ClipCapIt-260513-095215.PNG|250px]] ||Try or Install Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-095351.PNG|250px]] ||Deutsch
|-
|[[Datei:ClipCapIt-260513-095441.PNG|250px]] ||German / German
|-
|colspan="2"| Wenn er einen neueren Installer findet und fragt ob er auf diesen aktualisieren soll - Ja!
|-
|[[Datei:ClipCapIt-260513-095530.PNG|250px]] ||Ubuntu Server
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Jetzt könnt Ihr schon die gewünschte feste IP-Adresse einstellen. Wählt dazu mit den Pfeiltasten den <code>ensXXX</code> Eintrag aus und drückt {{Key|Enter}}:
|-
|[[Datei:ClipCapIt-260513-095823.PNG|250px]] ||ensXXX => Bearbeite IPv4
|-
|[[Datei:ClipCapIt-260513-095925.PNG|250px]] ||Manuell 
|-
|[[Datei:ClipCapIt-260513-100030.PNG|250px]] ||Bei Subnetz kommt nicht die Subnetzmaske sondern das Netzwerk mit Suffix. Bei einer 24 Maske (= 255.255.255.0) ist das die IP 0 mit Suffix /24
|-
|[[Datei:ClipCapIt-260513-100432.PNG|250px]] ||Wenn Ihr kein IPv6 nutzt, würde ich es an dieser Stelle deaktivieren, ansonsten durchkonfigurieren
|-
|[[Datei:ClipCapIt-260513-100538.PNG|250px]] ||Erledigt 
|-
|[[Datei:ClipCapIt-260513-100618.PNG|250px]] ||Proxy bei Bedarf, sonst leer lassen
|-
|[[Datei:ClipCapIt-260513-100730.PNG|250px]] ||Den Test abwarten und dann auf Erledigt
|-
|[[Datei:ClipCapIt-260513-100901.PNG|250px]] ||Nutzt die ganze Festplatte ohne LVM (also Haken entfernen). Die Festplatte lässt sich später trotzdem sehr leicht vergrößern
|-
|[[Datei:ClipCapIt-260513-101002.PNG|250px]] ||Erledigt
|-
|[[Datei:ClipCapIt-260513-101040.PNG|250px]] ||Fortfahren
|-
|[[Datei:ClipCapIt-260513-101216.PNG|250px]] ||Den Servernamen festlegen. Ich lege hier den Benutzer '''''installadmin''''' an. Wählt euren Benutzer und Passwort nach Wunsch (Aufschreiben!)
|-
|[[Datei:ClipCapIt-260513-101253.PNG|250px]] ||Falls Ihr Ubuntu Pro habt, könnet Ihr es hier aktiveren, ansonsten einfach {{Key|[Fortfahren]}}
|-
|[[Datei:ClipCapIt-260513-101402.PNG|250px]] ||OpenSSH-Server auswählen => Erledigt (für Zugriff z.B. mit Putty). Falls Ihr hier per {{code|Import SSH key}} einen Schlüssel importiert, ist keine an SSH mit einem Passwort möglich! Also nur wenn Ihr wisst was Ihr tut!
|-
|[[Datei:ClipCapIt-260513-101620.PNG|250px]] ||Erledigt 
|-
|colspan="2"|Ab jetzt heißt es abwarten. Wenn er kann lädt er gleich ein paar Sicherheitsupdates nach. 
|
|-
|[[Datei:ClipCapIt-260513-103148.PNG|250px]] ||Jetzt neustarten 
|-
|[[Datei:ClipCapIt-260513-103236.PNG|250px]] ||ISO aus der VM entfernen (Konfiguration der VM bearbeiten!) und {{Key|Enter}} drücken 
|-
|[[Datei:ClipCapIt-260513-103345.PNG|250px]] ||Nach dem Reboot wartet ab bis diverse Meldungen abgelaufen sind / sich nichts mehr auf dem Bildschirm tut
|}
----

===PuTTY===
Ab dieser Stelle könnt Ihr PuTTY oder den SSH Client eurer Wahl nutzen - was ich dringend empfehle. Denn dann könnt Ihr hier vorgeschlagenen Befehle einfach per Copy&Paste übernehmen. 
Die IP-Adresse habt Ihr zu diesem Zeitpunkt ja bereits festgelegt: 
:[[Datei:ClipCapIt-200521-155245.PNG|150px]] [[Datei:ClipCapIt-200521-155339.PNG|150px]] [[Datei:ClipCapIt-200521-160706.PNG|150px]] 
Nach der Anmeldung nutze ich immer gerne ein
sudo -i
Damit wechselt man dauerhaft zum '''''root''''' Benutzer und muss nicht vor jedem Befehl ein <code>sudo</code> stellen. 
----
===Bei Bedarf: root wieder freischalten===
{{Hinweis| Ob nun wie ich immer als root arbeiten wollt oder aber als einfacher Benutzer und dann immer <code>sudo</code> verwendet müsst Ihr selbst wissen}}
* Mit Benutzer '''''installadmin''''' anmelden 
sudo -i
* Kennwort des Benutzer '''''installadmin''''' eintippen 
passwd root
* neues Kennwort für "root" 2x eintippen 
:[[Datei:ClipCapIt-200521-161108.PNG|150px]]
* Lokal Anmelden kann man sich nun mit '''''root''''' - aber eine Anmeldung über SSH funktioniert dann immer noch nicht. 
* Damit diese auch funktioniert müsst ihr die <code>sshd_config</code> bearbeiten: 
nano /etc/ssh/sshd_config

sucht nach der Zeile ({{Key|STRG}} + {{Key|W}} ist Suchen) nach
#PermitRootLogin prohibit-password
und stellt den Cursor in die Zeile. 
Drückt nun einmal {{Key|F9}} und 2x {{Key|F10}} - damit erstellt Ihr eine Kopie der Zeile. 
Ändert die Kopie wie folgt ab: 
PermitRootLogin yes
:[[Datei:ClipCapIt-260513-104318.PNG]] 
Speichert die Datei ({{Key|STRG}} + {{Key|x}}, dann {{Key|y}} und {{Key|Enter}}) und startet den ssh Dienst neu: 
systemctl restart ssh.service
Ab dann klappt es auch mit dem SSH-Login für den Benutzer root, z.B. über '''puTTY''' 
Jetzt 2x 
exit
eintippen wodurch sich das PuTTY Fenster schließt - der (eingeschränkte) Benutzer '''''installadmin''''' hat sich somit abgemeldet
 
 
{{Hinweis| Ja, ich persönlich arbeite gerne als root und habe diesen für die Anmeldung freigeschaltet. Was ich nicht mache ist das Login per SSH mit Passwort zu erlauben. '''Also das obige {{code|PermitRootLogin}} mache ich explizit nicht!'''. Ich hinterlege also immer einen SSH-Key für die Anmeldung und nutze diesen statt des Kennwortes. Die Lösung hier ist einfach gehalten, der Profi mögen anpassen wie er es braucht. Ein Anmeldung als eingeschränkter Benutzer geht natürlich auch, das erste was ich dann immer mache ist ein <code>sudo -i</code> um dauerhaft zum root zu wechseln}}
----

===Anmelden als root===
Startet PuTTY wieder und meldet euch diesmal gleich als Benutzer '''''root''''' an. 
Alternativ als der Installationsbenutzer und wechselt per 
sudo -i
dauerhaft zum '''''root''''' 
----

===nano & Co auf Deutsch===
'''''nano''''' war eben z.B. noch auf Englisch, mit
apt install -y language-pack-de
ist es (und vieles andere) auf deutsch. 
----

===root farbiger Prompt===
Ich nutze gerne den farbigen Prompt, wenn Ihr als normaler Benutzer zu diesem wechselt, sieht man das optisch noch besser das man gewechselt hat. 
Als '''''root''''' angemeldet: 
nano ~/.bashrc
Zeile 39 ({{Key|Alt}} + {{Key|C}} aktiviert Zeilennummernanzeige): 
#force_color_prompt=yes
ändern zu (# entfernen): 
force_color_prompt=yes
:[[Datei:ClipCapIt-200521-162422.PNG|250px]] 
 
Per 
source ~/.bashrc
könnt Ihr das direkt übernehmen.
----

===Bash History aus mehreren Sitzungen gleichzeitig===
Wenn man mehr als eine SSH Sitzung zum Zabbix-Server hat, gewinnt in der Bash-Histoy die Sitzung von der man sich zuletzt abmeldet. 
Nachfolgende Änderung sorgt dafür das sich alle Sitzungen eine Bash-History teilen, was ich in Session 1 also aufrufe lässt sich sofort danach in Session 2 per Pfeil nach oben oder {{key|STRG}} + {{key|R}} Suche finden. 
Dazu bearbeiten man noch einmal die 
nano ~/.bashrc
und hängt ganz unten folgendes an: 
<source lang="bash">
# don't put duplicate lines in the history. See bash(1) for more options
# ... or force ignoredups and ignorespace
HISTCONTROL=ignoredups:ignorespace:erasedups

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTSIZE=50000
HISTFILESIZE=50000

# After each command, append to the history file
# and reread it
export PROMPT_COMMAND="${PROMPT_COMMAND:+$PROMPT_COMMAND$'n'}history -a; history -c; history -r"
</source>
Damit es sofort aktiv wird wieder 
source ~/.bashrc
Ja, {{code|HISTSIZE}} und {{code|HISTFILESIZE}} stehen nun 2x in der Datei, der letzte Eintrag gewinnt. 
----

===Feste IP-Adresse vergeben===
Der Server hat dank des neuen Setupdialoges nun bereits eine feste IP-Adresse. 
Solltet Ihr an dieser etwas ändern müssen so müssen wir erst das Cloud-Init deaktivieren:
nano /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Inhalt:
network: {config: disabled}
Dann könnte Ihr in der folgenden Datei etwas ändern, die Warnungen das es einen reboot nicht übersteht könnt Ihr ignorieren, dafür haben wir die andere Datei angelegt. 
nano /etc/netplan/00-installer-config.yaml
:[[Datei:ClipCapIt-260513-105129.PNG|250px]] 
{{Hinweis| Weiter unten deinstalliere ich Cloud-Init komplett (wenn die VM nicht bei einem Hoster läuft), da könnte man sich diesen Schritt hier sparen}}
----

===Updates einspielen===
als '''''root''''' bzw. zum '''''root''''' wechseln: 
Ich mache das normalerweise immer als Einzeiler: 
apt update && apt upgrade -y && apt autoremove -y
Das ganze im Detail: 
* Updates suchen für Betriebssystem: (aktualisiert den Katalog aus den Update-Quellen)
apt update
* Updates einspielen:
apt upgrade -y
* Nach Update überflüssige Pakete entfernen:
apt autoremove -y
 
----

===VM Integrationsdienste installieren===
Wenn euer installiertes System eine VM, eine '''V'''irtuelle '''M'''aschine, ist, solltest Ihr je nach verwendeten Hypervisor die passenden Integrationsdienste installieren: 
 
----
====VMware====
Unter VMware braucht ihr nichts tun, die
apt install open-vm-tools
sind per Default installiert und aktiv. Ist es keine VMware VM, so könnt Ihr die Tools per
apt remove open-vm-tools
entfernen 
----
====Hyper-V====
In den Einstellungen der VM solltet Ihr hier den Haken setzen:
:[[Datei:ClipCapIt-250527-112648.PNG]] 
In der VM die folgende Datei bearbeiten: 
nano /etc/initramfs-tools/modules
und ganz unten die folgenden 4 Zeilen anhängen: 
hv_vmbus
hv_storvsc
hv_blkvsc
hv_netvsc
hv_utils
Und dann die Tools installieren: 
apt -y install linux-virtual linux-cloud-tools-virtual linux-tools-virtual
update-initramfs -u
und neu starten:
reboot
Quelle: https://community.veeam.com/blogs-and-podcasts-57/how-to-install-hyper-v-integration-services-in-the-ubuntu-linux-vm-6353
 
----

====Proxmox PVE====
In den Einstellungen der VM den {{code|QEMU Guest Agent}} aktivieren: 
:[[Datei:ClipCapIt-260513-105702.PNG]] 
:[[Datei:ClipCapIt-260513-105545.PNG]] 
Und dann in der VM die Tools installieren: 
apt -y install qemu-guest-agent
 
Falls die Harwareeinstellung so aussieht wie oben im Bild (mit dem orangenen Text),müssen wir die VM einmal ganz ausschalten und wieder einschalten: 
shutdown -h now
Und danach wieder einschalten und neu an SSH anmelden. 
Wenn da nichts orangenes ist, reicht ein reboot. 
Dann seht ihr in der Summary der VM sollte nun die IP-Adresse sichtbar sein: 
:[[Datei:ClipCapIt-260513-110008.PNG]] 
----

===Multipathing deinstallieren (wenn der Server eine VM ist)===
Ab Werk findet man im
tail -n 50000 -F /var/log/syslog | grep multipathd
einige Multipath-Meldungen: 
...
2026-05-13T09:03:29.804259+00:00 zabbixtest systemd[1]: Starting multipathd.service - Device-Mapper Multipath Device Controller...
2026-05-13T09:03:29.804288+00:00 zabbixtest multipathd[735]: multipathd v0.14.3: start up
2026-05-13T09:03:29.804291+00:00 zabbixtest multipathd[735]: reconfigure: setting up paths and maps
2026-05-13T09:03:29.804294+00:00 zabbixtest systemd[1]: Started multipathd.service - Device-Mapper Multipath Device Controller.
2026-05-13T09:03:29.804922+00:00 zabbixtest systemd[1]: Starting multipathd-queueing.service - Enable queuing for multipath maps...
2026-05-13T09:03:29.805021+00:00 zabbixtest systemd[1]: Finished multipathd-queueing.service - Enable queuing for multipath maps.
In einer VM macht Multipath nur in Ausnahmefällen Sinn, also deaktivieren und deinstallieren: 
systemctl stop multipathd.service && systemctl disable multipathd.service
apt install libsgutils2-1.48 sg3-utils sg3-utils-udev
apt remove -y multipath-tools && apt purge -y multipath-tools
apt autoremove -y
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakete werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Die Multipath-Bibliotheken habe ich dabei weggelassen. 
----

===Cloud-Init deinstallieren (Wenn es keine VM bei einem Cloudanbieter ist)===
Wenn Ihr die VM reboootet und die Console betrachtet tauchen kurz nach dem Reboot (Fehler-)Meldungen zum Cloud-init auf: 
:[[Datei:ClipCapIt-200521-163633.PNG|150px]] 
Das Cloud-Init ist - wenn ich mich recht erinnere - dafür da falls eure VM z.B. bei Amazon AWS, Azure oder andere Anbieter läuft um z.B. die Netzwerkinformationen vom Hoster/Provider zu erhalten. 
Brauchen wir nicht, also weg damit: 
echo 'datasource_list: [ None ]' | tee /etc/cloud/cloud.cfg.d/90_dpkg.cfg
apt purge -y cloud-init
rm -rf /etc/cloud/ && sudo rm -rf /var/lib/cloud/
apt install cloud-guest-utils eatmydata libeatmydata1 python-babel-localedata python3-jinja2 python3-jsonpatch python3-jsonschema-specifications python3-passlib python3-rpds-py python3-babel python3-json-pointer python3-jsonschema python3-markupsafe python3-referencing gdisk libjs-sphinxdoc -y
apt autoremove -y
reboot
Die <code>apt install</code> Zeile ist da drin weil diese Pakete ggf. von anderen Anleitung vorausgesetzt werden. Die Pakte werden dadurch auf '''''manuell installiert''''' gesetzt und dann nicht bei einem <code>apt autoremove</code> deinstalliert. Insbesondere die {{code|cloud-guest-utils}} wollen wir behalten 
----

===OpenIPMI und IPMItool deinstallieren===
{{Hinweis|Scheint ab Ubuntu 26.04 nicht mehr automatisch installiert zu werden!}}
Bei meinen VMs schlägt der Start dieses Dienstes eh immer fehl (weil es keine passende Hardware gibt), also weg damit: 
apt remove openipmi ipmitool -y && apt purge openipmi ipmitool && apt autoremove -y
Unter Hyper-V wird das Paket scheinbar nicht automatisch installiert. 
 
----

===Zeitzone setzen===
In meiner VM ist die Uhrzeit zu diesem Zeitpunkt falsch (gebt mal probeweise <code>date</code> ein) - weil der ESXi- oder Proxmox-Host auf UTC Zeit läuft und Ubuntu in der VM die richtige Zeitzone nicht eingestellt hat. 
Wir korrigieren das mit 
timedatectl set-timezone Europe/Berlin
ein
date
sollte dann die richtige Uhrzeit ausspucken. 
----

===Zeitserver setzen===
Es kann Sinnvoll sein, statt externer Zeitserver die eigenen internen zu Nutzen. Eine meiner Prüfungen in meinen Templates ist die Zeitabweichung des Hosts gegenüber dem Zabbix Server. Zum Beispiel in Active Directory-Domänen scheiter die Anmeldung, wenn der Zeitunterschied zwischen Domänencontroller und Client mehr als 15 Minuten beträgt, ab 5 Minuten kann es schon zickig werden. 
Es ist ok wenn alle die gleiche falsche Zeit haben. Ich synchronisiere den Zabbix Servers deshalb gerne mit dem zentralen Domänenkontroller mit der PDC-Rolle. 
{{Hinweis| Wenn Ihr diesen Schritt überspringt, wird {{Key|ntp.ubuntu.com}} als Zeitserver verwendet}}
Für die Zeitsynchronisierung ist ab Ubuntu 26.04 '''''Chrony''''' zuständig, über das erstellen der Datei
nano /etc/chrony/sources.d/local-ntp-server.sources
Können wir eigene Zeitserver hinzufügen (für jeden Server eine solche Zeile): 
<source "lang=bash">
server 192.168.1.81 iburst
</source>
Nach der Änderung müssen wir ''''''chrony''''' das neu laden lassen: 
chronyc reload sources
und mit folgenden Befehl könnt Ihr den Status abfragen: 
timedatectl status
Beispielausgabe: 
Local time: Mi 2026-05-13 11:21:27 CEST
Universal time: Mi 2026-05-13 09:21:27 UTC
RTC time: Mi 2026-05-13 09:21:26
Time zone: Europe/Berlin (CEST, +0200)
System clock synchronized: yes
NTP service: active
RTC in local TZ: no
Die verwendeten Zeitquellen seht Ihr per 
chronyc sources
Beispielausgabe: 
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-nts-2.ps5.canonical.> 2 6 17 27 -2075us[-2480us] +/- 21ms
^? DC81.znil.local 4 6 17 27 -1255us[-1660us] +/- 46ms
^+ ntp-nts-3.ps5.canonical.> 2 6 17 28 +206us[ -199us] +/- 19ms
^- ntp-nts-2.ps6.canonical.> 2 6 17 28 +7728us[+7323us] +/- 81ms
^- ntp-nts-3.ps6.canonical.> 2 6 17 27 +1970us[+1565us] +/- 78ms
^- ntp-nts-1.ps5.canonical.> 2 6 17 28 +93us[ -312us] +/- 18ms
Und welche er letztendlich genommen hat mit 
chronyc tracking
Beispielausgabe: 
Reference ID : B97DBE7B (ntp-nts-3.ps5.canonical.com)
Stratum : 3
Ref time (UTC) : Wed May 13 09:25:28 2026
System time : 0.000000546 seconds slow of NTP time
Last offset : +0.000948038 seconds
RMS offset : 0.000487364 seconds
Frequency : 9.203 ppm slow
Residual freq : +7.510 ppm
Skew : 2.559 ppm
Root delay : 0.033688802 seconds
Root dispersion : 0.001197023 seconds
Update interval : 64.1 seconds
Leap status : Normal
Wie man sieht, nimmt er einen externen. Wenn wir aber den internen Erzwingen wollen, müssen wir die anderen Quellen auskommentieren: 
nano /etc/chrony/sources.d/ubuntu-ntp-pools.sources
und vor alle {{code|pool}} Zeilen ein {{code|#}} davor setzen: 
:[[Datei:ClipCapIt-260513-113129.PNG|300px]] 
Den Dienst einmal neu starten (statt reloaden, damit er schneller wieder synced): 
systemctl restart chrony.service
und den Status prüfen bis in der letzten Zeile {{code|Leap status : Normal}} steht: 
Reference ID : C0A80151 (DC81.znil.local)
Stratum : 5
Ref time (UTC) : Wed May 13 09:32:15 2026
System time : 0.000017215 seconds fast of NTP time
Last offset : +0.000032023 seconds
RMS offset : 0.000032023 seconds
Frequency : 10.343 ppm slow
Residual freq : +1.266 ppm
Skew : 31.972 ppm
Root delay : 0.026105130 seconds
Root dispersion : 0.038228851 seconds
Update interval : 2.0 seconds
Leap status : Normal
----

===Automatische Updates deaktivieren===
Ich persönlich möchte nicht das der Zabbix-Server automatisch Updates einspielt. 
Die automatischen Updates aktualisieren - soweit ich das beobachten konnte - nur den Kernel. Aber auch das möchte ich nicht. Ich möchte das geplant durchführen. 
Die automatischen Updates verhindern wir mit 
apt remove -y unattended-upgrades
Wer möchte kann auch die Suche nach Updates deaktivieren. Ansonsten schaut das Ubuntu täglich an einem zufälligen Zeitpunkt nach, ob es Updates gibt. Bei der Anmeldung per SSH erhält man dann eine entsprechende Meldung. Deaktivieren kann man die automatsche Suche danach per 
nano /etc/apt/apt.conf.d/20auto-upgrades
und in der Datei beide Optionen auf {{code|0}} setzen: 
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";
----

===Automatischen Neustart von Diensten bei Updates deaktivieren===
Wie schon zuvor beschrieben aktualisiere ich Ubuntu (und andere Software aus Repos) gerne per folgenden Einzeiler:
apt update && apt upgrade -y && apt autoremove -y
In neueren Ubunti Versionen werden dabei Dienste ggf. automatische neu gestartet (wenn man den Einzeiler nimmt!), es gibt dann eine Meldung wie diese:
systemctl restart apache2.service cron.service fwupd.service mariadb.service open-vm-tools.service packagekit.service polkit.service rsyslog.service snmptrapd.service snmptt.service udisks2.service upower.service vgauth.service zabbix-agent2.service zabbix-web-service.service

Dienste deren Neustart verschoben wurde:
systemctl restart ModemManager.service
/etc/needrestart/restart.d/dbus.service
systemctl restart getty@tty1.service
systemctl restart systemd-logind.service
Im Normalfall ist es kein Problem. Allerdings scheinen die Abhängigkeiten der Dienste nicht beachtet zu werden. 
Ist zum Beispiel ein Dienst abhängig von der Datenbank / MySQL|MariaDB, das steht auch so in der <code>/usr/lib/systemd/system/namedesdienstes.service</code>:
After=mysql.service
After=mysqld.service
After=mariadb.service
Der automatische Neustart startet aber z.B. MariaDB gnadenlos durch ohne vorher abhängige Dienste zu beenden. Schön ist das nicht. 
Als Lösung schalte ich inzwischen den automatischen Neustart der Dienste ab, es wird dann nur eine Liste der Dienste ausgegeben die neu gestartet werden müssten: 
nano /etc/needrestart/needrestart.conf
und dort ziemlich am Anfang ab Zeile 33:
<source lang="bash">
# Restart mode: (l)ist only, (i)nteractive or (a)utomatically.
#
# ATTENTION: If needrestart is configured to run in interactive mode but is run
# non-interactive (i.e. unattended-upgrades) it will fallback to list only mode.
#
# UBUNTU: the default restart mode when running as part of the APT hook is 'a',
# unless a specific UI is configured (see below).
#$nrconf{restart} = 'i';
</source>
Bei der letzten Zeile 40 entfernen wir das Kommentarzeichen davor und machen aus dem <code>i</code> ein <code>l</code>, wie es auch in der obersten Zeile beschrieben wird:
$nrconf{restart} = 'l';
So werden notwendige Neustarts nur aufgelistet. Diese kann man dann von Hand neu starten oder einfach das ganze System rebooten. 
----

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-19T14:33:02Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
Wenn Ihr euch das anseht, seht Ihr das die zweite Festplatte beim Booten dadurch entsperrt wird, das eine Schlüsseldatei im Dateisystem der ersten Festplatte genutzt wird. 
Ist das denn sicher? Naja, die Datei liegt im verschlüsselten Dateisystem der ersten Festplatte welches Ihr zuerst entsperren müsst. Ist also so sicher wie die erste Festplatte. 
 
In dieser ersten Version nutze ich beim Bootlaufwerk LVM, auch wenn ich das sonst nicht tue. Grund ist das ich keinen - noch - einfachen Weg gefunden habe, die Verschlüsselung ohne LVM einzurichten. 
So geht es direkt im Setup-Dialog. 
Bei der zweiten Festplatte wird auch LVM genutzt - da müsste es ggf. auch ohne gehen wie mir beim erstellen des Artikels aufgefallen ist. Ein Lösung ohne LVM schiebe ich vielleicht noch nach. 
----

=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260519-163257.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----

=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
----
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
----
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>
----
==Testen!==
Wir lassen '''systemctl''' die Dienste neu einlesen: 
systemctl daemon-reload
und beenden das Logical Volume und entladen das verschlüsselte Laufwerk: 
/usr/sbin/vgchange -a n vg_luks_sdb
/usr/sbin/cryptsetup luksClose luks_sdb
Jetzt starten wir zum Test den Dienst für das Mounten: 
systemctl start opt.mount
Wenn alles klappt, dauert es ein paar Sekunden und der Prompt kehrt zurück. 
Bei 
df -h
sieht es nun so bei mir aus: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1,1M 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
'''/dev/mapper/vg_luks_sdb-lv_opt 503G 2,1M 478G 1% /opt'''
Jetzt können wir den Dienst aktivieren: 
systemctl enable opt.mount
und das System einmal neu starten und kontrollieren ob es auch noch einem Reboot vorhanden ist. 
Das sollte so sein, ich habe eine Weile gebraucht bis ich das hinbekommen hatte - die Lösung war das der Dienst zum entperren auf das Device wartet. 
----
=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----
=Verschlüsselte Festplatten Festplatten nachträglich vergrößern=
Dazu nutze ich ein Skript das ihr hier findet: 
* [[Linux VM Festplatte im laufenden Betrieb vergrößern Universalskript mit und ohne LVM oder LUKS]]
Einfach die Festplatte im Hypervisor vergrößern, egal ob die Boot-Festplatte oder weitere Laufwerke und dann das Skript einmal laufen lassen 
 
----

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/
----
=Kommentare=
<comments />

Datei:ClipCapIt-260519-163257.PNG

2026-05-19T14:32:58Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T12:06:12Z

BLinz: /* Vorwort */

'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
Wenn Ihr euch das anseht, seht Ihr das die zweite Festplatte beim Booten dadurch entsperrt wird, das eine Schlüsseldatei im Dateisystem der ersten Festplatte genutzt wird. 
Ist das denn sicher? Naja, die Datei liegt im verschlüsselten Dateisystem der ersten Festplatte welches Ihr zuerst entsperren müsst. Ist also so sicher wie die erste Festplatte. 
 
In dieser ersten Version nutze ich beim Bootlaufwerk LVM, auch wenn ich das sonst nicht tue. Grund ist das ich keinen - noch - einfachen Weg gefunden habe, die Verschlüsselung ohne LVM einzurichten. 
So geht es direkt im Setup-Dialog. 
Bei der zweiten Festplatte wird auch LVM genutzt - da müsste es ggf. auch ohne gehen wie mir beim erstellen des Artikels aufgefallen ist. Ein Lösung ohne LVM schiebe ich vielleicht noch nach. 
----

=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
----
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
----
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>
----
==Testen!==
Wir lassen '''systemctl''' die Dienste neu einlesen: 
systemctl daemon-reload
und beenden das Logical Volume und entladen das verschlüsselte Laufwerk: 
/usr/sbin/vgchange -a n vg_luks_sdb
/usr/sbin/cryptsetup luksClose luks_sdb
Jetzt starten wir zum Test den Dienst für das Mounten: 
systemctl start opt.mount
Wenn alles klappt, dauert es ein paar Sekunden und der Prompt kehrt zurück. 
Bei 
df -h
sieht es nun so bei mir aus: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1,1M 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
'''/dev/mapper/vg_luks_sdb-lv_opt 503G 2,1M 478G 1% /opt'''
Jetzt können wir den Dienst aktivieren: 
systemctl enable opt.mount
und das System einmal neu starten und kontrollieren ob es auch noch einem Reboot vorhanden ist. 
Das sollte so sein, ich habe eine Weile gebraucht bis ich das hinbekommen hatte - die Lösung war das der Dienst zum entperren auf das Device wartet. 
----
=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----
=Verschlüsselte Festplatten Festplatten nachträglich vergrößern=
Dazu nutze ich ein Skript das ihr hier findet: 
* [[Linux VM Festplatte im laufenden Betrieb vergrößern Universalskript mit und ohne LVM oder LUKS]]
Einfach die Festplatte im Hypervisor vergrößern, egal ob die Boot-Festplatte oder weitere Laufwerke und dann das Skript einmal laufen lassen 
 
----

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/
----
=Kommentare=
<comments />

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:49:35Z

BLinz: /* Vorwort */

'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
Wenn Ihr euch das anseht, seht Ihr das die zweite Festplatte beim Booten dadurch entsperrt wird, das eine Schlüsseldatei im Dateisystem der ersten Festplatte genutzt wird. 
Ist das denn sicher? Naja, die Datei liegt im verschlüsselten Dateisystem der ersten Festplatte welches Ihr zuerst entsperren müsst. Ist also so sicher wie die erste Festplatte. 
 
----

=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
----
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
----
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>
----
==Testen!==
Wir lassen '''systemctl''' die Dienste neu einlesen: 
systemctl daemon-reload
und beenden das Logical Volume und entladen das verschlüsselte Laufwerk: 
/usr/sbin/vgchange -a n vg_luks_sdb
/usr/sbin/cryptsetup luksClose luks_sdb
Jetzt starten wir zum Test den Dienst für das Mounten: 
systemctl start opt.mount
Wenn alles klappt, dauert es ein paar Sekunden und der Prompt kehrt zurück. 
Bei 
df -h
sieht es nun so bei mir aus: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1,1M 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
'''/dev/mapper/vg_luks_sdb-lv_opt 503G 2,1M 478G 1% /opt'''
Jetzt können wir den Dienst aktivieren: 
systemctl enable opt.mount
und das System einmal neu starten und kontrollieren ob es auch noch einem Reboot vorhanden ist. 
Das sollte so sein, ich habe eine Weile gebraucht bis ich das hinbekommen hatte - die Lösung war das der Dienst zum entperren auf das Device wartet. 
----
=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----
=Verschlüsselte Festplatten Festplatten nachträglich vergrößern=
Dazu nutze ich ein Skript das ihr hier findet: 
* [[Linux VM Festplatte im laufenden Betrieb vergrößern Universalskript mit und ohne LVM oder LUKS]]
Einfach die Festplatte im Hypervisor vergrößern, egal ob die Boot-Festplatte oder weitere Laufwerke und dann das Skript einmal laufen lassen 
 
----

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/
----
=Kommentare=
<comments />

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:47:18Z

BLinz: /* Weitere Passphrasen für das Entsperren angeben */

'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
----
=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
----
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
----
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>
----
==Testen!==
Wir lassen '''systemctl''' die Dienste neu einlesen: 
systemctl daemon-reload
und beenden das Logical Volume und entladen das verschlüsselte Laufwerk: 
/usr/sbin/vgchange -a n vg_luks_sdb
/usr/sbin/cryptsetup luksClose luks_sdb
Jetzt starten wir zum Test den Dienst für das Mounten: 
systemctl start opt.mount
Wenn alles klappt, dauert es ein paar Sekunden und der Prompt kehrt zurück. 
Bei 
df -h
sieht es nun so bei mir aus: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1,1M 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
'''/dev/mapper/vg_luks_sdb-lv_opt 503G 2,1M 478G 1% /opt'''
Jetzt können wir den Dienst aktivieren: 
systemctl enable opt.mount
und das System einmal neu starten und kontrollieren ob es auch noch einem Reboot vorhanden ist. 
Das sollte so sein, ich habe eine Weile gebraucht bis ich das hinbekommen hatte - die Lösung war das der Dienst zum entperren auf das Device wartet. 
----
=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----
=Verschlüsselte Festplatten Festplatten nachträglich vergrößern=
Dazu nutze ich ein Skript das ihr hier findet: 
* [[Linux VM Festplatte im laufenden Betrieb vergrößern Universalskript mit und ohne LVM oder LUKS]]
Einfach die Festplatte im Hypervisor vergrößern, egal ob die Boot-Festplatte oder weitere Laufwerke und dann das Skript einmal laufen lassen 
 
----

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/
----
=Kommentare=
<comments />

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:44:17Z

BLinz:

'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
----
=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
----
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
----
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>
----
==Testen!==
Wir lassen '''systemctl''' die Dienste neu einlesen: 
systemctl daemon-reload
und beenden das Logical Volume und entladen das verschlüsselte Laufwerk: 
/usr/sbin/vgchange -a n vg_luks_sdb
/usr/sbin/cryptsetup luksClose luks_sdb
Jetzt starten wir zum Test den Dienst für das Mounten: 
systemctl start opt.mount
Wenn alles klappt, dauert es ein paar Sekunden und der Prompt kehrt zurück. 
Bei 
df -h
sieht es nun so bei mir aus: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1,1M 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
'''/dev/mapper/vg_luks_sdb-lv_opt 503G 2,1M 478G 1% /opt'''
Jetzt können wir den Dienst aktivieren: 
systemctl enable opt.mount
und das System einmal neu starten und kontrollieren ob es auch noch einem Reboot vorhanden ist. 
Das sollte so sein, ich habe eine Weile gebraucht bis ich das hinbekommen hatte - die Lösung war das der Dienst zum entperren auf das Device wartet. 
----
=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----
=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/
----
=Kommentare=
<comments />

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:34:51Z

BLinz: /* Dienst für das Entsperren erstellen */

{{AchtungBaustelle}}
'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
----
=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 

==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>

----

=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----

nano /etc/systemd/system/decrypt-luks_sdb.service
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>

 
nano /etc/systemd/system/opt.mount
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# /dev/luks_sdb/opt at /opt
[Unit]
Description=Mount luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/luks_sdb/opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:33:51Z

BLinz:

{{AchtungBaustelle}}
'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
----
=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann. 
Zuerst ein Verzeichnis in welchen wir den Schlüssel ablegen. Diese muss auf der bestehenden verschlüsselten Festplatte liegen: 
mkdir /etc/luks
Jetzt die Schlüsseldatei. Die enthält nichts weiter als einen String. Der nachfolgende Befehl erzeugt eine 4 Kilobyte große zufällige Datei {{code|luks_sdb.key}}, 
dd if=/dev/urandom of=/etc/luks/luks_sdb.key bs=512 count=8
Die Datei schützen gegen Zugriff: 
chmod 0400 /etc/luks/luks_sdb
Und jetzt die Datei als Entschlüsselungsmethode dem verschlüsselten Laufwerk {{code|/dev/sdb}} hinzufügen: 
cryptsetup -v luksAddKey /dev/sdb /etc/luks/luks_sdb.key
Beispielausgabe: 
Geben Sie irgendeine bestehende Passphrase ein:
Schlüsselfach 0 entsperrt.
Schlüsselfach 2 erstellt.
Befehl erfolgreich.
0 war das Passwort, nach 2 wurde der Key gespeichert. Unter 1 habe ich eine 2. Passphrase gespeichert. 
 
==Dienst für das Entsperren erstellen==
Jetzt richten wir einen Dienst ein der beim Booten das Laufwerk {{code|/dev/sdb}} mit diesem Key entsperrt: 
nano /etc/systemd/system/decrypt-luks_sdb.service
Inhalt: 
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb.key
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n vg_luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>
Der Dienst wartet auf die Verfügbarkeit des Gerätes {{code|dev-sdb.devive}}, das wird automatisch vom System zur Verfügung gestellt. 
Unter {{code|ExecStart=}} wird die Festplatte dann entschlüsselt mit dem erzeugten Key. 
{{code|ExecStartPost=}} veranlasst den LVM neu nachzusehen ob es da neue Laufwerke gibt und bindet diese ein, 
{{code|ExecStop=}} hängt das Volume beim herunterfahren wieder aus und beendet den Zugriff
 
Den Dienst starten wir jetzt aber nicht und setzen diesen auch nicht auf einen automatischen Start. 
Wir richten einen zweiten Dienst ein der dann das Logical Volume mappt, dieser wird den Dienst für die Entschlüsselung dann aufrufen. 
 
==Dienst für das Mapping / Mounten erstellen==
Für den zweiten Dienst ist es wichtig, wohin wir mounten wollen. 
Ich möchte die Festplatte unter
/opt
einhängen. Der Mountpoint muss sich zwingend im Namen des Dienstes widerspiegeln, in diesem Fall muss die Datei 
/etc/systemd/system/opt.mount
heißen. Wäre der Mountpoint {{code|/mnt/meineDisk}} so müsste die Datei {{code|/etc/systemd/system/mnt-meineDisk.mount}} heißen! 
Wir erstellen also die Datei: 
nano /etc/systemd/system/opt.mount
mit folgendem Inhalt: 
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# //dev/vg_luks_sdb/lv_opt at /opt
[Unit]
Description=Mount lv_luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/vg_luks_sdb/lv_opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>

----

=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----

nano /etc/systemd/system/decrypt-luks_sdb.service
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>

 
nano /etc/systemd/system/opt.mount
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# /dev/luks_sdb/opt at /opt
[Unit]
Description=Mount luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/luks_sdb/opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T11:11:55Z

BLinz: /* Anmeldung nach dem Neustart */

{{AchtungBaustelle}}
'''Changelog:'''
* 18.05.2026 erste Version
----
=Vorwort=
Ich nutze virtuelle Cloud-Server auch für Backups und war am überlegen ob ich deren Dateisystem verschlüsseln soll. 
Dabei habe ich ausprobiert, sowohl die Boot-Festplatte als auch eine zusätzlichen Datenfestplatte zu verschlüsseln. 
Beim Start des Systems soll aber nur einmal das Passwort abgefragt werden und danach automatisch alle Festplatten entschlüsselt und in das Dateisystem eingehängt werden. 
Da habe ich einen Moment für gebraucht, deshalb habe ich mir wie immer eine Schritt-für-Schritt-Anleitung geschrieben damit ich das später auch noch mal hinbekomme. 
 
Als Clou habe ich - mit Unterstützung von Google Gemini - ein Skript für das Vergrößern der Festplatten auch mit LUKS-Verschlüsselung erstellt. 
 
----
=Hardwarekonfiguration=
Für diesen Beitrag nutze ich eine Proxmox-VM mit 2 Festplatten: 
:[[Datei:ClipCapIt-260518-095403.PNG]] 
{{code|Hard Disk (scsi0)}} mit '''32GB''' ist dabei die Betriebssystem Festplatte und liegt auf einer NVMe, 
{{code|Hard Disk (scsi1)}} mit '''512GB''' ist das Datengrab und liegt auf einem RAID5 aus drehenden Festplatten 
 
----

=Installation Grundsystem mit Verschlüsselung=
Ich installiere hier Ubuntu Server 26.04 LTS, sollte mit anderen Versionen und Systemen wie Debian ähnlich sein. 
Dabei wähle ich die Festplattenverschlüsselung direkt im Setup aus. 
Das Setup an sich überspringe ich bis zu dem Teil mit der Festplattenauswahl. 
Wer genauere Installationsanweisung haben möchte, den Verweise ich auf meine Universalanleitung dazu: [[Vorlage:Installation-Ubuntu-2604|Installation Ubuntu 2604]] oder [[Vorlage:Installation-Ubuntu-2404|Installation Ubuntu 2404]] 
Diese Verwende ich auch immer in meinen anderen Artikeln. 
 
Wichtig bei der Sprachauswahl ist die richtige Tastatur - wenn beim Booten das Passwort für die Verschlüsselung abgefragt wird, ist das gewählte Tastaturlayout aktiv - wichtig für Sonderzeichen und Umlaute im Verschlüsselungspasswort! 
Wenn der Dialog {{code|Begleitete Speicherplatzkonfiguration}} erscheint beachtet folgendes: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
* Achtet darauf das die richtige Festplatte ausgewählt ist! Bei mir war die 512G Festplatte vorausgewählt und ich musste händisch zu 32G wechseln
* Setzt den Haken bei {{code|Die LVM-Gruppe mit LUKS verschlüsseln}}
* Vergebt ein Passwort / eine Passphrase die Ihr dann zukünftig zum entsperren des System beim Booten eingeben müsst
{{Hinweis|Achtet beim Passwort auf die Sonderzeichen! Ein '''&''' machte bei mir Probleme in der VM-Konsole. Eigentlich ist die Belegung an dieser Stelle ja Deutsch, bei mir gab es im ersten Anlauf keine Probleme, in den Versuchen danach aber dann doch. Ich habe dann erst ein anderes Kennwort genommen und das gewünschte später als 2. dazu genommen}}
Im der Zusammenfassung sieht das dann so bei mir aus: 
:[[Datei:ClipCapIt-260518-100642.PNG]] 
Die 512G sind noch unbenutzt, auf den 32G richtet er das LVM-Volume {{code|ubuntu-vg}} mit der Datenpartition {{code|ubuntu-lv}} ein welche er nach {{code|/}} mounted. 
Wer sich wundert das da von den '''29.980G''' nur '''14.988G''' im Dateisystem landet: 
Ubuntu nimmt - bei der Verwendung von LVM - ab Werk nur den halben verfügbaren Speicher, ganz oben steht unterhalb von {{code|ubuntu-vg}} die Zeile mit 
freier Speicherplatz 14.992G
Um diesen auch zu nutzen, bewegt den Fokus mit den Pfeiltasten auf die Zeile mit {{code|ubuntu-lv}} und rückt {{key|Enter}}: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Wählt Edit: 
:[[Datei:ClipCapIt-260518-102100.PNG]] 
Und setzt in diesem Dialog den Wert auf das Maximum: 
:[[Datei:ClipCapIt-260518-102300.PNG]] 
Jetzt sieht die Zusammenfassung so aus: 
:[[Datei:ClipCapIt-260518-102659.PNG]] 
Der einzige freie Speicherplatz ist nun die 2. Festplatte. 
Der Rest des Setups wie gewohnt / gehabt. 
 
Am Ende des Setups erfolgt der erste Reboot - und Ihr müsst zum ersten mal das Passwort zum entsperren eingeben: 
:[[Datei:ClipCapIt-260518-103407.PNG]] 
 
----
=Kontrolle nach dem Neustart=
Nach dem Reboot habe ich mich angemeldet und bin zum {{code|root}} gewechselt. 
Meine Mappings sehen nun so aus: 
df -h
Ausgabe: 
Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf
tmpfs 329M 1008K 328M 1% /run
none 1,0M 0 1,0M 0% /run/credentials/systemd-cryptsetup@dm_crypt\x2d0.service
/dev/mapper/ubuntu--vg-ubuntu--lv 30G 5,2G 23G 19% /
tmpfs 822M 0 822M 0% /dev/shm
none 1,0M 0 1,0M 0% /run/credentials/systemd-journald.service
tmpfs 822M 0 822M 0% /tmp
none 1,0M 0 1,0M 0% /run/credentials/systemd-resolved.service
/dev/sda2 2,0G 186M 1,7G 11% /boot
none 1,0M 0 1,0M 0% /run/credentials/systemd-networkd.service
none 1,0M 0 1,0M 0% /run/credentials/getty@tty1.service
tmpfs 165M 8,0K 165M 1% /run/user/1000
Im LVM gibt es nur die eine Volume Group mit der 32G Festplatte: 
vgs
Ausgabe: 
VG #PV #LV #SN Attr VSize VFree
ubuntu-vg 1 1 0 wz--n- 29,98g 0
Die zweite. noch leere Festplatte ist die {{code|/dev/sdb}}: 
fdisk -l
Ausgabe: 
'''Festplatte /dev/sda: 32 GiB, 34359738368 Bytes, 67108864 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 357E98E9-94AA-4982-8244-AB5A910BC31A

'''Gerät Anfang Ende Sektoren Größe Typ'''
/dev/sda1 2048 4095 2048 1M BIOS boot
/dev/sda2 4096 4198399 4194304 2G Linux-Dateisystem
/dev/sda3 4198400 67106815 62908416 30G Linux-Dateisystem

'''Festplatte /dev/sdb: 512 GiB, 549755813888 Bytes, 1073741824 Sektoren'''
Festplattenmodell: QEMU HARDDISK
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/dm_crypt-0: 29,98 GiB, 32192331776 Bytes, 62875648 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

'''Festplatte /dev/mapper/ubuntu--vg-ubuntu--lv: 29,98 GiB, 32191283200 Bytes, 62873600 Sektoren'''
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Diese 512G Festplatte möchte ich nun als verschlüsseltes Laufwerk nach {{code|/opt}} mounten. 
 
----
=Zweite Festplatte verschlüsseln und einbinden=
{{Hinweis|Ich verschlüssle hier direkt das ganze Laufwerk, nicht nur die Partition. Zudem richte ich eine separate LVM Gruppe ein . so kann man diese später auch leichter entfernen oder ersetzen}}
Als {{code|root}}: 
cryptsetup luksFormat /dev/sdb
Bestätigen und eine Passphrase festlegen: 
WARNUNG!
========
Hiermit werden die Daten auf »/dev/sdb« unwiderruflich überschrieben.

Sind Sie sicher? (Tippen Sie 'yes' in Großbuchstaben): YES
Geben Sie die Passphrase für »/dev/sdb« ein:
Passphrase bestätigen:
Jetzt die verschlüsselte Partition öffnen: 
cryptsetup luksOpen /dev/sdb luks_sdb
Ausgabe: 
Geben Sie die Passphrase für »/dev/sdb« ein:
Das entschlüsselte Laufwerk steht nun als 
/dev/mapper/luks_sdb
zur Verfügung. Die Bezeichnung {{code|luks_sdb}} ist frei wählbar. 
 
Jetzt können wir {{luks_sdb}} nutzen um es mit LVM zu konfigurieren: 
pvcreate /dev/mapper/luks_sdb
vgcreate '''vg_luks_sdb''' /dev/mapper/luks_sdb
lvcreate -n '''lv_opt''' -l100%VG '''vg_luks_sdb'''
mkfs.ext4 /dev/vg_luks_sdb/lv_opt
Der Name der Volume Group {{code|vg_luks_sdb}} und des Logical Volume {{code|lv_opt}} sind wiederum frei wählbar, aber die Pfade/Parameter müsst Ihr dann an eure Bezeichnungen anpassen. 
Wir könnten jetzt {{code|lv_opt}} bereits an das leere Verzeichnis {{code|/opt}} mounten, aber wir wollen ja das dies beim booten automatisch geschieht. 
 
----
=Automatischen Mount beim Start einrichten=
Im Moment wird {{code|/dev/sdb}} nur per Passwort entsperrt. 
Wir richten jetzt zusätzlich ein das man das Laufwerk per Schlüssel aus einer Datei entsperren kann: 
mkdir /etc/luks
dd if=/dev/urandom of=/etc/luks/luks_sdb bs=512 count=8
----

=Weitere Passphrasen für das Entsperren angeben=
Wer will kann weitere Passphrasen für das Bootlaufwerk angeben, diese funktionieren dann alle gleichberechtigt. 
Kann auch als Trick genutzt werden wenn es Probleme mit der Tastaturbelegung gibt. 
Als {{code|root}} 
cryptsetup luksAddKey /dev/sda3
Dann fragt er ein bestehendes und dann 2 mal das neue Kennwort ab: 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
Und in Zukunft kann auch dieses Kennwort genutzt werden. 
 
----

nano /etc/systemd/system/decrypt-luks_sdb.service
<source lang="bash">
[Unit]
Description=Decrypt and open /dev/sdb
Documentation=man:cryptsetup
DefaultDependencies=no
Conflicts=shutdown.target
After=local-fs.target
Before=shutdown.target
BindsTo=dev-sdb.device
After=dev-sdb.device
#Before=var-lib-docker.mount
[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/cryptsetup luksOpen /dev/sdb luks_sdb --key-file /etc/luks/luks_sdb
ExecStartPost=/usr/sbin/vgscan ; /usr/sbin/vgchange -ay
ExecStop=/usr/sbin/vgchange -a n luks_sdb ; /usr/sbin/cryptsetup luksClose luks_sdb
TimeoutSec=90s
</source>

 
nano /etc/systemd/system/opt.mount
<source lang="bash">
# this systemd unit will mount the LVM logical volume
# /dev/luks_sdb/opt at /opt
[Unit]
Description=Mount luks_sdb
DefaultDependencies=no
ConditionPathExists=/opt
Requires=decrypt-luks_sdb.service
After=decrypt-luks_sdb.service
[Mount]
What=/dev/luks_sdb/opt
Where=/opt
[Install]
WantedBy=multi-user.target
</source>

=Quellen=
* https://medium.com/@chandana_33332/howto-setup-a-luks-encrypted-drive-with-lvm-on-linux-f33465383bb8
* https://gemini.google.com/

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:59:58Z

BLinz: /* Anmeldung nach dem Neustart */

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:59:34Z

BLinz: /* Anmeldung nach dem Neustart */

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:51:00Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:41:14Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:36:53Z

BLinz:

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:35:53Z

BLinz: Änderung 15973 von BLinz (Diskussion) rückgängig gemacht.

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T09:17:34Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Datei:ClipCapIt-260518-110712.PNG

2026-05-18T09:07:13Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Datei:ClipCapIt-260518-110133.PNG

2026-05-18T09:01:34Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Datei:ClipCapIt-260518-105929.PNG

2026-05-18T08:59:29Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T08:58:14Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T08:55:37Z

BLinz: /* Hardwarekonfiguration */

Datei:ClipCapIt-260518-105526.PNG

2026-05-18T08:55:26Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Datei:ClipCapIt-260518-105439.PNG

2026-05-18T08:54:40Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T08:53:15Z

BLinz: /* Hardwarekonfiguration */

Datei:ClipCapIt-260518-105201.PNG

2026-05-18T08:52:02Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T08:48:30Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Datei:ClipCapIt-260518-103407.PNG

2026-05-18T08:34:07Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Ubuntu Server zweite Festplatte mit LUKS verschlüsseln und beim Boot automatisch einbinden sowie Festplatte im laufenden Betrieb vergrößern

2026-05-18T08:29:29Z

BLinz: /* Installation Grundsystem mit Verschlüsselung */

Datei:ClipCapIt-260518-102659.PNG

2026-05-18T08:27:00Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Datei:ClipCapIt-260518-102300.PNG

2026-05-18T08:23:01Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]

Datei:ClipCapIt-260518-102100.PNG

2026-05-18T08:21:00Z

BLinz: Direkt aus der Zwischenablage hochgeladen Kategorie:ClipUpload

Direkt aus der Zwischenablage hochgeladen [[Kategorie:ClipUpload]]