Debian im Einsatz bei Fuller Seminary

Fuller Seminary setzt Linux seit 1995 zur Vernetzung und fuer die Internet Services fuer Studenten ein. Fuller Seminary ist eine theologische Akademie im Grossraum Los Angeles in den USA. Es ist eine der groessten privaten theologischen Ausbildungsstaetten in den USA mit circa 4.000 Studenten. Fuller Seminary hat einen weltweiten Einzugsbereich und versteht sich als eine ueberkonfessionelle Einrichtung. In Deutschland ist Fuller Seminary vor allen bekannt durch die School of World Mission (C.P. Wagner, Charles Kraft, um 1980: John Wimber).

In 1995 war die Schule nicht vernetzt und hatte nur eine VAX (DEC) mit Terminals. Diese Terminals waren ueber ein grosses Areal verstreut, da der Campus aus einer Sammlung von Gebaeuden in dier Innenstadt von Pasadena ist. Ein LAN bestand nur zur Verbindung der VAX mit Terminal Servern.

1995 wurde ich angeheuert um die Schule mit dem Internet zu verbinden. Ich hatte bereits Linux Erfahrung und betrieb ein Bulletin Board Service mit Linux welches die einzige Moeglichkeit bisher gewesen war fuer Studenten E-Mail Zugriff zu haben. Linux war ein grosses Problem fuer die Fuehrungskraefte. Es musste eine kommerzielle Loesung her und es wurde darauf bestanden den Empfehlungen einer Beratungsgesellschaft zu folgen. Also wurde ein BSDI System angeschafft. Die Beratungsgesellschaft hatte leider nicht vorausgesehen dass die ebenfalls vorgeschlagene Hardware nicht kompatibel mit den Anforderungen von BSDI war. Also wurde der Compaq Server welcher bereits einen integrierte SCSI Controller hatte mit einem Buslogic Controller ausgeruested. Es wurde eine Mach32 Video Adapter eingebaut und der integrierte Video Adapter ausgeschaltet. Eine andere Maschine wurde auch entsprechend "umgeruested". Es musste Compaq sein um sicherzugehen dass es auch funktioniert.

Es stellte sich dann auch heraus dass BSDI nur begrenzte Funktionalitaet hatte. Inzwischen hatte ich eine Moeglichkeit gefunden die VAX mit TCP/IP auszuruesten (Freeware CMU TCP./IP Packet) und nachdem ich die Linux Kisten an das Terminal Server Netzwerk angeschlossen hatte waren VAX und Unix in der Lage miteinander zu reden. Dass war etwas unerwartet fuer die Leitung, aber es wurde schnell erkannt wie wichtig die Querverbindung war. Man wollte ja schon lange auf TCP/.IP umsteigen. BSD/I war nicht in der Lage eine Telnet Verbindung mit der VAX aufrechtzuerhalten. Linux war faehig dazu. Und das interessante was dass man den BSDI Rechner von der VAX erreichen konnte sofern man einen Umweg ueber Linux machte.

Die Hardware war immer noch nicht zuverlaessig funktionstuechtig. Der Compaq Server entwickelte Hitzeprobleme wegen der vielen SCSI Kabel in seinem Innenleben. Eine Demonstration dass alle Hardware unterstuetzt und die ganze spezielle Hardware unnoetig waere wenn man nur BSD/I abschaffen koennte ueberzeugte schliesslich die Fuehrung. BSD/I wurde abgeschafft und damit war Linux die Platform um die Campus Vernetzung durchzufuehren. Ich hatte genug Teile uebrig um noch ein paar zusaetzliche Linux Server zu bauen.

Zu der Zeit setzten wir Slackware ein. Ich hoerte hier und da etwas von Debian und machte ein paar Versuche Debian zu installieren aber scheiterte wiederhotl and den Merkwuerdigkeiten von dpkg. Nachdem wir zweimals grosse Probleme mit Slakware upgrades hatten habe ich mich dann Anfang 1996 hingestzt und intensiv Debianís Spezialitaeten studiert. Danach war ich dann endlich in der Lage Debian zu installieren.

Im Vergleich mit Slakware waren Upgrades jetzt kein groesseres Problem mehr. Mit Slakwaer hatten wir mehrere Tage downtime fuer upgrades. Debian konnte Packete upgraden waehrend das System aktiv lief was ein sehr groesser Vorteil war. Sicher es ging auch manchmal ein upgrade schief aber gewoehnlich konnte man einfach einen downgrade zu der vorherigen Version machen um die Dinge wieder zum Laufen zu bringen.

Einige Dinge fand ich nicht sehr optimal an Debian und es fehlte mir auch einige Software. Also wurde ich Mitglied beim Debian Project und habe dafuer gesorgt dass alle noetige Software verfuegbar ist. Durch das Debmake Packet wurde die Entwicklung von .deb Packeten aus Sourcecode Packeten sehr vereinfacht. Die meisten unsere Server haben nur Debian Standardpackete installiert und keine spezielle Software ausser dem Kernel wird auf den Servers selbst kompiliert. Die Wartung unsere Geraete und die Ausfallzeiten sind durch Debian wesentlich verbessert worden.

Architektur

Was hier erwaehnt wird ist teilweise vereinfacht und unwichtige Elemente sind weggelassen worden.

Das Netzwerk besteht aus den folgenden Komponenten:

Server Netzwerk

Verbindung zum Internet und zwischen den Linux Servern.

Externals Network

Web-Server fuer Departments und fuer spezielle Zwecke ausserhalb der Firewall. Zugriffe auf andere Netzwerke auf dem Campus kann nur ueber Firewalls erfolgen. Zugriff auf

Central Network nicht moeglich. Dieses Netzwerk wird als ausserhalb unseres lokalen Netzwerken angesehen und entsprechend sind alle Sicherheitsmassnahmen wie fuer andere Hosts auf dem Internet anwendbar.

Library Network

Bibliothek mit PAC (Public Access Computers) und diversen Research Datenbanken.

Central Network

Vernetzung von allen Gebaueden mit Servern die nur fuer den internen Gebrauch zugaenglich sind. Kein Geraet auf dem Central Network ist direkt vom Internet zugreifbar. Alle Verbindungen nach aussen werden ueber IP Masquerading gemacht. Die IP Addressen auf dem Netzwerk sind lokale IP addressen und nicht auf dem Internet verwendbar.

 

Server Network

Das Server Network ist der zentrale Bestandteil unseres Netzwerkes. Wir haben eine T1 Verbindung zum Internet (was so der standard in den USA ist). Der Livingston Router stammt noch aus der Zeit von BSDI. Jetzt haetten wir wahrscheinlich einen Linux Server fuer die T1 Anbindung benutzt. Der Livingston Router hat wiedermal eine andere Befehlsoberflaeche in die neue Personen eingelernt werden muessen.

Livingston Router

Der Livingston Router hat zwei Ethernet Schnittstellen. Der Router ist die primaere Firewall fuer unser setup. Die Firewall filtert nur wenn Packets auf das Servernet gesendet werden sollen. Also sind die Webserver und die anderen speziellen Server auf dem "Externals Network" aussen vor. Server auf dem "externals Network" werden nicht von den Sysadmins ueberwacht sondern sind unter der Veraentwortung von anderen Personen die ihren Server von irgendwoher in der Welt ueberwachen. Sie sind voll verantwortlich fuer die Sicherheit auf diesen Servern. Falls ein Server zusammenbricht ist das ihr Problem. Daher sind diese Server fuer uns Systeme die gleich wie andere Hosts auf dem Internet behandelt werden muessen.

Shell Server

Ein besonderes Problem war fuer uns von Anfang an die Sicherheit der Unix Systeme. Die Vorstellung dass Studenten auf die Unix Oberflaeche auf unseren Servern zugreifen koennen war ein horror.

Also haben wir einen speziellen "Shell Server" eingerichtet, dessen einziges Ziel es ist Benutzerzugriffe auf den Unix Prompt in einer sicheren Weise zu erlauben.

Der Shell Server hat Debian 1.3.1 installed und benutzt einen NIS Server zu Autorisierung von Benutzern. Es sind keine Passworte auf dem System. Selbst der root account hat ein ungueltiges Password sodass niemand ein "su" durchfueheren kann. Das System exportiert das Root Verzeichnis via NFS zu unserem Administrative Server. Es besteht keine Notwendigkeit einzuloggen um Dateien zu veraendern oder einzusehen. Das Debian NIS Packet hat spezielle Sicherheitsfunktionalitiat, sodass ein Benutzer der etwas

"ypcat passwd.byname" versuchen wuerde keine Passwort-Informationen bekommt.

Die einzigen Sicherheitsprobleme auf dem Shell-Server waren bis jetzt einige Studenten die ihr Passwort auf dem Internet anderen mitteilten. Wir hatten einige Hacker die Accounts von anderen benutzt haben. Aber sie waren nicht in der Lage weiteren Schaden anzurichten.

Administrative Server

Hier sind die Sysadmins an der Arbeit. Das System enthaelt alle administrativen Informationen und hat alle anderen Linux Boxen via NFS gemounted. Es fuehrt taegliche Backups von allen Linux boxen durch. Es gibt einen Automatismus hier der es neuen Studenten erlaubt online sich einen Account einzurichten.

News Server

Wir bieten unseren Studenten einen vollen UseNet NewsFeed an. Das System erlaubt oeffentlichen Zugriff auf Linux bezogenen Usenet Groups (News Reader auf news.fuller.edu einrichten und ab gehts!). Es ist auch im Einsatz als Mail-Exploder fuer die Linux Mailing Lists auf vger.rutgers.edu und sendet pro Tag 150.000 bis 200.000 E-Mails. Das Mailing-List zu UseNet Gateway is ebenfalls auf diesen System in Betried. Falls ihr linux.* Newsgruppen lest dann werden diese wahrscheinlich von news.fuller.edu ins Usenet gespeist.

Internal Router

Der Linux Router hier hat die Aufgabe das Masquerading fuer das Central Network durchzufuehren und soviel als moeglich Informationen per Cache zu verfuegung zu stellen. Zu diesen Zwecke laeuft auf der Maschine ein DNS Server und ein Web-Cache (Squid). Der Router hat 5 Netwerkkarten installiert und ist der Zentrale Router auf unserem Campus. Aus Sicherheitsgruenden sind die anderen beiden Server ebenfalls mit dem Central Network verbunden und koennen im Notfall die Rolle von dem Router uebernehmen.

Central Network

Das Central Network ist ein richtiger "Mess". Verschiedene Gebaeude sind mit diversen Methoden andgebunden worden. Die VAX und der Terminal Server sind was urspruenglich in 1995 vorhanden war. Der Campus war urspruenglich sehr auf MacIntosh eingerichtet und wir haben viele Macs die per LocalTalk oder Ethertalk and das Netzwerk angebunden sind. Auf der VAX lauefen administrative Applikationen. Viele sind schon seit den siebzigern in Betrieb und werden kontinuierlich an neue Gegebenheiten angepasst.

Wie bereits vorher gesagt: Das Central Network ist nicht erreichbar vom Internet. Verbindungen vom Centralnet zum Intenret sind moeglich weil die Linux Router IP Masquerading beherrschen.

Ich hoffe das ist das wesentlich interessante. Ihr koennt mich per e-mail via clameter@waterf.org erreichen.