Bestückt ist der Server mit 4x 500GB SATA Festplatten (ad4,ad6,ad8 und ad10). Auf jeder Festplatte werden 3 Partitionen angelegt, einmal 25GB für das Betriebssystem, 1GB Swap und der Rest für ZFS.

Nachdem von der FreeBSD CD (ich verwende 8.1 amd64) gebootet wurde und sysinstall gestartet ist, kann die normale Installation gestartet werden. Sobald man bei der Partitionierung ist müssen die Platten wie folgt aufgeteilt werden:

1. die Platte (ad4) auswählen
2. Eine Partition mit 25000M erstellen, mit dem Typ 165
3. Eine Partition mit 1000M erstellen, ebenfalls Typ 165
4. Eine Partition mit restlich verfügbaren Platz erstellen, auch Typ 165
5. Partitions Manager mit q verlassen
6. BootMgr als Boot Manager auswählen (nicht Standard!)
7. Die obigen Schritte 2-6 nun nochmal für die restlichen Platten (ad6, ad8 und ad10) ausführen

Als nächstes können die Slices angelegt werden.

1. Ein Slice in ad4s2, ad6s2, ad8s2 und ad10s2 anlegen und als Swap definieren
2. Ein Slice mit 1024M in ad4s1 anlegen und als Mountpoint / setzen
3. Ein Slice mit 1024M in ad4s1 anlegen und als Mountpoint /tmp setzen
4. Ein Slice mit 2048M in ad4s1 anlegen und als Mountpoint /var setzen
5. Ein Slice mit dem restlich verfügbaren Platz anlegen und als Mountpoint /usr setzen

Es müssen keine weiteren Slices für die anderen Partitionen angelegt werden. Es nur wichtig, dass bei alle Platten adXs2 als Swap definiert wurde. Anschließend kann die Installation normal durchgeführt werden und das System mit sysinstall konfiguriert werden.

Sobald die Installation abgeschlossen ist, kann rebootet werden, allerdings muss wieder von der CD gebootet werden, damit die gmirror Konfiguration vorgenommen werden kann. Wenn die CD gebootet ist, FixIt in sysinstall auswählen und die Shell von CD starten.

In der Shell muss zuerst ein Symlink angelegt werden, damit gmirror in der Shell von CD funktioniert.

ln -s /dist/boot/kernel /boot

Danach kann gmirror geladen und initialisiert werden:

gmirror load
gmirror label -v gm0s1 /dev/ad4s1

Damit FreeBSD den Mirror beim Booten verwendet muss dies noch eingetragen werden:

mount /dev/mirror/gm0s1a /mnt
echo geom_mirror_load="YES" >> /mnt/boot/loader.conf

Schließlich muss noch die Datei /mnt/etc/fstab angepasst werden, dort stehen diese noch mit ad4 drin. Dort muss jeder Eintrag mit /dev/ad4s1X zu /dev/mirror/gm0s1X geändert werden.

Jetzt kann der Rechner direkt von der Festplatte gebootet werden. Sobald das System hochgefahren ist, können die anderen Platten in den Mirror eingehängt werden:

gmirror insert gm0s1 /dev/ad6s1
gmirror insert gm0s1 /dev/ad8s1
gmirror insert gm0s1 /dev/ad10s1
gmirror status

Es kann jetzt ein paar Minuten dauern, bis gmirror status angibt, dass Platten gespiegelt sind. Sobald das erledigt ist, können wir uns um ZFS kümmern.

echo zfs_enable="YES" >> /etc/rc.conf

Dadurch wird ZFS beim Starten aktiviert. Jetzt kann ein ZFS Raid Pool angelegt werden:

zpool create tank raidz ad4s3 ad6s3 ad8s3 ad10s3

Nach der Erstellung des Pools können die einzelnen Mountpoints angelegt werden.

zfs create tank/home
zfs create tank/stuff

Soll z.B. der Mountpoint tank/stuff komprimiert werden, dann kann dies wie folgt gemacht werden:

zfs set compression=gzip tank/stuff

Wenn z.B. die Home Verzeichnisse aus ZFS verwendet werden sollen, so können diese auch direkt unter /home gemountet werden:

zfs set mountpoint=/home tank/home

Sobald alles abgeschlossen ist, hat man ein wunderbares FreeBSD System, welches redundant über alle Festplatten installiert ist

Genau das war vor kurzem bei mir der Fall, wo ich einen DNS Server in meiner FreeNAS Installation brauchte. Ich hab auch schon an TinyDNS von D.J. Bernstein gedacht, allerdings braucht dieser /usr/sbin/daemon, was bei mir nicht verfügbar ist.

Also viel meine Wahl auf MaraDNS. Hierbei handelt es sich um einen extrem kleinen DNS Server, welcher seine Zonen aus CSV Dateien holt. Ziemlich einfach zu installieren bzw. konfigurieren.

Unter FreeBSD reicht ein pkg_add -r maradns und die Software ist installiert. Die Konfiguration in der Datei mararc ist auch recht simpel…

csv2 = {}
csv2["example.com."] = "db.example.com"
csv2["0.168.192.in-addr.arpa."] = "db.192.168.0"
 
ipv4_bind_addresses = "0.0.0.0"
chroot_dir = "/usr/local/etc/maradns"
maradns_uid = 53
maradns_gid = 53
maxprocs = 96
no_fingerprint = 0
default_rrany_set = 3
max_chain = 8
max_ar_chain = 1
max_total = 20
verbose_level = 1
 
ipv4_alias = {}
ipv4_alias["icann"]  = "198.41.0.4, 192.228.79.201, 192.33.4.12, 128.8.10.90,"
ipv4_alias["icann"] += "192.203.230.10, 192.5.5.241, 192.112.36.4,"
ipv4_alias["icann"] += "128.63.2.53, 192.36.148.17, 192.58.128.30,"
ipv4_alias["icann"] += "193.0.14.129, 198.32.64.12, 202.12.27.33"
ipv4_alias["opennic"]  = "157.238.46.24, 209.104.33.250, 209.104.63.249,"
ipv4_alias["opennic"] += "130.94.168.216, 209.21.75.53, 64.114.34.119,"
ipv4_alias["opennic"] += "207.6.128.246, 167.216.255.199, 62.208.181.95,"
ipv4_alias["opennic"] += "216.87.153.98, 216.178.136.116"
 
ipv4_alias["localhost"] = "127.0.0.0/8"
recursive_acl = "localhost,192.168.0.0/8"

In der Konfiguration werden 2 Zonen eingerichtet, eine für example.com und eine Reverse Zone für 192.168.0. Ausserdem wird mit recursive_acl das Netz 192.168.0.0/8 für Abfragen freigeschalten.

Die Zonen an sich sind auch extrem einfach aufgebaut. Die Zone für example.com in der Datei db.exmaple.com

server1.example.com. A 192.168.0.1
server1.exmaple.com. MX 10 server1.example.com.
server2.example.com. CNAME server1.example.com.
 
client1 A 192.168.0.10
client2 A 192.168.0.11

Die Datei db.192.168.0 für die Rückwärtsauflösung sieht dann z.B. wie folgt aus…

1.0.168.192 PTR server1.example.com.
10.0.168.192 PTR client1.example.com.
11.0.168.192 PTR client2.example.com.

Auch der Umstieg von Bind wird leicht gemacht. Mit dem Tool getzone, welches mitgeliefert wird, können direkt die Zonen von einem anderen Server geholt, und in das MaraDNS Format ausgegeben werden. Das erspart lästige Tipparbeit

getzone example.com 192.168.0.100

Hier hole ich die Zone example.com von dem Nameserver mit der IP 192.168.0.100.

Es handelt sich hierbei um ein Shell Script, welches seit FreeBSD 6.4 mitgeliefert wird. Mit diesem Script kann
das ganze System (ausgenommen Ports natürlich) einfach geupdatet werden.

FreeBSD wird dabei nicht aus den Quellen neu gebaut, es werden Binaries verwendet, und hier wird auch nur
die x86 Architektur bedient. Weitere Vorraussetzung ist, dass das System ein Release ist, also z.B. 7.1-RELEASE.
Systeme, welche vorher mit make world geupdatet wurden kann freebsd-update nicht analysieren.

Um z.B. aktuelle Sicherheitsupdates zu installieren reicht:

freebsd-update fetch
freebsd-update install

Darauf hin untersucht freebsd-update das System und sucht für dieses Release neue Updates. Diese werden
dann installiert, sofern nötig muss der Rechner rebootet werden.

Soll das ganze System auf ein neues Release geupdatet werden, dann muss dieses explizit angegeben werden.

freebsd-update -r 7.1-RELEASE upgrade
freebsd-update install

Bei Release Updates muss der Rechner rebootet werden, da ein neuer GENERIC Kernel installiert wird. Sobald
man allerdings einen selbst gebautet Kernel verwendet, wird das ganze etwas komplizierter. Dieser muss dann
natürlich nochmal gegen die neuen Sourcen gebaut werden. freebsd-update weisst aber darauf hin. Nach einem Update auf ein neues Release muss man noch alle Ports gegen das neue Basissystem bauen.

portupgrade -af

Hier hat es wieder der Admin einfach, welcher nur Packages verwendet

Allgemein ist freebsd-update ein wunderbares Tool, um ein System relativ einfach aktuell zu halten. Vor kurzem
hat es mir dabei geholfen, ein FreeBSd 6.2 auf 7.1 zu aktualisieren. Dabei kam es zu keinem Problem. Übrigens,
mergemaster fällt mit freebsd-update auch weg

Genau hier hilft DenyHosts. Es handelt sich hierbei um einen kleinen Daemon, welcher permanent die Datei /var/auth.log liest und bei mehrmaligen fehlgeschlagenen Login Versuchen die IP per /etc/hosts.allow blockt. Das Prinzip ist nicht neu, es gibt z.B. auch andere Tools, welche die gleiche Funktionalität z.B. per iptables lösen.

Das ist aber noch nicht alles, man kann den Daemon auch so einstellen, dass der die gefundenen IPs der globalen Datenbank von DenyHosts meldet. Im Gegenzug kann auch die Datenbank verwendet werden um die Hosts Datei zu füttern. Seit dem ich das Tool auf meinen Servern installiert habe, haben die Angriffe fast aufgehört bzw. es wurden fast alle sofort geblockt.

Die Konfiguration ist denkbar einfach. Nachdem die Software installiert ist, muss als erstes die Datei denyhosts.conf angepasst werden. Die Konfigurationsdatei ist ziemlich selbsterklärend. Danach kann auch schon der Daemon gestartet werden. Dank der Ports Collection von FreeBSD war das Startscript bereits vorhanden. Der Daemon schreibt seine Einträge dann üblicherweise in die Datei /etc/hosts.deniedssh, welche nur noch in die Datei /etc/hosts.allow eingebunden werden muss mit…

sshd : /etc/hosts.deniedssh : deny  
sshd : ALL : allow

Danach ist das komplette System fertig konfiguriert und das System blockt automatisch SSH Anfragen von IPs, welche in der Datenbank von DenyHosts gelistet sind.