Historisch gesehen ist die Entwicklung des Internet eng an Unix gekoppelt. Die an der University of California in Berkeley entwickelte BSD-Variante (Berkeley Software Distribution) des Unix-Systems enthält bereits seit Version 4.2 TCP/IP-Protokoll und die dazugehörigen Programmier-Schnittstellen (Sockets) als festen Teil des Betriebssystem-Kerns. Heute stehen die für den Zugriff auf die Netzprotokolle nötigen Funktionen in allen Unix-Varianten zur Verfügung; die Socket-Programmier-Schnittstelle wurde zudem inzwischen in andere Betriebssysteme übernommen (beispielsweise Winsock.dll in den verschiedenen Versionen von Microsoft Windows). Auch nahezu alle auf Basis von TCP/IP entwickelten Dienste haben ihren Ursprung in der Unix-Welt und wurden hier erstmals implementiert.
Mit dem Unix-LAN ans Internet
Durch diese Nähe zum Internet Protocol läßt sich erklären, warum für die Ankoppelung eines vorhandenen Unix-basierten LAN nur noch wenige Vorarbeiten zu leisten sind. Im einfachsten Fall reicht es aus, einen im Netz vorhandenen Unix-Rechner mit einer Anbindung an das Weitverkehrsnetz auszustatten (beispielsweise über ein Modem oder einen ISDN-Adapter) und ihn den übrigen Geräten als Router zu benennen. Die für die Datenvermittlung vom lokalen Netz ins Internet nötige Software ist bereits Bestandteil des Betriebssystems.
Zu beachten ist dabei lediglich, daß die den einzelnen Geräten innerhalb des lokalen Netzes zugeteilten IP-Adressen offiziell registriert werden müssen, da diese für das gesamte Internet gelten. Die Adressen vergibt der Provider, der den Anschluß an das Internet realisiert. Die Verwendung registrierter Adressen ist übrigens auch dann sinnvoll, wenn momentan noch gar nicht die Absicht besteht, das Firmennetz an das Internet anzukoppeln: Entscheidet man sich später für eine Anbindung, müßten die Adressen vieler Geräte umgestellt werden, was einen erheblichen Aufwand und zeitweilige Beeinträchtigungen der Funktionsfähigkeit des Unternehmensnetzes zur Folge haben kann.
Allerdings setzt eine Anbindung der Nutzer an das Internet entsprechende Sicherheitsvorkehrungen voraus, denn die prinzipielle Offenheit von Unix erhöht leider auch seine Angreifbarkeit. Vor allem der interne Bereich des Firmennetzes sollte gegen jede Art des Verbindungsaufbaus von außen gesichert sein. Es empfiehlt sich, Dienste, die nach außen zur Verfügung gestellt werden, nur auf speziell dafür bereitgestellten und konfigurierten Rechnern anzubieten, von denen aus kein aktiver Zugriff auf das interne Netz möglich ist.
Daneben müssen Administratoren bei der Einrichtung unbedingt darauf achten, daß sie die für den jeweiligen Einsatz nicht benötigten Netzdienste abschalten (bei der Installation werden diese oft automatisch aktiviert). Darüber hinaus sollten die Netzaktivitäten und insbesondere jeder Versuch eines Verbindungsaufbaus zu einem nicht gezielt angebotenen Server-Dienst mitprotokolliert werden. Dadurch ist es möglich, systematische, auf die Ausnutzung bekannter Schwachstellen angelegte Angriffe früh zu erkennen und geeignete Abwehrmaßnahmen zu ergreifen.
Unix-Systeme sind von vornherein auf den Netzbetrieb ausgelegt. Das Versenden und Empfangen von E-Mails nach den Standards des Internet (RFC 821/822 mit Mime-[Multipurpose-Internet-Mail-Extensions-]Erweiterungen), die Freigabe lokaler Festplatten mittels Network File System (NFS) und deren Einbindung in andere Systeme, die netzweite Nutzung von Druckern und neuerdings auch WWW-Dienste sind oft schon in den Standardinstallationen aktiviert und müssen jeweils nur noch an die lokalen Gegebenheiten angepaßt werden.
Feintuning per Texteditor
So legt der Administrator fest, welche anderen Rechner im Netz Zugriff auf lokale Dateisysteme erhalten und ob dieser nur lesend oder auch schreibend erfolgen darf. Daneben definiert er, welcher Benutzer von welchem Rechner aus Zugriff auf den Drucker hat beziehungsweise welche Dienste anderer Maschinen in Anspruch genommen werden sollen. Derartige Festlegungen werden unter Unix über Klartexteinträge in die jeweiligen Konfigurationsdateien vorgenommen, wobei ein einfacher Texteditor für die Durchführung der Änderungen ausreicht.
Zudem bieten die meisten Systeme menügeführte Konfigurations-Tools an, die die nötigen Einträge vornehmen. Das erspart dem Betreuer dieser Workstations die Einarbeitung in die Formate der Konfigurationsdateien. Allerdings kann es unter Umständen von Vorteil sein, Einträge unter Umgehung der Konfigurationshilfen gezielt selbst verändern zu können, wenn spezielle und durch die grafischen Tools nicht abgedeckte Einstellungen nötig werden.
Unix als Client und Server
Soll Unix im lokalen Netzwerk als Datei- oder Drucker-Server für Windows-basierte Rechner eingesetzt werden, kann das mit Hilfe von "Samba" erfolgen, einer kostenlos erhältlichen Software, die die Ressourcen eines Unix-Systems auf Basis der von Microsoft verwendeten Protokolle zur Verfügung stellt. Alternativ lassen sich die PCs mit Hilfe entsprechender Software (etwa "Pcnfs" von Sun) via NFS an den Unix-Server koppeln.
Innerhalb eines Netzwerks kann jedes Unix-System sowohl die Rolle des Clients als auch die des Servers spielen, wobei die Aufgabenverteilung auf rein administrativer Ebene stattfindet und nicht durch das System vorgegeben ist. Oft findet man Konfigurationen, in denen Systeme für einen oder mehrere Dienste als Server agieren und gleichzeitig in anderen Bereichen als Clients die Dienste weiterer Server in Anspruch nehmen.
Die aktuellen Versionen der meisten Unix-Derivate bieten sogar die Möglichkeit, einen bestimmten Dienst unter unterschiedlichen Adressen mehrfach auf dem gleichen System zu betreiben. Denkbar wäre das zum Beispiel, um für jede einzelne Produktlinie eines Unternehmens einen eigenen Web-Server einzurichten. Da diese virtuellen Server nach außen wie komplett eigenständige Rechner erscheinen, letztlich jedoch nur eine einzige real vorhandene Maschine benötigen, spart eine solche Lösung enorme Hardwarekosten.
Stellt sich später heraus, daß der Rechner der steigenden Belastung nicht mehr gewachsen ist oder administrative Gründe die Verlagerung eines Servers erfordern, ist dies jederzeit möglich, ohne daß sich die URLs (Uniform Resource Locator) der davon betroffenen Seiten ändern. Dabei ist der Aufwand für die Konfiguration virtueller Server auf einer einzigen realen Maschine minimal und beschränkt sich in der Regel auf das Eintragen der jeweils zu verwendenden Adresse in die Konfiguration der Server-Software.
Für die Verwaltung von Ressourcen in lokalen Netzen hat sich der Network Information Service (NIS) von Sun beziehungsweise dessen Nachfolger NIS+ zum Standard entwickelt. Er ermöglicht die zentrale Pflege der Datenbestände und ist durch die Fähigkeit zur Replikation auf mehrere Server in der Lage, auch Ausfälle einzelner Rechner störungsfrei zu überbrücken. Die als "Maps" bezeichneten NIS-Datenbanken für Benutzer, Benutzergruppen, Rechnernamen und -adressen sowie weitere zentral verwaltete Datenbestände setzen sich wiederum aus einfachen Textdateien zusammen, die an den mittels NIS verwalteten Rechnern die lokalen Versionen dieser Dateien ersetzen beziehungsweise ergänzen.
Der Eintrag neuer Werte erfolgt zentral für eine ganze Domain am NIS-Server, der diese Änderungen an die übrigen Systeme weitergibt. Wird dem Netz ein neuer Rechner hinzugefügt, muß in der Konfigurationsdatei lediglich eingetragen werden, daß NIS verwendet werden soll und zu welcher NIS-Domain er gehört. Problematischer wird es allerdings, wenn solche Informationen auch über Systemgrenzen hinweg auf nicht Unix-basierte Rechner im Netz übertragen werden sollen; für dieses Problem existiert bislang keine umfassende Lösung.
Die ortsunabhängige Überprüfung von Lastparametern aller Art ermöglicht das ebenfalls unter Unix zum Standard gehörende Simple Network Management Protocol (SNMP), das neben Rechnern die unterschiedlichsten Netzkomponenten von einer zentralen oder mehreren Stellen aus überwacht und steuert.
Die zum Unix-Betriebssystem gehörende grafische Benutzeroberfläche wurde von Anfang an konsequent auf Netzwerkfähigkeit ausgelegt. Sie hat zur Folge, daß der Rechner, auf dem ein Programm ausgeführt wird, nicht der sein muß, an dem auch die Bildschirmausgabe erfolgt. Dazu muß lediglich eine Netzverbindung zwischen den beiden Systemen entweder über das interne Netz einer Firma oder das Internet bestehen. Somit ist es zum Beispiel problemlos möglich, daß ein Konstrukteur in München auf einem Entwicklungsrechner in Hamburg eine CAD-Anwendung betreibt. Sämtliche Benutzeraktionen und Programmausgaben werden zwischen der Anwendung und dem Anzeigesystem über das Datennetz übertragen. Der Transfer erfolgt üblicherweise allerdings unverschlüsselt, kann also prinzi- piell abgehört werden. Der Einsatz geeigneter Codierungssoftware, etwa des kostenlos erhältlichen Secure-Shell-(SSH-)Pakets, schafft hier jedoch Abhilfe. Neben der Verschlüsselung der Daten nach anerkannt sicheren Standards (DES = Data Encryption Standard, IDEA = International Data Exchange Association, RSA = Rivest-Shamir-Adleman) bietet dieses Programm eine Komprimierungsoption, die den Datenverkehr reduziert und somit die Belastung der teuren WAN-Anbindung verringert.
Adressen und Namen in Unix-Umgebungen entsprechen in ihrem Aufbau den Internet-Standards. Anpassungen sind nur dann erforderlich, wenn im internen Betrieb nichtregistrierte Namen verwendet wurden. Die nötige Software zum Betrieb der meisten Server-Dienste ist entweder bereits im Lieferumfang des Betriebssystems enthalten oder zumindest als Zusatzpaket zu haben.
Eine interessante Alternative zum Kauf eines fertigen Produkts bietet der Einsatz kostenfreier Software. Gerade für den Intra- und Internet-Bereich sind diese in großer Zahl erhältlich und für Unix-kundige Systemverwalter in der Regel problemlos zu installieren, so beispielsweise die weltweit meistverwendete Hypertext-Transfer-Protocol-(HTTP-)Server-Software "Apache". Sie wurde von einer nicht geschäftsorientiert arbeitenden Gruppe von Programmierern entwickelt. Viele kleinere Firmen, insbesondere Dienstleister im Bereich des World Wide Web (WWW), verlassen sich völlig auf den Einsatz solcher Software bis hin zum Betriebssystem.
Das WWW ist als die Killeranwendung des Internet oft der Hauptgrund für die Anbindung eines Firmennetzes an das weltweite Datennetz. Zum einen bietet es die Chance, Informationen über das eigene Unternehmen vergleichsweise kostengünstig einem weltweiten potentiellen Kundenkreis anzubieten, zum anderen ist es als Quelle für Informationen eine wertvolle Unterstützung bei vielen Tätigkeiten.
Keine Probleme mit E-Mail
Zahlreiche Firmen pflegen neben dem auf die Außendarstellung ausgerichteten Angebot auch Web-Server für interne Zwecke, auf denen sich betriebliche Informationen für die Mitarbeiter allgemein oder aber zugangskontrolliert nur für bestimmte Benutzergruppen bereitstellen lassen. Intern wie extern bietet der Einsatz des WWW gegenüber allen herkömmlichen Medien den Vorteil, daß dem Interessenten ständig aktualisierbare Informationen angeboten werden können. Mit den entsprechenden Suchsystemen ist es möglich, auch in großen Beständen schnell die gewünschten Daten zu finden.
E-Mail gehört mit zu den am meisten genutzten Funktionen im Inter- und Intranet-Bereich. Auch für diese Anwendung ist Unix bestens geeignet. Das weitverbreitete und sehr mächtige Programm "Sendmail" für die Bearbeitung ein- und ausgehender Nachrichten ist Bestandteil fast aller Unix-Systeme. Daneben gibt es eine Reihe weiterer kommerzieller Software mit unterschiedlichem Funktionsumfang. So beispielsweise das System "Qmail", bei dessen Entwicklung großen Wert auf Sicherheit gelegt wurde und das trotz seiner leichten Konfigurierbarkeit über eine Fülle von nützlichen Funktionen verfügt: etwa die einfach zu realisierende Filterung von Mails, wodurch sich unter anderem lästige Werbesendungen blocken lassen.
Protokoll, Adressen und Nachrichtenformat von E-Mails im Internet entsprechen dem auch unter Unix verwendeten Standard Simple Mail Transfer Protocol (SMTP). Auch gängige Browser-Software beispielsweise von Netscape oder Microsoft unterstützt mit ihren Mail-Funktionen diese Standards. Sie sind daher nach der Konfiguration des für sie zuständigen Mail-Servers sofort einsetzbar. Die Software für die Verwaltung der auf dem Unix-Server abgelegten Mailbox vom Arbeitsplatzrechner aus muß gegebenenfalls zusätzlich installiert werden; sie ist jedoch kostenfrei im Internet erhältlich.
Die Entwicklung des Internet in den letzten Jahren hat dazu geführt, daß heute jedes Betriebssystem die gängigeren Protokolle beherrscht und diese plattformübergreifend als Standard etabliert sind. Die prinzipielle Hardware-Unabhängigkeit von Unix und die Verfügbarkeit für nahezu alle Rechnersysteme vom PC bis zur Hochleistungs-Workstation machen es als Server-System in allen Bereichen interessant. Vor allem die durch die Entwicklung von Linux und anderen kostenlos erhältlichen Unix-Betriebssystemen gebotene Möglichkeit, ohne immense Softwarekosten ein leistungsfähiges Server-Betriebssystem zu erhalten, macht es gerade für kleinere Betriebe und Abteilungen mit beschränktem Budget attraktiv.
Allerdings erfordern die Installation und Administration von Unix-Systemen eine nicht zu unterschätzende Einarbeitungszeit. Obwohl sich Unix prinzipiell auch als Betriebssystem für den Endbenutzer eignet und für diesen Anwendungsbereich durchaus leistungsfähige Software wie beispielsweise das plattformübergreifend verfügbare "Staroffice"-Paket zur Verfügung steht, sollte ein Einsatz auf dieser Ebene vorher gründlich überdacht werden.
Angeklickt
Profis schätzen die Stabilität von Unix-basierten Systemen, die allerdings über eine nicht zu unterschätzende Einarbeitungszeit erkauft werden muß: Nur über umständliche Konfigurationen von der Kommandozeile aus lassen sich die letzten Leistungsreserven aus der Software herauskitzeln. Dafür empfehlen sich die Lösungen (nicht zuletzt wegen der engen Integration des Internet Protocol) jedoch vor allem als Server im Intra- und Internet-Umfeld. Als Plattform für Arbeitsplatzrechner ist Unix nur bedingt geeignet.
*Wolfgang Klimt ist freier Dozent bei der Firma Explico GmbH in München.