Linux Systemadministration mit LFCS-Zertifizierungsvorbereitung

Seminarziel

Jede teilnehmende Person verlässt das Seminar mit einem strukturierten Verständnis der fünf LFCS-Prüfungsdomänen in offizieller Gewichtung (Operations Deployment 25 %, Networking 25 %, Storage 20 %, Essential Commands 20 %, Users and Groups 10 %), der Beherrschung von systemd, GRUB 2 und Paketverwaltung über alle drei Distributionsfamilien (RPM/dnf, DPKG/APT, zypper), der Routine in modernem Networking (ip, NetworkManager, systemd-networkd, nftables, firewalld, ufw, SSH-Hardening), dem Werkzeug für den vollständigen Storage-Stack (Partitionierung, LVM, RAID mit mdadm, LUKS-Verschlüsselung, ext4/XFS/btrfs, NFS), der Praxis in Essential Commands (find, grep, sed, awk, tar, rsync, vi/vim, Job-Control, Pipes), der Disziplin in User- und Gruppen-Management (sudo, ACLs, PAM, SELinux/AppArmor), der systematischen Troubleshooting-Methodik über Boot, Filesystem, Performance, Network und Logs, einer absolvierten Probeklausur mit Domänen-Schwächenanalyse und einem persönlichen Lernplan - gut vorbereitet auf das LFCS-Examen der Linux Foundation in der Sprache der Wahl (Deutsch oder Englisch).

Inhalt

Tag 1: Domain 1 - Operations Deployment (25 %)
1. Linux-Distributionen und Paketverwaltung über alle Familien

• Distributionsfamilien  im LFCS-Scope: Red Hat (RHEL, Rocky, AlmaLinux, Fedora), Debian  (Debian, Ubuntu LTS), SUSE (SLES, openSUSE).
• Vergleich der Paketmanager: dnf/yum (RPM-basiert), apt (Debian-basiert), zypper (SUSE) - Befehls-Mapping zwischen den Familien.
• Paket-Operationen: Installation, Update, Removal, Suche, Abhängigkeits-Auflösung, Repository-Konfiguration.
• Manuelle Paket-Werkzeuge: rpm und dpkg für direkte Paket-Operationen, rpm2cpio.
• Repository-Management: official Repositories, Third-Party-Repositories (z. B. EPEL für RHEL, PPAs für Ubuntu), GPG-Schlüssel.
• Software aus Quellcode: configure, make, make install; wann sinnvoll, wann zu vermeiden.
• Snap und Flatpak als Cross-Distribution-Paket-Formate.
• Praxis-Übung:   Drei identische Aufgaben (nginx installieren, neue Repo-Quelle  hinzufügen, alle Sicherheits-Updates einspielen) parallel auf  RHEL/Rocky, Ubuntu und openSUSE durchführen und Befehls-Unterschiede  dokumentieren.

2. Boot-Prozess, systemd und Service-Management

• Boot-Sequenz: BIOS/UEFI, Bootloader, Kernel, initramfs, systemd.
• GRUB  2 als Standard-Bootloader: Konfiguration über /etc/default/grub,  grub2-mkconfig, Bootloader Specification (BLS), Recovery-Boot.
• systemd-Architektur: Units (service, socket, timer, mount, target), Dependencies, Activation-Strategien.
• Service-Management mit systemctl: enable, disable, start, stop, restart, status; daemon-reload bei Unit-Änderungen.
• Logs mit journalctl: Filter nach Unit, Zeit, Priority; persistente Logs konfigurieren.
• Boot-Analyse mit systemd-analyze: blame, critical-chain, plot.
• systemd-Timer als moderne Cron-Alternative: persistent Timer, randomized Delay, Failure-Notification.
• Targets statt Runlevels: graphical.target, multi-user.target, rescue.target, emergency.target.
• Praxis-Übung:   Eigenen systemd-Service mit Restart-Policy, Resource Limits und Logging schreiben; systemd-Timer für regelmässige Wartungs-Aufgabe  konfigurieren; Boot-Analyse durchführen und drei Optimierungs-Vorschläge ableiten.

3. Container und Virtualisierung

• Container-Konzepte: Namespaces (PID, NET, IPC, MNT, USER), Cgroups v2 als Standard auf modernen Distributionen.
• Container-Runtimes: Docker, Podman als rootless-Alternative auf RHEL/Fedora, containerd.
• Container-Operationen: Image pull, run, exec, stop, logs; Dockerfile-Grundlagen.
• KVM-Virtualisierung mit libvirt und virsh: VMs erstellen, starten, stoppen, klonen.
• QEMU als Userspace-Emulator, virt-install für VM-Bootstrap, cloud-init für Cloud-VMs.
• Praxis-Übung:   Eine einfache Web-Anwendung in einem rootless Podman-Container starten  und persistent als systemd-User-Service einrichten; eine KVM-VM mit  virt-install bereitstellen.

Tag 2: Domain 2 - Networking (25 %)
4. IP-Konfiguration und moderne Netzwerk-Tools

• IP-Adressierung: IPv4-Klassen, CIDR, IPv6-Adress-Typen, Netzmasken.
• Hostnames und /etc/hosts, /etc/resolv.conf, systemd-resolved.
• Netzwerk-Tools  2026: ip als universeller Standard (ip link, ip addr, ip route), ss als Nachfolger von netstat - ifconfig nur als Legacy-Hinweis.
• NetworkManager mit nmcli und nmtui: Verbindungsprofile, statische und DHCP-Konfiguration.
• systemd-networkd als Alternative für Server, netplan auf Ubuntu.
• Vorhersagbare Netzwerk-Schnittstellen-Namen (eno1, enp0s3 statt eth0).
• DNS-Konfiguration und Namensauflösung, dig und host als Diagnose-Tools.
• Netzwerk-Diagnose: ping, traceroute, mtr, tcpdump (Grundlagen).
• Praxis-Übung:   Statische IP-Konfiguration auf einer RHEL- und einer Ubuntu-VM parallel einrichten - einmal mit NetworkManager (nmcli), einmal mit netplan; Routing-Tabelle erweitern; DNS-Probleme mit dig systematisch eingrenzen.

5. Firewall, SSH und Remote-Zugriff

• Firewall-Frameworks  im Vergleich: nftables als moderner Standard (Nachfolger von iptables), firewalld auf RHEL und SUSE, ufw als Wrapper auf Ubuntu.
• nftables-Grundlagen: Tables, Chains, Rules; Default-Policies.
• firewalld vertieft: Zonen (public, dmz, trusted, drop), Services, Ports, Rich Rules; permanente vs. runtime-Konfiguration.
• ufw für Ubuntu: einfache Allow/Deny-Regeln, Default-Policies, Logging.
• SSH-Hardening:  Key-only-Authentifizierung, Public-Key-Verteilung mit ssh-copy-id,  sshd_config-Härtung (Port, PermitRootLogin, PasswordAuthentication,  AllowUsers).
• SSH-Multiplexing und SSH-Agent für Key-Management; ProxyJump für Bastion-Szenarien.
• Remote-Zugriff-Alternativen: VNC, RDP via xrdp, Cockpit als Web-Konsole.
• Praxis-Übung:   firewalld-Konfiguration für einen Web-Server (HTTPS, SSH von  Bastion-Subnetz, Rest blockiert) auf RHEL umsetzen, parallel mit ufw auf Ubuntu identisch nachbauen; SSH-Hardening mit Key-only und  Bastion-ProxyJump-Setup.

Tag 3: Domain 3 - Storage (20 %) und Domain 4 - Essential Commands (20 %)
6. Storage: Partitionen, LVM, RAID und Filesysteme

• Partitionierung: MBR vs. GPT, fdisk, gdisk, parted; lsblk und blkid für Disk-Übersicht.
• Filesysteme  im Vergleich: ext4 (Default Ubuntu/Debian), XFS (Default RHEL), btrfs  (Default openSUSE/SLES) - Tradeoffs und Use Cases.
• Filesystem-Operationen: mkfs.*, fsck, mount, /etc/fstab, automount.
• LVM (Logical Volume Management): Physical Volumes, Volume Groups, Logical Volumes; Snapshots, Resize, Migration.
• Software-RAID mit mdadm: RAID-Level (0, 1, 5, 6, 10), Konfiguration, Monitoring, Recovery.
• Verschlüsselung mit LUKS und cryptsetup: Container erstellen, öffnen, mounten, automatischer Mount mit /etc/crypttab.
• Swap-Konfiguration: Swap-Partition, Swap-File, swappiness-Tuning.
• Quotas, ACLs und erweiterte Attribute (chattr).
• NFS und Samba als Netzwerk-Filesysteme.
• Praxis-Übung:   LVM-Setup mit zwei Disks, Volume Group, drei Logical Volumes (Root,  Home, Data) anlegen; LUKS-verschlüsseltes Volume hinzufügen mit  /etc/crypttab und /etc/fstab; LVM-Snapshot erstellen und für Backup  nutzen; ext4-FS online vergrössern.

7. Essential Commands: Datei- und Text-Operationen

• Filesystem-Hierarchie (FHS): /etc, /var, /usr, /home, /opt, /tmp, /run, /proc, /sys - wofür ist was zuständig.
• Datei- und Verzeichnis-Operationen: cp, mv, rm, ln (hard und soft), find mit Praxis-Beispielen.
• Such-Tools: grep, egrep, ripgrep (rg) als moderner Nachfolger; locate und mlocate.
• Text-Verarbeitung: cut, sort, uniq, wc, tr, sed, awk - die klassische Pipeline.
• Editoren:  vi/vim als Examen-Standard (mindestens Modus-Wechsel, Save/Quit,  einfache Navigation und Edits beherrschen); nano als  Anfänger-freundliche Alternative.
• Pipes, Redirection und Job Control: stdin/stdout/stderr, &, &&, ||, jobs, fg, bg, nohup, screen, tmux.
• Archivierung  und Backup: tar mit Komprimierung (gzip, bzip2, xz, zstd), rsync für  inkrementelle Backups, dd für Image-Operationen.
• Prozess-Management: ps, top, htop, btop, pgrep, pkill, nice/renice, kill mit verschiedenen Signalen.
• Praxis-Übung:   Komplexe Pipeline-Aufgabe lösen - aus einem Apache-Access-Log die  Top-10-IP-Adressen mit den meisten 4xx-Antworten in den letzten 24  Stunden extrahieren, sortiert ausgeben; tar+rsync-Backup-Skript für  /etc, /home und /var/log mit Rotation schreiben.

Tag 4: Domain 5 - Users and Groups (10 %), Vertiefung und Probeklausur
8. User- und Gruppen-Management, PAM und Sicherheit

• User-Lifecycle: useradd, usermod, userdel, passwd; /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow.
• Gruppen-Verwaltung: groupadd, groupmod, groupdel, gpasswd; Primary vs. Secondary Groups.
• Passwort-Policies: chage für Aging, faillock, /etc/security/limits.conf für Resource-Limits.
• Sudo: /etc/sudoers, sudoers.d-Drop-In-Verzeichnis, Privilege-Escalation-Patterns, Best Practices.
• Dateirechte und Ownership: chmod, chown, chgrp, umask; setuid, setgid, sticky bit.
• POSIX ACLs mit getfacl und setfacl: fein-granulare Zugriffsrechte.
• PAM (Pluggable Authentication Modules): Architektur, Module-Stack, häufige Konfigurationen für Login und sudo.
• LDAP- und SSSD-Integration als Ausblick: zentrale Authentifizierung gegen Active Directory.
• SSH-Keys und SSH-Konfigurations-Hardening, MFA mit Google Authenticator oder Hardware-Tokens.
• Linux-Security-Module:  SELinux (Enforcing vs. Permissive, Kontexte, Booleans, ausearch) -  Standard auf RHEL; AppArmor - Standard auf Ubuntu und openSUSE.
• Praxis-Übung:   User mit eingeschränktem Sudo-Recht (nur systemctl restart nginx)  anlegen; ACLs für ein Shared-Verzeichnis konfigurieren mit Default-ACL  für neue Dateien; SELinux-Kontext für eine Custom-Anwendung anpassen;  AppArmor-Profil für die gleiche Anwendung auf Ubuntu erstellen und  vergleichen.

9. Troubleshooting und Vertiefung

• Boot-Probleme: GRUB-Recovery, Single-User-Mode, Emergency-Mode, systemd-rescue.target.
• Filesystem-Recovery: fsck im Recovery-Mode, badblocks, dump und restore.
• Performance-Troubleshooting: top/htop, iostat, vmstat, sar; OOM Killer und /proc/sys/vm-Tuning.
• Network-Troubleshooting: ss, tcpdump, mtr, systematische Hypothesen-Bildung.
• Log-Analyse: journalctl mit Filtern, klassische Logs in /var/log, logrotate.
• Häufige  Stolperfallen im LFCS-Examen: persistent vs. runtime-Konfiguration,  /etc/fstab-Syntax, SELinux-Kontext-Probleme nach Verschieben von  Dateien, GRUB-Bootloader-Reihenfolge.
• Praxis-Übung:   Drei vorbereitete Fehlerszenarien systematisch durchspielen:  nicht-bootbares System mit GRUB-Recovery reparieren, hängender  systemd-Service mit journalctl analysieren, fehlgeschlagener Mount aus  /etc/fstab debuggen.

10. Prüfungsstrategie und Praxis-Workshop
Prüfungsstrategie (45 Min):

• LFCS-Examen-Format:  2 Stunden, 17-20 performance-based Tasks, Pass-Score 67 %,  distribution-agnostic, Sprachen Englisch/Deutsch/Japanisch/Chinesisch,  PSI-Bridge-Browser-Umgebung mit Live-Proctor und Webcam-Pflicht.
• Erlaubte Hilfsmittel: man-Pages und installed Documentation auf der Prüfungs-VM - kein Browser, keine externen Quellen.
• Drei-Pass-Strategie:  Quick Wins zuerst, komplexe Tasks danach, Validierung am Ende;  Persistenz über Reboots hinweg prüfen (häufige Falle).
• Anti-Patterns:  vergessenes systemctl daemon-reload, fehlende /etc/fstab-Persistenz,  falsche SELinux-Kontexte, vergessene firewall-cmd --permanent  --reload-Reihenfolge.
• Zeitmanagement:  6-7 Minuten pro Task im Schnitt, schnelle Tasks (User anlegen, Paket  installieren) zuerst abarbeiten, dann LVM-/RAID-/Recovery-Aufgaben.

Praxis-Workshop (180 Min):

• Phase 1 - Hands-on-Sprint (60 Min):   Drei reale Aufgaben (LVM-Volume erweitern und ext4-FS online resizen,  systemd-Timer für regelmässige Backups, firewalld-Zone für DMZ-Subnetz)  mit gegenseitigem Code-Review.
• Phase 2 - Probeklausur unter Prüfungsbedingungen (90 Min):   13 performance-based Tasks über alle fünf Domänen in offizieller  Gewichtung (~3/3/3/3/1), 90 Minuten als verkürzte Trainingseinheit, ohne Hilfsmittel ausser man-Pages.
• Phase 3 - Auswertung und Peer-Review (30 Min):   Score pro Domäne, Schwächenanalyse, Lernplan. Peer-Review der  schwierigsten Tasks: persistent vs. runtime-Konfiguration,  GRUB-Boot-Probleme, LVM-Operationen, SELinux-Kontext-Korrektur,  sudoers-Konfiguration, /etc/fstab-Persistenz.