Freie Software und Schule: Linux-Workshop der LFB

Anforderungen an Schulnetze

Bereits seit 2014 ist eine Aufteilung eines Schul-Netzwerks in Verwaltungs-Netz, Lehrkraft-Netz und pädagogisches Netz (inkl. Schüler:innen) notwendig. Dadurch wird geregelt, in welchem Netzwerk welche Daten verwaltet werden (dürfen).

Aufteilung eines Schulnetzes mittels VLANs. Quelle: it.kultus-bw.de

Im Workshop wurde eine darüber hinausgehende weitere technische Segmentierung zumeist in 

• Pädagogisches Netz bzw. Unterrichtsumgebung:
  • Schul-Netz (relevante Server, Klassenzimmer, DV-Räume)
  • Eigenes LAN-Netz/Eigene Netze für Wifi
• Admin-Netz (Zugriff der Geräte von Netzwerkberatenden)
• Eigenes Netz für Server-Dienste sofern angeboten (DMZ)
• Management Netz (Switche, Router und interne Server z. B. Monitoring)
• Verwaltungsnetz (bspw. Sekretariat, Schulleitung)

diskutiert. Besonderes Augenmerk waren die Performanz mittels Multi-Layer-Switches, sowie eine einfache Filterung und Zugriffskontrolle.

Auch das verwaltete Schul-WLAN sollte über VLANs segmentiert werden, wobei so wenig SSIDs wie möglich verwendet werden sollten. Eine Zuordnung von Lehrkräften, Schüler:innen und Gästen erfolgt stattdessen über die Authentifizierung am WLAN-Access-Point in die verschiedenen Netze, was Hardware vereinfacht. Eine Authentifizierung über WPA2-Preshared-Key ist nicht erlaubt, da hier keine Trennung der Netze passiert.

Erinnert wurde auch an ein Backup-Konzept, das es Verschlüsselungstrojanern schwer macht, die Schule komplett lahm zu legen.

Ein Beispiel: Live-Server pushen ein Backup auf einen Server Backup01. Von diesem holt sich dann zeitverzögert ein mit anderer Lösch-Strategie angelegter Server Backup02 die Daten ab. Dadurch lässt sich recht schnell ein tägliches Backup aus dem Betrieb machen, während man ein zweites Backup im Hintergrund hat, auf das niemand Schreib-Zugriff hat. Im Falle eines Crypto-Trojaners würde so maximal Backup01 mit verschlüsselt werden, während Backup02 nicht angreifbar ist - soweit man keine Fehler bei der Konfiguration gemacht hat. Somit ist eine Wiederherstellung aus Backups aus Backup02 möglich und der Schulbetrieb kann weiter gehen. Natürlich schützt diese Konfiguration nicht vor einem Abfluss an Daten!

Abbildung: Darstellung der Backup-Strategie. (Quelle: Tobias Heine)

Sicherer Zugriff auf das Schulnetz

Besonders in administrativen Rollen muss man doch mal auch von daheim auf das Schulnetz zugreifen, bspw. weil spät am Abend irgendwas klemmt. Natürlich stellt man aber nicht den internen Server oder die Administrations-Oberfläche frei ins Internet, sondern benutzt bevorzugt ein VPN, um sich ins interne Netz einzuklinken.

Eine performante und gut einzurichtende Möglichkeit bietet das Wireguard-System, das sich über wg-easy in eine Docker-Umgebung, aber auch in ein Ansible-Skript einbauen lässt. Wireguard ist auf allen Plattformen verfügbar und zeichnet sich durch eine kleine Codebasis sowie hohe Performanz aus. In Software wie OPNsense ist es in der GUI recht einfach verfügbar. Diskussionen gab es über den Endpunkt des VPN-Tunnels (siehe Netze oben).

Dazu wurde auch auf die allgemeine Sicherheit hingewiesen und die Verwendung von Zweifaktor-Authentifizierung in verschiedenen Szenarien beleuchtet. Denn nicht immer kann man 2FA einrichten.

Wichtig dabei ist auch, verwendete Passwörter und Zugangsinformationen im Admin-Team sicher zu dokumentieren und zu hinterlegen. Eine Kombination aus getrennten KeePass-Dateien und Dokuwiki wurde in der Diskussion als gute und nachvollziehbare Lösung identifiziert. Als individuell zu lösende Problemstellung hat sich die Frage nach geteilten Passwörtern bzw. Zugängen erwiesen.

E-Mail-Stack für Schulen

Obwohl mehrfach totgesagt ist E-Mail-Kommunikation immer noch essentiell. Im schulischen Kontext muss diese sicher sein und aus Datenschutz-Gründen gerne auf der eigenen Infrastruktur laufen. Aber das allein ist nicht Schutz genug, denn ein Mail-Server steht üblicherweise nicht allein auf weiter Flur und ist nichts Triviales.

Begleitet von einem Bericht aus der Praxis wurden die notwendige Software wie Dovecot, Postfix, Rspamd, ClamAV, WebUI und Bereitstellung von CalDAV und CardDAV, sowie Bekanntmachung des Servers bei anderen E-Mail-Anbietern inklusive korrekter Angabe von Informationen, insbesondere bei DNS-Einträgen (MX, SPF, DMARC, DKIM) analysiert. Aber dafür gibt es ja Analyse-Werkzeuge:

• https://mxtoolbox.com
• https://multirbl.valli.org
• https://mailtower.app

Wichtig ist hierbei natürlich eine gute Absicherung des E-Mail-Servers über Zweifaktor-Authentifizierung oder X.509-Zertifikate, die auf dem jeweiligen Client gespeichert sind.

Linuxmuster 7.3

Mit Linuxmuster-Tools, -API und -CLI ziehen drei miteinander verwobene Neuerungen in Linuxmuster ein.

• Tools: Stellt eine Python-Bibliothek bereit, mit er einfach auf die Objekte der Linuxmuster.net (Benutzer, Gruppen, Computer) zugegriffen werden kann. Damit sind Skripte und Automatisierungen möglich.
• API: Bietet einen API-Zugriff von anderen Diensten auf Linuxmuster an. Siehe auch Edulution (unten) für Verwendung.
• CLI: Skripte, die via Linuxmuster-Tools Informationen zu Benutzern, Computern, Linbo, etc. darstellen und teilweise diese Objekte auch ändern können. Die CLI benutzt dafür im Hintergrund die "Linuxmuster-Tools". 

Insgesamt sehr praktische Ergänzungen, die das Admin-Leben in vielerlei Hinsicht einfacher machen und weitere Anknüpfungen an Linuxmuster ermöglichen wird.

Abbildung: Struktur von Linuxmuster 7.3

Edulution

Durch die Neuerungen in Linuxmuster 7.3 mit der API sind neue Anwendungen möglich wie Edulution. Etwas salopp formuliert können hier Schüler:innen und Lehrkräfte ein Betriebssystem im Browser haben inkl. Zugriff auf Chat, eigene Dateien auf dem Schulserver, Online-Office und sogar virtuelle Maschinen - wenn eingerichtet.

Dadurch ist es möglich, eine einheitliche Oberfläche unabhängig vom Endgerät und Betriebssystem anzubieten, sodass beispielsweise schuleigene Programme auch von zu Hause aus benutzt oder das Referat fertig gestellt werden kann.

Siehe auch:

• https://www.linuxmuster.net/de/2025/09/15/linuxmuster-net-7-3-release-verbesserte-skalierbarkeit-und-modularisierung/
• https://edulution.io/
• https://codeberg.org/DigitalSouveraeneSchule/mailbox/src/branch/main/docs/konzeption.md

Fazit

Für mich war der Workshop sehr bereichend sowohl was das Wissen angeht als auch die Menschen, die teilgenommen haben. Ich freue mich auf weitere Fortbildungen in diesem Bereich.

Weiterführende Texte und Quellen:

• BSI: Wie funktioniert ein Virtual Private Network (VPN)?
• Kultus-BW IT: VLAN Architektur Schulen (3 Netze)