Professional Documents
Culture Documents
Linux
Linux
Sulinet Expressz
2003
Tartalomjegyzk
Tartalomjegyzk ......................................................................................................... 2 Bevezets................................................................................................................... 5 1. Alapismeretek...................................................................................................... 6 1.1 Linux, mint opercis rendszer..................................................................... 6 1.2 Internet ......................................................................................................... 9 1.2.1 ARPA verem rtegei ........................................................................... 10 1.2.2 IP cmek .............................................................................................. 12 1.2.3 IP hlzatok ........................................................................................ 14 1.2.4 Routerek.............................................................................................. 15 1.2.5 Nvfelolds az Interneten ................................................................... 16 1.3 Vdelem ..................................................................................................... 18 1.3.1 Tzfalak .............................................................................................. 19 1.3.2 Tzfalak tpusai ................................................................................... 19 1.3.3 Tzfal helye a hlzatban, a hlzat felptse .................................. 20 1.4 Teleptshez szksges alapismeretek...................................................... 23 1.4.1 Partcik .............................................................................................. 23 1.4.2 Programok........................................................................................... 25 1.5 Gyakorlat.................................................................................................... 28 1.6 Ellenrz krdsek..................................................................................... 29 1.7 Felhasznlt, ajnlott irodalom..................................................................... 30 2. Telepts............................................................................................................ 30 2.1 RedHat Linux 9.0........................................................................................ 30 2.1.1 Telepts megkezdse ........................................................................ 30 2.1.2 Rendszerindt kperny .................................................................... 31 2.1.3 Telepts nyelvnek kivlasztsa (Language Selection) ..................... 32 2.1.4 Billentyzet nyelvnek kivlasztsa (Keyboard).................................. 33 2.1.5 Egr belltsa (Mouse Configuration)................................................ 35 2.1.6 Telepts tpusa (Installation Type) ..................................................... 36 2.1.7 Lemez partcionlsa .......................................................................... 37 2.1.8 Boot Loader belltsa ........................................................................ 39 2.1.9 Hlzati krtyk belltsa (Network Devices) .................................... 40 2.1.10 Tzfal belltsa .................................................................................. 41 2.1.11 Nyelvek kivlasztsa........................................................................... 42 2.1.12 Idzna belltsok ............................................................................. 42 2.1.13 ROOT jelsz belltsa ....................................................................... 44 2.1.14 Felhasznlk azonostsnak belltsai ............................................ 44 2.1.15 Program csomagok csoportjainak kivlasztsa................................... 45 2.1.16 Csomagok kivlasztsa ...................................................................... 46 2.1.17 Fggsgek kezelse ......................................................................... 48 2.1.18 Csomagok felmsolsa ....................................................................... 48 2.1.19 Indtlemez ksztse ......................................................................... 49 2.1.20 Webmin teleptse .............................................................................. 49 2.2 Debian GNU/Linux 3.0 R1.......................................................................... 50 2.2.1 Telepts megkezdse ........................................................................ 50 2.2.2 Telepts nyelvnek kivlasztsa (Choose The Language) ................ 51 2.2.3 Teleptrendszer fmen .................................................................... 51 2
Sulinet Expressz
2003
2.2.4 jraindts utn ................................................................................... 55 2.2.5 DSELECT............................................................................................ 58 2.2.6 Szksges csomagok teleptse......................................................... 59 2.3 SUSE LINUX 8.2 Professional ................................................................... 62 2.3.1 Telepts megkezdse ........................................................................ 62 2.3.2 Rendszerindt kperny .................................................................... 62 2.3.3 Telepts nyelvnek kivlasztsa (Language Selection) ..................... 63 2.3.4 Teleptsi belltsok .......................................................................... 64 2.3.5 Els indts.......................................................................................... 69 2.4 Gyakorlat.................................................................................................... 71 2.5 Felhasznlt, ajnlott irodalom..................................................................... 71 3. Finomhangols, ismerkeds a rendszerrel........................................................ 71 3.1 Els belps............................................................................................... 71 3.2 /etc knyvtr ismertebb fjljai ..................................................................... 74 3.3 Hasznos parancsok.................................................................................... 76 3.4 Webmin belltsa...................................................................................... 78 3.5 Gyakorlat.................................................................................................... 80 3.6 Ellenrz krdsek..................................................................................... 81 3.7 Felhasznlt, ajnlott irodalom..................................................................... 81 4. SSH (Secure shell) ............................................................................................ 81 4.1 Alapok ........................................................................................................ 81 4.2 SSH szerver belltsa Webmin-el............................................................. 82 4.3 SSH kulcsok generlsa ............................................................................ 83 4.4 Programok hasznlata ............................................................................... 83 4.5 Gyakorlat.................................................................................................... 84 4.6 Ellenrz krdsek..................................................................................... 84 4.7 Felhasznlt, ajnlott irodalom..................................................................... 84 5. Felhasznlk, jogosultsgok kezelse .............................................................. 84 5.1 Alapismeretek............................................................................................. 84 5.2 Felhasznlk kezelse Webmin-el ............................................................. 87 5.3 Felhasznl kezelse konzolrl.................................................................. 89 5.4 Jogosultsgok belltsa Midnight Commander-el ..................................... 90 5.5 Gyakorlat.................................................................................................... 90 5.6 Ellenrz krdsek..................................................................................... 91 5.7 Felhasznlt, ajnlott irodalom..................................................................... 91 6. Samba fjl- s nyomtatszerver ........................................................................ 91 6.1 Alapismeretek............................................................................................. 91 6.2 SAMBA belltsa Webmin-el .................................................................... 93 6.3 ltalnos belltsok (Global)..................................................................... 93 6.3.1 Felhasznlk kezelse........................................................................ 96 6.3.2 Fjl szint megosztsok ...................................................................... 99 6.3.3 Security and Access Control ..............................................................100 6.3.4 File Permission Options .....................................................................101 6.3.5 File Naming Options...........................................................................102 6.4 SWAT........................................................................................................103 6.5 Egyb kzi adminisztrcik .......................................................................105 6.6 Gyakorlat...................................................................................................106 6.7 Ellenrz krdsek....................................................................................106 6.8 Felhasznlt, ajnlott irodalom....................................................................106 7. Apache .............................................................................................................107 3
Sulinet Expressz
2003
7.1 Alapismeretek............................................................................................107 7.2 Apache belltsa Webmin-el....................................................................108 7.3 Jelszkezelsek ........................................................................................110 7.4 Gyakorlat...................................................................................................111 7.5 Ellenrz krdsek....................................................................................111 7.6 Felhasznlt, ajnlott irodalom....................................................................111 8. Sendmail ..........................................................................................................111 8.1 Alapismeretek............................................................................................111 8.2 Sendmail belltsa Webmin-el .................................................................114 8.2.1 Local Domains (Cw)...........................................................................114 8.2.2 Address Mapping (virtuser) ................................................................115 8.2.3 Domain Routing (mailertable).............................................................115 8.2.4 Spam Control (access).......................................................................116 8.2.5 Mail Queue (mailq).............................................................................116 8.3 Gyakorlat...................................................................................................117 8.4 Ellenrz krdsek....................................................................................117 8.5 Felhasznlt, ajnlott irodalom....................................................................117 9. Squid proxy ......................................................................................................118 9.1 Alapismeretek............................................................................................118 9.2 Squid proxy belltsa Webmin-el .............................................................119 9.3 Gyakorlat...................................................................................................124 9.4 Ellenrzkrdsek a kilencedik fejezethez................................................125 9.5 Felhasznlt, ajnlott irodalom....................................................................125
Sulinet Expressz
2003
Bevezets
Ez a knyv azoknak szk, akik a Linux rendszer alapjait szeretnk megismerni rendszergazda szemmel. A knyv szerkesztsnl megprbltunk elmleti s gyakorlati tudst egyarnt nyjtani. Termszetesen az anyag terjedelme nem engedte meg, hogy minden rszletet s a Linux rendszerek teljes tudst bemutassuk, ezrt elssorban egy kiindulsi alapot tartalmaz. Trekedtnk arra, hogy a lertak segtsgvel mkd megoldshoz jussanak a hallgatk. Emellett egy-kt tippet is elhelyeztnk az anyagban, amely gyakorlati tapasztalatokon alapszik. A tananyag s a knyv szerkezete RedHat Linux disztribcira rdott. A teleptsnl vzoljuk a SUSE LINUX s a DEBIAN GNU/LINUX els lpseit is. A tovbbi fejezetekben viszont mr elfordulhatnak disztribcis eltrsek. A belltsokat elssorban a WEBMIN webes fellet bellt rendszerrel vgezzk. Ez rendszer a legtbb disztribci al elrhet, teht ltalnosnak mondhat. Kzenfekv lehetsg a belltsok ismerkedshez, hiszen jl tagoltan tartalmazza a lehetsgeket. rdemes egy ismeretlen rendszer esetben a lehetsgek tnzsre. J szrnyalst kvnunk a pingvin varzslatos vilgban!
Sulinet Expressz
2003
1. Alapismeretek
1.1 Linux, mint opercis rendszer
A Linux rendszer fejlesztse a 90-es vek elejn kezddtt el Linus Torvalds munkjval, amelyet teljes egszben publiklt az Interneten. Torvalds a 0.02-es vltozatnl az Interneten feladott hirdetsben szabad kapacitssal rendelkez fejlesztket keresett. A fejleszts gzervel haladt tovbb s 1994-ben megjelent az 1.0.0 Linux. Ekkora mr rengetegen fejlesztettek Linux al alkalmazsokat is. Ebben lnyeges szerepet jtszott, hogy az egyetemeken UNIX rendszereken fut programokat knnyen be lehetett fordtani Linux al. Ekkor jelentek meg az alkalmazsokat sszefoglal disztribcik (terjesztsek) is. Az gy kialakult Linux opercis rendszer sok szempontbl alkalmas Internetes szerverek teleptsre. Elnyei kz tartozik, hogy j rendszergazdai tevkenysg mellett, nagyon biztonsgoss tehet. Ezt elsegti a nyitottsga s jl dokumentltsga. Ha valaki hajland elmlylni a rszletekben, az olyan szervereket alkothat, melyeket nyugodt szvel, stabilan zemeltethet. Amikor Linux rendszerekrl beszlnk, egy tbb rszbl sszelltott programcsomagot tartunk szem eltt. Minden Linux rendszer magja a kernel, amelyet egy kzponti fejlesztcsapat alkot. A kernelek kisebb mdostsokkal minden Linux disztribcinl ugyanazok. Jelenleg tl vagyunk a 2.2-es s a 2.4-es sorozaton, hiszen mr a 2.6-es kernelbl is megjelentek az els verzik. Itt rdemes megjegyezni, hogy a Linux Linus Torvalds bejegyzett vdjegye. A Linux, mint fogalom elssorban a kernel s ennek kiegsztseit jelenti. Azaz az opercis rendszert. Ez egyik disztribcinak sem tulajdona. A disztribcik erre a magra ptik fel, sajt elkpzelseik szerint, a csomaggyjtemnyket. Ezek rengeteg alkalmazst, programot tartalmaznak, amelyet kln-kln cgek, csoportok fejlesztenek. Termszetesen a disztribcikat semmi sem ktelezi arra, hogy az gy kialakult gyjtemnyt (amelyek sajt fejlesztseiket is tartalmazzk) ingyen adjk. A Linux rendszerek s szoftverek egy kialakult licence rendszerrel vannak elltva. Ennek az egyik fajtja a GPL (rdemes utna nzni). Ezeknek a licencek a nagy elnyk, hogy ktelezv teszik a forrskddal egytt val terjesztst. Ezrt mondjuk ezekrl a rendszerekrl, hogy nylt forrskdak. Ez viszont nem jelenti azt, hogy minden esetben ingyenesek. A Linux rendszereket telept csomagokban adjk ki, az erre specializldott cgek, szervezetek. Taln a legismertebb disztribci a Debian GNU/Linux. De mg nagyon sok elterjedt kiads ltezik: Debian GNU/Linux. Egyike a legrgebbi s legnagyobb tmogatst lvez disztribciknak. Jelenleg a 3.0-s (R1) woody nvre keresztelt verzinl tartunk. Teleptse s belltsa nehzkes, viszont a csomagok frisstse a legegyszerbb. Elssorban fejlesztknek, rendszergazdknak kszlt. Szemllete is ezt tkrzi. Csak stabil, tesztelt megoldsokat hasznl s kerli a 6
Sulinet Expressz
2003
knyelmi szempontokbl trtn egyszerstseket. Informcii elrhetek (rszben magyarul is) a http://www.debian.org oldalon. Slackware Linux. Az els Linux disztribcik egyike (lehet, hogy a legels?). Jelenleg a 9.1-es verzinl tart. (http://www.slackware.com) RedHat Linux. Szintn rgi disztribcinak szmt. Knnyen telepthet, egyszer megoldsokat tartalmaz. Jellemz r, hogy a teleptett programok alapbelltsai biztonsgosnak mondhatak. Nagyon j lehetsget ad kezdknek is hasznlhat rendszer teleptsre. Jelenleg a 9.0-as verzinl tart. Ennek a sorozatnak a tmogatst a RedHat nemsokra megsznteti. A tovbbra is ingyenes, tmogatott verzi a RedHat Fedora Core 1. Mivel az zleti Linux piacon a legnagyobb forgalommal rendelkezik, elssorban a pnzes megoldsokat tette eltrbe. (http://www.redhat.com) SUSE LINUX. A SUSE LINUX Eurpa legelterjedtebb Linux disztribcija. Az els kiadsa 1992-ben jelent meg, most ppen a 9.0-s verzinl tart. A SUSE LINUX knnyen telepthet s bellthat, a megfelel tudssal szerverfunkcikhoz is hasznlhat a disztribci. A SUSE LINUX-ot ISO formban ugyan nem lehet letlteni, de az Internetrl telepthet vagy frissthet, s ugyangy msolhat, mint a legtbb disztribci. A 7.1-es verzi ta a SUSE LINUX magyar nyelven s magyar dokumentcival is elrhet. A SUSE LINUX Professional disztribci mellett zleti termkekkel is rendelkezik a SUSE, elssorban vllalatok s iskolk szmra. Az zleti termkek alapja a SUSE LINUX Enterprise Server. A SUSE LINUX Openexchange Server pldul egy levelezszerver s csoportmunka megolds kzepes s nagy cgek szmra. A SUSE LINUX Standard Server egy minden-egyben megolds kis s kzepes vllalatoknak, a SuSE Linux School Server iskolknak nyjt teljes kr megoldst, a SUSE LINUX Firewall On CD, pedig egy CD-rl fut tzfal-rendszer. A SUSE LINUX zleti termkei mind nylt forrskdan, azonban nem szabadon hozzfrhetk, s nem szabadon msolhatk. (http://www.suselinux.hu) UHU Linux. MAGYAR Linux disztribci. Hrom vonalon kln-kln kiadssal vannak jelen. Az UHU-Linux Office jelenleg az 1.0 (s az 1.1 Beta 4) verzinl tart. Kifejezetten kliensek teleptsre alkalmas, rengeteg magyar s magyartott alkalmazssal. Az UHU-Linux Firewall tzfalak teleptsre alkalmas, specilisan optimalizlt elemekkel. Nagy elnye, hogy tartalmazza a Zorp GPL 2.0 tzfalrendszert (http://www.balabit.hu), ami szintn magyar fejleszts. Ez a prosts igen figyelemremlt GPL tzfal megolds. Ltezik tovbb egy UHU-Linux Server kiads is, ezzel teljess tve a palettt. http://www.uhulinux.hu
Termszetesen ez a felsorols nem teljes. Ha minden Linux disztribcit fel szeretnk sorolni, a lista teljesen elfoglaln eme jegyzet erforrsait. Azrt mg szeretnk megemlteni egy-kt rdekessget: Astaro Linux. Kifejezetten tzfal szervernek kialaktott Linux disztribci. Ugyan fizets, de oktatsi intzmnyeknek ingyenes. Web-es bellt fellete egyszer s jl hasznlhat. (http://www.astaro.com) IPCOP. Szintn specilisan tzfal szerepeket betlt disztribci. Ingyenes. A Shoothwall egyik fejlesztje vitte tovbb az elgondolsait. Knnyen telepthet s Web-es felleten llthat be. Egyszersge s ingyenessge vgett megtallhat a Sulinet egy-kt iskoljban is. (http://www.ipcop.org). 7
Sulinet Expressz -
2003
Freesco Linux. Az egyik kedvencem. A projekt alkoti megprbltak egy router funkcikat kiszolgl, egyszeren bellthat 1 lemezes (1,44 MB) megoldst alkotni. Azt hiszem sikerlt nekik. A teljes lemezt elfoglal rendszerbe be van ptve DNS, DHCP, Printer, HTTP, Remote Access szerver is. (http://www.freesco.org) Devil-Linux. Egyszeren bellthat tzfal disztribci. CD-rl boot-olhat s nincs szksg merevlemezre sem. Mr 486-os processzortl hasznlhat (http://www.devil-linux.org) KRUD. RedHat Linux-on alapul disztribci. Biztonsgi szempontokat figyelembe vve Kevin Fenzi (Linux Security HOW-TO alkotja) optimalizlta. (http://www.tummy.com/krud) Lindows. Windows programok futtatsra ksztett disztribci. Mr a kiadsa idejben nagy port vert fel, a Microsoft rszrl rt tmadsok miatt. (http://www.lindows.com) MkLinux. Az Apple Computer tmogatsval rt disztribci. Futtathat PowerPC architektrn. (http://www.mklinux.org) SULIX!!!!!!! Knoppix alapokra helyezett csomagvlogats. CD-rl fut, telepteni nem szksges. Fontos, hogy csak szabadon terjeszthet elemeket tartalmaz, gy leglisan msolhat a dikoknak is. Magyar sszellts, kifejezetten a magyar oktats ignyei alapjn. Minden szksges alkalmazs megtallhat rajta. Jelenleg az 1.1-es verzinl tart. Nagyon jl hasznlhat tesztelsre is, hiszen minden hlzati alkalmazst, klienst tartalmaz s pillanatokon bell rendelkezsre ll. (http://www.sulix.hu)
A disztribcikban szerepl programok nagy rszt elrhetjk a program ksztinek oldalain is. Itt mindig gyorsabban jelennek meg a frisstsek, j verzik. Egy szerver elksztse utn a legfontosabb dolgunk a hibajavtsok kvetse. A Linux rendszerek egyik legnagyobb elnye, hogy az elfordul, detektlt biztonsgi hibkat nagyon gyorsan javtjk. Gyakran jellemz, hogy a hiba publiklsa s a javts megjelentse ugyanarra a napra tehet. rdemes figyelni azokat a frumokat, melyek ezekrl tjkoztatst adnak. A legtbb disztribcinl lehetsg van a frisstsek automatikus letltsre, teleptsre. A rendszernk kivlasztsnl rdemes utnanzni, mennyire gyorsan jnnek ki r a javtsok. Taln itt rdemes beszlni a Linux tmogatottsgrl. Ms rendszerekkel ellenttben a Linux-nak az elsdleges support-jt szervezetek adjk. Szinte minden problmra ltezik mr dokumentlt megolds valahol, csak meg kell tallnunk. Kiemelt szerepet kapnak a levelez listk s ezek archvumai. Szintn nagyon jl hasznlhatak, az un. Howto-k (hogyanok), melyeket nagy mennyisgben lehet elrni az Interneten. Nzznk meg egy pr lnyeges Internet cmet. Magyar Linux Felhasznlk (http://mlf.linux.rulez.org/mlf/) levelez listi:
Sulinet Expressz -
2003
Linux-kezd lista. Ez egy kezdknek szl levelezlista, egyszer krdsekkel, sok segtksz emberrel. Idelis nem csak a kezdknek, hanem azoknak is akik szvesen segtenek msoknak tkzdeni magukat az els bakikon. Az RTFM e listn nem megengedett kifejezs. Linux lista. Az els magyar nyelv Linuxos lista volt, mra a mr nem kezd Linux felhasznlk szmra kvn segtsget nyjtani. Ha elakad pl. a Linux belltsval, rdemes krlnzni az archvumban. Ezen a listn mr nem meglep, ha valaki vlaszknt csak ennyit kap: RTFM. Linux++. A halad Linuxosoknak sznt frum. Levl kldse eltt krjk, olvassa el a lista clkitzseit. Linux-flame. A Linuxosoktl a szrakozs sem idegen... csak ers idegzeteknek ajnlott.
A fenti listk ismertetst (sz szerint) a Linux-felhasznlk Magyarorszgi Egyeslete oldalrl (http://lme.linux.hu/levlista.html) szrmazik. Az egyeslet tevkenysge meghatroz a linux Magyarorszgi terjedsben: Az egyeslet oldala: http://www.lme.hu Pingvin fzetek: http://www.lme.hu/meh/pingvinfuzetek.html Linux.hu: http://www.linux.hu Sok informcit tartalmaz, lnyeges oldalak lehetnek mg: Magyar nyelv anyagok, hogyanok gyjtemnye: http://linux.vv.hu Hasonl oldal az elzhz: http://www.szabilinux.hu Szintn: http://tldp.fsf.hu/HOWTO/HOWTO-INDEX/ FSF.hu Alaptvny: http://www.fsf.hu Linuxos linkek: http://www.linuxbazis.hu Hrek, informcik: http://www.hup.hu SuLinux levelez lista: http://sulinux.wmszki.hu Linuxvilg magazin: http://www.linuxvilag.hu
1.2 Internet
Az Internet mkdsnek alapja a kzs szabvnyokon alapul kommunikci. Ezeket a szabvnyokat nagyrszt a protokollok lersai alkotjk. Ha valaki el szeretne mlyedni a tmban, nzzen utna az IETF (Internet Engineering Task Force) ltal kiadott RFC dokumentumokban (http://www.ietf.org). Pldul az Internet Protokoll (IP) lersa a rfc760, amely 1980-ban ltta meg a napvilgot. A 60-as, 70-es vekben a Pentagon megbzsbl elindult az ARPANET fejlesztse. Alapkritriumok a kvetkezk voltak: Nem lehet centralizlt, azaz nem rendelkezhet semmilyen kzponttal a rendszer. Hibatrnek, redundnsak kell lennie, azaz egy-egy hlzati eszkz lellsa esetn alkalmas legyen alternatv tvonalak hasznlatra. Tbbfeladatosnak kell lennie, azaz egy gpnek tbb gppel is kommuniklnia kell egyidejleg. 9
Sulinet Expressz -
2003
Aszinkron mdban kell mkdnie, azaz az adatok kldse s fogadsa egymstl fggetlen legyen.
1980-ban mr a TCP/IP szabvny ltezett, ez alapjn megindult a Berkley egyetemen UNIX al trtn beillesztse. Mivel az amerikai trvnyek szerint az llamilag fejlesztett megoldsok az amerikai llampolgrok tulajdona, a TCP/IP szabvny szabadon hasznlhat lett. Szintn szabadon hasznlhat volt a Berkley egyetem ltal kifejlesztett UNIX-os megvalstsa. Ez nagyban elsegtette az elterjedst. Az egyetemeken elindult a hlzatok kialaktsa, majd ezen hlzatok egyetemek kztti sszekapcsolsa. CSNET nven jtt ltre az amerikai egyetemeket sszekapcsol hlzat (ksbb NSFNET). Majd a TCP/IP elterjedse kvetkeztben ltrejtt az a hlzat, melyet Internet nven ismernk.
modellje csak 4 rteget jegyez: Alkalmazs rteg. Az alkalmazsok a sajt protokolljaik szerint sszelltjk a kldend adatot. Ezen a szinten beszlhetnk olyan protokollokrl, mint az SMTP, a HTTP, a POP3, stb. Gp-gp rteg. Ez a rteg szablyozza a hlzati tvitelt. Ezen a szinten hrom protokollrl beszlhetnk: TCP (Transmission Control Protokol) Az adatokat, a kld gpen kisebb csomagokra (datagram) bontja, az adattvitel megknnytsre. A fogad gpnl ez a szint gondoskodik a csomagok sszeillesztsrl. Az alkalmazsok jellemzen ezt a protokollt hasznljk. UDP (User Datagram Protokol) A gpek kztti egyszer zenetcsert valst meg, egyetlen csomag (datagram) segtsgvel. Hlzati zemeltetsi feladatok elltsara alkalmazzk. ICMP (Internet Control Massage Protocol) 10
Sulinet Expressz
2003
Vezrl zenetek kldsre alkalmas protokoll. Hlzat mkdsnek vizsglatra alkalmazzk, mint pldul a ping zenetek (ICMP_ECHO_REQUEST, ICMP_ECHO_REPLY). Internet Itt csak egyfle protokoll az IP (Internet Protocol) dolgozik. Ez a rteg hatrozza mg, hogy a csomagnak merre kell mennie. Azaz itt kapja meg a csomag a clgp IP cmt (errl mg lesz sz), illetve azt, hogy melyik interfszen (hlzati eszkz) tvozzon. Hlzati elrs Ez a rteg gondoskodik a csomagok, az interfsz rszre ismert protokollra (Ethernet, PPP, SLIP) val talaktsrl. Megkeresi a cm IP-vel rendelkez gpet a hlzaton s tovbbtja a csomagot a fizikai kzegen keresztl.
Az alkalmazsi rteg elkszti az zenetet, amelyet egy msik gpnek szeretne elkldeni. A gp-gp rteg kisebb darabokra vgja (TCP-esetn) s datagram-ot (csomagot) kszt belle, azaz elltja az zeneteket egy fejlccel. A fejlc tartalmazza tbbek kztt: - Azt az rtket, amely alapjn a gp-gp rteg a kld alkalmazst azonostja, ez a kiindulsi port. - Azt az rtket, amellyel a cmzett alkalmazst lehet azonostani, ez a clport. - Egy sorszmot, amely mutatja, hogy a csomag a teljes adathalmazban hol foglal helyet. Ez a sorszm alapjn lesznek sszerakva a csomagok a clgpen. - Ellenrz sszeget, amely alapjn kvetkeztetni lehet az adatok srlsre. UDP esetn is hasonl informcikat tartalmaz az UDP fejlc, viszont az alkalmazs adatai nem lesznek eldarabolva. Az gy ltrehozott csomagok tkerlnek az Internet rteghez. Itt szintn egy fejlcet kapnak, gy kialaktva IP csomagokat. Az IP fejlc rdekesebb adatai: - IP protokoll verzija. - Csomag hossza. - Tovbblpsi id (TTL). - Gp-gp rteg protokolljnak a kdja. (6-TCP, 17-UDP) - Ellenrz sszeg. - Forrs IP cme. - Cl IP cme. A hlzati rteg az gy megalkotott IP csomagot eljuttatja a megadott clgphez. Amikor a cmzett fogad egy csomagot, a hlzati rteg tadja az Internet rtegnek. Itt lefejtdik rla az IP fejlc, s tovbbkerl (mint TCP, UDP, vagy ICMP csomag) a gp-gp rteghez. Ez a rteg a clport alapjn a megfelel alkalmazsnak tadja a csomagokbl sszelltott zenetet. Az alkalmazsi rtegen tbb protokoll is beszlhetnk. A gp-gp rteg, a csomag fejlcben rgztett clportra juttatja el a csomagot, ahol egy alkalmazs (szolgltatst kiszolgl szerver) figyel. A kapott csomagot az alkalmazs megprblja feldolgozni. Termszetesen csak akkor sikerlhet, ha ltala ismert szabvny (protokoll) alapjn kszlt. 11
Sulinet Expressz
2003
Ugyan llthat, melyik portot figyelje az adott alkalmazs, de mindegyiknek megvan a jellemz (alaprtelmezett) portja. Ezek alapjn prosthat az alkalmazs tpusa, a fogadport s a protokoll. Nzznk ezek kzl nhny ismertebbet: Port: 21 22 23 25 53 80 110 113 143 443 993 995 Protokoll: ftp ssh telnet smtp dns http pop3 ident imap https (ssl+http) ssl+imap, tsl+imap ssl+pop3, tsl+pop3 Alkalmazs: Fjlletlt szerver, pl.: proftpd Security Shell szerver, pl.: sshd Telnet szerver Mail szerver, pl.: sendmail Name szerver, pl.: bind 9 Web-szerver, pl.: apache Levelek letltse, pl.: popper, ipop3d Ident szerver Levelek kezelse. Imap szerver Web-szerver, pl.: apache (titkostott) Levelek kezelse (titkostott) Levelek letltse (titkostott)
A fenti listban lthatunk, olyan protokollokat is amelyet begyaztak egy ssl titkostsi protokollba. Ebben az esetben, a fogad szerver alkalmazs, elszr az ssl csomagot bontja, majd rtelmezi a bele gyazott sajt protokollt.
1.2.2 IP cmek
A ksbbiek megrtshez nzzk meg, mi az IP cm. Az Internetre kttt gpeknek, hogy a rszkre kldtt csomag meg is rkezzen, egyedi azonostval kell rendelkeznik. Ezeket az egyedi azonostkat nevezzk a gp IP cmnek. Az IP cm 32 bit hossz szmsor, melyet jellemzen byte-onknt ponttal elvlasztott formban runk. Pldul: 195.199.67.88. Ezek alapjn minden (ponttal elvlasztott) szm nulltl 255-ig terjed rtket vehet fel. Az IP cmek kiosztsa a Network Information Center (NIC) feladata. Persze ez a nemzetkzi szervezet nem ad IP cmet minden egyes felhasznl rszre. Jellemzen egy-egy cmcsoportot ad ki szolgltatknak, melyet ksbb a szolgltat oszt tovbb. (http://www.nic.com/nic_info/whois.htm) A rohamosan nvekv igny az Internetre s ezzel az IP cmekre, mr a 90-es vek elejn megmutatta a jelenleg hasznlt IP szabvny nagy hinyossgt. Ugyanis napjainkban mr kezd elfogyni a rendelkezsre ll IP cm. Ezrt 1992-ben megkezdtk egy j szabvny, az IPV6 (ms nven IPnG) kidolgozst. A korbbi 32 bites helyett mr 128 bites cmeket hasznl. A fejlcformtum egyszersdik. Azonostst s kdolst hasznlhat. Multimdia tvitelre alkalmas kpessgekkel rendelkezik. Ugyan nagy munklatok folynak ebben a tmban, mg nem lt ssze a kp teljesen. Jelenleg az tllssal kapcsolatos problmkon dolgoznak.
12
Sulinet Expressz
2003
Termszetesen az IP cmek nem nll szmok, hanem pontosan meghatrozott halmazokra vannak bontva. Ezek egy rsze specilis clra van lefoglalva, a tbbit pedig hlzati osztlyokba rendezik. Az osztlyokra bontsnl a szempont, hogy a 32 bitbl mennyi vonatkozik az adott hlzatra s mennyi az adott hlzaton elhelyezked gpekre. 'A' osztly hlzat: Az IP cmbl 7 bit hatrozza meg a hlzatot s 24 bit a hlzaton tallhat gpeket. 125 ilyen hlzat ltezik s egy-egy hlzaton 16 777 216 gp ltezhet. Ilyen cmtartomnyt a NIC csak olyan nagy hlzatoknak oszt ki, mint pldul az IBM. Ezen hlzatok IP cmeinek els szmjegye 1 s 127 kz esik. 'B' osztly hlzat: Az IP cmbl 16 bit hatrozza meg a hlzatot s 16 bit a hlzaton tallhat gpeket. 16 382 ilyen hlzat ltezik s egy-egy hlzaton 65 536 gp ltezhet. Ezen hlzatok IP cmeinek els szmjegye 128 s 191 kz esik. 'C' osztly hlzat: Az IP cmbl 24 bit hatrozza meg a hlzatot s 8 bit a hlzaton tallhat gpeket. 2 097 150 ilyen hlzat ltezik s egy-egy hlzaton 256 gp ltezhet. Ezen hlzatok IP cmeinek els szmjegye 192 s 223 kz esik.
Az IP cmkszletben vannak fenntartott cmek is, ilyenek : 224.0.0.0 - 239.255.255.255 : Multicasting eljrs szmra fenntartva. 240.0.0.0 - 255.255.255.254 : Internet sajt cljra fenntartva. 0.0.0.0 s a 255.255.255.255 : Sajtos feladattal rendelkez cmek. 10.0.0.0 - 10.255.255.255 : Privt A osztly tartomnynak fenntartva. 172.16.0.0 - 172.31.255.255 : Privt B osztly tartomnynak fenntartva. 192.168.0.0 - 192.168.255.255 : Privt C osztly tartomnynak fenntartva.
Itt jegyzem meg, hogy az osztlyba sorols elmlete mr nem teljesen llja meg a helyt. Ez legfkppen az Internet szabad szerkezetnek s a fogyban lv IP cmnek ksznhet. Az RFC1918-as szabvny a kvetkez privt cmtartomnyokat emlti meg: 10/18, 172.16/12, 192.168/16. A privt cmeket, olyan hlzatok szmra tartjk fent, amely nincs kzvetlen kapcsolatban az Internettel, de IP protokollt hasznl. Ilyenek lehetnek a loklis hlzatok. Privt IP cmmel rendelkez gpet teht nem lehet Interneten keresztl elrni. A fentiek alapjn kiosztott IP cm tartomnyok termszetesen tovbbi alhlzatokra oszthatak. A Sulinet esetben is gy trtnt. A Sulinetes IP cmek els szmjegybl megllapthat, hogy C osztly cmrl van sz (melybl a Sulinet tbbel is rendelkezik.). Ezek tovbb lettek bontva, gy egy-egy iskola 16 IP cmet hasznlhat. Teht a 32 bitbl 28 bitet a hlzat meghatrozsra hasznlnak, 4 bitet pedig az egyes gpek cmzsre. 13
Sulinet Expressz
2003
A hlzatok meghatrozsnl szksgnk van a hlzat IP cmre s a hlzati maszkra. A hlzat IP cme mindig a hlzatban hasznlhat legels IP. A hlzati maszk pedig olyan IP cm formtumban lert 32 bites szm, melynl a hlzat meghatrozsra hasznlt bitek 1-el, mg a gpek meghatrozsra szolgl bitek 0val vannak feltltve. Amennyiben hlzatra hivatkozunk, az Hlzat Cmt a hlzati maszktl / jellel elvlasztva tesszk. Nzznk nhny pldt: 'A' osztly hlzat: 116.0.0.0/255.0.0.0 'A' osztly privt hlzat: 10.0.0.0/255.0.0.0 'B' osztly hlzat: 184.17.0.0/255.255.0.0 'B' osztly privt hlzat: 172.17.0.0/255.255.0.0 'C' osztly hlzat: 195.199.56.0/255.255.255.0 'C' osztly privt hlzat: 192.168.8.0/255.255.255.0 Bontott hlzat: 195.199.57.128/255.255.255.240 (16 IP)
1.2.3 IP hlzatok
Mr a fentiekbl is felttelezhet, hogy az Internetre kttt szmtgpeket hlzatokba csoportostjuk. A hlzatok kialaktst meghatrozhatja a szolgltatnktl (vagy a NIC-tl) kapott cmtartomny. Termszetesen a rendelkezsre ll cmtartomnyt sajt hlzatunkon bell tovbb bonthatjuk. Az Internet gyakorlatilag a fenti elvekkel kialaktott hlzatok halmaza. Ezen hlzatok sszekttetsben lehetnek egymssal. Kt jellemz hlzat ltezik. Az egyik a nemzetkzi gerinchlzat, a msik az orszgokon bell kialaktott gerinchlzat. Magyarorszg gerinchlzat, ismertebb nevn BIX (Budapest Internet eXchange), egy gyors tvitellel rendelkez kzpont, kapcsolatot biztost a szolgltatk kztt. A szolgltatk, egyrszrl a BIX-re kapcsoldva biztostjk ms magyar szolgltatk elrhetsgt, msrszrl nemzetkzi kapcsolatokkal is rendelkeznek. A BIX-re kapcsold tagok listjt elrhetjk a http://www.bix.hu/index.php3?lang=hu&page=members cmen. Nem ritka, hogy a szolgltatk egyms kztt is kialaktanak tktst, ezzel is tehermentestik a BIX fel men vonalukat. A mi szempontunkbl kt rdekes hlzatot (szolgltatt) szksges kiemelni. Az egyik a Sulinet, amely a hazai ltalnos s kzpiskolk szmra nyjtja az Internet kapcsolatot. A Sulinet hlzat felptst a http://www.sulinet.hu/info/uzemeltetes/terkep.html cmen tallhatjuk meg. A msik a HBONE, amely a felsoktatsi intzmnyek kapcsolatt biztostja. (http://www.hungarnet.hu/index.php?headline=infra&menu=menu-kapcs.html&text=infra1.html)
14
Sulinet Expressz
2003
A fenti bra mutatja kt Internetre kapcsolt gp kztti kapcsolatot. Lthatjuk, hogy a 1-es s a 2-es gp kztti kommunikci a BIX-en megy t, mg a 3-as s 4-es gp a kt szolgltat kztt kialaktott vonalon lp egymssal kapcsolatba.
1.2.4 Routerek
A klnbz hlzatok kztti kapcsolatot, gynevezett tvonalvlasztk (router-ek) biztostjk. Ha egy csomag cmzettje nem tallhat meg a hlzaton, akkor a hlzaton lv router kapja meg a csomagot tovbbklds cljbl. A hlzaton elhelyezett gpek szempontjbl ezt a router nevezzk alaprtelmezett tjrnak (default gateway). A router a megkapott csomagokat tovbbkldi. Azt, hogy mgis merre kldje ezeket, egy tblzat alapjn hatrozza meg, melyet routing tblnak neveznk. Routing tbla: Clhlzat 196.12.80.0 210.85.60.0 198.166.40.0 0.0.0.0 Hlzati maszk 255.255.255.0 255.255.255.0 255.255.255.0 0.0.0.0 tjr Interfsz eth0 eth1 196.12.80.10 eth0 196.12.80.20 eth0
A fenti tblzatban tallhat egy router 'routing tblja'. Lthat, hogy a routernek kt kapcsolata van, ezek az eth0 s eth1 hlzati interfszek. A 196.12.80.0/255.255.255.0 hlzatra cmzett csomagokat egyszeren kiadja a eth0 interfszre kapcsolt hlzatra, hiszen a cmzett ott tallhat. Szintn gy tesz a 210.85.60.0/255.255.255.0 hlzatra cmzett csomagokkal, csak az eth1-es interfszen keresztl. A 198.166.40.0/255.255.255.0 hlzatra cmzett csomagokat tovbbadja egy msik routernak, konkrtan a 196.12.80.10-es cmre hallgatnak, tovbbi feldolgozsra. Amennyiben a cmzett a fent emltett hlzatoknak nem tagja, gy a csomag a 196.12.80.20-as cmen lv routerre kerl, ami elvgzi a tovbbkldst. A routing tblt ngyfle informci alapjn kszti a router: 15
Sulinet Expressz -
2003
Kzvetlen az interfszeire kapcsolt hlzatok adataibl, Kzzel belltott adatokbl (statikus route), A krnyezetben lv routerektl kapott adatokbl (dinamikus route) Alaprtelmezett tjr adataibl.
A statikus route-ot kzzel tudjuk belltani, mg a dinamikus route-ot erre a clra ksztett router protokollokon keresztl pti fel s folyamatosan frissti a routernk. Az Interneten a felad s a cmzett kztt akr tbb tvonalvlaszt is elhelyezkedhet. Nzzk meg, hogy egy veszprmi kzpiskolbl a Veszprmi Egyetem webszerverig hny routeren megy keresztl a csomag (traceroute www.vein.hu): router.iskola.sulinet.hu (Iskola sajt routere, cisco) 195.199.0.137 (Itt mr a Szkesfehrvri sulinet kzpontban vagyunk.) 195.199.2.1 195.199.0.57 (Ez mr biztosan a Budapesti sulinet kzpont) gsr16-sulinet.vh.hbone.hu (tkerltnk az egyetemi hlzatra) c6k-c72.veszprem.hbone.hu c72-c6k.veszprem.hbone.hu (Megtalltuk a Veszprm fel vezet utat) proxy2.vein.hu (Ez mr az egyetem bejrata) almos.vein.hu (Megvan a webszerver)
Trjnk egy gondolatra vissza az IP fejlcben trolt adatokra. Minden IP csomag kap egy TTL-t (Tovbblpsi id kdot). Ez egy 0 s 255 kz es szm. Amennyiben a csomag thalad egy routeren a TTL rtke egyel cskkenni fog, ha elri a nulla rtket, akkor a csomag megsemmisl. Erre azrt van szksg, mert a Internet szerkezetbl addhat, hogy egy csomag nem rkezik meg a cmzetthez, hanem a routerek kztt kering egy zrt hurokban ksrtetknt. A TTL alkalmazsa nem ad erre lehetsget.
A domain neveknek ponttal elvlasztott szvegrszekbl llnak ssze. rtelmezsk jobbrl balra trtnik. Jobb fell az els szint domainnal kezddik s baloldalon a konkrt gp nevvel zrjuk. Kitntetett elemei a kvetkezk: 16
Sulinet Expressz -
2003
top-level (els szint, TLD) domain. A domain tpust, vagy a orszgot hatrozza meg. Second-level (msodszint, SLD) domain. A hlzat nevt adja meg. ltalban a cg nevre, vagy a szolgltats tmjra utal. host name (gp neve). Az egyedi gp neve az adott hlzatban.
Nzznk pldkat az egyszer domain nvre: www.sulinet.hu www - host name sulinet - second-level domain hu - top-level domain mail.ibm.net mail - host name ibm - second-level domain net - top-level domain
Aldomain-t hasznl plda: pc12.iskola-varos.sulinet.hu pc12 - host name iskola-varos aldomain sulinet - second-level domain hu - top-level domain
Teht a domain nv a gp nevvel kezddik, majd az aldomain lista kvetkezik (nincs megktve hny elembl ll), vgl a msodszint s els szint domain. A top-level domainokat a ICANN hozza ltre s adja ki a kezelst szervezeteknek. Ilyen els szint domainek lehetnek: .com - zleti domainek .edu - Oktatsi intzmnyek .gov - llami intzmnyek .int - Nemzetkzi szervezetek .net - Nem NIC ltal kezelt domainek .museum - Mzeumok
Szintn els szint domainnal rendelkezik minden orszg. Pl.: .hu Magyarorszg .pl Lengyelorszg .it Olaszorszg .de - Nmetorszg
17
Sulinet Expressz
2003
Teht minden els szint domaint valamilyen szervezet kezel. A .hu domaint az Internet Szolgltatk Tancsa (ISZT Kht.) kezeli. Minden .hu alatt lv msodszint domain bejegyzst nluk kell kezdemnyezni. A msodszint domain rszre kt egymstl fggetlen hlzaton tallhat name szerveren kell nyilvntartani (elsdleges s msodlagos DNS). Amennyiben a bejegyzsnek nincs akadlya, gy a .hu domain name szerverbe rgztsre kerl a msodszint domain neve s az azt nyilvntart kt DNS IP cme. A .hu al bejegyzett domainek, s a bejegyzs szablyai a http://www.nic.hu/ oldalon olvashatak. A msodszint domainok alatt lv host-okat, vagy tovbbi aldomainokat a msodszint domaint ignylk sajt name szerverekkel oldjk meg. A fentiekbl is mr sejteni lehet, hogy a domain informcikat domain name szerverek (DNS) troljk. Ezek a szerverek felelsek a domainnevek IP cmm trtn talaktsrl, illetve az IP cmekre bejegyzett domain nevek meghatrozsrl (rev DNS). Ezt a folyamatot nevezzk nvfeloldsnak. A nvfeloldsnl a kliens elszr az INTERNIC ltal zemeltetett kzponti DNSekhez fordul, melyek tjkoztatjk, hogy a top-level domain nyilvntartsa melyik DNS-en trtnik. A kliens, a mr ismert, top-level nyilvntart szerverhez fordul, amely megadja, hogy mi a domain (second-level) name szervere. Vgl ettl a szervertl megkapja a krt IP cmet. Ez a folyamat igen idignyes s nagyon gyakori. Ezrt a hlzatokon ltre szoktak hozni caching DNS szervereket, amelyek kzel vannak a kliensekhez, gy az elrsk gyorsabb. A kliensek ezektl krik a nvfeloldst, s ezek hajtjk vgre a fenti folyamatot. Kzben az adatokat eltroljk. Ha ismert domainnak krik a kliensek az IP cmt, akkor az mr a sajt adataikbl szolgljk ki. Termszetesen ezen adatok rvnyessgi idejk lejrsakor frisslnik kell. Napjainkban egyre tbb program vdekezik a DNS informcik hamistsa ellen. Ennek a legjobb megoldsa, hogy az IP cmhez tartoz domain nevet lekri, majd lekri a kapott domain nv IP cmt. A kiindul s az eredmny IP cmnek azonosnak kell lennie. Ez az eljrs a mi szempontunkbl azrt jelents, mert a loklis hlzaton nem gyakori a sajt DNS szerver, amelyben nyilvn tartjuk a privt IP cmeinkhez rendelt hoszt nevt. Ebben az esetben viszont ezen a hlzaton mkd szervernek az ellenrzse hibs lesz. Ilyent tapasztalhatunk pldul mysql szerver kvlrl trtn elrsnl. A hibt ki lehet kszblni a krdses gpek felvtelvel a hosts fjlba.
1.3 Vdelem
Amikor egy Internetre kzvetlenl csatlakoztatott gpet (szervert) teleptnk, lnyeges szempont, hogy mikppen vjuk meg az identitst. Minden alkalmazs, szolgltats kivlasztsnl, a belltsok tervezsnl ez az elsdleges szempont. A vdelem s a biztonsg a leglnyegesebb krds, amely titatja teljes munknkat. Az Internettel kapcsolatban lv gpeknl minden esetben rdemes feltenni a kvetkez krdseket: 18
Sulinet Expressz -
2003
Mennyire vdett a kls behatolsok ellen? Mennyire vdett a vrusok, frgek, trjai programok ellen? Hogyan vesszk szre, ha a rendszerfjlok megvltoznak, mdostjk ket? Hogyan vesszk szre, ha betrsi ksrlet, vagy vals betrs trtnt?
Termszetesen ezekre a krdsekre a vlasz az alkalmazott technolgia, programok s a tervezs rszleteiben tallhat. Fontos tovbb, hogy a rendszerben s adatainkban krt okoz esemny nem csak az Internet fell rkezik. Vdekeznnk kell a bellrl (intzmny terletrl) rkez tudatos s nem tudatos tmadsok ellen is. Azaz a rendszernket (gpnket) a sajt felhasznlinktl s sajt magunktl is vdeni kell.
1.3.1 Tzfalak
A tzfalakkal a vdend gp, rendszer biztonsgt nveljk a hlzati kommunikci szintjn. Termszetesen egy-egy gpre is elhelyezhetnk tzfalat, de a kzponti adminisztrci miatt elssorban a hlzati csompontokon szoks vdeni egy rendszert. Amennyiben egy intzmnyi hlzatot kvnunk vdeni, fontos az eltervezs. A rendszer felptsnek s az engedlyezett szolgltatsok tervezse mindig az adott intzmny informatikai stratgijbl indul ki, arra alapul. A kvetkezkben tnzzk a tzfal rendszereknek a felptst lpsrl-lpsre. Itt kell megjegyeznem, hogy a vdelmi rendszerek tervezsrl komoly szakirodalom ltezik. Az itt lertak nem terjednek ki mindenre, erre nem is lenne lehetsg. Ezrt az itt lertakon tl rdemes mg utna nzni a konkrt megvalstsnak.
Sulinet Expressz
2003
Tiltjk a kapcsolathoz nem rendelhet csomagokat. Kis mrtkben az adatmez tartalmt is ellenrzik. Alkalmazs szint tjr (proxy) tzfal: Proxy-k sszessge. A proxy-k olyan specilis programok, amelyek adott alkalmazs szint protokollon kzvettenek a kliens s a szerver kztt. Nem tovbbtanak csomagot, teht nem kpeznek kzvetlen kapcsolatot a kt kommunikl fl kztt. Ennek a felptsnek ksznheten aktvan kpesek szrni s ellenrizni az alkalmazsi rteg szintjn, hiszen a datagramokat sszeillesztve egybe vizsgljk az adatokat. Modulris alkalmazs szint tzfal: Napjainkban egyre elterjedtebb, hogy az alkalmazsi rtegen tbb egymsba gyazott protokollt hasznlunk. Ilyen lehet az SSL-be gyazott HTTP is, azaz a HTTPS. Ebben az esetben az SSL kapcsolatot vizsgl proxy az alprotokollra is meghv egy msik proxy-t. Teht a modulrisan felptett proxy-k egymsba gyazsval a szlltott adatok legmlyebb szintjt is kpesek vizsglni.
Sulinet Expressz -
2003
Levelek kldse az iskola e-mail szervern keresztl. Iskola cmre rkez levelek fogadsa az Internet fell. Iskola honlap szolgltatsa az Internet fel. Fjlszerver az iskolai bels hlzatnak.
Termszetesen ezeket a feladatokat technikailag meg lehet oldani 1 kiszolglval is (1997-es Sulinet modell), viszont ez biztonsgtechnikailag nem j megolds. Radsul az 1 szerveres megolds zemeltets szempontjbl sem kvnatos. Mindenkppen kln szerverre rdemes tenni a kvetkez szolgltats csoportokat: Tzfal. Minden r teleptett szolgltats tovbbi lehetsget biztost a betrsre. Ezrt a tzfalak csak a legszksgesebb csomagokat tartalmazzk. Pldul a tzfalra teleptett web-szerver esetn a web-szerver minden biztonsgi hibja nveli a tzfal srthetsgt. A msik indok, hogy a tzfalak teleptsre kln Linux disztribcik, biztonsgosabb egyedi megoldsok is lteznek. (pl. UHU FIREWALL, ASTARO, IPCOP) Ezeket a disztribcikat knnyebb telepteni s belltani. Fjlszerver. A trolt adatok fokozott vdettsget kvnnak. A fjlszerver szolgltats csak a bels hlzat fel kell eszkzlni (kls elrs esetn VNP hasznlatnl is ez a helyzet). Mg lnyeges indok lehet, hogy a fjlszerver s csoport munka szolgltats jellemzen a leginkbb hardver ignyes s opercis rendszer vlasztsnak szempontjbl eltrhet az Internet kiszolglktl, tzfalaktl. Internet kiszolgls. Ebbe a csoportba az iskola e-mail s web-szervere tartozik. Ezeket a szolgltatsokat szintn kln gpre szoks tenni. Biztonsgi szempontbl clszer lehet tovbb bontani s az e-mail szervert levlasztani minden ms Internet fel irnyul szolgltatsrl, hiszen az felhasznlk levelei szintn fokozottan vdett adatnak szmtanak.
Ez teht minimum 3 klnbz szervert (gpet) ignyel. Ez azrt is lnyeges mert a gpek helye is mshol tallhat a rendszeren. Teht nzzk az gy kialakult rendszert: A Tzfal hrom hlzati krtyval rendelkezik, gy hrom hlzatra kapcsoldik. Ezek a hlzatok a kvetkezk: Internet. Minden, ami a vdett hlzaton kvl helyezkedik el. Kezdve a Sulinet ltal biztostott, publikus IP cmekkel rendelkez iskolai szegmenstl a router-en keresztl az Internetig. Intranet. Az iskola bels hlzata. Az iskola sszes klienst tartalmazza. Itt tallhat a fjlszerver is. DMZ. Mindkt hlzattl vdett zna. Ide kerlnek a vdend szerverek, pldul a web-szerver s az e-mail szerver, esetleg FTP szerver. A vdettsg szempontjbl itt is lehetne a fjlszerver, de ezt nem clszer amennyiben csoportmunka kiszolglrl van sz, vagy VPN-t hasznlunk.
21
Sulinet Expressz
2003
A tzfal teht vdi az Intranet hlzatunkat az Internet fell rkez tmadsok ellen s a DMZ hlzatot mindkt helyrl. Az Intranet hlzaton elhelyezett fjlszervert rdemes elltni a
fjlszerveren fut tzfal vdelemmel, hiszen a bels hlzatrl is rheti tmads. A DMZ hlzaton nincsenek kliensek, ennek ellenre az Internet fel szolgltat (itt elhelyezked) szervereket is el szoktuk ltni csomagszr vdelemmel. Az gy kialaktott 3 zna esetben mr meghatrozhat a tzfal mkdse, azaz felvzolhat, hogy a znk kztt milyen alkalmazs szint forgalmat engedjen.
Ezt egy szolgltatsi mtrix tblzatba vzoljuk. A fenti szolgltatsi mtrixbl kiolvashatak, hogy: Az Intranet (bels) hlzatrl az Internet fel kell http, https, ftp, irc, ssh elrs. Teht a bels hlzaton lv felhasznlk szeretnnek weboldalakat nzni (http, https), fjlokat letlteni (ftp), chetelni (irc), s bejelentkezni ms szerverekre (ssh). Az Intranet (bels) hlzatrl a DMZ zna fel kell http, https, pop3, pop3s, ssh. Teht a bels hlzaton lv felhasznlk szeretnk letlteni a leveleiket az intzmny mail szerverrl (pop3, pop3s), szeretnk ltni az intzmny weboldalt (http, https), szeretnnk adminisztrlni az dmz szervereket (ssh). A tzfal az Intranet (bels) hlzat fel szolgltat dns-t s ntp-t, lehetsg van az elrsre adminisztrci vgett (ssh). Tovbb fogadja a bels hlzatrl kldtt leveleket, amelyeket ellenrzs utn clba juttat (smtp). Ezek alapjn a tzfal dns s ntp chache-knt s smtp proxy-knt mkdik. 22
Sulinet Expressz -
2003
Az Internetrl Az Intranet fel NEM ENGEDLYEZNK FORGALMAT. Csak a vlasz csomagokat tovbbtjuk DNAT alapjn. Az Internetrl a DMZ zna fel engedlyezzk a http, https csomagokat, hogy az intzmny weboldalt elrjk kvlrl, s engedlyezzk a mail szerverrl a levelek letltst, de csak titkostott pop3 kapcsolattal. Az Internetrl a tzfalra rkezhetnek levelek, amelyeket tovbbt a DMZ znban lv mail szervernek (smtp), illetve engedlyezzk DNS informcik lekrst (csak akkor lnyeges, ha publikus DNS szervernk zemel). A DMZ znban lv szerverekrl kifel trtn e-mail kldst a tzfal fogadja s kldi tovbb. Tovbb a log llomnyokat is fogadja. A tzfal az Intranet fel tovbbtja a DMZ znban keletkezett log llomnyokat. A tzfal az Internet fel tovbbthat leveleket (smtp) s krhet DNS informcikat.
Nagyjbl errl szl a szolgltats mtrix. Ez alapjn a vdelem megtervezse knnyebb vlik. Az Intranet (bels) hlzatot is lehet tovbbi znkra bontani. Ennek jelentsge abban rejlik, hogy az intzmny, olyan csoportokra bomlik, amelynek ms-ms szolgltatsokra van ignye (engedlye). Ilyen znk lehetnek: Hlzat-, szerveradminisztrtorok gpei Tanri, gazdasgi gpek Tanuli gpek
1.4.1 Partcik
A partcik meghatrozsa az egyik leglnyegesebb eleme a szerver kialaktsnak. Kt szempontbl rdemes partcikra bontani a rendszernket: Vannak olyan terletek, melyeken tlnk fggetlen, vltoz mret adatokat trolunk. Ilyenek lehetnek a log-llomnyok (/var/log), a felhasznl knyvtrak (/home), az ideiglenes llomnyok (/tmp, /var/tmp). Ezek esetlegesen megtelhetnek, de ha kln partcin vannak, akkor nem befolysoljk kritikusan a rendszer mkdst. 23
Sulinet Expressz -
2003
Klnbz knyvtrakban ms-ms stlus adatokat trolunk. A partcikat ennek megfelel jogosultsgokkal kezelhetjk. Pldul megtilthatjuk rla a program futtatst (noexec), vagy rsvdett tehetjk (ro). Ezen belltsokkal tovbb fokozhatjuk rendszernk biztonsgt
Nzzk meg, egy linux rendszer knyvtrszerkezete, milyen lnyeges rszekbl ll. /boot knyvtr. Ebben troljuk a kernelt. A ksbbiekben trgyalt boot loader innen indtja a rendszernket. Mindenkppen elsdleges partciknt vegyk fel, lehetleg a meghajtnk elejre. Nem tartalmaz vltoz adatokat, ezrt rsvdett tehet (ro). Nem fogunk rla programokat sem futtatni (noexec). / knyvtr, azaz a gykrknyvtr. A kln nem tett knyvtrakat fogjuk itt trolni, ebbe a knyvtrszerkezetbe fogjuk felfzni a tbbi partcit. /usr knyvtr. Szervernkn ez lesz a legnagyobb helyet ignyl knyvtr a telepts utn. Itt troljuk a futtathat llomnyokat s azok kiegsztseit, azaz a programokat. Telepts befejezse utn rsvdett tehetjk. /var knyvtr. Vltoz adatokat trol knyvtr. Jellemzen olyan adatokat trolunk benne, melyeket a szerveren fut programok hasznlnak. Ide trtnik a naplzs, itt tallhatak a level Inbox-ok. Ezeket a knyvtrakat a terheltsgk s a fontossguk fggvnyben szintn rdemes kln tenni. Pldul a proxy szerver cache knyvtra, ezt folyamatosan hasznlja a squid, ezrt nagy terhelsnek lehet kitve. rdemes akr kln meghajtra is elhelyezni. - /var/log napl llomnyok helye - /var/www web-oldalak helye - /var/spool/squid Squid proxy cache knyvtra - /var/lib/mysql mysql adatbzisok knyvtra - /var/tmp temperary knyvtr - /var/named DNS szerver adatai. - /var/spool/mail mail inbox-ok - /var/spool/mqueue postzsra vr levelek /etc knyvtr. A Linux rendszer s a programok sszes belltsa. /tmp knyvtr. Ideiglenes fjlok trolja. (temperary). Lnyeges lehet, hogy tiltsunk minden fle futtatst rajta. /home knyvtr. Felhasznlk knyvtrai. Itt szba jhet a bvts is. Amennyiben a teleptsnl kialaktott hely elfogyott, egy msik meghajt behelyezsvel, csak ezt a knyvtrat helyezzk t. Tovbb meg lehet oldani, hogy a /home knyvtrrl ne lehessen futtatni llomnyokat.
Linux rendszereken tbbfle partci tpust tudunk hasznlni. Sokig az ext2 volt a linuxos fjlrendszer, s a mai napig sokan hasznljk ezt a bevlt fjlrendszert. Manapsg azonban clszer egy n. naplz fjlrendszert hasznlni, gy egy esetleges ramsznet utn vagy hrtelen rendszerlellskor jval gyorsabban tudjuk helyrelltani a rendszert. A legelterjedtebb naplz fjlrendszerek az ext3 (naplval kiegsztett ext2) s a ReiserFS. A naplz fjlrendszerek hasznlata azrt is ajnlott, mert a legtbb alkalmazsi terlethez lnyegesen jobb teljestmnyt nytanak, mint a hagyomnyos ext2 fjlrendszer. A virtulis memria (swap) rszre is kln partcit kell ltrehoznunk. Ezt clszer a merevlemez elejre elhelyezni. Mrett a memria mretnek ktszeresre (csak a memria hromszorosig, maximum 2 GB) rdemes felvenni. A virtulis partci tpusa swap legyen. 24
Sulinet Expressz
2003
Ez termszetesen nem azt jelenti, hogy csak a fent emltett fjlrendszer tpusok lteznek. A Linux rengeteg egyedileg fejlesztett tpussal dolgozik. rdemes utnanzni, melyek lehetnek szmunkra a megfelelek. A kvetkez tblzatban egy lehetsges megolds tallhat: Csatolsi pont / /boot /usr /tmp /var /var/spool/squid /home Mret 200 MB 20 MB 500 MB 100 MB 200 MB - 1 GB 500 MB - 2 GB 500 MB - 2 GB 256 MB Tpus Ext3 Ext3 Ext3 Ext3 Ext3 Ext3 Ext3 swap Opcik Default, (ro) Default, ro, nosuid, noexec, nodev Default, ro, nodev Default, nosuid, noexec, nodev Default, nosuid, noexec, nodev Default, nosuid, noexec, nodev default, nosuid, noexec, nodev, usrquota -
Opcik: - noauto. Csak kifejezett parancs hatsra csatoldik. - nodev. Karakteres, vagy blokkos eszkzfjlokat nem tartalmazhat. - noexec. A rajta lv futtathat binris fjlok futtatst nem engedi. - nosuid. Tiltja a suid s a sgid bitek hasznlatt. - ro. Csak olvashat a fjlrendszer. A partcik csatolsi belltsainl taln az rsvdettsget kell a legkrltekintbben kezelni. Ha a /usr knyvtrat rsvdett tesszk, akkor rosszakarink nem tudnak trjait becsempszni, de mi sem tudunk csomagokat frissteni. Ezrt ezt az opcit csak tapasztaltabbaknak ajnlom.
1.4.2 Programok
A programok kivlasztsnl kt elsdleges szempont van. Minek nem szabad egy szerveren rajta lenni s milyen programok kellenek a kvnt feladat megoldshoz. A tiltott programokat biztonsgtechnikai szablyok befolysolhatjk, de jelents a nem hasznlom, ne is legyen fent elv is. Sokan kedvelik a kernel s a programok egyedi fordtst. Ehhez C fordt szksges. Egy C fordtnak viszont semmi keresni valja sincs egy szerveren. A fordtst ezrt mindig egy msik gpen vgezzk. 2002 augusztusban hdtott egy freg (slapper, cinik, unlock), amely egy OpenSSL hibt hasznlt ki Apache-on keresztl. A forrskdjt a /tmp knyvtrba jutatta, lefordtotta s futatta. Amennyiben a /tmp knyvtr noexec csatolsi opcival rendelkezik, vagy nincs GCC fordt a szerveren, a frek nem tud aktivizldni. A felhelyezett csomagoknl ltalban az ignyelt szolgltatst vgz programokat szoktuk jegyezni. Termszetesen ezeknek a programoknak ms csomagokra is szksgk lehet (pl.: A Web-szerver mkdshez szksgesek a hlzat kezel csomagok). Ezt a kapcsolatot fggsgnek nevezzk. A teleptk nagy rsze a 25
Sulinet Expressz
2003
fggsgeket kultrltan kezeli, ezrt neknk elg megadni a feladatainkhoz szksges ismertebb csomagokat. Termszetesen, egy szervernl, a teljes felkerlt csomaglistval rdemes valamilyen szinten tisztban lenni, de ezt a tapasztalat hozza magval. Mi az, ami ne legyen a szerveren: GCC, CPP azaz semmi fle C fordt. FTP, Telnet, Finger, Talk kliensek s szerverek, azaz rgebbi, nem biztonsgos szabvnyok megvalsulsai. Rsh, rsync, vagy brmilyen tvoli eljrshvs. Semmilyen grafikai, mdia program, belertve az X-et is. NFS rendszert csak klnleges esetekben teleptsnk. s ltalban semmi, ami a teleptst kvet 1 hten bell nincs elindtva.
Mi az, ami legyen egy szerveren? Termszetesen ezt csak a feladatok tkrben lehet meghatrozni. Egyes terleteken bell elkpzelhet, hogy ms-ms megoldst, programot hasznlunk. A kvetkez lista csak plda rtk. Mindenkppen clszer felrakni: - sudo Root jogokat kezel program. Segtsgvel meghatrozhatjuk, hogy egy-egy felhasznl milyen programokat, parancsokat futtathat root jogon. Ezzel minimalizlhat a root felhasznlval val munka, amely a biztonsgot nveli. - xinetd Kapcsolatkezel szerver. A szolgltatsokat kezel programokat ktflekppen indthatjuk. Lehetsgnk van r, hogy folyamatosan fusson (a memriban legyen), vagy csak az ignybevtele pillanatban legyen elindtva. Az xinetd figyeli a portokat. Ha nla regisztrlt portra rkezik krs, akkor meghvja a megfelel kezelprogramot. - mc Fjlmenedzser. Hasonl a DOS-on fut NC, vagy VC programokhoz. Biztonsgi elemz programok - mrtg SNMP kimenetbl webstatisztikt kszt - webalizer Web-szerver logbl webstatisztikt kszt - iptraf Hlzati forgalom figyel - logWatch Lefutsakor tnzi a log llomnyokat, az rdekesebb dolgokrl e-mail-ben tjkoztat. - sysstat Rendszermonitor. Statisztikkat kszt (iostat, mpstat, sar). Ezeket rgzteni is tudja. - tripwire Fjlintegrits ellenrz. Amikor ksz vagyunk a rendszerrel, ksztnk egy adatbzist a nem vltoz tartalm knyvtrakrl. Amennyiben az ellenrzsekor hibt rzkel a program, akkor riaszt. 26
Sulinet Expressz -
2003
Snort Sok disztribci tartalmazza. Ez egy IDS, azaz betrs detektl program.
Segd programok: - traceroute Megvizsglhatjuk vele, hogy a clgpig halad csomag, milyen router-eken megy keresztl. Jl hasznlhat hlzati hibk azonostsra. - mtr Mint elz, azzal a kiegsztssel, hogy ez a router-ekkel osztott hlzatokon kln-kln sebessget mr. - lynx Karakteres bngsz program. Nagyon jl jn, ha hirtelen szeretnnk informcihoz jutni. - wget Segtsgvel http oldalakrl, oldalakat tudunk letlteni a gpnkre. - bind-utils Name szerver tesztelsre szolgl programok (pl: nslookup) SSL security kezel csomagok: - openssh SSL kulcsgenerl, kulcsolvas programok s lib-ek. - openssh-clients Titkostott terminl s fjl msol kliensek (ssh, scp, sftp). - openssh-server SSH szerver. Eddig olyan csomagokat nztnk, amelyeket minden szerverre rdemes felrakni. Most nzzk meg, milyen csomagokat rakunk fel a szerverek szolgltatsa szerint: Webszerver esetn rakjuk fel: - php PHP script nyelv rtelmezje. - php-imap PHP kiegsztse imap levelezs kezelsre. - php-mysql PHP kiegsztse mysql adatbzis kezelsre. mysql-server Mysql adatbzis kezel szerver. Gyors s egyszer. PHP-vel jl hasznlhat web-lapok elksztsre. mysql Parancssoros mysql kliens. Adatok, adatbzisok kezelsre alkalmas. mysqlclient9 Mysql szervert kezel lib-ek. apache
27
Sulinet Expressz
2003
Modulos szerkezet web-szerver. Moduljai: mod-auth-any mod-auth-mysql mod-bandwidth mod-perl mod-ssl mod-throttle
Samba (SMB) szerver esetn: - samba SMB protokollal mkd fjl s nyomtat szerver. Kompatibilis Windows hlzatokkal. - samba-client Kliens program Samba szerverhez s Windows hlzatokhoz. - swap A Samba egyszeren kezelhet webes bellt fellete. Nameszerver, DNS cache esetn: - bind Szabvny DNS szerver. - caching-nameserver DNS cache kiegszts Nyomtat szerver esetn: - LPRng Nyomtatsi sorok kezelsre alkalmas. Egyb szerver programok: - NUT Sznetmentes tp kezelsre, menedzselsre alkalmas program. - dhcp DHCP Szerver - imap Alternatv levlkezel szerver IMAP - squid Http, ftp proxy szerver
1.5 Gyakorlat
1. Tervezd meg a kvetkezkben teleptsre kerl szervered. A tervezsnl 1 db szerver ll rendelkezsedre. Mindenkppen legyenek teleptve a kvetkez szolgltatsok: - Apache szerver - Sendmail szerver - Samba szerver - DHCP szerver - DNS szerver - Squid proxy - SSH szerver - Webmin 28
Sulinet Expressz
2003
A tervezsnl hatrozd meg a partci kiosztst s a teleptend programokat. Hatrozd meg milyen portok engedlyezse szksges a szolgltatsok mkdshez. rd ssze a hlzat belltshoz szksges adatokat szksges, melyben mindenkppen trj ki a kvetkezkre: Szerver IP cme Hlzat cme Hlzati maszk tjr IP cme DNS szerverek IP cmei Szerver neve Domain nv
Amennyiben tbb hlzati krtyval rendelkezik a gp, gy minden krtyra klnkln. Rajzzal illusztrld a szmtgp helyt a hlzatban. A vzlaton megtallhat legyen az alaprtelmezett tjr s az intzmny hlzata (esetleg znkra bontva).
29
Sulinet Expressz
2003
2. Telepts
2.1 RedHat Linux 9.0
2.1.1 Telepts megkezdse
A RedHat Linux teleptshez szksges (3db) CD-ket letlthetjk az ftp://ftp.redhat.com/pub/redhat/linux oldalrl ISO tpus llomnyokban. (a jelenlegi 9.0 verzi ISO fjljai: ftp://ftp.redhat.com/pub/redhat/linux/9/en/iso/i386 ) Ezekbl, CD r program segtsgvel, kszthetjk el a telept CD-ket. A hivatalos oldalon kvl, gynevezett, tkr kiszolglkrl is letlthetjk a rendszert. Ilyenek pldul: ftp://ftp.fsn.hu/pub/CDROM-Images/redhat/linux/9/en/iso/i386/ ftp://ftp.mirror.ac.uk/sites/ftp.redhat.com/pub/redhat/linux/9/en/iso/i386/ A cd-k boot-olhatak. Ha erre nem alkalmas a gpnk, akkor kszthetnk indtlemezt. Az els cd /image knyvtrban megtallhatjuk a klnbz krlmnyekhez elksztett indtlemez fjlokat. Ezeket lemezre rhatjuk a /dosutils knyvtrban tallhat rawrite.exe programmal, vagy meglv Linux rendszeren a dd paranccsal: > rawrite -f \images\boot.img -d a: $ dd if=/mnt/cdrom/images/boot.img of=/dev/fd0 30
Sulinet Expressz
2003
Van lehetsgnk kernel paramtert s teleptsi opcikat megadni a boot: sorba: linux noprobe. A hardver teszteket kihagyja. linux mediacheck. Ellenrzi s telepti a mdia drivereket. linux rescue. Karakteres javt rendszer indtsa. linux dd. Amennyiben hajlkony lemezen van drivernk. linux updates. Automata update. linux lowers. 640*480-as grafika. linux text. Karakteres telepts.
A funkcibillentyk segtsgvel informcikat kaphatunk a klnbz belltsi lehetsgekrl. ENTER megnyomsval tovbblphetnk. Teleptsi mdia ellenrzse Miutn beindul a teleptrendszer, a megjelen ablak megkrdez, szeretnnk-e ellenrizni a teleptlemezeket. Amennyiben elszr hasznljuk a CD-inket ezt 31
Sulinet Expressz
2003
rdemes megtenni, egyenknt betenni ket, majd OK. Most viszont nem ellenrznk, teht a SKIP-et vlasszuk. Ekkor elindul az Anaconda nvre keresztelt rendszertelept program. (Ez kln csomagban is megtallhat.) Elinduls utn lthatjuk az dvzl kpernyt. Innen NEXT gombbal megynk tovbb. Ha a telepts kzben informcikra van szksgnk, akkor hasznlhatjuk a virtulis terminlokat. A jelenleg lthat grafikus telept az CTRL+ALT+F7 gombbal rhet el. A tovbbi terminlok elrhetek, amelyekrl lnyeges informcikat merthetnk hiba esetn: CTRL+ALT+F1 Anaconda indtsa. CTRL+ALT+F2 Telepts kzben shell elrse. CTRL+ALT+F3 Modulok betltdse. CTRL+ALT+F4 Fut esemnyek zenetei. CTRL+ALT+F7 Grafikus telept rendszer.
32
Sulinet Expressz
2003
33
Sulinet Expressz
2003
34
Sulinet Expressz
2003
35
Sulinet Expressz
2003
36
Sulinet Expressz
2003
A Disk Druid kivlasztsa (Manually Patrition with Disk Druid) utn, a kvetkez kpernyn felvehetjk a partciinkat. Amennyiben lemeznkn volt mr partci, azt a Delete gombbal trlhetjk. A New gombbal vehetnk fel jakat.
A New gombot hasznlva feljn az j partci adatait kr ablak. Mount Point-nl meg tudjuk adni, hogy a knyvtrszerkezetben hol foglaljon helyet a ltrehozott partci, azaz hova illesszk be. Itt berhatjuk, vagy
37
Sulinet Expressz
2003
kivlaszthatjuk azon knyvtrat, amelyet kln partcira kvnunk elhelyezni. Swap tpus partci esetn nincs csatolsi pont. A Filesystem Type-nl tudjuk megadni a partci tpust. Itt ext2-es s ext3-as knyvtrszerkezetet vlaszthatunk, illetve swap partci tpust is. Allowable Driversnel kivlaszthatjuk, mely meghajtkra kvnjuk a partcit ltrehozni. Size-nel adjuk meg a partci mrett MegaByte-ban. Tovbb megadhatjuk a partci ltrehozsakor lezajl mret meghatrozs kritriumait. A Disk Druid ugyanis nmileg fellbrlja az ltalunk megadott belltsokat. Jellemzen a fix mret (Fixed size) belltst hasznljuk, mg az utols partcionl hasznlhatjuk a maradk hely kitltst (Fill to maximum allowable size). Lentebb kivlaszthatjuk, hogy a most felvett partci mindenkppen elsdleges legyen (Force to be a primary partition). Az elsdleges partci erltetsre a /bootnl lehet szksgnk. Megjellhetjk a hibs szektorok ellenrzst (Check for bad blocks) is, ami fontos lehet egy szerver teleptsnl. Most vegyk fel a kvetkez partcikat: Csatolsi pont /boot / /usr /tmp /var /var/spool/squid /home Tpus Ext3 Ext3 Swap Ext3 Etx3 Ext3 Ext3 Ext3 Mret 100 500 256 1000 200 1000 2000 -
Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Allowable
38
Sulinet Expressz
2003
Elhelyezs szempontjbl tehetjk a master boot record-ra (MBR), s a /boot partci els szektorra. Jelenleg az MBR lehetsgt (/dev/hda) van belltva. A msik lehetsg akkor jhet szmtsba, ha tbb opercis rendszer is van a szmtgpen s sajt boot menedzsert hasznlunk. Lejjebb vehetnk fel j sort (j opercis rendszert) az indtandk kz. Erre egy szervernl ritkn van szksg. Lehetsg van a boot loader jelszval val elltsra is. Jellemzen ezen az oldalon nem kell lltani. Mehetnk is tovbb.
39
Sulinet Expressz
2003
40
Sulinet Expressz
2003
2.1.10
Tzfal belltsa
Lehetsgnk van csomagszrs belltsra is. Ez minden szervernl ktelez. A csomagszrs belltst mr a teleptsnl megkezdhetjk, de mindenkppen szksgnk lesz ksbbi finomtsokra. Javasolt egyni bellts alkalmazsa. Biztonsgi szintnek (Select a security level for the system) medium-ot vlasszuk. Belltsra hasznljunk egynit (Customize) s pipljuk be az allow incoming felsorolsnl, hogy milyen szolgltatsokat engednk be a szervernkre. Klnsebb indok nlkl a telnet s az ftp szolgltatst ne jelljk be. Alatta (other ports) megadhatjuk a felsorolsban nem tallhat, de szksges portok listjt. (pl.: 110:tcp, 10000:tcp)
41
Sulinet Expressz
2003
2.1.11
Nyelvek kivlasztsa
Itt vlaszthatjuk ki, hogy mi legyen a programok alaprtelmezett nyelve (Select the default language for this system) s, hogy a programok mg milyen nyelvet teleptsenek (Select additional languages to install on the system). Itt az angolt (English USA) s a magyart (Hungarian) mindenkppen vlasszuk ki.
2.1.12
Idzna belltsok
A trkp, vagy a lista segtsgvel vlaszuk ki Budapestet. Ha szeretnnk UTC megoldst hasznlni, akkor jelljk meg s az UTC Offset flecsknl lltsuk be az idcsszst (+1).
42
Sulinet Expressz
2003
43
Sulinet Expressz
2003
2.1.13
rjuk be a root (teljes jog) felhasznl jelszavt. Ezt lehetleg ne felejtsk el, mert nagy szksgnk lesz r.
2.1.14
Itt llthatjuk be, hogyan trtnjen a felhasznlk azonostsa. Van lehetsg msik gpen trolt felhasznlk tvtelre is. Ennek kihasznlsval csak egy gpen kell a felhasznlkat nyilvntartani. Bellthatunk kapcsolatot NIS, LDAP, Kerberos szerverekkel, vagy hasznlhatjuk a SMB protokollon keresztli azonostst, akr Windows kiszolglrl is. Ezen lehetsgeket akkor engedlyezzk, ha tudjuk, hogy ilyen szerver mkdik, egybknt ne. Mindenkppen vlasszuk ki viszont a jelszavak titkostott trolst (Enable MD5 passwords) s a jelszavak klnvlasztst a felhasznl azonost fjltl (Enable shadow passwords). Ez nem csak a biztonsg miatt fontos, hanem a programok helyes mkdse vgett is.
44
Sulinet Expressz
2003
2.1.15
A telept rendszer szmtalan csoportot ajnl fel vlasztsi lehetsgknt. Ez gyakorlatilag egy elmleti sszellts. A szerzk megprbltk bizonyos krkbe sszevlogatni a csomagokat, hogy ezzel is egyszersthessk a teleptst. Szerver teleptsnl nem javasolom a csoportok hasznlatt. Mindenkppen legynk tisztban vele, milyen csomagokat teleptnk a szervernkre, ezrt az egyni vlogatst vlasszuk. Tovbb a csoportok hasznlatval elkpzelhet, hogy valami kimarad a teleptsbl. (ilyen pldul a Midnight Commander, amely egyik csoportban sincs benne). Vegyk le a csoportokrl a kivlasztst. A csoportok alatt vlaszuk ki a csomagok egyni kivlasztst (select individual packages), ms ne is legyen kijellve. Ez 479 MegaByte-os alaprendszer teleptst jelenti.
45
Sulinet Expressz
2003
2.1.16
Csomagok kivlasztsa
Amennyiben a 'select individual packages' be volt jellve, akkor kapunk egy rszletes csomagkivlaszt kpernyt. Itt tbb szz csomag (program) van felsorolva kategrikba szedve.
Amennyiben szervert teleptnk, a kvetkez csomagokra NEM lesz szksgnk, ezek melll vegyk le a pipt: Applications/Internet - finger - jwhois - rsh - rsync - talk - telnet Applications/System - Irda-utils - Isdn4k-ustils System Environment/daemons - nfs-utils - ORBIT 46
Sulinet Expressz
2003
Amennyiben szervert teleptnk, a kvetkez csomagokra lesz mg szksgnk, ezek mell tegynk pipt: Applications/Database - mysql - mysql-server Applications/Internet - fetchmail - lynx - mrtg - spamassassin - squirrelmail - webalizer Applications/System - iptraf - samba-client - samba-common - samba-swat - tripwire Development/Language - php - php-imap - php-mysql System Environment/daemons - bind - caching-nameserver - cups - dhcp - httpd - imap - LPRng - mod_auth_mysql - mod_perl - mod_ssl - samba - sendmail-cf - squid - xinetd System Environment/daemons - mc
47
Sulinet Expressz
2003
2.1.17
Fggsgek kezelse
Minden csomagnl, programnl konkrtan meghatrozott milyen ms csomagokra van szksgk a mkdshez, ezt hvjuk fggsgeknek. A telept rendszernk megvizsglja, hogy az ltalunk feltenni kvnt csomagoknak mg mire van szksgk a tkletes mkdshez. A kvetkez kpernyn (Unresolved Dependencies) fel is hvja a figyelmnket a szmra szksges, de ltalunk nem kijellt csomagokra. Hrom lehetsgnk van ezek kezelsre: - Felteleptjk a szksges csomagokat (Install packages to satisfy dependencies) - Kihagyjuk azokat az ltalunk kijellt csomagokat, aminek gondja van (Do not Install packages that have dependencies) - Feltesszk az ltalunk kivlasztott csomagokat, de a fggsgek miatt felsoroltakat nem. (Ignore packages dependencies) Amennyiben az utols lehetsget vlasszuk (Ignore packages dependencies), akkor komoly gondjaink lesznek szervernk mkdsvel. A legclszerbb vlaszts a fggsgek miatt kilistzott csomagok teleptse. Teht vlasszuk az els lehetsget (Install packages to satisfy dependencies) s folytassuk a telepts folyamatt.
2.1.18
Csomagok felmsolsa
Most jn az a rsz, amikor a teleptnk egy kicsit nllan dolgozik. A belltott partcikra elkszti a fjlrendszert, majd felmsolja s belltja a kivlasztott csomagokat. Itt lesz majd szksge a tbbi telept CD-re is.
48
Sulinet Expressz
2003
2.1.19
Indtlemez ksztse
Miutn a csomagok msolsa megtrtnt, a telept szeretne indtlemezt kszteni. Tegynk be egy lemezt a floppy meghajtba s engedjk meg neki, hogy indtlemezt ksztsen. A ksbbiekben rengeteg problma megoldsban segthet neknk a lemez. Ezzel a teleptsi folyamat a vgre rt. Amennyiben grafikt ignyl csomagot vlasztottunk ki, gy mg a monitor tpus s az X belltsa htra van. Majd a szmtgp jraindulsa utn a szervernk teleptsvel vgeztnk. Nagyon fontos, hogy addig mg ne hagyjuk a gpnket a hlzaton, amg a finomhangolst nem vgeztk el. A teljes biztonsgi szintet csak utna fogja elrni s nem lenne clszer, hogy pont ebben a rvid idben trjk fel.
2.1.20
Webmin teleptse
A Webmin rendszer, egy sajt web-kiszolgln fut, perl alapokat hasznl bellt rendszer. Szinte mindent be tudunk lltani vele, amely szoba jhet egy linux szervernl. Modulos szerkezet, akr bvthet is. A Webmin-ben van lehetsgnk magyar nyelv kivlasztsra, sajnos a fordts nem teljes. A webmin csomaghoz hozzjuthatunk a program hivatalos oldalrl. Letlthetjk msik gp segtsgvel is, de szervernkrl is megoldhat a lynx nev bngszvel. A kvetkez lpseket tegyk meg. 1. rjuk be a parancssorba, hogy: $ lynx www.webmin.com 2. Keressk meg az oldalon (legalul) a Download sor s mellette az RPM linkre nyomjunk ENTER-t. 3. Keressk meg az oldalon az aleron logo sort s a download linkre nyomjunk ENTER-t. 4. Az oldal tetejn lv : http://aleron.dl.sourceforge.net/sourceforge/webadmin/webmin1.121-1.noarch.rpm linkre nyomjunk ENTER-t. 5. A megjelen krdsre d gombbal vlaszoljunk. 6. A letlts utn a Save to Disk-et vlasszuk. Majd a fjlnvnl ENTER. 7. Q-val lpjnk ki a lynx-bl. Amennyiben a letlts sikerlt a csomag a rendelkezsnkre ll. Telepthetjk az rpm program segtsgvel. [root@server root]# rpm -i webmin-1.121-1.noarch.rpm Operating system is Redhat Linux 9.0 Webmin install complete. You can now login to http://192.168.1.1:10000/ as root with your root password. A webmin rgtn ellenrzi a gpen lv linux verzit, s azt belltja magnak. Kirja, hogy milyen cmen rjk el, s szl, hogy a linux root usert, jelszval ttette a sajt felhasznli kz. 49
Sulinet Expressz
2003
50
Sulinet Expressz
2003
A kvetkez kpernyn egy egyszer Vlassz varinst! felszltsnl tovbb rszletezhetjk a kvnsgainkat. Itt az els sorban lv Magyar kivlasztsval haladunk tovbb.
51
Sulinet Expressz
2003
2.2.3.1 Billentyzet vlasztsa A rengeteg billentyzet kioszts kzl mi most a qwertz/hu : Hungarian t vlasztjuk. Ez a teleptett rendszerben lesz majd rvnyes. Amennyiben a winchesteren mr ltezett Linux rendszer s swap partci, gy a kvetkez lps ennek inicializlsa lenne. Neknk viszont mg partcionlnunk is kellene. Ezrt keressk meg a Merevlemez Partcionlsa sort s azt vlasszuk. 2.2.3.2 Merevlemez partcionlsa A megjelen ablakban felszltst kapunk a merevlemez kivlasztsra. Vlasszuk is ki melyiket szeretnnk mdostani. Ez egy darab meghajt esetn nem lehet gond. A kivlaszts utn kapunk egy szp hossz A LILO hibi szveget. Ezt rdemes vgig olvasni. Szmunkra az a leglnyegesebb zenete, hogy a /boot partci mindenkppen a lemez elejre kerljn. Folytatva a cfdisk partcionl programba kerlnk. A fels rszen lthatjuk felsorolva a partcikat, ezek kztt a le-fel gombbal vlogathatunk. Alatta a parancsok lthatak, itt a jobbra-balra nyllal naviglhatunk. Vlasszuk ki a
meglv partcikat s egyesvel trljk (Delete) ket. A New paranccsal j partcit vehetnk fel. Ilyenkor megkrdezi, elsdleges (Primary) , vagy logikai (Logigal) partcirl van sz. A /boot a / s a swap esetben az elsdlegest vlasszuk. Mindjrt a mretnl tartunk (Size (in MB) : ). rjuk be a kvnt mretet, majd ENTER. Kivlaszthatjuk, hogy elre (Begining), vagy htra (End) kerljn. s mr ksszen is vagyunk. 52
Sulinet Expressz
2003
Egy lefele nyllal menjnk az res helyre (Free Space) s mr vehetjk is fel a kvetkez partcit. Arra figyeljnk, hogy 3 elsdleges partci utn mr csak logikai partcikra van lehetsg. Ha szemnk eltt vannak az sszes felvett partci, vlasszuk ki melyik lesz a /boot knyvtrat tartalmaz s tegyk boot-olhatv a Bootable paranccsal. Mg htra van a partcik tpusnak megadsa is. Ezt a Type paranccsal tehetjk meg. A Linux ext2 a 85, a Linux swap a 82 sorszm. A kvetkez partcikat kell felvennnk: Csatolsi pont /boot / /usr /tmp /var /var/spool/squid /home Tpus Ext3 Ext3 Swap Ext3 Etx3 Ext3 Ext3 Ext3 Mret 100 500 256 1000 200 1000 2000 -
Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Allowable
Mindenkppen rdemes megjegyezni, hnyas szm partcit hova szeretnnk mount-lni, ugyanis a telept a csatolsnl mr nem mutat mretet. Ha kszen vagyunk ezzel is akkor a Write paranccsal kirhatjuk a belltst s a Quit paranccsal kilphetnk. Visszalpve a fmenbe, most mr jhet a Swap partci inicializlsa. 2.2.3.3 Swap partci inicializlsa s aktivlsa Az els ablakban egy krds, szeretnnk-e a hibs blokkokat keresni. Most mi nem szeretnnk, de j merevlemezen mindenkppen rdemes. A telept megkeresi azt a partcit, melynek a tpust 82-re lltottuk, majd megkrdezi, hogy ezt szeretnnk-e swap partcinak inicializlni. Igen a vlasz. Kvetkeznek a Linux partcik. Ezeket inicializlni kell. Ezt a lpst minden partci esetn el kell vgeznnk. Teht erre a menre tbbszr kell rmennnk, amg el nem fogynak a partcik. 2.2.3.4 Linux partci inicializlsa Tbb partci esetn vlasztanunk kell, melyiket inicializljuk. Mindig azzal a partcival kezdjk, amely a gykr lesz (/). s jn is a szoksos krds, 53
Sulinet Expressz
2003
szeretnnk-e a hibs blokkokat keresni. Most mi nem szeretnnk, de j merevlemezen mindenkppen rdemes. A kvetkez ablakban megerstst kr. Igen-t vlaszolva el is kezdi a munkt. Amennyiben ez az els inicializlt partcink, rkrdez, hogy szeretnnk-e a / (gykrbe) mount-lni. Ha nem az els, akkor felajnl pr lehetsget, illetve kzzel is megadhatjuk a csatolsi pontot. Amennyiben olyan partcink van a meghajtn, amelyet nem vltoztattunk s mr tallhatak rajta adatok, akkor azt nem kell inicializlni csak csatolni az Egy mr inicializlt partci csatolsa menvel. A kvetkez feladat a rendszer kernel s modulok msolsa. Felszlt, hogy helyezd be a telept CD-t. Igen vlaszra mr dolgozik is. 2.2.3.5 Elrkeztnk a kezelprogramok belltshoz. Kezelprogramok (modulok) konfigurlsa Itt a legfontosabb dolgunk a hlzati krtya belltsa lesz. Vlaszuk a net sort. Ilyenkor prblja megkeresni, detektlni a krtyt. Ha nem tallja, akkor egy lista jelenik meg, ebbl vlaszthatjuk ki. Kivlasztva a megfelel modult, rkrdez, hogy teleptse-e a kernelbe. Termszetesen Igen. A kvetkez kpernyn a modulnak adhatunk paramtereket. A pci-os hlzati krtyknak ez ritkn kell. A kvetkez kpernyn a prblkozs utn jelzi hogy sikerlt-e (Installation succeeded) vagy nem (Installation failed) a modul betltse. Vigyzat, tbbszri sikeres prblkozs tbb hlzati krtyt eredmnyez, mg akkor is, ha csak egy van. Ha megvagyunk a hlkrtya belltsval akkor Exit-el kilphetnk a modulok belltsbl. 2.2.3.6 Hlzat konfigurlsa Az els lapon kri a szmtgp hoszt nevt. Ez nlunk server lesz. Tbb hlkrtya esetn kivlaszthatjuk, melyiket szeretnnk belltani. Rkrdez a DHCP belltsra, de ezt ne erltessk. s jnnek is krdsek: IP cm: 10.0.1.13 Netmaszk: 255.255.255.240 tjr: 10.0.1.14 Domain nv: isk1-proba.sulinet.hu DNS kiszolgl:
54
Sulinet Expressz
2003
2.2.3.7 Az alaprendszer teleptse Semmi mst nem kell tenni, mint vrni. 2.2.3.8 A rendszer bootolhatv ttele A megjelen ablakban kivlaszthatjuk, hogy hova szeretnnk tenni a lilo-t. Partcira tenni csak akkor kell, ha ms opercis rendszer is van a gpnkn s az rendelkezik sajt boot loaderrel. Mi most, mit ltalban a szerverek esetben, az MBR-be teleptjk. Teht vlasszuk a /dev/hda sort. A kvetkez a bootfloppy ksztse. Ez a lemez hasznlhat fel, ha a lilo-val valami baj trtnik. rdemes kszteni, de ki is hagyhat. Legvgl vlasszuk a rendszer jraindtst. A telept CD-t vegyk ki, hogy a merevlemezrl indulhasson a felteleptett alaprendszer.
55
Sulinet Expressz
2003
2.2.4.3 Mg kt krds A kvetkez krds arra vonatkozik, hogy a teleptett PCMCIA eszkzmeghajtkat eltvoltsa-e. Ez ltalban PCMCIA eszkzk hinyban tkletes megolds. Teht vlaszolhatunk r igent. Szeretnnk-e ppp kapcsolatot belltani. Mivel neknk csak hlzati krtya kapcsolatunk van, ezrt a vlasz nem. 2.2.4.4 APT Configuration Itt llthatjuk be, hogy a csomagokat milyen forrsrl vegye a rendszer. Vlaszthatunk cdrom, http, ftp, knyvtr kztt. Amennyiben a hlzat mg nem rendelkezik Internet elrssel, akkor a cdrom-ot vlasszuk. Olyan Internet elrs esetn, amely megfelel sebessg, vlaszthatjuk az ftp, http lehetsget. Ennek elnye, hogy Internetes forrsrl a legjabb csomagokat kapjuk. FTP belltsa esetn az els krds, hogy non-US csomagokat teleptsen-e a rendszer. Ezeket a csomagokat az Amerikai Egyeslt llamok terletn kvl lehet hasznlni. Igennel kell vlaszolnunk. Majd nem-el vlaszoljunk a Hasznlni szeretnl nem szabad programokat is? krdsre. Vlasszuk ki az orszgot, ugye ez most Hungary lesz? A kvetkez oldalon fel lesznek sorolva a kivlasztott orszgban lv tkrszerverek. Vlaszunk egyet. A vlaszts utn a szerverrl letlti a csomaginformcikat. CDROM vlasztsa esetn elszr a meghajt forrst kell megadni, ez ltalban /dev/cdrom. Termszetesen kzben tegyk be az els lemezt. Ilyenkor a lemez tartalmt tnzve letrolja a rajta lv csomaginformcikat. Ksbb az gy elkszlt adatbzis alapjn vlogathatunk. Az els CD vgeztvel megkrdezi, hogy van-e msik CD. Tegyk be a kvetkez lemezt s vlaszoljunk igennel. Ezt egsz addig vgezzk, amg el nem fogynak a CD-k. s vgl szeretnnk-e msik forrst is megadni. Lehetsg van tbb forrs hasznlatra is. A kvetkez krds arra vonatkozik, hogy a frisstsek letltsre szeretnnk-e a security.debian.org hosztot hasznlni. Ha igennel vlaszolunk, akkor megprbl csatlakozni a szerverhez s letlteni az ott tallhat csomaginformcikat.
56
2003
Megint egy lpssel elrbb vagyunk. Most a bellt program tjkoztat mindet, hogy igen kevs dolgot teleptett fel a gpre s rdekldik, hogy indtsa-e el a tasksel-t. Ez egy csomagcsoport telept rendszer. Kipiplgathatunk szmunkra rdekes teleptsi tmkat. Neknk most nincs r szksgnk, egyesvel bajldnnk a csomagokkal. Teht a vlasz nem. 2.2.4.6 DSelect A Debian rendszerben mr elhresedett dselect program a csomagok teleptsre alkalmas. A bellt rendszernk most rdekldik, hogy elindtsa-e. Vlaszoljunk nemmel, hogy ksbb magunk indthassuk. 2.2.4.7 Vgjtk Mg csak az alapcsomagok vannak fent, de aki Internet forrst adott meg, annak mris van frisstsre szorul csomagja, ezen fell a pcmcia-cs csomagot is el kellene tntetni. Teht vlaszoljunk Y-el. A Debian-ra jellemzen a felteleptett csomagok egy rsznl rgtn megkezdhetjk a belltsokat. Azaz a csomag teleptse utn krdseket tesz fel neknk. Ezrt nem rdemes egyszerre nagy mennyisg csomagot telepteni, mert sokig tartanak a krdsek. Az eddig felteleptett csomagok kzl az Exim is felteszi a krdseit. Ez egy mail szerver, pontosabban MTA. Mivel a knyvben majd a Sendmail-t fogjuk trgyalni, az Exim csomag gyis lekerl. A krdsre vlasszuk az 5-st, azaz nem konfigurljuk. Ha minden jl megy ezzel vge is az elteleptsnek.
57
Sulinet Expressz
2003
2.2.5 DSELECT
Indtsuk el a dselect programot. Ez a program felels a csomagok teleptsrt, frisstsrt s trlsrt. Az albbi menk kztt vlaszthatunk:
Access. A csomagok elrsnek forrst lehet lltani. Update. A mr teleptett csomagok tekintetben ellenrzi a belltott forrson lv j verzikat s telepti azokat (update). Select. Itt vlaszthatjuk ki a teleptend, illetve trlend csomagokat. Install. A teleptsre kijellt csomagok teleptse. Config. Az jonnan teleptett csomagok belltst vgzi. A csomagok egy rsznek belltsa mr az Install mennl megtrtnik. Remove. A trlsre kijellt csomagok trlse. Quit. Kilps a dselectbl.
A Select menpontot vlasszuk. A bejelentkez kperny szkz billenty letsre tovbblp. Most nzzk, hogy naviglhatunk:
58
Sulinet Expressz
2003
Nyilak (le, fel) s a Page-Up, Page-Down gombokkal tudjuk a csomaglista grdteni. A / gomb utn szveget berva kereshetnk a listban. A + gombbal tudunk teleptsre kijellni. A - gombbal tudunk trlsre kijellni. A _ (alhzs) gombbal tudunk trlsre kijellni ez a konfigurcis fjlokat is trli. A Shift+Q-val tudunk visszatrni a dselect fmenbe. Az F1 billentyre tovbbi funkcikrl lthatunk segtsget. A lista elejn lthatjuk a mr teleptett csomagokat. Mr vannak kijellve alapcsomagok, amelyek mg nem lettek teleptve. Most ne jelljnk ki semmit, viszont pr csomagot levehetnk (alhzs billentyvel): g++ gcc gcc-3.0 gcc-3.0-base gdb cpp finger nfs-commen
Ha ezeket a csomagokat kijelltk trlsre, akkor a SHIFT+Q-val trjnk vissza a fmenbe. Itt egyms utn mennynk vgig a kvetkez menpontokon: - Install (lehet hogy egy-kt csomag alapvet belltsokra krdez r) - Configure - Remove Ezzel valban befejeztk az alapteleptst, viszont a szerver-szolgltatsok mg nincsenek fent. Az utbelltsok miatt ne teleptsnk egyszerre tl sok csomagot. rdemes csoportokra bontani. A megolds mindig azonos. A Select menpontban kivlasztjuk a csomagokat, majd Install s Configure men.
Sulinet Expressz -
2003
SHIFT+q-val a csomagkivlasztst nyugtzzuk s megynk a fmenbe. Install menpontot vlasszuk, itt lthatjuk, hogy 4 csomagot kell felhelyezni. ENTER-el vagy Y ENTER-el elfogadjuk, hogy teleptsen. A csomagok letltse (CD esetn msolsa) s a telepts folyamatban van. Telepts utn krds, trlje-e a csomagot, vlaszoljunk igent. Visszatrnk a fmenbe, itt a Config menpontot vlasztjuk. Ez pillanatok alatt megvan. Vge, a Midnight Commander teleptve lett.
Alap csomagok: Opt/admin/quota Opt/admin/sudo Opt/admin/sysstat Opt/misc/gpm Opt/net/iptraf Opt/net/traceroute Opt/utils/openssl Xtr/net/xinetd
Samba fjlszerver - Opt/net/samba - Opt/net/samba-common - Opt/net/swat DNS szerver, DHCP szerver, SQUID, MYSQL: Opt/net/bind9 Opt/net/dhcp3 Opt/net/dhcp3-client Opt/net/dhcp3-common Opt/net/dhcp3-server Opt/net/dhcp3-relay Opt/web/squid Opt/misc/mysql-client Opt/misc/mysql-common Opt/misc/mysql-server
60
Sulinet Expressz
2003
APACHE web szerver: Opt/web/apache Opt/web/apache-common Opt/web/apache-ssl Opt/web/php4 Opt/web/php4-gd Opt/web/php4-imap Opt/web/php4-mysql
WEBMIN: Opt/admin/webmin Opt/admin/webmin-burner Opt/admin/webmin-quota Opt/admin/webmin-samba Opt/admin/webmin-software Opt/admin/webmin-squid Opt/admin/webmin-status Opt/admin/webmin-apache Opt/admin/webmin-core Opt/admin/webmin-dhcpd Opt/admin/webmin-ipadmin Opt/admin/webmin-mysql Opt/admin/webmin-ppp Xtr/admin/webmin-fetchmail Xtr/admin/webmin-grub Xtr/admin/webmin-sendmail Xtr/admin/webmin-sshd Xtr/admin/webmin-xinetd
A csomagok teleptse kzben, nhnynl belltsokra vonatkoz krdseket is kapunk. Ezekre rtelemszeren lehet vlaszolni. A lnyegi belltsok gyis ezutn fognak kvetkezni. Amennyiben ezzel kszen vagyunk, mr majdnem kszen van a szerver a belltsokhoz. A sendmail teleptse utn rdemes elindtani a sendmailconfig programot. Ez kszti el az alapbellts fjljait.
61
Sulinet Expressz
2003
Boot from Harddisk A mr teleptett rendszer indtsa. Installation Norml telepts. Installation ACPI Disabled Rgebbi gpeknl mg tmogatott fejlett programozhat megszaktsvezrl (ACPI) tiltsa. Installation Safe Settings A rendszermag betltsnl (telepts kzben) kikapcsoldnak a nem szksges funkcik. (pl.: DMA, Energiagazdlkods). Norml telepts fagysnl rdemes hasznlni. Manual Installation 62
Sulinet Expressz
2003
A driver-eket nem felismers tjn hatrozza meg a telept, hanem egyenknt kzzel kell belltani ket. Akkor rdemes hasznlni, ha a telept egy eszkzt nem ismer fel (pl.: rgi ethernet krtya). Rescue System. A CD-rl egy karakteres rendszer indul el. Kivlan alkalmas a teleptett rendszer hibinak javtsra, ha nem kpes elindulni. Memory Test. Elindtja a Memtest-86 v3.0 programot, amely a memria ellenrzsre szolgl.
A kernelnek indulsi opcikat is megadhatunk a boot options sornak. Itt adhatjuk meg a teljes kpernys szveges md hasznlatt is. Paramterknt rjuk be textmode=1. Vlasszuk a norml teleptsi mdot Installation. A tovbbiakban, a kernel betltdse utn, a YaST teleptprogram fog elindulni.
Vlasszuk ki a Magyar nyelvet majd kattintsunk az elfogad gombra. Ilyenkor a telept feltrkpezi a gpet, majd megjelen ablakban vlasszuk az j telepts-t.
63
Sulinet Expressz
2003
Miutn a kzi partcionlst vlasztottuk, megjelennek a meghajtk s a jelenlegi partcik. lljunk r a megfelel partcira s trljk a TRLS gombbal.
64
Sulinet Expressz
2003
Miutn minden felesleges partcit eltntettnk, megkezdhetjk sajtjainkat. Elszr mindenkppen a /boot partcival kezdjk.
felvenni
A ltrehozs gombbal tudjuk elkezdeni a munkt. A megjelen ablakban vlasszuk ki, hogy elsdleges, vagy kiterjesztett partcit szeretnnk felvenni. Elsdleges partcibl 4 db lehet, amelybl egyet levesz a kiterjesztett partci lehetsge. A megjelen ablakban tudjuk belltani a partci tulajdonsgait. A formzs nlkl lehetsget akkor hasznljuk, ha egy meglv, tartalommal rendelkez partci csatolsi pontjt szeretnnk belltani. Itt ki kell vlasztani a partci meglv fjlrendszert. A SUSE LINUX alaprtelmezett esetben a ReiserFS fjlrendszert hasznlja. Amennyiben a linuxos hagyomnyos felhasznlkezelst (tulajdonos, csoport, a tbbiek) ki szeretnnk egszteni az n. hozzfrsi listkkal (Access Control Lists, ACL), ahol minden egyes felhasznl szmra kln-kln be lehet lltani a hozzfrsi jogosultsgokat, akkor mindenkppen a ReiserFS fjlrendszert hasznljuk. Ebben a tananyagban az egyszersg kedvert SUSE LINUX alatt is az ext3-at hasznljuk.
65
Sulinet Expressz
2003
A formzs lehetsget hasznljuk j teleptsnl. Itt lehetsgnk van kivlasztani, milyen tpusra legyen formzva a partcink. Norml partci esetn vlasszuk az ext3-at, swap partci esetn a SWAP-et. Bellthatjuk a fjlrendszer paramtereit is, erre ltalban nincs szksg, illetve titkosthatjuk is. A jobb oldalon adhatjuk meg a kezd cilinder s az utols cilinder szmt, azaz mettl meddig tartson a partci. Alapban ez mindig a rendelkezsre ll hely eleje s vge. A vge rszhez rhatjuk be a partci mrett is +100M formban, ekkor a kezd cilindert ne mdostsuk. A csatolsi pont belltsa jobb alul lehetsges. Felette a csatolsi paramtereket lehet lltani (fstab opcik). Erre pldul akkor lehet szksgnk, ha kvtt szeretnnk belltani egyes fjlrendszereken. Most vegyk fel a kvetkez partcikat: Csatolsi pont /boot / /usr /tmp /var /var/spool/squid /home Tpus Ext3 Ext3 Swap Ext3 Etx3 Ext3 Ext3 Ext3 Mret 100 500 256 1000 200 1000 2000 -
Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Fixed size Allowable
66
Sulinet Expressz
2003
2.3.4.2 Szoftver Elrkeztnk a teleptend programok meghatrozshoz. A Szoftver cmsorra kattintva mris vlaszthatunk hrom lehetsg kzl. Neknk a minimlis rendszer a megfelel. Rkattintva a rszletek vltoztatsra, a csomagokat egyenknt tudjuk kijellni. Neknk pont ez kell. A csomagok listzst bal fell vltsuk t csomagcsoportok szr mdba. Ezzel knnyebb dolgunk lesz a kategriknl. Jobb alul pipljuk ki a fggsgek automatikus ellenrzst.
Amennyiben szervert teleptnk, a kvetkez csomagokra NEM lesz szksgnk, ezek melll vegyk le a pipt: Development/Languages - cpp Productivity/Networking - finger - rsh - telnet - w3m 67
Sulinet Expressz
2003
Amennyiben szervert teleptnk, a kvetkez csomagokra lesz mg szksgnk, ezek mell tegynk pipt: Productivity/Database - mysql - mysql-bench - mysql-client - mysql-Max Productivity/File utilities - mc Productivity/Networking - apache2 - apache2-mod_php4 (itt fggsg problmnk lesz, vlasszuk a messasoft teleptst) - apache2-prefork - apache2-worker - bind9 (bind9-utils) - dhcp-server (dhcp-base, dhcpcd) - fetchmail - fetchmailconf - iptraf - lynx - mod_frontpage - mod_php - mod_php-core - mod_ssl - mrtg - mtr - phpmyadmin - samba - samba-client - samba-vscan - sendmail (itt fggsg problmnk lesz, vlasszuk a postfix eltvoltst) - squid - webalizer - wget - xinetd - popper - spamassassin - squirrelmail - amavis-sendmail Security - tmpwatch - tripwire System/Base - sudo System/Management - webmin 68
Sulinet Expressz
2003
A csomagok kivlasztsa utn menjnk tovbb az elfogad gombbal. A telept tjkoztat minket a tovbbi fggsgekrl, ezt is fogadjuk el.
Ekkor visszatrnk ismt a teleptsi belltsokhoz. Mst mr itt nem kell mdostanunk, lpjnk tovbb. Ekkor a telept felmsolja az els cd-t, vgez egy kis belltst s jraindtja a rendszert. Az jraindulst mr a merevlemezrl vgezni, ha bennmaradt a telept cd, akkor ne bntsuk, az els menpont alapjn dolgozzon.
69
2003
Amennyiben az Internet kapcsolat ellenrzse nem mutatott hibt, lehetsgnk van a felteleptett csomagok frisstsre, ehhez a kzi frisstst kell vlasztanunk. Az autmata frissts csak a javtfoltokat telepti. rdemes kihasznlni ezt a lehetsget, de ksbb is megoldhat a YaST-al. 2.3.5.5 Felhasznl azonostsnak helye Itt llthatjuk be, hogyan trtnjen a felhasznlk azonostsa. Van lehetsg msik gpen trolt felhasznlk tvtelre is. Ennek kihasznlsval csak egy gpen kell a felhasznlkat nyilvntartani. Bellthatunk kapcsolatot NIS, LDAP szerverekkel, ezen lehetsgeket akkor engedlyezzk, ha tudjuk, hogy ilyen szerver mkdik, egybknt ne. Ne mdostsunk a belltsokon, menjnk tovbb. 2.3.5.6 Felhasznlk felvtele Van lehetsgnk megkezdeni a felhasznlk felvtelt. Egy adminisztratv felhasznlt vegynk fel, a tbbit hagyjuk ksbbre. rdemes kijellni, hogy ez a felhasznl kapja a rendszerzeneteket. Ezzel vgeztnk is a teleptssel.
70
Sulinet Expressz
2003
2.4 Gyakorlat
Telepts fel a lers alapjn egy szervert az ltalad kivlasztott Linux disztribcival. A teleptsnl figyelj a csomagok kivlasztsra, ugyanis ezen a szerveren fogunk dolgozni a kvetkez fejezetekben. A folyamat az elz fejezetben kialaktott terv alapjn trtnjen.
Sulinet Expressz
2003
funkcibillentyvel (ALT+F1, ALT+F2 ALT+F6) tudunk kapcsolgatni kzttk. Grafikus konzolok az utols karakteres konzol utn tallhatak (CTRL+ALT+F7). Akr tbb konzolon is dolgozhatunk egyszerre, ez nha megknnyti a munknkat. A bejelentkez kperny nmi bemutatkozs utn kri a felhasznl nevt, majd ENTER utn a felhasznl jelszavt. Pldul: Red Hat Linux release 7.3 (Valhalla) Kernel 2.4.18-3 on an i686 Server login: root Password: Vagy: Debian GNU/Linux Server login: root Password: Lpjnk be a root felhasznlval s azzal a jelszval, melyet teleptskor megadtunk. Amennyiben a felhasznlnv s a jelsz megfelel volt, a rendszer kirja az utols belpsnk idejt s tjkoztat a leveleinkrl, majd megkapjuk a shell-t, azaz a parancssort. A virtulis konzolrl az exit, vagy a logout paranccsal jelentkezhetnk ki. A shell prompt-jnak a vge root felhasznl esetn #, mg norml felhasznlnl $ jel. Lehetleg mg sajt szervernkre se lpjnk be root-knt, hacsak nem olyasmit szeretnnk tenni, ami mssal nem megy. Nmi belltssal (sudo) megoldhat, hogy a rendszergazda mveletek egy rszt engedlyezzk norml felhasznlnak. Ezzel a biztonsgot nveljk s teljesen elkerlhetjk a root felhasznl alkalmazst. Tjkozdjunk egy kicsit a rendszernkn. Ehhez nagy segtsget tud nyjtani a Midnight Commander. Indtsuk el az mc paranccsal.
72
Sulinet Expressz
2003
A gykrben a kvetkez knyvtrakat talljuk: /bin /boot /dev Linux szabvny parancsait s a shell-eket trolja. Linux kernel (kernelek) tallhatak benne. Innen indul el a rendszer Eszkzknyvtr. Tartalmt a kernel indulskor lltja ssze. Minden eszkz ebben a knyvtrban tallhat meg eszkzfjl formjban. Ezrt pldul a lemezes meghajtra /dev/fd0, a merevlemezre /dev/hda, a nyomtatra /dev/lp0 nven hivatkozhatunk. Ebben a knyvtrban tallhatak a rendszer s a programok belltsai. Jellemz, hogy text fjlokban lltjuk be a paramtereket. Ennek elnye, hogy a mindehhez elg egy egyszer editor s msolhatak egyik gprl a msikra. Itt tallhatak a felhasznlk knyvtrai. Osztott rutinknyvtrak tallhatak benne. Ez a knyvtr al fzhetjk be a nem lland meghajtkat. Pl: /mnt/floppy, /mnt/cdrom Tartalmt a fut programok (processzek) informcii tltik ki. Root felhasznl knyvtra Parancsknyvtr, jellemzen rendszer kzeli parancsok fjljait tartalmazza. tmeneti fjlok helye A rendszer indtshoz s alapvet mkdshez nem szksges programok helye. Vltoz adatok knyvtra
/etc
A fenti listbl, a mi szempontunkbl leglnyegesebb knyvtr a /etc. Itt tallhatk a belltsok text fjlban. A fjlokat Midnight Commander F4 gombjval, vagy editl programmal (vi, vim, joe) tudjuk szerkeszteni. Mieltt elkezdnk ismerkedni vele, mentsk le a tartalmt. Lnyegesek lehetnek a Linux ltal hasznlt jogosultsgi attribtumok, hiszen olyan mentsi megoldst kell tallnunk, amely ezeket megrzi. Ismerkedjnk meg a tar csomagol programmal. Ez egy parancssoros csomagol s a jogosultsgokat megrzi. Aktulis knyvtr becsomagolsa: tar -cf /root/mentes.tar ./* Kicsomagols az aktulis knyvtrba: tar -xf /root/mentes.tar Akkor csomagoljuk ssze a /etc knyvtrat, hogy ha valami galibt csinlunk, akkor legyen egy kiindulsi pontunk. # cd /etc # tar -cf /root/etc.tar ./* Telepts utn, a telept rendszer hagy maga utn a telepts folyamatt mutat log llomnyokat a /root knyvtrban. rdemes ezt is elmentennk. Ha mr a mentegetsnl tartunk, akkor ne felejtsk el a partcis tblt elmenteni egy lemezre, ksbb mg jl jhet. Partcis tbla mentse: # mount /mnt/floppy 73
Sulinet Expressz
2003
# dd if=/dev/hda of=/mnt/floppy/server.part bs=512 count=1 Partcis tbla visszatltse: (ezt majd ksbb hasznljuk ) # mount /mnt/floppy # dd if=/mnt/floppy/server.part of=/dev/hda bs=1 count=64 skip=446 seek=446
Sulinet Expressz
2003
kati:x:501:500:Katalin:/home/kati:/bin/false /etc/shadow jelszavakat tartalmaz fjl /etc/group csoportok Felpts (kettsponttal elvlasztva): csoportnv:x:csoportID:csoport tagjai vesszvel elvlasztva Plda: Users:x:500:kati,evi,laci /etc/gshadow Felhasznlk felvtelt szablyoz belltsok Felhasznlkat adduser paranccsal tudunk felvenni (trls: userdel, jelsz: passwd). A felhasznlk adatai a /etc/adduser.conf, vagy a /etc/default/useradd alapjn lltdnak be. A home knyvtrukba bemsoldik a /etc/skel knyvtr tartalma. A USERS_GID-nl (vagy a GROUP-nl) llthatjuk be az alaprtelmezett csoportot. A DHOME (HOME) bellts tartalmazza a felhasznl knyvtrnak helyt. A DSHELL-nl (SHELL-nl) a felhasznl belpsekor elindul shell alaprtelmezst tudjuk megadni. Amennyiben /bin/false-t (esetleg /bin/nologin) adunk meg, gy a belps tiltva van. init belltsok. /etc/inid.d knyvtr tartalmazza a fut dmonok indt llomnyait. Az llomnyokat start, stop, restart, status paramterekkel lehet meghvni. Nzznk meg hogy trtnik ez a web-szerver esetben. Indts: /etc/init.d/httpd start Lellts: /etc/init.d/httpd stop jraindts: /etc/init.d/httpd restart llapot lekrdezse: /etc/init.d/httpd status A rendszer indtsakor is ezekkel a fjlokkal indulnak a szksges dmonok. Alaprtelmezett indulsi folyamat az init3. A /etc/rc3.d knyvtrban tallhatjuk meg azon scriptek linkjeit, melyek elindulnak bekapcsolskor. /etc/sysconfig knyvtr (REDHAT) Itt tallhatak a rendszer indulshoz szksges paramterek, krnyezeti vltozk belltsai. Kevs kivtel hjn, ritkn van szksg az itt tallhat llomnyok szerkesztsre. Telepts kzben megadott adatokbl nagyon sokat megtallunk itt. Nzznk egy-kt pldt: keyboard. Megadja a billentyzet tpust s nyelvt. network. A szmtgp host-nevt tallhatjuk meg benne. ipchains. 2.2-es sorozat kernel csomagszrjnek belltsa. iptables. 2.4-es sorozat kernel csomagszrjnek belltsa. network-scripts/ifcfg-eth0. Els hlzati krtya adatai. szerver kiszolglk bellt fjljainak helye: Sendmail : /etc/mail/*, /etc/sendmail.cf, (/etc/sendmail.cw) 75
Sulinet Expressz
2003
Apache : /etc/httpd/conf/* SNMP : /etc/snmp/snmpd.conf Squid : /etc/squid/* Ssh : /etc/ssh/* Xinetd : /etc/xinetd/* Samba : /etc/samba/*
--- 192.168.1.1 ping statistics --5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 1.1/1.1/1.4 ms
A parancs mkdst lelltani a CTRL-C-vel lehet. Az eredmnybl lthatjuk, hogy az elkldtt csomagok sorban rkeztek vissza (icmp_seq=1..). Az als sszestsbl megllapthatjuk, hogy 5 kikldtt csomagbl 5 visszarkezett, csomagveszts nem volt (0% packet loss). A vlaszid pedig 1,1 ms s 1,4 ms kztt volt, a vlaszid tlaga 1,1 ms (als sor). A parancs paramternek adhatjuk a sajt IP-cmnket is. Ha nem rkezik vlasz, akkor nlunk van belltsi gond. Amennyiben paramternek a legkzelebb lv gp IP cmt adjuk s nem vlaszol, tovbb a sajt IP cmnkre vlaszolt, akkor kbelszakads (esetleg a hlzati krtya csatlakozja) lehet. Ilyenkor a hlzat fizikai kzegt rdemes ellenrizni. rdemes kiprblni a f opcit (raszts) helyi hlzaton, mikzben a clgpen figyeljk a csomagmozgst. traceroute Ezzel a paranccsal azt tudjuk megnzni, hogy egy tlnk tvolabb lv gp s mi kzttnk hny routeren keresztl megy a csomag. Paramterknt adjuk meg a clgp IP cmt. 76
Sulinet Expressz
2003
server:~# traceroute 195.199.0.133 traceroute to 195.199.0.133 (195.199.0.133), 30 hops max, 38 byte packets 1 192.168.1.1 (192.168.1.1) 1.360 ms 1.033 ms 0.976 ms 2 lo1.uac0-gyor-nrp3.matav.net (145.236.238.123) 20.560 ms 22.243 ms 25.219 ms 3 pc1-82.core0-ip4.matav.net (145.236.245.130) 26.285 ms 25.728 ms 25.115 ms 4 bix.elender.hu (193.188.137.51) 29.884 ms 41.867 ms 46.293 ms 5 core2.sulinet.hu (212.108.254.10) 44.963 ms 41.887 ms 45.419 ms 6 195.199.0.58 (195.199.0.58) 33.492 ms 28.910 ms 31.977 ms 7 szfv.sulinet.hu (195.199.0.133) 31.620 ms 33.124 ms 32.549 ms
Szpen sorban lthatjuk a routerek felnk es oldalnak nevt, IP cmt, illetve a csomag mozgsnak idejt. Amennyiben egy ponton a program csillagozni kezd s egy id utn megll, lthatjuk, hogy ott szakadt meg a kapcsolat. Amennyiben az Internet kapcsolatunkkal baj van, rdemes megnzni ezt a parancsot, kiderlhet, hogy nlunk van a baj, vagy mshol. ifconfig Ezzel a paranccsal tudjuk belltani a hlzati krtynk IP adatait, illetve lekrdezni azokat. Nzznk meg egy lekrdezst, paramternek rjuk be a hlzati interfsz nevt:
server:~# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:40:F6:CC:D8:C8 inet addr:192.168.1.115 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:62084 errors:0 dropped:0 overruns:0 frame:7 TX packets:57723 errors:0 dropped:0 overruns:0 carrier:0 collisions:14 txqueuelen:100 RX bytes:42010449 (40.0 MiB) TX bytes:21782338 (20.7 MiB) Interrupt:12 Base address:0xe800
Mris egy halom informcival okosabbak lettnk. Ltjuk, hogy az eth0-s interfsznk 192.168.1.115 IP cmmel rendelkezik, leolvashatjuk a broadcast cmet s a hlzati maszkot. rdekes informci mg a kimen s bejv csomagok (RX, TX packets) szma s a hibk rtke. Ezzel a paranccsal tudunk a hlzati krtynknak IP adatokat adni, ennek a formtuma a kvetkez kpen nz ki: ifconfig eth0 192.168.1.115 network 255.255.255.0 broadcast 192.168.1.255 route Az rouet tbla lekrdezsre s belltsra szolgl. rdemes n paramterrel meghvni, ugyanis ebben az esetben nem ellenrzi a kvetkez roter-el a kapcsolatot.
server:~# route -n Kernel IP routing table Destination Gateway 192.168.1.0 0.0.0.0 0.0.0.0 192.168.1.1
77
Sulinet Expressz
2003
Az adatokbl megllapthat, hogy az eth0 krtya fel a 192.168.1.0/24 hlzat tallhat. Nem erre a hlzatra cmzett csomagokat a (0.0.0.0) az alaprtelmezett tjrnak (Gateway: 192.168.1.1) adja tovbb. arp Azonos fizikai hlzaton lv gpekkel a hlzati rteg (ARPA rtegek) az ethernet krtya fizikai cme (MAC Address) alapjn tartja a kapcsolatot. A MAC address s a IP cm kapcsolatt egy tblzatban trolja a rendszer, ezt hvjuk arp tblnak. Krtya vagy IP csere esetn addhatnak problmk. Az arp paranccsal tudjuk listzni s lltani az arp tblt.
server:~# arp Address 192.168.1.1 192.168.1.88 192.168.1.112 HWtype ether ether ether HWaddress 00:40:95:A1:0C:8C 00:60:97:95:19:E6 00:E0:29:46:2B:68 Flags Mask C C C Iface eth0 eth0 eth0
iptraf Hlzati csomagfigyel program. Tbb szempontbl lehet figyelni a hlzat forgalmt. Menszerkezetes, kezelse egyszer.
ps Fut programok listja. Az ax paramtert hasznlva az sszes fut processzrl tjkoztatst kapunk. A listban az els oszlopban van a processz sorszm (PID).
78
Sulinet Expressz
2003
A fels rszen tallhatak a belltsi csoporttok. Vlaszthatunk belle, milyen jelleg belltsokat szeretnnk eszkzlni. - Webmin. Webmin rendszerrel kapcsolatos belltsok - System. Rendszerrel kapcsolatos belltsok. Mint pldul az indulsi s lellsi folyamatok, meghajtk belltsa, felhasznlk s csoportok kezelse. - Server. Szerver szolgltatsok belltsa. Web, DHCP, DNS, stb. - Hardware. A gp hardver elemeivel kapcsolatos belltsok. RAID, cd-r, nyomtat, hlzat. Itt kaptak helyet a boot loader-ek is. - Cluster. Tbb gp sszekapcsolsa cluster-ben. - Other. Egyb, munknkat segt lehetsgek. Mieltt a munknkat elkezdjk, be kell lltanunk a webminnket, hogy nmileg fokozzuk a biztonsgt. Ezt a webmin rszben tehetjk meg. Lpjnk be a webmin users oldalra s vegynk fel egy j felhasznlt (Create a new Webmin user). rjuk be a felhasznl nevt (Username) s a jelszavt (Password). A felhasznl ne szerepeljen a norml linux felhasznlk kztt. A jelsz belltsnl a 'set to' opcit hasznljuk. SSL kulcsot egyelre ne lltsunk be. Nyelvhez (Language) bellthatjuk a Magyart.
Mg lnyeges bellts, az IP cm elrs, ezzel hatrozzuk meg, hogy a felhasznl honnan tud majd belpni. Az ' IP access control'-t lltsuk be gy, hogy csak a felsorolt IP cmekrl engedlyezzk a belpst (Only allow from listed addresses). s soroljuk fel az adminisztrtori gpek cmeit. A modules rsznl jelljk be azokat a feladatokat, melyeket adminisztrltatni szeretnnk ezzel a felhasznlval. Most akr mindet bejellhetjk, br rdemes kivlasztani, azon dolgokat, melyeket tnylegesen lltani fogunk. Lnyeges, hogy ennl a felhasznlnl a Webmin belltsai ki legyenek vlasztva. A legfontosabb, hogy a Webmin Users be legyen jellve. Amikor kszen vagyunk, az als save gombbal mentjk el a felhasznlt. A jobb fels sarokban lv Log Out gombbal lpjnk ki s jelentkezznk be az j felhasznlnkkal. Lthatjuk, hogy a fellet tlltdott magyar nyelvre. gy taln knnyebben tudunk dolgozni.
79
Sulinet Expressz
2003
Mg nhny dolgot t kellene lltanunk. Lpjnk be a 'Webmin belltsok'-ba. Itt mdosthatjuk a program ltalnos belltsait.
IP hozzfrs-vezrls : lltsuk t a 'Csak a listban szerepl cmekrl engedlyezett' zemmdra s rjuk be azon IP cmeket (192.168.1.0/255.255.255.0), melyekrl a felletet el szeretnnk rni. Ezzel is kizrva az illetktelenek hozzfrst.
Port s Cm: lltsuk t a webmin elrsi portjt (mondjuk 13550-ra). Ez azrt lehet lnyeges, mert ha valaki megvizsglja a szervernket s ltja, hogy a 10000-es port nyitva ll, akkor kvetkeztethet a webmin jelenltre. Amennyiben tbb hlzati krtynk is van a gpben, gy bellthatjuk, hogy csak a bels krtya fel szolgltasson a webmin, gy kls hlzatrl, Internetrl nem lehet majd elrni. Ha ezt a belltst elmentjk, akkor a kapcsolat megszakad. jra be kell lpnnk, de immr a mdostott port-al jelentkezznk be: http://192.168.1.1:13550/.
Mg egy lnyeges feladatunk van. Lpjnk be ismt a Webmin felhasznlk pontba s keressk meg a root felhasznlt. A root nevre kattintva belpnk a root felhasznl belltsainak mdostsba. Az IP cm hozzfrsi listnl engedlyezzk a 'Csak a megadott cmekrl'-t s a felsorolshoz rjuk be, a 192.168.1.1 (azaz a szervernk cmt). Majd ments. A bellts kvetkeztben a root felhasznl csak a szerverrl tudja elrni a Webmint. Innentl kezdve az adminisztrtor felhasznlval (melyet nemrg vettnk fel) tudunk csak kvlrl belpni.
3.5 Gyakorlat
Nzzk t a teleptett rendszernkn, az /etc knyvtrban tallhat fjlok tartalmt! Prbljuk meg feltrkpezni, melyik fjl milyen program, szolgltats belltsait tartalmazza! Jegyezzk le, a rendszernk s a knyvben lert helyek, fjlnevek eltrseit! Bngsszk a knyvtrszerkezetet (elssorban a /var), hogy melyik knyvtr milyen programhoz, szolgltatshoz kapcsoldhat! 80
Sulinet Expressz
2003
Sulinet Expressz
2003
informcit a felad egy kulccsal kdolja s a cmzett ennek a kulcsnak a prjval visszakdolja azt. A kdolsnl kulcs prokat hasznlunk, ezrt a fogad fl a titkos kulcsnak a prjt (nyilvnos kulcs) tkldi a kld flnek, hogy azt hasznlja kdolsakor. Ennek segtsgvel szimmetrikus kulcsot cserlnek. A tovbbiakban a szimmetrikus kulcsot hasznljk a folyamatos kdolshoz.
Allow authentication by password. Felhasznl azonostsa jelszval. Ez az ltalnos belpsi mdszer. Amennyiben mr gyakorlottak vagyunk, ezt letilthatjuk s kulcsok hasznlatval lpjnk be. Permit logins with empty passwords? Belps engedlyezse res jelszval. Ezt semmi kpen sem engedlyezzk. Allow RSA authentication? RSA kulcspros azonosts. rdemes engedlyezni s hasznlni.
Az 'Access Control' oldalon az engedlyezett s tiltott felhasznlkat lehet belltani. Ha nem minden felhasznlnk hasznlja munkja sorn az ssh-t, akkor rdemes belltani az engedlyezett felhasznlkat.
82
Sulinet Expressz
2003
Sulinet Expressz
2003
SSH szervert Windows rendszerrl knyelmesen a putty s a winscp2 programokkal rhetnk el, melyeket az Internetrl ingyenesen letlthetnk.
4.5 Gyakorlat
ltsuk be az SSH szervert, hogy csak egy felhasznl (lehetleg mi magunk) tudjon bejelentkezni. Prbljuk ki az ssh s az scp hasznlatt.
Sulinet Expressz
2003
fut programoknl meg tudjuk hatrozni a jogosultsgait. Pldul az apache szerver (web) ltalban apache felhasznl jogosultsgaival ri el a fjlrendszert. Adminisztrtori felhasznlk. Ez gyakorlatilag a root s bizonyos jogosultsgokkal felruhzott (sudo) adminisztrtori felhasznlk. A karbantartsrt s az zemeltetsrt felels szemlyek hasznljk. Norml felhasznlk. Ezek azok a szemlyek, akik a szerver szolgltatsait hasznljk. Mivel manapsg ritka, hogy terminl zemmdban belpnek a szerverre s ott futtatjk kliensprogramjaikat, ezrt van amikor az ilyen felhasznlkat levlasztjk a rendszerrl s kln troljk egy-egy szolgltat program rszre. Pldul a levelez szerver (exim) felhasznlit adatbzisban troljuk, gy a Linux rszre nem lteznek, csak az MTA ltja ket.
A felhasznlk s az adataik a /etc/passwd fjlban tallhatak. Ezek a kvetkezk lehetnek: Felhasznl sorszma (user id) Felhasznl belpsi neve (user name) Felhasznl teljes neve (real name) Felhasznl egyb adatai Felhasznl SHELL-je Felhasznl HOME knyvtra Felhasznl elsdleges csoportja Minden felhasznl rendelkezik egy elsdleges csoporttal, sok rendszeren ez a felhasznl felvtelekor automatikusan keletkez, felhasznl nevvel megegyez csoport. Ez alapjn minden felhasznlnak sajt elsdleges csoportja van s ebbe a csoportba csak tartozik. Ennek a jogosultsgok kiadsnl lehet jelentsge. Ms csoportokhoz is hozz lehet rendelni a felhasznlt. A hozzrendelssel keletkezett csoporttagsgot msodlagos csoportnak nevezzk. A csoportok adatait s a msodlagos csoport hozzrendelseket a /etc/group fjlban troljuk. A trolt adatok a kvetkezk: Csoport Sorszma (group id), csoport neve, hozzrendelt felhasznlk (user name) felsorolva A fentiek alapjn kialakul egy csoport-felhasznl szerkezet. Rgebben a jelsz a /etc/passwd llomnyban troldott, de ehhez minden olyan programnak hozz kell frnie, amely felhasznlkkal mkdik (pl. MTA programok). Ez srlkenysget okozott a rendszerben ezrt a jelszavakat vdettebb rnyk fjlba helyeztk el. Ez a fjl a /etc/shadow. Termszetesen itt is kdolva tallhatak a jelszavak. A felhasznlk s a csoportok kezelsre szolgl parancsok: useradd usermod userdel users who whoami Felhasznl ltrehozsa. Felhasznl mdostsa. Felhasznl trlse. Bejelentkezett felhasznlk listja. Bejelentkezett felhasznlk listja. Milyen felhasznl nvvel vagyok bent. 85
Sulinet Expressz -
2003
groupadd Csoport ltrehozsa. groupmod Csoport trlse. groupdel Csoport trlse. passwd Jelsz vltoztatsa.
A jogosultsgok kezelse a fjlrendszerben van meghatrozva. Azt adjuk meg, hogy egy knyvtrhoz, fjlhoz kinek van joga. Minden bejegyzsnek (knyvtr, fjl, egyb) van egy tulajdonosa s egy csoportja. Ez alapjn annak eldntsre, hogy a felhasznl mit tehet a bejegyzssel, elszr el kell dnteni, hogy milyen sttusza van. Amennyiben az adott felhasznl a bejegyzs tulajdonosa (owner), gy a tulajdonosnak belltott jogait veszi t. Amennyiben a tulajdonos csoportnak (group) a tagja, gy a csoportjogokat. Ha nem a tulajdonosa s nem tagja a tulajdonos csoportnak, akkor az egyb felhasznl (others) jogosultsgaival kezelheti a bejegyzst. Mindhrom sttuszhoz (owner, group, other) hrom fle jogosultsg kapcsolhat. Ezek az rsi (write), az olvassi (read) s a futtatsi (execute) jog. A futtatsi jog a knyvtrak esetn a megnyitsi, tartalomlistzsi jognak felel meg. set user ID set group ID Sticky bit read by owner write by owner Execute/search read by group write by group Execute/search read by others write by others Execute/search on 4000 tulajdonos jogaival futtathat on 2000 csoport jogaival futtathat 1000 'ragads' bit, tulajdonos rkldse 0400 tulajdonos olvashatja 0200 tulajdonos rhatja by 0100 tulajdonos futtathatja 0040 csoport olvashatja 0020 csoport rhatja by 0010 csoport futtathatja 0004 brki olvashatja 0002 brki rhatja by 0001 brki futtathatja
A fenti tblzatban lthat egy fjlrendszer bejegyzs attribtum listja. Az elzekben emltett jogosultsgokon kvl mg hrom rdekes attribtumot tallhatunk. Ezek trgyalshoz tudnunk kell, hogy alapesetben egy program mindig annak a felhasznlnak a jogosultsgaival fut, aki azt elindtotta. Termszetesen vannak olyan programok, ahol ez nem vezetne eredmnyre. Pldul a passwd (jelszvltoztats), hiszen a felhasznlnak, aki elindtja, nem lehet joga a jelszavakat trol fjlhoz, de ezt a programnak mdostani kell. set user ID on execution (SUID). Amennyiben ez a bit aktv, belltott, gy a program futsa kzben nem az t indt felhasznl, hanem a tulajdonos (owner) jogait rkli. set group ID on execution (SGID). Amennyiben ez a bit aktv, belltott, gy a program futsa kzben nem az t indt felhasznl, hanem a tulajdonos csoport (group) jogait rkli. Amennyiben knyvtrra helyezzk, gy a knyvtrba helyezett fjlok nem a ltrehoz felhasznl elsdleges csoportjval, hanem a knyvtr csoportjval jn ltre. 86
Sulinet Expressz -
2003
sticky bit. (Ragads bit) Fjloknl azt jelenti, hogy az elindtott program memriban marad, ezzel gyorsabb tve a kvetkez hasznlatt, hiszen nem kell jratlteni. A knyvtraknl mindenki szmra rhat/olvashat (szmtanak az alapjogosultsgok), de mindenkinek csak a sajt tulajdon fjlokhoz vannak jogai.
A tulajdonos s a jogosultsgok kezelsre hasznlhatjuk a kvetkez parancsokat: chown chgrp chmod Bejegyzs tulajdonosnak megvltoztatsa Bejegyzs csoportjnak megvltoztatsa Bejegyzs jogosultsgainak megvltoztatsa
Username: felhasznl belpsi neve, beceneve. User ID: felhasznl sorszma, automatikusan gngyldik. Nem lehet kt felhasznlnak ugyanaz a sorszma. Real name: felhasznl teljes neve. Informatv jelleg adat. Home directory: felhasznl sajt knyvtra pl: /home/felhasz Shell: felhasznl belpsekor ezt a programot kapja meg kezelfellet gyannt. Amennyiben parancsokat szeretne futtatni, gy rdemes a /bin/bash-t megadni. Ha nem szeretnnk, hogy a felhasznl belpjen a rendszerbe, akkor /bin/false (esetleg /bin/nologin). Password : felhasznl jelszavnak belltsa. No password required Nem lltunk be jelszt, nem szksges. No login allowed A felhasznl nem lphet be, nincs jelsz. Normal password Jelsz belltsa Pre-encrypted password Jelsz belltsa, felvitel kdolt llapotban.
A jelszavak megadsnl a rendszernek szksge van 'perl MD5 or Digest' modulra, ha ez nincs teleptve, akkor a normal password megolds nem mkdik. A jelszadst megoldhatjuk parancssorbl is.
87
Sulinet Expressz
2003
Password Options: Bellthatjuk a jelsz rvnyessgi krt. Meddig legyen rvnyes az account? Milyen idkznknt kell jelszvlts? Primary group: Elsdleges csoport belltsa New group: j csoport ltrehozsa, elsdleges csoportknt hasznlva. Existing group: Meglv csoportot hasznlunk elsdleges csoportknt. Secondary groups: Amennyiben felhasznlnkat ms csoportokhoz is hozz szeretnnk rendelni, gy azokat itt kell megadni. A SAMBA szerver csoportkezelsnl csak ezt veszi figyelembe.
Create home directory? : Ksztsen-e home knyvtrat. Copy files to home directory? : A home knyvtr vltoztatsnl a fjlok tmsoldjanak-e a rgi knyvtrbl. Create user in other modules?
Elmentve a kitlttt adatlapot, a felhasznlt felvettk. Brmelyik felhasznl adatait a fentihez hasonl adatlapon megvltoztathatjuk. Ehhez elg a felhasznl nevre kattintani. Vigyzzunk, lehetleg a rendszer mkdshez szksges felhasznlk adatait ne mdostsuk. A 'Create, modify and delete users from batch file' rsznl elre elksztett ktegelt fjlbl tudunk tmegvel felhasznlkat felvenni, mdostani, trlni. Az oldal aljn lv gombokkal megtekinthetjk a jelenleg belpett felhasznlkat s a felhasznli belpsek napljt.
88
Sulinet Expressz
2003
2003
5.5 Gyakorlat
Vegyk fel a kvetkez felhasznlkat: Kisse Kiss Elemr Nagyj Nagy Jnos Balan Balla Nrcisz Vegyk fel a kvetkez csoportokat: tanar iskola Msodlagos csoport hozzrendelssel alaktsuk ki a kvetkez szerkezetet: Tanar csoport: kisse, nagyj Iskola csoport: kisse, nagyj, balan
90
Sulinet Expressz
2003
Hozzunk ltre egy kzs knyvtrat a tanar s egyet az iskola csoport rszre a /home knyvtrban s lltsuk be a kvetkez jogosultsgokat: /home/tanar tulajdonos: kisse (rwx) csoport: tanar (rwx) egyb felhasznl: nincs jogosultsg /home/iskola tulajdonos: kisse (rwx) csoport: iskola (rwx) egyb felhasznl: nincs jogosultsg sticky bit belltva.
91
Sulinet Expressz
2003
Az IBM ltal kifejlesztett NETBIOS egy hlzati funkcik kezelsre alkalmas BIOS kiterjesztsnek indult a '80-as vek elejn. Ksbb a licensz a Microsofthoz kerlt, aki felhasznlta Windows sorozatnak hlzatkezelshez. A Linux esetben a NETBIOS s a TCP/IP sszekapcsolsrl van sz. A NETBIOS a gpek azonostsra neveket hasznl. A nevek feloldsa ktflekppen trtnhet. Az egyik megolds szerint a hlzaton, broadcast (specilis zenet, melyet a hlzaton lv sszes gp feldolgoz) zenettel megkrdezzk, ki hasznlja ezt s ezt a nevet. A nevet hasznl szmtgp vlaszol erre a krdsre s megkapjuk tle a IP cmt. A msik lehetsg, hogy egy nvszervernl (NBNS) kell regisztrlni a nvignylst s a nevek feloldst is tle kell krni. A szmtgpek csoportokba vannak rendezve. Ezeket hvjuk munkacsoportoknak, vagy tartomnynak. A tartomny annyiban jelent tbbet, hogy rendelkezik egy tartomnyvezrl szerverrel (logon kiszolgl). A tartomnyvezrl ktfle protokollt hasznl a kliensekkel val kommunikcihoz, mst a Win95-98, s mst az NT fel. Windows NT gpekkel trtn kommunikci a 2.2.4-es Samba-tl felfel hasznlhat. A tartomnyvezrlkbl ltezik elsdleges (PDC), amelyik ppen aktv s msodlagosak (BDC), amelyek tvehetik az elsdleges szerept, amennyiben megszakad vele a kapcsolat. A tartomnyban (munkacsoportban) tallhat gpek a trsaik rszre fjl s nyomtat erforrsaikat kiajnlhatjk, ezeket megosztsoknak (shared) mondjuk. A sajt megosztst mindenki broadcast zenetekkel hirdetik. Amennyiben a hlzatunkon tallhat helyi ftallz, az tveszi ezt a szerepet s jelentsen cskkenti a hlzat foglaltsgt. Viszont ennek hinyban a hlzaton lv gpek s a megosztsok megjelentse gondot okozhat. A Microsoft tovbbfejlesztette a nvkiszolgl szervert, melyet WINS szervernek hv. Ebbl is ltezhet tartalk. A Samba kpes elsdleges WINS kiszolglknt mkdni, viszont tartalkknt nem. Szintn nem kpes tartalk tartomnyvezrlknt s tartalk tallzknt mkdni. Egy Samba szerver belltsa hrom lpsre tagolhat. Elszr belltjuk az ltalnos belltsait (Global), majd a megosztsokat, vgl pedig a felhasznlk kezelsrl beszlnk. A globl belltsainl hasznlhatunk megosztott erforrsokra vonatkozk paramtereket is. Ezek rkldni fognak a megosztsokra, ahol fellbrlhatjuk ket.
92
Sulinet Expressz
2003
A Unix oldali hlzati belltsok (Unix Networking) esetben a Network Interfaces, ami szmunkra rdekes. Amennyiben egynl tbb hlzati krtya van a szmtgpben, a Samba az els hlzati krtyra engedlyezi csak a szolgltatst. Ha nem szeretnnk, hogy sajtos rvei alapjn dntse el, melyikre, akkor itt lltsuk be a kvnt krtyra csatlakoz hlzat paramtereit.
93
Sulinet Expressz
2003
A Windows hlzat (Windows Networking) belltsai mr sokkal lnyegesebbek. Nzzk sorra ket:
Munkacsoport neve (Workgroups). Ide rjuk be a hlzat munkacsoportjnak a nevet. Tartomny esetn mg lnyegesebb ez a bellts. WINS szerver zemmdja (WINS mode). Ha mg nincs WINS szerver a hlzatunkon, gy ezt a funkcit mindenkppen kapcsoljuk be (On WINS Server). Ha mr ltezik, akkor a Use server-nl adjuk meg a nevt a szervernek. 94
Sulinet Expressz -
2003
Ler nv (Server description). A szerver neve mellett ez a szveg jelenik meg a klienseknl. Csak informatv jelleg. Tltsk ki a szervernk nevt (Server name). Van lehetsg r, hogy a megosztsokat esetleg ms szerver nven ajnljunk ki. Ebben az esetben az alternatv neveket a Server alias rsznl fel kell tlteni. Van r lehetsg, hogy a Samba ftallzknt mkdjn, ehhez yes-re kell lltani a 'Master browser?' rszt. Ez mg nem jelenti azt, hogy a Samba lesz a ftallz, ugyanis ez a Windows hlzatnl szavazssal dl el. A szavazsnl az nyer, akinek a prioritsi rtke (protokoll verzijbl, op.rendszer verzijbl, bekapcsolsi idbl s a gazdanvbl szmtott) magasabb. A Samba erre egy kitn megoldst hasznl, megadjuk kzzel (Master browser priority). A 70-es rtk mr elg eslyes . 90-nl nagyobbat viszont ne adjunk meg. Elrkeztnk a Samba leglnyegesebb belltshoz (Security). Ngy belltsi lehetsgnk van, amely beghatrozza a szerver alapvet mkdst. Gyakorlatilag az authentikci belltsrl van sz. - SHARE. A rgi WfW megoldsra jellemz autentikci. Felhasznl ellenrzs nincs. A megosztsra tehetnk jelsz ellenrzst. Teht a jelsz nem a felhasznlhz, hanem a megosztshoz kapcsoldik. A valid user opci (ksbb sz lesz rla) itt is rvnyesl, viszont a felhasznlt nem veszi figyelembe. Elg ha a jelsz egyezik brmelyik engedlyezett felhasznl jelszavval. - USER. A kliens a csatlakozsnl elkld egy felhasznlnevet s egy jelszt. Amennyiben ezek megfelelnek, a kapcsolat ltrejtt. A kliens kap egy azonostt, amelyel ksbb ignybe veheti a megosztsokat. Egy kliens tbszri azonostst is vgezhet (ms ms felhasznli adatokkal). - SERVER. Ennl a lehetsgnl a Password Server rsznl meg kell adni a PDC nevt. Amennyiben azonostsi kapcsolat rkezik a Samba szerverhez, akkor ezt elkldi a Password szervernek. Ha elfogadja, akkor a Samba is engedlyezi a kapcsolatot. - DOMAIN. Szintn meg kell adni a Password Server-t. Hasonlan eredmnye van, minta SERVER belltsnak. Viszont rengeteg elnnyel jr. Ebben az esetben a Samba lnyegessen jobban integrldik a tartomnyba. A tartomnyvezrl nem csak a felhasznl rvnyessgt adja vissza, hanem az adatait is. Ezen kvl ki tudjuk hasznlni a Microsoft tartomnyvezrl lnyeges szolgltatsait. nll Samba szerver esetben a USER LEVEL belltsa az ltalnos. Sokszor problmt okozhat egy hlzat esetben, hogy a kzs tartomnyban lv gpek kln fizikai hlzaton vannak. A hlzatokat egy router kti ssze. A Windows hlzatokban ilyenkor kt ftallz jn ltre, ami azrt problma, mert az egyik hlzat nem ri el rendesen a msik (ugyanabban a tartomnyban lv) hlzat megosztsait. Ezt a problmt lehet megoldani a 'Remote Announce' to belltssal, amennyiben a Samba kiszolgl a router feladatokat is betlt gpen van. Itt adjuk meg, hogy melyik interface-t szeretnnk mg figyelni.
95
Sulinet Expressz
2003
Ha NT, vagy 2000-es klienseket hasznlunk, akkor be kell kapcsolnunk a jelsz kdolst (Use encrypted passwords?). Ha egyszer yes-re lltjuk, akkor mr ne nagyon mdostsuk, mert problmk lehetnek a jelszavakat trol llomny rtelmezsvel, ugyanis ott kdolva lesznek a jelszavak. Az res jelszmezkkel (jelsz nlkli) trtn belpst az 'Allow null passwords?' rsznl tudjuk engedlyezni. Elkpzelhet, hogy a Unix-on s a Windows hlzaton egy felhasznlnak msms az azonostja. Ebben az esetben problmk lehetnek a knyvtrak elrsnl, hiszen a Unix knyvtrak jogosultsga Unix felhasznlra van megadva. A 'Username mapping' belltst Listed below-ra lltva kitlthetjk a tblzatot. Ezzel sszekapcsoljuk a kt rendszer nem azonos nev felhasznlit.
A 'File Share Defaults' s a 'Printer Share Defaults' rsznl bellthatjuk a megosztsaink alaprtelmezett rtkeit. Ezek rkldni fognak a megosztsokra, ahol majd fell is brlhatjuk ket.
96
Sulinet Expressz
2003
A Webmin segtsget ad a felvett Unix felhasznlk konvertlsra a Samba user fjlba. Ezt a 'Convert Unix Users to Samba users' rsznl tehetjk meg. Rkattintva bejn egy krdv.
'Dont't convert or remove these users:'. Itt bellthatjuk azokat a felhasznlkat, melyekkel ne foglalkozzon a konvertls sorn. Mindenkppen legyenek a listban a rendszerfelhasznlk. 'Update existing Samba users from their Unix details'. Frissti a mr ltez Samba felhasznlk adatait, ha megtallja a unix felhasznlk kztt. 'Add new Samba users from the Unix user list'. A unix felhasznlkat vegye fel Samba felhasznlknt. Ez lehetleg legyen bejellve, hiszen ezrt csinljuk. 'Delete Samba users who do not exist under Unix'. Trli azokat a Samba felhasznlkat, melyek nem lteznek unix alatt. Az oldal aljn pedig a jelsz kezelst llthatjuk be. No password (nincs jelsz) Account locked (nincs jelsz s egyelre tiltja a felhasznlt) Use this password .. A beirt jelszt fogja minden felhasznlnl alkalmazni) Ezt azrt kell belltani, mert a unix felhasznlk jelszava kdoltan van letrolva s nem kpes a rendszer visszafejteni (Valsznleg ezrt van kdolva), gy nem tudja a Samba tvenni az eredeti jelszavakat.
97
Sulinet Expressz
2003
A kvetkez kpernyn tjkoztatva lesznk rla, hogy a milyen felhasznlk lettek felvve. Lthat hogy a 'Don't convert' rsznl mg fel kellett volna venni az rpm s a mysql felhasznlkat. Nem baj, most felrjuk s majd trljk ket a Samba userfjlbl, hiszen nem vals felhasznlkrl van sz. Ha az elz konvertlssal kszen vagyunk, akkor a ksbbiek sorn szksgnk lehet a unix felhasznlknl trtnt vltozsok frisstsre. Ez a 'Configure automatic Unix and Samba user syncronisation'-nl tehetjk meg. Az elzhz hasonl krdvet kell kitltennk.
'Add a Samba user when a Unix user is added'. Ha j unix felhasznlkat tallunk, akkor felvesszk Samba felhasznlknt 'Change the Samba user when a Unix user is changed'. Ha a unix felhasznl adatai megvltoztak, akkor ezt tvisszk a Samba felhasznlra is. 'Delete the Samba user when a Unix user is deleted'. Ha a unix felhasznlt trltk, akkor trljk a Samba megfeleljt is.
98
Sulinet Expressz
2003
Az 'Edit Samba user and passwords' rsznl pedig a felhasznlk adatait mdosthatjuk.
Amikor itt kezelnk felhasznlkat, termszetesen a samba-unix felhasznl kapcsolst is kezeljk. Errl mr a globlis belltsoknl volt sz. A 'Unix UID'nl lthatjuk a kapcsolt unix felhasznlnk kdjt. Jelsz (password). Szintn a mr szoksos lehetsgek: No access. Nincs engedlyezve a felhasznl. No password. Nincs belltva jelsz, teht a felhasznl jelsz nlkl lphet be. Current password. Maradjon a rgi megolds, nem vltoztatunk jelszt. New password . . A bert jelsz lesz az rvnyes. 'User options' A felhasznl tulajdonsgait llthatjuk.
A lista alatt s felett lv linkekkel pedig a kvetkezket csinlhatjuk: - 'Create a new file share'. j knyvtrmegoszts ltrehozsa. - 'Create a new printer share' j nyomtatmegoszts ltrehozsa. - 'Create a new copy'. Msolat ksztse j nven, meglv megosztsrl. - 'View All Connections' Megnzhetjk a megosztsokra csatlakozk listjt. 99
Sulinet Expressz
2003
Amennyiben fjlmegosztst szeretnnk mdostani, vagy ltrehozni akkor a kvetkez kpernyn tehetjk meg:
A 'Share name' rsznl adjuk meg a megoszts nevt. Ha home knyvtrat szeretnnk megosztani, akkor nem kell kln nv (csak egy pipa a 'Home Directories Share' mell), mert a felhasznl nevn lesz kiajnlva. A 'Directory to share' mell berjuk, melyik unix knyvtrat szeretnnk kiajnlani. Ennek a paramternek home knyvtrnl nincs rtelme, ne foglalkozzunk vele. Megadhatjuk a 'reklmozsi' paramtereket. Lthat legyen-e a megoszts, illetve kereshet legyen-e. Alul pedig megjegyzssor tallhat. Az 'Other Share Optional' rsznl adhatjuk meg a megoszts belltsait. Nzzk vgig a lehetsgeket.
Sulinet Expressz -
2003
(192.168.1.0/255.255.255.0) Hlzat megadsa hlzati cmmel s hlzati maszkkal. (192.168.2.10) Konkrt IP cm megadsa. Hosts to deny. Az elzhz hasonl formtumban megadhatjuk, hogy melyik IP cmekrl ne fogadjuk el a kapcsolatot. Az itt szerepl IP cmek akkor is tiltva lesznek, ha a Host to allow belltsban felvett tartomnyba esik. Valid users, Valid groups. Azoknak a felhasznlknak s csoportoknak a listja, akiknek engedlyezzk a megoszts hasznlatt. Invalid users, Invalid groups. Azoknak a felhasznlknak s csoportoknak a listja, akiknek tiltjuk a megoszts hasznlatt. Akkor is rvnyesl a tilts, ha az adott felhasznl, engedlyezett csoportba tartozik.
101
Sulinet Expressz
2003
Itt llthatjuk be a megoszts unix szint knyvtr s fjlkezelsi mdjt. New Unix file mode. Ezt a jogosultsgot kapjk a ltrehozott fjlok. New Unix directory mode. Ezt a jogosultsgot kapjk a ltrehozott knyvtrak. Directories not to list. Felsorolhatunk a megosztott knyvtrban lv alknyvtrakat. Ezek a megoszts alatt nem lesznek lthatak. Force Unix users, Force Unix group. A megosztott knyvtrat a megadott felhasznl, csoport jogosultsgaival kezeli. Ha nem adunk meg rtket, akkor a megosztst hasznl felhasznl unix felhasznl-prjnak jogosultsgai rvnyeslnek. Allow symlinks outside share? A megosztott knyvtrban tallhat symlink-eket engedlyezhetjk, vagy tilthatjuk. Az engedlyezse veszlyes lehet, mert lehetsg van a megosztott knyvtrbl val kilpsre. Can delete readonly files? Engedlyezhetjk, vagy tilthatjuk az rsvdett fjlok trlst.
Case Sensitive? Legyen-e kis-nagybet rzkeny a fjlkezelsnl. Lehetleg ne legyen, mert gondot fog okozni a Windows klienseknek. Default Case? Kis, vagy nagybetvel rja a fjlokat a knyvtrba. A j bellts a Lower, azaz a kisbet. Hide dot files? A unix felhasznlk home knyvtrukba tallhatak ponttal kezdd llomnyok. Ezek ltalban a rendszer ltal ksztett belltsmentsek. Yes-el vlaszoljunk, hogy ezek a fjlok ne ltszdjanak. Save DOS archive, system, hidden flag? A DOS-ban hasznlt flag-eknek nincs igazn unix-os megfelelje. Ha viszont ignyeljk, akkor elmenti a Samba a jelzbiteket.
102
Sulinet Expressz
2003
6.4 SWAT
A Samba belltsra ltezik egy kifejezetten ezt a clt szolgl fellet is a SWAT. Elnye, hogy gyorsabban kveti a verzivltozsokat. Szintn kln kiszolglval megoldott http protokollon keresztl elrhet webes felletrl van sz. Viszont nem llandan fut dmon, hanem az xinetd cscsdmon hvja meg. A SWAT mkdshez a /etc/service fjlban jelen kell lennie a ' swat 901/tcp' sornak. Ellenrizzk, ha nincs benne, akkor vegyk fel. A msik bellts, az xinetd figyelsnek megadsa a 901-es portra. Keressk meg a /etc/xinetd/swat fjlt s a tartalmt lltsuk t a kvetkezre: service swat { port = 901 socket_type = stream wait = no only_from = 192.168.1.0# A hlzat cme, amelyrl hasznlni szeretnnk. user = root server = /usr/sbin/swat log_on_failure += USERID disable = no } Ha a fjl nem ltezik, akkor hozzuk ltre a fenti tartalommal. A mvelet elvgzse utn indtsuk jra az xinetd-t. /etc/init.d/xinetd restart A bngszbe a http://szerverip:901 (pl: http://192.168.1.1:901) ULR-t hasznlva lphetnk be a SWAT-ba, amely rgtn kri az azonostnkat. Mivel rendszerszint belltsrl van sz, root felhasznlval azonosthatjuk magunkat.
Itt jegyeznm meg, hogy minden ehhez hasonl program sok segtsget nyjthat, de csak addig, amg a belltsokat vgezzk. Viszont a mkdsk biztonsgi lyukat is 103
Sulinet Expressz
2003
jelenthet. Ezrt csak akkor indtsuk el, ha szksgnk van r s hasznlat utn lltsuk le. A SWAT esetben a megolds az /etc/xinetd/swat fjlban a disable=yes belltsa. Visszatrve az eredeti tmnkhoz, a sikeres authentikci utn a SWAT kezdoldala (HOME) vr bennnket nmi angol nyelv dokumentcival.
A globals ikonra kattintva llthatjuk be a globlis vltozkat. Mivel itt is a mr emltett paramtereket talljuk, a belltsokat nem elemezzk jbl. A kezelst nzzk inkbb meg. A belltott rtkek a Commit Changes gomb hatsra kirdnak a konfigurcis fjlba. A Reset Values gombbal visszalltjuk az utols mentett llapotot.
A kpernyn elszr csak az alapvet belltsok s az ltalunk mdostottak tallhatak. Az Advanced View gomb hatsra az sszes bellts megjelenik. A Basic View gombbal pedig visszallhatunk az egyszerbb verzira. A belltsok csoportokra bontva tallhatak. Mindegyik mellett tallhat Help link, amely angol nyelv segtsget hv meg. Shares oldalon a fjlmegosztsokat tudjuk lltani. A legrdl menvel s a Choose Share gombbal kivlaszthatjuk a mdostani kvnt megosztst, vagy a ber mezvel s a Create Share gombbal jat vehetnk fel. A mr kivlasztott megosztst a Delete Share gombbal trlhetjk.
A megosztsok kivlasztsa utn a bellts hasonl a Global-nl tapasztaltakhoz. Szintn hasonl kezelfellettel rendelkezik a Printers oldal is. Itt llthatjuk a nyomtatmegosztsainkat. A Status oldalon a Samba mkdsvel kapcsolatos informcikat, mg a View oldalon a ksz smb.conf llomnyt lthatjuk.
104
Sulinet Expressz
2003
105
Sulinet Expressz
2003
6.6 Gyakorlat
Vegyk fel Samba felhasznlknt a kvetkez (mr ltez) Linux felhasznlkat: Kiss Elemr Nagy Jnos Balla Nrcisz lltsuk be a szamba szervernk ltalnos belltsait (Global) s hozzuk ltre a kvetkez megosztsokat: Minden felhasznl ltja s rhatja a sajt home knyvtrt. Minden felhasznl hasznlhatja a szerver nyomtatjt. Az iskola csoportba tartoz felhasznlk ltjk s rhatjk a /home/iskola knyvtrat. Az tanar csoportba tartoz felhasznlk ltjk s rhatjk a /home/tanar knyvtrat.
106
Sulinet Expressz
2003
7. Apache
7.1 Alapismeretek
Az Apache szerver egy igen dinamikusan fejld http kiszolgl. Fejlesztse az Illionis-i egyetemen tallhat NCSA-ban kezddtt. Az NCSA Web szerver foltozgatsbl keletkezett. Manapsg az Internetre kttt Web kiszolglk 60%-a ezt hasznlja. Dinamikus fejldsnek pldja, hogy nemrgiben megllapods szletett a Microsoft s a Covalent kztt az ASP.NET Apache-on trtn implementlsra. Az Apache modulos szerkezet. Ennek rengeteg elnye van. Mivel szabvny API-val rendelkezik, ezrt ms cgek, trsasgok is fejlesztenek al modulokat. Msrszt erforrst takartunk meg azzal, hogy a nem hasznlt modulok nem tltdnek be a memriba. Egy Web szerver belltsnl taln a leglnyegesebb feladat, eldnteni mely modulokat hasznljuk. Termszetesen minden modulnak vannak nll belltsi paramterei. Ezekkel s a funkciikkal kapcsolatban lnyeges segtsget kapunk a http://modules.apache.org oldalon. Nzznk egy-kt lnyegesebb modult: mod_access mod_actions mod_alias mod_asis mod_auth mod_auth_anon mod_auth_db mod_auth_dbm mod_auth_digest mod_autoindex mod_cern_meta mod_cgi mod_digest mod_dir mod_env mod_example mod_expires mod_headers mod_imap mod_include mod_info mod_log_agent mod_log_config mod_log_referer mod_mime mod_mime_magic mod_mmap_static mod_proxy Szablyozza, az oldalhoz milyen hostok frjenek hozz Script futtatsa (CGI) lnevek s tirnytsok Az .asis fjl header Felhasznl azonosts szveges fjlokbl Nvtelen felhasznl azonosts Felhasznl azonosts a Berkeley-fle DB adatbzisbl Felhasznl azonosts DBM adatbzisbl Felhasznl azonosts MD5 jelszkdolssal Automatikus knyvtrtartalom listzsa HTTP fejlc meta elemeinek tmogatsa CGI script-ek futtatsa MD5 kdols jelsz kezelse Alapszint knyvtrkezels Krnyezeti vltozk tadsa CGI script-eknek API mintk Oldalak rvnyessgi ideje HTTP fejlcek Images fjltrkp Szerveroldali objektumok (SSI) Szerver informcik Felhasznli, bngsz adatok trolsa a naplban Naplzs belltsa Honnan jtt a kliens informcik rgztse a naplban Objektumtpus megllaptsa fjlkiterjesztsbl Objektumtpus megllaptsa tartalombl Fjlok trkpnek bevitele a memriba HTTP gyorsttr 107
Sulinet Expressz mod_rewrite mod_setenvif mod_so mod_speling mod_status mod_userdir mod_unique_id mod_usertrack mod_vhost_alias
Linux rendszergazda alap Regulris kifejezsek hasznlata Krnyezeti vltozk belltsa kliens informcik alapjn Futs kzbeni modul-betlts tmogatsa Automatikus hibajavts az URL-ekben Szerver llapot megjelentse Web-lapknt A felhasznlk knyvtrait kezeli (public_html) Krs azonost generlsa minden lekrshez Felhasznl-kvets stik (cookies) segtsgvel Virtulis szerver-tmogats
2003
A Webmin alatti belltshoz keressk meg a Kiszolglk kztt az Apache Webkiszolgl-t. Ha elszr lpnk be, akkor rgtn a modulok belltsval fogad minket. Jelljk be az ignyelt modulokat s lpjnk tovbb a bellt gombbal.
108
Sulinet Expressz
2003
A kperny fels rszn lthatjuk az ltalnos belltsokat, az als rszen pedig a virtulis kiszolglkat tudjuk lltani. A Processzek s Limitek rsznl a httpd (Apache daemon) futsi paramtereit llthatjuk. A httpd elindulsa utn gyerekeket (child) indt el, melyek hivatottak a krsek kiszolglsra.
Maximlis lekrsek szerverprocesszenknt sszesen mennyi krst szolgl ki. Maximlis konkurens lekrsek sszesen menyi child processz indulhat el. Maximlis tartalk-kiszolgl processzek Maximum mennyi inaktv child processz futhat. Minimlis tartalk-kiszolgl processzek Minimum mennyi inaktv child processznek kell futni. Kezd kiszolgl Indulskor mennyi child processz induljon el.
Ezen belltsok ltalban akkor fontosak, ha a web-szerver erforrsignyt s sebessgt kell optimalizlni.
A hlzat s cmek belltsnl szmunkra leginkbb a figyelt portok rdekesek. A http protokol a 80-as porton figyel, mg a titkostott vltozata (https) a 443-ason. De ez nem kttt, megoldhatjuk, hogy sajt ignyeinkre elksztett oldalt ms porton rnk el. Bellthatunk egy alaprtelmezett portot. Ez ltalban a 80-as szokott lenni. Ez utn fel kell sorolni azon portokat, amelyeket mg figyeltetni szeretnnk. Amennyiben itt kihagyunk egyet, akkor azzal a web-szervernk nem foglalkozik, nem figyeli. Termszetesen a figyelt portokat bonthatjuk a cmzett IP cmek szerint is. 109
Sulinet Expressz
2003
A virtulis host-oknl talljuk meg a kiszolgland oldalak adatait. Alaprtelmezett kiszolglt kell felvenni minden figyelend portra. Nzznk egy specilisabb belltst:
Cm : 192.168.1.1 Ebben az esetben csak a 192.168.1.1 IP cmre berkez krseket szolglja ki. Add name virtual server address (if needed) Nem krjk, hogy kln felvegye a nevet. Listen on address (if needed) Nem krjk, hogy kln felvegye a cmet. Port Ezt a virtulis hostot melyik porton lehet meghvni. Dokumentum-gykrknyvtr Melyik knyvtrbl szolgltassa ki az adatokat. Kiszolgl neve Lehetsgnk van arra, hogy ugyanazon IP cmre ms-ms oldalt szolgltassunk ki. Ezt a szerver a kiszolgl neve alapjn klnbzteti meg. Itt ugyanazon IP cmre bejegyzett host-nevet rhatunk be. (pl: server.iskola.sulinet.hu, vagy www.iskola.sulinet.hu)
7.3 Jelszkezelsek
Van lehetsgnk egyes knyvtrak elrst felhasznl azonostshoz ktni. A felhasznlkat s a jelszavakat clszer kln fjlban trolni. j felhasznl felvtele a kvetkezkppen trtnik: # htpasswd jelszo.conf felhasznalonev New password: Re-type new password: Adding password for user felhasznalonev Amennyiben mg nincs ltez jelszfjl, gy hasznljuk a -c paramtert: # htpasswd -c jelszo.conf felhasznalonev
110
Sulinet Expressz
2003
7.4 Gyakorlat
A teleptett szervernkn lltsuk be az apache Web-szervert. Mkdst ellenrizzk is le egy kliens segtsgvel.
8. Sendmail
8.1 Alapismeretek
A sendmail ltalnos levelezst valst meg SMTP protokollon keresztl. Hogy megrtsk az Internetes levelezs lnyegt, nzzk meg, mit csinl a sendmail valjban. Az Levelek a 25-s porton keresztl rkezik meg a levelezszerverre. Kt esetben rkezhet ez szablyosan meg: - Ha a levelez szervert kimen SMTP szerverknt hasznlja egy kliens. Ebben az esetben a levelez program juttatja oda a levelet, tovbbklds cljbl. A hagyomnyos SMTP protokollban nincs authentikcis lehetsg. Ezrt nem tudjuk ellenrizni az esemny jogosultsgt. Ennek kompenzlsra megadjuk azokat a hlzatokat, melyekrl engedlyezzk a szolgltats elrst. Ezeket a 111
Sulinet Expressz
2003
hlzatokat mondjuk Relay Domain-oknak. Az RFC 2554 (SMTP kiegszt) szabvny alapjn van lehetsgnk az authentiklt SMTP szolgltatsra. Tovbb, ha a levl a mi szmtgpnkre van cmezve. Ebben az esetben is egy ellenrzsen esik t a levl. A levelez szerver megnzi, hogy a levl ltal megcmzett domain szerepel-e a Local Domain listban. Ha szerepel, akkor ellenrzi, hogy ltezik-e a felhasznl. A felhasznl azonostsnl figyelembe veszi az alias neveket is.
Ezek alapjn meg kell adnunk azon domain-ek listjt, amelyekre az rkezett leveleket elfogadja a szervernk. Ezen kvl be kell lltanunk, hogy honnan fogadunk el kimen levelet. A berkez levelek rkezhetnek tbb fle domainra is. A levelet az a felhasznl fogja megkapni, akinek a felhasznl neve azonos a cmzett nevvel. Olyan szervereken, amelyek tbb domaint ltnak el, problmt okozhat a ms domainon, de ugyanazon a nven szerepl felhasznlk. Ezrt lehetsgnk van r, hogy megadjuk az e-mail-hoz tartoz felhasznlt. Ezt nevezzk virtualuser belltsnak. Nzzk meg egy levl tjt a klienstl a cmzett szerverig: A levelez kliens a belltsai alapjn az SMTP szerverhez kldi a levelet. - A szerver megvizsglja, hogy a levl cmzettt kezeli-e, ha igen akkor az adott szerveren tallhat cmzett mailbox fjljhoz hozzfzi. - Ha a cmzett egy msik szerveren tallhat, akkor a queue sorba rakja be. Ez egy knyvtr, jellemzen a /var/spool/mqueue. - Nha lefuttat a sendmail egy rutint, ami a queue-ben tallhat leveleket megprblja elkldeni a cmzett szervernek. Ha ez nem sikerl (pldul abban a pillanatban nem zemel a szerver), akkor bent hagyja a queue-ben s a kvetkez alkalommal jra megprblja elkldeni. Vzlatosan lerva ez egy levl sorsa, de mi van akkor, ha nem csak a kliensek fordulnak a szerverhez levlklds cljbl, hanem ms szerverek is az itt kezelt postafikok miatt. A berkez levl jogosultsgnak ellenrzse mr egy bonyolultabb folyamat. Nzzk ezt is egy vzlat alapjn: -
112
Sulinet Expressz
2003
1. MAIL - Berkezik egy levl 2. Relay Domain? - A szerver megvizsglja, hogy a levelet olyan helyrl kldtke, ahol leglis kliensek vannak? - Ha IGEN, akkor mindenkppen el kell fogadnia a levelet > 4. - Ha NEM, akkor csab abban az esetben ha helyi felhasznlnak cmzett. >3 3. Ha nem kliens kldte a levelet, akkor megnzi, hogy helyi felhasznlnak van-e cmezve? - Ha IGEN, akkor bejhet a levl > 5. - Ha NEM helyi felhasznlnak szl, akkor a levl tiltva lesz. > DENY(vissza megy a feladnak hibs domainnel) 4. Ha leglis kliens kldte a levelet, akkor megnzi, hogy helyi felhasznlnak van-e cmezve? - Ha IGEN, akkor bejhet a levl >5. - Ha NEM, akkor a levl tovbbtdik a cmzett fel, azaz queque sorba kerl. SEND 5. Ide, azok a levelek rkeznek el, amik helyi felhasznlnak szlnak a domain alapjn. Most megnzi a szerver, hogy ltezik-e ez a felhasznl? - Ha IGEN, akkor a felhasznl mail boksz-ba kerl a levl. - Ha NEM, akkor a virtualuser ellenrzsre > 6. 6. Ellenrzi, hogy a cimzett szerepel-e a virtual user tblban. - Ha IGEN, akkor megllaptja a helyi felhasznlt (ezt is ellenrzi, mint 5. pont) s a levl a felhasznl mail boksz-ba kerl. - Ha NEM, akkor a levl tiltva lesz. > DENY (vissza megy a feladnak hibs felhasznlval)
Igen nagyoltan ezeken a f vizsglatokon kell tesnie egy levlnek. Persze mg lehetne finomtani, bontani az esemnysorozatot, de a tovbbi munknkhoz elg lesz ezeket az esemnyeket rteni.
113
Sulinet Expressz
2003
A sendmail esetben rengeteg belltsi lehetsgnk van. Igazbl az egsz folyamatot t tudjuk definilni. Ezt viszont csak azoknak ajnlom, akik maximlisan tisztban vannak az Internetes levelezs szabvnyaival. Ezrt csak olyan belltsokat nznk t, melyek ltalban elfordulnak.
A domainokat egyszeren fel kell sorolni (mindegyik j sorban) a bellt oldalon lv textbox-ban. 114
Sulinet Expressz
2003
'Mail for' rsznl bellthatjuk, hogy a berkezett levl cmzettjre, vagy a cmzs domainjra krnk vizsglatot. A 'Send to' rsznl azt adjuk meg, hogy mit kell tenni a felttelnek megfelel levllel. Nzznk nhny pldt: Mail for address szucs.peter@iskola.hu - Send to address petersz Ebben az esetben a szucs.peter@iskola.hu cmre rkez levelet beteszi petersz felhasznl mailboxba. Mail for address gal.janos@iskola.hu - Send to adress gal.janos@masiksuli.hu Itt a berkez levelet tovbbkldi egy msik cmre. Ezt akkor hasznlhatjuk, ha egyik kollgnk ms iskolba ment t dolgozni s egy ideig mg tovbbtjuk a leveleket. Mail for domain regidomain.hu - Send to domain iskola.hu A regidomain.hu cmre rkez ssze levelet tovbbtja az iskola.hu domainra a cmzett felhasznlnv megtartsval. Ez akkor lehet rdekes, ha megvltozik az iskolnk domain neve. Mail for address peter.kiss@iskola.hu - Send to Error nouser "az j cme:." Ha egy felhasznlnknak megvltozott a cme s nem kvnjuk fogadni a leveleit. Egy hibazenettel visszakldi a levelet a feladnak.
115
Sulinet Expressz
2003
A Mail for-nl belltott hosztra, vagy domainra rkez leveleket tkldi egy msik szerverre, amely fogadja ket. Az elz esettl eltren itt a cmzett nem mdosul. Pldul, akkor vehetjk ignybe, ha a sendmail egy tzfal szerveren mkdik, de itt nincsenek felhasznlk. Ekkor az sszes ide rkez levelet tkldhetjk egy bels hlzaton lv mail szerverre. gy biztonsgos helyre tehetjk a valsgos mail szervernket.
A Relay Domains s a Spam Control mveleteket itt lehet sszelltani. Ebbl szmunkra a Relay belltsok az rdekesebbek. Mr a bevezetbe emltettk, hogy be kell lltani azoknak a hlzatoknak (vagy gpeknek) az adatait, amelyeknek engedlyezzk szervernk hasznlatt SMTP feladatokra. Teht ide vesszk fel azokat a gpeket, amelyek kimen szerverknt hasznlhatnak minket. Egy ilyen hlzat belltsa a kvetkez:
Ezt a rszt hasznlhatjuk mg szrsre, biztonsgi tiltsokra is. Lehetsgnk van a felad e-mail cmnek (Email address), a kld hlzatnak (Network), a felhasznlnak (User) s a kld domainjnak (Domain) vizsglatra. Ha megfelel a felttelnek, akkor elfogadhatjuk (Accept), tilthatjuk (Reject), hibakddal visszakldhetjk (Error code), elfogadhatjuk relay-knt (Allow relaying) s csendben a kukba dobhatjuk (Discard silently).
Sulinet Expressz
2003
megprblkozik ennek kirtsvel, de akr manulisan is megoldhatjuk ennek erltetst itt. Amennyiben egy levl beragad, gy egyszerbb trlni azt.
A Mail queue-ben ragadt leveleket a 'Flush Mail Queue' gombbal prblhatjuk jra elkldeni.
8.3 Gyakorlat
lltsunk be egy Sendmail szervert a megfelel domainre. Egy meghatrozott hlzatrl lehessen SMTP szervernek hasznlni. A felhasznlknak ne csak a felhasznl nevkre lehessen e-mailt kldeni, hanem a teljes nevkre is ponttal elvlasztva (kisse@domain.hu s kiss.elemer@domain.hu)
Sulinet Expressz
2003
9. Squid proxy
9.1 Alapismeretek
Napjainkban a hlzat forgalmnak nagy rsze a Web-oldalak elrsbl addik. Egy loklis hlzatnak az Internet kapcsolata mindig szks szokott lenni. Az intzmnyben jellemzen tbben is nzik ugyanazon oldalakat, melyeknek minden eleme tbbszr is tmegy a szk szegmenset kpz bektsen. Ezen ismtldsek megszntetsvel, akr 30% forgalomcskkenst is elrhetnk. A http proxy-knak ppen ez az egyik feladata. Betelepszik a kliens s az Internet kz. Ha a bngsz le akar tlteni egy oldalt, akkor az nem az oldalt trol szerverrel, hanem a loklis hlzaton elhelyezett proxy szerverrel kzli. A proxy megnzi, hogy a troljban (cache) megtallhat-e az oldal. Ha nem tallhat meg, akkor azt letlti a Web-szerverrl a troljba, majd az oldalt tkldi a kliensnek.
Nzzk meg a folyamatot konkrtan: 1. A kliens elkldi a proxy-nak, hogy szksge van a www.linux.hu oldalra. 2. A proxy megnzi, megtallhat-e ez az oldal a trolban. Ha nincs trolva az oldal: 3. A web-szervernek jelzi az ignyt. 4. Letlti az oldalt a web-szerverrl. 5. Elrakja az oldalt a trolba. 6. Elkldi az oldalt a kliensnek. Ha trolva van mr az oldal: 7. Betlti a trolbl az oldalt. 8. Elkldi a kliensnek az oldalt. ltalban a dolog nem ilyen egyszer, de a folyamatot meg lehet rteni belle. Pldul a dinamikus oldalakat nincs rtelme trolni, ugyanis azok esetenknt is vltozhatnak. Ami viszont lnyeges, hogy egy tlagos web-oldal teljes mretnek (Byte-ban) a 60-80%-a a kpekbl ll, ami ritkn szokott vltozni. A squid proxy mkdse kzben rdemes lesz figyelni kt rtket, a tallati arnyt dokumentumokban, amely azt hatrozza meg, hogy az sszes kliens lekrdezsbl hny objektumot (html fjlt, kp fjlt, stb.) tudott a trolbl kiszolglni s a byte 118
Sulinet Expressz
2003
tallati arnyt, amely az Interneten keresztl letlttt s a trolbl kiszolglt adatok mennyisgt hatrozza meg. Ha proxy szervert zemeltetnk, akkor a kliensnek meg kell adni, a szerver elrsi paramtereit, azaz az IP cmt s a portszmt. Van lehetsgnk ennek elkerlsre, ha transzparens proxy-t lltunk be. Ebben az esetben a kimen forgalmat kezel tzfalon el kell cspnnk a kifel irnyul web-oldal lekrseket (80as port) s t kell irnytanunk a proxy cmre. gy elkerlhetjk a kliensek bngszinek lltst.
A 'Proxy address and port'-nl tudjuk belltani, hogy a proxy melyik portot figyelje a munkja sorn. A Sulinetre jellemz a 8080-as port hasznlata, viszont a squid alaprtelmezett portja a 3128-as. Brmelyiket hasznlhatjuk kedvnkre. Amennyiben tbb hlzati krtynk van a gpen, akkor be kell lltanunk, melyiken keresztl lehessen csatlakozni a proxy-nkra. Soha se nyissuk meg az Internet fel, teht nem j az 'All' bellts. rjuk be a bels hlzati krtya cmt. 119
Sulinet Expressz
2003
Az ICP port belltsa akkor lehet lnyeges, ha msik proxy-val szeretnnk kommuniklni. Ebben az esetben a proxy-k az ICP (Internet Caching Protocol) protokoll hasznlatval beszlik meg, hogy a gyorsttrban milyen oldalak tallhatak. Az alaprtelmezett ICP port a 3130-as. Szintn ilyen kommunikci esetn hasznlatos a tbbi bellts, ezekre nem lesz szksgnk, az alapbelltsok jk. Az 'Other Caches' oldalon llthatjuk be a proxy feldolgozsi, lehvsi paramtereit. Az oldal hrom rszre van tagolva. A fels rszen a proxy-proxy kapcsolatokat szablyozzuk. A kzps rszen kapcsolati paramtereket. Alul pedig a lehvsi feltteleket.
Az 'Other proxy cache servers' rszn vehetnk fel kapcsolatokat. Ez nlunk lnyeges lehet, hiszen nagy kapacits proxy szerverek dolgoznak a Sulineten bell. Nyomjunk az 'Add another cache' szvegre.
lltsuk be terleti Sulinet proxy szervert, mghozz parent mdba. Ez azt jelenti, hogy a mi proxynk ezt fogja hasznlni kimen proxy-knt. - 'Hostname'. A proxy neve, vagy IP cme. - 'Type'. A msik proxy tpusa, illetve a kapcsolatunk tpusa. - Parent. Olyan proxy-nal hasznljuk, ahonnan mi krnk le adatokat. - Sibling. Olyan proxy-nl hasznljuk, amelyek tlnk krnek adatokat. - Multicast. Egyenl oda-vissza kapcsolat. - 'Proxy, ICP port'. A msik szerver proxy, ICP portja. - 'Send ICP queries'. Legyen-e ICP kapcsolat. Clszer ha van. - 'Default cache'. Bellthatjuk alaprtelmezettnek, ez azt jelenti hogy a proxy-nk alapesetben ezt a kapcsolatot hasznlja. A tovbbi belltsok mr csak finomtsi clt szolgnak s j az alaprtelmezett rtkk. A belltst elmentve visszatrnk az Other Caches belltsokhoz. 120
Sulinet Expressz
2003
A ' Directly fetch URLs containing' belltsnl megadhatunk egy felsorolst szkzzel elvlasztva. Amennyiben ezeket a szvegrseket ('cgi-bin', '?') megtallja a proxy a kr ULR-ben, akkor nem hasznlja a trolsi rendszert, hanem direkt kri le az oldalt. Ez azrt lnyeges, mert a dinamikus oldalaknl nincs rtelme a proxy hasznlatnak, ugyanis a tartalmuk llandan vltozik. A 'ICP query', 'Multicase ICP timeout', 'Dead peer timeout' belltsoknl a vrakozsi idket tudjuk megadni. Ha a kapcsolat fenntartsa kzben a megadott idn bell nem rkezik vlasz, akkor bonja a kapcsolatot. Itt az alaprtelmezett belltsok megfelelek, csak akkor kell mdostanunk, ha az Internet vonalunk az tlagosnl is terheltebb s tl sok kapcsolat szakad meg. Az oldal als rszn megadhatjuk, hogy milyen esetekben legyen direkt kapcsolat (ACLs to fetch directly) hasznlva, vagy milyen esetekben legyen mindenkppen hasznlva a proxy zemmd (ACLs never to fetch directly). Ez a bellts hasonlan fog mkdni a ksbbiekben trgyalt 'Access Control' rszhez. A 'Memory Usage' oldalon a memria hasznlatt tudjuk belltani. A szmunkra rdekes mez a 'Memory usage limit', amely azt a memriaterletet hatrozza meg, amelybe a proxy a cashed knyvtr tartalmnak jegyzkt teszi el. Teht ez fgg a cashed knyvtr mrettl. Viszont ha tl nagy rtket hatrozunk meg, akkor a squid ms ignyeinek nem jut elg hely, gy gyakran nyl a virtulis memrihoz, ami lasstja a mkdst. Jellemz rtk a squid-nak sznt memria harmada.
Mg rdemes belltani a 'Maximum cached object size', amely azt hatrozza meg, hogy mekkora legyen a trolt objektumok maximlis mrete. Ha egy felhasznl letlt egy 10 Mbyte mret dokumentumot, azt felesleges eltrolni, mert ritka a letlts ismtldse. A 'Loging' oldalon lehet belltani a squid naplzst. Itt egyetlen alapelv van, hogy sose logoltassunk vele a cached partcira, mert mkdsi problmkat okozhat. Nagyon megfelel hely lehet a log llomnyoknak a /var/log/squid knyvtr. A 'Cache options' oldalon adjuk meg a cache knyvtr adatait. A cache knyvtrat rdemes kln partcira tenni, erre nagyon rzkeny a squid. A belltsnl adjuk 121
Sulinet Expressz
2003
meg a cache knyvtrat (Directory), a kezels tpusa (Type) ltalban UFS szokott lenni. A mretnl (Size) vegyk figyelembe a partcin lv szabad helyet, ennek a 80-90%-ra rdemes belltani. Teht mg kln partci esetn se foglaljuk le a teljes rendelkezsre ll szabad helyet. A squid egy knyvtrszerkezetet fog ltrehozni nmaga szmra, amelybe ksbb az objektumokat elhelyezi. Ennek kt szintje lesz. Megadhatjuk, hogy hny alknyvtrat hozzon ltre a kt szinten (1st level dirs, 2nd level dirs).
Az 'Access controll' oldalon klnbz szrseket tudunk belltani. Az ACL (access control lists) rsz tartalmazza a megfelelseket. Lthatjuk, hogy mr vannak alaprtelmezettek is belltva.
Amennyiben j ACL-t szeretnnk felvenni elszr ki kell vlasztani a tpust. Ezek gyakorlatilag a squid mkdse kzben kiolvashat vltozknak felelnek meg. Hogy lthassuk a mkdst, vegynk fel egy j ACL-t. Elszr vlaszuk ki a Web Server Regexp tpust, ennl a krs cmben lv kifejezst (rszkifejezst) lehet 122
Sulinet Expressz
2003
megadni. Majd kattintsunk a Create new ACL gombra. Adjuk meg az ACL nevt (ACL Name). rjuk be a kifejezst (Regular Expressions), ha ezt a szveget tallja a Web-szerver cmben, akkor az ACL rvnyes lesz. Mentsk a belltst.
Az ACL nmagban csak megfelelst jelent azt, hogy mit szeretnnk csinlni, ha rvnyesl a Proxy restrictions-nl adhatjuk meg. Ez kezeli az letlts engedlyezst. A feltteleknl fellrl lefel sorba halad. Ha egyezst tall, akkor az adott sorban belltott rtknek megfelelen tiltja (deny), vagy engedlyezi (allow). Az utols sorban tallhat a 'minden ms esetben' felttel. Adjunk hozz (Add proxy restriction) a mi felttelnket. Ezt egy szabvny ablakban tehetjk. Itt kivlaszthatjuk, hogy tilts, vagy engedlyezs lesz. Kt oszlopban tallhatjuk az ACL-eket. A bal oldaliban kivlasztottaknl a felttel, akkor igaz, ha az ACL lersnak megfelel (' Match ACLs'). A jobb oldalinl, akkor lesz igaz a felttel, ha nem felel meg (' Don't match ACLs ').
Jelljk be a sajt ACL-nket a megfelels sorban s tiltsra. Majd mentsk. Lthatjuk, hogy utolsnak helyezte be. A nyilak segtsgvel tegyk az els sorba.
Ugyangy felvehetnk egy client address ACL-t is, amelyet belsohalo-nak hvunk. Megadjuk az 'Form IP'-hez a hlzati cmet (192.168.0.0) s a netmaszkot 123
Sulinet Expressz
2003
(255.255.0.0). Felvesszk a hozz tartoz felttelt is engedlyezsre egyezs esetn. Majd a nyilakkal a megfelel (utols eltti) sorba tesszk. Ezzel engedlyeztk, hogy a bels hlzatunk hasznlja a proxy szolgltatsait, de olyan oldalt nem szolglunk ki, amelynek a cmben benne van a 'sex' kifejezs. Hasonlan hasznlhatjuk az ACL-eket az 'Other Caches' oldalon is. Az els oszlopban azokat a feltteleket adjuk meg, amelyek a direkt kapcsolatokat kezelik, a msodiknl, pedig azokat, amelyek a proxy hasznlatt. A belltsok befejeztvel mg ltre kell hoznunk a cache knyvtrrendszert.
lltsuk be a felhasznlt (Squid), amellyel a knyvtrat kezeljk. A cache knyvtrnak ez a felhasznl legyen a tulajdonosa. s nyomjuk meg az 'Initialize Cache' gombot. Ha ksz van, akkora kvetkez jelenik meg:
9.3 Gyakorlat
lltsuk be a Squid-ot az albbi adatok szerint s generljuk le a cache knyvtrat. Cache knyvtr helye a teleptsnl erre a clra klnvlasztott partci csatolsi pontja legyen s a mrete a partci mretnek 90%-a. Csak az iskola bels hlzata fel nz hlzati krtyt figyelje a 3129-es porton. A memria foglalsa (cache jegyzk) a gpben lv memria nyolcada legyen. Engedlyezzk, hogy az iskola bel hlzata hasznlja a proxyt, kivve egy szmtgp IP cmt.
124
Sulinet Expressz
2003
125
Sulinet Expressz
2003
Az iskolk, a regionlis kzpontokkal vannak sszekttetsben a helyi lehetsgeknek megfelel adatvonalon. Ezek lehetnek ISDN, ADSL, brelt vonal (ritka esetben hagyomnyos telefonvonal). Erre a vonalra kerl (a SuliNet szekrnyben elhelyezett) vonali vgberendezs, amely kapcsoldik a SuliNet routerre. A SuliNet router hlzati (Ethernet) portjra kell csatlakoztatni az iskola publikus IP cmekkel rendelkez hlzatt. Ezt a szekrnyben elhelyezett HUB segti el. Teht minden olyan gpet, szerveret, amely kzvetlenl, publikus IP cmmel ri el az Internet hlzatot, erre a HUB-ra kell kapcsolnunk. Mivel 13 db (12+1 szerver) publikus IP, s korltozott mennyisg HUB port ll rendelkezsnkre, ezrt ide csak a szervereket (esetleg 1 adminisztrcis kliens gpet hiba esetre) szoktuk kapcsolni. A szerverhez kapott programok segtsgvel (nem ktelez a szerveren a SuliNet ltal biztostott program hasznlata) megoldhat, hogy a szerver egyik hlzati krtyja az Internet fel nz, mg a msik az iskolban kialaktott bels hlzat fel. A bels hlzaton privt IP cmeket hasznlhatunk (pl.: 10.0.0.1, 192.168.0.1), de ez nem alkalmas kzvetlen az Interneten val kommunikcira. A szerverre hrul a feladat az iskola bels hlzata s az Internet kztti kapcsolat megteremtsre, a cmek fordtsra. Ezt NAT-nak, vagy masquerading-nak nevezzk.
126
Sulinet Expressz
2003
Ebben az esetben az iskola bels hlzata egy privt IP cmekkel rendelkez nllan mkdkpes hlzat lehet, amelyre az intzmny sszes gpt lehet csatlakoztatni. Internet hasznlat esetn, a szerveren keresztl kommuniklnak, a szerver kls IP cmt felhasznlva. Ebben az esetben az iskolai hlzat egy alapvdettsget lvez az Internet fell, amelyet a szerveren elhelyezett tzfal segtsgvel nvelhetnk. A hlzat kialaktshoz az iskola egy domain nevet s 16 cmet tartalmaz IP tartomnyt kapott hasznlatra. IP tartomny Az iskola ltal hasznlhat IP cmekrl a SuliNet adatlapbl (zemeltetsi paramterek tblzata) kaphatunk nmi informcit (1,2,3,9 sorok). Sajnos az adatlap nem tartalmazza konkrtan a szksges adatokat. Nzznk egy pldt: 1. Munkallomsok szmra alloklt cmtartomny: 195.199.16.145195.199.16.157 2. A hozz tartoz netmaszk: 255.255.255.240 3. A tartomnybl a router szmra mr felhasznlt IP 195.199.16.158 cm: 9. Az intzmnyi szerver javasolt cme s kezdetben 195.199.16.157 megadott domain neve: server.isk-varos.sulinet.hu Ezeknl az adatoknl neknk azrt tbbre lenne szksgnk. Meg kell hatroznunk a hlzati cmet s a broadcast cmet is. Mivel a router a legutols hasznlhat IP cmt szokta kapni ezrt induljunk ki ebbl az adatbl. 127
Sulinet Expressz -
2003
255.255.255.240es hlzati maszk annyit tesz, hogy a hlzatban 16 IP cm szerepel (256-240). A router cme a legutols alkalmazhat IP cm. Utna kvetkezik a broadcast cm. Teht: Broadcat = Router cm+1 = 195.199.16.158 + 1 = 195.199.16.159 A hlzati cm mindig a tartomny legels cme. Teht: Hlzati cm = broadcast 16 + 1 = 195.199.16.159 16 + 1 =195.199.16.144
Teht a hlzatot a kvetkezkppen tudjuk meghatrozni: Hlzati cm: 195.199.16.144 Hlzati maszk: 255.255.255.240 Broadcast cm: 195.199.16.159 tjr: 195.199.16.158
Domain Minden iskolnak bejegyeznek egy SuliNet-es aldomaint. Alaprtelmezsben ez iskola-varos.sulinet.hu formtum. Az aldomain al, a hosztokat is regisztrljk. A fenti IP plda alapjn ez a kvetkez lehet: pc1.iskola-varos.sulinet.hu pc2.iskola-varos.sulinet.hu pc3.iskola-varos.sulinet.hu pc4.iskola-varos.sulinet.hu pc5.iskola-varos.sulinet.hu pc6.iskola-varos.sulinet.hu pc7.iskola-varos.sulinet.hu pc8.iskola-varos.sulinet.hu pc9.iskola-varos.sulinet.hu pc10.iskola-varos.sulinet.hu pc11.iskola-varos.sulinet.hu pc12.iskola-varos.sulinet.hu server.iskola-varos.sulinet.hu router.iskola-varos.sulinet.hu 195.199.16.145 195.199.16.146 195.199.16.147 195.199.16.148 195.199.16.149 195.199.16.150 195.199.16.151 195.199.16.152 195.199.16.153 195.199.16.154 195.199.16.155 195.199.16.156 195.199.16.157 195.199.16.158
A szerver gp ezek szerint a server.iskola-varos.sulinet.hu cmmel rendelkezik. Mivel a szerveren klnbz szolgltatsok futnak, ezrt alisaok (lnevek) vannak bejegyezve r: mail.iskola-varos.sulinet.hu www.iskola-varos.sulinet.hu ftp.iskola-varos.sulinet.hu server.iskola-varos.sulinet.hu server.iskola-varos.sulinet.hu server.iskola-varos.sulinet.hu
Ezek alapjn a szerver mind a ngy nvre hallgatni fog. Van lehetsg az iskolban e-mail szerver kialaktsra. A iskola cmei munkatars@iskola-varos.sulinet.hu formtumak lehetnek. Ahogy ltszik az e-mail nem konkrt gp, hanem az iskola domainjra van cmezve. Hogy a leveleket mgis a megfelel gp kapja meg, a DNS szerverben, gynevezett, MX rekordot kell belltani: 128
2003
preference = 60, mail exchanger = mail.core.sulinet.hu preference = 50, mail exchanger = mail.szfv.sulinet.hu preference = 10, mail exchanger = server.iskola-
Az MX rekordnl tbb gp is meg van adva. Ezeket egy preference sorszmmal ltjk el. Amikor a levl kzbestsre kerl, akkor a kld gp elszr a legkisebb sorszmmal rendelkez szerverre prblja meg eljuttatni. Amennyiben ez nem elrhet, gy a kvetkezvel prblkozik. A magasabb sorszm szerverek gy vannak belltva, hogy fogadjk a leveleket s folyamatosan prblkozzanak a legkisebb sorszm szerverre val juttatsval. SuliNet ltal biztostott szolgltat szerverek Minden regionlis kzpontban tallhat regionlis szerver. Ez a kvetkez szolgltatsokat biztostja: Domain Name Server Az iskolhoz legkzelebb lv DNS szerver. Ha az iskolnak nincs sajt DNS chache szervere, akkor ezt a szervert rdemes belltani a klienseken, mint nvfelold szerver. Proxy szerver Az iskolhoz legkzelebb lv proxy (FTP, Gopher, HTTP). Nem ktelez hasznlni, de jelents sebessgnvekedst is elrhetnk. News szerver POP3 s SMTP szerver Minden iskolnak ltrehoznak egy adminisztrcis postafikot a regionlis szerveren. Ez elssorban a SuliNet zemeltets s az iskola kztti kommunikcit szolglja, de ms clokra is hasznlhat. A levelek letltshez szksges POP3 s levelek kldshez szksges SMTP szolgltatst is a regionlis szerver vgzi.
A SuliNet kzpont is szolgltat DNS s proxy elrst a core.sulinet.hu szerveren. Segtsg a munkhoz Ezen dokumentum megrsa a http://support.sulinet.hu oldal anyagai s az zemeltetsi tmutat (http://www.sulinet.hu/info/uzemeltetes/) felhasznlsval kszlt. Ajnlott levelezsi listk: TechInfo (http://lista.sulinet.hu) SuliNettel kapcsolatos krdsek, problmk, szrevtelek. 1let (https://www.1let.hu/mailman/listinfo/forum) Kzoktatsi Rendszergazda Egylet (www.1let.hu) levelezsi listja. SuliNetware (http://www.snw.info.hu/INTRANWL/index.htm) IntranetWare iskolai teleptsi s mkdtetsi tapasztalataival kapcsolatos levelezs. Sulinux (http://server.wesselenyi-bp.sulinet.hu/mailman/listinfo/sulinux/) 129
Sulinet Expressz
2003
Ajnlott weboldalak: root.hu szmtstechnikai magazin http://www.root.hu - Linux-felhasznlk Magyarorszgi Egyeslete ltal zemeltetett Linuxos hroldal. http://www.linux.hu - Hungarian Unix Portal http://portal.fsn.hu/ - Magyar BSD egyeslet oldala http://www.bsd.hu - Tech.Net magazin MSHU oldalai http://www.microsoft.com/hun/technet/default.asp?MSCOMTB=ICP_MSHUN|%20 Tech.Net%20magazin - SuliNetWare oldala http://www.snw.info.hu/ - Sulinet support oldal http://support.sulinet.hu - Kzoktatsi Rendszergazda Egylet oldala http://www.1let.hu
130