PODSTAWOWE USŁUGI SIECIOWE SYSTEMU LINUX SLACKWARE

Transkrypt

1 PODSTAWOWE USŁUGI SIECIOWE SYSTEMU LINUX SLACKWARE

2 1. BUDOWA ORAZ OPIS PROCESU INSTALACJI WRAZ Z OPISAMI KROK PO KROKU WYKONYWANYCH SKRYPTÓW ZNALEZIENIE ŹRÓDŁA I ŚCIĄGNIĘCIE OBRAZU PŁYTY PROCES INSTALACJI KONFIGURACJA INTERFEJSÓW SIECIOWYCH ORAZ USŁUG IM TOWARZYSZĄCYCH Wyświetlanie listy interfejsów sieciowych serwera i zmiana adresu fizycznego Administracja interfejsami w czasie pracy Konfiguracja połączenia sieciowego- Statycznego Konfiguracja połączenia sieciowego- Dynamicznego Konfiguracja bramy internetowej Wprowadzanie adresu serwera DNS Opis pliku /etc/fstab i jego znaczenie Aktywacja usługi dzielenia łącza internetowego. Serwer NAT Uruchomienie serwera DHCP- konfiguracja Diagnostyka SIECI z wykorzystanie protokołu ICMP Monitorowanie ruchu dla sieci LAN Bezpieczeństwo od strony LAN i WAN Obsługa i uruchomienie serwer WWW na przykładzie APACHE Serwer Squid jako serwer buforowy Serwer ftp Usługi domenowe w oprogramowaniu Slackware Połączenia vpn - w trybie sesyjnym SSL z wykorzystaniem oprogramowania OpenVPN POLECENIA SYSTEMOWE WRAZ Z ATRYBUTAMI I OPISAMI LITERATURA

3 1. Budowa oraz opis procesu instalacji wraz z opisami krok po kroku wykonywanych skryptów. Pragnę przybliżyć proces instalacji systemu dedykowanego na platformę serwerową. System Slackware Linux przeznaczony jest w głównym stopniu na urządzenie typu serwer, jego stabilność i dokładność działania jest zadowalająca. Te właśnie dwie główne cechy spowodowały że wybrałem jego instalacje na komputerze typu PC Znalezienie źródła i ściągnięcie obrazu płyty Zdecydowana większość systemów Linux jest darmowa. Tylko co niektóre dystrybucje są płatne, Slackware na szczęście do nich się nie zalicza i tutaj pojawia się pierwszy i ogromny plus ekonomiczny. Obecnie istnieje możliwość pobrania systemu na kilka sposobów. Slack'a możemy pobrać przez, serwer FTP sieć BitTorrent lub HTTP, wybór należy już do samego użytkownika. Ja osobiście wybrałem sieć HTTP. System operacyjny w wygodny sposób się pobrał w krótkim czasie. Polskimi serwerami będącymi oficjalnymi źródłami dystrybucji Slackware Linux są: sunsite.icm.edu.pl. ftp.man.poznan.pl ftp.man.szczecin.pl ftp.man.poznan.pl 1.2. Proces instalacji Uruchamiamy jednostkę centralną wkładamy płytę do napędu optycznego CD-ROM/DVD-ROM. Jeśli sekwencja bootująca została dobrze ustawiona powinniśmy ujrzeć na ekranie monitora następujący widok: 3

4 Rys. 11. PrintScr ekranu stanowiska laboratoryjnego. [źródło: opracowanie własne] W zależności od platformy sprzętowej musimy wybrać typ jądra systemu. Jeśli w naszym komputerze zainstalowany jest dysk twardy jest typu ATA należy wybrać jądro typu bare. Jeżeli jednak nasz dysk twardy używa interfejsu SATA wybieramy jądro sata, cała lista jąder ukaże się wtedy gdy wciśniemy na klawiaturze przycisk F3. Znajduję się tam opis jąder i przeznaczenia dla którego zostały opracowane. Po dokładnym przeczytaniu opisów i wybraniu optymalnego jądra wpisujemy jego nazwę i potwierdzamy przyciskiem ENTER. Kolejnym punktem jest wybór układu klawiatury. Standardowo opcją ustawioną przez twórcę jest US, przestawiamy układ klawiatury z US na QWER- TY/EUROPE-PL i potwierdzamy klawiszem ENTER. Pokaże się nam się nam okno z niebieskim tłem wybieramy interesująca nas pozycje i zatwierdzamy klawiszem ENTER. 4

5 Konfigurowanie przestrzeni dyskowej ustawianie partycji i uruchamianie instalatora. Po wybraniu układ klawiatury, system wymusi na nas zalogowanie się na najważniejszego użytkownika określonego w systemach pochodzenia unikowego ROOT. Zgadzamy się na propozycję, wpisujemy nazwę konta ROOT i zatwierdzamy przyciskiem ENTER. Po udanym logowaniu, musimy odpowiednio podzielić przestrzeń dyskową, oczywiście wg własnych potrzeb. Mechanizmy dzielenia dysku na partycje są dwa, fdisk lub cfdisk. Uruchomienie i użycie aplikacji do partycjonowania dysków jest uzależnione od użytkownika i zainstalowanego dysku w danej jednostce centralnej. FDISK- komendy uruchamiające: fdisk /dev/sda dla dysku z interfejsem SATA lub SCSI fdisk /dev/hda dla dysku z interfejsem ATA CFDISK komendy uruchamiające: cfdisk /dev/sda- dla dysku z interfejsem SATA lub SCSI cfdisk /dev/hda dla dysku z interfejsem ATA 5

6 Łatwo zauważyć że wybór aplikacji Fdisk lub Cfdisk jest dobrowolny bo obie aplikacje umożliwiają wykonanie dokładnie tych samych instrukcji dzielących dysk. Jedyną zmiana w wierszu lini komend jest nazwa programu i odpowiedni wybór składni określonej poprzez interface HDD. Bardzo dobrym nawykiem jest ustawienie co najmniej trzech partycji dyskowych podstawowej( katalog źródłowy Root), swap 1 (system wymiany plików) i trzeciej służącej do przechowywania dokumentów osobistych( Home). Jeżeli dysk twardy jest już podzielony według potrzeb wymuszonych poprzez użytkowników możemy przystąpić do samego procesu instalacji systemu operacyjnego. Instalacja z użyciem płyty kompaktowej. Wybieramy źródło danych i potwierdzamy przyciskiem ENTER. Pojawia się okno z wyborem instalowanych pakietów zaznaczamy wszystkie nas interesujące i zatwierdzamy poleceniem ENTER. 1 SWAP - systemowa partycja występująca w systemach typu UNIX. Służy do tymczasowego przechowywania danych w sytuacji, gdy ich ilość przekracza zasoby wolnej pamięci RAM lub gdy z różnych powodów korzystniej jest przechowywać je (lub ich część) na dysku twardym. 6

7 7

8 W tym kroku kreator instalacyjny zapyta nasz o typ instalacji, jeżeli dysponujemy sporą przestrzenią dyskową najlepszym wyborem będzie instalacja instalacja typu FULL. Instalator systemu zainstaluje wszystkie dostępne paczki bez konieczności ich potwierdzania. Jest to wygodniejsze rozwiązanie ponieważ nie będziemy musieli doinstalowywać potrzebnym nam później poszczególnych składników systemu. Proces instalacji OS 2 jest w pełni automatyczny i może trwać od kilku do kilku dziesięciu minut w zależności od tego jaką platformą sprzętową dysponujemy. Pod koniec procesu instalacji nadszedł czas na zainstalowanie jądra systemu (kernel 3 ), wskazujemy ścieżkę kopiowania z cdromu i zatwierdzamy ENTEREM. 2 OS system operacyjny (ang.) Operating System 3 KERNEL - (ang. kernel) podstawowa część systemu operacyjnego, która jest odpowiedzialna za wszystkie jego zadania. 8

9 Proponowany jest wybór tego samego jądra którego użyliśmy podczas instalacji taką sytuację przedstawia poniższy rysunek. Następnym krokiem po wybraniu i zainstalowani jądra jest pytanie o stworzenie dyskietki startowej. Dyskietka ta może posłużyć nam jako Rescue Disk 4 dysk w sytuacji awaryjnej NP. zagubienie hasła Root-a lub uszkodzeniu sektora botującego (MBR 5 ). Jednakże ze względu na trwałość tegoż nośnika danych nie jest konieczne stworzenie go, zapytanie to odwołujemy poprzez wybranie pozycji SKIP i zatwierdzeniu jej przyciskiem ENTER. Istnieją leprze rozwiązania wytworzenia dysku ratującego jednym z nich jest użycie płyty CD troszeczkę bardziej trwałego nośnika danych. Kolejna sytuacja przedstawiona na poniższym rysunku to wybór modemu jeżeli istnieje taka konieczność instalujemy modem jeżeli nie to wybieramy opcję NO MODEM. Modem w naszej platformie serwerowej może być użyty jako alternatywne źródło dostępu do Internetu w przypadku awarii. 4 Rescue Disk dysk awaryjny 5 MBR- pierwszy sektor botujący z HHD. 9

10 Administrator może stworzyć skrypt, który śledzi czy serwer ma dostęp do zasobów sieci WAN, jeżeli taka awaria nastąpiła skrypt uruchamia modem i tworzy połączenie do sieci Wan poprzez wdzwanianie w inne źródło dostępowe do zasobów sieci globalnych. Kolejnym ciekawym mechanizmem który należy ustawić to funkcja HOTPLUG, jest to mechanizm umożliwiający wykrywanie nowych urządzeń podłączonych do jednostki centralnej podczas uruchamiania systemy operacyjnego. Okno wyboru przedstawiono poniżej. Następnie konfigurator zapyta nas o zainstalowanie LILO, jest to mechanizm odpowiedzialny za załadowanie systemu operacyjnego. Proponuję zainstalowanie go automatycznie poprzez wybranie funkcji SIMPLE. Ekran wyboru przedstawia poniższy rysunek. 10

11 Konfigurator zapyta nas o wybranie rozdzielczości, następnie wybieramy miejsce zapisu informacji rozruchowej. Jednym z najlepszych miejsc jest sektor rozruchowy dysku a mianowicie MBR. Po wykonaniu tych czynności kreator zapyta nas o to czy zainstalować myszkę i używać jej w wirtualnej konsoli systemowej. Należy zatwierdzić opcja bardzo przydatna. Tak oto dobrnęliśmy do końca procesu instalacji systemu operacyjnego. Instalator pyta czy chcemy ustawić protokoły sieciowe i skonfigurować interfejsy ale te punkty będziemy opisywać bardziej szczegółowo w dalszej części pracy. Konfigurator poprosi nas o ustawienie poszczególnych usług wybór jest dowolny ale proponuje ustawić zegar sprzętowy i strefę czasową. Kiedy usługi zostaną ustawione wszystko jest już gotowe wyciągamy płytę z napędu CR-rom wpisujemy komedę EXIT i resetujemy komputer komędą REBOOT. System został zainstalowany i wstępnie skonfigurowany. 11

12 1.3. Konfiguracja Interfejsów sieciowych oraz usług im towarzyszących. Urządzenie za pomocą którego komputer podłączony jest do sieci teleinformatycznej, nosi nazwę interfejsu sieciowego. Takimi oto interfejsami są karty sieciowe modemy telefony czy terminale ISDN. Zwykle komputery urztkowników i serwery obsługują sieci lokalne LAN przeważnie maja jeden interfejs sieciowy. Serwry łączące siec LAN i WAN( w naszym przypadku Internet) posiadają dwa interfejsy z czego jeden jest kartą sieciową od strony LAN-u a drugi urządzeniem łączącym nas z Internetem( w większości przypadków narzuconym przez dostawcę usługi). W systemie slackware każdemu interfejsowi odpowiada nazwa złożona z kodowego oznaczenia typu polaczenia oraz numeru porządkowego. Na przykład korty sieciowe typy Ethernet maja oznaczenia eth0, eth1,eth2,.ethx.a połączenia typu PPP- realizowane za pośrednictwem modemu ppp1, ppp2,..pppx. Jednym ze szczególnych przypadków jest interfejs typu lo. Interfejs ten należy traktować jako połączenie zwrotne (z ang. loop-back) ten oto interfejs nie jest reprezentowany przez żadne urządzanie. Interfejs LO ma zawsze przydzielony adres IP z 8 bitową maską sieci Wyświetlanie listy interfejsów sieciowych serwera i zmiana adresu fizycznego. Aby doprowadzić do sytuacji wyświetlenia wszystkich interfejsów sieciowych musimy zalogować się na konto administracyjne ROOT. I wydać następujące polecenie: ip a Tak oto wyświetlona lista pomoże nam zobaczyć jakie posiadamy interfejsy, które z nich są aktywne a które nie i jakie mają adresy fizyczne zapisane w postaci sześciu dwucyfrowych liczb zapisanych w kodzie szesnastkowym. Adres MAC jest adresem fizycznym danego interfejsu powinien być unikatowy i niezmienny. Jednakże sytuacje zmiany są wymuszane poprzez operatorów bądź dostawców Internetu lub na potrzeby podszywania się pod daną stację czyli szeroko mówiąc wszelkiego zarządzania siecią. Aby dokonać zmiany fizycznego adresy dla interfejsu eth0 wykonujemy następujące czynności. Logujemy się na ROOT-a. i wpisujemy kolejno: ifconfig eth0 down Wyłączamy interfejs. ifconfig eth0 hw ether 01:23:45:67:89:ab Podajemy nowy adres fizyczny gdzie 01:23:45:67:89:ab to nowy MAC. ifconfig eth0 promisc Włączenie karty w tryb przyjmowania wszystkich pakietów ifconfig eth0 up Włączenie danego interfejsu. 12

13 ifconfig eth0 Sprawdzenie czy MAC został zmieniony i czy interfejs został uruchomiony w zastępstwie można zastosować polecenie ip a tak jak już wczesnej wspomniałem wyświetlona zostanie lista wszystkich adresów Administracja interfejsami w czasie pracy. Niezależnie od tego czy dla poszczególnego interfejsu nadaliśmy adresy IP może być aktywny bądź nie. Podczas uruchamiania systemu operacyjnego Linux Slackware automatycznie uruchamiane są interfejsy którym nadano adresy IP. Jeżeli jednak chcemy włączyć lub wyłączyć interfejs eth0 w czasie pracy nie zakłócając pracy w sieci musimy wydąć polecenie: Ip l set eth0 up Ip l set eth0 down Konfiguracja połączenia sieciowego- Statycznego. Aby system operacyjny automatycznie w trakcie uruchamiania konfigurował parametry interfejsów sieciowych typu Ethernet, należy edytować plik konfiguracyjny rc.inet1.conf. ścieżka dostępu do tego pliku to : /etc/rc.d/rc.inet1.conf Aby rozpocząć edycję należy wpisać w polecenie: mcedit/etc/rc.d/rc.inet1.conf. Na naszym ekranie wyświetliła się zawartość pliku rc.inet1.conf. Plik konfiguracyjny zawiera X powtarzających się sekcji. Wartość X uzależniona jest od ilości interfejsów fizycznych podpiętych do serwera. Na przykład aby interfejs eth0 otrzymał podczas uruchamiania systemu IP i maskę należy wprowadzić zmiany w sekcji dotyczącej eth0: IPADDR[0]= adres IP interfejsu NETMASK[0]= MASKA SCICI USE_DHCP[0]= DHCP_HOSTNAME[0]= Zmiany w pliku konfiguracyjnym edytowanym przez edytor mcedit zapisujemy sekwencją klawiszy F2, ENTER, i wychodzimy poprzez naciśnięcie przycisku F Konfiguracja połączenia sieciowego- Dynamicznego. Jeżeli natomiast chcemy by interfejs pobierał adres IP automatycznie z serwera dostawcy Internetu lub innego serwera działającego w danej sieci to także edytujemy także plik rc.inet1.conf. W takim przypadku zawartość odpowiedniej sekcji dla interfejsu eth0 musi wyglądać następująco: 13

14 IPADDR[0]= NETMASK[0]= USE_DHCP[0]= yes uruchomienie dynamicznego pobierania adresu IP z sieci DHCP_HOSTNAME[0]= dowolna_nazwa nazwa naszego serwera Zmiany w pliku konfiguracyjnym edytowanym przez edytor mcedit zapisujemy sekwencją klawiszy F2, ENTER, i wychodzimy poprzez naciśnięcie przycisku F Konfiguracja bramy internetowej. W pliku rc.inet1.conf poniżej sekcji odpowiadającej za interfejsy znajduję się osobna opcja dotycząca całego systemu serwerowego GATEWAY. Przy pomocy edytora mcedit otwieramy plik edytujemy wpis: GATEWAY= adres_bramy_internetowej jest to adres zapisany w formacie IP v4 adres wskazującym nam drogę do zasobów sieci zewnętrznej lub Internetu. Może być to adres otrzymany od dostawcy internetowego lub kolejnego rutera innej sieci LAN. Zmiany w pliku konfiguracyjnym edytowanym przez edytor mcedit zapisujemy sekwencją klawiszy F2, ENTER, i wychodzimy poprzez naciśnięcie przycisku F Wprowadzanie adresu serwera DNS. Adres serwera rozwiązywania nazw wprowadza się w pliku konfiguracyjnym /etc/resolv.conf. Serwer DNS ma za zadanie tłumaczyć adresy zapisane w postaci WWW. na adersy IP odpowiadając nazwą domen. Edycja resolv.conf poprzez polecenie mcedit/etc/resolv.conf. Po wywołaniu edycji usuwamy wszystkie wpisy i i wprowadzamy nowy adres. Zawartość pliku wygląda następująco: Nameserver Możemy tutaj także wpisać klika adresów dwóch trzech lub więcej tym sposobem uzyskamy swoista redundancję usługi rozwiązywania nazw. W przypadku gdy pierwszy nameserver nie będzie odpowiadał na zapytania zostanie wysłane zapytanie do drugiego i tak dalej. Składnia pliku resolv.conf który posiada więcej niż jeden adres serwera DNS wygląda następująco: Nameserver Nameserver Zmiany edytowane w pliku /etc/resolv.conf zaczynają obowiązywać automatycznie w momencie zapisania pliku konfiguracyjnego na dysku. Zmiany w pliku konfiguracyjnym edytowanym przez edytor mcedit zapisujemy sekwencją klawiszy F2, ENTER, i wychodzimy poprzez naciśnięcie przycisku F10. 14

15 Opis pliku /etc/fstab i jego znaczenie. Aby pokazać naszemu systemowi gdzie ma mountować poszczególne systemy plików wraz z odpowiednimi dla nich opcjami, należy wprowadzić odpowiednie wpisy do pliku /etc/fstab/. Plik ten zawiera opisowe informacje na temat różnych systemów plików. Tworzony jest przez administratora i żaden program nie posiada praw do jego edycji. Dla lepszego zrozumienia tematu przyjrzyjmy się przykładowemu plikowi i przeanalizujmy funkcje jakie spełniają poszczególne wpisy: 15

16 #(fs_spec) (fs_file) (fs_vfstype) (fs_mntops) (fs_freq) (fs_passno) /dev/hda2 / ext3 defaults 0 0 /dev/hda3 swap swap defaults 0 0 proc /proc proc defaults 0 0 pts /dev/pts devpts gid=5,mode= /dev/fd0 /floppy vfat noauto 0 0 /dev/hdc /cdrom iso9660 noauto,ro,user 0 0 Jak widzimy plik ma budowę sekwencyjną, poszczególne pola oddzielone są od siebie spacją lub tabulatorem, a ich kolejność nie jest przypadkowa. Dane odpowiedniego rekordu wczytywane są przez takie programy jak: fsck, Mount umount i muszą one być zapisane w odpowiedniej kolejności aby zapewnić prawidłowe funkcjonowanie owych programów, które to przecież maja kluczowe znaczenie dla działania naszego systemu. Pole fs_spec - określa urządzenie blokowe lub zdalny system plików przeznaczony do zamontowania, na przykład partycję dysku, cdrom czy aparat. Pole fs_file- wskazuje na miejsce, w którym ma być zamontowany dany system plików, na przykład dla partycji wymiany (ang. "swap partition") to pole powinno zawierać wartość "none", a dla cdromu "/media/cdrom". Pole fs_vfstype - określa typ systemu plików jaki znajduje się na danym urządzeniu. Najbardziej powszechne obecnie i obsługiwane systemy plików to: ext2 ext3 XFS vfat iso9660 nfs swap Pole fs_mntops udostępnia szereg znaczników systemowych, które mogą miec kluczowe znaczenie dla bezpieczeństwa naszego systemu. Przykładowo następujące znaczniki oznaczają - nodev - zapobiega rozpoznawaniu przez jądro dowolnych plików urządzeń, znajdujących się w systemie plików * - noexec - zapobiega wykonywaniu plików wykonywalnych w danym systemie plików * - nosuid - zapobiega uwzględnianiu bitów set-uid oraz set-gid w przypadku dowolnego pliku wykonywalnego 16

17 * - ro - powoduje zamountowanie systemu plików w trybie tylko do odczytu, powstrzymując wszelkie modyfikacje informacji dotyczących plików, włączając w to na przykład czas dostępu do pliku Pole fs_freq jest używane przez komendę dump do wykrywania, który system plików musi być odłączony. Jeżeli nie ma informacji o tym polu, zwracana jest wartość 0 i dump przyjmuje, że dany system plików nie musi być odłączany. Pole fs_passno jest używane przez program fsck, wartość 0 1 lub 2 decydują o kolejności sprawdzania systemów plików podczas ładowania systemu. Zaleca się aby główny system plików miał wartość równą 1, zaś inne systemy plików powinny mieć wartość 2. Jeżeli to pole nie posiada żadnej wartości lub jest ona równa 0 to wtedy dany system plików nie jest sprawdzany przez fsck. [Newbie - Autor: Marek Wojtaszek] Aktywacja usługi dzielenia łącza internetowego. Serwer NAT. Aby współdzielić łącze internetowe potrzebujemy minimum dwóch interfejsów sieciowych. Pierwszy z nich jest podłączony do sieci dostawcy łącza internetowego, a kolejny do naszej lokalnej sieci LAN. Zanim uruchomimy usługę współdzielenia łącza internetowego musimy posiadać następujące informacje: Adres IP i maskę sieci dostawcy internetowego Adres IP i maskę sieci naszej sieci LAN Adresy IP serwerów DNS dostawcy internetowego (opisanych w punkcie 3.3.6) Adres IP bramy internetowej Włączamy serwer logujemy się na użytkownika ROOT i z wiersza poleceń systemu wydajemy następujące polecenie: Iptables t A POSTROUTING s /24 SNAT to Gdzie /24 to adres IP naszej sieci LAN czyli klasa adresowa z maską 24 której poszczególne komputery mają dostęp do zasobów zewnętrznych WAN czy Internet. A adres to adres IP naszego interfejsu na serwerze przydzielonego przez dostawcę usługi. Po zatwierdzeniu ENTEREM komendy współdzielenie łącza powinno funkcjonować. Sprawdzenie usługi współdzielenia łącza można wykonać wydając polecenie: Iptables Ln t Nat 17

18 Naszym oczom ukaże się informacja mówiąca o źródle i celu skąd dokąd maja docierać pakiety. W naszym przypadku komunikacja następuje między naszą siecią LAN o adresacji a siecią Wan o interfejsie zaadresowanym Inną formą sprawdzenia czy usługa działa jest wydanie polecenia ping do jakiegoś zewnętrznego adresu np.( z komputera podpiętego do sieci LAN. Jeżeli uzyskamy odpowiedz od danego źródła znaczy się że komunikacja działa i łącze jest współdzielone, ale uzyskujemy jeszcze jedną informację podczas odpowiedzi na zapytanie o adres a mianowicie wiemy że działa nam także serwer DNS opisany szczegółowo w punkcie Jeżeli usługa dzielenia łącza została przetestowana to trzeba dodać wpis do pliku rc.local znajdującego się /etc/rc.d/rc.local. tak aby usługa działała od razu po włączeniu serwera. Edytujemy plik rc.local poprzez wydanie komendy: Msedit/etc/rc.d/rc.local I dodajemy następujący wpis: Iptables t A POSTROUTING s /24 SNAT to Wpisu można dokonać np. na końcu pliku rc.local. Może zdarzyć się taka sytuacja że niestety omyłkowo wprowadziliśmy błędny adres którejś z sieci i usługa współdzielenia łącza nie działa, bądź działa błędnie. W takiej sytuacji nie należy dodawać nowej instrukcji współdzielenia łącza a wykonać polecenie: Iptables F t Nat Po zatwierdzeniu takiego polecenia wszystkie wpisy dotyczące współdzielenia łącza zostaną usunięte Uruchomienie serwera DHCP- konfiguracja Serwer DHCP jest to zautomatyzowany proces za pomocą którego komputery podpięte do sieci LAN otrzymują adresy IP od aplikacji zainstalowanej na naszym serwerze. Jest to usługa w pełni programowalna pozwalająca na np. dynamiczne nadawanie stałych adresów IP konkretnym komputerom w sieci lokalne. Sprawdzenie czy oprogramowanie serwera DHCP jest zainstalowane na naszym komputerze odbywa się następująco: Należy przejść do katalogu: /var/log/packa ges I wydać polecenie: Ls l dhcp* Jeżeli na ekanie wyświetli się wiersz prezentujący wersję i nazwę pakietu oznacza to że serwer jest gotowy do dalszej konfiguracji oprogramowania. Jeżeli natomiast sytuacja jest odwrotna aplikację trzeba będzie ściągnąć i zainstalować. Odnośnie ściągnięcia sytuacja jest opisana w punkcie 3.3 a odnośnie instalacji proces wygląda następująco. Wszystkie operacje podczas konfiguracji i instalacji wykonujemy na koncie administracyjnym ROOT. Instalacja pakietu uruchamiamy wydając polecenie: /var/log/packages Swaret-install dhcp 18

19 Zatwierdzamy poprzez naciśnięcie Y i proces instalacji zostaje uruchomiony. Jeżeli proces zakończył się powodzeniem przechodzimy do dalszej konfiguracji. Aby serwer dynamicznego nadawania adresów uruchamiał się automatycznie musimy znowuż edytować plik rc.local i dopisać następująca linię: /usr/sbin/dhcpd Edycja jak zwykle wykonując polecenie mcedit/etc/rc.d/rc.local po dopisaniu wiersza z wyżej wymienionym tekstem zapisujemy zmiany i opuszczamy edytor. Tak oto przygotowany plik rc.local będzie nam automatycznie uruchamiał usługę DHCP podczas uruchamiania samego systemu. Jeżeli natomiast zajdzie potrzeba zatrzymania procesu serwera DHCP tak aby nie nadawał on nowych adresów dla komputerów sieci LAN wystarczy wydać polecenie: killall dhcpd Natomiast uruchomienie serwera dhcp bez restartowania serwera realizuje się poleceniem: dhcpd Jeżeli aplikacja w trakcie uruchamiania nie wykryje błędów konfiguracyjnych i logicznych na ekranie wyświetli się komunikat o poprawnej obsłudze sieci o danej klasie adresowej. Plik konfiguracyjny serwera dhcp w systemie slackware nosi nazwę dhcpd.conf domyślna ścieżka dostępu do pliku to /etc/dhcpd.conf. DHCPD.CONF podzielony jest zazwyczaj na dwie główne części. Pierwsza z nich zawiera informację dotyczące wszystkich zakresów IP przydzielanych poszczególnym komputerom w sieci LAN. W drugiej zaś opisane są poszczególne parametry konkretnych zakresów IP. W przypadku małych sieci serwer DHCP będzie obsługiwał tylko jeden zakres. Opcje globalne dotyczące całej sieci najlepiej opisywać na początku pliku konfiguracyjnego dhcpd.conf. Opis poszczególnych modułów wygląda następująco: Authoritative; - jest to wpis potwierdzający legalności czyli mówi o tym czy ten serwer dhcp ma obsługiwać naszą sieci LAN. Opcja bardzo przydatna zapobiega uruchomieniu drugiego serwera nadającego adresy w obrębie jednej sieci lokalnej. W domyślej konfiguracji pliku dhcpd.conf nie mam wpisu Authoritative dla porawnego funkcjonowania sieci proponuj wpisanie go w pierwszym wierszu. Ddns-update-stzle none; - mechanizm wyłączający automatyczną aktualizację wpisów serwera DNS. Aby wskazać serwerowi DHCP którą kartę sieciowa ma obsługiwać konieczne jest określenie adresu IP podsieci i maski tej że sieci. Funkcje tą uruchamiamy poprzez dodanie do pliku konfiguracyjnego następujących wierszy: Subnet netmask { } dzie adres IGP nie jest konkretnym adresem IP wskazującym np. na serwer bądź stacje roboczą tylko adresem sieci. Wszystkie konfiguracje dotyczące danej podsieci należy teraz wprowadzać pomiędzy nawiasami kwadratowymi w wyżej wymienionym wpisie. Np. zakres od do: range ; 19

20 Wyżej wymieniony wpis wskaże serwerowi dhcp zakres adresów jaki może przydzielać poszczególnym stacją roboczy w danej sieci lokalnej. Jeżeli zakres ten będzie wystarczający dla potrzeb daniej sieci, to znaczy jeżeli ilość komputerów w sieci nie przekracza ilości w danym zakresie serwer dhcp będzie codziennie nadawał takie same adresy dla poszczególnych komputerów. Jeżeli sytuacja ulegnie zmianie serwer będzie wykorzystywał adresy IP komputerów obecnie nie podłączonych do sieci dla innych nowych stacji. option routers ip; - wpis określający adres bramy internetowej w naszym przypadku jest to adres lokalny serwera który rozdziela łącze internetowe pomiędzy stacje podłączone do sieci LAN. Option domain-name-servers ip1; - określa nazwy serwerów DNS w naszym przypadku będzie to adres serwera DNS naszego dostawcy internetowego. Option domain-name NAZWA ; - wpis określający nazwę domeny dla poszczególnych komputerów podłączonych do sieci lokalnej. Jeżeli nie wykupiliśmy prawdziwej domeny możemy używać nazw przeznaczonych dla sieci lokalnych zakończonych słowem local. Np.: Option domain-name nasza_domena_local ; Diagnostyka SIECI z wykorzystanie protokołu ICMP. W trakcie administrowania systemem serwerowym bardzo ważne jest opanowanie narzędzi służących do diagnozowania połączenia sieciowego i sprawdzania połączeń między serwerami a stacjami roboczymi. W tym też celu przedstawię kilka najważniejszych narzędzi tegoż typu. POLECENIE Ping: Polecenie ping x.x.x.x wysyła do komputera o adresie x.x.x.x lub nazwie testowy pakiet informacji ICMP 6 i oczekuje na odpowiedz od strony danego hosta. Bardzo przydatna narzędzie do testowania sieci LAN lub połączenia WAN. Jest to jedno z najbardziej popularnych poleceń zarówno w systemach pochodnia Uniksowego jak i Windowsowego. Polecenie ping stosowane jest najczęściej z parametrami: -c n- ogranicza liczbę pakietów do n (zastosowanie bez parametru plecenie przebiega bez końca aż do momentu wciśnięcia CTRL+C, -i czas - zmienia czas w sekundach upływający między kolejnymi nadawaniami pakietu testowego, -n wyłącza możliwość zamiany adresów IP na odpowiadające In ciągi znaków hostów (bardzo często stosowane podczas pracy z serwerem DNS), 6 ICMP- (ang. Internet Control Message Protocol, internetowy protokół komunikatów kontrolnych) opisany w RFC 792 protokół warstwy sieciowej OSI/TCP/IP wykorzystywany w diagnostyce sieci oraz trasowaniu. Pełni przede wszystkim funkcję kontroli transmisji w sieci. 20

21 -q wyłącza wyświetlania informacji o odebranych prawidłowych pakietach, -s rozmiar określa rozmiar testowych wysyłanych pakietów danych, -w czas określa w sekundach czas oczekiwania na odpowiedz dla wysyłanego zapytania Polecenie Traceroute: Polecenie to wyświetla trasę jaką przebywa pakiet danych przesłany do hosta o danym adresie. Zastosowanie: Traceroute x.x.x.x gdzie (x.x.x.x) to nazwa hosta lub adres IP Polecenie traceroute stosowane jest najczęściej z parametrami: -I Przeprowadza test drogi za pomocą pakietów ICMP( domyślnie UDP), -n - wyłącza możliwość zamiany adresów IP na odpowiadające In ciągi znaków hostów (bardzo często stosowane podczas pracy z serwerem DNS), -w - czas określa w sekundach czas oczekiwania na odpowiedz dla wysyłanego zapytania. Polecenie netstat.: Powyższe polecenie wyświetla aktywnych w danym momencie połączeń TCP a także nasłuchujących gniazd TCP i UDP. Najczęściej stosowane z parametrami: -n - wyłącza możliwość zamiany adresów IP na odpowiadające In ciągi znaków hostów (bardzo często stosowane podczas pracy z serwerem DNS), -c włącza tryb nieustannego aktualizowania wyświetlanych informacji, -l włącza tryb wyświetlania gniazd nasłuchujących TCP i UDP Monitorowanie ruchu dla sieci LAN. Polecenie iptraf: Jest to bardzo rozbudowane narzędzie umożliwiające głównie obserwowanie statystyk korzystania złącza sieciowego. Domyślnie statystyka przebiega w czasie rzeczywistym jednak niektóre opcje umożliwiają również diagnozowania działania połączenia poprzez podglądanie ruchu sieciowego. Uruchomienie aplikacji następuje poprzez wydanie polecenia iptraf z wiersza poleceń i zatwierdzenie enterem. Uruchamia się interfejs graficzny po zatwierdzeniu ekranu powitalnego jesteśmy w menu głównym aplikacji. Postaram się opisać poszczególne opcje programu: IP traffic monitor pokazuje listę aktywnych połączeń TCP i listę wędrujących pakietów UDP i ICMP w sieci LAN, zaadresowanych do serwera. Monitoring może także dotyczyć wszystkich interfejsów lub każdego z osobna. General interface ststistics- opcja przedstawiająca nam podsumowanie aktywności na wszystkich interfejsach. Dla każdego z osobna jest wyświetlana liczba nadanych lub otrzymanych pakietów (Total) w tym ilośc pakie- 21

22 tów IP( IP) i liczba z innych protokołów niż IP (nonip). Prezentowana jest też liczba uszkodzonych pakietów protokołu IP (badip) a także chwilowe obciążenie interfejsu w KB/s (activity). Detailed interface statistics szczegółowo przedstawia informacje na temet zadeklarowanego interfejsu, liczbę nadanych i odebranych pakietów dla poszczególnych protokołów IP (UDP, TCP, ICMP) Statistical brakdowns - jest to opcja umożliwiająca obróbkę danych na temat ruchu sieciowego. LAN ststion monitor monitorowanie ruchu w sieci LAN. W tej opcji używa się tylko adresów fizycznych (MAC) Exit umożliwia opuszczenie programu Bezpieczeństwo od strony LAN i WAN. Administracja serwerem który udostępnia zasoby w sieci lokalnej niesie ze sobą problem zabezpieczenia przed użytkownikami od strony LAN-u. Aby użytkownicy korzystali z usług serwera musza się logować do niego i korzystać z jego zasobów. Aby uzyskać dostępu za pomocą sieci musimy założyć każdemu z nich osobne konto. Każde konto charakteryzowane jest poprzez trzy informacje: Nazwę stanowiącą jawny identyfikator. Hasło ochraniające dostęp do konta a także katalogu domowego. Przynależność do katalogu domowego posiadając pełne prawa zapisu i odczytu dla struktury wewnętrzne danego katalogu. Każde z kont posiada także przynależność do grupy użytkowników. Domyślną grupą obejmującą standardowych użytkowników jest grupa USERS. System pozwala nam także tworzyć własne grupy i przyporządkowywać im poszczególnych użytkowników. Każde z kont może należeć do dowolnej liczby grup. Hierarchia ta jest zbudowana dla ułatwienia w administracji pozwala łączyć grupy uprawnieniami a także dostępem do danych plików i katalogów. Wyświetlanie grup użytkowników i listy kont. Listy te zaspane są w dwóch zwykłych plikach, listę kont znajdziemy w pliku o nazwie passwd znajdującego się w /etc/passwd. Do wyświetlania jej na ekranie możemy użyć stepującego polecenia : Cat /etc/passwd Każdy wiersz na liście składa się z pól oddzielonych od siebie znakiem :, kolejne pola prezentują następujące dane. Nazwa konta Pole zarezerwowane zawiera znak X Niepowtarzalny w obrębie jednego systemu liczbowy identyfikator Liczbowy identyfikator grupy 22

23 Opis nazwy konta Ścieżka katalogu domowego Nazwa powłoki systemowej przydzielonej użytkownikowi Edycję pliku passwd można realizować poprzez jaki kol wiek edytor tekstowy lecz poważniejsze zamiany lepiej wprowadzać za pośrednictwem poleceń systemowych. Polecenia te zostaną szczegółowo opisane w dalszej części tego rozdziału. Grupy bądź listy grup opisane są w pliku group o ścieżce dostępu /etc/group. Jej zawartość także wyświetlamy za pomocą polecenia: cat /etc/group Tak samo jak w poprzednie liście poszczególne wiersze maja określoną składnię oddzieloną znakami :. Nazwa grupy Zarezerwowane pole puste Niepowtarzalny identyfikator liczbowy grupy Lista kont przynależnych do danej grupy Zakładanie konta użytkownika. Aby założyć konto użytkownika musimy wydać poniższe polecenie: useradd Kuba - gdzie nazwa Kuba jest nazwą konta Jednym z najważniejszych parametrów powyższego polenienia jest nazwa konta ponieważ musi być ona niepowtarzalna. Użycie polecenia z parametrem m załatwia nam sprawę katalogu lokalnego dla danego użytkownika. Np.: useradd Kuba m gdzie parametr m od razu zakładam nam katalog domowy dla użytkownika Mimo że założyliśmy już konto użytkownikowi niestety nie może się on jeszcze załogować do systemu ani do własnego katalogu ponieważ konta nie chroni żadne hasło systemowe. W takim przypadku konto użytkownika Kuba jest zablokowane. Będąc administratorem systemu a nazwie ROOT możemy narzucać hasło dla dowolnego użytkownika w tym celu musimy wydać polecenie: passwd kuba Wprowadzić hasło : xxxx Potwierdzić hasło: xxxx Tak oto przeprowadzona procedura ustawia hasło dla użytkownika Kuba i odblokowuje jego konto tym samym dając dostęp do katalogu domowego. Zwykły użytkownik może także zmienić swoje hasło wydając polecenie passwd bez żadnych parametrów. Wpisać w polu old password aktualne hasło po czym dwa razy wprowadzić nowe. Podczas codziennej administracji może zaistnieć potrzeba usunięcia użytkownika (np. zwolnienie z pracy ) w tym celu musimy być zalogowanie jako administrator i wydać polecenie: 23

24 Userdel Kuba - gdzie Kuba jest nazwą konta użytkownika Po wydaniu powyższego polecenia użytkownik zostanie usunięty ale na dysku lokalnym zostanie jego katalog domowy aby tak się nie stało proponuję zastosować powyższe polecenie z parametrem r. Np.: Userdel Kuba r Tworzenie grupy użytkowników następuje poprzez wydanie polecenia : groupadd administratorzy gdzie administratorzy to nazwa grupy Usuwanie grupy: Groupdel administratorzy- gdzie administratorzy to także nazwa grupy Aktualizacja oprogramowania. Ważnym punktem podczas zabezpieczania naszego serwera jest pamiętanie o aktualizacji oprogramowania zainstalowanego na naszym serwerze. Oprogramowanie jest produkowane poprzez człowieka, a co wiąże się nieodłącznie z bledami. Nie koniecznie muszą to być bledy krytyczne powodujące zawieszanie się serwera lub zerwanie jakiegoś połączenia, mogą to być bledy w postaci dziur w oprogramowaniu umożliwiające wtargnięcie do systemu. Wtargnięcie do systemu zarządzającego całą sieci jest bardzo niebezpieczne, intruz może zainstalować oprogramowanie i ukryć je tak aby administrator nie wiedział o jego istnieniu. Bądź co gorsze użyć naszej sieci do przeprowadzenia ataku DoS 7 lub doprowadzić do kopiowania poufnych danych należących naszej do firmy. Z tegoż powodu powinniśmy regularnie sprawdzać czy dostępne są nowsze wersje oprogramowania zainstalowanego na naszym serwerze. Najbezpieczniej będzie używać oprogramowania w dostępnej dystrybucji systemu, Jeżeli znajdziemy takież oprogramowanie aktualizacji dokonujemy dwoma poleceniami systemowymi: Swaret update Swaret upgrade Przeglądanie dziennika zdarzeń systemowych. Włamanie jest często procesem złożonym i nie udaje się od razu wiele technik włamywania się do zasobów serwera wymaga powolnego wyszukiwania luk lub kont opatrzonych słabymi hasłami. Każda próba włamania zostaje zapisana w dziennikach zdarzeń, także konieczne jest przeglądanie wpisów systemowych w dziennikach. Slackware przechowuje raporty z funkcjonowania systemu w kilku plikach zebranych w katalogu /var/log/. Najważniejszymi z tych plików są: Dmesg pokazuje komunikaty o krytycznych błędach systemu i postępie uruchamiania poszczególnych procesów Messages jest to główny dziennik zdarzeń systemowych zawierający w sobie także wszystkie wpisy z dziennika dmesg. 7 DoS- (ang. denial of service odmowa usługi) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania. 24

25 Secure jest to plik zawierający informacje o wystąpieniach związanych bezpośrednio z bezpieczeństwem NP.: (o udanych i nieudanych próbach logowania do systemu ). Vsftpd dziennik funkcjonowania serwera plików FTP. Apache/acces_log lista stron www oferowanych przez serwer Apache. Apache/error_log lista bledów serwera Apache. Przeglądanie naszych dzienników zabezpieczeń można uruchomić na kilka sposobów jednak najbardziej popularne są trzy: Cat nazwa_liku wyświetli całą zawartość naszego dziennika Less nazwa_pliku pozwala wyświetlić zawartość pliku i przewijać go na ekranie naszego serwera oglądając poszczególne części Tail -n nazwa_pliku możliwa wyświetlenie na ekranie n ostatnich wierszy z zadeklarowanego pliku NP.: tail -20 error_log Powyższe polecenie spowodowało wyświetlenie 20 ostatnich wpisów z dziennika zdarzeń serwera Apache. Konfiguracja i zabezpieczenia dostępu zdalnego z wykorzystanie protokołu SSH. Dostęp zdalny w systemie Slackware realizowany jest poprzez protokół SSH za pomocą standardowo wbudowanego pakietu programowego OPENSSH. Plik konfiguracyjny naszego pakietu openssh zapisany jest /etc/ssh/sshd_config. Sshd_config ma bardzo prostą strukturę a mianowicie składa się z nazwy opcji i wartości opcji. Standardowo wiersze opatrzone na początku znakiem # są tarktowane jako komentarze. Edycję pliku konfiguracyjnego przeprowadzamy poprzez wydanie polecenia: mcedit /etc/ssh/sshd_config Na naszym ekranie pojawiła się zawartość pliku konfiguracyjnego pakietu openssh, domyślnie wszystkie wiersze pakietu są oznaczone jak komentarze zmieniając wartość poszczególnych wierszy musimy wykasować znak #. Aby uruchomić usługę musimy skonfigurować tylko dwa wiersze: Protocol 2,1 jest to funkcja określająca którą wersję protokołu ma obsługiwać pakiet openssh, perforowaną wersją jest protokół w wersji 2 ponieważ jest nowszy i bardziej dopracowany. PermitRootLogin yes funkcja domyślnie pozwalająca na zalogowanie się bezpośrednio na użytkownika administracyjnego czyli Root. Po wprowadzeniu zmian opuszczamy edytor zapisując wprowadzone zmiany i koniecznie restartujemy usługę poleceniem: /etc/rc.d/rc.sshd restart Jeżeli pakiet został poprawnie skonfigurowany a usługa zrestartowana możemy z powodzeniem wypróbować logowanie do serwera poprzez aplikacje putty. Blokada możliwości zgadywania haseł. 25

26 Pakiet umożliwiający blokowanie zgadywania haseł niestety nie jest standardowo zainstalowany w naszym serwerze. W taki bądź razie będziemy musieli go ściągnąć z Internetu i zainstalować. Aby tego dokonać musimy zalogować się na konto Root i wydać następujące polecenia: mkdir sshport stworzenie katalogu sshport Cd sshport wejście do katalogu wget - ściągnięcie pakietu Tar xjvf sshport tar.bz2 dekompresja pliku z pakietem Make Make install instalacja Po krótkiej chwili na naszym ekranie pokaże sie znak zachęty a podczas instalacji otrzymamy komunikat done! znaczy to że pakiet został poprawnie zainstalowany. W takiej sytuacji pozostaje nam doprowadzić do sytuacji aby serwer podczas uruchamiania uruchomił program SSHPORT. Wydajemy poniższe polecenie: mcedit /etc/rc.d/rc.local Na końcu powyższego pliku dopisujemy wiersz : /bin/sshport Zasada działania pakietu SSHPORT jest bardzo prosta, w momencie wykrycia kilku z rzędu prób logowania do serwera z mizernym skutkiem pakiet odcina ruch IP, odbierając tym możliwość zalogowania się do serwera. Aby uruchomić pakiet nie restartując całego serwera wydajemy polencie: /bin/sshport 26

27 Obsługa i uruchomienie serwer WWW na przykładzie APACHE. Rolę serwera WWW czy HTTP w systemie Slackware Linux pełni pakiet o nazwie Apache jest bardzo fajnym rozwiązaniem pozwalającym w łatwy i przyjemny sposób udostępniania informacji dla sieci LAN i WAN. Podczas instalacji i konfiguracji pakietu Apache musimy być zalogowani na użytkownika z prawami administratorskimi w naszym przykładzie będzie to ROOT. Sprawdzenie zainstalowanego pakietu Apache: Jeżeli chcemy sprawdzić czy posiadamy w naszym systemie zainstalowany pakiet Apache przechodzimy do katalogu: /var/log/packa ges I wydajemy polecenie: Ls l Apache* php* Po zastosowaniu powyższego polecenie na naszym ekranie powinny pojawić się dwa wiersze ukazujące nam nazwę i wersję zainstalowanego pakietu. Jeżeli natomiast sytuacja jest odwrotna musimy zainstalować pakiet apatch. Instalacja Pakietu Apache. Aby zainstalować pakiet wydajemy następujące polecenie: Swaret install apache Odpowiadamy zatwierdzając pytanie i po chwili pakiet jest zainstalowany. Może zdarzyć się taka sytuacja że instalator wyświetli komunikat o brakujących bibliotekach DB4 w tym celu musimy je ręcznie zainstalować: Swaret instal db4 Aby zwiększyć funkcjonalność naszego serwera WWW pozwalając tworzyć na nim dynamiczne serwisy internetowe musimy także zainstalować pakiet interpretera PHP. W celu wykonania takiej operacji postępujemy jak poniżej: Swaret install php Zatwierdzamy pytanie czy aby na pewno chcemy instalować pakiet i po chwili pakiet jest zainstalowany. Podobnie jak w przypadku Apache instalator może zgłośić komunikat o braku bibliotek LDAP w takim przypadku także będzie trzeba je ręcznie zainstalować: Swaret install ldap Udzielamy odpowiedzi poprzez naciśnięcie Y na pytanie instalacji biblioteki open-client. W sytuacji gdy serwer Apache i PHP są już zainstalowane musimy uruchomić oprogramowanie serwera. Uczynimy to poleceniem: /etc/rc.d/rc.httpd start 27

28 Jeżeli nie popełniliśmy żadnych błędów i stosowaliśmy się do powyższych poleceń na ekranie pojawi się komunikat http started. Aktualizacja pakietu Apache. Administrując serwerem musimy pamiętać o tym aby aktualizować pakiety serwera WWW. Jest to niezwykle istotne ponieważ w kolejnych wydaniach usuwane są drobne błędy, skutecznie uszczelniając działanie serwera. Aby skutecznie dokonać aktualizacji oprogramowania Apache wydajemy polecenie: Swaret -upgrade Apache Przy okazji aktualizacji oprogramowania Apache możemy zaktualizować także pakiet interpretera PHP. W tym celu wydajemy polecenie: Swaret -upgrade php Aby serwer podjął prace z zaktualizowanym oprogramowaniem musimy koniecznie zrestartować usługę: /etc/rc.d/rc.http restart Dzięki wydaniu powyższego polecenia nie musimy restartować całej maszyny i zatrzymywać poszczególnych procesów za które serwer już jest odpowiedzialny i z których korzystają już użytkownicy. Automatyczne uruchamianie i zatrzymywanie się serwera apache. Aby aplikacja Apache uruchamiała się automatycznie podczas uruchamiania systemu operacyjnego, plik /etc/rc.d/rc.httpd musi mieć włączony atrybut wykonywalności x. Sytuacje taka osiągniemy po wydaniu poniższego polecenia; Chmod 500 /etc/ec.d/ec.httpd- gdzie 500 oznacza kod dostępu prawa odczytu i uruchamiania pliku Jeżeli sytuacja jest odwrotna czyli chcemy zablokować uruchamianie serwera WWW podczas ładowania OS należy usunąć atrybut wykonalności poprzez wydanie polecenia: Chmod 0 /etc/rc.d/rc.httpd Jeżeli podczas codziennej pracy z naszym serwerem opartym o OS slackware zajdzie potrzeba zatrzymania lub uruchomienia usługi Apache realizują to następujące komendy: /etc/rc.d/rc.httpd stop- zatrzymuje pracę serwera WWW /etc/rc.d/rc.httpd start uruchamia serwer WWW o ile konfiguracja jest poprawna Testowanie uruchomienia serwera WWW. Aby przetestować działanie serwera WWW musimy uruchomić komputer podłączony do naszej sieci i w pasku pola adresu wpisać adres naszego serwera. Serwer Apache jest wyposażony w standardową witrynę mówiącą nam poprawnym działaniu uruchomionej usługi. Po wpisaniu adresu IP i zatwierdzeniu na naszym ekranie po- 28

29 jawi się poniższe okno które potwierdzi nam poprawną konfigurację serwera Apache. Zabezpieczenie hasłem katalogu użytkownika w serwerze Apache Jeżeli zaistniała potrzeba udostępnienia zasobów serwer Apache dla poszczególnych użytkowników naszej sieci LAN i chcemy doprowadzić do sytuacji autoryzowania się użytkowników poprzez użycia loginu i hasła. Musimy zmodyfikować trzy pliki: httpd.conf.htpasswd.htaccess Wszelkie modyfikacje plików konfiguracyjnych zobligowani jesteśmy robić standardowo na koncie administracyjnym Root. Edycje każdego z plików przeprowadzamy poprzez wydanie komendy mcedit. Do pliku httpd.conf dodajemy lub edytujemy poniższy wpisy: AccessFileName.htaccess <Files ~ ^\.ht > Order allow,deny Deny from all Satisfy All </Files> Modyfikujemy prawa dostępu dla plików.htpasswd i.htacces poprzez wydanie poniższych komend: 29

30 touch /home/nazwa_usera/.htpasswd chown apache.apache /home/nazwa_usera/.htpasswd chmod 660 /home/nazwa_usera/.htpasswd htpasswd /home/nazwa_usera/.htpasswd nazwa_usera mkdir /home/nazwa_usera/public_html/katalog touch /home/nazwa_usera/public_html/katalog/.htaccess Do pliku.htaccess dodajemy lub edytujemy poniższy wpisy: AuthName Restricted Area AuthType Basic AuthUserFile /home/nazwa_usera/.htpasswd AuthGroupFile /dev/null require valid-user Efektem wykonania powyższych zabiegów będzie ograniczenie dostępu dla użytkowników nie autoryzujących sie w aplikacji Apache. Dostęp do informacji będzie 30

31 odbywał się poprzez podanie nazwy użytkownika i hasła co przedstawia poniższy rysunek: : 31

32 Serwer Squid jako serwer buforowy. Sieć WAN czyli w naszym przypadku Internet to ogromna sieć zawierająca miliardy serwisów internetowych. Codzienna administracja Siecia pokazuje że kilkanaście z serwisów WWW odwiedzają prawie wszyscy użytkownicy naszej sieci, pojawiają się także części wspólne odnośnie ściąganych informacji aktualizacji systemowych i innych aplikacji. Pakiet systemowy slackware posiada mechanizm zwiększający jakość oferowanych usług internetowych dla części wspólnych. Mechanizmem tym jest serwer buforujący WWW o przyjaznej nazwie Squid. Konfiguracja tego narzędzia umożliwi nam znaczne poprawienie jakości przeglądania stron WWW, łącze dostępowe do sieci WAN staje się mniej obciążone i w efekcie pozwala nam na szybsze pobieranie plików i aktualizacji, które nie są buforowane. Instalacja pakietu Squid. Pakiet serwera pośredniczącego bo tak tez jest nazywany nie jest dostępny standardowo w dystrybucji slackware. Musimy pograć go z sieci zdekompresować dokonać kompilacji i instalacji pakietu. Oprogramowanie możemy poprać z poniższego linku.: Aby ściągnąć nasz pakiet bezpośrednio na serwer musimy załogować się na konto root wpisać polecenie : Wget Powyższy przykład opisuje dokładny link który musimy znać zaczynając od http a kończąc na rozszerzeniu. Polecenie wget ściąga aplikację na nasz dysk twardy. Po zatwierdzeniu polecenia wraz z dokładnym linkiem aplikacja zostanie po chwili ściągnięta. Następnie musimy dokonać dekompresji pobranego plik, dokonamy tego poleceniem: tar xjvf squid-2.6.stable2.tar.bz2 Po rozpakowaniu archiwum wychodzimy z utworzonego katalogu poleceniem: cd squid-2.6.stable2 I wydajemy polecenie konfiguracji wcześniej zainstalowanego pakietu:./configure Powyższe polecenie przygotowuje pakiet do kompilacji i może potrwać kilka minut uzależnione jest to od platformy sprzętowej. Po pojawieniu się znaku zachęty przystępujemy do kompilacji wydając polecenie: make Kiedy kompilacja zostanie ukończona znowu na naszym ekranie pokaże się znak zachęty. Przystępujemy do instalacji pakietu poleceniem: make install Konfiguracja Squid. 32

33 Plik konfiguracyjny pakietu przechowywany jest w /usr/local/squid/etc/squid.conf. W celu konfiguracji pakietu edytujemy go poleceniem: Mcedit /usr/local/squid/etc/squid.conf Struktura pliku squid.conf jest bardzo standardowa składa się z wierszy I ich wartości. Przy czym standardowo wiersze rozpoczynające się od znaku # nie są czytane poprzez aplikacje traktowane są jako komentarze. Np.: Nazwa_opcjji wartość1 wartość2 itd. struktura wiersza # Nazwa_opcjji wartość1 wartość2 itd.- komentarz (nie jest wykonywany) Opcje które należy modyfikować opiszemy poniżej: http_port Jest to opcja pozwalająca zmienić nam port na którym pakiet squid nasłuchuje połączeń nadchodzących z naszej sieci LAN. Domyślnie ustawiona jest wartość 3128 zaś powszechnie używanym portem w Internecie będzie port Cache_mem Funkcja określająca ilość pamięci operacyjnej używanej do buforowania informacji. Pakiet domyślnie przechowuje pliki zbuforowane na dysku twardym lecz najczęściej używane lądują do pamięci operacyjnej ze względu na szybkość i łatwość dostępu do nich. Wartość tej funkcji domyślnie jest ustawiona na 8MB jednakże zelży to od ilości pamięci zainstalowanej w naszym serwerze. Maximum_object_size Mechanizm pozwalający nam określić maksymalny rozmiar plików które mają być buforowane każdy plik większy od zadeklarowanej wartości będzie domyślnie pobierany z Internetu. Funkcja bardzo przydatna ponieważ zapobiega przepełnieniu się bufora. Domyślna wartość to 4MB ze względu na dość tanie i powszechnie dostępne dyski twarde możemy zmodyfikować tą wartość do 20MB. Cache_dir Opcja określająca rozmiar dyskowego bufora plików, domyślny wpis ma postać: Cache_dir ufs /usr/local/squid/var/cahce Powyższy wiersz ustawia nam rozmiar bufora na 100MB rozmiar bufora także zależny jest od tego jakimi zasobami dyskowymi dysponujemy. acl Jest to tak na prawdę grupa opcji która umożliwia nam określenie praw dostępu do usług pakietu squid. Domyślnie nikt nie ma dostępu do korzystania z usługi serwera aby uruchomić dostęp musimy odszukać poniższe wiersze i określić pulę adresów które mają prawo korzystania z usług serwera pośredniczącego: #acl our_networks src / /24 # http_access allow our_networks Po odszukaniu powyższych wierszy zmieniamy wartości przypisując im naszą pulę adresową : 33

34 Acl siec_lokalna src /24 http_access allow siec_lokalna Tłumacząc powyższe wiersze /24 to wraz z maską adres naszej sieci lokalnej. Reszta komputerów próbujących korzystać z naszego serwera buforującego będzie odrzucana. Uruchamianie i zatrzymywanie serwera pośredniczącego. Musimy wykonać kilka operacji zanim po raz pierwszy uruchomimy serwer squid. Tworzymy katalog w którym zapisywać się będą buforowane pliki. Cała nazwa tego pliku zdefiniowana jest w wierszu cache_dir standardowo ma postać /usr/local/squid/var/cache. Jeżeli chcemy utworzyć ten katalog musimy z konta administracyjnego Root wydać polecenie: mkdir /usr/local/squid/var/cache Ponieważ nasz squid standardowo działa z uprawnieniami nobody, musimy zmodyfikować prawa dostępu do utworzonego powyżej katalogu. Chown nobody:nobody /usr/local/squid/var/cache Chmod 700 /usr/local/squid/var/cache Następnym naszym krokiem będzie stworzenie bazy danych plików rozpoznawanych dla palietu squi. Uczynimy to następującym poleceniem: /usr/local/squid/sbin/squid z O pomyślnym stworzeniu bazy danych poinformuje nas komunikat Creating Swap Directories. Po wykonaniu powyższych kroków możemy po raz pierwszy przystąpić do uruchomienia naszego serwera pośredniczącego. Aby to uczynić wydajemy komendę: /usr/local/squid/sbin/squid Serwer został uruchomiony aby dowiedzić się czy konfiguracja jest poprawna wydajemy polecenie: ps aux grep squid Automatyczne uruchamianie serwera squid. Jak zwykle musimy zmodyfikować plik rc.local. Uczynimy to za pomocą edytora mcedit lub za pomocą polecenia: Echo /usr/local/squid/sbin/squid >> /etc/rc.d/rc.local Jeżeli zajdzie potrzeba zatrzymania naszego pakietu musimy wydać polecenie: killall squid Podczas codziennej administracji serwerami doświadczenie pokazuje że modyfikacje i usprawnienia działających aplikacji jest koniczne. Jeżeli zajdzie potrzeba edycji pliku konfiguracyjnego musimy pamiętać żeby przeładować usługę tak aby nowa konfiguracja została przeczytana przez nasz serwer. Umożliwia nam to poniższe polecenie: /usr/local/squid/sbin/squid k reconfigure 34

35 Serwer ftp. Jeśli odblokowaliśmy już w firewallu dostęp do usług oferowanych przez SSH i przetestowaliśmy dostęp zdalny do naszego serwera może zaistnieć potrzeba dostępu do naszych dokumentów. W tym celu musimy skonfigurować aplikację udostępniającą nam zasoby dyskowe serwera czyli serwer FTP. Role takiego serwera w systemie Slackware pełni aplikacja vsftpd. Jest to niewielki pakiet programowy charakteryzujący się prostotą i szybkością działania. Aplikacja wymaga troszeczkę nakładu czasowego aby skonfigurować dany serwer lecz prawdopodobieństwo pozostawienia jakieś luki w systemie praktycznie nie istnieje. Sprawdzenie obecności pakietu programowego serwera FTP. Sprawdzenie odbywa się poprzez wejście do katalogu /etc/log/packages i wydanie polecenia: Ls l vsftpd* Jeżeli na ekranie pojawi się wiersz prezentujący nam nazwę oprogramowania i jego wersje znaczy że oprogramowanie jest zainstalowane i gotowe do konfiguracji. Jeżeli sytuacja się odwraca Musimy pobrać i zainstalować pakiet. W tym celu postępujemy następująco: Swaret install vsftpd Odpowiadamy twierdząco na zadane pytanie i po chwili pakiet VSFTPD jest zainstalowany. Aktualizacja pakietu VSFTPD. Jeżeli chcemy z jakiś powodów dokonać aktualizacji pakietu sprawa wygląda następująco: Wydajemy polecenie z wiersza poleceń: Swaret upgrade vsftpd Standardowo zatwierdzamy proces poprzez naciśnięcie Y i czekamy na komunikat Libraries resolved successfully jeżeli zobaczymy taki oto komunikat nasza aplikacja serwera FTP została zaktualizowana. Aby serwer zaczął pracować z nowym kodem źródłowym aplikacji musimy zatrzymać usługę serwera VSFTPD i uruchomić ją ponownie. Do tego celu posłużą nam poniżesz komendy: Killall vsftpd- gdzie zatrzymujemy proces serwera FTP Vsftpd- uruchamiamy proces serwera FTP Killall vsftpd; vsftpd restartujemy usługę Automatyczne uruchamianie i zatrzymywanie się aplikacji VSFTPD. Aby aplikacja serwera FTP uruchamiała się automatycznie podczas ładowania OS do pamięci komputera musimy edytować standardowo plik rc.local, znajdujący się w /etc/rc.d/rc/local. Tak jak poprzednio aby edytować wpisujemy następujące polecenie: mcedit /etc/rc.d/rc.local Dodajemy na końcu wpis uruchamiający aplikacje serwera FTP. 35

36 /usr/sbin/vsftpd Zapisujemy zmiany poprzez naciśnięcie klawisza F2 i zatwierdzenie enterem wychodzimy poprzez naciśnięcie F10. Zatrzymanie automatycznego uruchamiania aplikacji odbywa się bardzo pstro znowu edytujemy plik rc.local i z ostatniego wpisy robimy komentarz poprzez # całego wiersza. Sytuacja wygląda następująco. # /usr/sbin/vsftpd Tak opisany wiersz nie będzie czytany przez aplikację startującą. Konfiguracja serwera FTP. Aplikacja VSFTPD tworząca nasz serwer FTP nie da się uruchomić bez wstępnej konfiguracji. Plik konfiguracyjny znajdziemy /etc/vsftpd.conf. A zatem aby skonfigurować serwer musimy go edytować wydajemy polecenie: mcedit /etc/vsftpd.conf Taj samo ja w przypadku serwera Apache wiersze zaczynające się znakiem # są jedynie komentarzami. Każda z opcji serwera ftp ma postać nazwa_opcji=wartość_opcji. W dalszej części opisze opcje które powinniśmy skonfigurować aby serwer vsftpd uzyskał pełną sprawność swojego działania. Opis poszczególnych opcji konfiguracyjnych. Background wskazuje aplikacji VSFTPD pozostawać w tle podczas uruchamiania systemu. Opcja niezbędna tylko po zastosowaniu takiego rozwiązania serwer będzie obsługiwał wszystkich użytkowników i odbierał nowe połączenia. Standardowo opcja jest wyłączona i wygląda następująco: Background=NO Dla poprawnego działania należy włączyć ta opcję, włączenie następuje poprzez modyfikacje wpisu: Background=YES Listen opcja ta nakazuje aplikacji samodzielnie nasłuchiwać nowych połączeń. Standardowo ta opcja jest także wyłączona aby ja uruchomić należy zmodyfikować wpis: Listen=NO wyłączenie opcji nasłuchiwania połączeń Listen=YES - włączenie opcji nasłuchiwania połączeń Listen_port opcja ta określa port TCP poprzez który aplikacja vsftpd będzie nasłuchiwać nowych połączeń. Standardowo ustawiona jest na port 21 możemy jednak zmienić ten port tak aby żądania wysłane na port 21 od niewtajemniczonych użytkowników były odrzucane. Prostu tłumacząc jest to przekserowanie portów dla protokołu ftp. Aby ją uaktywnić modyfikujemy wiersz: Listen_port=221 gdzie 221 to port do nasłuchiwania połączeń od użytkowników sieci Xferlog_enable opcja włącza tworzenie dziennika zdarzeń pobieranych i zapisywanych informacji. Plik z dziennikiem tworzony jest w lokalizacji /var/log/vsftpd.log Standardowo opcja wytworzenia dziennika jest wyłączona włączamy ją poprzez zmodyfikowanie wiersza : Vsftpd_log_enable=NO- gdzie wiersz opisany NO nie tworzy dziennika 36

37 Vsftpd_log_enable=YES gdzie wiersz zmodyfikowany poprzez frazę YES uruchamia mechanizm raportowania. Chroot_local_user- Opcja ta pozwala na modyfikację uprawnień dla użytkowników korzystających z serwera ftp. Domyślnie ta funkcja jest wyłączona: chrobot_local_user=no - funkcja wyłączona pozwala wszystkim użytkownika przeglądać całą listę katalogów dostępna na serwerze ftp. chrobot_local_user=yes - funkcja określa dostęp do plików własnych i do tych do których prawa zostały nadane poprzez administratora systemu. Chek_shell Opcja blokująca dostęp użytkownikowi bez przypisanej powłoki systemowej np. (bash). Standardowo usługa ta jest włączona doświadczenie jednak pokazuje że powinniśmy ją wyłączyć, nie naraża to polityki bezpieczeństwa a jedynie usprawnia prace zdalną. Modyfikacja: Chek_shell=NO- funkcja autoryzacji użytkownika poprzez przypisanie powłoki systemowej wyłączona Chek_shell=YES - funkcja autoryzacji użytkownika poprzez przypisanie powłoki systemowej włączona. Write_enable włącza lub wyłącza możliwość modyfikacji danych obecnych na serwerze ftp. Standardowo jest wyłączona co skutecznie uniemożliwia modyfikowanie lub skasowanie zasobów dyskowych. Write_enable=NO- zabezpiecza przed skasowaniem i zapisem Write_enable=YES- umożliwia pełnoprawną kontrole nad danymi Local_enable umożliwia skorzystanie z serwera ftp użytkownikom dokonującym autoryzacji za pośrednictwem nazwy konta ( stworzonego wcześniej na serwerze) i hasła. Local_enable=NO- wyłącza autoryzację po użytkowniku zarejestrowanym Local_enable=YES włącza funkcję autoryzacji Anonymous_enable- funkcja pozwalająca logować się do serwera ftp za pomocą konta anonimowego pozbawionego hasła. Konto anonymous jest wirtualne i nie jest zadeklarowane w systemie Anon_upload_enable Funkcja włącza możliwość wysyłania plików na serwer ftp przez użytkowników anonimowych. Domyślnie jest wyłączona i w tym stanie należało by ją pozostawić. Tym sposobem unikniemy przepełnienia przestrzeni dyskowej zadeklarowanej na serwer plików. Anon_upload_enable=NO- wyłączona Anon_upload_enable=YES- włączona Anon_max_rate- opcja pozwala ustalić limit przepustowości połączenia poszczególnych użytkowników anonimowych. Wartoś określana jest w bitach na sekundę, poniższy przykład ustawi limit na 16KB/s. Anon_max_rate=16384 Local_max_rate pełni ta samą funkcję co pozycja wyżej z tym że dotyczy użytkowników którzy dokonali autoryzacji poprzez wpisanie login i hasła. Także wyrażana w bitach na sekundę. Ponieważ użytkownik została zautoryzowany możemy ustawić wartość znacznie wyżej niż dla usera anonimowego. Anon_root- bardzo fajna opcja powodująca blokowanie dostępu do katalogów w wyższej hierarchii niż ustalony poziom dotyczy oczywiście użytkowników anonimowych. Np.: 37

38 Anon_root=Home/ftp Użytkownicy anonimowi będą mogli przeglądać tylko katalog ftp i wszystkie katalogi znajdujące się poniżej w hierarchii. Anon_world_readable_olny pozwala użytkownikowi anonimowemu odczytywanie informacji które są dostępne dla wszystkich użytkowników. Standardowo jest włączona więc abyśmy mogli świadomie kontrolować co dzieję się z plikami proponuję ją wyłączyć. Anon_world_readable_olny=NO Po ustawieniu poszczególnych parametrów i zapisaniu zmian serwer ftp jest gotowy do użytku. Restartujemy usługę poprzez wydanie komendy: killall vsftpd; vsftpf i możemy wysyłać pliki do naszego serwera ftp. Sprawdzenie odbywa się poprzez jakikolwiek menadżer plików Np. Total Commander. Aby ustawić połaczenie z naszym serwerem ftp podajemy adres IP naszego serwera i co najważniejsze port nasłuchiwania jaki ustawiliśmy w pliku konfiguracyjnym w wierszu pt Listen_port Usługi domenowe w oprogramowaniu Slackware. Jeżeli nasz serwer oferuję już obsługę sieci lokalnej i realizuje połączenie do Internetu do pełnej funkcjonalności brakuje mu jeszcze usług domenowych poprzez udostępnianie zasobów dyskowych dla sieci lokalnej. Ponieważ nasza sieć lokalna zawiera komputery klienckie, z zainstalowanym systemem operacyjnym Windows musimy połączyć funkcjonalność serwera z zainstalowanym Slackware, z oprogramowaniem na stacjach roboczych naszych użytkowników. Autor systemu slackware pogodził te dwa systemy aplikacją o bardzo przyjaznej nazwie SAMBA. Sprawdzenie obecności aplikacji samba. Jeżeli chcemy sprawdzić czy Nan naszym serwerze jest zainstalowany pakiet SAMBA przejdźmy do katalogu /var/log/packages i wydajemy polecenie ls l samba*. Na naszym ekranie powinien pokazać się wiersz prezentujący standardowo nazwę pakietu i jego wersję. Jeżeli natomiast sytuacja jest odwrotna jesteśmy zmuszeni zainstalować pakiet od nowa. Instalacja pakietu Samba. Instalacji jak zwykle będzie towarzyszyła aplikacja Swaret, by zainstalować pakiet musimy z wiersza poleceń wydać następującą komendę: Swaret install samba Odpowiadamy twierdząco na zadanie pytanie i po chwili mamy zainstalowany pakiet. Jeśli podczas instalacji zostanie nam zwrócony komunikat błędu o brakujących bibliotekach będziemy musieli je także doinstalować. W tym celu wydajemy komendę: Swaret instal readline lub swaret upgrade readline W tym właśnie momencie instalacja jest kompletna i możemy przystępować do konfiguracji. 38

39 Aktualizacja pakietu Samba. Podczas codziennej pracy administratora musimy także pamiętać o aktualizacji używanych aplikacji tak samo jest też z pakietem SAMBA. Proces aktualizacji pakietu jest bardzo prosty i przyjemny. Aby dokonać aktualizacji wydajemy polecenie: Swaret upgrade samba Odpowiadamy twierdząco na zadane pytanie o chęci aktualizacji pakietu i czakamy aż aktualizacja zakończy się powodzeniem. Aby zaktualizowane oprogramowanie zostało używane przez nasz serwer restartujemy usługę poprzez wydanie polecenia: /etc/rc.d/rc.samba restart Dzięki wydaniu powyższego polecenia nie musimy restartować całego serwera, ponieważ zrestartowana zostanie jedynie usługa serwera samby. Automatyczne uruchamianie i zatrzymywanie serwera SAMBY. Aby nasz serwer samby uruchamiała się automatycznie podczas ładowania OS serwera musimy zmodyfikować plik /etc/rc.d/rc.samba. plik Ten musi mieć włączony atrybut wykonalności X. Sytuacje taką uzyskamy gdy wydamy polecenie: Chmod 500 /etc/rc.d/rc.samba gdzie kod 500 oznacza prawa r-x----, prawa odczytu i uruchamiania pliku wyłącznie przez właściciela. Aby zablokować możliwość automatycznego musimy zmodyfikować atrybut wykonalności uczynimy to poleceniem: Chmod 0 /rtc/rc.d/rc.samba Jeżeli podczas codziennych obowiązków administratora będziemy chcieli chwilowo zatrzymać bądź uruchomić serwer samby wykonamy to następującymi poleceniami: /etc/rc.d/rc.samba stop zatrzymanie /etc/rc.d/rc.samba start uruchomianie Konfigurowanie udostępniania zasobów. Pakiet serwera samba odczytuje swą konfigurację z pliku /etc/samba/smb.conf. Standardowo plik ten nie jest tworzony poprzez aplikację samby jest to zapiezpieczenie aby przydatkowo nie uruchomić naszego serwera nieskonfigurowanego. Aby stworzyć plik musimy wydać następujące polecenie: Cd /ect/samba gdzie komenda pozwala nam wejść do katalogu samby Cp smb.conf-simple smb.conf tworzy plik smb.conf Jeżeli chcemy edytować plik utworzony powyższymi komendami wystarczy wydać polecenie: mcedit /etc/samba/smb.conf 39

40 Musimy także pamiętać że mimo iż zapiszemy zmiany w pliku konfiguracyjnym nasz serwer będzie dopiero współpracował z kodem źródłowym po zrestartowaniu usługi, bądź jest zatrzymaniu i uruchomieniu. Budowa pliku smb.conf. Plik konfiguracyjny podzielony jest na tak zwane sekcje. Każda z nich rozpoczyna się nazwą zamkniętą w nawiasy kwadratowe. Np.: [nazwa_sekcji] Sekcja kończy się wraz z początkiem nowej lub końcem pliku konfiguracyjnego. W wnętrzu sekcji zlokalizowane są wpisy konfiguracyjne. Wszystkie wpisy mają jednakową strukturę. Np.: Nazwa_wpisu=wartość Sekcja [global] Sekcja zawiera ogólne paramenty programu. Najważniejszymi wpisami które musimy zmodyfikować za nim uruchomimy pakiet samby to: Workgroups Funkcja ta określa nazwę grupy roboczej lub nazwę domeny Windows która ma obsługiwać. Tą samą nazwę musimy wpisać w ustawieniach sieciowych stacji roboczych działających na systemie Windows. Nazwa grupy powinna być prosta i zapisana wielkimi literami np.: workgroups=firma serwer string Nie jest to nic innego jak nazwa naszego serwera która ma zostać wyświetlana w otoczeniu sieciowym systemu Windows NP.: Serwer string=serwerek Netbios name Funkcja określająca nazwę serwera w sieci Windows. Tą samą nazwę musimy wpisać w ustawieniach sieciowych stacji roboczych działających na systemie Windows. Nazwa grupy powinna być prosta i zapisana wielkimi literami np.: Net bios name=serwer Hosts allow Mechanizm który określa pulę adresów IP stacji roboczych mogących korzystać z usługi naszego serwera samby. Deklarowanie adresów może odbywać się na trzy sposoby: Hosts allow = gdzie dopuszczona jest cała grupa adresowa z sieci lokalnej /24, Hosts allow= gdzie dopuszczony jest tylko komputer o adresie , 40

41 Hosts allow= gdzie dopieszczona jest cała grupa z sieci /24 i stacja o adresie IP Guest account Funkcja określająca nazwę usera sytemu slackware która jest używana podczas ostępu do serwera przez użytkownika gość Powinna być ustawiona tak aby nie wpuszczać nikogo. Taką konfigurację przedstawia poniższy przykład: Guest account = nobody Sekcja [homes] Jest to sekcja odpowiedzialna za udostępnienie zawartości katalogu domowego dla przykładowego użytkownika. Daje możliwość dostępu użytkownikowi o nazwie Kuba za pomocą prostej ścieżki \\SERWER\KUBA uzyskać dostęp do własnego katalogu domowego, mechanizm ten znacznie upraszcza administrację ponieważ zależność ta działa bez konieczności ręcznego udostępniania nowego zasobu sieciowego. Oczywiście nazwa naszego serwera musi pokrywać się z wierszem netbios name. Standardowo opisana sekcja [homes] ma następującą strukturę: [homes] Comment = Home directories Browseable= no Writable = yes Nie powinniśmy zmieniać struktury sekcji [homes] poza jednym wpisem comment jest to wpis przechowujący opisową nazwę udostępnianego zasobu. Tworzenie osobistych katalogów sieciowych. W celu udostępnienia zasobu musimy go najpierw stworzyć i nadać mu odpowiednie prawa zapisu i odczytu według naszej polityki bezpieczeństwa. Aby wykonać taka operację należy użyć następujących komend: Mkdir /Home/pojemnik gdzie zostanie utworzony plik o nazwie pojemnik Chown Root:sers /Home/pojemnik gdzie właścicielem stanie sie grupa users Chmod g+rwx /Home/pojemnik - gdzie grupie zostanę nadane prawo zapisu odczytu i wyświetlania Jeżeli utworzyliśmy już katalog musimy dopisać go do pliku konfiguracyjnego smb.conf i udostępnić jako zasób sieciowy. Czynimy to dopisując na końcu pliku konfiguracyjnego nową sekcję nazywającą się [pojemnik], z następującymi parametrami : [pojemnik] Comment = katalog pojemnik Path = /Home/pojemnik Guest ok. = no Readable= yes Writable= yes 41

42 Aby nowy katalog został udostępnianie konieczne jest zrestartowanie usługi serwera samby poprzez wydanie komendy /etc/rc.d/rc.samba restart. Konata użytkowników serwera samby. Dodawanie konta dla serwera samby jest procesem dwustopniowym. W naszym przypadku pierwsza operacja to założenie użytkownika w systemie slackware poprzez użycie polecenia useradd, natomiast w drugim konieczne jest dodanie użytkownika poprzez użycie pakietu samby. Sytuacja powtarza się ponownie przy opcji usunięcia użytkownika. Dodawanie konta użytkownika za pomocą serwera samby. Mechanizm dodawania użytkownika jest dość prosty należy wpisać w wierszu poleceń następujący ciąg znaków: Smbpasswd a Kuba gdzie zakładamy w serwerze samby użytkownika Kuba i zabezpieczamy go hasłem Zatwierdzamy enterem i zostaniemy poproszeni o wpisanie hasła a następnie o jego powtórzenie. System wyświetli nam informację o addend user Kuba powiadamiając nas o poprawnym założeniu konta użytkownika i nadaniu mu hasła zabezpieczającego zasoby sieciowe. Usuwanie konta użytkownika z pakietu samby. Jeżeli podczas codziennej administracji zajdzie potrzeba usunięcia konta, musimy wydać następujące polecenie: Smbpasswd x nazwakonta Np.: smbpasswd x Kuba gdzie użytkownik Kuba zostanie usunięty z serwera samby Aby sprawdzić czy nasz serwer samby działa poprawnie należy nic innego jak uruchomić stację roboczą z wind owsem podąć odpowiednią ścieżkę i zmapować zasób sieciowy przypisany dla danego użytkownika. Autoryzując jego dostęp do zasobu poprzez podanie nazwy konta i hasła wcześniej utworzonego za pomocą narzędzi samby Połączenia vpn - w trybie sesyjnym SSL z wykorzystaniem oprogramowania OpenVPN. Zastosowanie technologii VPN. Jednym z głównych celów zastosowania technologii jest stworzenie logicznych połączeń między odrębnymi lokalizacjami. Wiele firm oferuje nam możliwość zestawiania połączeń logicznych między odrębnymi lokalizacjami zamiast dzierżawy fizycznych łączy. Jest to uzasadnione aspektem ekonomicznym oraz zwiększa to elastyczność w zarządzaniu siecią. Oprócz tradycyjnego zastosowania tunelu VPN współpracującego z IPsec istnieje druga metoda realizowania takiego połączenia z wykorzystaniem protokołu SSL. Sieci oparte na protokole SSL VPN określamy mianem sieci bez klienta z uwagi na to że nie jest nam potrzebne dedykowane oprogramowanie od strony klienta. Do połączenia od strony klienckiej wykorzystujemy zwykłą przeglądarkę stron 42

43 WWW współpracującą z protokołem SSL. Klient posiadający odpowiednią przeglądarkę łączy się z serwerem dostępowym ustanawia połączenie do wybranej sieci poprzez protokół SSL i uzyskuje dostęp do zasobów wewnętrznych sieci VPN. Procedurę zestawiania połączeń VPN świetnie opisuje poniższy artykuł: Oprogramowanie OpenVPN Program OpenVPN jest narzędziem służącym do tworzenia szyfrowanego połączenia VPN w sieci TCP/IP. Instalacja tego programu nie wymaga ingerencji w jądro systemu operacyjnego Linux przez co rozwiązanie to jest proste i łatwe w uruchomieniu. Tunel jest tworzony z wykorzystaniem wirtualnych interfejsów sieciowych TUN/TAP. Utworzenie tunelu sprowadza się do utworzenia pliku konfiguracyjnego opisującego parametry połączenia i uruchomienie programu openvpn z tym plikiem jako parametrem. Z drugiej strony tunelu również wykorzystujemy ten sam program ale w roli klienta i przyłączamy się do poprzednio uruchomionego serwera. Bardzo dużą zaletą programu OpenVPN jest możliwość tworzenia szyfrowanych tuneli z hostami korzystającymi z systemu Windows,co w niektórych sytuacjach może okazać się kluczowe przy wyborze darmowego oprogramowania do tworzenia sieci VPN. OpenVPN pozwala tworzyć szyfrowane połączenia w oparciu o dwie metody: Pre-shared key mechanizm w którym strony połączenia współdzielą między sobą tajny klucz służący do uwierzytelniania stron i szyfrowania komunikacji. OpenVPN wykorzystuje kryptograficzny algorytm blowfish z 128 bitowym kluczem w trybie CBC(ang. Cipher Block Chaining) Certyfikaty cyfrowe SSL, OpenVPN wykorzystuje bibliotekę OpenSSL do tworzenia certyfikatów cyfrowych SSL(tryb SSL/TLS) Podstawy Wygenerowanie współdzielonego klucza i zapisanie go do pliku następuje po wykonaniu komendy: openvpn -genkey -secret shared.key 43

44 W pliku shared.key w bieżącym katalogu zostanie zapisany klucz, który posłuży do utworzenia bezpiecznego połączenia VPN. Program OpenVPN nie posiada wyróżnionej części klienta i serwera. Dla obu stron połączenia wykorzystywany jest ten sam program zapisany w wykonywalnym pliku o nazwie openvpn. Odpowiednia opcja w pliku konfiguracyjnym wymusza działanie w trybie klienta lub serwera. Poniżej zaprezentowano komendę uruchamiającą program OpenVPN: openvpn config /etc/openvpn/static.conf Program OpenVPN pozwala aby opcje konfiguracyjne zostały podane jako parametry podczas wywołania pliku wykonywanego openvpn jednak zapisanie opcji w pliku wydaje się bardziej wygodne. Poniżej zaprezentowano przykładową architekturę połączenia VPN: Nawiązane połączenie VPN między komputerem przenośnym o serwerem powinno utworzyć podsieć /24 i po przez to połączenie komputer przenośny powinien uzyskać dostęp do dwóch podsieci po stronie serwera tj /24 i /24. 44

45 Połączenie VPN Linux - Linux z wykorzystaniem mechanizmu współdzielonego klucza Uwierzytelniania i szyfrowanie następuje z wykorzystaniem mechanizmu współdzielonego klucza. Serwer na którym jest uruchomiony program OpenVPN jest dostępny pod adresem ip i nasłuchuje na porcie tcp Koniec połączenia VPN do strony serwera ma adres ip a od strony klienta: Plik konfiguracyjny dla strony serwera dev tun ifconfig secret /etc/openvpn/static.key proto tcp-serwer daemon verb 4 log-append /var/log/openvpn.og keepalive inactive 3600 comp-lzo Opcja tcp-server wymusza użycie protokołu TCP warstwy czwartej do utworzenia logicznego kanału danych oraz określa bieżącą stronę połączenia jako serwerową czyli oczekującą na połączenia. OpenVPN pozwala również na utworzenie połączenia VPN z użyciem protokołu UDP. Opcja ifconfig definiuje oba końce połączenia VPN. Opcja secret wskazuje na plik z współdzielonym kluczem. Opis wszystkich parametrów programu OpenVPN znajduje się na stronie domowej projektu OpenVPN oraz w podręczniku systemowym do programu openvpn(man openvpn). Plik konfiguracyjny dla strony klienta dev tun remote proto tcp-client ifconfig

46 secret /home/piotr/openvpn.conf keepalive route route comp-lzo Opcja remote określa adres i numer portu pod jakim serwer OpenVPN jest dostępny. Opcja ifconfig definiuje oba końce połączenia VPN. Należy zwrócić uwagę na kolejność parametrów polecenie ifconfig. Opis wszystkich parametrów programu OpenVPN znajduje się na stronie domowej projektu OpenVPN oraz w podręczniku systemowym do programu openvpn(man openvpn). Połączenie VPN Linux - Linux z wykorzystaniem mechanizmu certyfikatów cyfrowych Program OpenVPN pozwala wykorzystać infrastrukturę klucza publicznego do tworzenia bezpiecznych kanałów wymiany danych. Certyfikaty SSL pozwalają wynegocjować parametry połączenia VPN oraz uzgodnić jednorazowy klucz sesyjny służący do szyfrowania komunikacji między stronami połączenia. Użycie certyfikatów SSL to najbardziej zaawansowana i najbezpieczniejsza konfiguracja programu OpenVPN. Plik konfiguracyjny dla strony serwera dev tun proto tcp-server ifconfig keepalive verb 4 deamon comp-lzo log-append /var/log/openvpn.log persist-tun persist-local-ip persist-remote-ip persist-key 46

47 #############SSL##### tls-server tls-remote nazwa_strony_klienta ca cacert.pem dh dh1024.pem cert newcert.pem key newreq.pem cipher aes-256-cbc #############SSL##### Opcja tls-remote wymaga podania nazwy Common name z certyfikatu klienta. Opcja dh wskazuje na plik z dużą liczbą pierwszą. Opis wszystkich parametrów programu OpenVPN znajduje się na stronie domowej projektu OpenVPN oraz w podręczniku systemowym do programu openvpn(man openvpn). Plik konfiguracyjny dla strony klienta dev tun proto tcp-client comp-lzo verb 4 log-append /var/log/openvpn.log persist-tun persist-local-ip persist-remote-ip persist-key ifconfig route route ########SSL##### tls-client tls-remote nazwa_strony_serwera ca cacert.pem cert newcert.pem key newreq.pem cipher aes-256-cbc ########SSL##### Połączenie VPN Linux - Windows z wykorzystaniem mechanizmu współdzielonego klucza 47

48 OpenVPN jest narzędziem, które pozwala na tworzenie tuneli nie tylko miedzy hostami działającymi pod kontrolą systemu Linux ale również pod Windows. Program openvpn posiada specjalną wersję pod Windows, która pozwala na uruchomienie tunelu np. między Linuxem a systemem Windows. Poniżej pokazano jak można utworzyć tunel VPN z użyciem mechanizmu współdzielonego klucza. Konfiguracja z użyciem certyfikatów SSL jest również możliwa. OpenVPN w menu START Po zainstalowaniu pod Windows OpenVPN posiada osobne podmenu. Nowe urządzenie sieciowe Niezbędnym elementem zarówno w systemie Linux jak w Windows jest wirtualne urządzenie sieciowe wykorzystywane przez OpenVPN do komunikacji sieciowej. Instalując OpenVPN pod Windows oprócz samego programu, instalowany jest wirtualny interfejs sieciowy TAP-win32 Adapter. 48

49 Uruchomienie OpenVPN pod Windows Wystarczy wybrać z menu kontekstowego odpowiednią opcję. Należy zwrócić uwagę na kilka rzeczy: plik konfiguracyjny musi mieć rozszerzenie.ovpn plik konfiguracyjny musi znajdować się w katalogu config programu openvpn (patrz ramka z adresem folderu) 49

50 Konsola tekstowa Wybranie opcji uruchomienia OpenVPN z menu kontekstowego spowoduje otwarcie okna konsoli tekstowej w której można obserwować postęp w negocjacji połączenia. Jeżeli zdecydujemy się aby logowanie odbywało się do pliku, na konsoli nie zobaczymy logów. Utworzenie tunelu następuje po zakończeniu procedury negocjacji parametrów połączenia(patrz ostatnia linia na zrzucie ekranowym poniżej). Nowe połączenie VPN Po zakończeniu procedury tworzenia tunelu wykonując polecenie systemowe ipconfig obserwujemy obecność nowego interfejsu sieciowego o adresie ip identycznym jak adres końca połączenia VPN dla danej strony. 50

51 Podsumowanie możliwości programu OpenVPN Program OpenVPN jest ciekawą alternatywą dla klasycznych rozwiązań VPN opartych o protokół IPsec. Konfiguracja połączeń VPN jest bardzo prosta i zrozumiała nawet dla użytkownika nieobeznanego z technologią sieci VPN. Bardzo dużą zaletą OpenVPN jest korzystanie z biblioteki OpenSSL, co sprawia, że rozwiązanie OpenVPN może być uznawane za mechanizm tworzenie sieci VPN o wysokim stopniu bezpieczeństwa. Można również zestawiać połączenia VPN z użyciem mechanizmu współdzielonego klucza dla mniej zaawansowanych przypadków użycia. Warto również zwrócić uwagę na możliwość łatwego zestawiania połączeń w środowisku mieszanym w którym występują systemy Linux i Windows. Wadą programu OpenVPN jest jego skalowalność. Chcąc zestawić więcej połączeń VPN z danego hosta należy uruchomić kolejną instancję programu OpenVPN. Wadą ta jest częściowo rekompensowana przez bardzo przejrzystą strukturę pliku konfiguracyjnego. Protokół IPsec Protokół sieciowy IP w wersji 4 nie posiada mechanizmów służących do sprawdzania integralności przesyłanych danych oraz zapewniania poufności tych danych. Słabości protokołu IP pod tym względem ma usprawnić protokół IPsec. W przypadku protokołu IP w wersji 4 IPsec jest opcjonalnym dodatkiem. W protokole IP w wersji 6 funkcjonalność IPsec jest wymagana. Podstawy 51