Sieci komputerowe - konfiguracja i administracja Studium podyplomowe KIS (PŁ) mgr inŝ. Adam Sobczyk e-mail: adam.sobczyk@wp.pl
Terminarz zajęć 14-15.02.2008 Sobota, 14. 02. 2009: 8.15-10.30 Wykład, 10.45-13.45 Laboratorium Niedziela, 15. 02. 2009: 8.15-10.30 Wykład, 10.45-13.45 Laboratorium Uwaga: o godzinie 11:00 krótka przerwa na ankietę, którą przeprowadzi p. Marta Ciabiada (KIS). Wszystkie zajęcia odbywają się w sali 311: Katedra Informatyki Stosowanej, 90-924 Łódź, ul. Stefanowskiego 18/22, III piętro w budynku Wydziału Elektrotechniki, Elektroniki, Informatyki i Automatyki PŁ.
Cel kursu i wymagania wstępne Cel kursu - nabycie wiedzy teoretycznej i praktycznej z dziedziny konfiguracji usług i aplikacji serwerowych: konfiguracja filtru pakietów netfilter z uŝyciem tablic iptables narzędzie do realizacji funkcji routingu oraz firewall a, usługa DNS z uŝyciem programu bind mechanizmy i protokoły, Usługa samba w GNU/Linux jako darmowy odpowiednik SMB ( Otoczenie sieciowe ) w systemach Windows. Nawiązanie współpracy, Usługi HTTP i FTP z uŝyciem aplikacji Apache w środowisku izolowanym za pomocą chroot, Usługa e-mail na przykładzie oprogramowania postfix, połączenia szyfrowane i sieci VPN, realizowane z uŝyciem protokołów IPSec. Wymagania wstępne - wiedza na temat aspektów funkcjonowania sieci komputerowej: warstw otwartego modelu ISO/OSI, stosów protokołów TCP/IP oraz UDP/IP, połączenia i podstawowa obsługa w systemach operacyjnych MS Windows oraz GNU/Linux, podstawy funkcjonowania urządzeń sieciowych, teorii informacji oraz kryptografii.
Zakres wykładu i ćwiczeń laboratoryjnych 1. Konfiguracja połączenia sieciowego w systemie GNU/LINUX. Routing statyczny, 2. Usługa DNS - konfiguracja serwera bind, 3. Zasada działania protokołu HTTP. Konfiguracja serwera apache, 4. Zasada działania protokołów FTP. Konfiguracja serwera vsftpd, 5. Samba jako serwer plików w 'Otoczeniu sieciowym' MS Windows, 6. Szyfrowanie połączenia przy wykorzystaniu IPSec. Kryptografia symetryczna i asymetryczna, certyfikaty, podpis elektroniczny. 7. System pocztowy na przykładzie Postfix, 8. Filtracja i modyfikacja pakietów za pomocą iptables. Mechanizm NAT - konfiguracja zaawansowana,
Konfiguracja połączenia sieciowego w systemie GNU/LINUX. Routing statyczny Charakterystyka ogólna cechy funkcjonalne zakres stosowalności Podstawowe pojęcia i reguły: adres, maska, brama, trasa kluczowe polecenia ifconfig, route, ping, netstat
Routing statyczny Charakterystyka ogólna (1) Routing statyczny jest podstawową metodą routingu. Polega na ręcznym dodawaniu wpisów (marszrut) do tablicy routingu przez administratora. W podejmowaniu decyzji router kieruje się jedynie ustawionymi przez administratora trasami (z metrykami przypisanymi na stałe). W szczególności: router podejmuje decyzje bazując na adresie IP hosta docelowego zawartym w pakiecie, wszystkie urządzenia na całej drodze pakietu uŝywają tego adresu IP, aby przesłać dane we właściwe miejsce, aby router podejmował właściwe decyzje musi wiedzieć jaka jest trasa do odległej sieci. W przypadku routingu statycznego, router: nie reaguje na zmiany w topologii sieci, nie oblicza samodzielnie najbardziej optymalnej ścieŝki dla danego pakietu.
Routing statyczny Charakterystyka ogólna (2) Router zaprogramowany do trasowania statycznego przesyła pakiety przez określone porty. Po skonfigurowaniu routerów nie jest konieczne poznawanie tras ani przesyłanie informacji na ich temat (rola routerów ograniczona wyłącznie do przesyłania pakietów). Trasowanie statyczne sprawdza się jedynie w przypadku bardzo małych sieci, w których przesyłanie danych do wszystkich punktów docelowych odbywa się po tych samych ścieŝkach. W małych sieciach (LAN) trasowanie statyczne jest zazwyczaj najlepszym rozwiązaniem, gdyŝ nie wymaga dodatkowego pasma na poznawanie tras i komunikację z innymi routerami. Jest teŝ względnie proste.
Routing statyczny Charakterystyka ogólna (3) W miarę rozrastania się sieci i tworzenia w niej nowych połączeń, utrzymanie rutowania statycznego staje się coraz bardziej pracochłonne. Po kaŝdej zmianie w dostępności routerów lub urządzeń transmisyjnych (awarie, rekonfiguracje, niedostępności) w sieciach MAN/WAN konieczne jest ich ręczne sprawdzanie i przeprogramowywanie. Dlatego sieci rozległe (MAN/WAN), gdzie konieczne jest korzystanie z wielu ścieŝek, bezwzględnie wymagają stosowania trasowania dynamicznego.
Routing statyczny Podstawowe pojęcia i reguły (1) Podstawowe parametry adresowe IP urządzenia: Adres identyfikuje urządzenie w sposób unikalny w (danej) sieci IP, Maska pozwala na określenie przez urządzenie, do jakiej sieci IP naleŝy. Do tej sieci urządzenie będzie wysyłać pakiety bezpośrednio na swój interfejs sieciowy. salsolo@ubuntu:~$ ifconfig ppp0 ppp0 Link encap:point-to-point Protocol inet addr:79.162.44.97 P-t-P:10.64.64.64 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:541 errors:0 dropped:0 overruns:0 frame:0 TX packets:685 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:145414 (145.4 KB) TX bytes:92955 (92.9 KB) Procedura obsługi ruchu w węźle IP jest dokonywana z osobna dla kaŝdego pakietu IP, pojawiającego się w węźle (w routingu IP, realizowanym w warstwie 3- ej modelu OSI/ISO nie wyróŝnia się połączeń, które pojawiają się dopiero w warstwie 4-ej - transportowej): Jeśli adres docelowy pakietu zgadza się z lokalnym adresem odbieram pakiet i kończę przetwarzanie W przeciwnym wypadku sprawdzam czy tablica routingu zawiera wpis pasujący do adresu docelowego pakietu: NIE odrzucamy pakiet, TAK przesyłamy zgodnie z pasującym wpisem w tablicy routingu. KaŜdy węzeł IP (router, komputer etc.) posiada tablicę routingu i postępuje wg powyŝszego algorytmu.
Routing statyczny Podstawowe pojęcia i reguły (2) Definicja trasy routingu składa się z warunku (adres i maska) oraz przypisanej do niego akcji (wysyłanie): Jeśli adres docelowy równa się danemu lub naleŝy do jego sieci to Wyślij pakiet przez wskazany interfejs (dostarczanie lokalne lub do innego urządzenia trasującego (dostarczanie zdalne). salsolo@ubuntu:~$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0 link-local * 255.255.0.0 U 1000 0 0 ppp0 default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0 Brama (trasa) domyślna trasa o warunku 0.0.0.0/0, pasują do niej wszystkie adresy docelowe: maska ma długość 0 bitów - nie porównujemy Ŝadnych bitów adresu docelowego pakietu, ma najniŝszy moŝliwy priorytet (najkrótsza moŝliwa maska), zostanie uŝyta, gdy adres nie będzie pasował do Ŝadnego innego wpisu w tablicy routingu. Aby urządzenie mogło wysyłać dane do innych sieci, naleŝy wpisać do tablicy routingu dodatkowe trasy.
Routing statyczny Podstawowe pojęcia i reguły (3) Uwaga: dodanie do interfejsu adresu IP z określoną maską, powoduje automatyczne dopisanie do tablicy routingu wpisu w postaci: Warunek - adres sieci otrzymany z dopisanego adresu IP i maski sieci, Akcja - wyślij dane bezpośrednio na interfejs na którym znajduje się adres naleŝący do sieci podanej w warunku. Jest to tzw. dostarczanie lokalne: jeśli interfejs ma adres naleŝący do jakiejś sieci, to jest ona do niego bezpośrednio podłączona. Jak widać, błędne przypisanie adresu IP oraz maski sieci do danego interfejsu spowoduje błędu w routingu do całej sieci, którą definiuje błędnie przypisana para: adres/maska, Urządzenie docelowe musi być podłączone do tej samej sieci fizycznej, co podłączany interfejs przez który wysyłany jest pakiet - inaczej zostanie on zignorowany. Dostarczanie lokalne jest ostatnim etapem trasy pakietu przez sieć. Na przykład: dopisanie do interfejsu eth0 adresu 192.168.3.8/16 (z maską 255.255.0.0) spowoduje utworzenie wpisu w tablicy routingu, kierującego cały ruch do sieci 192.168.0.0/16 (czyli na wszystkie adresy zaczynające się od 192.168 ) na interfejs eth0.
Routing statyczny Podstawowe pojęcia i reguły (4) Konfiguracja interfejsu sieciowego: sudo ifconfig -a eth0 inet up netmask 255.255.255.0 192.168.1.1 Sprawdzenie konfiguracji wszystkich interfejsów sieciowych: sudo ifconfig a Sprawdzenie dostępności zdalnego interfejsu: sudo ping -f 192.168.1.2 Uwaga: opcja '-f' powoduje zalew pingami ('ICMP echo request flood') route Wyświetlenie aktualnej tablicy routingu: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1000 0 0 ppp0 default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0
Usługa DNS. Konfiguracja serwera bind Usługa DNS co to takiego? Instalacja serwera bind Konfiguracja serwera bind
Usługa DNS co to takiego? (1) DNS (Domain Name System), to system nazw domenowych, realizowany poprzez: system serwerów, protokół komunikacyjny zapewniający zamianę adresów znanych uŝytkownikom Internetu (URL) na adresy zrozumiałe dla urządzeń sieciowych (IP). Dzięki DNS nazwa mnemoniczna URL, np. www.wp.pl, moŝe zostać zamieniona na odpowiadający jej adres IP: Adresy DNS składają się z domen internetowych rozdzielonych kropkami na przykład: www.wp.pl,.pl - domena geograficzna, właściwa dla organizacji,.wp. - domena naleŝącą do organizacji Wirtualna Polska, www. tzw. alias serwera w domenie wp.pl, który oferuje usługi HTTP (WWW) w sieci publicznej (Internet). W ten sposób moŝliwe jest budowanie hierarchii nazw, które porządkują Internet. DNS to złoŝony system komputerowy oraz prawny, zapewniający: rejestrację nazw domen internetowych i ich powiązanie z numerami IP, realizuje bieŝącą obsługę komputerów odnajdujących adresy IP odpowiadające poszczególnym nazwom. Istnieje moŝliwość włączenia do systemu DNS serwera, który nie dysponuje stałym, publicznym adresem IP. Jest to tzw. usługa DynDNS. Przykład strony realizującej tę usługę: http://www.dyndns.com/.
Usługa DNS co to takiego? (2) Więcej informacji ogólnych na temat DNS: Struktura domen Administracja DNS Instytucje administrujące DNS na świecie Instytucje administrujące DNS w Polsce Techniczna strona DNS Ogólny zarys NajwaŜniejsze cechy RFC Główne serwery DNS Rodzaje zapytań DNS Odpowiedzi na zapytania Protokół DNS Przykład działania systemu DNS Typy rekordów DNS Bezpieczeństwo znajdziemy na stronie: http://pl.wikipedia.org/wiki/dns
Usługa DNS instalacja serwera bind Instalujemy pakiety bind9 oraz dnsutils : aptitude install bind9 dnsutils dnsutils zawiera oprogramowanie testujące, m.in.: dig, nslookup, bind9-host. alternatywą do instalacji z poziomu konsoli jest skorzystanie z MenedŜera pakietów Synaptic (zalecane rozwiązanie). Pliki konfiguracyjne znajdują się w katalogu: /etc/bind/ Mamy trzy główne pliki konfiguracujne: named.conf named.conf.local named.conf.options Przechodzimy do pliku: named.conf.local od którego zaczynamy konfigurację. W powyŝszym pliku definiujemy strefy. Strefa - obszar serwera DNS odpowiedzialny za daną domenę. Zawsze definiujemy parę stref: zwykłą i odwrotną. Strefa zwykła zawiera plik bazodanowy, odpowiedzialny za deklarację nazw hostów w obszarze jednej domeny. Strefa odwrotna - zawiera plik bazodanowy zawierający odwzorowanie nazw hostów na adresy IP w obrębie domeny.
Usługa DNS - konfiguracja serwera bind (1) Budowa stref (plik: named.conf.local ): //strefa zwykła zone kowalski" { type master; file "/etc/bind/db.kowalski"; }; //strefa odwrotna zone 0.1.10.10.in.addr-arpa" { type master; file "/etc/bind/db.10101"; }; type master określa charakter serwera DNS. Master oznacza serwer nadrzędny, W strefach deklarujemy ścieŝkę do plików bazodanowych do których serwer DNS będzie odwoływał się. Pliki te tworzymy sami, Dyrektywa zone określa nazwę domeny np.: zone kowalski.
Usługa DNS - konfiguracja serwera bind (2) Opis plików bazodanowych - plik dla strefy zwykłej ( db.kowalski ): $TTL 604800 // określa czas odświeŝania pliku w sekundach Po SOA wpisujemy nazwę hosta, na którym jest zainstalowany serwer DNS, po kropce nazwę naszej domeny, którą tworzymy (w tym przypadku: kislab.kowalski). Charakterystyczna jest kropka po nazwie
Usługa DNS - konfiguracja serwera bind (3) Definicja serwerów nazw - NS ( NameServer ): @ IN NS kis-lab.kowalski. Definicja hostów w strefie - wpisujemy nazwy, które przypisujemy adresowi IP: localhost IN A 127.0.0.1 kis-lab IN A 10.10.0.x CNAME oznacza alias do hosta, np. www to alias do hosta kis-lab, który jest przypisany do domeny kowalski Jego końcowa nazwa, to: kis-lab.kowalski == //www.kowalski): ftp IN CNAME kis-lab www IN CNAME kis-lab
Usługa DNS - konfiguracja serwera bind (4) Opis plików bazodanowych - plik dla strefy odwrotnej ( db.10101 ): Zasada budowy jest analogiczna jak pliku dla strefy zwykłej Występuje wpis PTR (pointer) zamiast NS Ten plik odwraca (zamienia) nazwy hosta na adresy IP. $TTL 604800 @ IN SOA kis-lab.kowalski. admin.kowalski. ( 2009021001 ; Serial# - przy kaŝdej edycji trzeba inkrementować 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL @ IN NS kis-lab.kowalski. x.0.10 IN PTR kis-lab //dopisujemy wszystkie hosty w sieci, // x to końcówka adresu IP
Usługa DNS - konfiguracja serwera bind (5) Przechodzimy do pliku named.conf.options Wpisujemy adresy sieci, które mogą korzystać z serwera DNS (skąd mogą być zadawane zapytania): allow-query { 127.0.0.1; 10.10.0.0/24; }; Wpisujemy serwery pomocnicze, do których będzie odnosił się DNS: forwarders { 10.10.0.1; // adres NS, który jest przechowywany na lokalnym serwerze DHCP 194.204.152.34; // adresy innych znanych serwerów DNS 194.204.159.1; };
Usługa DNS - konfiguracja serwera bind (6) Modyfikujemy plik /etc/resolv.conf, wpisując w nim w kolejności: Search kowalski nameserver 127.0.0.1 Spowoduje to nakierowanie resolver a na odpytywanie lokalnego serwera DNS pod wskazany adres. Uwaga: resolver jest usługą odpytującą serwery DNS o zadany adres. W obecnych czasach jest to narzędzie wbudowane w kaŝdą aplikację uŝywającą adresów URL i dlatego nie wymaga instalacji dedykowanego klienta. Po konfiguracji restartujemy skrypt: /etc/init.d/bind9 restart Uwaga: bind9 uruchamia się takŝe wraz z ponownym startem systemu (tworzony jest skrypt startujący w katalogu: /etc/init.d/ ): Działanie domeny sprawdzamy poleceniem: lub: dig kis-lab.kowalski nslookup nazwa_domeny Warto teŝ sprawdzić wynik działania dla innych nazw domen.
Usługa serwera HTTP (WWW). Konfiguracja serwera apache WWW, HTTP, apache co to takiego? Instalacja serwera apache Konfiguracja serwera apache
WWW co to takiego? World Wide Web (w skrócie: WWW lub Web) hipertekstowy, multimedialny, sieciowy (TCP/IP) system informacyjny oparty na publicznie dostępnych, otwartych standardach IETF i W3C. Podstawowym zadaniem WWW jest publikowanie informacji w przystępnej formie. WWW jest często błędnie utoŝsamiane z całym Internetem lecz stanowi jego najpopularniejszą usługę. Dostęp do WWW uzyskujemy za pomocą tzw. przeglądarki internetowej, która łączy się z serwerem internetowym i pobiera z niego zbiór informacji zwany stroną internetową. Strona internetowa moŝe zostać wyświetlona, zapisana w lokalnym systemie plików lub wydrukowana. Zawartość strony internetowej jest tzw. hipertekstem (skrypty HTML/XHTML), oferującym moŝliwość podąŝania za tzw. hiperłączami, przenoszącymi do innych stron internetowych w ramach tego samego lub innych serwerów internetowych. WWW został zapoczątkowany we wczesnych latach dziewięćdziesiątych w CERN (Szwajcaria) jako system dostępu do informacji (w tym graficznych) w duŝej organizacji naukowej. Prototyp systemu WWW został zbudowany przez Tima Berners-Lee. WWW szybko przekroczył (podobnie jak cała sieć Internet) granice środowiska naukowego, a po kilku latach został zaakceptowany i zaadaptowany na całym świecie. Na zwiększenie popularności WWW miało znaczny wpływ ogłoszenie w lutym 1993 r. przez Uniwersytet w Minnesocie zamiaru pobierania opłat licencyjnych za korzystanie z ich implementacji serwera usługi Gopher.
HTTP co to takiego? HTTP (Hypertext Transfer Protocol), to protokół przesyłania dokumentów hipertekstowych na potrzeby realizacji usługi WWW. Aktualna definicja HTTP jest zawarta w dokumencie RFC 2616. HTTP jest protokołem typu klient-serwer - połączenie zawsze inicjowane jest przez tzw. klienta (zwykle przeglądarka WWW) i ma na celu pobranie lub wysłanie informacji z/do serwera. Za pomocą protokołu HTTP przesyła się m.in.: Ŝądania udostępnienia dokumentów WWW, informacje o kliknięciu odnośnika, informacje z wypełnionych formularzy. Zadaniem stron WWW jest publikowanie informacji natomiast protokół HTTP właśnie to umoŝliwia. HTTP zapewnia znormalizowany sposób komunikowania się komputerów poprzez określenie formy Ŝądań danych (klient) oraz formę odpowiedzi (serwer). HTTP jest protokołem bezstanowym ( stateless ), gdyŝ nie zachowuje informacji o poprzednich transakcjach, co pozwala zmniejszyć obciąŝenie serwera. Bezstanowość HTTP moŝe być kłopotliwa, gdy potrzeba zapamiętać stan uŝytkownika, który wcześniej łączył się juŝ z serwerem. Popularne rozwiązania tego problemu, to: mechanizm tzw. ciasteczek ( cookies ), sesje realizowane po stronie serwera (wyjątek od zasady działania w architekturze klientserwer ), ukryte parametry, przesyłane np. przez stronę z formularzem, parametry umieszczone w ciągu URL (np. /index.php?newuserid=55). HTTP standardowo korzysta z portu (TCP) nr 80 (lub 8080 w przypadku stosowania w sieci mechanizmów NAT/PAT w sieci lokalnej). Więcej informacji na temat HTTP: http://pl.wikipedia.org/wiki/http.
apache co to takiego? apache to otwarty serwer HTTP, dostępny dla wielu systemów operacyjnych (m.in. UNIX, GNU/Linux, BSD, MS Windows). Jest najszerzej stosowanym serwerem HTTP w Internecie (niezmiennie od kilku lat ponad 50% udziału wśród serwerów WWW). apache w połączeniu z interpreterem PHP i bazą MySQL, to jedno z najczęściej spotykanych środowisk w firmach oferujących hosting WWW. Cechy serwera i obsługiwane moduły: wielowątkowość, skalowalność, bezpieczeństwo, Kontrola dostępu/uwierzytelnianie: mod_access, CGI, Proxy typu HTTP, FTP, CONNECT: mod_proxy, SSI: mod_include, Content-Negotation: mod_negotation, Moduł URL-Rewriting: mod_rewrite, SSL: mod_ssl, moŝliwość osadzania interpreterów języków skryptowych, np. mod_perl, mod_php, mod_python. Więcej informacji: http://pl.wikipedia.org/wiki/apache_(serwer).
Instalacja serwera apache Instalacja pakietu apache : aptitude install apache2 Alternatywne (i zalecane) rozwiązanie, to uŝycie MenedŜera instalacji i aktualizacji aplikacji czyli Synaptic -> PołoŜenie katalogu z zainstalowanym serwerem apache2 : /etc/apache2
Konfiguracja serwera apache (1) Plik konfiguracyjny: /etc/apache2/apache2.conf W pliku konfiguracyjnym znajdziemy odwołania do innych plików i folderów z katalogu /etc/apache2/ : port.conf deklaracja portu na którym działa apache2 (jeśli nie zmieniane, to 80), sites-enabled katalog z plikami konfiguracyjnymi VirtualHost'ów, mods-enabled katalog z plikami konfiguracyjnymi modułów. Za pomocą uŝytkowników wirtualnych (virtualhosts) moŝna tworzyć wiele stron i serwisów - korzystając z tego samego adresu IP (rózne serwisy WWW w jednej domenie i na tym samym realnym serwerze)!!!
Konfiguracja serwera apache (2) Konfiguracja virtualhost 'a jako strony informacyjnej. Edytujemy plik konfiguracyjny: /etc/apache2/sites-enabled/000-default Plik ten powiązany jest symbolicznie z odpowiednim pliku w katalogu: /etc/apache2/sites-available/default. Z kolei w/w katalog nie ma odwołań w pliku konfiguracyjnym apache2.conf więc nie wpływa dalej na konfigurację serwera. Przykładowa zawartość tego pliku (konfiguracja okrojona do niezbędnego minimum): <VirtualHost 127.0.0.1:80> ServerAdmin a@b.pl ServerName localhost DocumentRoot /var/www/ <Directory /> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ErrorLog /var/log/apache2/error.log </VirtualHost>
Konfiguracja serwera apache (3) <VirtualHost 127.0.0.1:80> - deklaracja adresu IP oraz portu (moŝna równieŝ wpisać nazwę hosta 127.0.0.1 w tym przypadku localhost ), na którym działa virtualhost. Tą dyrektywą rozpoczyna się kaŝdy plik konfiguracyjny virtualhost'a ServerAdmin a@b.pl - deklaracja adresu email administratora DocumentRoot /var/www/ - deklaracja katalogu ze stroną informacyjną <Directory /></Directory> - dyrektywy zamykające grupy innych dyrektyw Options - dyrektywa stwierdzająca które cechy serwera są dostępne Indexes - dyrektywa ta pokazuje wylistowane pliki z katalogu jeśli nie ma pliku index.html FollowSymLinks - cecha serwera zezwalająca na powiązania symboliczne w zadeklarowanym katalogu /var/www MultiViews - cecha serwera zezwalająca na negocjowanie zawartości katalogu /var/www - chodzi o moŝliwość wyświetlania języków skryptowych, plików graficznych itp. Jeśli ustawiona, w pierwszej kolejności wyświetla pliki.html AllowOverride None - zabrania nadpisywania pliku konfiguracyjnego virtualhost'a przez pliki.htaccess, mogące zawierać predefiniowane opcje. W naszym przypadku plik ten nie występuje ale gdyby pojawił się, zostanie pominięty Order allow,deny - kontroluje dostęp. Najpierw są sprawdzane wszystkie dyrektywy określone parametrem allow (przynajmniej jedna musi pasować - inaczej Ŝądanie dostępu zostanie odrzucone). Następnie wszystkie dyrektywy deny są sprawdzane jeśli jakaś pasuje, dostęp zostanie odrzucony. W ostateczności, gdy Ŝadna z dwóch dyrektyw nie pasuje, domyślnie dostęp jest odrzucany. allow from all - dyrektywa stwierdzająca domyślne zezwolenie na wyświetlanie wszystkich plików w katalogu.
Konfiguracja serwera apache (4) Po kaŝdej zmianie w plikach konfiguracyjnych naleŝy zrestartować serwer apache : /etc/init.d/apache2 restart Dla sprawdzenia poprawności konfiguracji moŝemy dokonać zmian w pliku: /var/www/index.html i po wpisaniu w przeglądarce adresu 127.0.0.1 lub localhost zaobserwować zmiany. Aktywujemy moduł userdir, który zezwala kaŝdemu uŝytkownikowi na ekspozycję zawartości katalogu o ustalonej nazwie poprzez serwer apache : a2enmod userdir a2enmod - komenda aktywująca moduły dla serwera apache a2dismod komenda dezaktywująca moduły dla serwera apache Moduły raz aktywowane są uruchamiane wraz ze startem serwera. MoŜliwe do aktywowania moduły znajdują się w katalogu: /etc/apache2/mods-enabled/
Konfiguracja serwera apache (5) Plik konfiguracyjny modułu znajduje się w katalogu: /etc/apache2/mods-enabled/userdir.conf <IfModule mod_userdir.c> UserDir public_html UserDir disabled root <Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Limit Indexes Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS> Order allow,deny Allow from all </Limit> <LimitExcept GET POST OPTIONS> Order deny,allow Deny from all </LimitExcept> </Directory> </IfModule>
Konfiguracja serwera apache (6) Składnia pliku konfiguracyjnego modułu jest podobna do składni pliku konfiguracyjnego virtualhost'a. <Directory /home/*/public_html> - dyrektywa wskazująca katalog, który ma być wyeksponowany przez serwer apache po wpisaniu w przeglądarce: http://127.0.0.1/~* gdzie: * określa dowolnego uŝytkownika. Tego parametru nie zmieniamy. MoŜna za to zmienić nazwę katalogu public_html na bardziej czytelną. Aby katalog podany w pliku konfiguracyjnym modułu czyli public_html był tworzony wraz z tworzeniem konta uŝytkownika, musimy go zdefiniować w katalogu: /etc/skel/public_html Wszystkie katalogi i pliki zawarte w katalogu /etc/skel/ bedą dodawane do kaŝdego nowo-utworzonego katalogu uŝytkownika!!! Dla sprawdzenia działania modułu moŝna zmianić nazwę katalogu public_html na www. Po kaŝdej zmianie w plikach konfiguracyjnych apache2, virtualhost ów oraz modułów restartujemy serwer apache komendą: /etc/init.d/apache2 restart
Konfiguracja serwera apache (7) Skrypt inicjacyjny uruchamiający serwer apache znajduje się w pliku /etc/init.d/apache2. Wywołujemy go instrukcją: /etc/init.d/apache2 PowyŜsza instrukcja występuje z parametrami start, stop, restart, forcereload. Uwaga: W przypadku kiedy nastąpi błąd przy wywołaniu powyŝszych instrukcji dokonujemy zabicia procesu instrukcją: killall apache2 a następnie ponownie uruchamiamy usługę za pomocą: /etc/init.d/apache2 start Uwaga: Aby dodać (lub usunąć) aplikację, aby uruchamiała się podczas startu uŝywamy polecenia: update-rc.d nazwa_skryptu default update-rc.d nazwa_skryptu remove nazwa_skryptu nazwa skryptu taka, jak w init.d czyli apache2 default/remove domyślne wartości procesu uruchamiania/usuwanie. Uwaga: apache po instalacji uruchamia się domyślnie podczas startu wraz ze wszystkimi dodanymi modułami.
Konfiguracja serwera apache (8) Dodanie uŝytkownika serwera apache następuje po dodaniu go w systemie. Robimy to wpisując komendę: useradd -m -s /bin/false nazwa_usera -m określa parametry domyślne. Katalog domyślny to /home/nazwa_/user -s - określa powłokę. Jeśli /bin/false to uŝytkownik nie będzie mógł zalogować się do systemu poniewaŝ taka powłoka nie istnieje. Pozostałe parametry uruchomieniowe komendy useradd : - g zdefiniowanie grupy - G zdefiniowanie wielu grup - d określa katalog uŝytkownika - c ustawia komentarz - e ustawia datę wygaśnięcia konta w formacie: rok/miesiąc/dzień Komenda useradd D pokaŝe wartości domyślne. Konta zostały stworzone bez haseł. NaleŜy je dodać komendą paswwd : passwd nazwa_usera Alternatywnie moŝna skorzystać z graficznego trybu i programu users-admin (uruchomienie z poziomu konsoli). Uwaga: Wszystkie powyŝsze polecenia wykonujemy jako root lub uŝywając komendy sudo.