Pallagi László - Linux rendszergazda haladó

8/10/2019 Pallagi Lszl - Linux rendszergazda halad

1/137

Sulinet Expressz informatikai sinformatika alap tovbbkpzsek

Rendszergazda LinuxhaladPallagi Lszl

Lektorlta:Sndor Antal

Sulinet Expressz, 2003.11.01.

rrs: http://www.doksi.hu


2/137


3/137

Sulinet Expressz Rendszergazda Linux halad 2003

34. jraindts utn....................................................................................... 5535. DSELECT ............................................................................................... 5836. Szksges csomagok teleptse ............................................................ 59

2.3 SUSE LINUX 8.2 Professional ................................................................... 6237. Telepts megkezdse............................................................................ 62

38. Rendszerindt kperny ........................................................................ 6239. Telepts nyelvnek kivlasztsa (Language Selection) ........................ 6340. Teleptsi belltsok.............................................................................. 6441. Elsindts............................................................................................. 69

2.4 Gyakorlat.................................................................................................... 702.5 Felhasznlt, ajnlott irodalom..................................................................... 70

3. Finomhangols, ismerkeds a rendszerrel........................................................ 703.1 Els belps............................................................................................... 703.2 Hasznos parancsok.................................................................................... 753.3 Webmin belltsa...................................................................................... 773.4 Gyakorlat.................................................................................................... 79

3.5 Ellenrz krdsek..................................................................................... 803.6 Felhasznlt, ajnlott irodalom..................................................................... 80

4. SSH (Secure shell) ............................................................................................ 804.1 Alapismeretek............................................................................................. 804.2 SSH szerver belltsa konzolrl................................................................ 814.3 SSH kulcsok generlsa ............................................................................ 814.4 Programok hasznlata ............................................................................... 824.5 Gyakorlat.................................................................................................... 824.6 Ellenrz krdsek..................................................................................... 834.7 Felhasznlt, ajnlott irodalom..................................................................... 83

5. Felhasznlk, jogosultsgok kezelse .............................................................. 835.1 Alapismeretek............................................................................................. 835.2 Felhasznl kezelse konzolrl.................................................................. 865.3 Jogosultsgok belltsa konzolrl............................................................. 875.4 Felhasznli quota ..................................................................................... 885.5 Gyakorlat.................................................................................................... 90

Vegyk fel a kvetkezfelhasznlkat:............................................................. 905.6 Ellenrz krdsek..................................................................................... 915.7 Felhasznlt, ajnlott irodalom..................................................................... 92

6. Samba fjl- s nyomtatszerver ........................................................................ 926.1 Alapismeretek............................................................................................. 92

6.2 Samba belltsa kzzel ............................................................................ 9343. Globlis belltsok................................................................................. 9444. Megosztsok........................................................................................... 97

6.3 SWAT......................................................................................................... 986.4 Egyb kzi adminisztrcik .......................................................................1006.5 Gyakorlat...................................................................................................101 6.6 Ellenrz krdsek....................................................................................1026.7 Felhasznlt, ajnlott irodalom....................................................................103

7. Apache .............................................................................................................1037.1 Alapismeretek............................................................................................1037.2 Apache belltsa kzzel...........................................................................104

ltalnos belltsok:........................................................................................104Modulok betltse ............................................................................................105

3



4/137


Knyvtr s fjl belltsok...............................................................................106Log llomnyok kezelse .................................................................................107Virtulis hostok belltsa.................................................................................107

7.3 Jelszkezelsek ........................................................................................1087.4 Gyakorlat...................................................................................................108

7.5 Ellenrz krdsek....................................................................................1087.6 Felhasznlt, ajnlott irodalom....................................................................1098. Sendmail ..........................................................................................................109

8.1 Alapismeretek............................................................................................1098.2 Sendmail kzi belltsa............................................................................1128.3 Gyakorlat...................................................................................................113 8.4 Ellenrz krdsek....................................................................................1138.5 Felhasznlt, ajnlott irodalom....................................................................113

9. Squid proxy ......................................................................................................1149.1 Alapismeretek............................................................................................1149.2 Squid belltsa.........................................................................................115

9.3 Szrs .......................................................................................................1169.4 Transzparens zemmd............................................................................1179.5 Gyakorlat...................................................................................................118 9.6 Ellenrzkrdsek a kilencedik fejezethez................................................1189.7 Felhasznlt, ajnlott irodalom....................................................................118

10. Egyb szerverek ...........................................................................................11810.1 Xinetd cscsszerver ..................................................................................11810.2 Proftp szerver............................................................................................11910.3 DHCP szerver ...........................................................................................12110.4 DNS szerver..............................................................................................12210.5 Ellenrz krdsek....................................................................................12510.6 Felhasznlt, ajnlott irodalom....................................................................125

11. Csomagszrs..............................................................................................12511.1 Alapismeretek............................................................................................12511.2 NAT...........................................................................................................13111.3 Pldk .......................................................................................................13111.4 Ellenrz krdsek....................................................................................13211.5 Felhasznlt, ajnlott irodalom....................................................................132

4



5/137


Bevezets

Ez a knyv azoknak szk, akik a Linux rendszert szeretnk megismernirendszergazda szemmel.

A knyv szerkesztsnl megprbltunk elmleti s gyakorlati tudst egyarntnyjtani. Termszetesen az anyag terjedelme nem engedte meg, hogy mindenrszletet s a Linux rendszerek teljes tudst bemutassuk, ezrt elssorban egykiindulsi alapot tartalmaz.

Trekedtnk arra, hogy a lertak segtsgvel mkd megoldshoz jussanak ahallgatk. Emellett egy-kt tippet is elhelyeztnk az anyagban, amely gyakorlatitapasztalatokon alapszik.

A tananyag s a knyv szerkezete RedHat Linux disztribcira rdott. A teleptsnlvzoljuk a SUSE LINUX s a DEBIAN GNU/LINUX els lpseit is. A tovbbifejezetekben viszont mr elfordulhatnak disztribcis eltrsek.

A belltsoknl elssorban kzi megoldsokat vesszk vgig. A teleptsnl viszonta WEBMIN nevezet webes fellet bellt rendszert is felrakjuk. Ez rendszer alegtbb disztribci al elrhet, teht ltalnosnak mondhat. Kzenfekvlehetsg a belltsok ismerkedshez, hiszen jl tagoltan tartalmazza alehetsgeket. rdemes egy ismeretlen rendszer esetben a lehetsgektnzsre.

J szrnyalst kvnunk a pingvin varzslatos vilgban!

5



6/137


7/137


8/137


- Freesco Linux. Az egyik kedvencem. A projekt alkoti megprbltak egy routerfunkcikat kiszolgl, egyszeren bellthat 1 lemezes (1,44 MB) megoldstalkotni. Azt hiszem sikerlt nekik. A teljes lemezt elfoglal rendszerbe be vanptve DNS, DHCP, Printer, HTTP, Remote Access szerver is.(http://www.freesco.org)

- Devil-Linux. Egyszeren bellthat tzfal disztribci. CD-rl boot-olhat snincs szksg merevlemezre sem. Mr 486-os processzortl hasznlhat(http://www.devil-linux.org)

- KRUD. RedHat Linux-on alapul disztribci. Biztonsgi szempontokatfigyelembe vve Kevin Fenzi (Linux Security HOW-TO alkotja) optimalizlta.(http://www.tummy.com/krud)

- Lindows. Windows programok futtatsra ksztett disztribci. Mr a kiadsaidejben nagy port vert fel, a Microsoft rszrl rt tmadsok miatt.(http://www.lindows.com)

- MkLinux. Az Apple Computer tmogatsval rt disztribci. Futtathat PowerPCarchitektrn. (http://www.mklinux.org)

- SULIX!!!!!!!Knoppix alapokra helyezett csomagvlogats. CD-rl fut, telepteninem szksges. Fontos, hogy csak szabadon terjeszthet elemeket tartalmaz,gy leglisan msolhat a dikoknak is. Magyar sszellts, kifejezetten amagyar oktats ignyei alapjn. Minden szksges alkalmazs megtallhatrajta. Jelenleg az 1.1-es verzinl tart. Nagyon jl hasznlhat tesztelsre is,hiszen minden hlzati alkalmazst, klienst tartalmaz s pillanatokon bellrendelkezsre ll. (http://www.sulix.hu)

Ha valaki rszletesen szeretne elmlyedni a Linux vilgba, annak ajnlom ahttp://www.linux.org/dist/list.htmlcmen tallhat disztribcis listt.

A disztribcikban szereplprogramok nagy rszt elrhetjk a program ksztinekoldalain is. Itt mindig gyorsabban jelennek meg a frisstsek, j verzik. Egy szerverelksztse utn a legfontosabb dolgunk a hibajavtsok kvetse.

A linux rendszerek egyik legnagyobb elnye, hogy az elfordul, detektlt biztonsgihibkat nagyon gyorsan javtjk. Gyakran jellemz, hogy a hiba publiklsa s ajavts megjelentse ugyanarra a napra tehet. rdemes figyelni azokat afrumokat, melyek ezekrl tjkoztatst adnak.

A legtbb disztribcinl lehetsg van a frisstsek automatikus letltsre,

teleptsre. A rendszernk kivlasztsnl rdemes utnanzni, mennyire gyorsanjnnek ki r a javtsok.

Taln itt rdemes beszlni a Linux tmogatottsgrl. Ms rendszerekkel ellenttbena Linux-nak az elsdleges support-jt szervezetek adjk. Szinte minden problmraltezik mr dokumentlt megolds valahol, csak meg kell tallnunk. Kiemelt szerepetkapnak a levelez listk s ezek archvumai. Szintn nagyon jl hasznlhatak, azun. Howto-k (hogyanok), melyeket nagy mennyisgben lehet elrni az Interneten.Nzznk meg egy pr lnyeges Internet cmet.

Magyar Linux Felhasznlk (http://mlf.linux.rulez.org/mlf/) levelezlisti:

8

http://www.freesco.org/http://www.devil-linux.org/http://www.tummy.com/krud/http://www.lindows.com/http://www.mklinux.org/http://www.sulix.hu/http://www.linux.org/dist/list.htmlhttp://www.linux.org/dist/list.htmlhttp://www.sulix.hu/http://www.mklinux.org/http://www.lindows.com/http://www.tummy.com/krud/http://www.devil-linux.org/http://www.freesco.org/


9/137


- Linux-kezd lista. Ez egy kezdknek szl levelezlista, egyszer krdsekkel,sok segtksz emberrel. Idelis nem csak a kezdknek, hanem azoknak is akikszvesen segtenek msoknak tkzdeni magukat az els bakikon. Az RTFM elistn nem megengedett kifejezs.

- Linux lista. Az els magyar nyelv Linuxos lista volt, mra a mr nem kezd

Linux felhasznlk szmra kvn segtsget nyjtani. Ha elakad pl. a Linuxbelltsval, rdemes krlnzni az archvumban. Ezen a listn mr nemmeglep, ha valaki vlaszknt csak ennyit kap: RTFM.

- Linux++.A halad Linuxosoknak sznt frum. Levl kldse eltt krjk, olvassael a lista clkitzseit.

- Linux-flame. A Linuxosoktl a szrakozs sem idegen... csak ersidegzeteknek ajnlott.

A fenti listk ismertetst (sz szerint) a Linux-felhasznlk MagyarorszgiEgyeslete oldalrl (http://lme.linux.hu/levlista.html) szrmazik. Az egyeslettevkenysge meghatroz a linux Magyarorszgi terjedsben:

Az egyeslet oldala: http://www.lme.huPingvin fzetek: http://www.lme.hu/meh/pingvinfuzetek.htmlLinux.hu: http://www.linux.hu

Sok informcit tartalmaz, lnyeges oldalak lehetnek mg:

Magyar nyelvanyagok, hogyanok gyjtemnye: http://linux.vv.huHasonl oldal az elzhz: http://www.szabilinux.huSzintn: http://tldp.fsf.hu/HOWTO/HOWTO-INDEX/FSF.hu Alaptvny: http://www.fsf.huLinuxos linkek: http://www.linuxbazis.huHrek, informcik: http://www.hup.huSuLinux levelezlista: http://sulinux.wmszki.huLinuxvilg magazin: http://www.linuxvilag.hu

1.2 Int ernet

Az Internet mkdsnek alapja a kzs szabvnyokon alapul kommunikci.Ezeket a szabvnyokat nagyrszt a protokollok lersai alkotjk. Ha valaki el

szeretne mlyedni a tmban, nzzen utna az IETF (Internet Engineering TaskForce) ltal kiadott RFC dokumentumokban (http://www.ietf.org). Pldul az InternetProtokoll (IP) lersa a rfc760, amely 1980-ban ltta meg a napvilgot.

A 60-as, 70-es vekben a Pentagon megbzsbl elindult az ARPANET fejlesztse.Alapkritriumok a kvetkezk voltak:

- Nem lehet centralizlt, azaz nem rendelkezhet semmilyen kzponttal a rendszer.- Hibatrnek, redundnsak kell lennie, azaz egy-egy hlzati eszkz lellsa

esetn alkalmas legyen alternatv tvonalak hasznlatra.- Tbbfeladatosnak kell lennie, azaz egy gpnek tbb gppel is kommuniklnia kell

egyidejleg.

9

http://www.lme.hu/http://www.lme.hu/meh/pingvinfuzetek.htmlhttp://www.linux.hu/http://linux.vv.hu/http://www.szabilinux.hu/http://tldp.fsf.hu/HOWTO/HOWTO-INDEX/http://www.fsf.hu/http://www.linuxbazis.hu/http://sulinux.wmszki.hu/http://sulinux.wmszki.hu/http://www.linuxbazis.hu/http://www.fsf.hu/http://tldp.fsf.hu/HOWTO/HOWTO-INDEX/http://www.szabilinux.hu/http://linux.vv.hu/http://www.linux.hu/http://www.lme.hu/meh/pingvinfuzetek.htmlhttp://www.lme.hu/


10/137


- Aszinkron mdban kell mkdnie, azaz az adatok kldse s fogadsa egymstlfggetlen legyen.

1980-ban mr a TCP/IP szabvny ltezett, ez alapjn megindult a Berkleyegyetemen UNIX al trtn beillesztse. Mivel az amerikai trvnyek szerint az

llamilag fejlesztett megoldsok az amerikai llampolgrok tulajdona, a TCP/IPszabvny szabadon hasznlhat lett. Szintn szabadon hasznlhat volt a Berkleyegyetem ltal kifejlesztett UNIX-os megvalstsa. Ez nagyban elsegtette azelterjedst. Az egyetemeken elindult a hlzatok kialaktsa, majd ezen hlzatokegyetemek kztti sszekapcsolsa. CSNET nven jtt ltre az amerikaiegyetemeket sszekapcsol hlzat (ksbb NSFNET). Majd a TCP/IP elterjedsekvetkeztben ltrejtt az a hlzat, melyet Internet nven ismernk.

1. ARPA verem rtegei

A TCP/IP kliens-szerver alap kommunikcijt az ARPA verem modellezi. Amg aszabvny OSI modell 7 rtegbl ll, addig az Interneten hasznlt ARPA verem

modellje csak 4 rteget jegyez:

- Alkalmazs rteg.Az alkalmazsok a sajt protokolljaik szerint sszelltjk a kldendadatot.Ezen a szinten beszlhetnk olyan protokollokrl, mint az SMTP, a HTTP, aPOP3, stb.

- Gp-gp rteg.Ez a rteg szablyozza a hlzati tvitelt. Ezen a szinten hrom protokollrl

beszlhetnk:- TCP(Transmission Control Protokol)

Az adatokat, a kld gpen kisebb csomagokra (datagram) bontja, azadattvitel megknnytsre. A fogad gpnl ez a szint gondoskodik acsomagok sszeillesztsrl. Az alkalmazsok jellemzen ezt a protokollthasznljk.

- UDP(User Datagram Protokol)A gpek kztti egyszer zenetcsert valst meg, egyetlen csomag(datagram) segtsgvel. Hlzati zemeltetsi feladatok elltsaraalkalmazzk.

- ICMP(Internet Control Massage Protocol)

10



11/137


Vezrl zenetek kldsre alkalmas protokoll. Hlzat mkdsnekvizsglatra alkalmazzk, mint pldul a ping zenetek(ICMP_ECHO_REQUEST, ICMP_ECHO_REPLY).

- InternetItt csak egyfle protokoll az IP (Internet Protocol) dolgozik. Ez a rteg

hatrozza mg, hogy a csomagnak merre kell mennie. Azaz itt kapja meg acsomag a clgp IP cmt (errl mg lesz sz), illetve azt, hogy melyikinterfszen (hlzati eszkz) tvozzon.

- Hlzati elrsEz a rteg gondoskodik a csomagok, az interfsz rszre ismert protokollra(Ethernet, PPP, SLIP) val talaktsrl. Megkeresi a cm IP-vel rendelkezgpet a hlzaton s tovbbtja a csomagot a fizikai kzegen keresztl.

Az alkalmazsi rteg elkszti az zenetet, amelyet egy msik gpnek szeretneelkldeni. A gp-gp rteg kisebb darabokra vgja (TCP-esetn) s datagram-ot(csomagot) kszt belle, azaz elltja az zeneteket egy fejlccel. A fejlc

tartalmazza tbbek kztt:- Azt az rtket, amely alapjn a gp-gp rteg a kldalkalmazst azonostja, ez

a kiindulsi port.- Azt az rtket, amellyel a cmzett alkalmazst lehet azonostani, ez a clport.- Egy sorszmot, amely mutatja, hogy a csomag a teljes adathalmazban hol foglal

helyet. Ez a sorszm alapjn lesznek sszerakva a csomagok a clgpen.- Ellenrzsszeget, amely alapjn kvetkeztetni lehet az adatok srlsre.

UDP esetn is hasonl informcikat tartalmaz az UDP fejlc, viszont az alkalmazsadatai nem lesznek eldarabolva.

Az gy ltrehozott csomagok tkerlnek az Internet rteghez. Itt szintn egy fejlcetkapnak, gy kialaktva IP csomagokat. Az IP fejlc rdekesebb adatai:- IP protokoll verzija.- Csomag hossza.- Tovbblpsi id(TTL).- Gp-gp rteg protokolljnak a kdja. (6-TCP, 17-UDP)- Ellenrzsszeg.- Forrs IP cme.- Cl IP cme.

A hlzati rteg az gy megalkotott IP csomagot eljuttatja a megadott clgphez.Amikor a cmzett fogad egy csomagot, a hlzati rteg tadja az Internet rtegnek. Ittlefejtdik rla az IP fejlc, s tovbbkerl (mint TCP, UDP, vagy ICMP csomag) agp-gp rteghez. Ez a rteg a clport alapjn a megfelelalkalmazsnak tadja acsomagokbl sszelltott zenetet.

Az alkalmazsi rtegen tbb protokoll is beszlhetnk. A gp-gp rteg, a csomagfejlcben rgztett clportra juttatja el a csomagot, ahol egy alkalmazs(szolgltatst kiszolgl szerver) figyel. A kapott csomagot az alkalmazsmegprblja feldolgozni. Termszetesen csak akkor sikerlhet, ha ltala ismert

szabvny (protokoll) alapjn kszlt.

11



12/137


Ugyan llthat, melyik portot figyelje az adott alkalmazs, de mindegyiknek megvana jellemz(alaprtelmezett) portja. Ezek alapjn prosthat az alkalmazs tpusa, afogadport s a protokoll. Nzznk ezek kzl nhny ismertebbet:

Port: Protokoll: Alkalmazs:

21 ftp Fjlletltszerver, pl.: proftpd22 ssh Security Shell szerver, pl.: sshd23 telnet Telnet szerver25 smtp Mail szerver, pl.: sendmail53 dns Name szerver, pl.: bind 980 http Web-szerver, pl.: apache110 pop3 Levelek letltse, pl.: popper, ipop3d113 ident Ident szerver143 imap Levelek kezelse. Imap szerver

443 https (ssl+http) Web-szerver, pl.: apache (titkostott)993 ssl+imap, tsl+imap Levelek kezelse (titkostott)995 ssl+pop3, tsl+pop3 Levelek letltse (titkostott)

A fenti listban lthatunk, olyan protokollokat is amelyet begyaztak egy ssltitkostsi protokollba. Ebben az esetben, a fogad szerver alkalmazs, elszr azssl csomagot bontja, majd rtelmezi a bele gyazott sajt protokollt.

2. IP cmek

A ksbbiek megrtshez nzzk meg, mi az IP cm. Az Internetre kttt gpeknek,hogy a rszkre kldtt csomag meg is rkezzen, egyedi azonostval kellrendelkeznik. Ezeket az egyedi azonostkat nevezzk a gp IP cmnek.

Az IP cm 32 bit hossz szmsor, melyet jellemzen byte-onknt ponttal elvlasztottformban runk. Pldul: 195.199.67.88. Ezek alapjn minden (ponttal elvlasztott)szm nulltl 255-ig terjedrtket vehet fel.

Az IP cmek kiosztsa a Network Information Center (NIC) feladata. Persze ez anemzetkzi szervezet nem ad IP cmet minden egyes felhasznl rszre.

Jellemzen egy-egy cmcsoportot ad ki szolgltatknak, melyet ksbb a szolgltatoszt tovbb. (http://www.nic.com/nic_info/whois.htm)

A rohamosan nvekvigny az Internetre s ezzel az IP cmekre, mr a 90-es vekelejn megmutatta a jelenleg hasznlt IP szabvny nagy hinyossgt. Ugyanisnapjainkban mr kezd elfogyni a rendelkezsre ll IP cm. Ezrt 1992-benmegkezdtk egy j szabvny, az IPV6 (ms nven IPnG) kidolgozst. A korbbi 32bites helyett mr 128 bites cmeket hasznl. A fejlcformtum egyszersdik.Azonostst s kdolst hasznlhat. Multimdia tvitelre alkalmas kpessgekkelrendelkezik. Ugyan nagy munklatok folynak ebben a tmban, mg nem lt ssze akp teljesen. Jelenleg az tllssal kapcsolatos problmkon dolgoznak.

12



13/137


14/137


15/137


16/137


A routing tblt ngyfle informci alapjn kszti a router:

- Kzvetlen az interfszeire kapcsolt hlzatok adataibl,- Kzzel belltott adatokbl (statikus route),- A krnyezetben lvrouterektl kapott adatokbl (dinamikus route)

- Alaprtelmezett tjr adataibl.

A statikus route-ot kzzel tudjuk belltani, mg a dinamikus route-ot erre a clraksztett router protokollokon keresztl pti fel s folyamatosan frissti a routernk.

Az Interneten a felad s a cmzett kztt akr tbb tvonalvlaszt iselhelyezkedhet. Nzzk meg, hogy egy veszprmi kzpiskolbl a VeszprmiEgyetem webszerverig hny routeren megy keresztl a csomag (traceroutewww.vein.hu):

- router.iskola.sulinet.hu (Iskola sajt routere, cisco)- 195.199.0.137 (Itt mr a Szkesfehrvri sulinet kzpontban vagyunk.)- 195.199.2.1- 195.199.0.57 (Ez mr biztosan a Budapesti sulinet kzpont)- gsr16-sulinet.vh.hbone.hu (tkerltnk az egyetemi hlzatra)- c6k-c72.veszprem.hbone.hu- c72-c6k.veszprem.hbone.hu (Megtalltuk a Veszprm fel vezetutat)- proxy2.vein.hu (Ez mr az egyetem bejrata)- almos.vein.hu (Megvan a webszerver)

Trjnk egy gondolatra vissza az IP fejlcben trolt adatokra. Minden IP csomag kapegy TTL-t (Tovbblpsi idkdot). Ez egy 0 s 255 kz esszm. Amennyiben acsomag thalad egy routeren a TTL rtke egyel cskkenni fog, ha elri a nullartket, akkor a csomag megsemmisl. Erre azrt van szksg, mert a Internetszerkezetbl addhat, hogy egy csomag nem rkezik meg a cmzetthez, hanem arouterek kztt kering egy zrt hurokban ksrtetknt. A TTL alkalmazsa nem aderre lehetsget.

5. Nvfelolds az Interneten

Mint, mr emltettk, az Internetre kttt sszes gp rendelkezik egyedi azonostval.

Ez alapjn cmezzk a csomagot a gp rszre. Mivel ezek megjegyzse nehzkes,a kliens programoknl neveket hasznlunk az egyes gpek azonostsra, melyeketdomain neveknek neveznk. A domain nv alapjn mindig meghatrozhat aclszmtgp IP cme. A domain nv hasznlatnak tbb elnye is lehet:

- Knnyen megjegyezhet, informatv.- Amennyiben egy gpet thelyeznk egy msik hlzatra, az IP cmt meg kell

vltoztatnunk, viszont a neve lland maradhat.- Tbb domain nevet rendelhetnk hozz egy IP cmhez, ezrt, pldul, egy

szerver tbb cg, szervezet weboldalait kiszolglhatja.

16



17/137


A domain neveknek ponttal elvlasztott szvegrszekbl llnak ssze. rtelmezskjobbrl balra trtnik. Jobb fell az elsszintdomainnal kezddik s baloldalon akonkrt gp nevvel zrjuk. Kitntetett elemei a kvetkezk:

- top-level (elsszint, TLD) domain. A domain tpust, vagy a orszgot hatrozza

meg.- Second-level (msodszint, SLD) domain. A hlzat nevt adja meg. ltalban acg nevre, vagy a szolgltats tmjra utal.

- host name (gp neve). Az egyedi gp neve az adott hlzatban.

Nzznk pldkat az egyszerdomain nvre:

- www.sulinet.hu- www - host name- sulinet - second-level domain- hu - top-level domain

- mail.ibm.net- mail - host name- ibm - second-level domain- net - top-level domain

Aldomain-t hasznl plda:

- pc12.iskola-varos.sulinet.hu- pc12 - host name- iskola-varos aldomain- sulinet - second-level domain- hu - top-level domain

Teht a domain nv a gp nevvel kezddik, majd az aldomain lista kvetkezik(nincs megktve hny elembl ll), vgl a msodszints elsszintdomain.

A top-level domainokat a ICANN hozza ltre s adja ki a kezelst szervezeteknek.Ilyen elsszintdomainek lehetnek:

- .com - zleti domainek

- .edu - Oktatsi intzmnyek- .gov - llami intzmnyek- .int - Nemzetkzi szervezetek- .net - Nem NIC ltal kezelt domainek- .museum - Mzeumok

Szintn elsszintdomainnal rendelkezik minden orszg. Pl.:

- .hu Magyarorszg- .pl Lengyelorszg- .it Olaszorszg

- .de - Nmetorszg

17



18/137


Az els szint domainekrl bvebb informcit tallhat a http://www.icann.orgoldalon.

Teht minden els szint domaint valamilyen szervezet kezel. A .hu domaint azInternet Szolgltatk Tancsa (ISZT Kht.) kezeli. Minden .hu alatt lvmsodszint

domain bejegyzst nluk kell kezdemnyezni. A msodszint domain rszre ktegymstl fggetlen hlzaton tallhat name szerveren kell nyilvntartani(elsdleges s msodlagos DNS). Amennyiben a bejegyzsnek nincs akadlya, gya .hu domain name szerverbe rgztsre kerl a msodszintdomain neve s azazt nyilvntart kt DNS IP cme. A .hu al bejegyzett domainek, s a bejegyzsszablyai a http://www.nic.hu/ oldalon olvashatak.

A msodszint domainok alatt lv host-okat, vagy tovbbi aldomainokat amsodszintdomaint ignylk sajt name szerverekkel oldjk meg.

A fentiekbl is mr sejteni lehet, hogy a domain informcikat domain name

szerverek (DNS) troljk. Ezek a szerverek felelsek a domainnevek IP cmmtrtn talaktsrl, illetve az IP cmekre bejegyzett domain nevekmeghatrozsrl (rev DNS). Ezt a folyamatot nevezzk nvfeloldsnak.

A nvfeloldsnl a kliens elszr az INTERNIC ltal zemeltetett kzponti DNS-ekhez fordul, melyek tjkoztatjk, hogy a top-level domain nyilvntartsa melyikDNS-en trtnik. A kliens, a mr ismert, top-level nyilvntart szerverhez fordul,amely megadja, hogy mi a domain (second-level) name szervere. Vgl ettl aszervertl megkapja a krt IP cmet.

Ez a folyamat igen idignyes s nagyon gyakori. Ezrt a hlzatokon ltre szoktakhozni caching DNS szervereket, amelyek kzel vannak a kliensekhez, gy azelrsk gyorsabb. A kliensek ezektl krik a nvfeloldst, s ezek hajtjk vgre afenti folyamatot. Kzben az adatokat eltroljk. Ha ismert domainnak krik a kliensekaz IP cmt, akkor az mr a sajt adataikbl szolgljk ki. Termszetesen ezenadatok rvnyessgi idejk lejrsakor frisslnik kell.

Napjainkban egyre tbb program vdekezik a DNS informcik hamistsa ellen.Ennek a legjobb megoldsa, hogy az IP cmhez tartoz domain nevet lekri, majdlekri a kapott domain nv IP cmt. A kiindul s az eredmny IP cmnek azonosnakkell lennie. Ez az eljrs a mi szempontunkbl azrt jelents, mert a loklis hlzaton

nem gyakori a sajt DNS szerver, amelyben nyilvn tartjuk a privt IP cmeinkhezrendelt hoszt nevt. Ebben az esetben viszont ezen a hlzaton mkdszervernekaz ellenrzse hibs lesz. Ilyent tapasztalhatunk pldul mysql szerver kvlrltrtnelrsnl. A hibt ki lehet kszblni a krdses gpek felvtelvel a hostsfjlba.

18



19/137


1.3 Vdelem

Amikor egy Internetre kzvetlenl csatlakoztatott gpet (szervert) teleptnk,lnyeges szempont, hogy mikppen vjuk meg az identitst. Minden alkalmazs,szolgltats kivlasztsnl, a belltsok tervezsnl ez az elsdleges szempont.A vdelem s a biztonsg a leglnyegesebb krds, amely titatja teljes munknkat.

Az Internettel kapcsolatban lv gpeknl minden esetben rdemes feltenni akvetkezkrdseket:

- Mennyire vdett a klsbehatolsok ellen?- Mennyire vdett a vrusok, frgek, trjai programok ellen?- Hogyan vesszk szre, ha a rendszerfjlok megvltoznak, mdostjk ket?- Hogyan vesszk szre, ha betrsi ksrlet, vagy vals betrs trtnt?

Termszetesen ezekre a krdsekre a vlasz az alkalmazott technolgia, programoks a tervezs rszleteiben tallhat.

Fontos tovbb, hogy a rendszerben s adatainkban krt okoz esemny nem csakaz Internet fell rkezik. Vdekeznnk kell a bellrl (intzmny terletrl) rkeztudatos s nem tudatos tmadsok ellen is. Azaz a rendszernket (gpnket) a sajtfelhasznlinktl s sajt magunktl is vdeni kell.

6. Tzfalak

A tzfalakkal a vdendgp, rendszer biztonsgt nveljk a hlzati kommunikciszintjn. Termszetesen egy-egy gpre is elhelyezhetnk tzfalat, de a kzpontiadminisztrci miatt elssorban a hlzati csompontokon szoks vdeni egyrendszert.

Amennyiben egy intzmnyi hlzatot kvnunk vdeni, fontos az eltervezs. Arendszer felptsnek s az engedlyezett szolgltatsok tervezse mindig az adottintzmny informatikai stratgijbl indul ki, arra alapul.

A kvetkezkben tnzzk a tzfal rendszereknek a felptst lpsrl-lpsre. Itt

kell megjegyeznem, hogy a vdelmi rendszerek tervezsrl komoly szakirodalomltezik. Az itt lertak nem terjednek ki mindenre, erre nem is lenne lehetsg. Ezrtaz itt lertakon tl rdemes mg utna nzni a konkrt megvalstsnak.

7. Tzfalak tpusai

A tzfalaknl klnbz tpusokrl beszlhetnk. Lnyeges, hogy a rendelkezsrell lehetsgekbl a lehetleghatkonyabbat hasznljuk.

Bastion host: Egy megfelelen vdett szerver. Egyarnt kapcsoldik a loklishlzatunkra s az Internetre is. Viszont nem vgez csomagtovbbtst. Amennyibenbelshlzatunkrl hasznlni szeretnnk az Internetet, gy be kell jelentkeznnk a

19



20/137


21/137


Mivel nincs lehetsg tbb varici megjelentsre, ezrt a tovbbiakban egy iskolaszint szervezet ignyeit kiszolgl optimlis rendszer felptst trgyaljuk.Termszetesen ezt egyszersteni s bonyoltani is lehet.

A iskola szempontjbl a kvetkezszolgltatsokat kell biztostanunk.

- Internet elrse az iskola belshlzatrl (tzfal, router)- HTTP, HTTPS elrse, azaz Interneten tallhat honlapok ltogatsa.- FTP elrse, azaz fjlok letltse.- IRC, ICQ elrse, azaz chat.- Egyb meghatrozott protokollok.- Levelek (POP3) letltse az iskola e-mail szerverrl.- Levelek kldse az iskola e-mail szervern keresztl.- Iskola cmre rkezlevelek fogadsa az Internet fell.- Iskola honlap szolgltatsa az Internet fel.- Fjlszerver az iskolai belshlzatnak.

Termszetesen ezeket a feladatokat technikailag meg lehet oldani 1 kiszolglval is(1997-es Sulinet modell), viszont ez biztonsgtechnikailag nem j megolds.Radsul az 1 szerveres megolds zemeltets szempontjbl sem kvnatos.

Mindenkppen kln szerverre rdemes tenni a kvetkezszolgltats csoportokat:

- Tzfal. Minden r teleptett szolgltats tovbbi lehetsget biztost a betrsre.Ezrt a tzfalak csak a legszksgesebb csomagokat tartalmazzk. Pldul atzfalra teleptett web-szerver esetn a web-szerver minden biztonsgi hibjanveli a tzfal srthetsgt. A msik indok, hogy a tzfalak teleptsre klnLinux disztribcik, biztonsgosabb egyedi megoldsok is lteznek. (pl. UHUFIREWALL, ASTARO, IPCOP) Ezeket a disztribcikat knnyebb telepteni sbelltani.

- Fjlszerver. A trolt adatok fokozott vdettsget kvnnak. A fjlszerverszolgltats csak a belshlzat fel kell eszkzlni (klselrs esetn VNPhasznlatnl is ez a helyzet). Mg lnyeges indok lehet, hogy a fjlszerver scsoport munka szolgltats jellemzen a leginkbb hardwer ignyes s opercisrendszer vlasztsnak szempontjbl eltrhet az Internet kiszolglktl,tzfalaktl.

- Internet kiszolgls. Ebbe a csoportba az iskola e-mail s webszervere tartozik.

Ezeket a szolgltatsokat szintn kln gpre szoks tenni. Biztonsgiszempontbl clszer lehet tovbb bontani s az e-mail szervert levlasztaniminden ms Internet fel irnyul szolgltatsrl, hiszen az felhasznlk leveleiszintn fokozottan vdett adatnak szmtanak.

Ez teht minimum 3 klnbzszervert (gpet) ignyel. Ez azrt is lnyeges mert agpek helye is mshol tallhat a rendszeren. Teht nzzk az gy kialakultrendszert:

A Tzfal hrom hlzati krtyval rendelkezik, gy hrom hlzatra kapcsoldik.Ezek a hlzatok a kvetkezk:

21



22/137


Internet. Minden ami a vdett hlzaton kvl helyezkedik el. Kezdve a Sulinet ltalbiztostott, publikus IP cmekkel rendelkeziskolai szegmenstl a router-en keresztl

az Internetig.

Intranet. Az iskola bels hlzata. Az

iskola sszes klienst tartalmazza. Itttallhat a fjlszerver is.

DMZ. Mindkt hlzattl vdett zna. Idekerlnek a vdendszerverek, pldul aweb-szerver s az e-mail szerver,esetleg FTP szerver. A vdettsgszempontjbl itt is lehetne a fjlszerver,de ezt nem clszer amennyiben

csoportmunka kiszolglrl van sz, vagy VPN-t hasznlunk.

A tzfal teht vdi az Intranet hlzatunkat az Internet fell rkeztmadsok ellens a DMZ hlzatot mindkt helyrl. Az Intranet hlzaton elhelyezett fjlszervertrdemes elltni a fjlszerveren fut tzfal vdelemmel, hiszen a belshlzatrl isrheti tmads. A DMZ hlzaton nincsenek kliensek, ennek ellenre az Internet felszolgltat (itt elhelyezked) szervereket is el szoktuk ltni csomagszrvdelemmel.

Az gy kialaktott 3 zna esetben mr meghatrozhat a tzfal mkdse, azazfelvzolhat, hogy a znk kztt milyen alkalmazs szintforgalmat engedjen.

Ezt egy szolgltatsi mtrix tblzatba vzoljuk. A fenti szolgltatsi mtrixblkiolvashatak, hogy:

- Az Intranet (bels) hlzatrl az Internet fel kell http, https, ftp, irc, ssh elrs.Teht a belshlzaton lvfelhasznlk szeretnnek weboldalakat nzni (http,https), fjlokat letlteni (ftp), chetelni (irc), s bejelentkezni ms szerverekre (ssh).

22



23/137


- Az Intranet (bels) hlzatrl a DMZ zna fel kell http, https, pop3, pop3s, ssh.Teht a bels hlzaton lv felhasznlk szeretnk letlteni a leveleiket azintzmny mail szerverrl (pop3, pop3s), szeretnk ltni az intzmnyweboldalt (http, https), szeretnnk adminisztrlni az dmz szervereket (ssh).

- A tzfal az Intranet (bels) hlzat fel szolgltat dns-t s ntp-t, lehetsg van az

elrsre adminisztrci vgett (ssh). Tovbb fogadja a belshlzatrl kldttleveleket, amelyeket ellenrzs utn clba juttat (smtp). Ezek alapjn a tzfal dnss ntp chache-knt s smtp proxy-knt mkdik.

- Az Internetrl Az Intranet fel NEM ENGEDLYEZNK FORGALMAT. Csak avlasz csomagokat tovbbtjuk DNAT alapjn.

- Az Internetrl a DMZ zna fel engedlyezzk a http, https csomagokat, hogy azintzmny weboldalt elrjk kvlrl, s engedlyezzk a mail szerverrl alevelek letltst, de csak titkostott pop3 kapcsolattal.

- Az Internetrl a tzfalra rkezhetnek levelek, amelyeket tovbbt a DMZ znbanlv mail szervernek (smtp), illetve engedlyezzk DNS informcik lekrst(csak akkor lnyeges, ha publikus DNS szervernk zemel).

- A DMZ znban lvszerverekrl kifel trtne-mail kldst a tzfal fogadja skldi tovbb. Tovbb a log llomnyokat is fogadja.

- A tzfal az Intranet fel tovbbtja a DMZ znban keletkezett log llomnyokat.- A tzfal az Internet fel tovbbthat leveleket (smtp) s krhet DNS informcikat.

Nagyjbl errl szl a szolgltats mtrix. Ez alapjn a vdelem megtervezseknnyebb vlik.

Az Intranet (bels) hlzatot is lehet tovbbi znkra bontani. Ennek jelentsgeabban rejlik, hogy az intzmny, olyan csoportokra bomlik, amelynek ms-msszolgltatsokra van ignye (engedlye). Ilyen znk lehetnek:

- Hlzat-, szerveradminisztrtorok gpei- Tanri, gazdasgi gpek- Tanuli gpek

Az gy kialakult znkat rdemes kln alhlzatokkal jelezni.

1.4 Teleptshez szksges alap ismeretek

A tovbbiakban elssorban a DMZ znban lv szolgltat szerverekkelfoglalkozunk. Pontosabban egy szerverrel, amely nyjtja a szksgesszolgltatsokat. Telepts eltt rdemes tgondolni, milyen programok kerljenekr, milyen legyen a partci kiosztsa, mik a szksges adatok a teleptshez.

A telepts tervezsnl, illetve a tovbbi fejezetekben a Sulinet (1997) egyszerveres modelljt vesszk alapul. Azaz minden szolgltatst egy kiszolgl vgez.Ez a megolds az elzekben lertak miatt nem megfelel, st, elkerlend, de atanfolyam lehetsgei s a gyakorls vgett clszer.

23



24/137


9. Partcik

A partcik meghatrozsa az egyik leglnyegesebb eleme a szerver kialaktsnak.Kt szempontbl rdemes partcikra bontani a rendszernket:

- Vannak olyan terletek, melyeken tlnk fggetlen, vltoz mret adatokattrolunk. Ilyenek lehetnek a log-llomnyok (/var/log), a felhasznl knyvtrak(/home), az ideiglenes llomnyok (/tmp, /var/tmp). Ezek esetlegesenmegtelhetnek, de ha kln partcin vannak, akkor nem befolysoljk kritikusan arendszer mkdst.

- Klnbzknyvtrakban ms-ms stlus adatokat trolunk. A partcikat ennekmegfelel jogosultsgokkal kezelhetjk. Pldul megtilthatjuk rla a programfuttatst (noexec), vagy rsvdett tehetjk (ro). Ezen belltsokkal tovbbfokozhatjuk rendszernk biztonsgt

Nzzk meg, egy Linux rendszer knyvtrszerkezete, milyen lnyeges rszekbl ll.

- /boot knyvtr. Ebben troljuk a kernelt. A ksbbiekben trgyalt boot loaderinnen indtja a rendszernket. Mindenkppen elsdleges partciknt vegyk fel,lehetleg a meghajtnk elejre. Nem tartalmaz vltoz adatokat, ezrt rsvdetttehet(ro). Nem fogunk rla programokat sem futtatni (noexec).

- / knyvtr, azaz a gykrknyvtr. A kln nem tett knyvtrakat fogjuk itt trolni,ebbe a knyvtrszerkezetbe fogjuk felfzni a tbbi partcit.

- /usr knyvtr. Szervernkn ez lesz a legnagyobb helyet ignyl knyvtr atelepts utn. Itt troljuk a futtathat llomnyokat s azok kiegsztseit, azaz aprogramokat. Telepts befejezse utn rsvdett tehetjk.

- /var knyvtr. Vltoz adatokat trol knyvtr. Jellemzen olyan adatokattrolunk benne, melyeket a szerveren fut programok hasznlnak. Ide trtnik anaplzs, itt tallhatak a level Inbox-ok. Ezeket a knyvtrakat a terheltsgk sa fontossguk fggvnyben szintn rdemes kln tenni. Pldul a proxyszerver cache knyvtra, ezt folyamatosan hasznlja a squid, ezrt nagyterhelsnek lehet kitve. rdemes akr kln meghajtra is elhelyezni.- /var/log napl llomnyok helye- /var/www web-oldalak helye- /var/spool/squid Squid proxy cache knyvtra- /var/lib/mysql mysql adatbzisok knyvtra

- /var/tmp temperary knyvtr- /var/named DNS szerver adatai.- /var/spool/mail mail inbox-ok- /var/spool/mqueue postzsra vr levelek

- /etc knyvtr. A Linux rendszer s a programok sszes belltsa.- /tmp knyvtr. Ideiglenes fjlok trolja. (temperary). Lnyeges lehet, hogy

tiltsunk minden fle futtatst rajta.- /home knyvtr. Felhasznlk knyvtrai. Itt szba jhet a bvts is.

Amennyiben a teleptsnl kialaktott hely elfogyott, egy msik meghajtbehelyezsvel, csak ezt a knyvtrat helyezzk t. Tovbb meg lehet oldani,

hogy a /home knyvtrrl ne lehessen futtatni llomnyokat.

24



25/137


Linux rendszereken tbbfle partci tpust tudunk hasznlni. A legelterjedtebb talnaz ext2 tpus norml fjlrendszer. Van lehetsgnk ezenkvl naplz (ext3)fjlrendszer hasznlatra is. Ez ugyan kicsit lassabb, mint az ext2, de jobban viseliaz ramszneteket s megbzhatbb. A virtulis memria rszre is kln partcitkell ltrehoznunk. Ezt clszera merevlemez elejre elhelyezni. Mrett a memria

mretnek ktszeresre (csak a memria hromszorosig, maximum 2 GB) rdemesfelvenni. A virtulis partci tpusa swap legyen.

Ez termszetesen nem azt jelenti, hogy csak a fent emltett fjlrendszer tpusoklteznek. A linux rengeteg egyedileg fejlesztett tpussal dolgozik. rdemesutnanzni, melyek lehetnek szmunkra a megfelelek.

A kvetkeztblzatban egy lehetsges megolds tallhat:

Csatolsi pont Mret Tpus Opcik/ 200 MB Ext3 Default, (ro)

/boot 20 MB Ext3 Default, ro, nosuid, noexec, nodev/usr 500 MB Ext3 Default, ro, nodev/tmp 100 MB Ext3 Default, nosuid, noexec, nodev/var 200 MB - 1 GB Ext3 Default, nosuid, noexec, nodev/var/spool/squid 500 MB - 2 GB Ext3 Default, nosuid, noexec, nodev/home 500 MB - 2 GB Ext3 default, nosuid, noexec, nodev,

usrquota- 256 MB swap -

Opcik:- noauto. Csak kifejezett parancs hatsra csatoldik.- nodev. Karakteres, vagy blokkos eszkzfjlokat nem tartalmazhat.- noexec. A rajta lvfuttathat binris fjlok futtatst nem engedi.- nosuid. Tiltja a suid s a sgid bitek hasznlatt.- ro. Csak olvashat a fjlrendszer.

A partcik csatolsi belltsainl taln az rsvdettsget kell a legkrltekintbbenkezelni. Ha a /usr knyvtrat rsvdett tesszk, akkor rosszakarink nem tudnaktrjait becsempszni, de mi sem tudunk csomagokat frissteni. Ezrt ezt az opcitcsak tapasztaltabbaknak ajnlom.

10. Programok

A programok kivlasztsnl kt elsdleges szempont van. Minek nem szabad egyszerveren rajta lenni s milyen programok kellenek a kvnt feladat megoldshoz. Atiltott programokat biztonsgtechnikai szablyok befolysolhatjk, de jelents a nemhasznlom, ne is legyen fent elv is.

Sokan kedvelik a kernel s a programok egyedi fordtst. Ehhez C fordtszksges. Egy C fordtnak viszont semmi keresni valja sincs egy szerveren. Afordtst ezrt mindig egy msik gpen vgezzk.

25



26/137


27/137


Lefutsakor tnzi a log llomnyokat, az rdekesebb dolgokrl e-mail-bentjkoztat.

- sysstatRendszermonitor. Statisztikkat kszt (iostat, mpstat, sar). Ezeket rgzteni istudja.

- tripwireFjlintegrits ellenrz. Amikor ksz vagyunk a rendszerrel, ksztnk egyadatbzist a nem vltoz tartalm knyvtrakrl. Amennyiben azellenrzsekor hibt rzkel a program, akkor riaszt.

- SnortSok disztribci tartalmazza. Ez egy IDS, azaz betrs detektl program.

Segd programok:- traceroute

Megvizsglhatjuk vele, hogy a clgpig halad csomag, milyen router-ekenmegy keresztl. Jl hasznlhat hlzati hibk azonostsra.

- mtrMint elz, azzal a kiegsztssel, hogy ez a router-ekkel osztott hlzatokonkln-kln sebessget mr.

- lynxKarakteres bngsz program. Nagyon jl jn, ha hirtelen szeretnnkinformcihoz jutni.

- wgetSegtsgvel http oldalakrl, oldalakat tudunk letlteni a gpnkre.

- bind-utilsName szerver tesztelsre szolgl programok (pl: nslookup)

SSL security kezelcsomagok:- openssh

SSL kulcsgenerl, kulcsolvas programok s lib-ek.- openssh-clients

Titkostott terminl s fjl msol kliensek (ssh, scp, sftp).- openssh-server

SSH szerver.

Eddig olyan csomagokat nztnk, amelyeket minden szerverre rdemes felrakni.Most nzzk meg, milyen csomagokat rakunk fel a szerverek szolgltatsa szerint:

Webszerver esetn rakjuk fel:- php

PHP script nyelv rtelmezje.- php-imap

PHP kiegsztse imap levelezs kezelsre.- php-mysql

PHP kiegsztse mysql adatbzis kezelsre.

- mysql-serverMysql adatbzis kezelszerver. Gyors s egyszer. PHP-vel jl hasznlhat

web-lapok elksztsre.- mysql

27



28/137


29/137


30/137


10. Mi a hlzati cm?11. A 192.168.1.15 IP cm gp egy olyan hlzaton van, ahol 254 gp van. Mi a

hlzati cme s a hlzati maszkja?12. Mi a BIX?13. Milyen feladata van egy router-nek?

14. Mi a domain nv?15. Mi a host nv?16. Milyen feladatai vannak a DNS szervernek?17. Jellemezd a csomagszrtpus tzfalat!18. Hol helyezkedik el a tzdal a hlzatban?19. Mi a DMZ?20. Mi a partcikra bonts indoka a szervernl?21. Milyen fjlrendszereket hasznl a linux ltalban?22. Mennyi partcira bontanl egy meghajtt, linux szerver esetn?23. Milyen csomagokat (programokat) teleptenl felttlenl egy web-szerverhez?24. Mi az a fggsg?

1.7 Felh asznlt , ajnlo tt ir odalom

Stefan Strobel - Thomas Uhl : Linux (Kossuth)Richard Petersen : Linux Teljes referencia (Panem)Kirch, Olaf : A Linux hlzati adminisztrtor kziknyve (Kossuth)Fred Butzen, Christopher Hilton : Linux hlzatok (Kiskapu)Othmar Kyas : Szmtstechnikai hlzatok biztonsgtechnikja (Kossuth)

Linux tmogats-Mini HOGYANhttp://linux.vv.hu/hogyanok/mini/Linux-tamogatas-Mini-HOGYAN/index.html

A Linux (eddigi) trtnetehttp://linux.vv.hu/konyv/linux-tortenet/index.html

Bevezets az Internet Protokollbahttp://linux.vv.hu/egyebek/halozat/tcpip/tcpip.html

Az Internet alapjaihttp://linux.vv.hu/egyebek/halozat/internet-alap/alap.html

ZorpGPL-UHU felhasznli dokumentciUHU-Firewall Linux teleptCD, /doc knyvtr

30



31/137


2. Telepts

2.1 RedHat Linu x 9.0

11. Telepts megkezdse

A RedHat linux teleptshez szksges (3db) CD-ket letlthetjk azftp://ftp.redhat.com/pub/redhat/linux oldalrl iso tpus llomnyokban. (a jelenlegi9.0 verzi ISO fjljai: ftp://ftp.redhat.com/pub/redhat/linux/9/en/iso/i386 ) Ezekbl, cdr program segtsgvel, kszthetjk el a teleptCD-ket.

A hivatalos oldalon kvl, gynevezett, tkr kiszolglkrl is letlthetjk a rendszert.Ilyenek pldul:

ftp://ftp.fsn.hu/pub/CDROM-Images/redhat/linux/9/en/iso/i386/ftp://ftp.mirror.ac.uk/sites/ftp.redhat.com/pub/redhat/linux/9/en/iso/i386/

A cd-k boot-olhatak. Ha erre nem alkalmas a gpnk, akkor kszthetnkindtlemezt. Az els cd /image knyvtrban megtallhatjuk a klnbzkrlmnyekhez elksztett indtlemez fjlokat. Ezeket lemezre rhatjuk a /dosutilsknyvtrban tallhat rawrite.exe programmal, vagy meglv linux rendszeren a ddparanccsal:

> rawrite -f \images\boot.img -d a:$ dd if=/mnt/cdrom/images/boot.img of=/dev/fd0

Indtsuk el a szmtgpet a telept cd, vagy az elksztett telept lemezsegtsgvel.

12. Rendszerindt kperny

A teleptelindtsa utn a kezdkpernyfogad minket. Itt bellthatunk extrkat ateleptprogramnak s kernelnek.

31



32/137


Van lehetsgnk kernel paramtert s teleptsi opcikat megadni a boot: sorba:

- linux noprobe. A hardver teszteket kihagyja.- linux mediacheck. Ellenrzi s telepti a mdia drivereket.- linux rescue. Karakteres javt rendszer indtsa.- linux dd. Amennyiben hajlkony lemezen van drivernk.- linux updates. Automata update.- linux lowers. 640*480-as grafika.- linux text. Karakteres telepts.

A funkcibillentyk segtsgvel informcikat kaphatunk a klnbz belltsilehetsgekrl. Enter megnyomsval tovbblphetnk.

Teleptsi mdia ellenrzse

Miutn beindul a teleptrendszer, a megjelen ablak megkrdez, szeretnnk-eellenrizni a teleptlemezeket. Amennyiben elszr hasznljuk a CD-inket eztrdemes megtenni, egyenknt betenni ket, majd OK. Most viszont nem ellenrznk,teht a SKIP-et vlasszuk.

Ekkor elindul az Anaconda nvre keresztelt rendszer telept program. (Ez klncsomagban is megtallhat.) Elinduls utn lthatjuk az dvzl kpernyt. InnenNEXT gombbal megynk tovbb.

Ha a telepts kzben informcikra van szksgnk, akkor hasznlhatjuk a virtulisterminlokat. A jelenleg lthat grafikus teleptaz CTRL+ALT+F7 gombbal rhet

32



33/137


el. A tovbbi terminlok elrhetek, amelyekrl lnyeges informcikat merthetnkhiba esetn:

- CTRL+ALT+F1Anaconda indtsa.- CTRL+ALT+F2Telepts kzben shell elrse.

- CTRL+ALT+F3Modulok betltdse.- CTRL+ALT+F4Fut esemnyek zenetei.- CTRL+ALT+F7Grafikus teleptrendszer.

13. Telepts nyelvnek kivlasztsa (Language Selection)

A RedHat jelenlegi verzijban nincs lehetsgnk magyar nyelv teleptsre, ezrtaz angol (English) nyelvet vlasztva haladunk tovbb. Itt kizrlag a teleptprogramnyelvt lltjuk, nem lesz sszefggsben a teleptett rendszernkkel.

33



34/137


14. Billentyzet nyelvnek kivlasztsa (Keyboard)

A listbl kivlaszthatjuk a billentyzet nyelvt. Magyar billentyzet esetn aHungarian-t, mg angolnl az U.S.English-t vlasszuk.

34



35/137


15. Egr belltsa (Mouse Configuration)

Kivlaszthatjuk egernk tpust. Soros egr esetn mg azt kell megadni, hogymelyik soros porton tallhat. A telept rendszer, jellemzen eltallja, melyik

tpussal mkdik jl az egernk. Amennyiben egernk 3 gombos, gy mindenkppenennek megfelelen vlasszunk tpust, vagy 2 gombos egr esetn jelljk be a 3gombos emulcit (Emulate 3 Buttons), ugyanis ezzel karakteres kpernyn is leszlehetsgnk a szvegmsols, behelyezs funkcit kihasznlni.

35



36/137


16. Telepts tpusa (Installation Type)

Itt vlaszthatunk az nll szmtgp (Personal Desktop), a munkalloms(Workstation) s a szerver (Server) teleptse kztt. Ezekben az esetekben, a

vlasztottnak megfelelen segtsget nyjt a teleptend csomagok, programokkivlasztsban. Kiprblhatjuk brmelyik lehetsget, de szerver teleptse esetnclszeraz egyedi kialaktst (Custom) vlasztani.

36



37/137


17. Lemez partcionlsa

Kt lehetsgnk van a lemez partcionlsra. Els lehetsgnk az automatikuspartcionls (Automatically partition), amelyet lehetleg kerljnk el szerverek

teleptsnl. Ugyanis a teleptrendszer egy ltalnos sma alapjn bontja szt ameghajtnkat s nincs lehetsgnk ennek ignyeinknek megfelel mdostsra.Bellthatjuk mg a partcikat Disk Druid programmal, amely a telept rsze (eztfogjuk vlasztani most).

Disk Druid kivlasztsa (Manually Patrition with Disk Druid) utn, a kvetkez

New gombot hasznlva feljn az j

Akpernyn felvehetjk a partciinkat. Amennyiben lemeznkn volt mr partci, azta Delete gombbal trlhetjk. A New gombbal vehetnk fel jakat.

Apartci adatait kr ablak. Mount Point-nlmeg tudjuk adni, hogy aknyvtrszerkezetben hol foglaljon helyet altrehozott partci, azaz hova illesszk be.Itt berhatjuk, vagy kivlaszthatjuk azonknyvtrat, amelyet kln partcirakvnunk elhelyezni. Swap tpus partci

esetn nincs csatolsi pont.

37



38/137


A Filesystem Type-nl tudjuk megadni a partci tpust. Itt ext2-es s ext3-as

entebb kivlaszthatjuk, hogy a most felvett partci mindenkppen elsdleges

ost vegyk fel a kvetkezpartcikat:

Csatolsi pont Tpus Mretixed size rimary

sr

pool/squid

18. Boot Loader belltsa

linux rendszerek gynevezett boot loadert hasznlnak. Ez a program nem csak azt

laszuk ki, melyik boot loadert szeretnnk hasznlni. Kt lehetsgnk van: a Grub

knyvtrszerkezetet vlaszthatunk, illetve swap partci tpust is. Allowable Drivers-nel kivlaszthatjuk, mely meghajtkra kvnjuk a partcit ltrehozni. Size-nel adjukmeg a partci mrett MegaByte-ban. Tovbb megadhatjuk a partciltrehozsakor lezajl mret meghatrozs kritriumait. A Disk Druid ugyanis

nmileg fellbrlja az ltalunk megadott belltsokat. Jellemzen a fix mret (Fixedsize) belltst hasznljuk, mg az utols partcionl hasznlhatjuk a maradk helykitltst (Fill to maximum allowable size).

Llegyen (Force to be a primary partition). Az elsdleges partci erltetsre a /boot-nl lehet szksgnk. Megjellhetjk a hibs szektorok ellenrzst (Check for badblocks) is, ami fontos lehet egy szerver teleptsnl.

M

/boot Ext3 100 F P/ Ext3 500 Fixed size Primary- Swap 256 Fixed size Primary/u Ext3 1000 Fixed size/tmp Etx3 200 Fixed size/var Ext3 1000 Fixed size/var/s Ext3 2000 Fixed size/home Ext3 - Allowable

Ahatrozza meg, hogy melyik partcirl induljon a rendszer, hanem azt is, hogymelyik kernel induljon el. A boot loader mindenkppen szksges az indtshoz.

Vs a Lilo. A Lilo hagyomnyosabb, rgta ltez megolds. A Grub jabb, tbbkiegszttulajdonsga van, amelyet jl hasznlhatunk hibajavtsnl.

38



39/137


Elhelyezs szempontjbl tehetjk a master boot record-ra (MBR), s a /boot partci

els szektorra. Jelenleg az MBR lehetsgt (/dev/hda) van belltva. A msiklehetsg akkor jhet szmtsba, ha tbb opercis rendszer is van aszmtgpen s sajt boot menedzsert hasznlunk.

Lejjebb vehetnk fel j sort (j opercis rendszert) az indtandk kz. Erre egyszervernl ritkn van szksg. Lehetsg van a boot loader jelszval val elltsrais.

Jellemzen ezen az oldalon nem kell lltani. Mehetnk is tovbb.

19. Hlzati krtyk belltsa (Network Devices)

A kperny fels rszben, a tblzatban lthatjuk a megtallt hlzati krtykat.Alapban DHCP kezels van megadva. Ez egy szervernl nem clszer, ezrtvlasszuk ki a krtyt s kattintsunk az EDIT gombra.

A feljv ablakban llthatjuk a krtya paramtereit.Szedjk le a pipt a Configure using DHCP sor melll,hogy fix IP-t llthassunk. Az Activate on Boot mellettmaradjon pipa, hogy indulskor mkdjn az eszkz.

Az IP Address sorban adjuk meg az IP cmet (pl.10.0.1.13), majd alatta a Netmask-ot

39



40/137


(255.255.255.240). Ugyan gy adjuk meg a tbbi eszkz adatait is.

Alatta a Hostname belltsnl a manually sorba rjuk be a gp nevt (server).

Az tjrt (Gateway) s a DNS-eket szintn adjuk meg.

40



41/137


20. Tzfal belltsa

Lehetsgnk van csomagszrs belltsra is. Ez minden szervernl ktelez. Acsomagszrs belltst mr a teleptsnl megkezdhetjk, de mindenkppen

szksgnk lesz ksbbi finomtsokra. Javasolt egyni bellts alkalmazsa.Biztonsgi szintnek (Select a security level for the system) medium-ot vlasszuk.Belltsra hasznljunk egynit (Customize) s pipljuk be az allow incomingfelsorolsnl, hogy milyen szolgltatsokat engednk be a szervernkre. Klnsebbindok nlkl a telnet s az ftp szolgltatst ne jelljk be. Alatta (other ports)megadhatjuk a felsorolsban nem tallhat, de szksges portok listjt. (pl.:110:tcp, 10000:tcp)

41



42/137


21. Nyelvek kivlasztsa

Itt vlaszthatjuk ki, hogy mi legyen a programok alaprtelmezett nyelve (Select thedefault language for this system) s, hogy a programok mg milyen nyelvet

teleptsenek (Select additional languages to install on the system). Itt az angolt(English USA) s a magyart (Hungarian) mindenkppen vlasszuk ki.

42



43/137


22. Idzna belltsok

A trkp, vagy a lista segtsgvel vlaszuk ki Budapestet. Ha szeretnnk UTCmegoldst hasznlni, akkor jelljk meg s az UTC Offset flecsknl lltsuk be az

idcsszst (+1).

43



44/137


23. ROOT jelsz belltsa

rjuk be a root (teljes jog) felhasznl jelszavt. Ezt lehetleg ne felejtsk el, mertnagy szksgnk lesz r.

24. Felhasznlk azonostsnak belltsai

Itt llthatjuk be, hogyan trtnjen a felhasznlk azonostsa. Van lehetsg msikgpen trolt felhasznlk tvtelre is. Ennek kihasznlsval csak egy gpen kell afelhasznlkat nyilvntartani. Bellthatunk kapcsolatot NIS, LDAP, Kerberosszerverekkel, vagy hasznlhatjuk a SMB protokollon keresztli azonostst, akrWindows kiszolglrl is. Ezen lehetsgeket akkor engedlyezzk, ha tudjuk, hogyilyen szerver mkdik, egybknt ne.

Mindenkppen vlasszuk ki viszont a jelszavak titkostott trolst (Enable MD5passwords) s a jelszavak klnvlasztst a felhasznl azonost fjltl (Enableshadow passwords). Ez nem csak a biztonsg miatt fontos, hanem a programokhelyes mkdse vgett is.

44



45/137


25. Program csomagok csoportjainak kivlasztsa

A telept rendszer szmtalan csoportot ajnl fel vlasztsi lehetsgknt. Ezgyakorlatilag egy elmleti sszellts. A szerzk megprbltk bizonyos krkbe

sszevlogatni a csomagokat, hogy ezzel is egyszersthessk a teleptst. Szerverteleptsnl nem javasolom a csoportok hasznlatt. Mindenkppen legynktisztban vele, milyen csomagokat teleptnk a szervernkre, ezrt az egynivlogatst vlasszuk. Tovbb a csoportok hasznlatval elkpzelhet, hogy valamikimarad a teleptsbl. (ilyen pldul a Midnight Commander, amely egyikcsoportban sincs benne).

Vegyk le a csoportokrl a kivlasztst. A csoportok alatt vlaszuk ki a csomagokegyni kivlasztst (select individual packages), ms ne is legyen kijellve. Ez 479MegaByte-os alaprendszer teleptst jelenti.

45



46/137


26. Csomagok kivlasztsa

Amennyiben a 'select individual packages' be volt jellve, akkor kapunk egy rszletescsomagkivlaszt kpernyt. Itt tbb szz csomag (program) van felsorolva

kategrikba szedve.

mennyiben szervert teleptnk, a kvetkez csomagokra NEM lesz szksgnk,

Applications/Internet

c

t- ns/System

tils- s ent/daemons

Aezek melll vegyk le a pipt:

-

- finger- jwhois- rsh- rsyn- talk- telneApplicatio- Irda-utils- Isdn4k-usSy tem Environm- nfs-utils

- ORBIT

46



47/137


Amennyiben szervert teleptnk, a kvetkez csomagokra lesz mg szksgnk,

Applications/Database

erver- net

assassin

- ystem

-client

n

- e t/Language

map

- s nment/daemons

ng-nameserver

th_mysql

il-cf

mennyiben kivlasztottuk a szmunkra szksges csomagokat, tovbblphetnk a

ezek mell tegynk pipt:

-

- mysql

- mysql-sApplications/Inter- fetchmail- lynx- mrtg- spam- squirrelmail- webalizerApplications/S- iptraf- samba- samba-commo- samba-swat- tripwireD velopmen- php- php-i- php-mysqlSy tem Enviro- bind- cachi- cups- dhcp- httpd- imap- LPRng- mod_au- mod_perl- mod_ssl- samba- sendma- squid

- xinetdAteleptsi folyamatban.

47



48/137


27. Fggsgek kezelse

Minden csomagnl, programnl konkrtan meghatrozott milyen ms csomagokravan szksgk a mkdshez, ezt hvjuk fggsgeknek.

A teleptrendszernk megvizsglja, hogy az ltalunk feltenni kvnt csomagoknakmg mire van szksgk a tkletes mkdshez. A kvetkez kpernyn(Unresolved Dependencies) fel is hvja a figyelmnket a szmra szksges, deltalunk nem kijellt csomagokra.

Hrom lehetsgnk van ezek kezelsre:- Felteleptjk a szksges csomagokat (Install packages to satisfy dependencies)- Kihagyjuk azokat az ltalunk kijellt csomagokat, aminek gondja van (Do not

Install packages that have dependencies)- Feltesszk az ltalunk kivlasztott csomagokat, de a fggsgek miatt

felsoroltakat nem. (Ignore packages dependencies)

Amennyiben az utols lehetsget vlasszuk (Ignore packages dependencies),akkor komoly gondjaink lesznek szervernk mkdsvel. A legclszerbb vlasztsa fggsgek miatt kilistzott csomagok teleptse. Teht vlasszuk az elslehetsget (Install packages to satisfy dependencies) s folytassuk a teleptsfolyamatt.

28. Csomagok felmsolsa

Most jn az a rsz, amikor a teleptnk egy kicsit nllan dolgozik. A belltottpartcikra elkszti a fjlrendszert, majd felmsolja s belltja a kivlasztottcsomagokat. Itt lesz majd szksge a tbbi teleptCD-re is.

48



49/137


50/137


2.2 Debian GNU/Linux 3.0 R1


A Debian GNU/Linux teleptshez szksges (7db) CD-ket letlthetjk, pldul, azftp://ftp.fsn.hu/pub/CDROM-Images/debian/3.0_r1/images/i386/ oldalrl ISO tpusllomnyokban. Ezekbl, CD r program segtsgvel, kszthetjk el a teleptCD-ket. A letltshez informcikat tallunk a http://www.debian.org/distrib/ftplistoldalon.

A CD-k boot-olhatak. Ha erre nem alkalmas a gpnk, akkor kszthetnkindtlemezt. Az els CD /install knyvtrban megtallhatjuk a klnbzkrlmnyekhez elksztett indtlemez fjlokat (*.bin). Ezeket lemezre rhatjuk a/install knyvtrban tallhat rawrite2.exe programmal:

rawrite2 -f root.bin -d a:rawrite2 -f rescue.bin -d a:

A kt lemez kzl a rescue lemezrl kell boot-olni. A root lemezt ksbb fogja krni.

Indtsuk el a szmtgpet a telept CD, vagy az elksztett telept lemezsegtsgvel.

Rendszerindt kperny

A teleptelindtsa utn a kezdkpernyfogad minket. Itt bellthatunk extrkat a

telept

programnak s kernelnek. Az F1 billenty

hatsra err

l kapunktjkoztatst. ENTER hatsra indthatjuk a teleptst.

50

ftp://ftp.fsn.hu/pub/CDROM-Images/debian/3.0_r1/images/i386/http://www.debian.org/distrib/ftplisthttp://www.debian.org/distrib/ftplistftp://ftp.fsn.hu/pub/CDROM-Images/debian/3.0_r1/images/i386/


51/137


32. Telepts nyelvnek kivlasztsa (Choose The Language)

Miutn betltdtt a kernel, elindul a telept program. Az els kpernynkivlaszthatjuk a program nyelvt. Ez csak a teleptsre vonatkozik. Termszetesena magyart (hu A magyart vlasztottad) vlasszuk.

Vlassz varinst! felszltsnl tovbb

rendszerben fogunk tovbb kalandozni. A

A kvetkez kpernyn egy egyszer

33. Teleptrendszer fmen

ost mr clnl vagyunk. Ebben a telept

rszletezhetjk a kvnsgainkat. Itt az els sorban lv Magyar kivlasztsvalhaladunk tovbb.

Mrendszer mindig felajnlja a kvetkez lpst, illetve kt alternatvt. Alatta,felsorols szeren, tovbbi lehetsgek. A lpseket rdemes a felajnlottsorrendben vgigcsinlni, de lesz olyan rsz ahol a sorrendet megbolygatjuk.

51



52/137


53/137


54/137


2.2.1.4 Linux partci inicializlsa

kvetkezablakban megerststr. Igen-t vlaszolva el is kezdi a munkt.

mennyiben ez az elsinicializlt partcink, rkrdez, hogy szeretnnk-e a /(gykrbe) mount-lni. Ha nem az els, akkor felajnl pr lehetsget, illetve

Amenntallha i az Egy mrinicializlt partci csatolsa menvel.

A kvebe a te D-t. Igen vlaszra mr dolgozik is.

Kezelprogramok (modulok) konfigurlsa

Itt a legfontosabb dolgunk a hlzati krtya belltsa lesz. Vlaszuk a netsort. Ilyenkor prblja megkeresni, detektlni a krtyt. Ha nem tallja, akkoregy lista jelenik meg, ebbl vlaszthatjuk ki.

Kivlasztva a megfelel modult, rkrdez, hogy teleptse-e a kernelbe.Termszetesen Igen. A kvetkez kpernyn a modulnak adhatunkparamtereket. A pci-os hlzati krtyknak ez ritkn kell.

A kvetkez kpernyn a prblkozs utn jelzi hogy sikerlt-e (Installationsucceeded) vagy nem (Installation failed) a modul betltse. Vigyzat,tbbszri sikeres prblkozs tbb hlzati krtyt eredmnyez, mg akkor is,ha csak egy van.

Ha megvagyunk a hlkrtya belltsval akkor Exit-el kilphetnk a modulokbelltsbl.

2.2.1.6 Hlzat konfigurlsa

Az els lapon kri a szmtgp hoszt nevt. Ez nlunk server lesz. Tbbhlkrtya esetn kivlaszthatjuk, melyiket szeretnnk belltani. Rkrdez aDHCP belltsra, de ezt ne erltessk. s jnnek is krdsek:

IP cm: 10.0.1.13Netmaszk: 255.255.255.240

Tbb partci esetn vlasztanunk kell, melyiket inicializljuk. Mindig azzal apartcival kezdjk, amely a gykr lesz (/). s jn is a szoksos krds,

szeretnnk-e a hibs blokkokat keresni. Most mi nem szeretnnk, de jmerevlemezen mindenkppen rdemes. AkA

kzzel is megadhatjuk a csatolsi pontot.

yiben olyan partcink van a meghajtn, amelyet nem vltoztattunk s mrtak rajta adatok, akkor azt nem kell inicializlni csak csatoln

tkezfeladat a rendszer kernel s modulok msolsa. Felszlt, hogy helyezdleptC

2.2.1.5 Elrkeztnk a kezelprogramok belltshoz.

54



55/137


tjr: 10.0.1.14u

NS kiszolgl:

2.2.1.7

2.2.1.8

megjelen ablakban kivlaszthatjuk, hogy hova szeretnnk tenni a lilo-t.

Teht vlasszuk a /dev/hda sort.

Legvgl vlasszuk a rendszer jraindtst. A telept CD-t vegyk ki, hogy a

34. jraindts utn

Az e(/usr/s endkrdsekkel.

2.2.1.9Az elskvetk

2.2.1.1 etup

A ShaMD5 jelszkdolssal elrhetjk, hogy 8 karakternl hosszabb jelszavakathasznlhassunk, egy biztonsgosabb kdolsban.

rds? krdsre mindenkppen yes-t vlaszoljunk. Ashadow password kezelssel elrhetjk, hogy a jelszavak nem a /etc/passwdllomrjuk b ljk meg.

Domain nv: isk1-proba.sulinet.hD

Az alaprendszer teleptse

Semmi mst nem kell tenni, mint vrni.

A rendszer bootolhatv ttele

APartcira tenni csak akkor kell, ha ms opercis rendszer is van a gpnkns az rendelkezik sajt boot loaderrel. Mi most, mit ltalban a szerverekesetben, az MBR-be teleptjk.

A kvetkeza bootfloppy ksztse. Ez a lemez hasznlhat fel, ha a lilo-val valamibaj trtnik. rdemes kszteni, de ki is hagyhat.

merevlemezrl indulhasson a felteleptett alaprendszer.

ls

indtsnl automatikusan elindul a Debian System Configurationbin/base-config), amely ellt bennnket eldnt

Time Zone Configuration

krds, hogy szeretnnk GTM-et hasznlni. Itt rdemes igennel vlaszolni. Aezablakban vlasszuk ki Eurpt, majd keressk meg Budapestet.

0 Password s

ll I enable md5 passwords? krdsre mindenkppen yes-t vlaszoljunk. Az

A Shall I enable shadow passwo

nyban, hanem egy vdettebb rnykfjlban tallhatak.

e a root felhasznl jelszavt, majd a kvetkezkpernyn ismte

55



56/137


57/137


2.2.1.13 Csomag csoportok

Megint egy lpssel elrbb vagyunk. Most a bellt program tjkoztat mindet,ogy igen kevs dolgot teleptett fel a gpre s rdekldik, hogy indtsa-e el as somagcsoport telept rendszer. Kipiplgathatunk szmunkra

d si tmkat. Neknk most nincs r szksgnk, egyesvel bajldnnkc kkal. Teht a vlasz nem.

2.2.1.14 DSelect

Debian rendszerben mr elhresedett dselect program a csomagok teleptsre

g csak az alapcsomagok vannak fent, de aki Internet forrst adott meg, annakezen fell a pcmcia-cs csomagot is el kellene

z eddig felteleptett csomagok kzl az Exim is felteszi a krdseit. Ez egy mailszerveExim cHa min

hta ksel-t. Ez egy c

r ekes telepta somago

Aalkalmas. A bellt rendszernk most rdekldik, hogy elindtsa-e. Vlaszoljunknemmel, hogy ksbb magunk indthassuk.

2.2.1.15 Vgjtk

Mmris van frisstsre szorul csomagja,tntetni. Teht vlaszoljunk Y-el.

A Debian-ra jellemzen a felteleptett csomagok egy rsznl rgtn megkezdhetjka belltsokat. Azaz a csomag teleptse utn krdseket tesz fel neknk. Ezrtnem rdemes egyszerre nagy mennyisgcsomagot telepteni, mert sokig tartanaka krdsek.

Ar, pontosabban MTA. Mivel a knyvben majd a Sendmail-t fogjuk trgyalni, azsomag gyis lekerl. A krdsre vlasszuk az 5-st, azaz nem konfigurljuk.

den jl megy ezzel vge is az elteleptsnek.

57



58/137


35. DSELECT

- Quit. Kilps a dselectbl.

A Select menpontot vlasszuk. A bejelentkezkpernyszkz billentyletsretovbblp. Most nzzk, hogy naviglhatunk:

Indtsuk el a dselect programot. Ez a program felels a csomagok teleptsrt,frisstsrt s trlsrt. Az albbi menk kztt vlaszthatunk:

- Access. A csomagok elrsnek forrst lehet lltani.- Update. A mr teleptett csomagok tekintetben ellenrzi a belltott forrson lv

j verzikat s telepti azokat (update).

rsznek belltsa mr az Install mennl megtrtnik.

- Select. Itt vlaszthatjuk ki a teleptend, illetve trlendcsomagokat.- Install. A teleptsre kijellt csomagok teleptse.- Config. Az jonnan teleptett csomagok belltst vgzi. A csomagok egy

- Remove. A trlsre kijellt csomagok trlse.

58



59/137


age-Up, Page-Down gombokkal tudjuk a csomaglista grdteni./ gomb utn szveget berva kereshetnk a listban.

A _ (alhzs) gombbal tudunk trlsre kijellni ez a konfigurcis fjlokat is trli.A Shift+Q-val tudunk visszatrni a dselect fmenbe.Az F1 billentyre tovbbi funkcikrl lthatunk segtsget.

A lista elejn lthatjuk a mr teleptett csomagokat. Mr vannak kijellvealapcsomagok, amelyek mg nem lettek teleptve. Most ne jelljnk ki semmit,viszont pr csomagot levehetnk (alhzs billentyvel):

- g++- gcc- gcc-3.0- gcc-3.0-base- gdb- cpp- finger- nfs-commen

Ha ezeket a csomagokat kijelltk trlsre, akkor a SHIFT+Q-val trjnk vissza afmenbe. Itt egyms utn menjk vgig a kvetkezmenpontokon:

krdez r)

-

a szerver-szolgltatsok mg

rd A Select menpontbanv re men.

Midnight CommanderAz elsesetben nzzk meg rszletesen, milyen lpseken kell vgigmennnk:

- Keressk meg az mc csomagot (opt/utils).- '+'-al jelljk ki teleptsre.- Fggsgek vannak, errl tjkoztatst kapunk.- Szkzzel tovbb lphetnk a zenet kpernyrl.- Ltjuk a fggsgeket.

- A mc-common, libglib1.2, libgpmg1 csomagok mindenkppen kellenek, ezekmr be is vannak jellve.

- A gpm, rpm csomagok javasoltak, de ezeket neknk kell bejellni, most nemtesszk.

Nyilak (le, fel) s a PAA + gombbal tudunk teleptsre kijellni.A - gombbal tudunk trlsre kijellni.

- Install (lehet hogy egy-kt csomag alapvetbelltsokra- Configure

Remove

Ezzel valban befejeztk az alapteleptst, viszontnincsenek fent. Az utbelltsok miatt ne teleptsnk egyszerre tl sok csomagot.

emes csoportokra bontani. A megolds mindig azonos.ki lasztjuk a csomagokat, majd Install s Configu

36. Szksges csomagok teleptse

59



60/137


61/137


-

- Opt/web/apache-common

Opt/web/wealizer

Xtr/web/phpmyadmin

minbmin-burner

quota-samba

min-softwareOpt/admin/webmin-squid

Opt/admin/webmin-apachecore

d

mysql-ppp

Xtr/admin/webmin-fetchmail-grub

Xtr/admin/webmin-sendmailin-sshd

csomagok teleptse kzben, nhnynl belltsokra vonatkoz krdseket is

A lnyegi belltsok gyis ezutngnak kvetkezni.

el kszen vagyunk, mr majdnem kszen van a szerver amail teleptse utn rdemes elindtani a sendmailconfig

alapbellts fjljait.

Opt/web/apache

- Opt/web/apache-ssl- Opt/web/php4- Opt/web/php4-gd

- Opt/web/php4-imap- Opt/web/php4-mysql

Web-alap programok:

- Opt/web/squirrelmail-

- Xtr/net/mrtg-

WEBMIN:

- Opt/admin/web- Opt/admin/we- Opt/admin/webmin-- Opt/admin/webmin- Opt/admin/web-

- Opt/admin/webmin-status-

- Opt/admin/webmin-- Opt/admin/webmin-dhcp- Opt/admin/webmin-ipadmin- Opt/admin/webmin-- Opt/admin/webmin-

- Xtr/admin/webmin-

- Xtr/admin/webm- Xtr/admin/webmin-xinetd

A

kapunk. Ezekre rtelemszer

en lehet vlaszolni.foAmennyiben ezzbelltsokhoz. A sendprogramot. Ez kszti el az

61



62/137


2.3 SUSE LINUX 8.2 Prof ess ion al

8.2 teleptshez szksges (5 db) CD-ket nem lehet ISOl i, viszont a msolsa s a felhasznlsa nem korltozott.o edelemben a telept csomaghoz (5 CD, 2 DVD, magyar

rheti ismerstl s msolhatja (ez is leglis). A CD-k boot-lhatak. Indtsuk el a szmtgpet a teleptCD segtsgvel.

perny

n a kezdkperny fogad minket. A menk kzl (10 szuk ki a neknk megfelelt.

s.

A rendszermag betltsnl (telepts kzben) kikapcsoldnak a nemszksges funkcik. (pl.: DMA, Energiagazdlkods). Norml teleptsfagysnl rdemes hasznlni.

Manual Installation


A SUSE LINUXl omnyban letltenH zzjuthatunk keresknyelvknyv), vagy elko

38. Rendszerindt k

A telept elindtsa utm sodpercen bell) vlas

- Boot from HarddiskA mr teleptett rendszer indtsa.

- InstallationNorml telept

- Installation ACPI DisabledRgebbi gpeknl mg tmogatott fejlett programozhat megszaktsvezrl(ACPI) tiltsa.

Installation Safe Settings-

-

62



63/137


A driver-eket nem felismers tjn hatrozza meg a telept, hanemor rdemes hasznlni, ha a telept

egy eszkzt nem ismer fel (pl.: rgi ethernet krtya).

A CD-rl egy karakteres rendszer indul el. Kivlan alkalmas a teleptett

ornak. Itt adhatjukeg a teljes kpernys szveges md hasznlatt is. Paramterknt rjuk be

textmode=1.

lasszuk a norml teleptsi mdot Installation. A tovbbiakban, a kernel

ction)

majd kattintsunk az elfogad gombra. Ilyenkor atelept

egyenknt kzzel kell belltani ket. Akk

- Rescue System.

rendszer hibinak javtsra, ha nem kpes elindulni.- Memory Test.Elindtja a Memtest-86 v3.0 programot, amely a memria ellenrzsre szolgl.

A kernelnek indulsi opcikat is megadhatunk a boot options sm

Vbetltdse utn, a YaST teleptprogram fog elindulni.

9. Telepts nyelvnek kivlasztsa (Language Sele3

Vlasszuk ki a Magyar nyelvetfeltrkpezi a gpet, majd megjelenablakban vlasszuk az j telepts-t.

63



64/137


40.

A tele ennyiben az elfogadsm telepts megkezddik. Ilyenkor mr nem mdosthatjuk a

bellt

b zve az elejn a teleptsi md, billentyzet, egr paramtereit

ltj

z els mdostand rsz a Partcionls lesz. Kattintsunk is r a cmsorra. A

knk, ugyanis a sajt

Kzi partcionls a Yast2 javaslata alapjn.- Szakrti kzi partcionls

Teleptsi belltsok

ptsi belltsokat tnzzk, illetve mdostjuk. Amgo bra kattintunk, a

sokat.

A elltsokat tnuk. Ezt mr nem felttlenl kell mdostanunk.

2.3.1.1 Partcionls

Akvetkezkpernyn a javasolt partcionls jelenik meg. Alul krdssor:

- Javaslat elfogadsa. Ez termszetesen nem felel meg nemeghatrozott bontsunkkal szeretnnk dolgozni.

-

Miutn a kzi partcionlst vlasztottuk, megjelennek a meghajtk s a jelenlegipartcik. lljunk r a megfelelpartcira s trljk a TRLS gombbal.

64



65/137


Miutn minden felesleges partcit eltntettnk, megkezdhetjk felvenni aajtjainkat. Elszr mindenkppen a /boot partcival kezdjk.

leges, vagy kiterjesztett partcit szeretnnk felvenni. Elsdleges

artcibl 4 db lehet, amelybl egyet levesz a kiterjesztett partci lehetsge.

tulajdonsgait. A formzs nlklhetsget akkor hasznljuk, ha egy meglv, tartalommal rendelkez partci

csatolsi pontjt szeretnnk belltani. Itt ki kell vlasztani a partci meglvLINUX alaprtelmezett esetben a ReiserFS fjlrendszert

asznlja. Amennyiben a linuxos hagyomnyos felhasznlkezelst (tulajdonos,

n be lehetlltani a hozzfrsi jogosultsgokat, akkor mindenkppen a ReiserFS fjlrendszert

ext

A formzs lehetsget hasznljuk j teleptsnl. Itt lehetsgnk van kivlasztani,milyen tpusra legyen formzva a partcink. Norml partci esetn vlasszuk azext3-at, swap partci esetn a SWAP-et. Bellthatjuk a fjlrendszer paramtereit is,

erre ltalban nincs szksg, illetve titkosthatjuk is.

A jobb oldalon adhatjuk meg a kezd cilinder s az utols cilinder szmt, azazmettl meddig tartson a partci. Alapban ez mindig a rendelkezsre ll hely elejes vge. A vge rszhez rhatjuk be a partci mrett is +100M formban, ekkor akezdcilindert ne mdostsuk.

A csatolsi pont belltsa jobb alul lehetsges. Felette a csatolsi paramtereketlehet lltani (fstab opcik) ezt mg szintn nem rdemes bntani.

ost vegyk fel a kvetkezpartcikat:

sA ltrehozs gombbal tudjuk elkezdeni a munkt. A megjelenablakban vlasszukki, hogy elsd

pA megjelenablakban tudjuk belltani a partcile

fjlrendszert. A SUSEhcsoport, a tbbiek) ki szeretnnk egszteni az n. hozzfrsi listkkal (AccessControl Lists, ACL), ahol minden egyes felhasznl szmra kln-klhasznljuk. Ebben a tananyagban az egyszersg kedvert SUSE LINUX alatt is az

3-at hasznljuk.

M

65



66/137


Csatolsi pont Tpus Mret/boot Ext3 100 Fixed size Primary/ Ext3 500 Fixed size Primary

/tmp Etx3 200 Fixed size

Elrkeztnk a teleptend programokmeghatrozshoz. A Szoftver cmsorra kattintvamris vlaszthatunk hrom lehetsg kzl. Neknka minimlis rendszer a megfelel. Rkattintva arszletek vltoztatsra, a csomagokat egyenknttudjuk kijellni. Neknk pont ez kell.

A csomagok listzst bal fell vltsuk t csomagcsoportok szr mdba. Ezzelknnyebb dolgunk lesz a kategriknl. Jobb alul pipljuk ki a fggsgekautomatikus ellenrzst.

- Swap 256 Fixed size Primary/usr Ext3 1000 Fixed size

/var Ext3 1000 Fixed size/var/spool/squid Ext3 2000 Fixed size/home Ext3 - Allowable

Ha kszen vagyunk az elfogadsval visszatrnk a Teleptsi Belltsokkpernyre.

2.3.1.2 Szoftver

66



67/137


67

Amennyiben szervert teleptnk, a kvetkez csomagokra NEM lesz szksgnk,

zek melll vegyk le a pipt:

- Development/Languages- cpp

- Productivity/Networking- finger- rsh- telnet- w3m

Amennyiben szervert teleptnk, a kvetkez csomagokra lesz mg szksgnk,

ezek mell tegynk pipt:

- Productivity/Database- mysql- mysql-bench- mysql-client- mysql-Max

- Productivity/File utilities- mc

- Productivity/Networking- apache2- apache2-mod_php4 (itt fggsg problmnk lesz, vlasszuk a messasoft

teleptst)

e



68/137


- apache2-prefork- apache2-worker- bind9 (bind9-utils)- dhcp-server (dhcp-base, dhcpcd)- fetchmail

- fetchmailconf- iptraf- lynx- mod_frontpage- mod_php- mod_php-core- mod_ssl- mrtg- mtr- phpmyadmin- samba- samba-client- samba-vscan- sendmail (itt fggsg problmnk lesz, vlasszuk a postfix eltvoltst)- squid- webalizer- wget- xinetd- popper- spamassassin- squirrelmail

- tmpwatch

- s Base

- s anagementmin

A csomagok kivlasztsa utn menjnk tovbb az elfogad gombbal. A teleptjkoztat minket a tovbbi fggsgekrl, ezt is fogadjuk el.

Ekkor visszatrnk ismt a teleptsi belltsokhoz. Mst mr itt nem kell b. Ekkor a teleptfelmsolja az elscd-t, vgez egy kis

belltst s jraindtja a rendszert. Az jraindulst mr a merevlemezr

l vgezni, haben m

- amavis-sendmail- Security

- tripwireSy tem/- sudoSy tem/M- web

t

m dostanunk, lpjnk tovb

n aradt a teleptcd, akkor ne bntsuk, az elsmenpont alapjn dolgozzon.

68



69/137


41.

Mg htra van a tbbi cd felmsolsa. Rgtn itt is folytatjuk, szpen adagoljuk aCD e

2.3 .3 jelsz megadsa

ot felhasznl jelszavt, majd ismteljk meg. A Szakrti(Expert options) alatt lltsuk t a jelszavak kdolst MD5-re. Ha

attintsunk Kvetkez(NEXT) gombra.

2.3.1.4 Hlzat belltsa

ektlja a hlzati eszkzket, majd az eredmnyt megjelenti.a Hlzati eszkz (Network interfaces) rdekes, lpjnk is bele.

lvsre

ajd az eth0-s krtyra.

P lekrst lltsuk t Statikus cmre s adjuk meg az IP-cmet, hlzati. lltsuk be a gp nevet s a DNS-eket. Majd a tvlasztsnl

prtelmezett tjrt. Ezzel a hlzati krtynkat belltottuk,b. A hlzati bellts mentsre kerl.

net kapcsolat ellenrzse

egy krds, hogy ellenrze-e az Internet kapcsolatot, eztuk (ha mr van kapcsolat).

.3 .6 Updates

rdemes kihasznlni

ezt a lehetsget, de ksbb is megoldhat a YaST-al.

2.3.1.7 Felhasznl azonostsnak helye

Itt llthatjuk be, hogyan trtnjen a felhasznlk azonostsa. Van lehetsgmsik gpen trolt felhasznlk tvtelre is. Ennek kihasznlsval csak egygpen kell a felhasznlkat nyilvntartani. Bellthatunk kapcsolatot NIS,

Elsindts

-k t.

.1 RootAdjuk meg a robelltsokksz vagyunk, k

A telept detNeknk csakA felsrszen j hlzati krtyt adhatunk kzzel hozz, alul a mr meg

tt) krtyk ltszanak. Lpjnk r a jobb alul lv Szerkeszt(betlt(change), mA DHCmaszkot(routing) az ala

vblphetnk to

2.3.1.5 InterMegjelenik

dhatjelfoga

2 .1 Online

Amennyiben az Internet kapcsolat ellenrzse nem mutatott hibt,lehetsgnk van a felteleptett csomagok frisstsre.

LDAP szerverekkel, ezen lehetsgeket akkor engedlyezzk, ha tudjuk, hogyilyen szerver mkdik, egybknt ne. Ne mdostsunk a belltsokon,menjnk tovbb.

69



70/137


71/137


Ha egy-egy program indulsra szokatlanul sokat kell vrni, akkor valami hlzatibelltsi hibrl lehet sz. Ilyen lehet, ha a hlzati krtya nem tudja DHCP-nkereszA foly kpernynk (virtulis konzol).

laprtelmezsben 6 karakteres konzolunk van. Az ALT gomb mellett az els 6+F2 ALT+F6) tudunk kapcsolgatni kzttk.Grafikus konzolok az utols karakteres konzol utn tallhatak (CTRL+ALT+F7).

dolgozhatunk egyszerre, ez nha megknnyti a munknkat.

bejelentkez kperny nmi bemutatkozs utn kri a felhasznl nevt, majd

megkapjuk a shell-t, azaz a parancssort. A virtulis konzolrl azxit, vagy a logout paranccsal jelentkezhetnk ki.

tn #, mg norml felhasznlnl $l. Lehetleg mg sajt szervernkre se lpjnk be root-knt, hacsak nem olyasmit

megy. Nmi belltssal (sudo) megoldhat, hogyk norml felhasznlnak. Ezzel

biztonsgot nveljk s teljesen elkerlhetjk a root felhasznl alkalmazst.

z nagy segtsget tud nyjtani aidnight Commander. Indtsuk el az mc paranccsal.

tl letlteni a cmeket, vagy rossz bellts esetn a sendmail vrakozhat.

amat vgn megjelenik a bejelentkez

Afunkcibillentyvel (ALT+F1, ALT

Akr tbb konzolon isAENTER utn a felhasznl jelszavt. Lpjnk be a root felhasznlval s azzal ajelszval, melyet teleptskor megadtunk. Amennyiben a felhasznlnv s a jelszmegfelel volt, a rendszer kirja az utols belpsnk idejt s tjkoztat aleveleinkrl, majde

A shell prompt-jnak a vge root felhasznl esejeszeretnnk tenni, ami mssal nema rendszergazda mveletek egy rszt engedlyezzaTjkozdjunk egy kicsit a rendszernkn. EhheM

71



72/137


73/137


74/137


/etc/shadow jelszavakat tartalmaz fjl

sponttal elvlasztva):

Plda:

/etc/gshadow

Felhasznlk felvtelt szablyoz belltsoknlkat adduser paranccsal tudunk felvenni (trls: userdel, jelsz:

r.conf, vagy a/etc/default/useradd alapjn lltdnak be. A home knyv

Documents

Pallagi László - Linux rendszergazda haladó