Suse Linux

From ICO wiki

Autor

  • Marko Kurs

Sissejuhatus

Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

TÄHELEPANU: Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!

OpenSuSE 12.2 install

Alginstall

  • arvutit plaadilt / isolt buutides vali installation
  • vali keel ja klaviatuuri layout
  • eemalda linnuke use automatic configuration eest
  • pane paika regionaalsätted
  • desktop selectionilt võta other ja minimal server selection
  • kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
  • sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
  • vajuta install, et installiga alustada
  • peale installi avaneb YaST2 aken, sisesta hostname ja domain name
  • network configuration ajal vali change
    • general alt IPv6 maha
    • firewall alt disable automatic starting
    • seadista proxy, kui tarvis
    • vajuta next, kuni lõpuni server uuendatakse
    • kui soovitakse restarti, tee seda
    • kliki OK kuni lõpuni
  • Suse ongi peal

Tähtsad esmased seadistused

  • Paigaldame tarvikud, mis hõlbustavad tööd
zypper in mc
zypper in yast2-runlevel
  • YaST alt system -> System services enable SSHD
  • Nüüd saad puttyga kaugelt serverisse logida

DNS(Bind9)

Eelduste install

  • Paigaldame bind9 DNS serveri
zypper in bind
  • Käivitame nimeserveri, yast system services runlevel all "named"

Konfiguratsioon

Forwarderid

  • Esimese asjana vaja seadistada forwarderid, ava:
/etc/named.conf
  • Otsi üless rida:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
  • Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
  • Salvesta muudatused ja taaskäivita named
rcnamed restart

Tsoonide kirjeldused

  • Kõik tsooni failid asuvad
/var/lib/named
  • Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
  • Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
  • A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
$TTL 1W
minudomeen.int.        IN SOA          ns.minudomeen.int.     root.localhost. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns
ns              IN A            177.12.12.205
www             IN A            177.12.12.205
sales           IN A            177.12.12.50

  • Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
$TTL 1W
12.12.177.in-addr.arpa.         IN SOA          ns.minudomeen.int.   root.markodomeen.int. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns.minudomeen.int.
205             IN PTR          www.minudomeen.int.
50              IN PTR          sales.minudomeen.int

Teenindatavad tsoonid

  • Ava fail
/etc/named.conf
  • Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
    file "127.0.0.zone";
};
  • Lisame enda domeeni kirjeldused:
    • Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named

zone "minudomeen.int" IN {
    type master;
    file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
    type master;
    file "12.12.177.zone";
};
  • Seadistuse testimiseks jooksuta:
    • Kui vigu ei tagastata, siis OK
named-checkconf /etc/named.conf
  • Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
named-checkzone minudomeen.int /var/named/minudomeen.int

Apache 2.2

Eelduste install

  • Paigaldame apache ja yast-http-server
zypper in apache2
zypper in yast-http-server

Konfiguratsioon

HTTP Lehed

  • Käivita yast ja mine Network Services -> HTTP Server
    • Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
    • Server Modules alt SSL enabled
    • Main Host jääb vaike seadeks
    • Hosts all vali Add
      • Server name pane nimi, mille peale soovid pöörduda browseris
      • Server content root määra veebilehe failide asukoht
      • Määra virtualhost
      • Vali Determine Requests by Server IP Adress
  • Nüüd peaks soovitud HTTP lehed näha olema

SSL Konfiguratsioon

Sertifikaadi genereerimine

  • Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
  • Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
  • Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
  • Täida väljad, veendu, et common name on õige!
  • Request täida oma CA peal (siin puhul windows CA)
  • Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

Apache seadistamine sertifikaati kasutama

  • Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
  • Seadista ära nagu tavaline HTTP leht
  • All olev on lisaks standard HTTP lehe seadetele
    • Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80>
 ServerName serveriFQDN
 ErrorLog /var/log/apache2/FQDN
 CustomLog /var/log/apache2/FQDN_log combined

 redirect / https://FQDN/

</VirtualHost>
  • Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
  • Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

Samba 3.6

  • Koos active directory vastu autentimisega

Eelduste Install

  • Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
  • Kasutades zypper haldurit käivita järgnev:
zypper in samba
  • Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client

Serveri lisamine domeeni

  • Käivita yast2 root õigustes
  • Mine network services -> Windows Domain Membership
    • Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
  • Domain or workgroup alla sisesta oma domeeni nimi
  • Pane linnuke "Use SMB Information for Linux Authentication"
    • Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
  • Pane linnuke "Create Home Directory on Login"
    • Luuakse domeeni kontole automaatselt kodukaust
  • Pane linnuke "Offline Authentication"
    • Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
  • Käivita "NTP Configuration"
  • Seadista "Start NTP Daemon" seadega "Now and on Boot"
  • "Synchronization Type Adress" alt eemalda kõik vaikeseaded
  • Lisa domeenikontroller kasutades "Add"
    • "Type" vali server
      • "Adress" pane domeenikontrolleri FQDN
  • 2x OK
  • Pakutakse installida samba-winbind, vali OK
  • Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
  • Jäta vaikimisi OU
  • Server on nüüd domeenis

Serveri turvamine

  • Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
  • Kasutajate ringi piiramiseks käitu järgnevalt:
  • ava /etc/security/pam_winbind.conf
    • Lisa [global] alla require_membership_of = domeen\grupinimi
  • Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

Samba seadistamine

  • Käivita teenused:
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
  • Ava /etc/samba/smb.conf
  • Veendu järgnevas:
    • Workgroup = Sinudomeen
    • security = ADS
    • realm = domeeni fqdn
  • Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

Failisüsteemi kaustad

  • TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
  • Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
  • Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
  • Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

Kaustade jagamine

  • valid users = @domeen\\grupp
    • Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
  • force create mode = 770
    • Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • force directory mode = 770
    • Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • Ava /etc/samba/smb.conf
  • Lisa faili lõppu järgnev:
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
  • Taaskäivita smb teenus
rcsmb restart

Allikad

https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/