Suse Linux: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Mkurs (talk | contribs)
Mkurs (talk | contribs)
 
(18 intermediate revisions by the same user not shown)
Line 2: Line 2:
* Marko Kurs
* Marko Kurs
=Sissejuhatus=
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.
 
<b>TÄHELEPANU:</b> Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!


=OpenSuSE 12.2 install=
=OpenSuSE 12.2 install=
==Alginstall==
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* pane paika regionaalsätted
Line 32: Line 34:
* YaST alt system -> System services enable SSHD
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General


Line 52: Line 54:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
* Salvesta muudatused ja taaskäivita named
<pre>
<pre>
rcnamed restart
rcnamed restart
</pre>
</pre>
===Tsoonide kirjeldused===
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
* Kõik tsooni failid asuvad
Line 62: Line 65:
/var/lib/named
/var/lib/named
</pre>
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
Line 104: Line 107:
<pre>
<pre>
zone "." in {
zone "." in {
<------>type hint;
type hint;
<------>file "root.hint";
file "root.hint";
};
};


zone "localhost" in {
zone "localhost" in {
<------>type master;
type master;
<------>file "localhost.zone";
file "localhost.zone";
};
};


zone "0.0.127.in-addr.arpa" in {
zone "0.0.127.in-addr.arpa" in {
<------>type master;
type master;
<------>file "127.0.0.zone";
file "127.0.0.zone";
};
};


Line 125: Line 128:


* Lisame enda domeeni kirjeldused:
* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>
<pre>


Line 142: Line 145:
named-checkconf /etc/named.conf
named-checkconf /etc/named.conf
</pre>
</pre>
* Enne named restarti kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
named-checkzone minudomeen.int /var/named/minudomeen.int
Line 159: Line 162:
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Main Host jääb vaike seadeks
** Hosts all vali Add
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server name pane nimi, mille peale soovid pöörduda browseris
Line 181: Line 184:
* Request täida oma CA peal (siin puhul windows CA)
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<pre>
Line 203: Line 205:
</pre>
</pre>


* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
<pre>
SSLEngine on
SSLEngine on
Line 229: Line 231:
* Käivita yast2 root õigustes
* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
* Pane linnuke "Use SMB Information for Linux Authentication"
Line 236: Line 238:
** Luuakse domeeni kontole automaatselt kodukaust
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
Line 244: Line 246:
*** "Adress" pane domeenikontrolleri FQDN
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Jäta vaikimisi OU
* Server on nüüd domeenis
* Server on nüüd domeenis


===Serveri turvamine===
===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
* ava /etc/security/pam_winbind.conf
Line 268: Line 270:
** security = ADS
** security = ADS
** realm = domeeni fqdn
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!


===Failisüsteemi kaustad===
===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
<pre>
mkdir /home/Kasutajate\ failid
mkdir /home/Kasutajate\ failid
Line 278: Line 280:
chmod 770 /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
<pre>
mkdir /home/Kasutajate\ failid
mkdir /home/salajane\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/Kasutajate\ failid
chmod 770 /home/salajane\ failid
</pre>
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.


===Kaustade jagamine===
===Kaustade jagamine===
* valid users = @domeen\\grupp
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.


* Ava /etc/samba/smb.conf  
* Ava /etc/samba/smb.conf  

Latest revision as of 10:40, 15 December 2012

Autor

  • Marko Kurs

Sissejuhatus

Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

TÄHELEPANU: Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!

OpenSuSE 12.2 install

Alginstall

  • arvutit plaadilt / isolt buutides vali installation
  • vali keel ja klaviatuuri layout
  • eemalda linnuke use automatic configuration eest
  • pane paika regionaalsätted
  • desktop selectionilt võta other ja minimal server selection
  • kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
  • sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
  • vajuta install, et installiga alustada
  • peale installi avaneb YaST2 aken, sisesta hostname ja domain name
  • network configuration ajal vali change
    • general alt IPv6 maha
    • firewall alt disable automatic starting
    • seadista proxy, kui tarvis
    • vajuta next, kuni lõpuni server uuendatakse
    • kui soovitakse restarti, tee seda
    • kliki OK kuni lõpuni
  • Suse ongi peal

Tähtsad esmased seadistused

  • Paigaldame tarvikud, mis hõlbustavad tööd
zypper in mc
zypper in yast2-runlevel
  • YaST alt system -> System services enable SSHD
  • Nüüd saad puttyga kaugelt serverisse logida

DNS(Bind9)

Eelduste install

  • Paigaldame bind9 DNS serveri
zypper in bind
  • Käivitame nimeserveri, yast system services runlevel all "named"

Konfiguratsioon

Forwarderid

  • Esimese asjana vaja seadistada forwarderid, ava:
/etc/named.conf
  • Otsi üless rida:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
  • Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
  • Salvesta muudatused ja taaskäivita named
rcnamed restart

Tsoonide kirjeldused

  • Kõik tsooni failid asuvad
/var/lib/named
  • Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
  • Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
  • A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
$TTL 1W
minudomeen.int.        IN SOA          ns.minudomeen.int.     root.localhost. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns
ns              IN A            177.12.12.205
www             IN A            177.12.12.205
sales           IN A            177.12.12.50

  • Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
$TTL 1W
12.12.177.in-addr.arpa.         IN SOA          ns.minudomeen.int.   root.markodomeen.int. (
                                42              ; serial (d. adams)
                                2D              ; refresh
                                4H              ; retry
                                6W              ; expiry
                                1W )            ; minimum

                IN NS           ns.minudomeen.int.
205             IN PTR          www.minudomeen.int.
50              IN PTR          sales.minudomeen.int

Teenindatavad tsoonid

  • Ava fail
/etc/named.conf
  • Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
    type master;
    file "127.0.0.zone";
};
  • Lisame enda domeeni kirjeldused:
    • Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named

zone "minudomeen.int" IN {
    type master;
    file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
    type master;
    file "12.12.177.zone";
};
  • Seadistuse testimiseks jooksuta:
    • Kui vigu ei tagastata, siis OK
named-checkconf /etc/named.conf
  • Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
named-checkzone minudomeen.int /var/named/minudomeen.int

Apache 2.2

Eelduste install

  • Paigaldame apache ja yast-http-server
zypper in apache2
zypper in yast-http-server

Konfiguratsioon

HTTP Lehed

  • Käivita yast ja mine Network Services -> HTTP Server
    • Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
    • Server Modules alt SSL enabled
    • Main Host jääb vaike seadeks
    • Hosts all vali Add
      • Server name pane nimi, mille peale soovid pöörduda browseris
      • Server content root määra veebilehe failide asukoht
      • Määra virtualhost
      • Vali Determine Requests by Server IP Adress
  • Nüüd peaks soovitud HTTP lehed näha olema

SSL Konfiguratsioon

Sertifikaadi genereerimine

  • Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
  • Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
  • Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
  • Täida väljad, veendu, et common name on õige!
  • Request täida oma CA peal (siin puhul windows CA)
  • Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

Apache seadistamine sertifikaati kasutama

  • Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
  • Seadista ära nagu tavaline HTTP leht
  • All olev on lisaks standard HTTP lehe seadetele
    • Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80>
 ServerName serveriFQDN
 ErrorLog /var/log/apache2/FQDN
 CustomLog /var/log/apache2/FQDN_log combined

 redirect / https://FQDN/

</VirtualHost>
  • Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
  • Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

Samba 3.6

  • Koos active directory vastu autentimisega

Eelduste Install

  • Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
  • Kasutades zypper haldurit käivita järgnev:
zypper in samba
  • Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client

Serveri lisamine domeeni

  • Käivita yast2 root õigustes
  • Mine network services -> Windows Domain Membership
    • Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
  • Domain or workgroup alla sisesta oma domeeni nimi
  • Pane linnuke "Use SMB Information for Linux Authentication"
    • Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
  • Pane linnuke "Create Home Directory on Login"
    • Luuakse domeeni kontole automaatselt kodukaust
  • Pane linnuke "Offline Authentication"
    • Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
  • Käivita "NTP Configuration"
  • Seadista "Start NTP Daemon" seadega "Now and on Boot"
  • "Synchronization Type Adress" alt eemalda kõik vaikeseaded
  • Lisa domeenikontroller kasutades "Add"
    • "Type" vali server
      • "Adress" pane domeenikontrolleri FQDN
  • 2x OK
  • Pakutakse installida samba-winbind, vali OK
  • Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
  • Jäta vaikimisi OU
  • Server on nüüd domeenis

Serveri turvamine

  • Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
  • Kasutajate ringi piiramiseks käitu järgnevalt:
  • ava /etc/security/pam_winbind.conf
    • Lisa [global] alla require_membership_of = domeen\grupinimi
  • Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

Samba seadistamine

  • Käivita teenused:
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
  • Ava /etc/samba/smb.conf
  • Veendu järgnevas:
    • Workgroup = Sinudomeen
    • security = ADS
    • realm = domeeni fqdn
  • Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

Failisüsteemi kaustad

  • TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
  • Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
  • Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
  • Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

Kaustade jagamine

  • valid users = @domeen\\grupp
    • Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
  • force create mode = 770
    • Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • force directory mode = 770
    • Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • Ava /etc/samba/smb.conf
  • Lisa faili lõppu järgnev:
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
  • Taaskäivita smb teenus
rcsmb restart

Allikad

https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/