Suse Linux: Difference between revisions
From ICO wiki
Jump to navigationJump to search
(18 intermediate revisions by the same user not shown) | |||
Line 2: | Line 2: | ||
* Marko Kurs | * Marko Kurs | ||
=Sissejuhatus= | =Sissejuhatus= | ||
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama | Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega. | ||
<b>TÄHELEPANU:</b> Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN! | |||
=OpenSuSE 12.2 install= | =OpenSuSE 12.2 install= | ||
==Alginstall== | ==Alginstall== | ||
* arvutit plaadilt / isolt buutides vali installation | * arvutit plaadilt / isolt buutides vali installation | ||
* vali keel ja klaviatuuri layout | * vali keel ja klaviatuuri layout | ||
* eemalda linnuke use automatic configuration eest | * eemalda linnuke use automatic configuration eest | ||
* pane paika regionaalsätted | * pane paika regionaalsätted | ||
Line 32: | Line 34: | ||
* YaST alt system -> System services enable SSHD | * YaST alt system -> System services enable SSHD | ||
* Nüüd saad puttyga kaugelt serverisse logida | * Nüüd saad puttyga kaugelt serverisse logida | ||
** kui ei tööta, | ** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud | ||
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General | ** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General | ||
Line 52: | Line 54: | ||
<------>#forwarders { 192.0.2.1; 192.0.2.2; }; | <------>#forwarders { 192.0.2.1; 192.0.2.2; }; | ||
</pre> | </pre> | ||
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris | * Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris | ||
* Salvesta muudatused ja taaskäivita named | * Salvesta muudatused ja taaskäivita named | ||
<pre> | <pre> | ||
rcnamed restart | rcnamed restart | ||
</pre> | </pre> | ||
===Tsoonide kirjeldused=== | ===Tsoonide kirjeldused=== | ||
* Kõik tsooni failid asuvad | * Kõik tsooni failid asuvad | ||
Line 62: | Line 65: | ||
/var/lib/named | /var/lib/named | ||
</pre> | </pre> | ||
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni! | * Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni! | ||
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail. | * Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail. | ||
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int | * A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int | ||
Line 104: | Line 107: | ||
<pre> | <pre> | ||
zone "." in { | zone "." in { | ||
type hint; | |||
file "root.hint"; | |||
}; | }; | ||
zone "localhost" in { | zone "localhost" in { | ||
type master; | |||
file "localhost.zone"; | |||
}; | }; | ||
zone "0.0.127.in-addr.arpa" in { | zone "0.0.127.in-addr.arpa" in { | ||
type master; | |||
file "127.0.0.zone"; | |||
}; | }; | ||
Line 125: | Line 128: | ||
* Lisame enda domeeni kirjeldused: | * Lisame enda domeeni kirjeldused: | ||
** Veendu, et file parameetris defineeritud tsooni fail on | ** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named | ||
<pre> | <pre> | ||
Line 142: | Line 145: | ||
named-checkconf /etc/named.conf | named-checkconf /etc/named.conf | ||
</pre> | </pre> | ||
* Enne named | * Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat: | ||
<pre> | <pre> | ||
named-checkzone minudomeen.int /var/named/minudomeen.int | named-checkzone minudomeen.int /var/named/minudomeen.int | ||
Line 159: | Line 162: | ||
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa | ** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa | ||
** Server Modules alt SSL enabled | ** Server Modules alt SSL enabled | ||
** Main Host jääb | ** Main Host jääb vaike seadeks | ||
** Hosts all vali Add | ** Hosts all vali Add | ||
*** Server name pane nimi, mille peale soovid pöörduda browseris | *** Server name pane nimi, mille peale soovid pöörduda browseris | ||
Line 181: | Line 184: | ||
* Request täida oma CA peal (siin puhul windows CA) | * Request täida oma CA peal (siin puhul windows CA) | ||
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla | * Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla | ||
===Apache seadistamine sertifikaati kasutama=== | ===Apache seadistamine sertifikaati kasutama=== | ||
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia | * Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia | ||
* Seadista ära nagu tavaline HTTP leht | * Seadista ära nagu tavaline HTTP leht | ||
* | * All olev on lisaks standard HTTP lehe seadetele | ||
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale: | ** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale: | ||
<pre> | <pre> | ||
Line 203: | Line 205: | ||
</pre> | </pre> | ||
* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada | * Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada | ||
<pre> | <pre> | ||
SSLEngine on | SSLEngine on | ||
Line 229: | Line 231: | ||
* Käivita yast2 root õigustes | * Käivita yast2 root õigustes | ||
* Mine network services -> Windows Domain Membership | * Mine network services -> Windows Domain Membership | ||
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client | ** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client | ||
* Domain or workgroup alla sisesta oma domeeni nimi | * Domain or workgroup alla sisesta oma domeeni nimi | ||
* Pane linnuke "Use SMB Information for Linux Authentication" | * Pane linnuke "Use SMB Information for Linux Authentication" | ||
Line 236: | Line 238: | ||
** Luuakse domeeni kontole automaatselt kodukaust | ** Luuakse domeeni kontole automaatselt kodukaust | ||
* Pane linnuke "Offline Authentication" | * Pane linnuke "Offline Authentication" | ||
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku | ** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku | ||
* Käivita "NTP Configuration" | * Käivita "NTP Configuration" | ||
* Seadista "Start NTP Daemon" seadega "Now and on Boot" | * Seadista "Start NTP Daemon" seadega "Now and on Boot" | ||
Line 244: | Line 246: | ||
*** "Adress" pane domeenikontrolleri FQDN | *** "Adress" pane domeenikontrolleri FQDN | ||
* 2x OK | * 2x OK | ||
* Pakutakse installida samba-winbind vali OK | * Pakutakse installida samba-winbind, vali OK | ||
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni | * Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda | ||
* Jäta vaikimisi OU | * Jäta vaikimisi OU | ||
* Server on nüüd domeenis | * Server on nüüd domeenis | ||
===Serveri turvamine=== | ===Serveri turvamine=== | ||
* | * Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida! | ||
* Kasutajate ringi piiramiseks käitu järgnevalt: | * Kasutajate ringi piiramiseks käitu järgnevalt: | ||
* ava /etc/security/pam_winbind.conf | * ava /etc/security/pam_winbind.conf | ||
Line 268: | Line 270: | ||
** security = ADS | ** security = ADS | ||
** realm = domeeni fqdn | ** realm = domeeni fqdn | ||
* Kõigile sharedele mida ei soovi | * Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus! | ||
===Failisüsteemi kaustad=== | ===Failisüsteemi kaustad=== | ||
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni. | * TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni. | ||
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad | * Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad | ||
<pre> | <pre> | ||
mkdir /home/Kasutajate\ failid | mkdir /home/Kasutajate\ failid | ||
Line 278: | Line 280: | ||
chmod 770 /home/Kasutajate\ failid | chmod 770 /home/Kasutajate\ failid | ||
</pre> | </pre> | ||
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad | * Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad | ||
<pre> | <pre> | ||
mkdir /home/ | mkdir /home/salajane\ failid | ||
chgrp "domeen\ | chgrp "domeen\spetsiallgrupp" /home/salajane | ||
chmod 770 /home/ | chmod 770 /home/salajane\ failid | ||
</pre> | </pre> | ||
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem. | * Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem. | ||
===Kaustade jagamine=== | ===Kaustade jagamine=== | ||
* valid users = @domeen\\grupp | * valid users = @domeen\\grupp | ||
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale | ** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale | ||
* force create mode = 770 | * force create mode = 770 | ||
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega. | ** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega. | ||
* force directory mode = 770 | * force directory mode = 770 | ||
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega. | ** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega. | ||
* Ava /etc/samba/smb.conf | * Ava /etc/samba/smb.conf |
Latest revision as of 10:40, 15 December 2012
Autor
- Marko Kurs
Sissejuhatus
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.
TÄHELEPANU: Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!
OpenSuSE 12.2 install
Alginstall
- arvutit plaadilt / isolt buutides vali installation
- vali keel ja klaviatuuri layout
- eemalda linnuke use automatic configuration eest
- pane paika regionaalsätted
- desktop selectionilt võta other ja minimal server selection
- kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
- sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
- vajuta install, et installiga alustada
- peale installi avaneb YaST2 aken, sisesta hostname ja domain name
- network configuration ajal vali change
- general alt IPv6 maha
- firewall alt disable automatic starting
- seadista proxy, kui tarvis
- vajuta next, kuni lõpuni server uuendatakse
- kui soovitakse restarti, tee seda
- kliki OK kuni lõpuni
- Suse ongi peal
Tähtsad esmased seadistused
- Paigaldame tarvikud, mis hõlbustavad tööd
zypper in mc zypper in yast2-runlevel
- YaST alt system -> System services enable SSHD
- Nüüd saad puttyga kaugelt serverisse logida
- kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
- kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General
DNS(Bind9)
Eelduste install
- Paigaldame bind9 DNS serveri
zypper in bind
- Käivitame nimeserveri, yast system services runlevel all "named"
Konfiguratsioon
Forwarderid
- Esimese asjana vaja seadistada forwarderid, ava:
/etc/named.conf
- Otsi üless rida:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
- Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
- Salvesta muudatused ja taaskäivita named
rcnamed restart
Tsoonide kirjeldused
- Kõik tsooni failid asuvad
/var/lib/named
- Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
- Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
- A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
$TTL 1W minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. ( 42 ; serial (d. adams) 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN NS ns ns IN A 177.12.12.205 www IN A 177.12.12.205 sales IN A 177.12.12.50
- Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
$TTL 1W 12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. ( 42 ; serial (d. adams) 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN NS ns.minudomeen.int. 205 IN PTR www.minudomeen.int. 50 IN PTR sales.minudomeen.int
Teenindatavad tsoonid
- Ava fail
/etc/named.conf
- Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
zone "." in { type hint; file "root.hint"; }; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; }; zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "127.0.0.zone"; };
- Lisame enda domeeni kirjeldused:
- Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
zone "minudomeen.int" IN { type master; file "minudomeen.int"; }; zone "12.12.177.in-addr.arpa" IN { type master; file "12.12.177.zone"; };
- Seadistuse testimiseks jooksuta:
- Kui vigu ei tagastata, siis OK
named-checkconf /etc/named.conf
- Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
named-checkzone minudomeen.int /var/named/minudomeen.int
Apache 2.2
Eelduste install
- Paigaldame apache ja yast-http-server
zypper in apache2 zypper in yast-http-server
Konfiguratsioon
HTTP Lehed
- Käivita yast ja mine Network Services -> HTTP Server
- Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
- Server Modules alt SSL enabled
- Main Host jääb vaike seadeks
- Hosts all vali Add
- Server name pane nimi, mille peale soovid pöörduda browseris
- Server content root määra veebilehe failide asukoht
- Määra virtualhost
- Vali Determine Requests by Server IP Adress
- Nüüd peaks soovitud HTTP lehed näha olema
SSL Konfiguratsioon
Sertifikaadi genereerimine
- Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
- Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
- Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
- Täida väljad, veendu, et common name on õige!
- Request täida oma CA peal (siin puhul windows CA)
- Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
Apache seadistamine sertifikaati kasutama
- Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
- Seadista ära nagu tavaline HTTP leht
- All olev on lisaks standard HTTP lehe seadetele
- Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80> ServerName serveriFQDN ErrorLog /var/log/apache2/FQDN CustomLog /var/log/apache2/FQDN_log combined redirect / https://FQDN/ </VirtualHost>
- Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
- Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
SSLEngine on SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key SSLOptions +StdEnvVars SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
Samba 3.6
- Koos active directory vastu autentimisega
Eelduste Install
- Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
- Kasutades zypper haldurit käivita järgnev:
zypper in samba
- Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client
Serveri lisamine domeeni
- Käivita yast2 root õigustes
- Mine network services -> Windows Domain Membership
- Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
- Domain or workgroup alla sisesta oma domeeni nimi
- Pane linnuke "Use SMB Information for Linux Authentication"
- Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
- Pane linnuke "Create Home Directory on Login"
- Luuakse domeeni kontole automaatselt kodukaust
- Pane linnuke "Offline Authentication"
- Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
- Käivita "NTP Configuration"
- Seadista "Start NTP Daemon" seadega "Now and on Boot"
- "Synchronization Type Adress" alt eemalda kõik vaikeseaded
- Lisa domeenikontroller kasutades "Add"
- "Type" vali server
- "Adress" pane domeenikontrolleri FQDN
- "Type" vali server
- 2x OK
- Pakutakse installida samba-winbind, vali OK
- Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
- Jäta vaikimisi OU
- Server on nüüd domeenis
Serveri turvamine
- Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
- Kasutajate ringi piiramiseks käitu järgnevalt:
- ava /etc/security/pam_winbind.conf
- Lisa [global] alla require_membership_of = domeen\grupinimi
- Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi
Samba seadistamine
- Käivita teenused:
/etc/init.d/smb start /etc/init.d/nmb start /etc/init.d/winbind start
- Ava /etc/samba/smb.conf
- Veendu järgnevas:
- Workgroup = Sinudomeen
- security = ADS
- realm = domeeni fqdn
- Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!
Failisüsteemi kaustad
- TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
- Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/salajane\ failid chgrp "domeen\spetsiallgrupp" /home/salajane chmod 770 /home/salajane\ failid
- Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
Kaustade jagamine
- valid users = @domeen\\grupp
- Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
- force create mode = 770
- Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- force directory mode = 770
- Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- Ava /etc/samba/smb.conf
- Lisa faili lõppu järgnev:
[Yhised Failid] comment = Paneme faile writable = Yes Browseable = Yes force create mode = 770 force directory mode = 770 path = /home//Kasutajate failid read only = No [Salajane] comment = Top Secret valid users = @domeen\\grupp force create mode = 770 force directory mode = 770 path = /home/Salajane read only = No
- Taaskäivita smb teenus
rcsmb restart
Allikad
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html
http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/