Suse Linux: Difference between revisions
From ICO wiki
Jump to navigationJump to search
Line 327: | Line 327: | ||
http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html | http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html | ||
http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/ |
Revision as of 18:02, 12 December 2012
Autor
- Marko Kurs
Sissejuhatus
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.
OpenSuSE 12.2 install
Alginstall
- Arvutit plaadilt / isolt buutides vali installation
- vali keel ja klaviatuuri layout vajuta
- eemalda linnuke use automatic configuration eest
- pane paikka regionaalsätted
- Desktop selectionilt võta other ja minimal server selection
- kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
- sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
- Vajuta install et installiga alustada
- peale installi avaneb YaST2 aken sisesta hostname ja domain name
- network configuration ajal vali change
- general alt IPv6 maha
- firewall alt disable automatic starting
- seadista proxy kui tarvis
- vajuta next kuni lõpuni server uuendatakse
- kui soovitakse restarti tee seda
- Kliki OK kuni lõpuni
- Suse ongi peal
Tähtsad esmased seadistused
- Paigaldame tarvikud mis hõlbustavad tööd
zypper in mc zypper in yast2-runlevel
- YaST alt system -> System services enable SSHD
- Nüüd saad puttyga kaugelt serverisse logida
- kui ei tööta vaata kas tulemüür on maas või port avatud
- kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General
DNS(Bind9)
Eelduste install
- Paigaldame bind9 DNS serveri
zypper in bind
- Käivitame nimeserveri, yast system services runlevel all "named"
Konfiguratsioon
Forwarderid
- Esimese asjana vaja seadistada forwarderid, ava:
/etc/named.conf
- Otsi üless rida:
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
- Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
- Salvesta muudatused ja taaskäivita named
rcnamed restart
Tsoonide kirjeldused
- Kõik tsooni failid asuvad
/var/lib/named
- Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
- Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
- A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
$TTL 1W minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. ( 42 ; serial (d. adams) 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN NS ns ns IN A 177.12.12.205 www IN A 177.12.12.205 sales IN A 177.12.12.50
- Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
$TTL 1W 12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. ( 42 ; serial (d. adams) 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN NS ns.minudomeen.int. 205 IN PTR www.minudomeen.int. 50 IN PTR sales.minudomeen.int
Teenindatavad tsoonid
- Ava fail
/etc/named.conf
- Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
zone "." in { <------>type hint; <------>file "root.hint"; }; zone "localhost" in { <------>type master; <------>file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { <------>type master; <------>file "127.0.0.zone"; }; zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "127.0.0.zone"; };
- Lisame enda domeeni kirjeldused:
- Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
zone "minudomeen.int" IN { type master; file "minudomeen.int"; }; zone "12.12.177.in-addr.arpa" IN { type master; file "12.12.177.zone"; };
- Seadistuse testimiseks jooksuta:
- Kui vigu ei tagastata siis OK
named-checkconf /etc/named.conf
- Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
named-checkzone minudomeen.int /var/named/minudomeen.int
Apache 2.2
Eelduste install
- Paigaldame apache ja yast-http-server
zypper in apache2 zypper in yast-http-server
Konfiguratsioon
HTTP Lehed
- Käivita yast ja mine Network Services -> HTTP Server
- Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
- Server Modules alt SSL enabled
- Main Host jääb defaultiks
- Hosts all vali Add
- Server name pane nimi mille peale soovid pöörduda browseris
- Server content root määr veebilehe failide asukoht
- Määra virtualhost
- Vali Determine Requests by Server IP Adress
- Nüüd peaks soovitud HTTP lehed näha olema
SSL Konfiguratsioon
Sertifikaadi genereerimine
- Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
- Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
- Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
- Täida väljad, veendu, et common name on õige!
- Request täida oma CA peal (siin puhul windows CA)
- Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
Apache seadistamine sertifikaati kasutama
- Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
- Seadista ära nagu tavaline HTTP leht
- Allolev on lisaks standard HTTP lehe seadetele
- Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80> ServerName serveriFQDN ErrorLog /var/log/apache2/FQDN CustomLog /var/log/apache2/FQDN_log combined redirect / https://FQDN/ </VirtualHost>
- Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
- Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
SSLEngine on SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key SSLOptions +StdEnvVars SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
Samba
- Koos active directory vastu autentimisega
Eelduste Install
- Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
- Kasutades zypper haldurit käivita järgnev:
zypper in samba
- Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client
Serveri lisamine domeeni
- Käivita yast2 root õigustes
- Mine network services -> Windows Domain Membership
- Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
- Domain or workgroup alla sisesta oma domeeni nimi
- Pane linnuke "Use SMB Information for Linux Authentication"
- Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
- Pane linnuke "Create Home Directory on Login"
- Luuakse domeeni kontole automaatselt kodukaust
- Pane linnuke "Offline Authentication"
- Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
- Käivita "NTP Configuration"
- Seadista "Start NTP Daemon" seadega "Now and on Boot"
- "Synchronization Type Adress" alt eemalda kõik default seaded
- Lisa domeenikontroller kasutades "Add"
- "Type" vali server
- "Adress" pane domeenikontrolleri FQDN
- "Type" vali server
- 2x OK
- Pakutakse installida samba-winbind vali OK
- Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
- Jäta vaikimisi OU
- Server on nüüd domeenis
Serveri turvamine
- Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
- Kasutajate ringi piiramiseks käitu järgnevalt:
- ava /etc/security/pam_winbind.conf
- Lisa [global] alla require_membership_of = domeen\grupinimi
- Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi
Samba seadistamine
- Käivita teenused:
/etc/init.d/smb start /etc/init.d/nmb start /etc/init.d/winbind start
- Ava /etc/samba/smb.conf
- Veendu järgnevas:
- Workgroup = Sinudomeen
- security = ADS
- realm = domeeni fqdn
- Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!
Failisüsteemi kaustad
- TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
- Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
Kaustade jagamine
- valid users = @domeen\\grupp
- Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
- force create mode = 770
- Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- force directory mode = 770
- Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- Ava /etc/samba/smb.conf
- Lisa faili lõppu järgnev:
[Yhised Failid] comment = Paneme faile writable = Yes Browseable = Yes force create mode = 770 force directory mode = 770 path = /home//Kasutajate failid read only = No [Salajane] comment = Top Secret valid users = @domeen\\grupp force create mode = 770 force directory mode = 770 path = /home/Salajane read only = No
- Taaskäivita smb teenus
rcsmb restart
Allikad
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html
http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/