Telepítés előkészítése
Mielőtt telepíteni kezdessz néhány dolgot ellenőrizz! Létezik-e a tunnel eszköz:
ls -lah /dev/net/ | grep tun
Ha nincs ilyen készítened kell:
mknod /dev/net/tun0 c 10 200
Támogatja-e a kerneled a virtuális hálózati eszközöket, alagutakat:
modprobe -l | grep tun
(Bár ha a kernel moduláris az rizikó faktor főképp egy tűzfal esetében. Ha jól van felkészítve a tűzfalad és monolitikus kernelt használsz ez nem is ad eredményt, ebben az esetben a menuconfig segít, nézzd meg abban a Network Device Support ---> Universal TUN/TAP device driver support. Ha nem forgattál be ilyen támogatést (tunneling), fordítsd újra a kernelt. Ha moduláris kernelt használsz be kell még töltened a tun modult.
insmod tun
A tulajdonképpeni telepítés
Mostmár akár telepíthetünk is
Csomagok telepítése
Mint ahogy már ítram nem bonyolult a forgatás, de én csomagot telepítettem, tehát:
apt-get install openvpn
Így a függőségekkel együtt feltelepül és elvégzi a szükséges beállításokat. (Alapvetően innen már majdnem működőképes az OpenVPN.)
Létrehozott a telepítő a /usr/share/doc/packages/openvpn alatt egy könyvtárat amiben minden benne van ami nekünk kell, nézzük is meg, mi is van benne
ls -lahR /usr/share/doc/packages/openvpn | less
Hogy később gyorsabban dolgozhassunk (és hogy rendet tartsunk) ezt a könyvtárat másoljuk át
mkdir -p /usr/share/openvpn
cp /usr/share/doc/packages/openvpn/* /usr/share/openvpn/*
mivel kell még ide néhány könyvtár és fájl azokat hozzuk létre
cd /usr/share/openvpn/easy-rsa/2.0/
mkdir keys
cd keys/
echo 01 > serial
touch index.txt
Találhatók itt példa configok, és jó kis shell scriptek amik oly gyorsá teszik a beállítást. Kezdődhet is a használatbavétel. Lépjünk be tehát a /usr/share/openvpn/easy-rsa/2.0 könyvtárba és itt szerkesszük úgy a vars állományt, hogy a file végén található változókba értelem szerint behelyettesíted az értékeket.
export KEY_COUNTRY="HU"
export KEY_PROVANCE=""
export KEY_CITY="Városom"
export KEY_ORG="NIMPHAS Corp."
export KEY_EMAIL="it@nimphas.com"
Azért mielőtt lecserélnéd, vagy szerkesztenéd a vars fájlt másold le mondjuk vars.old címmel. Ezeken kívül kell még néhány további fájl és könyvtár:
mkdir /var/log/openvpn
touch /etc/openvpn/ipp.txt
Kell egy server konfigurációs fájl én ezt használom server.conf néven van elmentve a /etc/openvpn könyvtárban (a /usr/share/doc/packages/openvpn/sample-config könyvtárban találsz részletesebbeket is magyarázatokkal, feltétlen nézd meg őket):
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.5.0 255.255.255.0" # A helyi hálózathoz való routolás
keepalive 10 120
comp-lzo
;client-to-client # Engedélyezi, hogy a távolról felcsatlakozó kliensek "lássák egymást"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
mute 20
Tanúsítványok készítése
Ha a könyvtárak és fájlok elkészültek, létrhozzuk a tanusítványokat: A felső szintű tanusítvány és kulcs generálása:
cd /usr/share/openvpn/easy-rsa/2.0
source vars
./build-ca
Diffie Hellman paraméter előállítása (ez egy igen hosszú alap értelmezés szerint 1024 bit hosszú prímszám)
./build-dh
Paranojások a KEY_SIZE értékét megnövelhetik (a vars állományban), de ez nem szükséges, nagyban nem növeli a biztonságot de az előállítás idejét igen.
(Ha az unable to write 'random state' hibaüzenetet kapod segíthet ez az oldal: http://www.openssl.org/support/faq.cgiPróbáld meg ezt a parancsot: export KEY_SIZE=1024 && export KEY_DIR=$(pwd)/keys && export KEY_CONFIG=$(pwd)/openssl.cnf && export HOME=$(pwd)/keys && export RANDFILE=$(pwd)/keys && ./build-dh)
Következhet a server kulcsok legyártása
./build-key-server server
A paraméter amit vár a fájl neve (a kiterjesztés nékül). Így mostmár a legszükségesebb tanusítványok készen vannak, ezután csak a kliensek tanusítványai vannak hátra. Tehát készítsük el ezeket is:
source vars
./pkitool --interact --inter client00
A paramétereket a ./pkitool --help elmagyarázza, amit itt használtam:
--interact = interaktív kulcsgenerálás Ez annyit jelent, hogy a tanusítvány adatait meg kérdezi tőled, csak annyi a dolgod, hogy elolvasod a kérdést és ésszerűen válaszolsz rájuk
--inter = belső kulcs generálása
client00 = a létrehozandó állományok nevének az eleje
Ezt persze addig ismételjük ameddig minden kliens tanusítványait el nem készítettük. Ha megvannak át másolgathatjuk őket a helyükre, illetve a kliensek fájljait be is tömöríthetjük, hogy aztán egyszerűbb legyen bánni velük
A serveren használandó tanusítvány állományai:
ca.crt
ca.key
server.crt
server.csr
server.key
a "server.*" csak akkor érvényes, ha a ./build-key-servernek paraméterként a servert adtad meg.
A kliens által használt tanusítvány fájljai:
ca.crt
ca.key
client00.crt
client00.csr
client00.key
Ha a ./pkitoolnak ezt adtad meg
Rendrakás
• A server tanusítványait az /etc/openvpn könyvtárba kell rakni,
• A server.conf -nak szintén ott a helye
• A kliensek tanusítványainak fájljait a /usr/share/openvpn/easy-rsa/2.0/configs/client* könyvtárakban tartom *.tgzbe tömörítve. innen scpvel könnyen átmásolhatók az állományok és egyhelyen vannak
Kliensek telepítése
Windows
Ez sem bonyolult az OpenVPN oldaláról letölthető installer szinte mindent meg csináll. Itt is kell készítenünk egy configot (client.ovpn itt a kiterjesztés csak ez lehet), valahogy így nézzen ki:
client
remote xxx.xxx.xxx.xxx # a távoli server IP címe megadhatsz domaint is
port 1194
proto udp
ca C:\\Progra~1\\OpenVPN\\config\\ca.crt
cert C:\\Progra~1\\OpenVPN\\config\\client.crt
key C:\\Progra~1\\OpenVPN\\config\\client.key
dev tun
comp-lzo
verb 3
mute 10
ns-cert-type server
persist-key
persist-tun
Ha elkészítetted, pl jegyzettömbel, vagy valamilyen text editoral mentsd el az OpenVPN/config könyvtárba client.ovpn névvel. Az indításhoz pedig egy kis denevér (Én ovpn.bat névvel szoktam a config könyvtárban elhelyezni):
openvpn --config C:\\Progra~1\\OpenVPN\\config\\client.ovpn
Ha lefuttatod létrejön a VPN kapcsolat ezt onnan tudod, hogy megnyílik egy parancssori ablak és egy csomó bla-bla után kiíródik a Connection Saccesfulli Completted, illetve az ablak nyitva is marad, hogy a kapcsolat megmaradjon pingelgeti a hálózatot, és hálózati csomagokat küldözget a távoli hálózatba. Ha a Windows kliensnek a munkacsoportja ugyan az mint a hálózat gépeié akkor kisvártatva a hálózati helyek között meg is jelennek a gépek ikonjai. Még annyit érdemes megtenni a kényelem kedvéért, hogy teszel parancsikont az asztalra (már arra amit a monitoron látsz ;-) ).
Linux kliens
A server beállításaitól csak anyiban különbözik, hogy itt a config más (ugyan az mint a windows kliens esetében értelem szerint a ~/.openvpn/ könyvtárba kell tenni a tanusítványhoz kapcsolódó fájlokat, az útvonalakat a helyesre megadni és csatlakozni a
openvpn --config ~/.openvpn/client.ovpn
parancsal. Annyit azért ne felejts el, hogy itt nem indul el konzol, ha látni akarod a történéseket konzolon indítsd az OpenVPNt
Ötletek
• Kimondottan rossz ötlet a tanusítványokban client1..client2..client3..stb nevezni a klienseket, egyfelöl mert van nevük, meg így jól nyomon követhető ki mikor jelentkezett be.
• Kimondottan rossz ötlet engedélyezni olyan kliensek csatlakozását, amelyeket nem védi legalább szoftveres tűzfal és vírusvédelmi program
• Kimondottan rossz ötlet mindenkinek engedélyezni a VPN használatát
• Kimondottan jó ötlet a felhasználókat nyilvántartani (e-mail, hanyas kliens, mettől-meddig érvényes a kulcsa, melyík részlegben dolgozik, mit csinál, mit használ, hálózati eszköz MAC címe)
• Kimondottan jó ötlet az iptablessel a MAC címeket szűrni, mondjuk valahogy így:
iptables -A INPUT -i tun+ -p UDP -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
Persze a 00:00:00:00:00:00 helyére a valódi MAC cím kerüljön
• Kimondottan jó ötlet csak egy adott idő intervallumban engedélyezni a csatlakozást, ha lehet és nem ütközik akadályokba, modjuk 6:30 - 21:00 és a crond segítségével indítani és leállítani (A nyugalmad érdekében)
--------------
Mielőtt telepíteni kezdessz néhány dolgot ellenőrizz! Létezik-e a tunnel eszköz:
ls -lah /dev/net/ | grep tun
Ha nincs ilyen készítened kell:
mknod /dev/net/tun0 c 10 200
Támogatja-e a kerneled a virtuális hálózati eszközöket, alagutakat:
modprobe -l | grep tun
(Bár ha a kernel moduláris az rizikó faktor főképp egy tűzfal esetében. Ha jól van felkészítve a tűzfalad és monolitikus kernelt használsz ez nem is ad eredményt, ebben az esetben a menuconfig segít, nézzd meg abban a Network Device Support ---> Universal TUN/TAP device driver support. Ha nem forgattál be ilyen támogatést (tunneling), fordítsd újra a kernelt. Ha moduláris kernelt használsz be kell még töltened a tun modult.
insmod tun
A tulajdonképpeni telepítés
Mostmár akár telepíthetünk is
Csomagok telepítése
Mint ahogy már ítram nem bonyolult a forgatás, de én csomagot telepítettem, tehát:
apt-get install openvpn
Így a függőségekkel együtt feltelepül és elvégzi a szükséges beállításokat. (Alapvetően innen már majdnem működőképes az OpenVPN.)
Létrehozott a telepítő a /usr/share/doc/packages/openvpn alatt egy könyvtárat amiben minden benne van ami nekünk kell, nézzük is meg, mi is van benne
ls -lahR /usr/share/doc/packages/openvpn | less
Hogy később gyorsabban dolgozhassunk (és hogy rendet tartsunk) ezt a könyvtárat másoljuk át
mkdir -p /usr/share/openvpn
cp /usr/share/doc/packages/openvpn/* /usr/share/openvpn/*
mivel kell még ide néhány könyvtár és fájl azokat hozzuk létre
cd /usr/share/openvpn/easy-rsa/2.0/
mkdir keys
cd keys/
echo 01 > serial
touch index.txt
Találhatók itt példa configok, és jó kis shell scriptek amik oly gyorsá teszik a beállítást. Kezdődhet is a használatbavétel. Lépjünk be tehát a /usr/share/openvpn/easy-rsa/2.0 könyvtárba és itt szerkesszük úgy a vars állományt, hogy a file végén található változókba értelem szerint behelyettesíted az értékeket.
export KEY_COUNTRY="HU"
export KEY_PROVANCE=""
export KEY_CITY="Városom"
export KEY_ORG="NIMPHAS Corp."
export KEY_EMAIL="it@nimphas.com"
Azért mielőtt lecserélnéd, vagy szerkesztenéd a vars fájlt másold le mondjuk vars.old címmel. Ezeken kívül kell még néhány további fájl és könyvtár:
mkdir /var/log/openvpn
touch /etc/openvpn/ipp.txt
Kell egy server konfigurációs fájl én ezt használom server.conf néven van elmentve a /etc/openvpn könyvtárban (a /usr/share/doc/packages/openvpn/sample-config könyvtárban találsz részletesebbeket is magyarázatokkal, feltétlen nézd meg őket):
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.5.0 255.255.255.0" # A helyi hálózathoz való routolás
keepalive 10 120
comp-lzo
;client-to-client # Engedélyezi, hogy a távolról felcsatlakozó kliensek "lássák egymást"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
mute 20
Tanúsítványok készítése
Ha a könyvtárak és fájlok elkészültek, létrhozzuk a tanusítványokat: A felső szintű tanusítvány és kulcs generálása:
cd /usr/share/openvpn/easy-rsa/2.0
source vars
./build-ca
Diffie Hellman paraméter előállítása (ez egy igen hosszú alap értelmezés szerint 1024 bit hosszú prímszám)
./build-dh
Paranojások a KEY_SIZE értékét megnövelhetik (a vars állományban), de ez nem szükséges, nagyban nem növeli a biztonságot de az előállítás idejét igen.
(Ha az unable to write 'random state' hibaüzenetet kapod segíthet ez az oldal: http://www.openssl.org/support/faq.cgiPróbáld meg ezt a parancsot: export KEY_SIZE=1024 && export KEY_DIR=$(pwd)/keys && export KEY_CONFIG=$(pwd)/openssl.cnf && export HOME=$(pwd)/keys && export RANDFILE=$(pwd)/keys && ./build-dh)
Következhet a server kulcsok legyártása
./build-key-server server
A paraméter amit vár a fájl neve (a kiterjesztés nékül). Így mostmár a legszükségesebb tanusítványok készen vannak, ezután csak a kliensek tanusítványai vannak hátra. Tehát készítsük el ezeket is:
source vars
./pkitool --interact --inter client00
A paramétereket a ./pkitool --help elmagyarázza, amit itt használtam:
--interact = interaktív kulcsgenerálás Ez annyit jelent, hogy a tanusítvány adatait meg kérdezi tőled, csak annyi a dolgod, hogy elolvasod a kérdést és ésszerűen válaszolsz rájuk
--inter = belső kulcs generálása
client00 = a létrehozandó állományok nevének az eleje
Ezt persze addig ismételjük ameddig minden kliens tanusítványait el nem készítettük. Ha megvannak át másolgathatjuk őket a helyükre, illetve a kliensek fájljait be is tömöríthetjük, hogy aztán egyszerűbb legyen bánni velük
A serveren használandó tanusítvány állományai:
ca.crt
ca.key
server.crt
server.csr
server.key
a "server.*" csak akkor érvényes, ha a ./build-key-servernek paraméterként a servert adtad meg.
A kliens által használt tanusítvány fájljai:
ca.crt
ca.key
client00.crt
client00.csr
client00.key
Ha a ./pkitoolnak ezt adtad meg
Rendrakás
• A server tanusítványait az /etc/openvpn könyvtárba kell rakni,
• A server.conf -nak szintén ott a helye
• A kliensek tanusítványainak fájljait a /usr/share/openvpn/easy-rsa/2.0/configs/client* könyvtárakban tartom *.tgzbe tömörítve. innen scpvel könnyen átmásolhatók az állományok és egyhelyen vannak
Kliensek telepítése
Windows
Ez sem bonyolult az OpenVPN oldaláról letölthető installer szinte mindent meg csináll. Itt is kell készítenünk egy configot (client.ovpn itt a kiterjesztés csak ez lehet), valahogy így nézzen ki:
client
remote xxx.xxx.xxx.xxx # a távoli server IP címe megadhatsz domaint is
port 1194
proto udp
ca C:\\Progra~1\\OpenVPN\\config\\ca.crt
cert C:\\Progra~1\\OpenVPN\\config\\client.crt
key C:\\Progra~1\\OpenVPN\\config\\client.key
dev tun
comp-lzo
verb 3
mute 10
ns-cert-type server
persist-key
persist-tun
Ha elkészítetted, pl jegyzettömbel, vagy valamilyen text editoral mentsd el az OpenVPN/config könyvtárba client.ovpn névvel. Az indításhoz pedig egy kis denevér (Én ovpn.bat névvel szoktam a config könyvtárban elhelyezni):
openvpn --config C:\\Progra~1\\OpenVPN\\config\\client.ovpn
Ha lefuttatod létrejön a VPN kapcsolat ezt onnan tudod, hogy megnyílik egy parancssori ablak és egy csomó bla-bla után kiíródik a Connection Saccesfulli Completted, illetve az ablak nyitva is marad, hogy a kapcsolat megmaradjon pingelgeti a hálózatot, és hálózati csomagokat küldözget a távoli hálózatba. Ha a Windows kliensnek a munkacsoportja ugyan az mint a hálózat gépeié akkor kisvártatva a hálózati helyek között meg is jelennek a gépek ikonjai. Még annyit érdemes megtenni a kényelem kedvéért, hogy teszel parancsikont az asztalra (már arra amit a monitoron látsz ;-) ).
Linux kliens
A server beállításaitól csak anyiban különbözik, hogy itt a config más (ugyan az mint a windows kliens esetében értelem szerint a ~/.openvpn/ könyvtárba kell tenni a tanusítványhoz kapcsolódó fájlokat, az útvonalakat a helyesre megadni és csatlakozni a
openvpn --config ~/.openvpn/client.ovpn
parancsal. Annyit azért ne felejts el, hogy itt nem indul el konzol, ha látni akarod a történéseket konzolon indítsd az OpenVPNt
Ötletek
• Kimondottan rossz ötlet a tanusítványokban client1..client2..client3..stb nevezni a klienseket, egyfelöl mert van nevük, meg így jól nyomon követhető ki mikor jelentkezett be.
• Kimondottan rossz ötlet engedélyezni olyan kliensek csatlakozását, amelyeket nem védi legalább szoftveres tűzfal és vírusvédelmi program
• Kimondottan rossz ötlet mindenkinek engedélyezni a VPN használatát
• Kimondottan jó ötlet a felhasználókat nyilvántartani (e-mail, hanyas kliens, mettől-meddig érvényes a kulcsa, melyík részlegben dolgozik, mit csinál, mit használ, hálózati eszköz MAC címe)
• Kimondottan jó ötlet az iptablessel a MAC címeket szűrni, mondjuk valahogy így:
iptables -A INPUT -i tun+ -p UDP -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
Persze a 00:00:00:00:00:00 helyére a valódi MAC cím kerüljön
• Kimondottan jó ötlet csak egy adott idő intervallumban engedélyezni a csatlakozást, ha lehet és nem ütközik akadályokba, modjuk 6:30 - 21:00 és a crond segítségével indítani és leállítani (A nyugalmad érdekében)
--------------
DEBIAN telepítés:
Fájlszerver esetén a home könyvtár a hangsúlyos!
|
Levelező szerver esetén a home és a var könyvtár!
|
Webszerver esetén a var könyvtár a hangsúlyos!
|
Célszerű még külön partíciót
csinálni a swap-nek és a / gyökér katalógusnak, valamint az usr partíciónak!
A swap ideális helye a merevlemez
középső része!
Telepítés:
|
– nyelv választás
|
– hálózati kapcsolat beállítás
|
|
– gépnév – tartománynév
|
|
– particionálás
|
|
– telepítés (businesscard csomagból – Internet
kell) alaprendszer telepítése
|
|
– csomagstatisztika: nem kérjük!
|
|
– GRUB telepítése: hová történjen? (MBR vagy / partíció)
|
|
– csomagválasztásnál (egyiket sem telepítjük!)
|
|
– újraindítás, CD kiadás!
|
Újraindítás után root-ként:
#
apt-get
install sudo
|
: sudo-csomag telepítése
|
#
visudo
|
: sudoers.tmp fájl szerkesztése
|
%sudo ALL=NOPASSWD; ALL parancs érvényesítése
|
|
CTRL+O – mentés, enter
|
|
CTRL+X
– kilépés
|
|
#
adduser
”felh.” sudo
|
: felhasználó hozzáadása a sudo csoporthoz
|
#
apt-get
install dselect
|
: dselect csomagkezelő telepítése!
|
#
apt-get
install mc
|
: Midnight Commander
|
#
apt-get
install ntfs-3g
|
: NTFS kezelése
|
#
apt-get
install startupmanager
|
: Boot-manager
|
#
apt-get
install samba
|
: Szamba-szerver
|
#
apt-get
install bind9
|
: DNS-szerver
|
#
apt-get
install –f
|
: félbemaradt csomagtelepítés, vagy hiányzó csomag
esetén!
|
#
apt-get
install manpages-hu
|
: magyar man-oldalak
|
Particionálás:
60 GB merevlemez (ennyi
kell, de minimum 50 GB)
swap
|
4 GB
|
– a lemez közepére, max. ennyi
|
/home
|
20 GB
|
|
/
|
2 GB
|
– max. méret, ennél kisebb is lehet
|
/var
|
19 GB
|
|
/usr
|
15 GB
|
– max. méret, ennél több biztos nem kell
|
A /home és /var mérete attól függjön, hogy
milyen szerverek fognak futni a gépen, mire lesz használva a gép!
Új vincseszternél: swap, / és /usr mappák mérete lehet
ugyanannyi vagy kevesebb, a /home és a /var mérete a felhasználástól függjön! (A swap mindig a lemez közepére!)
dselect
|
1; Frissítés
|
¿
|
2; Csomagok választása
|
¿
|
|
<space>
|
||
¿
|
||
3; Kért csomagok telepítése
|
¿
|
|
Akarod folytatni?
|
¿
|
|
Törlöd a letöltött .deb csomagokat
|
¿
|
|
¿
|
||
GNOME
telepítése! |
4; Csomagok választása
|
¿
|
<space>
|
||
/
|
||
Keresés – ^gnome$
|
¿
|
|
+
|
||
¿
|
||
5; Kért csomagok telepítése
|
¿
|
|
Akarod folytatni?
|
¿
|
|
Munkacsoport/Tartomány beállítása
|
név+¿
|
|
DHCP esetén WINS miatti módosítás
|
nem+¿
|
|
Töröld a letöltött .deb csomagokat
|
¿
|
|
+¿
|
DNS rekurzív lekérdezés:
|
minden szerver tovább kérdez, amíg az eredmény
nincs meg!
|
DNS interaktív lekérdezés:
|
ha egy szervernél nincs meg a válasz, akkor olyan
infót ad vissza, hogy hol lehet tovább keresni!
|
Dinamikus névfeloldás:
|
egy hoszt IP-címet szerez egy DHCP-szervertől és
bejelenti a DNS-szervernek. Ez egy biztonsági rés, ne bízzuk a hosztokra a
bejelentést, a DHCP-szerver közölje közvetlenül a DNS-szerverrel, hogy milyen
IP-címet osztott ki és kinek!
|
Könyvtár rendszer, szerkezet:
/root
|
A rendszergazda home könyvtára, így ha a /home nem elérhető, ez még akkor is elérhető!
|
/home
|
minden felhasználó saját könyvtárai, tárhelye kap
benne helyet
|
/usr
|
a felhasználói programok (pl. openoffice) és a
hálózati szolgáltatások programjai (pl. Apache-webszerver) vannak benne. A
gyökérhez hasonló hierarchia szerinti (/usr/bin, /usr/lib) könyvtárakkal, szerepük ugyanaz mint a
gyökérben levőké, de ezek nem szükségesek a rendszer indulásához!
|
/usr/share/doc
|
a feltelepített csomagok dokumentációja van benne!
|
/usr/local
|
ugyanaz mint a /usr, de ezekben a forrásból telepített programok
vannak, így nem keverednek a csomagkezelő által felrakottakkal!
|
/var
|
a gyakran változó tartalmú adatfájlok, logok
(naplófájlok), adatbázisok, ideiglenes vagy megbízhatatlan állományok vannak
benne!
|
/opt
|
a rendszerhez nem kapcsolódó telepített programok
|
/boot
|
tömörített kernel-image-ek és a kernelekkel
kapcsolatos segédfájlok + bootloader függő dolgok vannak benne. A mentésből
visszaállítás, újraélesztés és rendszerjavítás eszközei!
|
/proc
|
a kernel által létrehozott virtuális fájlrendszer,
a rendszer aktuális állapotát, a kernel beállításait tartalmazzák
(átírhatók). Minden futó processnak van benne egy saját könyvtára, melyet a
PID azonosít!
|
/lib
|
az alapvető működéshez szükséges shared library-k
és kernelmodulok vannak benne!
|
/bin
|
a boot folyamathoz és az alapvető
rendszeradminisztrációs feladatok ellátásához szükséges programfájlok vannak
benne, melyeket mindenki használhat!
|
/sbin
|
az alapvető működéshez szükséges, de általában
csak a root által futtatott programfájlok (pl. mkelfs, cfdisk, init, hdparm
…)
|
/etc
|
konfigurációs fájlok (általában szövegfájlok,
beállítások, rendszerbeállítások, jelszavak, csoportok)
|
/tmp
|
mindenki számára írható könyvtár, az ideiglenes
állományok számára, tartalma időnként (pl. minden bootoláskor) törlődik!
|
/dev
|
a hardverekhez tartozó fájlbejegyzések. Nem név,
hanem 2 szám (major, minor) alapján vannak azonosítva! (a /dev/null is egy eszköz)
|
/cdrom
|
szimbolikus link a CD-ROM-ra
|
/media
|
a különböző automount rendszerek ide tesszük a
megtalált mediákat (pl. pendrive)
|
/mnt
|
a nem szabványos helyre felmountolható
fájlrendszerek számára! (pl. egy ntfs partíció ide mountolható fel)
|
/sys
|
a 2.6-os kernellel, plug’n’play eszközök
konfigurációja, ACPI rendszer által felderített hardverek!
|
/srv
|
A SUID és SGID bitek parancsfájlok (script) esetén nem működnek!
Jogosultságok:
|
minden mappának és fájlnak van tulajdonosa és
tartozik valamilyen csoporthoz is!
|
d
|
rwx
|
rwx
|
r–x
|
2
|
root
|
root
|
79
|
dátum/idő
|
név
|
típus
d:könyvtár –: fájl l: link |
tulaj.
|
csoport
|
mindenki más
|
objektumok száma a
könyvtárban
|
tulaj.
|
csoport
|
méret
|
utolsó hozzáférés
|
könyvtár, fájl vagy link
neve
|
4–r
|
– olvasási jog
|
create mask – fájlokhoz
|
2–w
|
– írási jog
|
directory mask –
könyvtárhoz
|
1–x
|
– futtatási jog
|
chmod 0754 ”file vagy mappanév”
0
|
7
|
5
|
4
|
Adminisztráció
|
Tulajdonos
|
Csoport
|
Mindenki más
|
(Owner)
|
(Group)
|
(Rest)
|
|
4 = suid
|
r = 4
|
R = 4
|
r = 4
|
2 = sgid
|
w = 2
|
||
1 = sticky bit
|
x = 1
|
x = 1
|
SUID
= Substitute UID:
|
helyettesítő User ID, ha
be van állítva egy programhoz, bárki indíthatja a programot, az a
tulajdonosának a nevében fog futni!
|
SGID = Substitute GID:
|
helyettesítő Group ID, ha be van állítva egy
programhoz, bárki indíthatja a programot, az a tulajdonos csoport
jogosultságaival fog futni!
|
Sticky bit:
|
ha be van állítva egy alkönyvtárra, normál
felhasználó akkor sem törölhet, ha egyébként írási joggal rendelkezik!
|
DNS-szerver telepítése!
# apt-get install bind9
|
: telepítés
|
# /etc/init.d/bind9 stop (start, restart)
|
: leállítás (indítás, frissítés)
|
Érintett fájlok:
/etc/resolv.conf
|
: a névfeloldási
beállításokat tartalmazza!
|
search iroda.lan
nameserver 127.0.0.1
nameserver
192.168.1.253
/etc/bind/named.conf.local
|
: a zónák beállítása!
|
zone "iroda.lan"
{
type master;
file "brkk-name.db";
# allow-transfer {
192.168.1.252; };
allow-query { 127.0.0.1; 10.1.1.0/24; };
# also-notify {
192.168.1.252; };
# notify yes;
};
zone
"1.1.10.in-addr.arpa" {
type master;
file "brkk-rev.db";
# allow-transfer {
192.168.1.252; };
allow-query { 127.0.0.1; 10.1.1.0/24; };
# also-notify {
192.168.1.252; };
# notify yes;
};
/etc/bind/named.conf.options
|
options {
directory
"/var/cache/bind";
: ½
: ½ minden változatlanul hagyva
: ½
forwarders
{
192.168.1.253;
};
auth-nxdomain
no; # conform to RFC1035
listen-on-v6
{ any; };
check-names master fail;
check-names response warn;
};
/var/cache/bind/brkk-name.db
|
: zónafájl
|
$TTL 86400
@ IN SOA dns.iroda.lan.
dnsmaster.iroda.lan. (
2009032701
; Serial
86400
; Refresh
900
; Retry
604800
; Expire
86400
) ;Negativ cache TTL
@ IN NS dns.iroda.lan.
@ IN NS slavedns.iroda.lan.
$origin iroda.lan.
manager IN A 10.1.1.40
asszisztens IN A 10.1.1.50
tervezo IN A 10.1.1.60
/var/cache/bind/brkk-rev.db
|
$TTL 86400
@ IN SOA dns.iroda.lan.
dnsmaster.iroda.lan. (
2009032701
; Serial
86400
; Refresh
900
; Retry
604800
;Expire
86400
) ;Negativ cache TTL
@ IN NS dns.iroda.lan.
@ IN NS slavedns.iroda.lan.
$origin 1.1.10.in-addr.arpa.
40 IN PTR manager.iroda.lan.
50 IN PTR asszisztens.iroda.lan.
60 IN PTR tervezo.iroda.lan.
A fájlok jogosultságai és a tulajdonosok!
/etc/resolv.conf
|
root:root
|
0644
|
/Etc/bind (mappa)
|
root:bind
|
2755
|
SGID
|
||
/etc/bind/named.conf.local
|
root:bind
|
0644
|
/Etc/bind/named.conf.options
|
root:bind
|
0644
|
/var/cache/bind (mappa)
|
root:bind
|
0775
|
/var/cache/bind/brkk-name.db
|
root:root
|
0770
|
/var/cache/bind/brkk-rev.db
|
root:root
|
0770
|
/etc/init.d/bind9 start
|
:
szerver indítása!
|
SAMBA-szerver telepítése
# apt-get install samba
Felhasználók létrehozása:
Addgroup
grp221
Adduser
--ingroup grp221 virtxp
Adduser
--ingroup grp221 mandinka
smbpasswd
-a virtxp
smbpasswd
-a mandinka
A közös könyvtár
létrehozása:
Mkdir
/home/cuccok
Chown
big:grp221 /home/cuccok
Chmod
0770 /home/cuccok
/etc/samba/smb.conf
|
: szerkesztése!
|
[global]
|
(root:root 0644)
|
workgroup = walbig
server string = supra debian szerver
wins support = yes
dns proxy = no
name resolve order = imhosts host
wins bcast
networking:
interfaces = 127.0.0.0/8 eth0
10.1.1.0/24
bind interfaces only = yes
debugging:
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action =
/usr/share/samba/panic-action %d
authentication:
security = user
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix passwd sync = no
passwd program = /usr/bin/passwd %u
passwd chat = . . . . . .
pam password change = no
domains: -
printing: -
misc: -
share definitions:
[home]
comment = home directories
browseable = no
readonly = yes
create mask = 0700
directory mask = 0700
valid users = %s
invalid users = root
; [netlogon] ½minden sor
; [profiles] ½kikommentelve!
: ½
: ½ minden változatlanul hagyva
: ½
[cuccok]
comment = kozos cuccok
browseable = yes
writeable = yes
path = /home/cuccok
force group = grp221
valid users = @grp221
public = no
Virtualbox telepítése
Synaptic-kal
Virtualbox-ose 1.6.6. -dfsg-3
Virtualbox-ose-modules-2.6.26.2-amd64
a
megfelő ½ processzorhoz
kernelhez
(uname -a; uname -r)
A felhasználót hozzáadni a vboxusers és root
csoportokhoz!
Adduser big root
Adduser big
vboxusers
(kijelentkezés,
majd újra be!)
Vboxdrv indítása, betöltése:
Egyedileg:
modprobe
vboxdrv
(root-ként)
Rendszerindítással:
beírni az /etc/modules fájlba: vboxdrv
Még két csomag telepítése:
Uml-utilities ½ a tunctl és a brctl
Bridge-utils ½ használatához!
A bridge és a csatornák
létrehozása
|
: tetszőleges nevű fájlban
|
#!/bin/sh
# set path for the
case we are called via sudo or su root
path=/sbin:/usr/bin:/bin:/usr/sbin
# készítsük el a
tapo(ka)t
tunctl -t tap1 -u
big #
a végén a felhasználó neve
ip link set up dev
tap1
tunctl -t tap2 -u
big #
a végén a felhasználó neve
ip link set up dev
tap2
tunctl -t tap3 -u
big #
a végén a felhasználó neve
ip link set up dev
tap3
tunctl -t tap4 -u
big #
a végén a felhasználó neve
ip link set up dev
tap4
# készítsük el a
hida(ka)t
brctl addbr br0 #
a br0 nevű híd elkészítése
brctl addif br0 tap1 #
a tap1 hozzárendelése a br0-hoz
brctl addif br0 tap2 #
a tap2 hozzárendelése a br0-hoz
brctl addif br0 tap3 #
a tap3 hozzárendelése a br0-hoz
brctl addbr br1 #
a br1 nevű híd elkészítése
brctl addif br1 tap4 #
a tap4 hozzárendelése a br1-hez
# set the ip address
and routing
ip link set up dev
br0 #
a br0 IP címei
ip addr add
10.1.1.1/24 dev br0
ip route add
10.1.1.0/24 dev br0
ip link set up dev
br1 #
a br1 IP címei
ip addr add 10.1.2.1/24
dev br1
ip route add
10.1.2.0/24 dev br1
Tetszőleges fájlnévvel létrehozni, futtathatónak
kell lennie, és futtatni is kell minden alkalommal a virtualbox indítása előtt! big:root
0770
A virtuális gépeken az
IP-címeket beállítani (ha a DHCP-szerver már kész, akkor automatikusra),
windows-nál a tűzfalon ICMP-echo kérést engedélyezni kell a pingelhetőséghez!
A virtualboxban a virtuális
gépek hálózat beállításainál: gazdacsatoló és az interfész: tap1, tap2 … tapn
beállítása!
A virtuális gépek NAT-olása:
Szintén tetszőleges fájl-ban
(futtatható) létrehozni, a virtualbox indítása előtt rendszergazdaként
futtatni! big:root
0770
#nat-be.sh
INTIF = "br0"
EXTIF = "eth0"
INTIF2 = "br1"
echo 1 >
/proc/sys/net/ipv4/ip_forward
# clear existing
iptable rules, set a default policy
iptables -P INPUT
ACCEPT
iptables -F INPUT
iptables -P OUTPUT
ACCEPT
iptables -F OUTPUT
iptables -P FORWARD
DROP
iptables -F FORWARD
iptables -t nat -F
# set forwarding and
nat rules
iptables -A FORWARD
-i $EXTIF -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD
-i $INTIF -o $EXTIF -j ACCEPT
iptables -A FORWARD
-o br1 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD
-i br1 -o eth0 -j ACCEPT
iptables -A FORWARD
-o br0 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD
-i br0 -o eth0 -j ACCEPT
iptables -A FORWARD
-i $EXTIF -o $INTIF2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD
-i $INTIF2 -o $EXTIF -j ACCEPT
iptables -t nat -A
POSTROUTING -o $EXTIF -j MASQUERADE
---------------
gadminnal lehet grafikusan telepíteni beállítani linuxot
gadminnal lehet grafikusan telepíteni beállítani linuxot
contained in the line some sort of claims by way of struggle supervisor Honest Ufer that will Bat's gunfighter popularity have been received by just taking pictures drunken Mexicans and also Indians inside returning. https://imgur.com/a/ZBf9vc3 https://imgur.com/a/FGBSUzA https://imgur.com/a/5WuxMAY https://imgur.com/a/TSS6PA8 https://imgur.com/a/Y98ZsAm https://imgur.com/a/IfFgEbX https://imgur.com/a/1xpWZQi
VálaszTörlés