ALTE DOCUMENTE
|
||||
Administrarea serverelor Linux
Ce poate face Linux-ul pentru o firma
Linux este un termen foarte la moda în ultima vreme printre administratorii de retele de calculatoare. Pentru foarte multi însa ramâne doar un termen la moda, fara a realiza la ce le poate fi de folos în derularea afacerii, sau construirea / întretinerea retelei. În principiu, un server Linux poate oferi toate serviciile pe care le poate oferii un server UNIX "brand name" sau serverele Windows. Astfel puteti rula pe Linux servicii ca:
- partajare
de fisiere / autentificare centralizata pentru reteaua Windows
(si nu numai)
- server web
- server ftp
- posta electronica
- server de baze de date
- gateway/router prin care firma dumneavoastra iese pe internet
- zid de protectie (firewall)
si lista ar putea continua (poate pagini întregi dupa unii).
De care servicii are nevoie reteaua/firma? Asta veti decide dumneavoastra, dar e bine sa aveti cunostinta si despre alternativa Linux.
În continuare voi prezenta câteva aspecte care tin de administrarea unui server Linux. Voi încerca sa pastrez independenta fata de oricare distributie Linux, iar ca unealta vizuala de administrare voi folosi programul Webmin, care permite administrarea prin intermediul uni browser.
Administrarea utilizatorilor
În cazul sistemelor utilizate de mai multi utilizatori este important sa putem face diferentiere între diferitele persoane pentru a putea asigura siguranta fisierelor personale. Astfel, fiecarui utilizator i se aloca un nume de utilizator (username) unic care va fi folosit pentru a se autentifica / conecta la sistem.
Linux - protejarea fisierelor
În
sistemele cu mai multi utilizatori este foarte
important sa pute proteja fisierele personale ale diferitilor
utilizatori fata de accesul neautorizat. În Linux mecanismul de
securitate este cel similar cu cel oferit de sistemele
UNIX, si anume fiecarui fisier îi este asociat un proprietar, un
grup, precum si drepturile de acces corespunzatoare acestora.
Aceste drepturi sunt: r -pentru citirea continutului, w - pentru scrierea,
modificarea, stergerea fisierului, x - pentru executarea
fisierului sau parcurgerea directorului.
Aceste drepturi se aplic separat pentru proprietarul
fisierului, grupul si pentru toti ceilalti utilizatori.
Puteti verifica acestea prin comanda "ls -l nume_fisier" :
ls -l fisier
-rwxr-xr-- 1 lbudai root 2000 Dec 24
rezultatul de mai sus înseamna ca proprietarul are drepturi depline
(rwx) grupul are drept de citire si executie(r-x), iar ceilalti
au doar drept de citire asupra fisierului.
Modificarea acestor drepturi de acces se poate face de
catre proprietarul fisierului sau de catre administrator
folosind comanda "chmod" (ex. chmod 755 numefisier). De
asemenea, este posibila si schimbarea
proprietarului sau grupului unui fisier cu ajutorul comenzilor
"chown" si erspectiv "chgrp".
Toate fisierele, resursele si informatiile care apartin unui utilizator se numesc "contul" utilizatorului.
Pentru sistemul de operare fiecare utilizator este identificat printr-un numar întreg - identificatorul utilizatorului (uid - user id). Legatura între identificatorul si numele utilizatorului se face prin intermediul unei baze de date din afara nucleului (kernelului) pastrata în fisierul /etc/passwd. Informatiile stocate în acest fisier sunt:
numele de utilizator, parola (criptata), identificatorul utilizatorului (uid), identificatorul grupului (gid), numele real al utilizatorului sau descrierea contului respectiv, directorul home si interpretorul de comenzi asociat. Deoarece acest fisier poate fi citit de orice utilizator mai nou parolele se pastreaza într-un fisier separat (de obicei /etc/shadow) iar acesta poate fi citit doar de administrator (utilizatorul "root").
Principalele operatii legate de un cont de utilizator sunt: crearea, schimbarea proprietatilor, stergerea si suspendarea contului.
Crearea unui cont
Crearea unui cont de utilizator se poate face din lina de comanda sau prin intermediul diferitelor utilitare oferite de distributiile Linux (userconf/linuxconf pe RedHat, YaST pe SuSE, etc). Cu webmin crearea unui cont se face intrând in sectiunea System/Users and Groups si activând comanda Create a new user. Din linia de comanda crearea uni cont de utilizator se face cu una dintre urmatoarele utilitare: useradd, adduser. În forma cea mai simpla de folosire a acestora:
|
useradd testuser |
Cu aceasta comanda ati creat un nou cont cu numele de utizator "testuser", iar identificatorul de utilizator, cel de grup, directorul home si interpretorul de comenzi vor fi setate automat.
Daca doriti sa specificati si acesti parametrii atunci puteti folosi diferitele optiuni ale utlilitarelor amintite. De exemplu:
|
useradd testuser -c Numele Utilizatorului -u 510 -g 500 -d /home/testuser_home/ -s /bin/bash -G 0,1010 |
cu aceasta comanda se creaza utilizatorul testuser având numele real "Numele Utilizatorului", identificatorul de utilizator 510, identificatorul de grup 500, având directorul home /home/testuser_home, interpretorul de comenzi /bin/bash, iar optiunea -G mai specifica alte grupuri carora le va fi membru utilizatorul proaspat creat. În continuare, pentru a permite conectarea utilizatorului la sistem trebuie specificata parola acestuia. Pentru asta vom folosi comanda passwd:
|
passwd testuser |
|
Changing password for user testuser |
|
New UNIX password: (introduceti parola dorita) |
|
Retype new UNIX password: (confirmati parola setata) |
|
passwd: all authentication tokens updated successfully |
Dupa aceasta operatie utilizatorul se poate autentifica / conecta la sistem.
Un lucru important care trebuie mentionat la crearea conturilor de utilizator este configurarea initiala a mediului utilizatorului (directoare / fisiere implicite). daca folositi utilitare atunci acestea vor seta mediul conform informatiilor din directorul /etc/skel. Astfel daca doriti sa adaugati anumite fisiere care sa apara automat în conturile utilizatorilor la creare atunci le puteti face aici si ele vor aparea automat in directoarele tuturor utilizatorilor creati ulterior.
Modificarea proprietatilor unui utilizator
Pentru a modifica proprietatile unui utilizator puteti apela la webmin (Syetem/Users and Groups), sau o puteti face fie utilizâd utilitare ca chfn pentru schimbarea numelui utilizatorului, chsh pentru schimbarea interpretorului de comenzi sau passwd pentru schimbarea parolei. O alta alternativa este sa editati fisierul /etc/passwd cu comanda vipw.
stergerea unui utilizator
Pentru stergerea utilizatorilor puteti apela din nou la wbmin (System/Users and Groups) selectati utilizatorul dorit, apoi activati comanda Delete. Pentru a sterge un utilizator folosind linia de comanda puteti apela la comanda userdel care primeste ca parametru numele utilizatorului dorit si se mai poate specifica optiunea "-r" pentru a sterge directorul home si cutia postala a utilizatorului.
Configurarea retelei
Pentru a conecta sitemul nostu într-o retea de calculatoare trebuie sa configuram interfetele de retea corespunzator protocoalelor de retea utilizate. Deoarece în prezent marea majoritate a retelelor folosesc protocolul TCP/IP ne vom limita si noi doar la acesta. În continuare vom presupune ca sistemul pe care îl configuram se leaga printr-o conexiune ethernet la routerul care va conecteaza la internet (având adresa IP 213.157.167.65) si printr-o alta conexiune ethernet la reteaua dumneavoastra interna în care vom utiliza adrese interne din gama 192.168.101.0/24, iar adresele alocate serverului dumneavoastra sunt 213.157.167.66 cu masca de retea 255.255.255.252 pentru interfata externa si 192.168.101.1 pentru cea interna. De asemenea, vom presupune ca acest server permite iesirea pe internet a calculatoarelor din reteaua interna.
Pentru a putea trece la configuarea interfetelor ethernet va trebui mai întâi sa le identificam pe acestea. În acest sens vom apela la mesajele afisate de nucleu la încarcarea sistemului de operare folosind comanda dmesg:
|
dmesg | grep eth |
|
eth0: RealTek RTL8139 Fast Ethernet at 0xd0903000, 00:e0:7d:97:f9:a9, IRQ 10 |
|
eth0: Identified 8139 chip type 'RTL-8139C' |
|
eth0: Setting 100mbps full-duplex based on auto-negotiated partner ability 41e1. |
|
eth1: Intel Corp. 82557/8/9 [Ethernet
Pro 100], |
deci avem de configurat doua interfete ethernet: eth0 si eth1. Mai intâi trebuie sa decidem care intrfata va fi spre exterior si care spre reteaua interioara. Sa presupunem ca vom folosi eth0 ca interfata interna si eth1 va fi cea externa. Configuarea cea mai simpla a interfetelor de retea se poate face cu ajutorul comenzii ifconfig:
|
ifconfig eth0 192.168.101.1 netmask 255.255.255.0- pentru interfata interna si |
|
ifconfig eth1 213.157.167.66 netmask 255.255.255.252 broadcast 213.157.167.67 -pentru interfata externa |
dupa aceste comenzi (executate cu succes), daca sitemul este conectat la cele doua retele (interna si externa), puteti încerca conexiunea folosind comanda ping:
|
ping 192.168.101.24 |
|
|
|
64 bytes from 192.168.101.24: icmp_seq=0 ttl=128 time=202 usec |
|
64 bytes from 192.168.101.24: icmp_seq=1 ttl=128 time=166 usec |
|
64 bytes from 192.168.101.24: icmp_seq=2 ttl=128 time=171 usec |
|
--- 192.168.101.24 ping statistics --- |
|
3 packets transmitted, 3 packets received, 0% packet loss |
|
round-trip min/avg/max/mdev = 0.166/0.179/0.202/0.022 ms |
bineîntes calcuatorul pe care încercati sa-l ajungeti trebuie sa fie si el conectat la retea si configurat corespunzator.
Aceste configurari se pot face si cu webmin (accesând local sistemul la adresa 127.0.0.1) în sectiunea Networking/Network configuration/Network Interfaces/Interfaces Activated at Boot Time activând comanda Add a new interface. Astfel configuratia dumneavoastra va fi salvata pentru a se activa la repornirea sistemului.
În continuare, pentru a putea accesa sisteme care nu împart aceeasi retea cu cea a sistemului nostru (sisteme aflate undeva pe internet) trebuie sa configuram calea implicita (default route) de urmat pentru pachetele destinate unei retele straine. În cazul nostru calea implicita arata spre routerul care ne asigura conexiunea catre internet (213.157.167.65 iar configuarea se poate fece fie din linia de comanda:
|
route add default gateway 213.157.167.65 |
fie din webmin în sectiunea Networking/Network Configuration/Routing and Gateways.În acest moment sistemul nostru este pregatit sa ajunga la orice adresa IP de pe internet. Dar noi suntem obisnuisi sa folosim adrese de internet de genul www.agora.ro. Pentru a putea folosi astfel de adrese trebuie sa configuram serverul DNS care va fi interogat pentru translatarea numelor internet în adrese IP. acest lucru se poate face foarte simplu prin introducere unei linii de genul:
|
nameserver 194.102.154.1 |
în fisierul /etc/resolv.conf si configuarea ordinii în care se vor încerca translatarile de nume în fisierul /etc/nsswitch.conf printr-o linie de forma:
|
hosts: files dns |
care specifica interogarea fisierului /etc/hosts, iar daca nu s-a gasit înregistrarea dorita, atunci va apela la serverul DNS specificat anterior. Aceste configurari se pot face si cu webmin în sectiunea Networking/Network Configuration/DNS Client.
Dupa configurarea interfetelor de retea dorim ca sistemele din reteaua interioara a firmei sa poata iesi pe internet. Pentru acest lucru trebuie sa configuram sistemul nostru sa transforme adresele interne, (nerutabile) în adresa publica (213.157.167.66), care poate fi rutata prin internet. Acest proces se numeste "masquerading" si în urma lui sistemele din reteaua interna a firmei se pot conecta la alte sisteme de pe internet folosind adresa publica a sistemului nostru. Pentru a realiza acest lucru vom apela la subsistemul de filtrare de pachete iptables din kernel (versiunile 2.4.x sau mai noi). Comanda care se va utiliza este:
|
iptables -t nat -I POSTROUTING -j MASQUERADE -s 192.168.101.0/24 |
ceea ce înseamna ca toate pachetele venind din reteaua 192.168.101.0/24 vor fi translatate si trimise mai departe folosind adresa externa, publica a serverului. Putem ajunge la acelasi rezultat folosind si interfata oferita de webmin apelând la sectiunea Networking/Linux Firewall. Aici selectam optiunea "Network address translation" (vezi figura) si activam butonul "Showing Iptable". Apoi în sectiunea POSTROUTING apasam butonul "Add rule". Aici selectati optiunea "Masquerade" pentru linia "Actions to take", specificati adresele pentru care doriti sa activati translatarea în linia "Source address or network" aici pentru toata reteaua interna se poate folosi notarea 192.168.101.0/24, ceea ce înseamna toate adresele din gama 192.168.101.0 - 255.
Acum sistemul nostru este pregatit sa transmita spre internet cererile venite din reteaua interna, mai trebui doar activata rutarea. Pentru aceasta putem folosi urmatoarea comanda:
|
echo 1 > /proc/sys/net/ipv4/ip_forward |
sau puem apela la webmin în sectiunea Networking/Network Configuration/Routing and Gateways unde selectam optiunea "Yes" pentru punctul "Act as router".
Acestea fiind facute sistemele din reteaua interna pot sa înceapa exploatarea internetului, iar administratorul de retea se poate gândi la configuarea unui alt serviciu important pentru o firma: posta electronica.
Configurarea postei electronice
Posta electronica a devenit un mijloc de comunicare foarte raspândit în zilele noastre. Avantajul incontestabil fata de corespondenta clasica este viteza (mesajele ajung la destinatie în timpi care de obicei sunt de ordinul de marime al minutelor).
Pentru transmiterea si receptia postei electronice vom folosi programul "sendmail", care este unul dintre cele mai raspândite programe de transmitere a mesageriei (postei) electronice.
Trebuie sa clarificam un lucru: sendmail nu este programul pe care îl vor apela utilizatorii pentru transmiterea sau receptionarea mesajelor electronice. Aceste programe sunt clientii de posta electronica si dintre acestia putem aminti: Netscape Mail, Outlook, Eudora sau pine. Rolul acestora este de a furniza un set de unelte necesar prntu redactarea, trimiterea, receptionarea si stocarea mesajelor electronice. Aceste programe se numesc "Mail User Agent". Sendmail-ul este cu totul altceva. El se ocupa cu transportul mesajelor de la un sistem la altul, de la sursa la destinatie. Aceste programe se numesc "Mail Transfer Agent" si ca alte exemple putem aminti QMail sau exim.
Optiunile de configurare oferite de sendmail sunt foarte multe si despre acestea s-au scris carti întregi, asa ca noi ne vom referii doar la configurarea minima necesara pentru a putea folosi acest serviciu.
Vom parcurge mai întâi configurarea cu webmin a serviciului, pentru a reveni ulterior asupra modificarilor care trebuie facute "de mana" în lipsa unui utilitar de configurare.
Pentru început vom configura numele de domenii pentru care serverul nostru va accepta mesajele pentru expediere locala. Aceste domenii trebuie enumerate la sectiunea Servers/Sendmai Configuration/Local domains. Aici puteti specifica diferitele domenii pentru care serverul dumneavoastra va tine posta electronica. Trebuie retinut însa, ca doar simpla mentionare aici a diferitelor domenii nu este de ajuns daca nu specificati în înregistrarea DNS a domeniului respectiv adresa serverului dumneavoastra ca fiind adresa serverului de mail pentru domeniu.
Urmatorul lucru pe care îl configuram este specificarea adreselor de la care se accepta mesajele pentru a fi expediate mai departe în retea. Acest lucru este foarte important, deoarece aici puteti evita ca serverul dumneavoastra sa fie folosit ca un releu pentru transmiterea de mesaje nedorite de catre persoane / sisteme care nu fac parte din organizatie / firma.
Pentru aceasta, în sectiunea Servers/Sendmai Configuration/Spam control vom selecta optiunea "Network" pentru sursa mesajului si vom specifica primele trei numere ale adresei noastre de retea (192.168.101) dupa care selectam optiunea Allow Relaying si activam butonul Create Dupa care va trebui sa apara înregistrarea corespunzatoare în lista oferita de webmin. Urmatorul pas este configurarea interfetelor pe care va astepta sendmail sa vina cererile de livrare de mesaje. Pentru aceasta vom deschide sectiunea Servers/Sendmai Configuration/Sendmail Options iar acolo în linia SMTP port options vom elimina înregistrarea Addr=127.0.0.1, prin aceasta cerând programului sa urmareasca toate interfetele sistemului si sa raspunda cererilor venite pe oricare dintre ele.
Acestea fiind facute putem porni serviciul pentru a testa noua configuratie folosindu-ne de butonul "Start Sendmail" din fereastra Servers/Sendmai Configuration. În acest moment serverul ar trebui sa preia mesajele transmise din reteaua dumneavoastra interna si sa le expedieze catre internet (daca e cazul) si sa accepte mesajele venite pentru domeniul dumneavoastra.
Un lucru foarte util oferit de sendmail este posibilitatea de a transmite mai multor utilizatori mesajele venite pentru o anumita adresa. Acest lucru se face în sectiunea Servers/Sendmai Configuration/Mail Aliases . Aici introduceti numele pe care vin mesajele, apoi selectati "Email Address" la Alias To si specificati adresa / adresele de email la care se transmite mesajul, selectati optiunea Enabled si activati comanda Create. Tot aici puteti sterge un alias de care nu mai aveti nevoie prin selectarea acestuia si utilizarea butonului Delete.
Pentru executarea manuala a pasilor mentionati anterior trebuie sa cunoastem fisierele de configurare pe care le foloseste sendmail-ul. Implicit acestea sunt /etc/mail/access pentru configurarea adreselor de la care se accepta expedierea mesajelor, /etc/aliases pentru alias-urile avute si /etc/sendmail.cf - principalul fisier de configurare. În acestea vom introduce modificari de genul:
|
192.168.101 RELAY -în /etc/mail/access |
|
redactia: cristi laci mircea tibi -în /etc/aliases |
si
|
Cw domeniulmeu.ro -în /etc/sendmail.cf |
modificari dupa care trebuie sa reporniti serviciul, lucru pe care îl puteti face cu ajutorul comenzii service:
|
service sendmail restart |
Acestea fiind facute, utilizatorii dumneavoastra vor pute trimite si primi mesaje electronice dar înca nu am configurat nici un serviciu care le permite descarcarea mesajelor de pe server. Exista doua protocoale majore utilizate pentru descarcarea mesajelor de pe serverele de posta electronica: POP3 si IMAP sub linux le aveti pe ambele trebuie doar sa instalati pachetul imap3d, iar pentru activarea acestor servicii puteti apela la daemonul xinetd, astfel acestea vor fi lansate doar atunci când exista cereri. Configurarea necesara pentru aceasta este schmbarea liniei "disable = yes" în "disable = no" în fisierele /etc/xinet.d/ipop3 si /etc/xinet.d/imap.
Configurarea serviciului DNS
Pentru ca posta electronica sa functioneze corect este necesar ca înregistrarea DNS corespunzatoare serverului responsabil cu corespondenta sa fie setata astfel încât sa indice catre serverul nostru.
Vom vedea în continuare care sunt pasii necesari pentru configurarea si rularea unui server DNS care sa pastreze inregistrarile corespunzatoare domeniului nostru. Pentru asta vom presupune ca ati achizitionat de la RNC (www.rnc.ro) domeniul: domeniulmeu.ro si în formularul de rezervare al domeniului ati specificat adresa IP a serverului dumneavoastra ca fiind serverul DNS.
Sistemul DNS este o baza de date distribuita pe internet în care fiecare server participant pastraza doar o cantitate mica de informatie, de obicei cea referitoare la domeniile proprii.
Structura sistemului este una arborescenta, toate domeniile descendând din domeniul radacina ".". Descendentii pe primul nivel sunt domeniile ca mil, gov, ro etc. fiecare dintre acestea putând avea la rândul lui o serie de subdomenii (agora.ro, domeniulmeu.ro), care la rândul lor pot avea subdomenii si asa mai departe. Acesta organizare ierarhica a domeniilor permite delegarea drepturilor de administrator pentru subdomenii fara pericolul de a încurca itele altor domenii, iar administratorii au libertatea de a folosi nume dupa propriile preferinte în cadrul domeniului lor. La acest nivel spatiul de nume este divizat în zone. Diferenta dintre zone si domeniu este ca domeniul "sapientia.ro" cuprinde toate sistemele iar zona "sapientia.ro" cuprinde doar înregistrarile pentru sistemele aflate la locatia centrala, pe când zona "ms.sapientia.ro" contine înregistrarile pentru sistemele aflate la filiala Mures.
În continuare vom parcurge pasii necesari pentru crearea zonei master pentru domeniul nostru, vom specifica serverul de posta electronica si vom adauga câteva sisteme la domeniu am presupus ca pentru acest serviciu vom folosi programul bind care este prezent în majoritatea distributiilor Linux.
Crearea unei noi zone cu webmin se face în sectiunea Servers/BIND DNS server cu comanda Create a new master zone. Aici trebuie sa specificati numele domeniului (Domain Name / Network), fisierul unde se vor pastra înregistrarile (Records file), serverul care va avea rolul de master de zona, aici puteti specifica un nume de genul ns.domeniulmeu.ro si nu uitati sa bifati optiunea "Add NS record for master server?". Mai specificati adresa de email a persoanei responsabile cu acest domeniu, iar restul optiunilor le puteti lasa cele imlicite oferite de webmin. Activati butonul "Create" pentru crearea zonei. Urmatorul pas este popularea bazei de date cu informatiile care vor descrie domeniul nostru.
Primul lucru pa care îl vom face este crearea înregistrarii corespunzatoare numelui "ns.domeniulmeu.ro". Pentru asta vom selecta optiunea "Address" din ferestra aparuta dupa apasarea butonului "Create". În fereastra astfel aparuta introduceti "ns" pentru nume si adresa (în cazul nostru 213.157.167.66) în câmpurile corespunzatoare si apasati butonul "Create". Astfel puteti crea si alte înregistrari pentru alte sisteme care vor fi accesibile prin intermediul unui nume (de ex. www.domeniulmeu.ro). Un alt lucru important este specificarea sistemului care va prelua mesajele destinate acestui domeniu. Acest lucru se face în sectiunea Servers/BIND DNS server selectând domeniul dorit si optiunea Mail Server. Aici veti specifica domeniul pentru care se accepta mesajele (domeniulmeu.ro în cazul nostru), serverul care le va primi, si prioritatea acestuia. Aceasta ultima informatie este utila deoarece aveti posibilitatea de a configura mai multe servere de posta electronica pentru un domeniu, iar ordinea în care mesajele vor fi trimise catre unul sau altul este determinata tocmai de prioritatea fiecaruia.
Acestea fiind facute puteti porni/reporni serverul DNS si configuratia ar trebui sa fie activa.
Ce facem mai departe?
Am vazut câtiva pasi prin care putem configura un sistem pe post de server internet pentru o firma, care ar asigura conectarea la internet a sitemelor din reteaua interna, transmiterea si primirea mesajelor electronice si configurarea serviciului DNS pentru domeniul dorit. Configuratiile prezentate sunt cele minime necesare pentru rularea serviciilor amintite. pentru explorarea tuturor posibilitatilor oferite de diferitele aplicatii va recomand sa consultati documentatiile acestora.
Serviciile prezentate sunt doar o mica gustare din ceea ce puteti realiza cu Linux. Alte servicii utile pentru o firma pot fi rularea propriului server http, sau a unui server proxy http pentru a accelera accesul la internet. Acestea si multe altele se pot configura folosind pachetul webmin, care se poate descarca gratuit de pe pagina www.webmin.com.
|
