Darmowy fragment publikacji:
Sieci Linux. Receptury
Autor: Carla Schroder
T³umaczenie: Rados³aw Meryk
ISBN: 978-83-246-1661-9
Tytu³ orygina³u: Linux Networking Cookbook
Format: 168x237, stron: 648
• Jak stworzyæ sieæ opart¹ o serwery pracuj¹ce pod kontrol¹ Linuksa?
• Jak uruchomiæ serwer VoIP i sieæ VPN?
• Jak zapewniæ bezawaryjn¹, wydajn¹ i bezpieczn¹ pracê sieci?
Mog³oby siê wydawaæ, ¿e o Linuksie napisano ju¿ wszystko. Jednak do tej pory nie by³o
ksi¹¿ki, która w kompleksowy sposób omawia³aby wszystkie zagadnienia, dotycz¹ce spraw
sieciowych w tym systemie operacyjnym. A¿ do teraz! Autor tej ksi¹¿ki przedstawia
poszczególne kwestie w sprawdzony w tej serii sposób: problem – rozwi¹zanie – dyskusja.
Dziêki podrêcznikowi „Sieci Linux. Receptury” dowiesz siê, w jaki sposób przygotowaæ router,
jak skonfigurowaæ firewall przy u¿yciu pakietu iptables oraz jak stworzyæ punkt dostêpu
do sieci bezprzewodowej i serwer VoIP, korzystaj¹cy z popularnego rozwi¹zania Asterisk.
Poznasz zaawansowane mo¿liwoœci pakietu OpenSSH oraz sposoby bezpiecznego, zdalnego
administrowania serwerem. Dodatkowo nauczysz siê u¿ywaæ graficznych pulpitów, ³¹czyæ
w bezpieczny sposób odleg³e sieci za pomoc¹ pakietu OpenVPN czy te¿ udostêpniaæ w sieci
pliki przy u¿yciu serwera Samba. Twoj¹ ciekawoœæ zaspokoi z pewnoœci¹ opis zastosowania
Samby w roli kontrolera domeny. Po lekturze tej ksi¹¿ki nie bêd¹ Ci obce sposoby
monitorowania pracy sieci i us³ug, tworzenia wykresów wykorzystania zasobów czy te¿ u¿ycia
adresów IP w wersji szóstej. Jedno jest pewne: je¿eli jesteœ administratorem sieciowym
lub masz ambicjê nim zostaæ, ta ksi¹¿ka musi znaleŸæ siê na Twojej pó³ce!
• Tworzenie bramy opartej o system Linux
• Budowa firewalla opartego o iptables
• Przygotowanie punktu dostêpu do sieci bezprzewodowej
• Przydzielanie adresów IP za pomoc¹ serwera DHCP
• Konfiguracja serwera VoIP – Asterisk
• Zaawansowane tematy, zwi¹zane z routingiem
• Zdalna i bezpieczna administracja z wykorzystaniem protoko³u SSH
• U¿ywanie zdalnych pulpitów graficznych
• Tworzenie wirtualnych sieci przy u¿yciu pakietu OpenVPN
• Wykorzystanie Linuksa w roli kontrolera domeny Windows
• Udostêpnianie plików za pomoc¹ pakietu Samba
• Us³ugi katalogowe LDAP
• Monitorowanie i wizualizacja parametrów pracy sieci i us³ug
• Zastosowanie protoko³u IPv6
• Przygotowanie do bezobs³ugowej, sieciowej instalacji nowych systemów
• Administrowanie serwerem za pomoc¹ konsoli pod³¹czonej przez
port szeregowy
• Uruchomienie serwera dial-up
• Analiza, diagnoza i rozwi¹zywanie problemów sieciowych
Odpowiedzi na wszystkie Twoje pytania w jednym miejscu!
Spis treļci
Przedmowa .................................................................................................................. 15
1. Wprowadzenie do sieci linuksowych .........................................................................23
23
1.0. Wprowadzenie
2. Tworzenie bramy linuksowej na komputerze jednopĥytowym ................................35
35
37
39
40
41
44
46
48
49
50
51
54
55
56
2.0. Wprowadzenie
2.1. Zapoznanie z päytñ Soekris 4521
2.2. Konfigurowanie wielu profili Minicom
2.3. Instalowanie systemu Pyramid Linux na karcie Compact Flash
2.4. Sieciowa instalacja dystrybucji Pyramid z poziomu systemu Debian
2.5. Sieciowa instalacja dystrybucji Pyramid z poziomu systemu Fedora
2.6. ãadowanie systemu Pyramid Linux
2.7. Wyszukiwanie i modyfikowanie plików w dystrybucji Pyramid
2.8. Wzmacnianie dystrybucji Pyramid
2.9. Pobieranie i instalowanie najnowszej kompilacji dystrybucji Pyramid
2.10. Instalacja dodatkowych programów w dystrybucji Pyramid Linux
2.11. Instalacja sterowników nowego sprzötu
2.12. Personalizacja jñdra dystrybucji Pyramid
2.13. Aktualizacja programu comBIOS päyty Soekris
3. Budowanie linuksowej zapory firewall ......................................................................59
59
66
68
71
73
3.0. Wprowadzenie
3.1. Budowa linuksowej zapory firewall
3.2. Konfigurowanie kart sieciowych w dystrybucji Debian
3.3. Konfigurowanie kart sieciowych w dystrybucji Fedora
3.4. Identyfikacja kart sieciowych
3.5. Budowanie zapory firewall obsäugujñcej wspóädzielone äñcze internetowe
w przypadku dynamicznego przypisywania adresów IP w sieci WAN
3.6. Budowanie zapory firewall obsäugujñcej wspóädzielone äñcze internetowe
w przypadku stosowania statycznych adresów IP w sieci WAN
74
78
5
3.7. WyĈwietlanie statusu zapory firewall
3.8. Wyäñczanie zapory firewall iptables
3.9. Uruchamianie programu iptables w momencie startu systemu
oraz röczne wäñczanie i wyäñczanie zapory firewall
3.10. Testowanie zapory firewall
3.11. Konfiguracja zapory firewall w celu umoĔliwienia zdalnej administracji
przez SSH
3.12. Zezwalanie na zdalne poäñczenia SSH poprzez zaporö firewall
z mechanizmem NAT
3.13. Uzyskiwanie wielu kluczy hostów SSH spoza NAT
3.14. Uruchamianie usäug publicznych w komputerach o prywatnych adresach IP
3.15. Konfiguracja jednohostowej zapory firewall
3.16. Konfiguracja zapory firewall na serwerze
3.17. Konfiguracja rejestrowania iptables
3.18. Reguäy filtrowania ruchu wychodzñcego
80
81
82
85
88
89
91
92
94
98
101
102
4. Tworzenie linuksowego punktu dostýpowego sieci bezprzewodowej ................. 105
105
4.0. Wprowadzenie
109
4.1. Budowanie linuksowego punktu dostöpowego sieci bezprzewodowej
111
4.2. Tworzenie mostu sieci bezprzewodowej z przewodowñ
113
4.3. Konfiguracja serwera nazw
116
4.4. Konfiguracja statycznych adresów IP z wykorzystaniem serwera DHCP
118
4.5. Konfigurowanie linuksowych i windowsowych statycznych klientów DHCP
4.6. Wprowadzanie serwerów pocztowych do systemu dnsmasq
120
4.7. Wzmocnienie algorytmu WPA2-Personal niemal do poziomu WPA-Enterprise 121
4.8. Rozwiñzanie korporacyjne — uwierzytelnianie z wykorzystaniem
serwera RADIUS
4.9. Konfiguracja bezprzewodowego punktu dostöpowego
w celu wykorzystania programu FreeRADIUS
4.10. Uwierzytelnianie klientów z wykorzystaniem systemu FreeRADIUS
4.11. Nawiñzywanie poäñczenia z internetem i wykorzystanie zapory firewall
4.12. Zastosowanie routingu zamiast mostkowania
4.13. Sondowanie bezprzewodowej karty sieciowej
4.14. Zmiana nazwy hosta routera Pyramid
4.15. Wyäñczanie zróĔnicowania anten
4.16. Zarzñdzanie pamiöciñ podröcznñ DNS programu dnsmasq
4.17. Zarzñdzanie buforem podröcznym windowsowego systemu DNS
4.18. Aktualizacja czasu w momencie startu systemu
124
128
129
130
132
136
137
138
140
143
144
5. Tworzenie serwera VoIP za pomocé systemu Asterisk ........................................... 147
147
151
155
5.0. Wprowadzenie
5.1. Instalacja systemu Asterisk z kodu Ēródäowego
5.2. Instalacja systemu Asterisk w dystrybucji Debian
6
_
Spis treļci
5.3. Uruchamianie i zamykanie systemu Asterisk
5.4. Testowanie serwera Asterisk
5.5. Dodawanie nowych telefonów wewnötrznych do systemu Asterisk
i nawiñzywanie poäñczeþ
5.6. Konfiguracja telefonów programowych
5.7. Konfiguracja rzeczywistego systemu VoIP z wykorzystaniem usäugi
Free World Dialup
5.8. Podäñczanie centrali PBX Asterisk do analogowych linii telefonicznych
5.9. Tworzenie cyfrowej recepcjonistki
5.10. Rejestrowanie niestandardowych komunikatów
5.11. Definiowanie komunikatu dnia
5.12. Przekazywanie poäñczeþ
5.13. Kierowanie poäñczeþ na grupö telefonów
5.14. Parkowanie poäñczeþ
5.15. Personalizacja muzyki odtwarzanej w trakcie oczekiwania na poäñczenie
5.16. Odtwarzanie w systemie Asterisk plików dĒwiökowych MP3
5.17. Przesyäanie komunikatów za pomocñ poczty gäosowej
w trybie rozgäoszeniowym
5.18. Obsäuga konferencji z wykorzystaniem systemu Asterisk
5.19. Monitorowanie konferencji
5.20. Przesyäanie ruchu SIP przez zapory firewall z funkcjñ NAT
5.21. Przesyäanie ruchu IAX przez zapory firewall z funkcjñ NAT
5.22. Korzystanie z pakietu AsteriskNOW. System Asterisk w 30 minut
5.23. Instalowanie i usuwanie pakietów w systemie AsteriskNOW
5.24. Poäñczenia dla osób bödñcych w podróĔy oraz zdalnych uĔytkowników
156
159
160
167
169
171
174
176
179
181
181
182
183
184
185
186
187
188
190
191
193
194
6. Routing z wykorzystaniem systemu Linux ............................................................... 197
197
6.0. Wprowadzenie
200
6.1. Obliczanie podsieci za pomocñ polecenia ipcalc
202
6.2. Ustawienia domyĈlnej bramy
6.3. Konfiguracja prostego, lokalnego routera
204
6.4. Konfiguracja najprostszego sposobu wspóädzielenia poäñczenia z internetem 206
208
6.5. Konfiguracja statycznego routingu dla wielu podsieci
6.6. Definiowanie statycznych tras na staäe
210
6.7. Wykorzystanie dynamicznego routingu na bazie protokoäu RIP
w dystrybucji Debian
6.8. Wykorzystanie dynamicznego routingu protokoäu RIP w dystrybucji Fedora
6.9. Korzystanie z wiersza poleceþ pakietu Quagga
6.10. Zdalne logowanie siö do demonów Quagga
6.11. Uruchamianie demonów Quagga z wiersza poleceþ
6.12. Monitorowanie demona RIPD
6.13. Odrzucanie tras za pomocñ demona Zebra
211
214
215
217
218
220
221
Spis treļci
_
7
6.14. Wykorzystanie OSPF do skonfigurowania prostego, dynamicznego routingu 222
224
6.15. Wprowadzenie zabezpieczeþ dla protokoäów RIP i OSPF
6.16. Monitorowanie demona OSPFD
225
7. Bezpieczna, zdalna administracja z wykorzystaniem SSH ......................................227
227
230
231
7.0. Wprowadzenie
7.1. Uruchamianie i zamykanie OpenSSH
7.2. Tworzenie silnych haseä
7.3. Konfiguracja kluczy hosta w celu utworzenia najprostszego
systemu uwierzytelniania
7.4. Generowanie i kopiowanie kluczy SSH
7.5. Wykorzystanie uwierzytelniania z kluczem publicznym
do ochrony haseä systemowych
7.6. Zarzñdzanie wieloma kluczami identyfikacyjnymi
7.7. Wzmacnianie systemu OpenSSH
7.8. Zmiana hasäa
7.9. Odczytywanie odcisku klucza
7.10. Sprawdzanie skäadni plików konfiguracyjnych
7.11. Wykorzystanie plików konfiguracyjnych klienta OpenSSH
w celu äatwiejszego logowania siö
7.12. Bezpieczne tunelowanie komunikacji X Window z wykorzystaniem SSH
7.13. Uruchamianie poleceþ bez otwierania zdalnej powäoki
7.14. Wykorzystanie komentarzy do opisywania kluczy
7.15. Wykorzystanie programu DenyHosts w celu udaremnienia ataków SSH
7.16. Tworzenie skryptu startowego programu DenyHosts
7.17. Montowanie zdalnego systemu plików za pomocñ sshfs
232
234
236
237
238
239
240
240
241
242
244
245
245
248
249
8. Wykorzystanie miýdzyplatformowych zdalnych pulpitów graficznych ................ 251
251
8.0. Wprowadzenie
8.1. Nawiñzywanie poäñczeþ z Linuksa do Windowsa
za pomocñ programu rdesktop
8.2. Generowanie i zarzñdzanie kluczami SSH systemu FreeNX
8.3. Wykorzystanie FreeNX do uruchamiania Linuksa z poziomu Windowsa
8.4. Wykorzystanie FreeNX w celu uruchomienia sesji Linuksa
z poziomu systemów Solaris, Mac OS X lub Linux
8.5. Zarzñdzanie uĔytkownikami w systemie FreeNX
8.6. Obserwowanie uĔytkowników programu Nxclient z serwera FreeNX
8.7. Uruchamianie i zatrzymywanie serwera FreeNX
8.8. Konfigurowanie spersonalizowanego pulpitu
8.9. Tworzenie dodatkowych sesji programu Nxclient
8.10. Monitorowanie sesji Nxclient za pomocñ programu
NX Session Administrator
8.11. Wäñczenie wspóädzielenia plików i drukarek oraz obsäugi multimediów
w programie Nxclient
8
_
Spis treļci
253
256
256
260
262
263
264
265
267
268
269
8.12. Zapobieganie zapisywaniu haseä w programie Nxclient
8.13. Rozwiñzywanie problemów z FreeNX
8.14. Wykorzystanie VNC do zarzñdzania Windowsem z poziomu Linuksa
8.15. Korzystanie z VNC w celu jednoczesnego zarzñdzania systemami
Windows i Linux
8.16. Wykorzystanie VNC do zdalnej administracji Linux-Linux
8.17. WyĈwietlanie tego samego pulpitu Windows dla wielu
zdalnych uĔytkowników
8.18. Zmiana hasäa serwera VNC w systemie Linux
8.19. Personalizacja zdalnego pulpitu VNC
8.20. Ustawianie rozmiaru zdalnego pulpitu VNC
8.21. Nawiñzywanie poäñczenia VNC z istniejñcñ sesjñ X
8.22. Bezpieczne tunelowanie x11vnc w poäñczeniu SSH
8.23. Tunelowanie poäñczenia TightVNC pomiödzy systemami Linux i Windows
269
271
271
273
275
277
279
280
281
282
284
285
9. Tworzenie bezpiecznych miýdzyplatformowych wirtualnych sieci prywatnych
z wykorzystaniem OpenVPN ....................................................................................289
9.0. Wprowadzenie
289
292
9.1. Konfiguracja bezpiecznego laboratorium testowego dla OpenVPN
294
9.2. Uruchamianie i testowanie OpenVPN
9.3. Testowanie szyfrowania z wykorzystaniem statycznych kluczy
296
9.4. Poäñczenie zdalnego klienta linuksowego z wykorzystaniem
kluczy statycznych
9.5. Tworzenie wäasnej infrastruktury PKI na potrzeby programu OpenVPN
9.6. Konfiguracja serwera OpenVPN dla wielu klientów
9.7. Uruchamianie OpenVPN przy rozruchu systemu
9.8. Odwoäywanie certyfikatów
9.9. Konfiguracja serwera OpenVPN w trybie mostkowania
9.10. Uruchamianie OpenVPN z wykorzystaniem konta
nieuprzywilejowanego uĔytkownika
9.11. Nawiñzywanie poäñczeþ przez klienty Windows
298
300
303
305
306
307
309
310
10. Tworzenie linuksowego serwera VPN PPTP .............................................................311
311
314
315
317
318
319
322
323
324
325
326
10.0. Wprowadzenie
10.1. Instalacja serwera Poptop w dystrybucji Debian
10.2. Instalacja äatek jñdra Debiana w celu zapewnienia obsäugi protokoäu MPPE
10.3. Instalacja serwera Poptop w dystrybucji Fedora
10.4. Instalacja äatek jñdra Fedory w celu zapewnienia obsäugi protokoäu MPPE
10.5. Konfiguracja samodzielnego serwera VPN PPTP
10.6. Dodawanie serwera Poptop do usäugi Active Directory
10.7. Poäñczenia klientów linuksowych z serwerem PPTP
10.8. Poäñczenia z serwerem PPTP poprzez zaporö firewall iptables
10.9. Monitorowanie serwera PPTP
10.10. Rozwiñzywanie problemów z serwerem PPTP
Spis treļci
_
9
11. Pojedyncze logowanie z wykorzystaniem Samby
w mieszanych sieciach Linux-Windows ...................................................................329
11.0. Wprowadzenie
329
331
11.1. Sprawdzanie, czy wszystkie czöĈci sñ na miejscu
334
11.2. Kompilacja Samby z kodu Ēródäowego
11.3. Uruchamianie i zamykanie Samby
336
337
11.4. Wykorzystanie Samby w roli Podstawowego Kontrolera Domeny
341
11.5. Migracja do kontrolera PDC na bazie Samby z NT4
11.6. Doäñczanie komputera linuksowego do domeny Active Directory
343
11.7. Podäñczanie komputerów z systemami Windows 95/98/ME
do domeny zarzñdzanej przez Sambö
11.8. Podäñczanie komputerów z systemem Windows NT4
do domeny zarzñdzanej przez Sambö
11.9. Podäñczanie komputerów z systemem Windows NT/2000
do domeny zarzñdzanej przez Sambö
11.10. Podäñczanie komputerów z systemem Windows XP
do domeny zarzñdzanej przez Sambö
11.11. Podäñczanie klientów linuksowych do domeny zarzñdzanej przez Sambö
z wykorzystaniem programów wiersza poleceþ
11.12. Podäñczanie klientów linuksowych do domeny zarzñdzanej przez Sambö
z wykorzystaniem programów graficznych
347
348
349
350
351
354
12. Scentralizowane sieciowe usĥugi katalogowe z wykorzystaniem OpenLDAP .......357
357
364
366
366
369
372
374
376
377
379
12.0. Wprowadzenie
12.1. Instalacja systemu OpenLDAP w dystrybucji Debian
12.2. Instalacja systemu OpenLDAP w dystrybucji Fedora
12.3. Konfiguracja i testowanie serwera OpenLDAP
12.4. Tworzenie nowej bazy danych w dystrybucji Fedora
12.5. Wprowadzanie dodatkowych uĔytkowników do katalogu
12.6. Poprawianie wpisów w katalogu
12.7. Nawiñzywanie poäñczenia ze zdalnym serwerem OpenLDAP
12.8. Wyszukiwanie informacji w katalogu OpenLDAP
12.9. Indeksowanie bazy danych
12.10. Zarzñdzanie katalogiem z wykorzystaniem programów
z interfejsem graficznym
12.11. Konfigurowanie bazy danych Berkeley DB
12.12. Konfiguracja mechanizmu rejestrowania programu OpenLDAP
12.13. Tworzenie kopii zapasowej i odtwarzanie katalogu
12.14. Dostrajanie ustawieþ kontroli dostöpu
12.15. Zmiana haseä
380
383
387
389
390
394
10
_
Spis treļci
13. Monitorowanie sieci z wykorzystaniem systemu Nagios .......................................395
395
396
13.0. Wprowadzenie
13.1. Instalacja programu Nagios z kodu Ēródäowego
13.2. Konfigurowanie serwera Apache w celu wykorzystania go
z programem Nagios
13.3. Organizacja plików konfiguracyjnych Nagios
13.4. Konfiguracja programu Nagios w celu monitorowania hosta localhost
13.5. Konfiguracja uprawnieþ CGI w celu uzyskania peänego dostöpu
do wäasnoĈci systemu Nagios za poĈrednictwem interfejsu w przeglñdarce
13.6. Uruchamianie systemu Nagios przy starcie systemu
13.7. Definiowanie dodatkowych uĔytkowników systemu Nagios
13.8. Przyspieszanie systemu Nagios za pomocñ polecenia check_icmp
13.9. Monitorowanie SSHD
13.10. Monitorowanie serwera WWW
13.11. Monitorowanie serwera pocztowego
13.12. Wykorzystanie grup usäug do grupowania usäug powiñzanych ze sobñ
13.13. Monitorowanie usäug rozwiñzywania nazw
13.14. Konfiguracja bezpiecznego, zdalnego mechanizmu administracji
systemem Nagios z wykorzystaniem OpenSSH
13.15. Konfiguracja bezpiecznego, zdalnego mechanizmu administracji
400
403
404
412
414
415
416
417
420
423
425
426
428
systemem Nagios z wykorzystaniem OpenSSL
429
14. Monitorowanie sieci z wykorzystaniem systemu MRTG ......................................... 431
431
432
433
436
436
438
441
442
14.0. Wprowadzenie
14.1. Instalacja MRTG
14.2. Konfiguracja protokoäu SNMP w Debianie
14.3. Konfiguracja protokoäu SNMP w Fedorze
14.4. Konfiguracja usäugi HTTP do dziaäania z programem MRTG
14.5. Konfiguracja i uruchamianie programu MRTG w Debianie
14.6. Konfiguracja i uruchamianie programu MRTG w Fedorze
14.7. Monitorowanie aktywnego obciñĔenia procesora CPU
14.8. Monitorowanie wykorzystania CPU przez uĔytkowników
oraz czasu bezczynnoĈci
14.9. Monitorowanie wykorzystania fizycznej pamiöci
14.10. Monitorowanie dostöpnego miejsca w pliku wymiany
razem z pamiöciñ fizycznñ
14.11. Monitorowanie wykorzystania miejsca na dysku
14.12. Monitorowanie poäñczeþ TCP
14.13. Wyszukanie i testowanie identyfikatorów MIB i OID
14.14. Testowanie zdalnych zapytaþ SNMP
14.15. Monitorowanie zdalnych hostów
14.16. Tworzenie wielu stron skorowidza programu MRTG
14.17. Uruchomienie programu MRTG w postaci demona
445
447
448
449
451
452
454
455
456
457
Spis treļci
_
11
15. Wprowadzenie w tematyký protokoĥu IPv6 ............................................................ 461
461
466
467
468
470
471
471
472
474
15.0. Wprowadzenie
15.1. Testowanie instalacji systemu Linux pod kñtem obsäugi IPv6
15.2. Wysyäanie sygnaäów ping do lokalnych hostów IPv6
15.3. Ustawianie unikatowych lokalnych adresów interfejsów
15.4. Wykorzystanie SSH z adresami IPv6
15.5. Kopiowanie plików w sieci IPv6 z wykorzystaniem scp
15.6. Automatyczna konfiguracja z wykorzystaniem IPv6
15.7. Obliczanie adresów IPv6
15.8. Wykorzystywanie iPv6 w internecie
16. Konfiguracja bezobsĥugowego mechanizmu sieciowej instalacji
nowych systemów .....................................................................................................475
16.0. Wprowadzenie
475
16.1. Tworzenie noĈnika startowego do sieciowej instalacji dystrybucji
Fedora Linux
16.2. Instalacja dystrybucji Fedora z wykorzystaniem sieciowego
noĈnika startowego
16.3. Konfiguracja serwera instalacji dystrybucji Fedora bazujñcego na HTTP
16.4. Konfiguracja serwera instalacji dystrybucji Fedora bazujñcego na FTP
16.5. Tworzenie instalacji dystrybucji Fedora Linux dostosowanej
do wäasnych potrzeb
16.6. Wykorzystanie pliku Kickstart do automatycznej instalacji dystrybucji
Fedora systemu Linux
16.7. Sieciowa instalacja dystrybucji Fedora z wykorzystaniem Ĉrodowiska PXE
16.8. Sieciowa instalacja dystrybucji Debian
16.9. Tworzenie peänego serwera lustrzanego Debiana
za pomocñ narzödzia apt-mirror
16.10. Tworzenie czöĈciowego serwera lustrzanego Debiana
za pomocñ narzödzia apt-proxy
16.11. Konfigurowanie klienckich komputerów PC w celu wykorzystywania
lokalnego serwera lustrzanego Debiana
16.12. Konfiguracja serwera rozruchu przez sieè PXE na bazie Debiana
16.13. Instalacja nowych systemów z lokalnego serwera lustrzanego Debiana
16.14. Automatyzacja instalacji Debiana za pomocñ plików wstöpnej konfiguracji
477
478
480
482
484
486
488
490
491
493
495
496
497
498
17. Administrowanie serwerem linuksowym z wykorzystaniem konsoli
podĥéczanej przez port szeregowy ........................................................................... 501
17.0. Wprowadzenie
501
17.1. Przygotowanie serwera do administrowania za poĈrednictwem
konsoli szeregowej
503
17.2. Konfiguracja serwera w trybie headless z wykorzystaniem LILO
506
17.3. Konfiguracja serwera w trybie headless z wykorzystaniem programu GRUB 509
12
_
Spis treļci
17.4. ãadowanie systemu w trybie tekstowym w Debianie
17.5. Konfiguracja konsoli szeregowej
17.6. Konfiguracja serwera do administracji za poĈrednictwem
poäñczenia wdzwanianego
17.7. Dzwonienie do serwera
17.8. Zabezpieczenia äñczy szeregowych
17.9. Konfiguracja rejestrowania informacji
17.10. Wgrywanie plików na serwer
511
513
515
518
519
521
522
18. Uruchomienie linuksowego serwera Dial-Up ..........................................................525
525
18.0. Wprowadzenie
525
18.1. Konfiguracja pojedynczego konta Dial-Up za pomocñ programu WvDial
18.2. Konfiguracja wielu kont w programie WvDial
528
18.3. Konfiguracja uprawnieþ Dial-Up dla nieuprzywilejowanych uĔytkowników 529
530
18.4. Tworzenie kont WvDial dla uĔytkowników innych niĔ root
532
18.5. Wspóädzielenie konta internetowego Dial-Up
533
18.6. Konfiguracja wäasnoĈci dzwonienia na Ĕñdanie
18.7. Planowanie dostöpnoĈci serwera Dial-Up za pomocñ mechanizmu cron
534
18.8. Wybieranie numeru w warunkach sygnalizacji obecnoĈci wiadomoĈci
w poczcie gäosowej
18.9. Przesäanianie opcji poäñczenie oczekujñce
18.10. Ustawienia hasäa poza plikiem konfiguracyjnym
18.11. Tworzenie osobnego pliku dziennika pppd
536
536
537
538
19. Rozwiézywanie problemów z siecié ........................................................................539
539
540
543
545
547
19.0. Wprowadzenie
19.1. Tworzenie laptopa do diagnozowania sieci i napraw
19.2. Testowanie poäñczeþ za pomocñ polecenia ping
19.3. Profilowanie sieci za pomocñ poleceþ FPing i Nmap
19.4. Wyszukiwanie zdublowanych adresów IP za pomocñ polecenia arping
19.5. Testowanie przepustowoĈci i opóĒnieþ protokoäu HTTP
za pomocñ polecenia httping
19.6. Wykorzystanie poleceþ traceroute, tcptraceroute i mtr
do wykrywania problemów z sieciñ
19.7. Wykorzystanie polecenia tcpdump do przechwytywania
i analizowania ruchu
19.8. Przechwytywanie flag TCP za pomocñ polecenia tcpdump
19.9. Pomiary przepustowoĈci, parametru jitter oraz procentu
utraconych pakietów za pomocñ polecenia iperf
19.10. Wykorzystanie polecenia ngrep do zaawansowanego sniffingu pakietów
19.11. Wykorzystanie polecenia ntop do kolorowego i szybkiego
monitorowania sieci
19.12. Rozwiñzywanie problemów z serwerami DNS
549
551
553
557
559
562
564
567
Spis treļci
_
13
19.13. Rozwiñzywanie problemów z klientami DNS
19.14. Rozwiñzywanie problemów z serwerami SMTP
19.15. Rozwiñzywanie problemów z serwerami POP3, POP3s lub IMAP
19.16. Tworzenie kluczy SSL dla serwera Syslog-ng w Debianie
19.17. Tworzenie kluczy SSL dla serwera Syslog-ng w dystrybucji Fedora
19.18. Konfiguracja programu stunnel dla serwera Syslog-ng
19.19. Tworzenie serwera syslog
570
571
573
576
581
583
584
A Niezbýdne materiaĥy referencyjne ...........................................................................587
B Glosariusz pojýë dotyczécych sieci ........................................................................... 591
C Kompilacja jédra systemu Linux ............................................................................... 613
613
Kompilacja spersonalizowanego jñdra
Skorowidz .................................................................................................................. 621
14
_
Spis treļci
ROZDZIAĤ 2.
Tworzenie bramy linuksowej
na komputerze jednopĥytowym
2.0. Wprowadzenie
PoniewaĔ Linux znakomicie nadaje siö do instalowania na starym sprzöcie PC, czösto zapo-
minamy o tym, Ĕe nie zawsze jest to najlepszy sprzöt, jakim moĔna siö posäuĔyè. O ile lepiej
jest wykorzystaè stary sprzöt PC, zamiast wyrzucaè go na Ĉmietnisko, o tyle zastosowanie go
w roli routerów i zapór firewall nie jest pozbawione wad. Stare komputery PC majñ duĔe ga-
baryty, zuĔywajñ duĔo energii i sñ gäoĈne, chyba Ĕe mamy sprzöt dobrej marki, który dziaäa
bez wentylatorów. Stary sprzöt jest znacznie bardziej podatny na awarie, trzeba siö zatem za-
stanowiè nad tym, co zrobimy, jeĈli ulegnie on awarii? Nawet jeĈli uda siö znaleĒè nowe czö-
Ĉci, to czy opäaca siö je wymieniaè?
Komputery jednopäytowe (Single-board computers — SBC), podobnie jak produkty firmy Soekris
Engineering (http://www.soekris.com) oraz PC Engines (http://www.pcengines.ch/wrap.htm), do-
skonale nadajñ siö na routery, firewalle oraz punkty dostöpowe sieci bezprzewodowej. Majñ
niewielkie rozmiary, sñ ciche, zuĔywajñ maäo energii i sñ wytrzymaäe. Informacje na temat
komputerów jednopäytowych oraz innych komputerów budowanych w standardzie SFF (small
form-factor) moĔna znaleĒè w artykule Single Board Computer (SBC) Quick Reference Guide w ser-
wisie LinuxDevices.com (http://www.linuxdevices.com/articles/AT2614444132.html).
W tym rozdziale pokaĔemy, w jaki sposób moĔna zainstalowaè i skonfigurowaè system Pyra-
mid Linux (http://metrix.net/) w komputerze jednopäytowym Soekris 4521. Dostöpnych jest wie-
le kompaktowych dystrybucji przeznaczonych do instalacji na routerach i zaporach firewall.
Wiöcej informacji na ich temat, a takĔe dane dotyczñce tworzenia zapory firewall uĔywanej
na potrzeby wspóädzielenia äñcza internetowego, moĔna znaleĒè w rozdziale 3.
Pomimo niewielkich rozmiarów päyty Soekris i PC Engines sñ uniwersalne. Päyty firmy PC
Engines i inne tego typu dziaäajñ w podobny sposób, zatem informacje zaprezentowane w tym
rozdziale majñ zastosowanie do wszelkich tego typu urzñdzeþ. Wszystkie tego rodzaju päyty
okreĈla siö terminem päyty routerowe (ang. routerboards).
Wiele osób, patrzñc na specyfikacjö päyty 4521, odwraca z pogardñ gäowö. Oto ona:
x procesor gäówny 133 MHz AMD ElanSC520;
x pamiöè 64 MB SDRAM, wlutowana na päycie;
x 1 Mb BIOS/BOOT Flash;
35
x dwa porty Ethernet 10/100;
x gniazdo CompactFLASH typu I/II, pamiöè Flash 8 MB, napöd Microdrive do 4 GB;
x 1 port szeregowy DB9;
x diody LED zasilanie, aktywnoĈè, bäödy;
x gniazdo mini-PCI typu III;
x 2 gniazda PC-Card/Cardbus;
x 8-bitowe, 14-pinowe zäñcze We-Wy ogólnego przeznaczenia;
x wymiary 23,4 u14,5 cm;
x opcjonalne zasilanie 5 V z wykorzystaniem wewnötrznego zäñcza;
x obsäuga technologii zasilania przez Ethernet (Power over Ethernet);
x temperatura pracy 0 – 60°C.
Wiöcej mocy obliczeniowej majñ niskiej klasy karty graficzne. Nie wolno jednak daè siö zwieĈè
liczbom. W poäñczeniu ze specjalistycznñ wersjñ systemu Linux, BSD lub dowolnym wbudo-
wanym systemem operacyjnym te niewielkie urzñdzenia to mocne, wydajne narzödzia, które
bijñ na gäowö porównywalne (zazwyczaj zbyt drogie i ograniczone) routery komercyjne. Dziöki
nim moĔna uzyskaè peänñ kontrolö nad urzñdzeniem oraz dostosowaè je do wäasnych po-
trzeb. Nie trzeba martwiè siö takimi nonsensami, jak zakodowane „na sztywno” bäödy konfi-
guracji lub tajne „tylne wejĈcia” znane wszystkim, tylko nie uĔytkownikom. Te niewielkie
päyty sñ zdolne do obsäugi doĈè nieprzyjaznych Ĉrodowisk, a przy zastosowaniu odpowied-
niej obudowy moĔna je instalowaè na zewnñtrz.
Päyta 4521 moĔe obsäuĔyè do piöciu interfejsów sieciowych: dwa na zäñczu PCMCIA, dwa
Ethernet oraz jedno äñcze bezprzewodowe w gnieĒdzie mini-PCI. Szóstym interfejsem jest port
szeregowy. A zatem za pomocñ tej jednej niewielkiej päyty moĔna stworzyè router, zaporö
firewall i bezprzewodowy punkt dostöpowy, a takĔe stworzyè strefö DMZ. Wszystkie päyty
routerowe sñ dostöpne w róĔnych konfiguracjach.
W przypadku päyt Soekris 45xx raczej nie da siö uzyskaè przepustowoĈci wiökszych niĔ 17 Mb/s.
Päyty 48xx oraz päyty WRAP firmy PC Engines sñ wyposaĔone w mocniejsze procesory i wiö-
cej pamiöci RAM, dlatego moĔna za ich pomocñ uzyskaè szybkoĈè siögajñcñ 50 Mb/s. Jest to
szybkoĈè znacznie przewyĔszajñca moĔliwoĈci äñczy internetowych wiökszoĈci uĔytkowników.
OczywiĈcie, jeĈli ktoĈ ma szczöĈcie korzystaè z sieci Ethernet WAN lub innych superszybkich
usäug, bödzie potrzebowaä zapory firewall o znacznie wiökszej mocy. Ogólnie rzecz biorñc, päy-
ty serii 45xx skonfigurowane jako zapora firewall sñ w stanie obsäuĔyè okoäo 50 uĔytkowników,
choè oczywiĈcie wszystko zaleĔy od tego, jak bardzo uĔytkownicy eksploatujñ urzñdzenie.
Wymagany sprzýt
Oprócz samej päyty potrzebna jest karta Compact Flash lub napöd microdrive na system ope-
racyjny oraz czytnik i urzñdzenie zapisujñce na oddzielnym komputerze PC, pozwalajñce na
zainstalowanie systemu operacyjnego na karcie CF lub napödzie microdrive. Zamiast urzñ-
dzenia zapisujñcego karty CF moĔna zainstalowaè system operacyjny z serwera äadowania
PXE. Potrzebny jest równieĔ zasilacz oraz kabel szeregowy zerowy modem ze zäñczem DB9.
Obudowa jest opcjonalna.
Kilku producentów, na przykäad Metrix.net (http://metrix.net) oraz Netgate.com (http://netgate.
com/), oferuje kompletne zestawy wraz z systemem operacyjnym.
36
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
Oprogramowanie
Rozmiar systemu operacyjnego jest ograniczony pojemnoĈciñ karty CF lub napödu microdrive.
Procesor CPU i pamiöè RAM sñ wlutowane na päycie i nie mogñ byè aktualizowane, zatem
system operacyjny musi mieè niewielkie rozmiary i zapewniaè wysokñ wydajnoĈè. W tym roz-
dziale skonfigurujemy niewielkie urzñdzenie wykorzystujñce kartö CF o pojemnoĈci 64 MB,
dlatego bödzie nam potrzebny odpowiednio zuboĔony system operacyjny. Dystrybucja Pyra-
mid Linux nadaje siö do tego idealnie. Standardowy obraz systemu jest dostöpny na partycji
o objötoĈci 60 MB i zajmuje na niej okoäo 49 MB. Dystrybucja wykorzystuje standardowe pa-
kiety Ubuntu, zatem nawet w przypadku braku narzödzi do zarzñdzania pakietami i tak moĔ-
na dodawaè lub usuwaè programy.
Do czego moŜna wykorzystaë stare komputery PC?
Stare komputery PC sñ cenne jako tzw. „cienkie” klienty, sprzöt testowy oraz komputery re-
zerwowe. Warto skonfigurowaè taki komputer PC, aby byä gotowy do zastñpienia uszkodzo-
nego routera, zapory firewall lub serwera.
2.1. Zapoznanie z pĥyté Soekris 4521
Problem
Nie znacie tych niewielkich päyt i nie wiecie, od czego zaczñè? Jak siö z nimi skomunikowaè?
Co siö z nimi robi?
Rozwiézanie
To äatwe. Oto co bödzie potrzebne:
x komputer PC z systemem Linux;
x kabel szeregowy zerowy modem;
x program Minicom zainstalowany na linuksowym komputerze PC.
NaleĔy skonfigurowaè program Minicom, poäñczyè dwa komputery, wäñczyè zasilanie päyty
Soekris i to wszystko.
Oto szczegóäowe kroki, jakie naleĔy wykonaè. Po pierwsze, dowiedz siö, jakie fizyczne porty
szeregowe wystöpujñ w komputerze linuksowym:
$ setserial -g /dev/ttyS[0123]
/dev/ttyS0, UART: 16550A, Port: 0x03f8, IRQ: 4
/dev/ttyS1, UART: unknown, Port: 0x02f8, IRQ: 3
/dev/ttyS2, UART: unknown, Port: 0x03e8, IRQ: 4
/dev/ttyS3, UART: unknown, Port: 0x02e8, IRQ: 3
W tym komputerze PC jest tylko jeden taki port — ten, któremu odpowiada wartoĈè UART.
W przypadku wiökszej liczby portów trzeba metodñ prób i bäödów znaleĒè ten port, który jest
poäñczony z päytñ Soekris.
Nastöpnie naleĔy skonfigurowaè program Minicom:
2.1. Zapoznanie z pĥyté Soekris 4521
_
37
# minicom -s
------[configuration]------
| Filenames and paths
| File transfer protocols
| Serial port setup
| Modem and dialing
| Screen and keyboard
| Save setup as dfl
| Save setup as..
| Exit
| Exit from Minicom
---------------------------
Wybierz Serial port setup. Ustawienia powinny wyglñdaè podobnie jak te, które pokazano po-
niĔej. Trzeba jedynie wprowadziè wäasny adres portu szeregowego. DomyĈlne ustawienia
päyty Soekris to 19200 8N1, bez kontroli przepäywu:
-------------------------------------------
| A - Serial Device : /dev/ttyS0
| B - Lockfile Location : /var/lock
| C - Callin Program :
| D - Callout Program :
| E - Bps/Par/Bits : 19200 8N1
| F - Hardware Flow Control : No
| G - Software Flow Control : No
|
| Change which setting?
-------------------------------------------
Nastöpnie wybierz opcjö Modem and dialing i upewnij siö, Ĕe ustawienia Init string oraz Reset
string sñ puste. Na koniec wybierz opcjö Save setup as dfl, aby wprowadzona konfiguracja sta-
äa siö domyĈlnñ, po czym wybierz Exit. Wykonanie tych operacji spowoduje powrót do gäów-
nego ekranu Minicom:
Welcome to minicom 2.1
OPTIONS: History Buffer, F-key Macros, Search History Buffer, I18n
Compiled on Nov 5 2005, 15:45:44.
Press CTRL-A Z for help on special keys
Now power up the Soekris, and you ll see something like this:
comBIOS ver. 1.15 20021013 Copyright (C) 2000-2002 Soekris Engineering.
net45xx
0064 Mbyte Memory CPU 80486 133 Mhz
PXE-M00: BootManage UNDI, PXE-2.0 (build 082)
Slot Vend Dev ClassRev Cmd Stat CL LT HT Base1 Base2 Int
-------------------------------------------------------------------
0:00:0 1022 3000 06000000 0006 2280 00 00 00 00000000 00000000 00
0:16:0 168C 0013 02000001 0116 0290 10 3C 00 A0000000 00000000 10
0:17:0 104C AC51 06070000 0107 0210 10 3F 82 A0010000 020000A0 11
0:17:1 104C AC51 06070000 0107 0210 10 3F 82 A0011000 020000A0 11
0:18:0 100B 0020 02000000 0107 0290 00 3F 00 0000E101 A0012000 05
0:19:0 100B 0020 02000000 0107 0290 00 3F 00 0000E201 A0013000 09
4 Seconds to automatic boot. Press Ctrl-P for entering Monitor.
WciĈnij Crl+P, aby wejĈè do programu comBIOS:
comBIOS Monitor. Press ? for help.
38
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
Go ahead and hit ? to see the Help. You ll get a list of commands:
comBIOS Monitor Commands
boot [drive][:partition] INT19 Boot
reboot cold boot
download download a file using XMODEM
flashupdate update flash BIOS with downloaded file
time [HH:MM:SS] show or set time
date [YYYY/MM/DD] show or set date
d[b|w|d] [adr] dump memory (bytes/words/dwords)
e[b|w|d] adr value [...] enter bytes/words/dwords
i[b|w|d] port input from 8/16/32-bit port
o[b|w|d] port value output to 8/16/32-bit port
cmosread [adr] read CMOS RAM data
cmoswrite adr byte [...] write CMOS RAM data
cmoschecksum update CMOS RAM Checksum
set parameter=value set system parameter to value
show [parameter] show one or all system parameters
?/help show this help
NaleĔy ustawiè datö i godzinö. Poza tym do momentu zainstalowania systemu operacyjnego
nie ma zbyt wiele do roboty.
W przypadku braku zainstalowanej karty CF päyta CF automatycznie przejdzie do menu
comBIOS.
Dyskusja
Nie trzeba koniecznie uĔywaè maszyny linuksowej w roli szeregowego terminalu. UĔycie pro-
gramu Hyperterminal z maszyny windowsowej dziaäa tak samo dobrze. Innymi programami
uniksowymi stosowanymi do komunikacji szeregowej sñ cu, tip oraz kermit. Kermit jest zabaw-
nym, uniwersalnym programem. MoĔna za jego pomocñ zrobiè wszystko, oprócz… ciepäego
posiäku. UĔytkownicy systemu Mac OS X mogñ skorzystaè z programu Minicom, wchodzñ-
cego w skäad pakietu Darwin Ports, lub z programu ZTerm.
Patrz takŜe
Dokumentacja päyt routerowych:
x Soekris Engineering: http://www.soekris.com
x PC Engines: http://www.pcengines.ch/wrap.htm
x Artykuä Single Board Computer (SBC) Quick Reference Guide w witrynie LinuxDevices.com:
http://www.linuxdevices.com/articles/AT2614444132.html
2.2. Konfigurowanie wielu profili Minicom
Problem
Mamy laptopa skonfigurowanego jako przenoĈny terminal szeregowy oraz uniwersalne na-
rzödzie rozwiñzywania problemów z sieciñ. W zwiñzku z tym potrzebujemy wielu profili po-
äñczeþ do komunikacji z róĔnymi serwerami.
2.2. Konfigurowanie wielu profili Minicom
_
39
Rozwiézanie
Wystarczy zalogowaè siö z uprawnieniami uĔytkownika root i stworzyè nowñ konfiguracjö
Minicom w sposób identyczny do pokazanego w poprzednim scenariuszu. Nastöpnie zamiast
opcji Save as dfl naleĔy wybraè opcjö Save as… i wpisaè wybranñ nazwö, na przykäad pyramid.
Po wykonaniu tych czynnoĈci kaĔdy uĔytkownik moĔe skorzystaè z konfiguracji za pomocñ
poniĔszego polecenia:
$ minicom pyramid
Dyskusja
UĔytkownik bez uprawnieþ root nie moĔe modyfikowaè ustawieþ portu szeregowego w pro-
gramie Minicom, poza szybkoĈciñ w bitach na sekundö. Nie moĔe równieĔ zapisywaè kon-
figuracji.
Patrz takŜe
x man 1 minicom
2.3. Instalowanie systemu Pyramid Linux
na karcie Compact Flash
Problem
Zatem masz nowy komputer jednopäytowy, który wyglñda bardzo äadnie, ale nie masz pojö-
cia, jak zainstalowaè na nim system operacyjny.
Rozwiézanie
Dwie najczöĈciej stosowane metody to posäuĔenie siö urzñdzeniem do zapisu kart Compact
Flash (CF) lub rozruch systemu operacyjnego (ang. bootstrapping) za poĈrednictwem serwera
äadowania PXE. W poniĔszym scenariuszu pokazano sposób zainstalowania systemu Pyramid
Linux z wykorzystaniem pierwszej metody. Potrzebne bödñ:
x urzñdzenie do zapisywania kart Compact Flash,
x obraz dd systemu Pyramid Linux.
Najpopularniejsze urzñdzenia do zapisu kart CF podäñczane do portu USB kosztujñ poniĔej
50 zä. Jest to najprostszy z modeli moĔliwych do zastosowania. Po podäñczeniu urzñdzenia
Linux automatycznie rozpoznaje je i montuje w systemie.
Druga moĔliwoĈè to zastosowanie urzñdzenia na zäñczu IDE. ãatwo poznaè, czy takie urzñ-
dzenie jest zainstalowane w systemie, poniewaĔ zajmuje ono gniazdo IDE w systemie oraz
kieszeþ na napöd w przedniej czöĈci obudowy. Komputer z takim urzñdzeniem musi w mo-
mencie äadowania systemu mieè kartö CF wäoĔonñ do czytnika — w innym przypadku urzñ-
dzenie nie zostanie rozpoznane.
40
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
Najpierw naleĔy pobraè najnowszy obraz dd:
$ wget http://metrix.net/support/dist/pyramid-1.0b1.img.gz
Nastöpnie naleĔy odszukaè nazwö /dev karty CF za pomocñ polecenia fdisk -l. Urzñdzenie
do zapisu kart CF podäñczane przez USB wystöpuje na liĈcie w nastöpujñcej postaci:
# fdisk -l
Device Boot Start End Blocks Id System
/dev/sdb1 1 977 62512 83 Linux
Urzñdzenie do zapisu kart CF podäñczane przez IDE wystöpuje na liĈcie w nastöpujñcej postaci:
Device Boot Start End Blocks Id System
/dev/hdc1 * 1 977 62512 83 Linux
Teraz naleĔy skopiowaè obraz na kartö CF za pomocñ poleceþ pokazanych poniĔej. NaleĔy
podaè ĈcieĔkö do wäaĈciwego obrazu oraz prawidäowñ nazwö /dev. Nie naleĔy wprowadzaè
Ĕadnych numerów partycji:
# gunzip -c pyramid-1.0b1.img.gz | dd of=/dev/sdb bs=16k
3908+0 records in
3908+0 records out
To wszystko! Teraz moĔna siö zajñè päytñ routerowñ.
Dyskusja
Zastosowanie procedury wymaga wykorzystania äadowalnego obrazu systemu operacyjnego.
Nie wystarczy skopiowanie plików na kartö Flash, poniewaĔ potrzebny jest sektor rozrucho-
wy (ang. boot sector). Polecenie dd realizuje kopiowanie bajt po bajcie, wäñcznie z sektorem roz-
ruchowym, czego wiökszoĈè pozostaäych poleceþ kopiowania nie robi. Twórcy dystrybucji
Pyramid celowo udostöpniajñ peäny obraz dysku. Dziöki temu instalacja systemu jest prosta.
Patrz takŜe
x strona macierzysta dystrybucji Pyramid Linux: http://pyramid.metrix.net/
2.4. Sieciowa instalacja dystrybucji Pyramid
z poziomu systemu Debian
Problem
Niektórzy decydujñ siö na instalacjö systemu Pyramid Linux za poĈrednictwem mechanizmu
PXE, poniewaĔ majñ do zainstalowania system na kilku päytach routerowych albo dysponujñ
wbudowanñ, niewymiennñ kartñ Compact Flash lub po prostu wolñ to robiè w taki sposób.
Na serwerze instalacji wykorzystywanym w tym przykäadzie dziaäa system Debian.
Rozwiézanie
Nie ma problemu. MoĔna zrobiè coĈ takiego, poniewaĔ päyty Soekris (a takĔe PC Engines
oraz wszystkie inne päyty podobnego typu) obsäugujñ äadowanie systemu przez sieè. ChociaĔ
2.4. Sieciowa instalacja dystrybucji Pyramid z poziomu systemu Debian
_
41
usäugi HTTP, TFTP i DHCP wykorzystane w tej recepturze mogñ byè zainstalowane na róĔ-
nych maszynach, w przykäadzie zaprezentowanym w tym rozdziale zaäoĔono, Ĕe wszystkie
one sñ zainstalowane na jednym komputerze PC. Do tego celu nadaje siö dowolny komputer
PC (na przykäad stacja robocza, specjalny laptop administratora sieci itp.).
Najpierw naleĔy pobraè najnowszy obraz dd lub archiwum tarball dystrybucji Pyramid spod
adresu http://metrix.net/support/dist/ do wybranego katalogu:
$ wget http://metrix.net/support/dist/pyramid-1.0b1.img.gz
Nastöpnie naleĔy zainstalowaè poniĔsze usäugi:
x DHCPD,
x TFTP,
x HTTP,
x Subversion.
Nie jest potrzebny rozbudowany serwer HTTP, taki jak Apache. Do zastosowaþ podobnych
do tych, które omawiamy w tym podrozdziale, wystarczy serwer Lighttpd. Serwery naleĔy za-
instalowaè za pomocñ nastöpujñcego polecenia:
# apt-get install lighttpd lighttpd-doc tftpd-hpa dhcp3-server subversion
Nastöpnie naleĔy utworzyè plik /etc/dhcp3/dhcpd.conf o nastöpujñcej zawartoĈci:
##/etc/dhcp3/dhcpd.conf
subnet 192.168.200.0 netmask 255.255.255.0 {
range 192.168.200.100 192.168.200.200;
allow booting;
allow bootp;
next-server 192.168.200.1;
filename PXE/pxelinux.0 ;
max-lease-time 60;
default-lease-time 60;
}
Opcja next-server oznacza adres IP serwera äadowania. Musi to byè adres 192.168.200.1.
Nastöpnie naleĔy skonfigurowaè demona tftpd poprzez modyfikacjö pliku /etc/default/tftpd-hpa,
tak by przyjñä nastöpujñcñ postaè:
##/etc/default/tftpd-hpa
RUN_DAEMON= yes
OPTIONS= -a 192.168.200.1:69 -l -s -vv /var/lib/tftpboot/
Zmieniamy katalog roboczy na /var/lib/tftpboot i pobieramy Ĉrodowisko PXE z repozytorium
Subversion firmy Metrix:
root@xena:/var/lib/tftpboot # svn export http://pyramid.metrix.net/svn/PXE
Pobierane archiwum ma objötoĈè okoäo 45 MB.
Nastöpnie wewnñtrz gäównego katalogu dokumentów httpd — /var/www tworzymy dowiñza-
nie symboliczne do archiwum tarball z dystrybucjñ Pyramid lub pobranego obrazu i nadaje-
my mu nazwö os:
root@xena:/var/www # ln -s /home/carla/downloads/pyramid-1.0b2.tar.gz os
Czasowo zmieniamy adres IP serwera instalacji za pomocñ nastöpujñcego polecenia:
# ifconfig eth0 192.168.200.1 netmask 255.255.255.0 broadcast 192.168.200.255
42
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
Teraz uruchamiamy wszystkie potrzebne usäugi:
# cd /etc/init.d
# dhcp3-server start lighttpd start tftpd-hpa start
Instalujemy kartö CF, podäñczamy kabel szeregowy i kabel Ethernet do päyty Soekris i urucha-
miamy program Minicom. To, czy coĈ jest juĔ zainstalowane na karcie CF, nie ma znaczenia:
wäñcz zasilanie päyty i wejdĒ do programu comBIOS poprzez wciĈniöcie Ctrl-P w momencie,
kiedy wyĈwietli siö pytanie. Nastöpnie wprowadĒ polecenia boot F0:
comBIOS Monitor. Press ? for help.
boot F0
WyĈwietli siö komunikat o przydzielonym adresie przez serwer DHCP, krótki komunikat usäu-
gi TFTP, a nastöpnie pojawi siö menu instalacyjne:
Choose from one of the following:
1. Start the automated Pyramid Linux install process via dd image file
2. Start the automated Pyramid Linux install process via fdisk and tarball
3. Boot the Pyramid Linux kernel with a shell prompt
4. Boot the Pebble Linux install process
5. Boot the Pebble Linux kernel with a shell
6. Install the latest snapshot
NaleĔy wybraè opcjö 1. lub 2., w zaleĔnoĈci od tego, co pobraliĈmy (obraz dd czy archiwum
tarball). Teraz moĔna wyjĈè na przyjemny spacer. Po mniej wiöcej 10 minutach bödziemy mie-
li ĈwieĔñ instalacjö dystrybucji Pyramid, gotowñ do wykorzystania.
Na koniec naleĔy odtworzyè adres IP serwera za pomocñ polecenia ifupdown:
# ifdown eth0
# ifup eth0
Dyskusja
Dobrym sposobem wykonania opisanej strategii jest umieszczenie wszystkich potrzebnych
elementów na specjalnym laptopie administratora sieci. Zaletñ takiego rozwiñzania jest mo-
bilnoĈè i moĔliwoĈè äatwego odseparowania od innych serwerów w sieci. W szczególnoĈci
naleĔy uwaĔaè na konflikty z serwerami DHCP zainstalowanymi w sieci. Aby zainstalowaè
system na päycie routerowej, wystarczy poäñczyè jñ z laptopem za pomocñ kabla Ethernet
z przeplotem oraz kabla zerowego modemu.
W przypadku uĔycia do tego celu komputera PC podäñczonego do sieci LAN naleĔy odpo-
wiednio skonfigurowaè serwery HTTP, DHCP i TFTP, tak aby nie uruchamiaäy siö automa-
tycznie przy starcie (dotyczy to zwäaszcza serwera DHCP).
NaleĔy zwróciè szczególnñ uwagö na ĈcieĔki dostöpu do plików — to jedno z czöstszych Ēró-
deä bäödów.
Na wypadek problemów trzeba pamiötaè, aby mieè pod rökñ urzñdzenie do zapisu kart CF.
Na przykäad, jeĈli na karcie CF jest juĔ zainstalowany inny system operacyjny niĔ Linux, trze-
ba röcznie wyzerowaè gäówny rekord rozruchowy (Master Boot Record — MBR). W takim przy-
padku naleĔy zamontowaè kartö w urzñdzeniu do zapisu CF, a nastöpnie usunñè rekord MBR
za pomocñ polecenia dd. W tym przykäadzie kartö Flash reprezentuje urzñdzenie /dev/hdc:
# dd if=/dev/zero of=/dev/hdc bs=512 count=1
Informacje na temat lokalizacji gäównego katalogu dokumentacji serwera moĔna znaleĒè w pli-
ku konfiguracyjnym serwera HTTP. W przypadku serwera Apache katalog ten ustawia siö za
pomocñ dyrektywy DocumentRoot. W domyĈlnej instalacji plik z tym ustawieniem znajduje
2.4. Sieciowa instalacja dystrybucji Pyramid z poziomu systemu Debian
_
43
siö w nastöpujñcej lokalizacji: /etc/apache2/sites-available/default. W systemie Lighttpd naleĔy od-
szukaè dyrektywö server.document-root w pliku /etc/lighttpd/lighttpd.conf.
Po skopiowaniu pliku obrazu lub archiwum tarball z systemem Pyramid do gäównego katalo-
gu dokumentów HTTP naleĔy sprawdziè, czy znajduje siö on we wäaĈciwej lokalizacji. W tym
celu naleĔy w przeglñdarce wejĈè na stronö http://192.168.200.1/os. Przeglñdarka spróbuje po-
braè plik i go wyĈwietliè, co bödzie wyglñdaäo jak niezrozumiaäy zbiór binarnych Ĉmieci.
Patrz takŜe
x strona macierzysta dystrybucji Pyramid Linux: http://pyramid.metrix.net/
x man 8 tftpd
x man 8 dhcpd
x /usr/share/doc/lighttpd-doc/
2.5. Sieciowa instalacja dystrybucji Pyramid
z poziomu systemu Fedora
Problem
Chcemy zainstalowaè system Pyramid Linux za poĈrednictwem mechanizmu PXE, poniewaĔ
mamy do zainstalowania system na kilku päytach routerowych albo dysponujemy wbudowa-
nñ, niewymiennñ kartñ Compact Flash lub po prostu wolimy to robiè w taki sposób. Na ser-
werze instalacji wykorzystywanym w tym przykäadzie dziaäa dystrybucja Fedora.
Rozwiézanie
Nie ma problemu. MoĔna zrobiè coĈ takiego, poniewaĔ päyty Soekris (a takĔe PC Engines
oraz wszystkie inne päyty podobnego typu) obsäugujñ äadowanie systemu przez sieè. ChociaĔ
usäugi HTTP, TFTP i DHCP wykorzystane w tej strategii mogñ byè zainstalowane na róĔnych
maszynach, w przykäadzie zaprezentowanym w tym rozdziale zaäoĔono, Ĕe wszystkie one sñ
zainstalowane na jednym komputerze PC.
Najpierw naleĔy pobraè najnowszy obraz dd lub archiwum tarball dystrybucji Pyramid spod
adresu http://metrix.net/support/dist/ do wybranego katalogu:
$ wget http://metrix.net/support/dist/pyramid-1.0b1.img.gz
Nastöpnie naleĔy zainstalowaè poniĔsze usäugi:
x DHCPD,
x TFTP,
x HTTP,
x Subversion.
Nie jest potrzebny rozbudowany serwer HTTP taki jak Apache. Do zastosowaþ podobnych
do tych, które omawiamy w tej recepturze, wystarczy serwer Lighttpd. Potrzebne pakiety na-
leĔy zainstalowaè za pomocñ nastöpujñcego polecenia:
44
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
# yum install dhcp lighttpd tftp-server subversion
Nastöpnie naleĔy utworzyè plik /etc/dhcpd.conf o nastöpujñcej zawartoĈci:
# dhcpd.conf
subnet 192.168.200.0 netmask 255.255.255.0 {
range 192.168.200.100 192.168.200.200;
allow booting;
allow bootp;
next-server 192.168.200.1;
filename PXE/pxelinux.0 ;
max-lease-time 60;
default-lease-time 60;
}
Opcja next-server oznacza adres IP serwera äadowania. Musi to byè adres 192.168.200.1.
NaleĔy skonfigurowaè serwer TFTP. W tym celu wystarczy zmodyfikowaè dwie linijki w pli-
ku /etc/xinetd.d/tftp. Trzeba siö upewniè, czy majñ one nastöpujñcñ zawartoĈè:
disable = no
server_args = -svv /tftpboot -a 192.168.200.1:69
Nastöpnie zmieniamy katalog roboczy na /tftpboot i pobieramy Ĉrodowisko PXE z repozyto-
rium Subversion firmy Metrix:
root@penguina:/tftpboot # svn export http://pyramid.metrix.net/svn/PXE
Pobierane archiwum ma objötoĈè okoäo 45 MB.
Wewnñtrz gäównego katalogu dokumentów httpd — /srv/www/lighttpd/ tworzymy dowiñza-
nie symboliczne do archiwum tarball z dystrybucjñ Pyramid lub pobranego obrazu i nadaje-
my mu nazwö os:
root@xena:/srv/www/lighttpd# ln -s /home/carla/downloads/pyramid-1.0b2.tar.gz os
Teraz uruchamiamy wszystkie potrzebne usäugi:
# cd /etc/init.d/
# xinetd start lighttpd start dhcpd start
Na koniec podäñczamy kabel szeregowy i kabel Ethernet do päyty Soekris i uruchamiamy pro-
gram Minicom. Karta CF musi byè zainstalowana. Nie ma znaczenia, jeĈli jest juĔ na niej za-
instalowana dystrybucja systemu Linux. Wäñczamy zasilanie päyty routerowej i wchodzimy
do programu comBIOS. Wprowadzamy polecenie boot F0:
comBIOS Monitor. Press ? for help.
boot F0
WyĈwietli siö komunikat o przydzielonym adresie przez serwer DHCP, krótki komunikat
usäugi TFTP, a nastöpnie pojawi siö menu instalacyjne:
Choose from one of the following:
1. Start the automated Pyramid Linux install process via dd image file
2. Start the automated Pyramid Linux install process via fdisk and tarball
3. Boot the Pyramid Linux kernel with a shell prompt
4. Boot the Pebble Linux install process
5. Boot the Pebble Linux kernel with a shell
6. Install the latest snapshot
NaleĔy wybraè opcjö 1. lub 2., w zaleĔnoĈci od tego, co pobraliĈmy (obraz dd czy archiwum
tarball). Teraz moĔna wyjĈè na przyjemny spacer. Po kilku minutach bödziemy mieli ĈwieĔñ
instalacjö dystrybucji Pyramid, gotowñ do wykorzystania.
2.5. Sieciowa instalacja dystrybucji Pyramid z poziomu systemu Fedora
_
45
Dyskusja
Na wypadek problemów trzeba pamiötaè, aby mieè pod rökñ urzñdzenie do zapisu kart CF.
JeĈli na przykäad na karcie CF jest juĔ zainstalowany inny system operacyjny niĔ Linux, trze-
ba röcznie wyzerowaè gäówny rekord rozruchowy (Master Boot Record — MBR). W tym celu
naleĔy wykorzystaè urzñdzenie zapisujñce karty CF do zamontowania karty w komputerze
PC, a nastöpnie usunñè rekord MBR za pomocñ polecenia dd. W tym przykäadzie kartö Flash
reprezentuje urzñdzenie /dev/hdc:
# dd if=/dev/zero of=/dev/hdc bs=512 count=1
Nazwö /dev karty CF moĔna uzyskaè za pomocñ polecenia fdisk -L.
Za pomocñ polecenia pokazanego poniĔej moĔna sprawdziè, czy demon xinetd zarzñdza ser-
werem Lighttpd i nasäuchuje w porcie UDP 69:
# netstat -untap | grep xinetd
udp 0 0 0.0.0.:69 0.0.0.0.* 4214/xinetd
Wiöcej informacji na temat konfiguracji, adresów IP oraz weryfikacji, czy wszystko dziaäa po-
prawnie, moĔna znaleĒè w punkcie „Dyskusja” w poprzedniej recepturze.
Patrz takŜe
x strona macierzysta dystrybucji Pyramid Linux: http://pyramid.metrix.net/
x /usr/share/doc/lighttpd
x man 8 tftpd
x man 8 dhcpd
2.6. Ĥadowanie systemu Pyramid Linux
Problem
OK. Do tej pory wszystko przebiega bez przeszkód — pomyĈlnie zainstalowaliĈmy system
Pyramid Linux na karcie Compact Flash i podäñczyliĈmy jñ na päycie Soekris. W jaki sposób
zalogowaè siö do systemu Pyramid i rozpoczñè pracö?
Rozwiézanie
W tym momencie mamy do dyspozycji trzy sposoby komunikacji z päytñ Soekris: äñcze szere-
gowe, Ethernet oraz przeglñdarkö WWW. DomyĈlny uĔytkownik to root z hasäem root. Urucha-
miamy päytö przy podäñczonym terminalu szeregowym i uruchomionym programie Minicom.
WyĈwietli siö estetyczny ekran startowy GRUB:
GNU GRUB version 0.95 (639K lower / 64512K upper memory)
+---------------------------------------------------------------+
| Metrix |
| Shell |
| |
| |
| |
| |
46
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
| |
| |
+---------------------------------------------------------------+
Use the ^ and v keys to select which entry is highlighted.
Press enter to boot the selected OS, e to edit the
commands before booting, or c for a command-line.
DomyĈlny profil äadowanego systemu to Metrix, czyli Pyramid Linux. Profil Shell säuĔy do
rozwiñzywania problemów z systemem plików — jego wybór powoduje bezpoĈrednie przej-
Ĉcie do powäoki Bash bez montowania systemu plików, uruchamiania usäug czy teĔ äadowa-
nia sterowników sieciowych.
Na päycie 4521 eth0 oznacza port Ethernet znajdujñcy siö bezpoĈrednio z lewej strony portu
szeregowego. DomyĈlny adres IP portu eth0 dla dystrybucji Pyramid to 192.168.1.1 (jeĈli ten
adres jest nieodpowiedni w okreĈlonym schemacie adresacji przyjötym w sieci LAN, moĔna
go bez trudu zmieniè za pomocñ programu Minicom).
Protokóä SSH jest domyĈlnie wäñczony, zatem moĔna siö zalogowaè za poĈrednictwem SSH:
$ ssh root@192.168.1.1
Spróbujmy uruchomiè przeglñdarkö internetowñ na dowolnym komputerze PC podäñczonym
do sieci i przejĈè pod adres 192.168.1.1. Powinien siö wyĈwietliè ekran powitalny.
Dyskusja
Czösto pojawiajñcym siö zadaniem wymagajñcym zaäadowania powäoki Bash jest uruchomie-
nie programu do sprawdzania systemu plików. PoniĔsze polecenie wäñcza opisowe komuni-
katy i odpowiada yes na wszystkie pytania:
# bash-3.00# /sbin/e2fsck -vy /dev/hda1
MoĔna bezpiecznie uruchomiè takie polecenie. Podczas dziaäania zostanñ naprawione wszyst-
kie wykryte problemy z systemem plików. Polecenie to naleĔy uruchomiè w przypadku, kiedy
podczas rozruchu systemu wyĈwietli siö nastöpujñcy komunikat: EXT2-fs warning: mounting
unchecked fs, running e2fsck is recommended lub gdy wyĈwietli siö ostrzeĔenie informujñce o nie-
poprawnym zamkniöciu systemu plików.
Interfejs w przeglñdarce WWW zapewnia ograniczony zestaw funkcji. Aby uzyskaè peänñ kon-
trolö, trzeba skorzystaè z interfejsu w wierszu polecenia. Ekran logowania w przeglñdarce
WWW pokazano na rysunku 2.1.
Po zaäadowaniu systemu niczym nie róĔni siö on od prostej instalacji dystrybucji Ubuntu Li-
nux. Sñ te same pliki konfiguracyjne i skrypty startowe.
Dystrybucjö Pyramid mogñ äatwo modyfikowaè osoby bez przygotowania programistyczne-
go, poniewaĔ bez trudu moĔna w niej zainstalowaè pakiety z dystrybucji Ubuntu. DomyĈlna
dystrybucja Pyramid odznacza siö niewielkimi rozmiarami, dlatego nie zawiera ona Ĕadnych
narzödzi do zarzñdzania pakietami wystöpujñcymi w dystrybucji Ubuntu: nie ma programów
apt, apt-get ani nawet dpkg. Sposoby instalacji programów bez uĔycia tych narzödzi omówio-
no w punkcie 2.10.
Patrz takŜe
x strona macierzysta dystrybucji Pyramid Linux: http://pyramid.metrix.net/
2.6. Ĥadowanie systemu Pyramid Linux
_
47
Rysunek 2.1. Panel administracyjny systemu Pyramid Linux w przeglñdarce WWW
2.7. Wyszukiwanie i modyfikowanie plików
w dystrybucji Pyramid
Problem
Graficzny interfejs przeglñdarki internetowej nie gwarantuje wszystkiego, co chcielibyĈmy
zrobiè, lub po prostu wolimy samodzielnie modyfikowaè tekstowe pliki konfiguracyjne. Czy
moĔna bezpoĈrednio modyfikowaè pliki w dystrybucji Pyramid? W jaki sposób wyszukiwaè
pliki bez wygodnych narzödzi do wyszukiwania pakietów?
Rozwiézanie
Pyramid to po prostu zuboĔona wersja dystrybucji Ubuntu Linux. JeĈli ktoĈ potrafi posäugi-
waè siö systemami Ubuntu lub Debian (dystrybucja Ubuntu jest pochodnñ Debiana), nie po-
winien mieè problemów z poruszaniem siö po dystrybucji Pyramid.
Dystrybucja Pyramid dziaäa w caäoĈci w pamiöci RAM. System plików jest montowany w try-
bie tylko do odczytu. Dziöki temu karta Flash jest zabezpieczona przed modyfikowaniem,
a jej wydajnoĈè wzrasta. W celu zamontowania systemu plików do odczytu i zapisu po to,
aby moĔna byäo wprowadziè modyfikacje, naleĔy uruchomiè nastöpujñce polecenie:
pyramid:~# /sbin/rw
Po wprowadzeniu zmian naleĔy ponownie zamontowaè system w trybie tylko do odczytu:
pyramid:~# /sbin/ro
48
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
W dystrybucji Pyramid nie mamy do dyspozycji standardowych dla Ubuntu narzödzi zarzñ-
dzania pakietami, takimi jak dpkg, apt-cache, apt-get, Adept lub Synaptic. Jak moĔna cokolwiek
znaleĒè? Wystarczy skorzystaè z bödñcego w pogotowiu przestarzaäego polecenia find, za
pomocñ którego moĔna przeglñdaè caäy system plików root w poszukiwaniu pliku o nazwie
iptunnel.
pyramid:~# find / -name iptunnel
/sbin/iptunnel
JeĈli ktoĈ nie pamiöta dokäadnej nazwy pliku, moĔe skorzystaè z wyszukiwania z wykorzy-
staniem symboli wieloznacznych:
pyramid:~# find / -name iptun*
/sbin/iptunnel
pyramid:~# find / -name *ptunn*
/sbin/iptunnel
Wyszukiwanie moĔna zainicjowaè z dowolnego katalogu, na przykäad: find / sbin -name
pppd. Aby wyszukiwaè w bieĔñcym katalogu, naleĔy uĔyè kropki:
# find . -name foo-config
Dyskusja
Chciaäabym uspokoiè czytelników, których przestraszyäa perspektywa koniecznoĈci uĔywa-
nia polecenia find znanego z wolnego dziaäania — nie ma siö czym przejmowaè, jeĈli jest do
przeszukania mniej niĔ 50 MB, wszystkie operacje wyszukiwania dziaäajñ szybko.
Patrz takŜe
x man 1 find
2.8. Wzmacnianie dystrybucji Pyramid
Problem
Chcemy, aby päyta routerowa byäa tak bezpieczna, jak to tylko moĔliwe. Co moĔna zrobiè, aby
jñ zabezpieczyè tak dobrze, jak siö da?
Rozwiézanie
Przede wszystkim trzeba zmieniè hasäo uĔytkownika root na mniej oczywiste niĔ root —
hasäo domyĈlne. W tym celu naleĔy skorzystaè z nastöpujñcych poleceþ:
pyramid:~# /sbin/rw
pyramid:~# passwd
Nastöpnie dodamy nieuprzywilejowanego uĔytkownika do zdalnych poäñczeþ za poĈrednic-
twem SSH:
pyramid:~# useradd -m alrac
pyramid:~# passwd alrac
Trzeba teĔ ustawiè bit setuid polecenia su tak, aby zwykli uĔytkownicy mogli zmieniaè upraw-
nienia na uĔytkownika root, za pomocñ polecenia su:
pyramid:~# chmod +s /bin/su
2.8. Wzmacnianie dystrybucji Pyramid
_
49
Nastöpnie wzmacniamy program OpenSSH: wyäñczamy moĔliwoĈè logowania siö przez SSH
z uprawnieniami root i konfigurujemy uwierzytelnianie dla architektury klucza publicznego.
Informacje na temat sposobu wykonania tych czynnoĈci zamieszczono w rozdziale 7.
Wyäñczamy niepotrzebne usäugi i interfejsy sieciowe. JeĈli nie mamy zamiaru uĔywaè inter-
fejsu w przeglñdarce internetowej lub logowaè siö przez SSH, wyäñczamy je. SSH wyäñcza siö
poprzez zmianö komendy startowej na polecenie kill w nastöpujñcy sposób:
pyramid:/etc/rc2.d# mv S20ssh K20ssh
Aby wyäñczyè interfejs GUI w przeglñdarce, naleĔy ujñè w komentarz poniĔszy wiersz w pli-
ku /etc/inittab:
# Lighttpd (with FastCGI, SSL and PHP)
HT:23:respawn:/sbin/lighttpd -f /etc/lighttpd.conf -m /lib -D /dev/null 2 1
NaleĔy zwracaè szczególnñ uwagö na bezpieczeþstwo aplikacji. PoniewaĔ mamy do czynienia
z urzñdzeniem o wielu poäñczeniach z sieciñ (ang. multihomed device), powinniĈmy tak skon-
figurowaè aplikacje, aby wykorzystywaäy tylko te interfejsy, które sñ potrzebne, i pozwalaäy
na dostöp wyäñcznie uprawnionym uĔytkownikom. NaleĔy pamiötaè o zachowaniu porzñd-
ku w kontach uĔytkowników i nie pozostawiaè kont, które nie sñ uĔywane. NaleĔy pamiötaè
o wykorzystaniu dobrych, silnych haseä. NaleĔy zapisaè je na papierze i przechowywaè w bez-
piecznym miejscu.
NaleĔy korzystaè z polecenia Netstat (lokalnie) oraz Nmap (zdalnie), aby wyĈwietliè listö usäug
nasäuchujñcych na portach oraz aby przekonaè siö, co widaè z zewnñtrz.
Po zakoþczeniu modyfikowania systemu nie wolno zapomnieè o uruchomieniu polecenia
/sbin/ro, aby przywróciè tryb tylko do odczytu systemu plików.
Dyskusja
To prawda. To sñ te same, typowe czynnoĈci dla kaĔdej dystrybucji Linuksa. Trzeba jednak
przyznaè, Ĕe siö sprawdzajñ.
Patrz takŜe
x aby siö dowiedzieè czegoĈ wiöcej na temat zarzñdzania usäugami, warto przeczytaè roz-
dziaä 7. „Uruchamianie i zamykanie systemu Linux” ksiñĔki autorstwa Carli Schroder
Linux. Receptury (Helion, 2005)
x rozdziaä 8. „Zarzñdzanie uĔytkownikami i grupami” z ksiñĔki Linux. Receptury
x rozdziaä 17. „Dostöp zdalny” z ksiñĔki Linux. Receptury
2.9. Pobieranie i instalowanie najnowszej kompilacji
dystrybucji Pyramid
Problem
Zamiast oficjalnego, stabilnego wydania dystrybucji Pyramid chcemy wypróbowaè najnow-
szñ kompilacjö z repozytorium Subversion firmy Metrix. Sñ w niej interesujñce funkcje lub
chcemy uczestniczyè w projekcie poprzez testowanie nowych wydaþ.
50
_
Rozdziaĥ 2. Tworzenie bramy linuksowej na komputerze jednopĥytowym
Rozwiézanie
Do tego celu potrzebny jest serwer instalacji Ĉrodowiska PXE. Za pomocñ skryptu pyramid-
-export.sh dostöpnego pod adresem http://pyramid.metrix.net/trac/wiki/GettingPyramid pobiera-
my najnowszñ wersjö w postaci archiwum tarball. Nastöpnie kopiujemy archiwum tarball do
gäównego katalogu dokumentów serwera WWW i uruchamiamy procedurö instalacji Ĉrodo-
wiska PXE w standardowy sposób.
Dyskusja
Archiwum wersji beta ma okoäo 100 MB objötoĈci, a serwer Subversion moĔe byè wolny, dla-
tego nie naleĔy siö niecierpliwiè.
Patrz takŜe
x punkt 2.4
x punkt 2.5
x strona macierzysta dystrybucji Pyramid Linux: http://pyramid.metrix.net/
2.10. Instalacja dodatkowych programów
w dystrybucji Pyramid Linux
Problem
W dystrybucji Pyramid nie ma wszystkiego, czego byĈmy sobie Ĕyczyli. W jaki sposób moĔ-
na zainstalowaè dodatkowe oprogramowanie? Pyramid jest pozbawiony standardowych
w Ubuntu narzödzi zarzñdzania pakietami. W rzeczywistoĈci jest pozbawiony jakichkolwiek
narzödzi zarzñdzania pakietami. W zwiñzku z tym niektórzy mogñ byè nieco zagubieni.
Rozwiézanie
Proces jest doĈè zäoĔony, ale moĔna sobie poradziè. MoĔna dodawaè aplikacje uĔytkownika,
moduäy jñdra, a nawet zainstalowaè wäasne jñdro. Do przeprowadzenia operacji potrzebna jest
dystrybucja Ubuntu liveCD i komputer PC. Nie trzeba instalowaè systemu na dysku twardym.
Wystarczy zaäadowaè jñ w dowolnym komputerze PC, a nastöpnie skopiowaè dowolne po-
trzebne pliki. Pamiötam, Ĕe w punkcie 2.8 radziäam wyäñczenie moĔliwoĈci logowania z upraw-
nieniami root za poĈrednictwem SSH. Teraz jednak trzeba ponownie wäñczyè tö funkcjö, po-
niewaĔ dystrybucja Ubuntu liveCD jest pozbawiona serwera SSH.
ZaäóĔmy, Ĕe chcemy zainstalowaè program Fortune. Program Fortune wyĈwietla losowñ wróĔ-
bö przy kaĔdym uruchomieniu, na przykäad:
$ fortune
You will gain money by a fattening action.
Dla programu Fortune dostöpnych jest szereg róĔnych baz danych wróĔb. Z äatwoĈciñ teĔ moĔ-
na tworzyè wäasne wróĔby. Wykorzystanie programu Fortune to doskonaäy sposób wyĈwie-
tlania innego „hasäa dnia” za kaĔdym razem, kiedy uĔytkownik loguje siö do systemu.
2.10. Instalacja dodatkowych programów w dystrybucji Pyramid Linux
_
51
Najpierw naleĔy zaäadowaè system z päyty liveCD systemu Ubuntu. Nastöpnie za pomocñ
polecenia dpkg sprawdzamy, jakie pakiety bödñ potrzebne:
ubuntu@ubuntu:~$ dpkg -l| grep fortune
ii fortune-mod 1.99.1-3 provides fortune cookies on demand
ii fortunes-min 1.99.1-3 Data files containing fortune cookies
Trzeba siö dowiedzieè, jakie pliki znajdujñ siö w pakietach programu Fortune:
ubuntu@ubuntu:~$ dpkg -L fortune-mod
/.
/usr
/usr/games
/usr/games/fortune
/usr/bin
/usr/bin/strfile
/usr/bin/unstr
/usr/share
/usr/share/man
/usr/share/m
Pobierz darmowy fragment (pdf)