SZAKDOLGOZAT. Komjáthi Szabolcs

Átírás

1 SZAKDOLGOZAT Komjáthi Szabolcs Debrecen 2013

2 Debreceni Egyetem Informatikai Kar EGY KÖZÉPVÁLLALAT ÚJ INFORMATIKAI RENDSZERÉNEK TERVEZÉSE, ÁLTALÁNOS BEMUTATÁSA Témavezető: Dr. Várterész Magda egyetemi docens Készítette: Komjáthi Szabolcs Gazdasági informatikus (Bsc) Debrecen

3 Köszönetnyilvánítás Köszönöm Dr. Várterész Magda témavezetőmnek a szakdolgozat során adott hasznos ötleteit és jó tanácsait. Köszönöm a végig kitartó türelmet és segítséget. 3

4 Plágium Nyilatkozat Szakdolgozat készítésére vonatkozó szabályok betartásáról nyilatkozat Alulírott Komjáthi Szabolcs (Neptunkód: Z3P2YW) jelen nyilatkozat aláírásával kijelentem, hogy az EGY KÖZÉPVÁLLALAT ÚJ INFORMATIKAI RENDSZERNEK TERVEZÉSE, ÁLTALÁNOS BEMUTATÁSA című szakdolgozat/diplomamunka (a továbbiakban: dolgozat) önálló munkám, a dolgozat készítése során betartottam a szerzői jogról szóló évi LXXVI. tv. szabályait, valamint az egyetem által előírt, a dolgozat készítésére vonatkozó szabályokat, különösen a hivatkozások és idézések tekintetében. Kijelentem továbbá, hogy a dolgozat készítése során az önálló munka kitétel tekintetében a konzulenst, illetve a feladatot kiadó oktatót nem tévesztettem meg. Kijelentem, hogy az elektronikusan feltöltött és a papír alapú dokumentum mindenben megegyezik. (TVSZ 24. (8). alapján) Jelen nyilatkozat aláírásával tudomásul veszem, hogy amennyiben bizonyítható, hogy a dolgozatot nem magam készítettem vagy a dolgozattal kapcsolatban szerzői jogsértés ténye merül fel, a Debreceni Egyetem megtagadja a dolgozat befogadását és ellenem fegyelmi eljárást indíthat. A dolgozat befogadásának megtagadása és a fegyelmi eljárás indítása nem érinti a szerzői jogsértés miatti egyéb (polgári jogi, szabálysértési jogi, büntetőjogi) jogkövetkezményeket. Debrecen, hallgató 4

5 Tartalomjegyzék 1. Bevezetés A szakdolgozat célja, témaválasztás A vállalkozás bemutatása Környezet és rendszer architektúra bemutatása A hálózat bemutatása IP cím kiosztás Eszközök beszerzése Asztali számítógépek Notebook Szerverek Printerek Hálózati eszközök Operációs rendszer a szervereken Unix Linux Linux disztribúciók CentOS Kernel A shell Fájlrendszer Felhasználók és jogosultságok Operációs rendszer Telepítés lépései Fájlrendszer létrehozása Logical Volume Manager LVM RAID létrehozás Hálózat konfigurálása Felhasználók és csoportok létrehozása Kiszolgálók konfigurálása Samba fájl szerver A konfiguráció menete FTP szerver FTP szerver konfiguráció Proxy szerver Squid CUPS szerver Továbbfejlesztési lehetőségek Összefoglalás Melléklet Ábrák jegyzéke Irodalomjegyzék

6 1. Bevezetés 1.1. A szakdolgozat célja, témaválasztás A szakdolgozatom egy fiktív kisvállalkozás informatikai rendszerét írja le. Az áttekintés során kiemelt hangsúlyt kapnak a hálózat és az operációs rendszer szintű különböző szolgáltatások. Régóta érdeklődöm a Unix operációs rendszerek és megoldásaik iránt augusztusa óta az IT-Services Hungary debreceni telephelyén mint Linux rendszeradminisztrátor dolgozok, ezért esett a választás a szerverek operációs rendszerét tekintve a Linux-ra. A munkám során lehetőségem nyílt megismerkedni a nagyvállalatoknál is használt informatikai megoldásokkal, technológiákkal (hálózat, storage, OS, virtualizáció, clustering). Ezeket a tapasztalatokat ültettem át kis- és középvállalati környezetbe, ahol a rendelkezésre álló erőforrások eléggé korlátozottak. Az ehhez hasonló fejlesztési leírással prezentálhatjuk a megrendelőnek, hogyan is fog működni a tervezett új rendszer. 6

7 1.2. A vállalkozás bemutatása A VEGA-KOM egy 1992-ben alakult 100%-ban magyar kézben lévő, gyorsan fejlődő vállalkozás. Megalakulását követően a vállalkozás fő profilja a nemzetközi áruszállítás lett. A tulajdonos azért döntött e mellett a tevékenységi kör mellett, mert maga is évekig dolgozott ezen a területen. A cég jelenlegi telephelye Hajdúböszörményben található. A VEGA-KOM az évek során rohamosan fejlődött. Bővítette céges profilját és tehergépkocsik karosszéria elemeinek gyártásába kezdett. Most új telephelyet létesít Debrecenben és Budapesten. Az új telephelynek köszönhetően bővülhet a céges profil, új kamionszerviz is helyet kap majd Budapesten. Az új tevékenységi kör új bevételi forrást is jelent. A tulajdonosok úgy gondolják, hogy a bővítés szükséges, és jó befektetésnek ígérkezik. Egy teljesen új informatikai rendszer épül ki (új hálózat, új hardware eszközökkel és szolgáltatásokkal). Az Oracle adatbázisok, vállalatirányítási rendszer és weboldalak migrációját egy külsős cég fogja menedzselni. Az adatbázisrendszereket, a levelezőrendszer és a webes szolgáltatásokat kiszolgáló szervereket fel kell készíteni a rendelkezésre álló hivatalos dokumentációk és ajánlások alapján. Ezekhez a cég saját eszközöket biztosít. A tervezéshez hozzá tartozik még a hálózati eszközök (switchek és routerek), szerverek (firewall, FTP, proxy, DHCP, DNS, syslog, Oracle adatbázis szerver) és kapcsolódó szolgáltatások konfigurálása. A debreceni telephelyen 2 irodában fog folyni a munka. Főként bel- és külföldi szállítmányozással foglalkoznak majd a munkavállalók. A budapesti székhelyen egy további irodában fog hasonló tevékenység folyni. Emellett helyet kap még további két iroda, a gyárcsarnok, szerviz és a szükséges infrastruktúra, mindez saját őrzött telephelyen. Az új rendszerben több mint 70 végpont lesz megtalálható. A tervezés során figyelembe kell venni a cég hierarchikus felépítését, szem előtt tartva a biztonsági, jogosultsági, felkészültségi szempontokat. Logikai csoportosításra is szükség van. A cég által alkalmazott sokféle munkakörben dolgozó embereket három fő logikai csoportba lehet sorolni. Az első csoportba azok a munkavállalók tartoznak, akik a cég áruszállítási profiljának problémamentes működésért felelősek. A szállítmányozási osztály dolgozói speditőrök és asszisztensek. A fuvarszervezők főbb feladatai: 7

8 teljes körű fuvarszervezés, rakományok kezelése, feladatok kiosztása, nyomon követése, aktív kommunikáció a partnerekkel és sofőrökkel. Az asszisztensek segítik a speditőrök mindennapi munkáját az adminisztráció területén. Az itt dolgozók, az SAP vállalatirányítási rendszeren kívül jellemzően a TimoCom Truck&Cargo ( programot használják, havi átalánydíj fejében. Európában több mint regisztrált felhasználója van, 44 országból, naponta körülbelül ajánlat közül válogathatnak az online rendszerben. A fuvar- és raktérbörzéhez hozzáférést biztosító szoftver lehetővé teszi, hogy a fuvarszervezők hatékonyan végezhessék a munkájukat, fuvarokat vásároljanak és adjanak el. Az 1) ábrán láthatunk egy részletet a programból. Ezen a felületen kiterjesztett kereséseket hajthatunk végre az adattáblákon. A TC Truck&Cargo ingyenesen tartalmazza a következőket: TC Profile online európai fuvarjegyzék TC emap integrált térképszoftver 1) ábra 8

9 Az következő a HR (emberi erőforrás) és pénzügy osztály, ahol az ügyvivő szakértők és a pénzügyi szakemberek végzik munkájukat. Pénzügyi szakemberek feladatai: kassza, készpénzállomány és banki folyószámlák ellenőrzése bejövő és kimenő számlák kezelése, napi operatív megbízások teljesítése nyilvántartások és riportok készítése bérszámfejtés kapcsolattartás cégen belüli munkatársakkal és külsős munkavállalókkal HR asszisztensek főbb feladatai: pályázati anyagok, projektek készítése szoros együttműködés a többi csoporttal, illetve kollegákkal közösségi programok, tréninge szervezése toborzás és kiválasztási folyamat szervezése és lebonyolítása, interjúztatás Az osztály dolgozói többnyire felhasználói szinten ismerik és használják számítógépüket és az általuk használt programokat. Ilyenek például: MS Office, számlázás szoftver, nyilvántartási rendszer. Az alkalmazottak a cég titkos adatait és személyes adatokat is feldolgoznak munkájuk elvégzése során. Ezeknek az adatoknak és dokumentumoknak a mentése egy külön, megosztott fájlrendszerre történik. Ennek megvalósításáról még később olvashatunk. Az utolsó logikai egység a cégen belül a gyári részleg, az itt munkavállalók: műszaki megrendelés ügyintézők, raktárosok, üzletkötők és asszisztenseik, műszakvezetők, gyári munkások, karbantartók. A megrendelésekért, az ügyintézők és a raktárosok felelősek, menedzselik és nyomon követik a megrendelési folyamat egészét: pontos nyilvántartást vezetnek a felhasznált alapanyagokról és készletekről, állandó kapcsolatban állnak a beszállítókkal, késztermékek nyilvántartása, leltárt készítenek. Az üzletkötők főbb feladatai közé tartozik: új megállapodások és szerződések létrejöttének megvalósítása kapcsolattartás és teremtés az ügyfelekkel 9

10 A beszerzésért és készletekért felelős munkatársak egy integrált vállalatirányítási rendszert (SAP ) és adatbázisokat (Oracle) használnak az eszközök nyilvántartására. Az alkalmazások és egyéb vállalatirányítási rendszerek bemutatása nem része a dolgozatnak. Ezeken az egységeken kívül érdemes még külön csoportba sorolni és kiemelni a rendszergazda feladatait és kötelességeit, aki az operációs rendszerek mindennapi működését biztosítja, a rendszerek monitorozásért felelős, felhasználói jogosultságokat kezel, folyamatokat optimalizál, hardvereszközöket és hálózatot általánosan karbantartja. Ezeket figyelembe véve, a felhasználókat a következő logikai csoportokra oszthatjuk: 1) transport (szállítmányozás) 2) production (gyártás) 3) human_resources (HR) 4) application (külsős alkalmazás adminisztrátorok) 5) database (külsős adatbázis adminisztrátorok) 6) administrators (rendszergazdák) 7) manager (vezetők) 2. Környezet és rendszer architektúra bemutatása A debreceni telephely irodáiban, ahol a cég három szervezeti egységében dolgozó munkavállalók (Transzport, Rendszergazdák, HR) kapnak majd helyet, akiknek a munkája számítógéphez kötött. A három logikai egység dolgozói teljesen elkülönülnek majd fizikailag is. Így javul az alkalmazottak hozzáállása és munkamorálja, elősegítve az effektívebb munkavégzést. A Transzport részleg rendelkezik egy budapesti irodával is. A debrecenihez hasonlóan, a már meglévő egységek mellett, külön irodában kap helyet a Gyártás, ahol a beszerzés és egyéb adminisztrációs munkák folynak a termeléssel kapcsolatban. A 2)-4) ábrákon láthatjuk a megvalósításra váró telephelyek, debreceni telephely, a budapesti irodaház, valamint 10

11 gyárcsarnok és szerviz illusztrációját. A gyárépületben és a szervizben csak néhány asztali számítógép és printer lesz, ezek az üzemi feladatok működéséhez szükségesek. A szerverszoba helyiségének megválasztása során fontos, hogy külvilágtól elzárt, nehezen megközelíthető legyen, így csökken a fizikai támadások esetleges veszélye. Mivel a végpontok viszonylag közel fognak elhelyezkedni egymáshoz képest (maximum 50 méter), így a helyi hálózatok kiépítése viszonylag könnyű feladatnak fog bizonyulni. Az új beruházással egyidejűleg a meglévő, elavultnak mondható információs technológiai eszközöket is fejleszteni fogják, illetve cseréjükre kerül majd sor. A cserélendő körbe tartoznak személyi számítógépek, notebookok, perifériák, szerverek, hálózati eszközök és nem utolsó sorban olyan irodatechnikai berendezések, mint a nyomtatók és a fénymásolók. A teljes hálózat újra lesz építve és konfigurálva. Az új megoldásokkal biztosítva lesz a későbbi fejlesztés lehetősége is. A tervek elkészítése előtt össze kell gyűjteni minden szükséges és rendelkezésre álló információt az új rendszerrel kapcsolatos elvárásokról. Hány felhasználó fogja ezeket használni? Milyen biztonsági szempontokat kell figyelembe venni? Kik férhetnek hozzá kritikus adatokhoz? Milyen protokollokat használjunk? Mik az ügyfél igények és elvárások? A hardvereszközök beszerzése során készített listából pontos adatokat nyerünk, hány végpont lesz a rendszerben. Ebbe beletartozik az összes számítógép, nyomtató és szerver. Elengedhetetlen, hogy megfelelő erőforrás álljon rendelkezésre, a már produktívan is használt rendszerben. A tervezés alatt érdemes szem előtt tartani, a későbbi fejlesztés lehetőségeit. Minden igényt, felelőst és szabályt az Informatikai Biztonsági Szabályzatban kell rögzíteni. Debrecenben három irodában fog folyni a munka. Ebből két irodában dolgozók a transport_office_users felhasználói csoportba tartoznak, a maradék egy irodában HR adminisztrátorok, human_resources. A szerverszoba mellett, külön irodában kap helyet a rendszergazda (administrators) csoport. A vezetőknek (head_of_company csoport) saját irodájuk lesz. 11

12 2) ábra 3) ábra 12

13 A budapesti alkalmazottak a következő felhasználói csoportokba tartoznak: transport, production, human_resources, administrators, manager. A csoportok fizikai elrendezését a 3) ábra illusztrálja. A gyár és szerviz tervét a következő képen láthatjuk. 4) ábra 13

14 2.1. A hálózat bemutatása A két telephely közötti kommunikációt az új számítógépes hálózat fogja biztosítani. A tervezés első lépése a szükséges információk összegyűjtése lesz. A telephelyek számára az internet hozzáférést tetszőlegesen választott ISP (Internet Service Provider) fogja biztosítani. Több hazai szolgáltatónál lehetőségünk van szimmetrikus DSL (SHDSL) szolgáltatást vásárolni. Ennek a szolgáltatásnak az a lényege, hogy azonos fel- és letöltési sebességet biztosít. 5) ábra. Telephelyek hálózati topológiája 14

15 Előnye hogy nincs szükség drága bérelt vonalra, gyors, az adatbiztonság sokkal nagyobb, mint a hagyományos technológiák esetén. A telephelyeknek saját, fix IP-címük lesz. Havi általány díj fejében vehetjük igénybe ezt a szolgáltatást. A díj a szolgáltató és a vásárolt minőség függvényében változik, körülbelül Ft/hó/telephely. A két telephely közötti kapcsolatot egy-egy router biztosítja, ezek között épül fel az VPN csatorna. A VPN-nek (virtuális magánhálózat) köszönhetően áthidalhatjuk a földrajzi távolságok nyújtotta nehézségeket. Az adatok bármikor, bárhonnan rendelkezésünkre állnak. A kommunikáció biztosnágát az IPsec (RFC 2401, 2402, 2406) garantálja. A végpontok közötti összeköttetést SA-nak (Security Association), biztonsági kapcsolatnak nevezünk. Minden kapcsolathoz egy biztonsági azonosítót rendelünk. Szállítási módban az IP-fejrész szállítja az autentikációhoz szükséges biztonsági információkat, SA-azonosítókat. A két router minden, nem a szomszédos hálózatba menő forgalmat NAT-olna. A NAT (Network Address Translation, RFC 3022) protokoll működése szerint, a nyilvános és belső hálózat határán elhelyezett NAT-doboz hálózati címfordítást végez. A belső hálózaton belül az összes végpontnak egyedi címe lesz. A címfordítás az ISP által biztosított IP cím és a belső hálózat végpontjainak IP címe között zajlik. A 6) ábrán láthatjuk, hogy a /24 belső hálózatból érkező csomagok, a hálózatot elhagyva, címfordítás után forrás címeként jelennek meg. Jelen esetben a címfordítást a router végzi. A /24 és a /24 hálózatok között zajló kommunikáció, az útválasztók között felépített IPSEC VPN csatornán keresztül megy végbe. Ezt illusztrálja az 5) és 6) ábra. Biztonsági szempontból fontos, hogy a belső hálózatokat és az internetet logikailag elkülönítsük. Ezért telephelyenként létrehozunk egy-egy DMZ-t (Demilitarizált zóna). Mindkét telephelyen a router egy harmadik interface-n (egy interface a DSL, egy a LAN), DMZ-be kerül a proxy szerver, egy harmadik, kicsi alhálózatba. Fontos, hogy biztosítva legyen a szükséges szolgáltatások elérése a belső hálózaton kívülről is. A szűréseket és hozzáféréseket a proxy szervereken és az útválasztókon kell definiálni, ezek a következők: LAN > WAN: minden engedve, kivéve a 80 és 443 cél portra menő forgalom, ezt a kettőt átirányítjuk a proxyra. 15

16 WAN > LAN: minden tiltva, kivéve a kialakult és válaszkapcsolatok. Az FTP, mely a cél NAT-ba a kerülne, a 20-as és 21-es portokon a belső hálózat FTP szerver IP címére. LAN > DMZ: csak a proxy szerver portja engedélyezett, minden más tiltva van. DMZ > LAN: csak a proxy forgalma engedélyezve. DMZ > WAN: kifelé minden forgalom mehet. WAN > DMZ: csak a válaszkapcsolat engedélyezve, más tiltva. 6) ábra Budapest - LAN topológia A routeren ezeket acl-ek definiálásával állíthatjuk be. A kapcsolókkal (switch) virtuális helyi hálózatokat hozunk létre. A virtuális helyi hálózatok (VLAN) olyan szegmentációs szolgáltatást nyújtanak, amelyet hagyományos LAN hálózatban egyébként fizikai eszközök. A logikai csoportosításnak köszönhetően, nem kell ragaszkodnunk a fizikai elrendezéshez, így a vállalat felépítésének és összetételének megfelelően alakíthatjuk ki ezeket a hálózatokat. 16

17 2.2. IP cím kiosztás Debrecen Felhasználók VLAN név IPv4 subnet Kiosztható címek Broadcast cím VLAN ID Administrators VLAN_ / Production VLAN_ / Transport VLAN_ / HR VLAN_ / Manager VLAN_ / Budapest Felhasználók VLAN név IPv4 subnet Kiosztható címek Broadcast cím VLAN ID Administrators VLAN_ / Production VLAN_ / Transport VLAN_ / HR VLAN_ / Manager VLAN_ / Eszközök beszerzése Akármilyen hardver eszközről legyen szó, érdemes ismert és széles körben elterjedt márkát választani. Ennek fő oka a kis valószínűséggel fellépő kompatibilitási gondok, mind a hardvereket, mind a szoftvereket tekintve. Az esetleges meghibásodások esetén könnyen hozzájuthatunk pótalkatrészekhez, találhatunk szervizt vagy technikust. Az alkalmazás oldalt tekintve, fontos hogy az új szoftverek integrálhatóak legyenek a már meglévő rendszerünkbe Asztali számítógépek Személyi számítógépek esetén nem érdemes forintnál többet áldozni rá, mert 4-5 év múlva szinte teljesen elavulttá fog válni. Ugyan ez igaz a többi eszközre is. Adózási, és elszámolási szempontból a PC-k a 33 százalékos norma alá besorolt tárgyi eszközök közé tartoznak, így beszerzési áruk két év alatt százalékban számolható el. Nagy-, és kisvállalatok számára egyaránt nagyon jó, és költséghatékony választás lehet a Fujitsu Esprimo E510 típusú személyi számítógép. Kiváló minőséget nyújtanak, kifejezetten irodai alkalmazásokra optimalizálva. A megrendelés során teljesen testre szabhatjuk és optimalizálhatjuk, a felhasználó -, és az alkalmazások hardverigényei szerint. Az összeállított 17

18 konfiguráció árát tekintve, nagyon kedvező, bármelyik vállalkozást, legyen az kis vagy közép, tekintve. Kevesebb, mint bruttó forint. A költségek számításánál ne felejtsük el a szükséges licensz köteles szoftverek árát. Ilyen a MS Office Professional Plus Ezt érdemes mennyiségi licenceként megvásárolni, így sokkal kedvezőbben juthatunk hozzá a szervezeti szempontokat szem előtt tartó testre szabott programokhoz, mintha gépenként vásárolnánk meg a programcsomagot. Egy másik megoldást jelenthet az ingyenesen beszerezhető és letölthető Apache OpenOffice szoftvercsomag. A Microsoft termékek elterjedtebbek. Bár a két programcsomag elég hasonló, mégis kompatibilitási gondok merülhetnek fel, ha egy MS Word dokumentumot szeretnénk olvasni, OpenOffice programmal. Ezek figyelembe vételével érdemes eldöntenünk, hogy melyiket választjuk. Ennek függvényében érdemes eldöntenünk, hogy melyiket választjuk. Az összeállított konfiguráció főbb technikai jellemzői: Gyártó: Fujitsu Modell: Esprimo E400 E85+ Processzor: Intel G GHz Alaplap: Intel B75 Memória: 2GB Merevlemez: 500 GB 7) ábra 18

19 3.2. Notebook A fuvarszervezők és üzletkötők számára kiemelten fontos a kapcsolattartás mind a kollegákkal, mind pedig az ügyfelekkel. A folyamatos rendelkezésre állás és mobilitás érdekében ők. A folyamatos rendelkezésre állás és mobilitás érdekében, ők nem asztalai számítógépeket fognak kapni az eszközök cseréje alkalmával, hanem laptopokat. Fizetendő összeg notebookonként kevesebb, mint bruttó forint. Főbb technikai jellemzők: Gyártó: Dell Modell: Inspiron 5520 Processzor: Intel Core i3 Memória: 4GB Merevlemez: 500GB Kijelző méret: 15.6 HD LED 8) ábra 19

20 3.3. Szerverek A szerverek alaptípusának megválasztásakor a Fujitsu Primergy TX150 S7-re esett a választás. Széles körben elterjedt márka, nem kell aggódni az esetleges kompatibilitási problémák és szerviz hiánya miatt. Természetesen a különböző szolgáltatásokat nyújtó szerverek konfigurációja eltér, minden rendszer összeállításakor figyelembe kell venni a futó szolgáltatások és alkalmazások erőforrásigényét. (Például az adatbázis szervereknek nagyobb memória és CPU igényei vannak, míg az NFS és FTP szervereknél fontos a lokális diszkek száma és mérete is.) A beszerzési ára körülbelül bruttó forint. A szerver főbb technikai jellemzői: Gyártó: Fujitsu Modell: Primergy TX150 S7 Processzor: Quad-Core X GHz Memória: 4GB Merevlemez: 500GB 9) ábra 3.4. Printerek A nyomtatók beszerzése előtt mindenképp fel kell mérni az egyes szervezeti egységek igényeit és elvárásait. Minden nyomtató elérhető lesz hálózaton keresztül is, a nyomtatni kívánt feladatokat a print szerver fogja kezelni. Mindkét irodaházban egy-egy nagyteljesítményű, központi Canon nyomtató szolgálja ki a dolgozókat. Áruk, darabonként nettó forint, 10) ábra. Főbb technikai jellemzői: Gyártó: Modell: Üzemi sebesség: Kihasználtság: Canon imagerunner ADVANCE C2220i 20 lap/perc oldal havonta 20

21 10) ábra 11) ábra Az egyes irodákba egy-egy kisebb teljesítményű nyomtató is lesz telepítve, 11) ábra. Ezek szintén képesek hálózati kommunikációra. Beszerzési áruk Ft, bruttó. Főbb jellemzői: Gyártó: Modell: Üzeni sebesség: Kihasználtság: HP HP Officejet Pro X476dw oldal/perc oldal havonta 3.5. Hálózati eszközök Passzív eszközök A fali csatlakozók és vezetékek az irodaépületek építése során kerülnek bekötésre. Telephelyenként egy-egy 2x24 portos patch panel és az abból szétágazó FTP (Foiled Twisted Pair) kábelek fogják biztosítani a fizikai kapcsolatot a végpontok számára. Category 6 (ANSI/TIA-568-B.2-1) kábelt használunk. Az egyes hálózati eszközöket a megfelelő tárolóban, rack szekrényben kell elhelyezni. 21

22 12) ábra 13) ábra Technikai jellemzők: Kábel: FTP CAT6 10 Gbit/sec Patchpanel: Equip Pro CAT6 24 x RJ45 port (árnyékolt) ISO/IEC Aktív eszközök Switchek A layer 3-as switchek Cisco WS-C3550 típusúak. (48 portos POE-s típus 10/100MB, körülbelül 500$). Telephelyenként egy-egy szükséges. Ezek biztosítanák a VLAN-ok közti route-okat és a különböző csoportok hálózatai között a szűrést. 14) ábra 22

23 Routerek A két telephelyen Cisco RV180 VPN típusú eszközöket telepítenek. Ezek kifejezetten telephelyek közötti VPN kapcsolat kiépítésre szolgálnak. Nagyon megbízható és jól konfigurálható eszköz. Ára megközelítőleg Ft. Főbb jellemzői a következők: Gyártó: Modell: Portok: Cisco RV180 4 db Gigabit Mbps LAN és 1 db Gigabit Mbps WAN 15) ábra 4. Operációs rendszer a szervereken 4.1. Unix A Unix operációs rendszer fejlesztése 1968-ban indult a MULTICS (MULTIplexed Information Computing System) projekt keretein belül. Számtalan új módszert vezettek be a kutatás keretein belül. Ilyen volt például a multitasking, a fájlkezelés. Magát a Unix rendszert 1969-ben, Ken Thompson, Dennis Ritchie és az AT&T kutatói fejlesztették, mely fejlesztés során sok ötletet átvettek a MULTICS-ból ban átírták a rendszert C programozási nyelven, így kiküszöbölve a korábban használt nyelv, az assembler, hátrányát és hiányosságait. A C egyik legnagyobb előnye a korábban használttal szemben, hogy az általánosított parancsoknak köszönhetően, lényegében közvetlenül hozzáfér az operációsrendszer a hardvereszközökhöz. Korábban minden számítógépre külön kellett megírni a rendszert, az eszköz saját gépi kódján. Így viszont elegendő volt egyszer megírni, és egy C fordító segítségével aztán minden gépen le lehetett fordítani. Kezdetben a Unix kutatási szoftver volt, a nagyobb egyetemek ingyenesen kapták meg. Az egyik ilyen egyetem volt a Berkely. Később, 1975-ben, ki is adta saját verzióját, 23

24 a BSD-t (Berkely Software Distribution). Több verzió is megjelent: az AT&T verziója a későbbi System V, BSD 4.3, a Microsoft PC-s verziója a Xenix. A rendszer gyors fejlődése maga után vonta a szabványosítást. Két versengő szabvány alakult ki, az egyik az AT&T verziójára, a másik a BSD-re épült Linux Talán a legismertebb és legelterjedtebb Unix-like operációs rendszer, amit a legtöbben használnak mind az otthoni, mind pedig az üzleti felhasználását tekintve, a Linux. A Linux fejlesztése egy egyetemi projekt keretén belül indult és Linus Torvalds nevéhez köthető. A program fejlesztése Minix alatt történt, ez egy korábbi PC-s Unix, melyet Andrew Tanenbaum írt és az internetnek köszönhetően sok diákhoz el is jutott. A cél az volt, hogy egy hatékony Unix rendszert hozzon létre, Minix felhasználók számára. Az operációs rendszert kezdetben assembly nyelven fejlesztette, később tért át a C nyelvre, így a fejlesztés lényegesen gyorsabbá vált. Megjelenésekor igazán nagy áttörést jelentett, hiszen az akkoriban használatos rendszerek nem valósítottak meg valódi multitaskingot. Igaz, egyszerre több folyamatot is kezelni tudtak a rendszeren egyszerre csak egy felhasználó tudott bejelentkezni és dolgozni. A megoldást a fejlesztés során használt Intel alapú személyi számítógép i386 processzor védett módjának megjelenése és ezt követően a terminálok bevezetése jelentette Linux disztribúciók A nyílt forráskódnak köszönhetően nagyon sok fejlesztő dolgozott, dolgozik a rendszer tökéletesítésen. Ezért nagy sok változata, disztribúciója jött létre az évek során a Linuxnak. Néhány ezek közül: Red Hat Linux CentOS Debian GNU/Linux opensuse Slackware Knoppix 24

25 Red Hat Enterprise Linux A Red Hat Linux nagyon népszerű disztribúció volt, egészen a kétezres évek elejéig. Ekkor befejeződött a fejlesztése, helyét a vállalati ügyfeleknek szánt Red Hat Enterprise Linux vette át. Népszerűségét az RPM csomagkezelőnek és a könnyű telepíthetőségének köszönhette. Slackware Az egyik legrégebbi Linux disztribúció, a kezdetektől jelen van és az egyik legjobbnak tartott ban tették közé az első verziót. Készítése során ügyeltek arra, hogy Unix kompatibilis legyen, amennyire csak lehetséges. Elsődleges fejlesztési iránya az Intel platform volt. SuSE A céget 1992-ben alapították Németországban, két évvel később jelent meg az első (Slackware alapú) verzió. A fejlesztők korai verziókból hiányoltak egy jó csomagtelepítő és konfiguráló eszközt, így került sor a YaST (Yet another Setup Tool) fejlesztésére, ez határozta meg a disztribúció egyediségét. Könnyen kezelhető grafikus felülettel rendelkezett, az operációs rendszer installálása alatt és után könnyen testre szabhattuk a rendszert. A Novell 2004-ben vásárolta meg a céget. Létrehozták az OpenSuSE projektet, így elérhetővé váltak a fejlesztési változatok. Határozottan állíthatjuk, hogy a Linux az egyik leggyorsabban fejlődő operációs rendszer. Rengeteg helyen alkalmazzák, kezdve a beágyazott eszközöktől, okos telefonokon át, szerverekig bezárólag mindenhol. Egyik legfontosabb tulajdonsága, hogy nyílt forráskódú. A rendszermag a GNU General Public Licence (GPL) alá tartozik. A forráskód szabadon hozzáférhető, és személyre szabható, saját gépünk erőforrásait figyelembe véve. 5. CentOS A rendszer tervezése során, a szerverek operációs rendszerét tekintve a választás a CentOS 6.4-es verziójára esett. A telepítéshez szükséges ISO állomány ingyenesen letölthető a CentOS hivatalos weboldaláról. A CentOS rendszert lényegében a Red Hat Enterprise Linux forráskódja alapján fejlesztették. Ezt az operációs rendszer kifejezetten nagyvállalatok számára készült, szem előtt tartva a megbízhatóságot és a folyamatos rendelkezésre állást. Így a rendszer,,kistestvére igazán jó választásnak tűnik. 25

26 5.1. Kernel Az operációs rendszer legfontosabb és legbonyolultabb része. Kezeli a rendszer hardver elemeit, kapcsolatot tart és vezérel. Egyfajta összeköttetést biztosít a hardver és a szoftver között. Kernel feladatai: 16) ábra rendszer inicializálása hardveres erőforrások felismerése, rendszerindítás folyamatok időzítése: egy folyamat mikor induljon el és mikor fejeződjön be memória kezelése: memória felosztás a futó folyamatok között biztonság: jogosultságkezelés standard hálózati protokollok és fájlrendszer formátumok implementálása ideiglenes tárakat biztosít, így gyorsabban érhetjük el a hardware eszközöket 26

27 5.2. A shell A parancsértelmező (burok, héj, shell), olyan futtatható program, ami a rendszer számára a többivel egyenrangú, a felhasználók számára mégis fontos jelentőséggel bír. Neve arra utal, hogy egyfajta burokként öleli körül az operációs rendszer egyik alkotó részét, a rendszermagot, azaz a kernelt. Sororientált felületet biztosít a felhasználó és az operációs rendszer között, így érhetjük el a kernel szolgáltatásait. A parancssorba gépelt parancsokat a shell értelmezi, és mint utasítást továbbítja az operációs rendszernek. A shell fontosabb feladatai: parancsok elindítása, kezelése, felügyelete. A shell egyfajta nyelvként is felfogható ez a rendszerrel egyfajta magasabb kommunikációs szintet valósít meg. Lényegében kétirányú kommunikáció jön létre, melynek során mindkét partner egyenrangú. A shell lehetőséget biztosít, hogy a felhasználó kifejezetten rugalmasan kezelje a rendszert. Ráadásul a shell segítségével megvalósíthatunk feladat automatizálást is. Ahogyan az emberek is különböző nyelveket használnak a kommunikáció során, úgy az operációs rendszer is különböző shell típusokat ismer és megválaszthatjuk, hogy melyiket szeretnénk használni: sh vagy Bourne Shell: az eredeti shell, amint Unix és Unix-like rendszerek használtak jelenlegi Linux disztribúciókon sh program név alatt található meg, és legtöbbször nem külön programként, hanem szimbolikus linkként, amely a rendszeren található bash-re mutat, ez emulálja a bourne shellt. bash vagy Bourne Again SHell: standrad GNU shell. Rugalmas és könnyen kezelhető. Általában ezt ajánlják kezdő felhasználóknak, de ugyanakkor nagyon sok lehetőséget biztosít a tapasztalt és professzionális felhasználóknak. Linux rendszerekben ez az alap shell a közönséges felhasználóknak. A kompatibilitás szempontjából Bourne és Korn héjat követi, és a legtöbb ezekre írt szkript lefut módosítás nélkül a Bash-en is. 27

28 5.3. Fájlrendszer Egy egyszerű és elfogadott definíció Unix fájlrendszerekről, ami igaz a Linux rendszerekre is: Egy Unix rendszeren minden fájl, ha valami nem az, akkor folyamat. Ezeken a rendszereken igazából nincs értelme különbséget tenni könyvtárak és fájlok között, hiszen vannak olyan speciális fájlok melyek többek, mint például egy egyszerű szöveges állomány, Fájl típusok: a legtöbb fájlt normális fájlnak nevezzük, ezek valamilyen adatot tartalmaznak, szövegeset vagy végrehajthatót. Ezért az egyszerűség kedvéért mindent fájlnak nevezünk, ez általánosan elfogadott. A könyvtárak lényegében konténerként is felfoghatóak, további fájlokat tartalmaznak. Könyvtárak: fájlok melyek további fájlokat tartalmaznak. Eszköz fájl: Az eszközökre kétféle fájl mutathat, a karakter és blokk (character device, block device) eszközöket jellemző fájlok. Ilyenek a konzol, /dev/console (ez karakter eszköz) illetve a merevlemez valamelyik partíciója /dev/hda1 (ez blokk eszköz). Linkek: ez egyszerűen azt jelenti, hogy egy fájl vagy könyvtárnak kettő vagy több nevet adunk, így több helyen megjelenik a fájlrendszer struktúrában, kényelmesebben dolgozhatunk. (Domain) sockets: speciális fájl, hasonló a TCP/IP sockethez, alkalmazások között kommunikációt segíti elé, az üzenet elérjen a célba. pipe fájlok: másnévem FIFO (First In, First Out), lényegében a bitek sorrendjéért felelős a folyamatok kommunikációja során. A fájlrendszert a könyvtárakba szervezett fájlok alkotják. Ezek a könyvtárak egymással relációban, hierarchikus alárendelt viszonyban állnak. A fájlok és könyvtárak egymáshoz való viszonyát, elrendezését szokás fastruktúrának is nevezni, melyben a fa gyökere alkotja a legfelső szintet, ez a gyökérkönyvtár (root). Ezt szemlélteti a következő ábra: 28

29 17) ábra A fájlok és könyvtárak neve maximum 256 karakter hosszú lehet. Egy fájl neve tartalmazhat betűket, számokat és speciális karaktereket (pl.: pont, vessző, aláhúzás), kivéve a foglalt karaktereket (kérdőjel, csillag stb.). A fájlnevek része még a kiterjesztés, a fájlnév többi részétől egy pont választja el. Így könnyebbé válik a fájlok kategorizálása. Példa fájlnévre: temporary_users.list. A fájlokra való hivatkozást nem csak a fájlok nevével tehetjük meg, hanem egy pontos elérési út megadásával aszerint, hogy hol helyezkednek el a struktúrában. Minden könyvtár tartalmazhat további könyvtárakat és fájlokat. A gyökérkönyvtáron belül találhatók a rendszerkönyvtárak. Az egyes könyvtárak jellemzői: /bin közös és általános programok, megosztva a rendszerrel és felhasználókkal. /etc /home /mnt /proc /sbin /tmp /var legfontosabb rendszer konfigurációs fájlok. felhasználók saját könyvtárai. standard csatolási pontok külső fájlrendszerek számára. virutális fájlrendszer, rendelkezésre álló erőforrásokról tartalmaz információkat. a rendszer és adminisztrátorok által használt programok. átmenteti tárhely, újraindítás során törlődik állandóan változó fájlok tárhelye, például system logok. 29

30 A hierarchikus elrendezésnek köszönthetően a könyvtárak utakat képeznek. A könyvtárak teljeses nevét az elérési úttal adhatjuk meg. Beszélhetünk relatív és abszolút elérési útról. Abszolút elérési út alatt a gyökérkönyvtárból kiinduló teljes útvonalat értjük. Az aktuális könyvtártól a célig vezető utat nevezzük relatív elérésnek. Például a 17) ábrán látható romeo felhasználó home könyvtárában lévő login.sql fájl teljes (abszolút) elérési útja: /home/romeo/login.sql lesz. Így az esetleg azonos nevű fájlokat és könyvtárakat egyértelműen megkülönböztethetjük egymástól. Minden könyvtárnak van úgynevezett szülő könyvtára (kivéve persze a root könyvtárnak). Amikor egy új könyvtárat létrehozunk, két bejegyzés jön létre a könyvtáron belül. Az egyiket egy pont (.) a másikat két pont (..). Az egy pont jelzi a könyvtár abszolút elérését, a két ponttal pedig a szülő könyvtárára tudunk hivatkozni Felhasználók és jogosultságok Több felhasználós rendszerről lévén szó szeretnénk, ha az egyes felhasználók fájljai és adatai megőriznék integritásukat, nem is beszélve a titkos adatok védelméről. Erre a UNIX hozzáférési rendszert biztosít, melynek keretein belül adminisztrálhatjuk a hozzáférést és az állományokon végrehajtható műveleteket. Az állományokon végrehajtható műveletek szerint a három alap csoport lehet: saját magunk(u), adott csoport(g) és mindenki más(o). Az állományokon végrehajtható műveletek szerint, a három alap csoport: lehet írható(w), olvasható(r) és végrehajtható(x). 18) ábra 30

31 A kimenet első oszlopán láthatjuk, hogy az állományokon milyen műveletek hajthatóak végre bizonyos felhasználók és csoportok által. Nézzük meg a szamlazas.txt fájlra vonatkozó hozzáféréseket és jogokat, az ls la parancs kimenetének első oszlopát. Négy részre oszthatjuk fel, ennek értelmezése: - r w - r - - r - - Az első karakter mutatja meg, hogy az adott fájl milyen típusú. Ezt követi három, hármas karaktercsoport. A tulajdonos, csoport és mindenki más (ebben a sorrendben) által végrehajtható műveletek. A példa alapján, a fájl tulajdonosa olvashatja és írhatja, a csoport többi tagja és mások viszont csak olvashatják az állományt. A második oszlopban lévő számok megmutatja az adott állományon belül, a további állományok számát. A harmadik és negyedik oszlopban a fájl tulajdonosának nevét és csoportját láthatjuk (Példa: skomjathi:administrator, skomjathi felhasználó, az adminstrator csoport tagja). Az ötödik oszlopban az állomány méretét láthatjuk bájtban. A hatodik az utolsó módosítás dátumát, végül pedig a fájl nevét tartalmazza. 6. Operációs rendszer A Red Hat Enterprise Linux 5 és CentOs 6 operációs rendszerek nagy valószínűséggel minden hardver konfigurációval kompatibilisek, az e fajta probléma inkább régebbi gépek esetén lehet érdekes. Azonban ha 100 százalékban biztosak szeretnénk lenni a kompatibilitás kérdésében, akkor a következő linken ellenőrizhetjük: A következőkben tekintsük át a rendszer telepítésének folyamatát. Ajánlott minimális partíció méretek: x86, AMD64, and Intel 64 alapú rendszerek esetén, swap partíció : boot partíció: root partíció: 256 MB 100 MB 5.0 GB 31

32 Boot A legegyszerűbb, ha letöltjük az operációs rendszer, telepítő ISO állományát (4,05 GB) ( Ezután elkészítjük a boot lemezt, melyről az installációs folyamat fog indulni, a gép bekapcsolása után Telepítés lépései 1. Miután a boot folyamat befejeződött, a 19) ábrán láthatjuk a megjelenő grafikus felület, az öt választási lehetőséggel. Itt válasszuk az első opciót: Install or upgrade an existing system. 2. Ezt követően megválaszthatjuk, hogy milyen nyelven folytatódjon a telepítés (itt az 50 lehetőség közül válasszuk az angol nyelvet), illetve a billentyűzet kiosztást is. 19) ábra 3. Következő lépésben eldönthetjük, hogy melyik rendelkezésre álló diszkek közül melyikre szeretnénk telepíteni a rendszert. Itt új tároló esetén, valószínűleg elő kell majd készíteni a rendszernek és formázni fogja, válasszuk a Re-initialize vagy Re-initialize all opciót. 32

33 4. A területi beállítások és az időzóna kiválasztása után, a rendszer kérni fogja, hogy adjuk meg a root felhasználó jelszavát. 20) ábra 5. A 20) ábra alapján, ennél a lépésnel kell eldöntenünk, hogyan szeretnénk partícionálni a merevlemezt. Itt válasszuk az első lehetőséget: az egész diszket ( Use entire drive). 6. Miután befejeződött a formázás, a rendszer telepíti a szükséges csomagokat, majd egy újraindítást követően lehetőségünk van konfigurálni a hálózati interfészeket. Ezek után a rendszerünk készen áll az indulásra Fájlrendszer létrehozása A következőkben megnézzük, hogyan hozhatunk létre csatolási pontokat, (egészen a rendszerhez újonnan hozzáadott merevlemez formázásától) újabb fájlrendszereket, például alkalmazások számára Logical Volume Manager A Linuxban az LVM kötetkezelő lehetőséget biztosít a rendszer adminisztrátorai számára, hogy a merevlemezeket és partíciókat rugalmasabban és magasabb szinten tudják kezelni, mint a hagyományos úton. Az LVM segítségével létrehozott kötetek könnyedén újraméretezhetőek, módosíthatóak. Az LVM kernel drivert a 2.4 kernel verziótól alapértelmezett eszközként találhatjuk meg. 33

34 21) ábra Logikai kötet felépítése A logikai kötetek struktúráját a 21) ábra szemlélteti. A merevlemezektől a logikai kötetekig haladva a struktúra felépítése: merevlemez Physical Volumes (PV) fizikai kötetek Volume Groups (VG) kötet csoportok Logical Volumes (LV) logikai kötetek Kötetek létrehozása Teljesítmény és egyéb adminisztratív okokból egy fizikai diszket érdemes egy fizikai kötetként kezelni. Így a merevlemezek száma meg fog egyezni a fizikai kötetek számával. Első lépésben megformázzuk és létrehozzuk a partíciókat a merevlemezeken az fdisk parancs segítségével:a menü segítségével kiválasztjuk az új primary partíció létrehozását a merevlemezen. A paramétereket úgy adjuk meg, hogy a partíció az egész diszket kitöltse, és ne maradjon üres rész. A következő lépésben létrehozzuk a merevlemezeken a fizikai köteteket. Ezt a pvcreate parancs segítségével tehetjük meg. Ha sikeresen létrejött a fizikai kötet, létrehozhatunk a virtuális csoportokat (vgcreate). Így az új, vagy a már létező csoporthoz egy vagy több fizikai kötetet adhatunk hozzá (vgextend), így fognak csoportot alkotni. Jelen esetben 34

35 újonnan hozzuk létre a kötetcsoportot a fizikai köteten. A virtuális tárhelyünket (Volume Group), az lvcreate parancs segítségével feldarabolhatjuk, így hozva létre logikai köteteket. Most a 100 GB méretű diszken létrehozunk egy 40 GB méretű logikai kötet. Végül a mkfs paranccsal létrehozzuk magát a fájlrendszert a logikai köteten. A csatolási pont létrehozása után, a mount parancs segítségével hozzáadjuk az új fájlrendszert a rendszerhez, ezeket tudjuk tesztelni is, hogy írhatók-e. Ha azt szeretnénk, hogy az újonnan kiegészült fájlrendszer állandó értékű legyen reboot után is, hozzá kell adnunk a megfelelő csatolási bejegyzést és opciókat az /etc/fstab fájlhoz LVM RAID létrehozás A következőkben bemutatjuk, milyen feltételeknek kell teljesülnie, hogy LVM használatával szoftver RAID (Redundant Array of Inexpensive Disks)-et hozzunk létre. Igény szerint kialakíthatunk fizikai RAID-et is. A legelterjedtebb RAID szintek: A RAID 0 mindenféle redundancia vagy paritás nélkül csíkozza az adatokat a meghajtóko n. Ez a szint nyújtja a legnagyobb adatátviteli sebességet és kapacitást, mind az írási, mind az olvasási műveletek párhuzamosan történnek. Hátránya, hogy nem biztosít hibatűrést, ezért egyetlen fizikai lemez meghibásodása az egész rendszert használhatatla nná teszi. Nem használnak tartalék-meghajtókat. Az RAID 1-es szint tükrözi (mirror) az adatokat, azaz az adatok duplikálva vannak. Az írás és olvasás párhuzamosan történik, ebből következik, hogy az olvasás jóval gyorsabb (kb. 2x) az írásnál. Amennyiben az egyik meghajtó kiesik, az adatok továbbra is rendelkezésre állnak a másikon, emiatt ez a szint elég jó hibavédelmet biztosít. A védelem ára a kétszeres fizikai lemezszükséglet. A RAID 1 nem használja a csíkozást, azonban igen elterjedt az 1 -es és 0-ás szint összekapcsolásával kapott RAID 10-es rendszer. Nem használnak tartalék -meghajtókat. A RAID 5 már nem csak az adatokat, hanem a paritás információkat is csíkozva helyezi el a lemezeken. A paritás sorban a következő meghajtóra kerül íráskor, ezzel az egyenletes elosztással kiküszöbölték a kitüntetett paritás meghajtó szűk keresztmetszetét. Az olvasási és írási műveletek 35

36 párhuzamosan végezhetőek. Szintén írás közben számolja a paritást, de kizáró -vagy (XOR) algoritmust használ, mely kisebb adatmozgatások számára kiváló. Tartalék-meghajtók hiba esetén átvehetik a sérült lemez szerepét Forrás: A két lemezen létrehozunk két-két elsődleges partíciót az fdisk parancs segítségével. A partíciók páronként fogják alkotni a fizikai kötegeket, melyeket a már említett lvm parancsok használatával hozhatunk létre. A fizikai köteteken létrehozzuk a kötet csoportokat és a logikai köteteket, előre meghatározott információk alapján. RAID 1-et szeretnénk létrehozni, ezért fizikai kötetenként szükségünk van 1-1 tükörre, hiba esetén ez lesz a tartalék. Erre a kötetre szinkronizál az elsődleges. A szinkronizálás előtt ellenőrizzük, hogy a dm-mirror kernel module be van e töltve. A betöltött dm-module még a gyökér fájlrendszer felcsatolása előtt, felismeri 0xfd típusú partíciókat, és azonnal össze is állítja a tömböket. A jövőbeli tükörről át kell helyezni a fizikai extenseket (PE physical extents-ezekből épül fel a fizikai kötet) az elsődleges kötetre. Ha sikeresen áthelyeztük, el kell távolítanunk a fizikai kötet, a kötet csoportból, és új, Linux raid auto partíciót létrehozni. A két új partíciót hozzáadjuk a megfelelő RAID tömbhöz Hálózat konfigurálása Ha egy szerver több alhálózathoz csatlakozik, a hálózati interfészeket egyenként kell konfigurálni, a megfelelő hálózat konfigurációjának megfelelően. Minden beállítását egy, az interfesz, saját konfigurációs fájlja határoz meg. Az egyes beállítások az /etc/netwok/network-scripts/interfesz_neve fájlokban rögzített. (Alapértelmezett interfeszek: eth0, eth1..eth*) Miután meghatároztuk a változók értékét a fájlban, újra kell indítanunk a network szolgáltatást, hogy életbe lépjen az új konfiguráció. (Ha csak egy bizonyos interfész tulajdonságain szeretnénk változtatni, a szolgáltatás - és újraindítás nélkül, ifdown interfesz_neve && ifup interfesz_neve parancsokkal is megtehetjük.) Természetesen a megfelelő bejegyzések elengedhetetlenek a routing táblában, a célhálózatok elérésének érdekében. A függelékek között találhatunk egy hálózati példabeállítást. Redundáns hálózati interfészeket alakíthatunk ki a bonding kernel modul betöltésével és konfigurálásával. Erre szükség lehet a rendelkezésre állás biztosítása, vagy a hálózati forgalom ideális elosztása miatt. Két vagy több interfeszt kapcsolhatunk össze, ezek a külvilág felé egy 36

37 interfeszt fognak prezentálni, alapértelmezetten bond0, ez lesz a mester, az interfeszek pedig a szolgák. A bonding driver, különböző modulokat biztosít erre. Alapértelmezett modul a nullás, round-robin policy. Ennek megfelelően a hálózati forgalom szekvenciálisan darabolja és elosztja el az első szolgától az utolsóig. Ezt a beállítást fogjuk követni. Terheléselosztást és rendelkezésre állást biztosít. ( I. Melléklet: OS hálózati konfiguráció) 6.5. Felhasználók és csoportok létrehozása Multitasking-ot megvalósító rendszerről lévén szó, fontos, hogy a bizalmas és tikos üzleti információkat csak az arra jogosultak olvashassák vagy módosítsák. Minden felhasználói fiókhoz egy jelszót rendelünk, ezzel is megakadályozva a jogosulatlan hozzáférést. A felhasználói fiókokat tovább rendszerezhetjük csoportokba, így átláthatóbbá és jobban adminisztrálhatóvá válik az account management egész folyamata. A Linuxban három alap felhasználói fiók típus létezik: adminisztratív (root), általános és szervíz. Egy root felhasználó installáláskor létre is jön a rendszerben. Root felhasználóként további felhasználókat a useradd, csoportokat pedig a groupadd parancs segítségével hozhatunk létre. PAM (Pluggable Authentication Modules) konfigurációs fájlok segítségével, a biztonsági szabályzat által definiált, komplex, jelszavak beállítását kényszeríti ki. A fájlok az /etc/pam.d/ könyvtárban találhatóak. passwd parancs segítségével állíthatunk be egy kezdeti jelszót a felhasználónak. A jelszavak enkriptálása SHA (Secure Hash Algorithm) 512 bites hash titkosítással történik a rendszerben. A mai számítógépek elég gyorsak már ahhoz, hogy a néhány karakterből álló jelszavakat kitalálják. Egyszerűen próbálgatással: indulunk a rövid szavaktól a hosszabbak felé, és kipróbáljuk az összes betűkombinációt. Ha csak az angol ábécé kisbetűit használjuk, és p ontosan hat betűs jelszavakat feltételezünk, nincs is olyan sok lehetőség:26 6 = 308 millió jelszót kell végigpróbálni. Pár perc. Ezért szörnyen nagy hülyeség az, hogy komoly helyek azt várják a felhasználóktól, hogy tegyen írásjeleket is a jelszavába. 6 karakter, kisbetű, nagybetű és számjegyek: ez 62-féle írásjel, vagyis 62 6 = 56 milliárd kombináció. Ha az előbbi egy percig tartott, akkor ez 180 percig fog tartani. Három óra. Kivárható. Viszont ha mondjuk négy darab ötbetűs szót választunk, csak kisbetűket használva, az 37

38 26 20 = = 1, lehetőség. Erről meg is emlékezett az xkcd, de hiába, valószínűleg még éveket kell várnunk, mire nem megjegyezhetetlen, hanem erős jelszót fog várni tőlünk a netbankunk. A legtöbb hash függvénynek egyébként idővel az a sorsa, hogy találnak a kimenetében valami szabályosságot. Ilyenkor annak használata már nem ad elfogadható biztonságot, mert ez azt jelenti, hogy a lehetőségek végigpróbálása nélkül, vagy inkább: jóval kevesebb lehetőség végigpróbálásával válik lehetségessé egy adott kivonathoz tartozó üzenetet kitalálni. Így jártak a manapság már nem nagyon használt MD4 és MD5 függvények is. Ezek kimenetében lévő szabályosságok miatt már olyan algoritmust is találtak, amely néhány másodperc alatt képes ütközéseket (azaz két különböző üzenetet ugyanazzal a kivonattal) találni. Az SHA-1-nél is találtak már hasonlókat, de itt jobb a helyzet még ha ismerjük is a kivonatot, egyelőre nagyon sok időbe telik egy hozzá tartozó üzenetet találni. Forrás: A hash-elt jelszót megtalálhatjuk az /etc/shadow fájlban, a soronként tárolt felhasználói információk között. Legjobb, ha a felhasználóra bízzuk, hogy válasszon egy elegendően bonyolult jelszót magának, a követelményeknek megfelelően. chage d 0 user paranccsal kényszeríthetjük user felhasználót, hogy változtassa meg a jelszavát, a következő bejelentkezés alkalmával. chage M 60 W 5 user paranccsal állíthatjuk be, hogy meghatározott 60 naponta, hogy user felhasználó változtassa meg jelszavát. W opcióval, figyelmeztetést állíthatunk be, mely n nappal a jelszó lejárta előtt figyelmezteti a felhasználót, hogy hamarosan lejár a jelszava. A felhasználók mindennapjainak megkönnyítésének érdekében egységesíthetjük jelszavaikat. A felhasználó által már előzőleg beállított, biztonságos, jelszó beállítható az összes szerveren, csupán a titkosított információ alapján. chpasswd e file parancs segítségével könnyedén megoldható szétmásolásuk, így biztosítva az egységességet. A rendelkezésre álló script segítségével, ezt a műveletet könnyen végrehajthatjuk. A szükséges adatok rendelkezésre állnak, illetve kinyerhetőek egy központi szerverről ahol az összes felhasználó aktiválta hozzáférését. A 9.2. számú melléklet egy példa scriptet tartalmaz. Ebben egy új felhasználót hozunk létre a rendszerben, saját jelszóval, és ssh kulccsal. A PuTTYgen, segítségével hozhatunk létre kulcspárokat. A program ingyenesen elérhető. Példa egy 1024 bites DSA kulcs generálására: 38

39 22) ábra 7. Kiszolgálók konfigurálása 7.1. Samba fájl szerver A Samba egy ingyenes szoftver, melyben implementálták az SMB/CIFS hálózati protokollokat. Fájl- és nyomtatómegosztást tesz lehetővé, integrálható Windows domainba vagy munkacsoportba, így az asztali gépünkről könnyen elérhetjük a szerveroldali megosztott mappákat. 39

40 A konfiguráció menete Első lépésben a yum (Yellowdog Updater Modified) csomagkezelővel telepítjük a megfelelő csomagokat. Második lépésként létrehozzuk a megosztásra szánt mappákat, /samba/megosztas1 és /samba/megosztas2. Ezek után létrehozunk egy sambafelhasznalok nevű csoportot és hozzáadjuk a jogosult felhasználókat: jelen esetben skomjathi-t, majd beállítjuk a samba jelszót. Negyedik lépésben elvégezzük a szükséges beállításokat a /etc/samba/smb.conf fájlban. A munkacsoport nevét Windows alatt, a Számítógép Tulajdonságai között találjuk meg. 23) ábra A Samba szolgáltatást újrainditása utána, ha a Windows intézőbe begépeljük a megfelelő szerverünk nevét, \\odessey, láthatóvá válnak a megosztott mappák. 24) ábra 40