Összefoglaló. Nyílt forráskódú infrastruktúra megoldások megvalósítása a kis-és középvállalkozásokban, valamint nonprofit szervezeteknél.

Átírás

1 Összefoglaló A dolgozat szerzője: Török Gábor A dolgozat címe: Nyílt forráskódú infrastruktúra megoldások megvalósítása a kis-és középvállalkozásokban, valamint nonprofit szervezeteknél. A szakdolgozatomban bemutatom, hogy hogyan lehet megvalósítani fizetős szoftverek felhasználása nélkül egy korszerű, napjaink informatikai kihívásainak megfelelő informatikai infrastruktúrát. A szakdolgozatomban kis-,és középvállalatokra, valamint nonprofit szervezetekre például iskolákra vonatkoztatva mutatom be, hogy hogyan lehet szoftver licencelési díjak és szoftver vásárlások nélkül, kizárólag nyílt forráskódú operációs rendszerek és szoftverek felhasználásával korszerű és biztonságos informatikai infrastruktúrát építeni, és üzemeltetni. A szakdolgozatban bemutatom ezen megoldások előnyeit és hátrányait, valamint prezentálom egy ilyen rendszer megvalósításának lépéseit és a kialakított megoldás működőképességét. A szakdolgozatom egyik célja, hogy alternatívát mutassak a jelen piaci helyzetben a kivezetésre kerülő Tisztaszoftver program felhasználóinak. Bizonyítani szeretném, hogy igenis van más alternatívája a jelenleg piacvezető cégek rendszereit használó felhasználóknak. Bemutatom, hogy a nyílt forráskódú alkalmazásokra váltás nem visszalépés, és az ingyenes alkalmazások nem korszerűtlenebbek és semmivel sem rosszabbak a fizetős programoknál. A szakdolgozatomban bemutatom, hogy a megfelelően alkalmazott nyílt forráskódú szoftverekkel költségmegtakarítás mellett biztonságosan, a felhasználók számára is élhető és jól üzemeltethető rendszer építhető. 1

2 Abstract The author: Gábor Török Title of the thesis: The realization of open-source infrastructure solutions in small and medium businesses as well as in non-profit organizations. In the thesis I'm going to demonstrate how one can implement an up-to-date IT infrastructure that conforms to today's technical challenges. My thesis includes the description of the realization and operation of up-to-date and sound IT infrastructures in small and medium businesses as well as in non-profit organizations, such as schools without software licence fees using exclusively open-source operating systems and softwares. Also, I am going to present the pro's and con's of these solutions as well as the steps of realization of such systems and the functionality of the realized solution. One of the goals of my thesis is to introduce an alternative in the current market situation to the users of the 'Tisztaszoftver'program, which is being terminated. I would like to prove that there is an alternative to the users employing the systems of the market-leading companies. Switching to open-source applications is not a step-back and these free solutions are not lessdeveloped or less-sophisticated than the commercial softwares. In my thesis I demonstrate that it is possible to build a cost-effective, sound, accessible and well-operable system utilizing open source softwares. 2

3 Hallgatói nyilatkozat Alulírott Török Gábor nyilatkozom, hogy a A-046-INF Számú szakdolgozat saját munkám eredménye, senkinek szerzői, személyiségi, vagy bármilyen más jogát nem sérti, semmilyen kategóriájú titkot nem képez, a Dunaújvárosi Főiskola a dolgozatot oktatási, kutatási célokra mindenkor szabadon használhatja. dátum aláírás 3

4 1. Tartalomjegyzék 1 Bevezető A nyílt forráskódú rendszerek bemutatása [1], Gazdaságossági megfontolások [2], [3], [4], [5], [6], [7], [8] A Tisztaszoftver program jelenlegi állapota Nyílt forráskódú üzemeltetési megoldások Az infrastruktúra építésével kapcsolatos feladat megfogalmazása A szoftver választás szempontjai A kiválasztott szoftverek ismertetése [9] Operációs rendszer Szerver oldalra Kliens oldalra Szolgáltatások szoftverei Tűzfal Web kiszolgáló [10], [11], Levelezés [11], Spam karantén és vírusvédelem [11], Adatbázis kiszolgáló. [11], Proxy szerver [11], [18], DNS szerver [11], NTP szerver [11], Fájl szerver [11], DHCP szerver [11], [23], Adminisztráció [11], [24], Rendszermentés [25], Fájlkezelő szoftver a szerverekre [26], Rendszertervezés Hálózat kiépítése IP címek tervezése Az egyes Zónák leírása Gépnevek. Névkonvenció Domain Szerverek és szolgáltatásaik Tűzfal DMZ zóna szerverei A Belső zóna szerverei Kliensek A hálózatban található gépek elhelyezkedése Levelezés a hálózaton A rendszer telepítése Hardver követelmények [11], [27], Szerverek Hardver konfigurációja Szerver telepítése Telepítés menete Kliens telepítése Telepítés menete Kliensek hardver konfigurációja

5 10 A rendszer konfigurálása BASTYA szerver. [11], A hálózat beállítása Címfeloldás beállítása A tűzfal. [11], [29], VEZER szerver. [11], A hálózat beállítása Címfeloldás beállítása Host File NTP szerver DNS szerver Web szerver. [10], [11], [30], Proxy szerver. [31], [11], [18], Postfix. Mail Relay szerver [11], [12], Amavis. Levélszűrés [15], Squirrelmail. Webmail szolgáltatás [14], [32], FUTO szerver [11], A hálózat beállítása: Címfeloldás beállítása NTP szinkronizálás beállítás Postfix. Mail szerver [11], [12], Dovecot. Imap szolgáltatás [13], [33], DHCP szerver [11], [34], MySQL adatbázis szerver [11], [16], [17], Samba fájlszerver [11], [21], [35], SWAT Samba konfigurálás [22], CSIKO szerver [11], A hálózat beállítása: NTP szinkronizálás beállítása Címfeloldás beállítása Backuppc. Backup szerver [25], Nagios. Rendszermonitorozás [24], Kliens munkaállomások beállításai Nagios Levelezés Proxy [11], [18], Hálózat Hálózati Proxy Gépnév A rendszerbiztonság Hálózatbiztonság Adatbiztonság Jelszavak védelme Védelmi eszközök tesztelése Erőforrások elérésének biztosítása a szakdolgozat lektorálásához Üzemeltetés bemutatása Felhasználó létrehozása a rendszeren Mentések, rendszerhelyreállítás Napi mentés Rendszer mentés

6 Katasztrófa terv Rendszer ellenőrzés, Rendszerfelügyelet Rendszer indítása Rendszer leállítása SWAT Backuppc A rendszer adminisztrálása A rendszer bemutatása Weblap Levelezés Samba Programok Felhasználók és jogosultságaik [11], Felhasználók és szerepköreik Felhasználói szolgáltatás mátrix Felhasználói csoportok és tagjaik Közös címek, aliasok [12], Speciális accountok Samba jogosultságok, az adatok szegmentálása.[11], [21], [35], Könyvtárak struktúrája, és a rajtuk lévő jogosultságok Munka a hálózaton. Erőforrások elérése Kliens gépek Levelező rendszer Fájlszerver Távmunka lehetőségek biztonságosan Squirrelmail Az elkészült munka elérhetősége VNC segítségével VNC kapcsolódás módja Windows rendszer alól [38], [39] VNC kapcsolódás Linux alapú operációs rendszer alól A rendszer külső szolgáltatásainak elérhetősége és tesztelése Bővítési lehetőségek ismertetése Virtualizáció megvalósítása A kiépített rendszer tesztelése Konfigurálás során fellépő hibák Első körös tesztek Második körös tesztek Tesztelés kívülről Tesztelések belülről, a kliensekről Szolgáltatások szerverek ellenőrzése Tapasztalatok összegzése, a megvalósítás értékelése Előnyök-hátrányok A szakdolgozat dokumentációjának készítéséhez felhasznált szoftverek A szakdolgozat képei, ábrái és táblázatai Irodalomjegyzék Ábrajegyzék Táblázatjegyzék Elektronikus mellékletek

7 1 Bevezető A szakdolgozatom a Dunaújvárosi Főiskola Mérnök informatikus Bsc. hallgatójaként készítettem. A szakdolgozatomban feldolgozott probléma ötlete a Tisztaszoftver program kivezetése kapcsán merült fel. Több hazai nonprofit szervezetnek kellett viszonylag rövid idő alatt döntenie arról, hogy az általuk használt informatikai rendszereknél áttérnek-e ingyenes nyílt forráskódú megoldásokra, avagy a már hosszabb ideje használt fizetős szoftvereiket licenc megvásárlásával kívánják-e tovább használni. Ez utóbbi megoldás a kisebb szervezetekre, jelentős többletterheket rótt volna. Szakdolgozatomban ezen problémára kívánok megoldást nyújtani oly módon, hogy bemutatom egy olyan rendszer létrehozását, felépítését és működését, amely kizárólag ingyenes, szabadon korlátozás nélkül felhasználható, nyílt forráskódú alkalmazásokból épül fel. 7

8 2 A nyílt forráskódú rendszerek bemutatása [1], A nyílt forráskódú szoftverek ingyenesen használhatóak. Korlátozás nélkül sokszorosíthatóak. Szabadon lehet terjeszteni, forráskódjuk nyilvános, bárki számára megismerhetőek és szerkeszthetőek. A beszerzésüknek gyakorlatilag nincs költsége. Ingyen hozzáférhető, letölthető programokról van szó, melyeket sokszor kisebb közösségek készítenek, és tartanak karban. Ezek a szabad szoftverek, melyek számos licencelési megoldásban lelhetőek fel. A legelterjedtebb közük a GNU (General Public Lisence) A számos licencek közül kiemelném az FSN GNU GPL és GNU LPGP licenceket. Ezek közös pontja, hogy bár a forráskód szabadon módosítható, a felhasználásával készített új programra az eredeti program licence kell vonatkozzon. Számomra és az általam tervezett rendszerre vonatkoztatva a leglényegesebb szempont az egyszerű hozzáférhetőség a korlátozások nélküli felhasználhatóság valamin az ingyenesség volt. 8

9 3 Gazdaságossági megfontolások [2], [3], [4], [5], [6], [7], [8] Pár szó a Tisztaszoftver Programról. Képzeljük el, hogy egy önálló gazdálkodású szervezetet vezetünk, és szép lassan évről-évre felépítettünk egy informatikai rendszert annak minden szolgáltatásával együtt. Maga a felépítés sem volt olcsó, hiszen számos mérnöki munkaóra került felhasználásra. Az így felépített rendszernek viszont egy nagy előnye volt. Nem kellett hozzá semmilyen szoftvert megvenni, mert a Tisztaszoftver program keretein belül viszonylag egyszerűen hozzájutottunk a szükséges amúgy fizetős, jellemzően a Microsoft által gyártott. Szoftverekhez. Aztán egy napon kormányunk bejelenti, hogy nem finanszírozza tovább e szervezetek szoftver licencelését, és egy szűkös határidőt szab, hogy a már felépített rendszerhez további licenceket vásároljunk, vagy átálljunk egy másik olcsóbb vagy ingyenes megoldásra. A fizetős szoftverek nagy előnye, hogy elterjedtek, nem igényelnek különösebb képzést, hiszen mindenki használja őket otthonában. Évek óta képzik az embereket ezeken a fizetős platformokon. A használatuk viszonylag egyszerű, hiszen mindennapjaink része. Kis túlzással a csapból is a Microsoft folyik. Pedig a Tisztaszoftver Program valójában nem ingyenes. Álságos, hogy valójában a Tisztaszoftver program keretein belül felhasznált programok licencelésének módját a Kormány (Nemzeti Fejlesztési Minisztérium) tárgyalja le a programba bevont érintettekkel, és úgy tünteti fel, mintha ezek ingyenesek lennének. A tömeges licenc vásárlásával valóban olcsóbban jut hozzá a Kormány és rajtuk keresztül az érintettek a szoftverekhez, valójában ezek is súlyos adófizető forintok kifizetését jelentik. Mivel nem teljes értékű licenceket vásárolnak, ezért azokat időről-időre meg kell hosszabbítani. A Kormány jelenleg évente hosszabbítja a szerződést, ezáltal a szoftverek licencelését. Ez jó azért, mert mindig a legújabb szoftvert licenceli, így a felhasználók mindig hozzájuthatnak a legfrissebb verziókhoz. Rossz azért, mert sokba kerül. Jelenleg úgy tűnik, hogy a Kormány a licenc díjakat lefaragva próbál költségeket megtakarítani. Ezt részben az igénybe vett szolgáltatások körének szűkítésével, részben a licencek számának csökkentésével próbálja elérni. Ezen kormányzati szándéknak próbál megfelelni a nyílt forráskódú szoftverek Tisztaszoftver Programba való bevezetése. NE feledjük, hogy a Microsofton kívül a Novell is ad a programba nyílt forráskódú, de fizetős szoftvereket. Ezen alkalmazásokkal lévén fizetősek jelen szakdolgozatomban nem foglalkozok. A jelenlegi instabil gazdasági helyzetben sosem lehet tudni, meddig fog tartani a kormányzati szándék (pénz) ezen licencek meghosszabbítására. Véleményem szerint amíg ezek az eszközök fizetősek, addig mindig megvan az esélye, hogy a szoftverek központi licencelése egy tollvonással kivezetésre és megszüntetésre kerül. 9

10 A szakdolgozatomra felkészülés során felmérést végeztem, mely során lehetőségem volt betekinteni egy iskola számítógépparkjának licenc megújítására tett ajánlatba. Sajnos a megállapodás részleteit szakdolgozatomban nem közölhetem, így csak az ajánlatban lévő árak prezentálására van lehetőségem. Az ajánlatban szereplő árakról a alábbi összefoglaló táblázat átfogó képet ad. (1-es táblázat.) Cikkszám Megnevezés Db Nettó ár Bruttó ár 79P OfficeProPlus 2010 SNGL OLP NL Acdmc Ft Ft P WinSvrStd 2008R2 SNGL OLP NL Acdmc Ft Ft R WinSvrCAL 2008 SNGL OLP NL Acdmc DvcCAL Ft 2917 Ft FQC Win Pro 7 SP1 32-bit Hungarian 1pk DSP OEI DVD Ft Ft 1. táblázat. Microsoft termékek árai. A fenti táblázatból látható, hogy egy Microsoft szoftverrel szerelt alaprendszer esetén a licencdíj (operációs rendszer és irodai munkakörnyezet) vásárlása esetén hozzávetőlegesen bruttó Ft-ot meghaladó nagyságrendű lehet. Egy iskola esetben, melynek legalább két oktató kabinetje van összesen géppel, és az iskola dolgozói is használnak 10 gépet, valamint van egy szerverük is, a licence díj összesítve máris 4 millió forint fölötti költségként fog megjelenni. A nem oktatási szervezetek, kis és középvállalatok ennél akár drágábban is juthatnak a licenchez. Persze ez a költség nem teljes, mert további programokra (A teljesség igénye nélkül. Vírusirtó alkalmazások, spam karantén rendszer, oktatáshoz használt szoftverek, stb.) is szükség van. A kiegészítőként szükséges fizetős programok körére szakdolgozatomban nem kívánok kitérni. A Microsoft is fejleszti a termékei, ezért a szoftverek pár év alatt elavulttá válnak. Ha a kormány nem vásárolja meg központilag a licenceket, akkor időről-időre rákényszerülnek upgrade licencek vásárlására, ami sajnos nincs ingyen, tehát folyamatosan tetemes beruházásokat kell tenni az infrastruktúra működőképességének fenntartása érdekében. Ez egy jól jövedelmező több milliárdos üzlet. Csak a Microsoft szoftverei a 2011-es évben 1.13 milliárd forintba kerültek az adófizetőknek. Az elmúlt 10 évben 12 milliárd forintot költött el a Magyar Állam erre a célra. Szakdolgozatomban pont eme áldatlan állapot felszámolásában szeretnék segítséget nyújtani. Bemutatom, hogy másként is lehetséges megoldani a szoftverek licencelését. Egy rendszer implementálása során fellépő emberi munka mérnökóra költséget sajnos nem tudom megkerülni, de a licence díjat egy kis nyitottsággal és odafigyeléssel kihagyhatónak tartom. Szerencsére a Tisztaszoftver programba immár bekerültek a nyílt forráskódú rendszerek is. (például OpenEDU program) Ezen szintén nyílt forráskódú, de fizetős vagy licenc köteles megoldások elemzése és bemutatása szakdolgozatomnak nem célja. 10

11 3.1 A Tisztaszoftver program jelenlegi állapota A szakdolgozatom írásakor a még nem lehetséges tudni, hogy mi a kormány pontos célja, és milyen licenc megállapodásokat fog aláírni a Tisztaszoftver program résztvevőivel án a Linux Az Oktatásban És a Szabad Szoftver Konferencián vettem részt, melyen kutatást végeztem a kialakult helyzettel kapcsolatban. A Tisztaszoftver programban részt vevő két nyílt forráskód mellett elkötelezett szervezettől interjú keretében személyes tájékoztatást kaptam a pillanatnyi helyzetre vonatkozóan. [8], Az OpenEDU programban beszerezhető Sulix rendszerrel kapcsolatban azt a tájékoztatást kaptam, hogy a programjukban regisztrált oktatási szervezetek ingyenesen juthatnak hozzá a Sulix szoftvereihez, valamint a fejlesztő (ULX Nyílt Forráskódú Tanácsadó És Disztribúciós Kft.) által nyújtott támogatások nagy részéhez. A Novell Huedu programjába tartozó szoftverek licencelésével kapcsolatban még nincs megállapodás a Novell és a Magyar Állam közt. A Huedu programba tartozó szoftverek licence viszont nem jár le. Akik már hozzájutottak licenchez, azok nyugodtan használhatják tovább a programjaikat, de a szoftverekhez tartozó frissítéseket a Novell már nem biztosítja részükre. Így őket nem fenyegeti az átállás azonnali kényszere. Véleményem szerint a piac ezen szereplői hosszú távon a helyzet rendezetlensége miatt rendszer átállásra kényszerülhetnek. Itt szeretném megjegyezni, hogy ugyanakkor a Novell a Huedu programban részt vevő partnereinek rendkívül kedvező licenc és support árakat kínál, melyek vásárlása kisebb terhet jelentene egy azonos funkcionalitású Microsoft alapú rendszer licencelési költségeinél. A Novell árak tekintetében testreszabott egyéni ajánlatokat és kedvezményeket ad a programjaiban már részt vevőknek. A Microsoft szoftvereivel kapcsolatban nincs elmozdulás az Index.hu i cikkében írtaktól, melyet a oldalon található információ is megerősít. Ezek szerint még nincs megállapodás a Kormányt képviselő Nemzeti Fejlesztési Minisztérium és a Microsoft közt a szoftverek licenceléséről. Sajnos a Microsoft által biztosított licencek szerint a lejárat után a szoftverek nem használhatóak tovább. Azokat el kell távolítani. A szoftverek eltávolítására a tárgyalások lezárásáig a Microsoft türelmi időt adott. [6], [7], 11

12 4 Nyílt forráskódú üzemeltetési megoldások Manapság a nyílt forráskódú alkalmazások elengedhetetlen részeit képezik a korszerű informatikai rendszereknek. Az üzleti életben a nyílt forráskód már számtalanszor bizonyított. Főleg kiszolgáló oldalon találunk számos Linux alapú operációs rendszert. Sok esetben még ott is alkalmaznak Linux szervereket, ahol amúgy teljesen homogén Microsoft alapú környezet van. Alapvetően három részre osztanám hogy a piaci szereplők miért választanak általában Linux alapú megoldásokat. Első esetben ott láthatjuk, ahol sok pénz van. Ezen szervezeteknél főleg azokon a kiszolgálókon találhatunk Linux szervereket, ahol fontos a biztonság és a magas rendelkezésre állás, mivel a Linux rendszerek sajátosságai miatt egy jól beállított rendszer nagyon kevés támadható felületet tartalmaz, valamint a Linux rendszerek erőforrásai meglehetősen széles körben konfigurálhatóak. Az ok általában az, hogy egy rendkívül stabil környezetre van szükségük. Így fordulhat elő, hogy számos nagy cég a meglévő Microsoft alapú infrastruktúrájának védelmét vagy a hálózat szegmentálását Linux alapú tűzfallal/eszközzel biztosítja, vagy az adatbázisait Linux operációs rendszer alatt futtatja. Gyakran találkozhatunk szintén Linux alapú fájl szerverrel is. A webkiszolgálók közül például a nyílt forráskódú Apache a piacvezető. Ennek oka az alacsony erőforrásigény, és a jó skálázhatóság. Másodsorban ott találkozunk Linuxszal, ahol kevés a pénz és spórolni akarnak. A kisebb cégeknél, ahol a költségeket próbálják leszorítani gyakran választanak ingyenes megoldásokat a fizetősek helyett. A harmadik felhasználási terület, ahol nagyon kevés a rendelkezésre álló hardver erőforrás, és emiatt nagyon kicsi erőforrás igényű rendszer kiépítésére van szükség. Például hálózati aktív eszközök vezérlő szoftvereként, vagy elavult gépek költséghatékony kihasználása végett készített megoldások üzembe állításánál. 12

13 5 Az infrastruktúra építésével kapcsolatos feladat megfogalmazása A szakdolgozatomban felépíteni kívánt rendszerrel kapcsolatban a következő elvárásokat támasztottam: Az rendszernek az alábbi szolgáltatásokat kell tartalmaznia: Fájl szerver. Levelező szerver. Levelezés távoli webes elérése távmunkához. Munkaállomások komplett irodai munkakörnyezettel, levelezéssel. Egyszerű menedzselhetőség. Védelmi eszközök biztosítása. Spam szűrés, levelezés vírus védelme. Biztonságos hálózat kiépítése. Hálózat szegmentálása és védelme tűzfallal megvalósítva. Internet forgalom korlátozásának, szűrésének lehetősége. Web szerver, vállalati honlap külső elérésének biztosítása. Adatbázis szerver. Biztonsági mentés lehetősége a fontos adatokról. Az egyes erőforrások elérésének jogosultság szintű korlátozása. Adatok szegmentálása. Külső elérés biztosítása a szakdolgozatom elbírálói számára. Mivel kisvállalat, illetve egy egyszerű szervezet infrastruktúráját valósítom meg, ezért legyen a kiépített rendszer alacsony erőforrás igényű. A teljes rendszer ingyenesen és szabadon elérhető nyílt forráskódú szoftverekből kell álljon. A rendszer legyen homogén és lehetőség szerint egyféle disztribúcióból épüljön fel. Beleértve, hogy a későbbi fejlesztések során is megmarad a homogén szerkezet. A rendszer frissítése az esetleges hibák miatt manuálisan kell történjen. A rendszer frissítéseket a disztribúció terjesztői által szolgáltatott hivatalos tárolókból lehessen biztosítani. Ellenőrizetlen, nem hivatalos tárolóból származó programok telepítése nem támogatott. A hálózatban lévő kliensek felhasználói rendszergazdai jogokkal ne rendelkezzenek. Vegyes kialakítású rendszer például Windows kliensek rendszerbe illesztése, vagy olyan gépek rendszerbe illesztése mely ellenőrizetlen programokat tartalmazhat, illetve az adott gépen valamely felhasználó rendszergazdai joggal rendelkezik, nem támogatott. 13

14 6 A szoftver választás szempontjai A szakdolgozatomban az informatikai infrastruktúra tervezése során számos szoftvermegoldás illesztési lehetőségét megvizsgáltam. A választás során a következő szempontokat vettem figyelembe. A kiválasztott megoldás ingyenes és nyílt forráskódú kell legyen. A választott szoftver rendelkezzen hosszú távú támogatottsággal. Legyen elterjedt az alkalmazás. Kipróbált alkalmazások legyenek. Legyen biztonságos. Központi tárolóból telepíthető legyen. Álljon rendelkezésre a választott szoftver automatikus frissítési lehetősége. Legyen alacsony erőforrás igénye hardver oldalon. Lehetőleg egyszerűen konfigurálható szoftverekre van szükségünk, melyek webes interfészen keresztül menedzselhetőek. Legyen korszerű a választott szoftver. Rendelkezzen kliens és szerver megvalósítási lehetőséggel. A rendszer legyen homogén. Egy disztribúció használatával megoldható legyen a teljes rendszer. Álljon rendelkezésre a rendszer bevezetéséhez szükséges oktatáshoz megfelelő segédanyag. Megfelelő szoftver ellátottság könnyű telepíthetőséggel. Legyen 32 bites és 64 bites támogatása. Legyen megfelelő magyar nyelvi támogatása. 14

15 7 A kiválasztott szoftverek ismertetése [9] 7.1 Operációs rendszer A legnehezebb az infrastruktúra gerincét alkotó operációs rendszer kiválasztása volt. Számos különböző disztribúció megvizsgálása után végül az Ubuntu Linux Ubuntu LTS rendszerét választottam. Az LTS verzióknak a támogatása három év, ezért 2013-ig megfelelő támogatással rendelkezik. Kipróbált és megbízható rendszerről van szó, széles hardver támogatással. Létezik kliens és szerver telepítő készlete is. Úgy gondolom, hogy az általam felállított preferenciarendszernek ez a szoftver összeállítás felel meg a legjobban. A rendelkezésemre álló hardver erőforrások szűkössége miatt csak 32 bites rendszer telepítésére van lehetőségem, ezért szakdolgozatomban mindenhol e 32 bites rendszert használom, de a választott disztribúciónak van 64 bites telepítő készlete is. A szoftverek körének bővítése és a rendszer frissítések rendelkezésre állása a disztribúció kezelője által biztosított külső tárolóból megoldott. A magyar nyelvi támogatása kielégítő és rengeteg magyar nyelvű oktató anyag áll rendelkezésre. A kiválasztott operációs rendszer paramétereit a következő alfejezetekben fejtem ki Szerver oldalra Ubuntu LTS Server A program az alábbi linkről letölthető: Kliens oldalra Ubuntu Desktop A program az alábbi linkről letölthető: Kliens telepítőnek választhattam volna az Alternate telepítőt is, melynek telepítése egy egyszerűbb felületen keresztül történik, de nem volt rá szükség. Az Ubuntu Desktop verziója beépítetten tartalmaz minden irodai munkára szükséges programot és kiegészítőt, ami manapság egy korszerű munkaállomástól elvárható. 7.2 Szolgáltatások szoftverei Tűzfal A Linux beépített kernel szintű Iptables programja Web kiszolgáló [10], [11], Apache szerver. Az Apache2 webkiszolgáló jelenleg a világon leggyakrabban használt webkiszolgáló alkalmazás. HTTP, HTTPS, FTP protokoll használatára is képes. 15

16 7.2.3 Levelezés [11], Postfix [12], A postfix egy számos konfigurációs lehetőséggel felvértezett levéltovábbításra alkalmas program. Dovecot [13], A Dovecot biztosítja, hogy IMAP protokoll segítségével lehessen használni a levelező rendszert. Squirrelmail [14], A Squirrelmail egy Webes alapú levelező kliens program. Ennek segítségével biztosítom a levelezés külső elérését Spam karantén és vírusvédelem [11], Amavis [15], Manapság a körszerű levelezést nem lehet védelem nélkül üzemeltetni. Fontos a beérkező levélszemét szűrése. Jelentős erőforrásokat tud lekötni, amikor egy dolgozó naponta több száz kéretlen reklámlevelet kap. Csak a napi levélmennyiség szétválogatása is órákat vehet igénybe. Ettől a tehertől szabadít meg az Amavis alkalmazás. Annak ellenére, hogy a hagyományosan terjedő vírusokkal szemben a felépített rendszer immunins, mégis úgy gondoltam, hogy szükség lehet a levélben érkező kártékony kódok kiszűrésére. A víruskeresés és a spam szűrés megvalósítását az Amavis programmal oldottam meg. Az Amavis egy olyan program, amely képes meghívni több szűrő alkalmazást. Ezekre a komponensekre a program telepítésénél térek ki Adatbázis kiszolgáló. [11], MySql [16], A MySQL adatbázis kiszolgáló egy nyílt forráskódra épülő nagy teljesítményű adatbázis szerver. Phpmyadmin [17], A MySQL adatbázis távoli adminisztrálására szolgáló eszköz. Az egyes adatbázis beállításokat e program webes interfészén keresztül egy grafikus felület segítségével fogom biztosítani Proxy szerver [11], [18], Squid3 A Squid3 egy teljes körű webes proxy kiszolgáló alkalmazás DNS szerver [11], Bind9 [19], [20], Az egyik leggyakrabban használt névkiszolgáló szolgáltatást nyújtó szoftver. 16

17 7.2.8 NTP szerver [11], Ntpd Az ntpd program főbb jellemzője, hogy képes egyidejűleg több időkiszolgáló figyelésére, és képes a rendszeróra csúszását kiszámolni. A hibákat kisebb javításokkal korrigálja. A program segítségével idő szerver funkciót is tudok a hálózaton szolgáltatni Fájl szerver [11], Samba [21], A Samba lehetővé teszi, hogy a hálózaton állományokat osszak meg. Segítségével az egyes erőforrások elérését megfelelő jogosultság rendszerrel szabályozott módon tudom szegmentálni. SWAT [22], A Samba adminisztrálására olyan felületet kerestem, amelyen keresztül a Samba beállítására kijelölt felhasználó különösebb rendszergazdai segítség nélkül el tudja látni az adminisztrációs teendőket DHCP szerver [11], [23], DHCP3 A DHCP szolgáltatás dinamikus IP cím kiosztást tesz lehetővé a hálózaton lévő gépek számára. A kliens gépek hálózati beállítását DHCP szerver segítségével fogom biztosítani Adminisztráció [11], [24], Nagios A Nagios egy fejlett rendszermonitorozásra képes program. Képes figyelni a monitorozott gépek egyes állapotváltozásait. Ezeket a változásokat webes felületen keresztül lehet nyomon követni. A program beállítási lehetőségeinek se vége se hossza. Ezen lehetőségekből csak pár darabot használok, melyek a rendszer fő szolgáltatásait fogják figyelni Rendszermentés [25], Backuppc A rendszer mentésére a Backuppc szoftvert választottam. Azért erre esett a választás, mert az adminisztrációs felületen keresztül viszonylag egyszerűen, egy mezei felhasználó számára is érthető módon lehet újabb mentési feladatokat definiálni. Képes lokálisan és hálózaton keresztül mentéseket készíteni. A mentésekből webes adminisztrációs felületen keresztül pár kattintással lehetséges a mentések sikerességének ellenőrzése, szükség esetén adatok helyreállítása Fájlkezelő szoftver a szerverekre [26], Midnight Commander A rendszer telepítéséhez és adminisztrálásához szükséges egyszerű fájlkezelő alkalmazás, mely terminál üzemmódban is grafikus fájlkezelési lehetőségeket biztosít. 17

18 8 Rendszertervezés 8.1 Hálózat kiépítése A hálózat felépítése szerint két zónával rendelkezik, melyek szegmentálását tűzfal végzi. Biztonsági okokból a Belső zóna kívülről közvetlenül nem érhető el. A külső látogatók, csak a DMZ zónáig juthatnak el. A DMZ zóna és a Belső zóna közti kommunikációért a tűzfal felel IP címek tervezése A tervezés során két zónát hoztam létre. Az IP címeket a következő irányelvek szerint osztottam ki. Belső zóna szerverei fix IP címmel 10-essével kerülnek kiosztásra. Tehát stb. 50-ig Fix ip címes kliensek az 51-től 100-ig terjedő tartományt kapják. DHCP kliensek. 101-től 200-ig terjedő tartományt kapják. DMZ szerverek szintén fix IP címmel 10-essével kerülnek kiosztásra. Tehát stb. 50-ig. A tűzfal belső lábainak címei az adott zóna IP zónáinak megfelelő IP címekből az 1-es címet kapják. Valójában nincs szükség ennyi cím tartomány kiosztására, de a hálózat későbbi bővítését szem előtt tartva érdemes a tartalékok miatt ezeket az alapelveket betartani. Így később az egy-egy zóna bővítéséhez megfelelő IP cím tartalék marad Az egyes Zónák leírása DMZ zóna /24 Az Internet felől elérhető zóna. Azon eszközök kell ide kerüljenek, melyeken futó erőforrások elérését az Internet felől biztosítanunk kell. Az Internetről fogadott kapcsolatokat csak eddig a zónáig szabad a rendszerbe beengedni. Belső zóna /24 A belő zónában vannak azok a szerverek és munkaállomások, melyekkel a szervezet napi munkája folyik. 18

19 A zónák kialakítását a 1-es ábrán szemléltetem. 1. ábra. A zónák elhelyezkedése Gépnevek. Névkonvenció Az infrastruktúra gépeinek a sakk játékból kölcsönöztem neveket. A döntés önkényes, bármi más lehetett volna. A cél az volt, hogy olyan neveket válasszak, melyek közvetlenül nem utalnak az adott szerveren megvalósított funkciókra Domain Az infrastruktúra domain neve: rosal.zapto.org amit egy ingyenes domain regisztrációs oldalon regisztráltam. Tartozik hozzá A és MX rekord is. Ezzel a domain névvel biztosítható a weboldal és a céges levelezés megvalósítása. 19

20 8.2 Szerverek és szolgáltatásaik Tűzfal Szerver név: BASTYA Tűzfal kapcsolatai: Tűzfal Internet: /32 Interfészen keresztül. Tűzfal DMZ zóna /32 Interfészen keresztül. Tűzfal Belső zóna /32 Interfészen keresztül DMZ zóna szerverei Szerver név: VEZER Ip cím: Szerver szolgáltatásai: Web szerver. Proxy szerver. DNS szerver. NTP szerver. Mail relay. Spam filter. Vírusszűrés A Belső zóna szerverei Szerver név: FUTO IP cím: Szerver szolgáltatásai: Fájl szerver. MySql szerver. DHCP szerver. Mail szerver. Szerver név: CSIKO IP cím: Szerver szolgáltatásai: -Rendszermentés. Rendszer monitorozás. 20

21 8.2.4 Kliensek Az infrastruktúra jelenleg két kliens gépet tartalmaz. Kliens gépnév: GYALOG01 Leírás: Ez a kliens munkaállomás kitüntetett szerepet kapott az infrastruktúrában. Egyrészt szimulálja egy kiváltságos felhasználó helyzetét, mert fix IP címmel rendelkezik, mely miatt proxy szűrés nélkül tudja használni az Internetet. Rajta keresztül tudom bemutatni, egy olyan felhasználó beállításait, amely a hálózaton kitüntetett szerepet kapott. Másrészt ez az a munkaállomás, melynek elérhetőségét a szakdolgozatom elbírálása céljából biztosítom az internet felől. Szeretném leszögezni, hogy ezt az elérést kizárólag a szakdolgozat elbírálása céljából készítettem, és a lektorálás lezárultával a kapcsolat lehetőségét megszüntetem. Más helyzetben biztonsági okok miatt külső elérést ilyen módon nem engednék meg a belső zóna felé. Kliens gépnév: GYALOG02 Leírás: Ez egy sima közönséges munkaállomás. A hálózatban lévő további munkaállomások is ezen gép beállításainak megfelelő hálózati beállításokkal fognak rendelkezni. Az IP címét DHCP szervertől kapja, mely közötti véletlenszerű címekből kerül kiosztásra. Ezen gépen keresztül tudom bemutatni, egy átlagos felhasználó munkakörnyezetét. További kliensek beállítása esetén igény szerint DHCP, segítségével megoldott további IP címek kiosztása, ezért a munkaállomások köre az IP cím tartomány erejéig bővíthető. 21

22 8.3 A hálózatban található gépek elhelyezkedése A hálózatban található szerverek IP címeit és fizikai kapcsolódási logikájukat az 2-es ábrán szemléltetem. 2. ábra. A hálózatban található gépek elhelyezkedése. A BASTYA szerveren megvalósított tűzfal konfigurációját, és az ezáltal megvalósított hálózati forgalom szűrését a rendszer konfigurálása résznél fogom bővebben kifejteni Levelezés a hálózaton Levelezés kiépítése A elektronikus levelek küldésére és fogadására a következő rendszert dolgoztam ki. A rosal.zapto.org A rekordhoz tartozik MX rekord. Ezáltal a kívülről küldött levelek megtalálják a rosal.zapto.org címen található Mail szervert. Az elsődleges Mail szerver a belső zónában található FUTO szerver. A külső partnertől érkező kérések viszont nincsenek beengedve közvetlenül a FUTO szerverre. Ezért Mail Relay szervert kellett üzembe helyezni a DMZ zónában lévő VEZER szerveren. 22

23 Levelek fogadása A levelek fogadásának folyamata a következő. Az Internet felől 25-ös TCP porton bejövő kérést a tűzfal továbbítja, a DMZ zónában lévő VEZER szerverre. A VEZER szerver spam és vírus ellenőrzést végez, majd továbbítja a levelet a TCP 25-ös porton keresztül a FUTO szerverre, ahonnan a kliens gépek felhasználói IMAP protokoll segítségével érik el a levelezésüket. (3. ábra.) 3. ábra. fogadása. 23

24 Levelek küldése A levelek küldése során, a kliensek SMTP protokoll segítségével feltöltik a levelet a FUTO szerverre. Amennyiben az helyi cím (akarmi@rosal.zapto.org) akkor az helyi kézbesítésként bekerül a címzett postaládájába. Amennyibe külső címről van szó, abban az esetben a FUTO szerver továbbítja a levelet a VEZER szerver felé, ami továbbítja az Internet felé. (4. ábra.) 4. ábra. küldése. 24

25 9 A rendszer telepítése 9.1 Hardver követelmények [11], [27], A gyártó által megadott minimális hardver követelmények a következőek (2. táblázat.): Desktop Kliens Szerver Minimális Ajánlott CPU 300 MHz (x86) 700 MHz (x86) 300 MHz (x86) Memória 256 Mb 512 Mb 128 Mb HDD 4 Gb 8-20 Gb 1 Gb VGA VGA 640x480 VGA 1024x768 mindegy 2. táblázat. Minimális hardver követelmények. A fenti táblázatból látható, hogy a felhasznált operációs rendszerek erőforrás igénye igen alacsony. Az általam tervezett rendszer erőforrás szükséglete a minimum követelményektől eltér, így ezen igényeket a következő táblázatban specifikálom Szerverek Hardver konfigurációja Kliensek Futo Csiko Vezer Bastya CPU 933 MHz (x86) 933 MHz (x86) 933 MHz (x86) 933 MHz (x86) 933 MHz (x86) Memória 512 Mb 384 Mb 384 Mb 384 Mb 256 Mb HDD 8 Gb 16 Gb 16 Gb 8 Gb 8 Gb VGA VGA 1024x768 mindegy mindegy mindegy mindegy 3. táblázat. Hardver követelmények. A Ubuntu Linux szerver operációs rendszer hardver igénye igen alacsony. Grafikus felület futtatása nélküli telepítés esetén szinte alig fogyasztanak erőforrásokat. A fenti táblázatokból megállapítható, hogy a tervezett rendszer akár igen elavult gépeken is futtatható lenne. Persze a legoptimálisabb az lenne, ha minél több erőforrást lehetne a gépeknek adni. Szakdolgozatom egyik célja annak kiderítése, hogy egy korszerű infrastruktúrát meg lehet-e valósítani egy már meglévő, akár elavultnak számító hardver környezetben. Mindazonáltal javasolt a 3. táblázatban kifejtett értékektől pozitív irányban eltérni. (3. táblázat.) 25

26 9.2 Szerver telepítése Az egyes szerverek telepítése nem különbözik egymástól. A konfigurálást a telepítés után a szerver funkciójának megfelelően kézzel végezzük el Telepítés menete A telepítés megkezdése előtt a számítógépek BIOS beállításaiban be kell állítani, hogy a gép CD/DVD-romról induljon. A telepítőlemezről indítás után ki kell választani a telepítés nyelvét. Itt eltértem a megszokástól és a jobb érthetőség miatt a magyar nyelvet választottam. (5. ábra.) 5. ábra. Szerver telepítés. Nyelv választás. Az Ubuntu kiszolgáló telepítése menüponttal indítható a telepítés. (6. ábra.) 6. ábra. Szerver telepítés. Telepítés indítása. 26

27 Lehetőség van a billentyűzet detektálására. Ha detektálni szeretnénk a billentyűzetünket, akkor kövessük az utasításokat. ( ábra.) 7. ábra. Szerver telepítés billentyűzet beállítás. 8. ábra. Szerver telepítés billentyűzet beállítás. 9. ábra. Szerver telepítés billentyűzet beállítás. 27

28 Tovább. 10. ábra. Szerver telepítés billentyűzet beállítás. Adjuk meg a telepítendő gép nevét. Ezen a képernyőképen a BASTYA szervert láthatjuk. (11. ábra.) 11. ábra. Szerver telepítés, gépnév megadása. Fogadjuk el a felkínált időzónát. (12. ábra.) 12. ábra. Szerver telepítés, időzóna beállítása. 28

29 Lemez particionáláshoz válasszuk az Irányított LVM az egész lemezen menüpontot. (13. ábra.) 13. ábra. Szerver telepítés, particionálás. Válasszuk ki a particionálandó lemezt. (14. ábra.) 14. ábra. Szerver telepítés, particionálás. Az Igen gombbal mentsük a változtatásokat. (15. ábra.) 15. ábra. Szerver telepítés, particionálás mentése. 29

30 Mivel a teljes lemezt fel kívánjuk használni, ezért a Tovább gombbal lépjünk tovább. (16. ábra.) 16. ábra. Szerver telepítés, lemezméret. Fontos pont, hogy létre kell hozzunk egy felhasználót. Az összes szerveren létre lett hozva a locadmin felhasználó. Ez a kitüntetett felhasználó a rendszer rendszergazdája. Ezen a képernyőn még csak a felhasználó megjelenítendő nevét adjuk meg. A tényleges user account a következő képernyőn lesz megadva. (17. ábra.) 17. ábra. Szerver telepítés, root felhasználó. Felhasználónévnek is ugyanazt adjuk meg. (18. ábra.) 18. ábra. Szerver telepítése, felhasználó felvétele. 30

31 Meg kell adni a locadmin felhasználó jelszavát. (19. ábra.) 19. ábra. Szerver telepítése, jelszó megadása. Ismételjük meg a jelszót. (20. ábra.) 20. ábra. Szerver telepítése, jelszó megadása. Mappa titkosításra nincs szükség. A Nem gombbal lépjünk tovább! (21. ábra.) 21. ábra. Szerver telepítése, mappa titkosítása. 31

32 Egyenlőre nem kell megadni a proxy beállításokat. Tovább! (22. ábra.) 22. ábra. Szerver telepítése, proxy beállítás. Ki kell kapcsolni az automatikus frissítéseket. A frissítések telepítéséről a rendszer üzemeltetője megfelelő biztonsági mentés után manuálisan fog gondoskodni. (23. ábra.) 23. ábra. Szerver telepítése, automatikus frissítések. Lehetőségünk van a szerver szerepkörökből egy előre definiált megoldást választani. A konfigurálást a telepítést követően végzem a korábban kiválasztott szoftverekkel, ezért semmit sem jelölök be. Tovább! (24. ábra.) 24. ábra. Szerver telepítése, szerepkörök meghatározása. 32

33 A rendszerbetöltő telepítéséhez válasszuk az Igen gombot! (25. ábra.) 25. ábra. Szerver telepítése, GRUB telepítés. A telepítés végén ki kell venni a telepítő médiát, és újra kell indítani a gépet. (26. ábra.) 26. ábra. Szerver telepítése, újraindítás. Újraindulás után be kell jelentkezni a locadmin felhasználóval. (27. ábra.) 27. ábra. Szerver telepítése, első bejelentkezés. 33

34 A szerverek telepítése után azonnal rendszer frissítésre van szükség, melyet belépés után a következő két paranccsal tehetünk meg. A parancs kiadásakor a program bekéri a rendszergazdai jelszót. A rendszer frissítéséhez élő Internet kapcsolatra van szükségünk. sudo apt-get update sudo apt-get upgrade Ezzel a rendszer frissítése megtörtént, alaprendszerünk naprakész. Az így előkészített szerveren már elkezdhető az üzembe állításhoz szükséges konfigurálás. 9.3 Kliens telepítése A telepítéshez az Ubuntu Linux Desktop LTS verzióját használom. Az egyes kliensek telepítése nem tér el egymástól. A telepítés végeztével a munkaállomás funkciójának megfelelő testreszabás szükséges. Ezeket a beállítások egy részét szerver oldalon kell konfigurálni, (pl. DHCP beállítások) más részüket meg a klienseken kell megtenni, (pl. felhasználók felvétele, és proxy beállítások.) Telepítés menete A számítógép BIOS beállításaiban be kell állítani, hogy a gép CD/DVD-romról induljon. A telepítőlemezről indítás után megjelenő képernyőn nyomjunk egy space gombot, hogy a nyelvi választó menübe léphessünk. (28. ábra.) 28. ábra. Kliens telepítés, indítás. A gép elindulása után ki kell választani a telepítés nyelvét. Mivel magyar nyelvű klienseket telepítünk, ezért válasszuk ki a magyar nyelvet. Ha olyan felhasználónk is van, akinek nyelvi igényei eltérőek (Olasz, spanyol, stb.) akkor lehetőség van az ő számára is megfelelő nyelvi támogatású rendszert telepíteni. (29. ábra) 34

35 29. ábra. Kliens telepítés, nyelv választás. Az Ubuntu telepítése menüponttal indítható a telepítés. (30. ábra) 30. ábra. Kliens telepítés, telepítő indítása. Ezen a képernyőn még mindig módosíthatjuk a nyelvi beállításokat. (31. ábra) 31. ábra. Kliens telepítés, nyelv módosítás. 35

36 Ellenőrizzük az időzóna beállítását. (32. ábra) 32. ábra. Kliens telepítés, időzóna beállítása. Fogadjuk el a felkínált billentyűzet kiosztást. (33. ábra) 33. ábra. Kliens telepítés, billentyűzet beállítása. A lemezparticionáló beállításait hagyjuk automatikus módban. (34. ábra) 34. ábra. Kliens telepítés, lemez partícionálás. 36

37 Ezen a képernyőn adjuk a meg a rendszergazdának választott locadmin felhasználó adatait és a gépnevet. A képernyőn a gyalog01 kliens telepítését láthatjuk. (35. ábra) 35. ábra. Kliens telepítés, rendszergazda beállítása. Ezen a képernyőn ellenőrizhetjük a telepítés beállításait. A Telepítés gombbal megkezdhetjük a kliens telepítését. (36. ábra) 36. ábra. Kliens telepítés, összefoglaló. A telepítés befejezésekor indítsuk újra a számítógépet. (37. ábra) 37. ábra. Kliens telepítés, befejezés. 37

38 Újraindulás után jelentkezzünk be a gépre a locadmin felhasználóval. (38. ábra) 38. ábra. Kliens telepítés, első bejelentkezés. Itt látható egy szabványos munkaterület látható. (39. ábra) 39. ábra. Kliens telepítés, munkaterület. A kliensek telepítése után azonnal rendszer frissítésre van szükség, melyet belépés után egy terminál ablakban a következő két paranccsal tehetünk meg. A parancs kiadásakor a program bekéri a rendszergazdai jelszót. A rendszer frissítéséhez élő Internet kapcsolatra van szükségünk. ( ábra) sudo apt-get update 40. ábra. Kliens telepítés, frissítés. 38

39 sudo apt-get upgrade 41. ábra. Kliens telepítés, rendszerfrissítés. Ezzel a rendszer frissítése megtörtént, alaprendszerünk naprakész. Az így előkészített kliensen már elkezdhető az üzembe állításhoz szükséges konfigurálás Kliensek hardver konfigurációja A kliensek konfigurációja annyiban tér el a szerverekétől, hogy minimum 512 MBRamm rendszer memóriát kell beszerelni a gyors működéshez. Amennyiben a géppel végzendő munka komolyabb grafikai kihívásokkal szembesíti a gépet, érdemes Nvidia chipszettes VGA kártyákat használni, ugyanis ezeknek jobb a Linuxos driver támogatása. A klienseken történő munkavégzéshez megfelelően kialakított irodai munkaterületre van szükség. 39

40 10 A rendszer konfigurálása Ez a fejezet a rendszer testreszabásával foglalkozik Pontról pontra végigkövetem az összes szerver konfigurációjában történt változtatásokon. Külön kitérek az egyes telepített szolgáltatások alaprendszertől való eltéréseire. Az egyes szerverkonfigurációk bemutatása során igyekszem az egyes konfigurációs állományok lényegi elemeit kiemelni. Az egyes telepített szolgáltatások főbb tulajdonságainak ismertetése a A kiválasztott szoftverek ismertetése. fejezetben találhatóak. A munkámat könnyítendő minden szerverre feltelepítettem a Midnight Commander fájlkezelő alkalmazást. [26], [28], sudo apt-get install mc A rendszer adminisztrálásához szükséges SSH elérés biztosításához. Ehhez minden szerver gépre feltelepítettem az SSH alkalmazást. sudo apt-get install ssh 10.1 BASTYA szerver. [11], A BASTYA szerver elsődlegesen tűzfal funkciót lát el. Ez a szerver felel a hálózat szegmentálásáért, a DMZ és a Belső zóna közötti adatforgalomért. A rendszer Internet irányú határvédelmét is ez a szerver biztosítja. Rendkívül fontos funkciót tölt be, hiszen ezen a szerveren kell konfigurálni mindent, ami a hálózatom adatforgalmával kapcsolatos. Ez a szerver felel a rendszer egyes erőforrásainak kívülről történő elérésért is. Hardver felépítését tekintve a legfontosabb paramétere, hogy három hálózati interfésszel rendelkezik. Ezen hálózati interfészeken keresztül alakítottam ki az egyes zónák fizikai struktúráját A hálózat beállítása A hálózati interfészek konfigurálása a /etc/network/interfaces fájlban lehetséges. Eth0 Az Internet felé menő adatkapcsolat. Eth1 Belső zóna felé menő adatkapcsolat. Eth2 DMZ zóna felé menő adatkapcsolat. A fájl tartalma következő: iface lo inet loopback auto eth0 iface eth0 inet static address netmask gateway auto eth1 iface eth1 inet static 40

41 address netmask auto eth2 iface eth2 inet static address Címfeloldás beállítása A címfeloldást hálózatomban a VEZER szerver szolgáltatja A beállítást a /etc/resolv.conf fájlban kell elvégezni. A fájl tartalma a következő: nameserver domain rosal.zapto.org search rosal.zapto.org A tűzfal. [11], [29], Ez a funkció hálózatunk szempontjából kritikus. A tűzfalat a Linux kernel szintű beépített funkcióján keresztül az Iptables alkalmazással valósítottam meg. Első lépésben a hálózat tervezése során papír alapon felépített szabályokkal modelleztem a hálózati struktúra viszonyait. A tervezés során átgondolt szabályokat egy fájlba szerkesztettem. A tűzfal szabályainak betöltését minden rendszer indulásakor biztosítani kell. Ezt a következőképpen oldottam meg. A szabályokat tartalmazó fájlt tuzfal.sh fájlt elhelyeztem a /etc/init.d könyvtárban. A fájlra futtatási jogokat kell adni! sudo chmod 755 /etc/init.d/tuzfal.sh A megoldás előnye, hogy további szabályok felvétele a fájl szerkesztésével végezhető. Módosítás után pedig csak a fájlt kell lefuttatni a szabályok életbe léptetéséhez. A fájlról egy szimbolikus linket készítettem a /etc/rcs.d könyvtárba S99tuzfal.sh néven. Ezzel biztosítottam, hogy a gép újraindítása esetén a tűzfal szabályok újra betöltődjenek. A tuzfal.sh fájl tartama maga az a szabályrendszer, mely szabályozza a hálózat működését. A fájl tartalma a következő: #!/bin/bash #Tuzfal konfiguracios adatok. IF_INTERNAL=eth1 IF_EXTERNAL=eth0 IF_DMZ=eth2 VEZER= DMZ_NET= /24 INTERNAL_NET= /24 FUTO= CSIKO= GAZDA= GYALOG01= #A meglevo konfiguraciot toroljuk iptables -F iptables -X #Iranyoknak megfelelo lancok letrehozasa iptables -N int_dmz 41

42 iptables -N dmz_int iptables -N ext_dmz iptables -N dmz_ext #Csak a tesztelesi celra a lektornak!!! Torlendo!!!!! iptables -N ext_int iptables -N int_ext iptables -N logdrop #alapertelmezett viselkedes beallitasa iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #A tuzfal menedzselesehez iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT #a mar felepitett kapcsolat valaszait engedjuk iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Ping mehet iptables -A FORWARD -p icmp -j ACCEPT #Ping Bastya tesztekhez iptables -A INPUT -p icmp -j ACCEPT #management célra a gazdageprol minden! Csak tesztelesre!!!! iptables -A FORWARD -s $GAZDA -j ACCEPT #forgalom szetbontasa lancokra iptables -A FORWARD -i $IF_INTERNAL -o $IF_DMZ -j int_dmz iptables -A FORWARD -i $IF_DMZ -o $IF_INTERNAL -j dmz_int iptables -A FORWARD -i $IF_DMZ -o $IF_EXTERNAL -j dmz_ext iptables -A FORWARD -i $IF_EXTERNAL -o $IF_DMZ -j ext_dmz iptables -A FORWARD -i $IF_INTERNAL -o $IF_EXTERNAL -j int_ext #VNC beengedése gyalog01 gépre iptables -A FORWARD -i $IF_EXTERNAL -d $GYALOG01 -j ext_int #minden mast eldobunk iptables -A FORWARD -j logdrop #lancok a policy szerint #internal - dmz #DNS iptables -A int_dmz -d $VEZER -p tcp --dport 53 -j ACCEPT iptables -A int_dmz -d $VEZER -p udp --dport 53 -j ACCEPT #NTP iptables -A int_dmz -d $VEZER -p udp --dport 123 -j ACCEPT #web iptables -A int_dmz -d $VEZER -m multiport -p tcp --dports 80,443 -j ACCEPT #ssh Eléréshez. iptables -A int_dmz -d $VEZER -m multiport -p tcp --dport 22 -j ACCEPT #SMTP Ellenőrzéshez. iptables -A int_dmz -d $VEZER -m multiport -p tcp --dport 25 -j ACCEPT #mail transfer, csak a mail server felol iptables -A int_dmz -d $VEZER -s $FUTO -p tcp --dport 25 -j ACCEPT #proxy iptables -A int_dmz -d $VEZER -p tcp --dport j ACCEPT #Mas forgalom nem engedelyezett, eldobjuk iptables -A int_dmz -j logdrop #dmz - internal 42

43 #bejovo levelezes iptables -A dmz_int -s $VEZER -d $FUTO -p tcp --dport 25 -j ACCEPT #webserver mail iptables -A dmz_int -s $VEZER -d $FUTO -p tcp --dport 143 -j ACCEPT #mysql eleres phpmyadminnak iptables -A dmz_int -s $VEZER -d $FUTO -p tcp --dport j ACCEPT #ssh Eléréshez iptables -A dmz_int -s $VEZER -m multiport -p tcp --dport 22 -j ACCEPT #Mas forgalom nem engedelyezett, eldobjuk iptables -A dmz_int -j logdrop #dmz - external #proxy #ha nem csak a szabvanyos portokon engedunk elerni webservereket, akkor ezt boviteni kell, vagy dports nelkul, ha barmely portot lehet. iptables -A dmz_ext -s $VEZER -m multiport -p tcp --dports 80,443 -j ACCEPT #mail iptables -A dmz_ext -s $VEZER -p tcp --dport 25 -j ACCEPT #DNS iptables -A dmz_ext -s $VEZER -p tcp --dport 53 -j ACCEPT iptables -A dmz_ext -s $VEZER -p udp --dport 53 -j ACCEPT #NTP iptables -A dmz_ext -s $VEZER -p udp --dport 123 -j ACCEPT #Mas forgalom nem engedelyezett, eldobjuk iptables -A dmz_ext -j logdrop #external - dmz #mail iptables -A ext_dmz -d $VEZER -p tcp --dport 25 -j ACCEPT #web iptables -A ext_dmz -d $VEZER -m multiport -p tcp --dports 80,443 -j ACCEPT #Mas forgalom nem engedelyezett, eldobjuk iptables -A ext_dmz -j logdrop #ext_int #Csak a tesztelesi idore a lektor szamara!!!! #VNC a teszteles idore iptables -A ext_int -p tcp --dport j ACCEPT iptables -A ext_int -j logdrop #a log+eldobas iptables -A logdrop -j LOG iptables -A logdrop -j DROP #kimeno forgalom forrascimeinek elrejtese iptables -t nat -A POSTROUTING -o $IF_EXTERNAL -s $DMZ_NET -j MASQUERADE #Ha a jovoben esetleg engedunk kifele kozvetlen kapcsolatot, akkor a belso halo tartomanyara ugyanezt meg kell csinalni iptables -t nat -A POSTROUTING -o $IF_EXTERNAL -s $INTERNAL_NET -j MASQUERADE #bejovo mail es web forgalom atiranyitasa a dmz serverre iptables -t nat -A PREROUTING -i $IF_EXTERNAL -p tcp -m multiport --dports 80,443 -j DNAT --to-destination $VEZER iptables -t nat -A PREROUTING -i $IF_EXTERNAL -p tcp --dport 25 -j DNAT --to-destination $VEZER #VNC eleres lektornak tesztelesre Torlendo!!!!!! 43

44 iptables -t nat -A PREROUTING -i $IF_EXTERNAL -p tcp --dport j DNAT --to-destination $GYALOG01 #Futo es iptables iptables iptables csiko gep kiengedese -A int_ext -s $FUTO -j ACCEPT -A int_ext -s $CSIKO -j ACCEPT -A int_ext -j logdrop 10.2 VEZER szerver. [11], A BASTYA szerver az egyetlen gép, amely a DMZ zónába tartozik. Azokat a szolgáltatásokat telepítettem erre a gépre, melyeknek szüksége van Internet elérésre, illetve melyeket az Internet felől elérhetővé kívántam tenni. Az alábbiakban leírom a VEZER szerveren megvalósított szolgáltatások telepítését, és konfigurációját A hálózat beállítása A hálózati interfészek konfigurálása a /etc/network/interfaces fájlban lehetséges. A fájl tartalma következő: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask gateway Címfeloldás beállítása Mivel a címfeloldást hálózatban a többi gép számára is VEZER szerver biztosítja, ezért a névfeloldás konfigurációja eltér a többi géptől. Az Internet irányába irányuló kérések kiszolgálásához ismernie kell valamely felsőszintű domain szervert. Megfelelő Internet kiszolgáló hiányában a Google szerverét állítottam be. A beállítást a /etc/resolv.conf fájlban kell elvégezni. A fájl tartalma a következő: nameserver domain rosal.zapto.org search rosal.zapto.org nameserver Host File A /etc/hosts fájlba fel kell venni a következőket: localhost vezer domain search nameserver rosal.zapto.org rosal.zapto.org

45 NTP szerver A Linux rendszerek futtatásának sarkalatos pontja a pontos idő. A rendszerórának mindig pontosnak kell lennie, és esetleges rendszeridő módosítások nem lehetnek túl nagyok. A hálózaton belüli egységes pontos idő szolgáltatásához központi időkiszolgáló szervert kell létrehozni. Ezt a szolgáltatást valósítottam meg az NTP (Network Time Protocol) szerverrek. Az NTP protokoll a TCP 123-as portján keresztül tud kommunikálni, melyet a tűzfalon átengedtem. A hálózat időszinkronizálását úgy oldottam meg, hogy a a BASTYA szerver kivételével minden hálózaton lévő gép a VEZER szerverhez, (mint időkiszolgálóhoz) fordul pontos időért. Ennek a beállításnak az oka az, hogy ha a VEZER szerver NTP funkciója meghibásodik, akkor a BASTYA szerver rendszerideje referencia pontként szolgálhasson. A program telepítése. sudo apt-get install ntp A beállításokat /etc/ntp.conf fájlban tudjuk elvégezni. A fájl tartalma a következő: driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable server ubul.kfki.hu server ntp.ubuntu.com server pool.ntp.org restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict restrict ::1 #NTP idoszolgaltatas kiszolgalasa az alabbi halozaton restrict mask nomodify notrap restrict mask nomodify notrap #Lenne ertelme, ha lenne DMZ-ben mas gep is. #broadcast A telepített szolgáltatás az alábbi paranccsal ellenőrizhető: ntpq -p A lekérdezés eredményét az alábbi képernyőképen láthatjuk. A többi szerveren is hasonlóképpen lehet az időszolgáltatást lekérdezni. (42. ábra) 45

46 42. ábra. NTP időkiszolgáló ellenőrzése DNS szerver A névfeloldást a hálózaton a VEZER szerver végzi. DNS kérelmekkel minden hálózaton lévő eszköz a VEZER szerverhez fordul. A névfeloldás szolgáltatásra a Bind9 programot használom. A program telepítése a következő paranccsal végezhető el. A telepítés lefuttatása után javasolt a szerver újraindítása. sudo apt-get install bind9 Az elsődleges konfigurációs fájl a /etc/bind/named.conf. Ebben kerülnek definiálásra a legfontosabb konfigurációs fájlok. A fájl tartalma a következő: include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; /etc/bind/named.conf.options Ebben a fájlban az Internet szolgáltatótól kapott DNS kiszolgálót kellene megadni. Jelen esetben a Google DNS kiszolgálóját adtam meg a forwarders résznél. E fájlban kerül definiálásra a belső háló és a DMZ hálózat is. A fájl tartalma: acl belso_halo { /24; }; acl dmz_halo { /24; }; options { directory "/etc/bind"; forwarders { ; }; allow-query {localhost; belso_halo; dmz_halo; }; allow-recursion {localhost; belso_halo; dmz_halo; }; }; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; 46

47 Fontos! Az egyes konfigurációs lépések közt mindig újra kell indítani a DNS szolgáltatást az alábbi paranccsal: sudo /etc/init.d/bind9 restart A /etc/bind/db.root írja le a világszintű DNS kiszolgálókat. Ezt a fájlt nem módosítom. Ellenben fontos üzemeltetési feladat ennek frissítése. Ez akkor történik meg, amikor a bind9 programot frissítem újabb verzióra. Üzemeltetési feladatként fontos e fájl karbantartása. Az /etc/bind/named.conf.local fájlban definiáltam az egyes zónákat. Erre azért van szükség, hogy a VEZER szerver lehessen a mester kiszolgáló. Továbbá definiálok két fájlt a belso.db és belso-revdb fájlt. Ezek kifejtése később következik. A Fájl tartalma a következő: zone "rosal.zapto.org" { type master; file "belso.db"; allow-query { ; /16; } ; }; zone "10.10.in-addr.arpa" { type master; file "belso-rev.db"; allow-query { ; /16; } ; }; Eztán létrehoztam a /etc/bind/belso.db fájlt. Ez a fájl definiálja az egyes hálózati erőforrások eléréséhez szükséges neveket IP címeket és aliasokat. A fájl tartalma a következő: ; ; Belső hálózat ; $TTL IN SOA vezer.rosal.zapto.org. vezer-dns.rosal.zapto.org. ( ; Serial ; Refresh 900 ; Retry ; Expire ) ; Negative Cache TTL IN NS vezer.rosal.zapto.org. ; dns srv $origin rosal.zapto.org. ;DMZ zona vezer dns proxy www ntp IN IN IN IN IN A CNAME CNAME CNAME CNAME ;Tuzfal bastya firewall IN IN A CNAME bastya.rosal.zapto.org vezer.rosal.zapto.org. vezer.rosal.zapto.org. vezer.rosal.zapto.org. vezer.rosal.zapto.org. 47

48 ;Belso zona csiko IN backup A IN CNAME csiko.rosal.zapto.org. futo mail smtp samba share mysql sql A CNAME CNAME CNAME CNAME CNAME CNAME futo.rosal.zapto.org. futo.rosal.zapto.org. futo.rosal.zapto.org. futo.rosal.zapto.org. futo.rosal.zapto.org. futo.rosal.zapto.org. ;Kiensek gyalog01 IN A ;Minta ;kliens1 IN A IN IN IN IN IN IN IN Hogy a névfeloldás vissza irányban is működjön, ezért létrehoztam a /etc/bind/belsorev.db fájlt. A fájl tartalma a következő: ; ; Belső hálózat reverse ; $TTL IN SOA vezer.rosal.zapto.org. vezer-dns.rosal.zapto.org. ( ; Serial ; Refresh 900 ; Retry ; Expire ) ; Negative Cache TTL IN NS dns.rosal.zapto.org. ; dns srv $origin in-addr.arpa IN IN IN IN IN ;Kliensek minta ;10.51 PTR PTR PTR PTR PTR bastya.rosal.zapto.org. vezer.rosal.zapto.org. futo.rosal.zapto.org. csiko.rosal.zapto.org. gyalog01.rosal.zapto.org. IN PTR kliens01.rosal.zapto.org. ; A belso.db és a belso-rev.db fájlok konfigurálásánál fokozottan kell figyelni, hogy a Serial sorban lévő szám mindig növekvő legyen. A Bind9 az újraindítás után megköveteli, hogy ez a sorszám növekvő legyen. Amennyiben ezt elmulasszuk, úgy a módosításunk nem fog életbe lépni. Ezért azt az elvet alkalmaztam, hogy dátum-idő párost adok meg minden egyes módosításnál az alábbi szintaktika szerint: ééhhnnhhpp A névfeloldást legegyszerűbben a ping paranccsal tudjuk ellenőrizni. 48

49 Web szerver. [10], [11], [30], Apache2 Az Apache2 webkiszolgáló telepítése az alábbi paranccsal indítható: sudo apt-get install apache2 A konfigurációs módosítás során létrehoztam egy tesz honlapot a alapértelmezett mellett a következő paraméterekkel: sudo cp /etc/apache2/sites-available/default /etc/apache2/sitesvailable/rosal.zapto.org A /etc/apache2/sites-vailable/rosal.zapto.org fájlba beleszerkesztettem az alábbi sorokat. <VirtualHost *:80> #Adminisztrátor megadása ServerAdmin locadmin@rosal.zapto.org #Feleljen minden rosal.zapto.org kérésre ServerAlias *.rosal.zapto.org #Céges weblap helye DocumentRoot /var/www/rosal.zapto.org Másolat készítése az index.html fájlról. sudo cp /var/www/index.html /var/www/rosal.zapto.org/index.html Az új weblap engedélyezéséhez a következő parancsot kell futtatni: sudo a2ensite rosal.zapto.org Apache2 szerver újrandítása az alábbi paranccsal történik: sudo /etc/init.d/apache2 restart Weblap letiltása: az alábbi parancsokkal lehetséges. sudo a2dissite újoldal sudo /etc/init.d/apache2 restart A Weblapok elérése a következő linkeken lehetséges: A Webes levelezést HTTPS (TCP 443-as port) titkosított kapcsolaton keresztül szeretném elérni, ezért létre kellett hozzak egy SSL virtuálhostot. Ennek lépései a következőek. Telepítettem az tanúsítvány létrehozásához szükséges programot. sudo apt-get install ssl-cert 49

50 Létrehoztam az SSL tanusítvány tárolására szolgáló könyvtárat. sudo mkdir /etc/apache2/ssl Létrehoztam a tanúsítványt. sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem Telepítettem az Apache2 ssl modult. sudo a2enmod ssl Újra kell indítani az Apache2 szervert. sudo /etc/init.d/apache2 force-reload Létrehoztam egy virtualhostot. sudo cp /etc/apache2/sites-available/default /etc/apache2/sitesavailable/ssl Módosítottam az /etc/apache2/sites-available/ssl virtualhost fájlt az alábbiak szerint. NameVirtualHost *:443 <VirtualHost *:443> ServerAdmin locadmin@rosal.zapto.org... SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem... Jóváhagytam az SSL kulcs betöltését. sudo a2ensite ssl Módosítottam a /etc/apache2/sites-available/default fájlt a következőképpen: NameVirtualhost *:80 <VirtualHost *:80>... Újraindítottam az Apache2 szervert. sudo /etc/init.d/apache2 reload Ezután a beállítás után már titkosított kapcsolaton keresztül is elérhetőek a weblapjaim. A Weblapok elérése a következő linkeken is lehetséges:

51 Proxy szerver. [31], [11], [18], A Proxy funkciók ellátására a Squid3 programot választottam. A program telepítése az alábbi paranccsal lehetséges: sudo apt-get install squid A program beállításait a /etc/squid3/squid.conf fájlban lehet módosítani. Az áttekinthetőség kedvéért fájlokra bontottam ez egyes beállítások paramétereit. Így újabb szabály/tiltás felvétele egyszerűbbé válik. Ezeket a fájlokat az alábbi módon definiáltam: Tiltott domain-ek. /etc/squid3/denied_domains.acl Tiltott fájltípusok. /etc/squid3/denied_filetypes.acl Reklám banner szűrés. /etc/squid3/denied_ads.acl Tiltott gépek. /etc/squid3/denied_machines.acl Olyan gépek felvételéhez, melyek proxy szűrés nélkül láthatnak ki az Internetre. /etc/squid3/admins.acl Ezen fájlok kifejtése később következik. Fontos, hogy szándékosan nem módosítottam az alapértelmezett 3128-as portot! Az /etc/squid3/squid.conf fájl tartalma a következő: # Használt port http_port 3128 transparent #Gyorsítótár cache_dir ufs /var/spool/squid #Magyar hibaüzenetek? error_directory /usr/share/squid3/errors/hungarian #Fájlok acl denied_domains dstdomain "/etc/squid3/denied_domains.acl" acl filetypes urlpath_regex -i "/etc/squid3/denied_filetypes.acl" acl url_ads url_regex "/etc/squid3/denied_ads.acl acl admins src "/etc/squid3/admins.acl" #Tiltott gepek acl banned_machines src "/etc/squid3/denied_machines.acl" #Tiltott gepek 51

52 http_access deny banned_machines #Engedelyezett gepek http_access allow admins http_access http_access http_access http_access deny url_ads allow admins filetypes deny filetypes deny denied_domains http_access allow all #Minden tiltása. Net leallitasa. #acl all src / És most lássuk az említett fájlok részletes konfigurációját. További domain tiltásokhoz a /etc/squid3/denied_domains.acl fájlt kell beálíltani. A fájl tetszőlegesen bővíthető. Egyenlőre teszt célból csak pár oldal szűrése van beállítva. Ezekkel teszteltem a proxy szerver megfelelő működését. A fájl tartalma a következő: #Tiltott domain lista.sex.com.hackers.com.xemacs.org.facebook.com.iwiw.hu.origo.hu Tiltott fájltípusok szűréséhez a /etc/squid3/denied_filetypes.acl fájlt kell beállítani. További fájltípusok tiltásokhoz a fájl tetszőlegesen bővíthető. A fájl tartalma a következő: #Tiltott kiterjesztések \. (exe)$ \. (zip)$ \. (mp3)$ \. (avi)$ Reklám banner szűrést az /etc/squid3/denied_ads.acl fájlban valósítottam meg. A fájl tartalma a következő: #Reklám, banner szűrés /adv/.*\.gif$ /[Aa]ds/.*\.gif$ /[Aa]d[Pp]ix/ /[Aa]d[Ss]erver /[Aa][Dd]/.*\.[GgJj][IiPp][FfGg]$ /[Bb]annerads/ Lehetőség van bizonyos gépek proxy használatának letiltására. Alapértelmezetten a közötti tartomány tiltásra kerül! A beállításoka a /etc/squid3/denied_machines.acl fájlban lehet beállítani. A fájl tartalma a következő: #A tiltasok fix ip cimet igenyelnek. Ezt a DHCP-ben kell beallitani. #Tiltott felhasznalok /32 #Tiltott tartomany /32 52

53 Speciális felhasználói igények kielégítésére, illetve adminisztrátori jogú felhasználóknak. Alapértelmezetten a tartomány engedélyezésre kerül a /etc/squid3/admins.acl fájlban. A fájl tartalma a következő: #A gepek engedelyezesehez fix ip cimmel kell rendelkeznie. Ezt a DHCP-nel kell beallitani. #Engedelyezett gep /32 #Engedelyezett tartomany /32locadmin@vezer:~$ A fentebb leírt szabályok még nincsenek teljesen testre szabva. A jelenlegi beállítások útmutatóul szolgálnak a később fellépő igényeknek megfelelő szabály bővítéshez. A cég vezetése a használat függvényében dönthet további szűrések bevezetéséről. A fenti példák, viszont megfelelően demonstrálják a rendszer működőképességét. A hálózat tervezése során felmerült, hogy olyan felhasználók is lehetnek a hálózaton, amelyeknél nem cél a proxy szűrés használata. Ezeket a /etc/squid3/admins.acl fájlban definiált gépeket a proxy szerver szűrés nélkül átengedi. A tiltásra kerülő gépeket a /etc/squid3/denied_machines.acl fájl alapján szűröm. Az ebben a fájlban lévő gépek kéréseit a proxy szerver elutasítja. Fontos, hogy ez a két lehetőség csak azokra a gépekre vonatkozik, amelyek fix IP címmel rendelkeznek. A fix IP cím beállításához a klienseken adminisztrátori jogokra van szükség, és a jog birtokában beállítást manuálisan is el lehetne végezni. De adminisztrátori jogokat nem osztok a kliens gépekre. A fix IP kiosztását MAC address alapján a FUTO szerveren futtatott DHCP szerver végzi. Ennek kifejtése a FUTO szerver DHCP kiszolgáló konfigurációjánál található. A kliensek alapértelmezetten DHCP kiszolgálótól véletlenszerűen kapják az IP címet ig terjedő címtartományból, így ezen gépek Internet forgalma mindenképpen proxy szűrés alá esik. A DHCP kiszolgáló részletes beállításaival a FUTO szerver konfigurációjánál foglalkozom. További proxy beállításokra is lenne lehetőség, melyeket a rendszer használata során fellépő igényekhez lehet igazítani. A teljesség igénye nélkül. Pl: Bizonyos gépek kizárása az Internet forgalomból. Munkaidő Internet használat korlátozása. Stb. Ezekre a szabályokra egyenlőre nincs szükség Postfix. Mail Relay szerver [11], [12], A VEZER szerveren a Postfix, funkcióját tekintve levél továbbítást végző úgynevezett Mail Relay szerver funkciót tölt be. Az elektronikus levél küldési és fogadási logikáját lásd a Rendszertervezés, Hálózat kiépítése menüpont alatt. A felépített rendszer egyik legfontosabb szolgáltatása az elektronikus levelezés. A program telepítése az alábbi paranccsal indítható: sudo apt-get install postfix Az első lépésben hagytam a telepítőt alapértelmezett beállításokkal végigfutni, a konfigurálást a telepítés után manuálisan végeztem.. A telepítés utáni a konfigurálás a következő paranccsal indítható: sudo dpkg-reconfigure postfix 53

54 A konfigurálás során a következő paramétereket kell megadni. Enterrel indítsuk el a telepítést. (43. ábra) 43. ábra. Postfix konfigurálása, telepítés. Válasszuk a menüből az Internet Site menüpontot! (44. ábra) 44. ábra. Postfix konfigurálása. Adjuk meg a regisztrált rosal.zapto.org domain nevet, majd enterrel lépjünk tovább. (45. ábra) 45. ábra. Postfix konfigurálása, domain megadása. 54

55 Adjuk meg a locadmin felhasználót. Enterrel lépjünk tovább! (46. ábra) 46. ábra. Postfix konfigurálása, adminisztrátor hozzáadása. Vegyük fel a rosal.zapto.org-ot a listára. Enterrel lépjünk tovább! (47. ábra) 47. ábra. Postfix konfigurálása, domain felvétele. Válasszuk a Nem lehetőséget, és enterrel lépjünk tovább! (48. ábra) 48. ábra. Postfix konfigurálása, szinkronizálás. 55

56 Vegyük fel a lista végére a hálózatunkat /16, majd enterrel lépjünk tovább! (49. ábra) 49. ábra. Postfix konfigurálása, hálózat megadása. Hagyjuk az alapértelmezett 0 értéket. Enterrel lépjünk tovább! (50. ábra) 50. ábra. Postfix konfigurálása, mailbox méret. Hagyjuk az alapértelmezett + értéket. Enterrel lépjünk tovább! (51. ábra) 51. ábra. Postfix konfigurálása, +. 56

57 A menüből válasszuk az All lehetőséget! Enterrel lépjünk tovább! (52. ábra) 52. ábra. Postfix konfigurálása, all. A levelezés legfontosabb konfigurációs fáljja a /etc/postfix/main.cf. A postfix konfigurálását ebben a fájlban kell elvégezni. A fájl tartalma a következő: smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no append_dot_mydomain = no readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache myhostname = vezer alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = localhost.localdomain, localhost #Továbbítás beállítása: relayhost = relay_domains = rosal.zapto.org mynetworks = /8 [::ffff: ]/104 [::1]/ /16 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all content_filter = smtp-amavis:[ ]:10024 transport_maps = hash:/etc/postfix/transport_map A fájl utolsó sora némi magyarázatot igényel. Létrehoztam egy fájlt, melynek neve /etc/postfix/transport_map. Ennek a fájlnak a tartalma a következő: rosal.zapto.org smtp:[ ] 57

58 Eztán lefuttattam a postmap parancsot, amely db típusú fájlt generál a transport_map fájlból. Ezt a parancsot mindig ki kell adni, valahányszor módosítom a transport_map fájlt. postmap /etc/postfix/transport_map A parancs létrehozza a /etc/postfix/transport_map.db fájlt. A következő lépésben a /etc/postfix/main.cf fájlba felvettem utolsó sornak a következő sort. transport_maps = hash:/etc/postfix/transport_map Ezzel definiáltam, hogy a rosal.zapto.org-ra érkező leveleket a postfixnek továbbítania kell a IP című FUTO szerver felé. A main.cf módosítása után minden esetben újra kell indítani a postfix szervert. sudo /etc/init.d/postfix restart Amavis. Levélszűrés [15], A Postfix alkalmazástelepítése után feltelepítettem az Amavis programot. Ez a szoftver képes meghívni számos levélszűrő alkalmazást. A komponenseket külön kell telepíteni. Az alábbi paranccsal több szoftvert is telepítettem. Ezek sorrendben a következőek. Amavis filterek futtatására készített program, Spamassasin spam filter, Clamav víruskereső program. sudo apt-get install amavisd-new spamassassin clamav-daemon További szükséges komponensek. sudo apt-get install dkim-filter python-policyd-spf Spam definiciók telepítése. sudo apt-get install pyzor razor Tömörítők, hogy a filter programok a levelekhez csatolt tömörítvényekbe is bele tudjanak nézni. sudo apt-get install arj cabextract cpio lha nomarch pax rar unrar unzip zip A ClamAV program felhasználóját hozzáadtam az amavis csoporthoz az alábbi paranccsal. sudo adduser clamav amavis Spamassassin beállítása. A Spamassassin konfigurációs fájlja a /etc/default/spamassassin. Az ENABLED=1 paramétert meg kell adni. A módosítás után a fájl tartalma a következő: EMABLED=1 OPTIONS="--create-prefs --max-children 5 --helper-home-dir" PIDFILE="/var/run/spamd.pid" CRON=0 A konfiguráció végeztével újra kell indítani a Spamassasin szolgáltatást az alábbi paranccsal. sudo /etc/init.d/spamassassin start 58

59 Amavisd-new beállítása az /etc/amavis/conf.d/15-content_filter_mode fájlban. A beállítás célja a levél és vírus keresés engedélyezése az Amavis számára. A módosítások után a fájl tartalma a következő: use strict; #Levélszemét és víruskeresés = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \ $bypass_virus_checks_re); #Levélszemét és víruskeresés = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \ $bypass_spam_checks_re); 1; # ensure a defined return Azért, hogy az Amavis ne küldje vissza a levélszemetet, szerkeszteni kell az /etc/amavis/conf.d/20-debian_defaults fájlt. A fájl tartalma a következő: use strict; $QUARANTINEDIR = "$MYHOME/virusmails"; $quarantine_subdir_levels = 1; # enable quarantine dir hashing $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_ident = 'amavis'; # syslog ident tag, prepended to all messages $syslog_facility = 'mail'; $syslog_priority = 'debug'; # switch to info to drop debug output, etc $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # default listening socket $sa_spam_subject_tag = '***SPAM*** '; #Módosítások $sa_tag_level_deflt = -999; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.0; # add 'spam detected' headers at that level $sa_kill_level_deflt = 21.0; # triggers spam evasive actions $sa_dsn_cutoff_level = 4; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? # Quota limits to avoid bombs (like 42.zip) $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes $final_virus_destiny = D_DISCARD; # (data not lost, see virus quarantine) $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA # Nem küldünk vissza spammet. $final_spam_destiny = D_DISCARD; $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) $enable_dkim_verification = 0; #disabled to prevent warning $virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default $X_HEADER_LINE = "Debian $myproduct_name at = (new_re( [qr'\beicar\b'i => 0], # av test pattern name 59

60 [qr/.*/ => 1], # true for everything else = (new_re( qr'^mail-undecipherable$', # recheck full mail if it contains undecipherables qr'^(ascii(?! cpio) text uuencoded xxencoded binhex)'i, # qr'^zip archive data', # don't trust Archive::Zip )); $banned_filename_re = new_re( qr'\.[^./]*\.(exe vbs pif scr bat cmd com cpl dll)\.?$'i, qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?$'i, # Windows Class ID CLSID, strict qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, qr'.\.(exe vbs pif scr bat cmd com cpl)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types = ({ # a by-recipient hash lookup table, # results from all matching recipient tables are summed ## site-wide opinions about senders (the '.' matches any recipient) '.' => [ # the _first_ matching sender determines the score boost new_re( # regexp-type lookup table, just happens to be all softblacklist [qr'^(bulkmail offers cheapbenefits earnmoney foryou)@'i => 5.0], [qr'^(greatcasino investments lose_weight_today market\.alert)@'i=> 5.0], [qr'^(money2you MyGreenCard new\.tld\.registry opt-out opt-in)@'i=> 5.0], [qr'^(optin saveonlsmoking2002k specialoffer specialoffers)@'i => 5.0], [qr'^(stockalert stopsnoring wantsome workathome yesitsfree)@'i => 5.0], [qr'^(your_friend greatoffers)@'i => 5.0], [qr'^(inkjetplanet marketopt MakeMoney)\d*@'i => 5.0], ), }, ], # end of site-wide tables }); 1; # ensure a defined return A beállítások módosítása után az Amavisd-new démont újra kell indítani: sudo /etc/init.d/amavis restart Az Amavis programot be kell állítani a Postfixszel való együttműködésre. Ez az alábbi paranccsal végezhető el: sudo postconf -e 'content_filter = smtp-amavis:[ ]:10024' A parancs lefuttatása után a /etc/postfix/master.cf fájlt szerkeszteni kell. A fájl tartalma a módosítás után a következő: (A módosításokat kiemeltem az áttekinthetőség kedvéért.) # 60

61 ========================================================================= = # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================= = smtp inet n smtpd pickup fifo n 60 1 pickup #Pickup -o content_filter= -o receive_override_options=no_header_body_checks cleanup unix n 0 cleanup qmgr fifo n n qmgr #qmgr fifo n oqmgr tlsmgr unix 1000? 1 tlsmgr rewrite unix trivial-rewrite bounce unix 0 bounce defer unix 0 bounce trace unix 0 bounce verify unix 1 verify flush unix n 1000? 0 flush proxymap unix n proxymap proxywrite unix n 1 proxymap smtp unix smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix smtp -o smtp_fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n showq error unix error retry unix error discard unix discard local unix n n local virtual unix n n virtual lmtp unix lmtp anvil unix 1 anvil scache unix 1 scache maildrop unix n n pipe flags=drhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix n n pipe flags=fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix n n pipe flags=f user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix n n pipe flags=fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scal -backend unix n n 2 pipe flags=r user=scal argv=/usr/lib/scal /bin/scal -store $ {nexthop} ${user} ${extension} mailman unix n n pipe flags=fr user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} 61

62 #Amavis integráció: smtp-amavis unix -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20-2 smtp :10025 inet n smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks= /8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_check slocadm A beállításokat telnet segítségével teszteltem. telnet localhost Squirrelmail. Webmail szolgáltatás [14], [32], A Squirrelmail segítségével valósítottam meg a levelezés Internet irányából történő külső elérését. A Squirrelmail elérése 80-as és 443-as porton keresztül is lehetséges. Ezt a lehetőséget már korábban beállítottam az Apache2 szerveren. A távoli elérés során javasolt kapcsolódás a 443-as https porton keresztül javasolt. A Squirrelmail telepítése az alábbi paranccsal hajtható végre. sudo apt-get install squirrelmail A telepítés után módosítani kell a konfigurációt a /etc/squirrelmail/config.php fájlban. A kiemelt sorok kerültek módosításra! $org_name = $org_logo = $org_logo_width $org_logo_height $org_title = $signout_page = $frame_top = $provider_uri $provider_name $motd = ""; "Rosal"; SM_PATH. 'images/sm_logo.png'; = '308'; = '111'; "Rosal nonprofit organization (teszt)"; ''; '_top'; = ' = 'SquirrelMail'; 62

63 $squirrelmail_default_language = 'en_us'; $default_charset = 'iso '; $lossy_encoding = false; $domain = 'rosal.zapto.org'; $imapserveraddress = ' '; $imapport = 143; $usesendmail = false; $smtpserveraddress = ' '; $smtpport = 25; $sendmail_path = '/usr/sbin/sendmail'; $sendmail_args = '-i -t'; $pop_before_smtp = false; $pop_before_smtp_host = ''; $imap_server_type = 'other'; $invert_time = false; $optional_delimiter = 'detect'; $encode_header_key = ''; A levelező rendszer külső elérése az alábbi linken lehetséges. (53. ábra) ábra. Squirrelmail belépés FUTO szerver [11], A FUTO szerver. A Belső zóna legfontosabb gépe. Ez az a szerver, amin a legtöbb szolgáltatás fut. A rendszer felhasználói munkájuk során ezt a gépet használják A hálózat beállítása: A hálózati interfészek konfigurálása a /etc/network/interfaces fájlban lehetséges. A fájl tartalma következő: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask gateway

64 Címfeloldás beállítása A címfeloldást hálózatban a VEZER szerver szolgáltatja. A beállítást a /etc/resolv.conf fájlban kell elvégezni. A fájl tartalma a következő: nameserver domain rosal.zapto.org search rosal.zapto.org NTP szinkronizálás beállítás Az /etc/ntp.conf fájlba fel kell venni a VEZER szervert, mint NTP kiszolgálót. A fájl tartalma a módosítás után a következő. driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable # Vezer szerver mint idokiszolgalo server restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict restrict :: Postfix. Mail szerver [11], [12], A FUTO szerver az elsődleges levelező szerver. A kliensek IMAP protokoll segítségével kapcsolódnak a FUTO szerverhez. A levelek küldésének logikája a Levelezés a hálózaton. fejezetben található. A Postfix telepítése megegyezik a Vezer szervernél leírtakkal, így ezt itt külön nem fejtem ki. A konfigurációban viszont már vannak különbségek. A Postfix beállításához a /etc/postfix/main.cf fájlt kell szerkeszteni. A fájl tartalma módosítás után a következő: smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no # appending.domain is the MUA's job. append_dot_mydomain = no readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache myhostname = futo alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = rosal.zapto.org, mail.rosal.zapto.org, localhost.localdomain, localhost, futo, rosal relayhost = [ ] mynetworks = /8 [::ffff: ]/104 [::1]/ /16 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all virtual_alias_maps = hash:/etc/postfix/virtual sender_bcc_maps = hash:/etc/postfix/bcc 64

65 mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME home_mailbox = Maildir/ smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination allow_percent_hack = no A Postfix szerver működését telnet segítségével teszteltem. telnet localhost Dovecot. Imap szolgáltatás [13], [33], Ahhoz, hogy a levelezés IMAP protokoll segítségével elérhető legyen, telepítettem a Dovecot programot. A program telepítése a következő paranccsal lehetséges. sudo apt-get install dovecot-postfix A Dovecot működésének teszteléséhez az alábbi parancsokat kell kiadni. keresztül sikeres-e a belépés. a telneten telnet localhost pop3 telnet localhost imap2 Ha látható a szolgáltatás, és be is tudunk lépni, akkor megfelelően sikerült beállítani a szolgáltatást. A konfigurálás befejeztével a Postfix-et újra kell indítani. sudo /etc/init.d/postfix restart DHCP szerver [11], [34], A Belső zónába szeretnék DHCP szolgáltatást nyújtani, ezért szükséges DHCP szervert telepíteni. A hálózat tervezése során meghatároztam, hogy a szerverek manuálisan beállított fix IP címet kaptak, így ezeknek nincs szükségük a DHCP szolgáltatásra. A DHCP kliensek tartományát ig határoztam meg. Az ebben a tartományban lévő gépek véletlenszerű címet kapnak a DHCP szervertől. A DHCP szolgáltatás csak a Belső zónára korlátozódik. A DHCP szerver telepítése a következő parancs segítségével telepíthető: sudo apt-get install dhcp3-server A DHCP3 szerver Interfész beállításait a /etc/default/dhcp3-server fájlban lehet módosítani. Mivel alapértelmezetten az eth0 interfészen keresztül próbál kommunikálni, így a fájl módosítása nem szükséges. A DHCP kiszolgáló konfigurálását a /etc/dhcp3/dhcpd.conf fájlban kell elvégezni. Fontos, hogy a fix IP címes kliensek konfigurálását itt kell beállítani. A fix IP cím rögzítéséhez szükség van a kliens MAC address adataira. Így a fix IP címre beállítani kívánt gépeken nincs szükség más beállításokra. A fix IP címes gépek két csoportra oszlanak tol ig vannak azok a címek, akiknek a proxy nem végez tartalom szűrést tol ig vannak 65

66 azok a címek, akiknek a proxy nem engedélyezi a kommunikációt az Internettel. A Proxy szerver konfigurációját lásd a VEZER szerver Proxy beállításainál! A /etc/dhcp3/dhcpd.conf fájl tartalmát a következőképpen módosítottam: default-lease-time 21600; max-lease-time 43200; option subnet-mask ; option broadcast-address ; option domain-name-servers ; option domain-name "rosal.zapto.org"; option routers ; option ntp-servers ; subnet netmask { range ; #Fix IP cím ek DHCP-vel koisztva tol ig. host gyalog1 { hardware ethernet 08:00:27:aa:60:4c; fixed-address ; } #Fix IP cím ek DHCP-vel koisztva tol ig. #Proxy nem engedi at azokat, akiket ide felveszek. #Teszt proxy tiltás #host gyalog2 { # hardware ethernet 08:00:27:8f:1d:79; # fixed-address ; # } #host kliens { # hardware ethernet 08:10:67:ba:40:2c; # fixed-address ; # } } A konfigurálás végeztével a dhcp szervert újra kell indítani. sudo /etc/init.d/dhcp3-server restart MySQL adatbázis szerver [11], [16], [17], A rendszer működésében fontos erőforrás egy adatbázis szerver. Egyenlőre demonstrációs jelleggel egy telefonkönyv adatbázist futtatok rajta, amit a VEZER szerveren futó web szerver használ a weblap megjelenítéséhez. Ezzel demonstrálni szeretném a szolgáltatás működőképességét. Az adatbázis szerver további funkcióját a napi használat során a rendszer felhasználói fogják testre szabni. 66

67 A MySQL telepítését az alábbi paranccsal végezhetjük el. sudo apt-get install mysql-server A telepítő a telepítés során bekéri a MySQL adminisztrátori jelszavát. Lásd az alábbi képernyőképeket. ( ábra) 54. ábra. MySQL telepítés, root jelszó megadása. 55. ábra. MySQL telepítés, root jelszó megadása, ismétlés. A telepítés után ellenőrizni kell a MySQL szerver futását. sudo netstat -tap grep mysql Ahhoz, hogy a szerverünk adatbázis kiszolgálóként üzemelhessen, szerkeszteni kell a /etc/mysql/my.cnf fájlt. A bind-address résznél meg kell adni a szerver ip címét. A fájl tartalma a módosítás után a következő: [client] port = socket [mysqld_safe] socket nice = [mysqld] user = socket port = basedir datadir 3306 = /var/run/mysqld/mysqld.sock = /var/run/mysqld/mysqld.sock 0 mysql = /var/run/mysqld/mysqld.sock 3306 = /usr = /var/lib/mysql 67

68 tmpdir = /tmp skip-external-locking bind-address = key_buffer = 16M max_allowed_packet = 16M thread_stack = 192K thread_cache_size = 8 myisam-recover = BACKUP query_cache_limit = 1M query_cache_size = 16M log_error = /var/log/mysql/error.log expire_logs_days = 10 max_binlog_size = 100M [mysqldump] quick quote-names max_allowed_packet = 16M [mysql] #no-auto-rehash # faster start of mysql but no tab completition [isamchk] key_buffer = 16M!includedir /etc/mysql/conf.d/ A konfigurálás végeztével újra kell indítani a MySQL szolgáltatást. sudo /etc/init.d/mysql restart A MySQL szerver egyszerűbb adminisztrálásához a Phpmyadmin szoftvert választottam. A program telepítését az alábbi paranccsal lehet elvégezni: sudo apt-get install phpmyadmin Mivel nem távoli szervert akarok vele adminisztrálni, ezért további konfigurálás nem szükséges. Az adatbázis adminisztrálása ezután egy Webes felületen keresztül grafikus interfészen folytatható. A telepítés sikerességének tesztelése céljából lépjünk be a webes felületre egy kliens gépről A webes interfész elérhetősége a következő: Belépés a MySQL szerver root felhasználójával és az annak megadott jelszavával lehetséges. (56-57.ábra) 56. ábra. PHPMyadmin belépés 68

69 57. ábra. PHPMyadmin konfigurációs felület Samba fájlszerver [11], [21], [35], A hálózaton lévő adattárolást és az adatok jogosultság szintű szegmentálását a Samba szerverrel valósítottam meg. A rendszer logikája szerint a kliens gépeken lokálisan semmilyen fontos fájl nem tárolható. Erről a szervezet informatikai üzemeltetési szabályzatában kell rendelkezni. Az adatokat a Samba szerveren a megfelelő könyvtárakban kell elhelyezni. Az adatok védelmét napi mentés segítségével biztosítottam. A napi mentések konfigurációjának kifejtése a CSIKO szerver Backuppc résznél található. A Samba telepítése a következő parancs segítségével végezhető: sudo apt-get install samba A hálózati fájlmegosztás számára létrehoztam egy könyvtárat. Ebbe a könyvtárba kerül majd minden megosztani kívánt adat. sudo mkdir -p /srv/samba/share A Samba konfigurálása a /etc/samba/smb.conf fájlban lehetséges. A fájl végére tettem a megosztássokkal kapcsolatos beállításokat. A módosításokat kiemeléssel jeleztem. A fájl tartalma a következő: [global] workgroup = WORKGROUP server string = %h server (Samba, Ubuntu) ; wins server = w.x.y.z dns proxy = no ; name resolve order = lmhosts host wins bcast ; interfaces = /8 eth0 ; bind interfaces only = yes log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d passdb backend = tdbsam 69

70 obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully*. pam password change = yes map to guest = bad user ; domain logons = yes ; logon path = \\%N\profiles\%U ; logon drive = H: ; logon script = logon.cmd ; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u ; add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u ; add group script = /usr/sbin/addgroup --force-badname %g ; printing = bsd ; printcap name = /etc/printcap ; printing = cups ; printcap name = cups ; include = /home/samba/etc/smb.conf.%m ; message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' & ; idmap uid = ; idmap gid = ; template shell = /bin/bash ; winbind enum groups = yes ; winbind enum users = yes ; usershare max shares = 100 usershare allow guests = yes ;[homes] ; comment = Home Directories ; browseable = no ; read only = yes ; create mask = 0700 ; directory mask = 0700 ; valid users = %S ;[netlogon] ; comment = Network Logon Service ; path = /home/samba/netlogon ; guest ok = yes ; read only = yes ; share modes = no ;[profiles] ; comment = Users profiles ; path = /home/samba/profiles ; guest ok = no ; browseable = no ; create mask = 0600 ; directory mask = 0700 [printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700 [print$] comment = Printer Drivers path = /var/lib/samba/printers 70

71 browseable = yes read only = yes guest ok = no ; write list = ;[cdrom] ; comment = Samba server's CD-ROM ; read only = yes ; locking = no ; path = /cdrom ; guest ok = yes ; preexec = /bin/mount /cdrom ; postexec = /bin/umount /cdrom [share] comment = Rosal fájlkiszolgáló path = /srv/samba/share writable = yes valid users create mask = 0755 directory mask = 0660 force group = root browsable = yes guest ok = no read only = no [vezeto] comment = Vezetői anyagok path = /srv/samba/share/vezeto writable = yes valid @konyveles read list = create mask = 0660 directory mask = 0770 force group = vezeto browsable = yes guest ok = no read only = no [munka] comment = Munkával kapcsolatos anyagok path = /srv/samba/share/adattar writable = yes valid read list = create mask = 0660 directory mask = 0770 force group = vezeto browsable = yes guest ok = no read only = no [projekt] comment = Projektek path = /srv/samba/share/projekt writable = yes valid @audit read list create mask = 0660 directory mask = 0770 force group = vezeto browsable = yes 71

72 guest ok = no read only = no [dokumentumok] comment = Nyilvános dokumentumok path = /srv/samba/share/dokumentumok writable = yes valid @dokumentumok read list create mask = 0660 directory mask = 0770 force group = vezeto browsable = yes guest ok = no read only = no A fenti beállítások közt definiáltam a rendszer által használt megosztásokat. Az egyes felhasználók és felhasználói csoportok hozzáférés jogosultságainak kifejtése a Felhasználók és jogosultságaik fejezetnél következik SWAT Samba konfigurálás [22], A Samba adminisztrálására a Swat programot választottam. A Swat telepítéséhez a Swat programon kívül szükség van a Xinetd összetevő hozzáadására is. A Swat telepítése a következő paranccsal lehetséges: sudo apt-get install swat xinetd A telepítés után elkészítettem a szerviznek egy konfigurációs állományt. sudo nano /etc/xinetd.d/swat A fájl tartama a következő: service swat { port = 901 socket_type = stream wait = no # Use only_from if you want to restrict access # only_from = localhost user = root server = /usr/sbin/swat log_on_failure += USERID disable = no A Swat elindításához újra kell indítani a Swat alkalmazást. Figyelem! Az indítás nem a megszokott /etc/init.d mappában történik! sudo /etc/init.d/xinetd restart Mivel a belépés csak root felhasználóval lehetséges, ezért a FUTO szerver konzolján megváltoztattam a root felhasználó jelszavát! sudo passwd root 72

73 A megfelelő működés tesztelését egy kliens gépről a webes adminisztrációs felületen végeztem. A Swat adminisztrációs felület elérhetősége a FUTO szerver 901-es portja az alábbiak szerint. Belépés root felhasználóval. (58.ábra) 58. ábra. SWAT belépés A sikeres belépés után az alábbi ablak látható. (59.ábra) 59. ábra. SWAT adminisztrációs felület. 73

74 10.4 CSIKO szerver [11], A CSIKO szerver elsősorban rendszeradminisztrációs feladatokat lát el. E szerver leállása esetén a rendszer működőképes marad. Szolgáltatásait tekintve rendszervisszaállítási és rendszermonitorozási lehetőségeket valósítottam meg rajta. Elsődleges feladata a Samba szerveren lévő adatok mentése. Az üzemeltetéshez kapcsolódó időszakos rendszergazdai beavatkozások előtt e szerverről lehetséges rendszermentések indítása a többi szerverről A hálózat beállítása: A hálózati interfészek konfigurálása a /etc/network/interfaces fájlban lehetséges. A fájl tartalma következő: auto lo iface lo inet loopback # The primary network interface #auto eth0 #iface eth0 inet dhcp auto eth0 iface eth0 inet static address netmask gateway NTP szinkronizálás beállítása A hálózaton az NTP szolgáltatást a VEZER biztosítja. A beállítást a /etc/ntp.conf fájlban kell beállítani. A fájl tartalma a következő: driftfile /var/lib/ntp/ntp.drift statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable # Vezer szerver mint idokiszolgalo server restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery restrict restrict :: Címfeloldás beállítása A címfeloldást hálózatban a VEZER szerver szolgáltatja. A beállítást a /etc/resolv.conf fájlban kell elvégezni. A fájl tartalma a következő: nameserver domain rosal.zapto.org search rosal.zapto.org 74

75 Backuppc. Backup szerver [25], A Backuppc telepítése a következő parancs segítségével végezhető el. sudo apt-get install backuppc A telepítő a telepítés során automatikusan egy Apache2 szervert is feltelepít. Amennyiben a Backuppc webes interfészét szeretnénk használni, ki kell jelölni a telepítőben az Apache2szerver használatát. (60.ábra) 60. ábra. Backuppc Apache engedélyezés A telepítő automatikusa elkészít egy jelszót a backuppc felhasználónak. Ezt később meg kell változtatnunk. A következő képernyőképen látható a jelszó amit a telepítő készít. (61.ábra) 61. ábra. Bakuppc admin jelszó. 75

76 A következő lépésként be kell állítani a a backuppc felhasználó jelszavát. sudo htpasswd /etc/backuppc/htpasswd backuppc A jelszó a /etc/backuppc/htpasswd fájlban titkosítottan tárolásra kerül. A jelszó beálíltása után tesztelni kell a kapcsolódás sikerességét. Futtassuk az alábbi parancsot. (Itt a FUTO szervert tesztelem.) nmblookup futo Ha sikeres, akkor futtassuk a következő parancsot. nmblookup -A Ha sikeresek a tesztek, akkor megkezdhető a menteni kíván szerverek konfigurálás. A mentések klienseként történő beállítása nem különíthető el a Backuppc beállításaitól, így ezen beállításokat nem az egyes szerverek beállításainál, hanem ebben a fejezetben fejtem ki. Mivel az egyes beállítások szerverenként a szervernév paraméteren kívül megegyeznek, ezért nem írom le külön-külön az összes szerver konfigurálását. A fő feladatként mentendő szerver a FUTO szerver, ezért példaként a FUTO szerver beállítását írom le. A többi szerver mentéséhez ugyanezeket a lépéseket kell elvégezni lépésről lépésre, azzal a különbséggel, hogy értelemszerűen a szerverév gépenként változik. A beállítás elsőre kicsit bonyolultnak tűnik, ezért fontos, hogy lépésről lépésre hajtsuk végre az alábbi pontokat. A FUTO szerveren végezzük el az alábbi műveleteket! Telepíteni kell az rsync, az ssh és az openssh-server programot az alábbi paranccsal. sudo apt-get install rsync ssh openssh-server Be kell álíltani a root felhasználó jelszavát az alábbi paranccsal. sudo passwd root Be kell lépni root felhasználóként. sudo su Be kell lépni a home könyvtárba. Cd ~/ Kulcspárt kell generálni a root felhasználó számára. ssh-keygen -t rsa A kulcs generálása során nem kell paraméterként megadni semmit. Egyszerű enterekkel lépjünk tovább addig, amíg vissza nem kapjuk a parancssort. Ha visszakaptuk a paranccsort, akkor lépjünk be az.ssh könyvtárba. cd ~/.ssh 76

77 Ellenőrizzük a kulcsfájlok meglétét. ls -lah Valami hasonlót kell kell látnunk. drwx-----drwx------rw rw root root root root root 4,0K :48. root 4,0K :49.. root 1,7K :29 id_rsa root :29 id_rsa.pub Ellenőrizzük a jogosultságokat! Példámban az id_rsa fájl jogosultságai megfelelőek (600) Az id_rsa.pub fájl jogosultságát módosítsuk a következőképpen. sudo.chmod 0644 ~/.ssh/id_rsa.pub Készítsünk egy másolatot a backup szerver számára a kulcsról az alábbi paranccsal. cp id_rsa.pub futo_id_rsa.pub A további beállításokat a CSIKO szerveren kell folytatni! A CSIKO szerveren a következő lépéseket hajtsuk végre. Módosítsuk a backuppc felhasználó jelszavát. sudo passwd backuppc Jelentkezzünk be a backuppc felhasználóval. su backuppc Generáljunk egy kulcspárt. ssh-keygen -t rsa Készítsünk egy másolatot a kliensek részére az id_rsa.pub fájlból. cp ~/.ssh/id_rsa.pub ~/.ssh/backuppc_id_rsa.pub A kulcs generálása során nem kell paramétert megadni. Sima enterekkel lépjünk tovább, míg vissza nem kapjuk a parancssort. Fel kell tölteni a CSIKO szerverről a CSIKO szerver kulcsát a FUTO szerverre az alábbi paranccsal. scp root@ :/root/.ssh/futo_id_rsa.pub ~/.ssh/ A FUTO szerver kulcsát le kell tölteni a CSIKO szerverre az alábbi paranccsal. cp ~/.ssh/id_rsa.pub ~/.ssh/backuppc_id_rsa.pub 77

78 Ellenőrizzük a fájlok meglétét a CSIKO szerveren az alábbi paranccsal! $ ls -lah /var/lib/backuppc/.ssh/ Az ellenőrzés a FUTO szerverren is végezzük el! $ ls -lah /root/.ssh/ A FUTO szerveren rögzíteni kell az ismert gépeket egy fájlban. Adjuk ki az alábbi parancsot! cat ~/.ssh/backuppc_id_rsa.pub >> ~/.ssh/authorized_keys2 Az authorized_keys fájlban az első sor elejére vegyük fel a CSIKO szervert a következőt: from= nano ~/.ssh/authorized_keys2 from=" " ssh-rsa... A CSIKO szerveren is fel kell venni a FUTO szerver kulcsát az ismert kulcsok közé az alábbi paranccsal. cat ~/.ssh/futo_id_rsa.pub >> ~/.ssh/known_hosts A CSIKO szerveren törölni a FUTO szerver publikus kulcsát. Nincs már rá többé szükség: rm -f /var/lib/backuppc/.ssh/futo_id_rsa.pub Be kell állítani a jogok a CSIKO és a FUTO szervere isr. Mindkét helyen adjuk kiki az alábbi parancsot. chmod -R go-rwx ~/.ssh A kulcspárok megfelelő működését a következő módon teszteltem. A backuppc felhasználóval bejelentkezve CSIKO szerverről futtatni a root bejelentkezést a FUTO szerver felé az alábbi paranccsal. Ha a beálíltáok jók, akkor a folyamat során a parancs nem szabad jelszót kérjen, hanem vissza kell dobja a root felhasználó nevét. $ ssh -l root whoami root A FUTO SZERVEREN adjuk ki az alábbi parancsot. ssh backuppc@futo Ha a beállítások jók, akkor az alábbihoz hasonló eredményt kell kapjunk. locadmin@futo:~$ ssh backuppc@futo The authenticity of host 'futo ( )' can't be established. RSA key fingerprint is 6a:70:3a:aa:1e:02:e9:d3:be:96:4e:ee:26:7e:db:7e. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'futo' (RSA) to the list of known hosts. backuppc@futo's password: 78

79 Ne adjuk meg a jelszót! ctrl+c -vel szakítsuk meg a folyamatot. Ezzel a mentések végrehajtásához szükséges jelszó nélküli bejelentkezések konfigurálása kész. A fentiekhez egy kis magyarázat is tartozik. Be kellett állítanunk, hogy a root felhasználó nevében a backup szerver (CSIKO) jelszó megadása nélkül tudjon kapcsolódni. A fenti lépések ezt hivatottak beállítani. Enélkül a mentéseket jogosultság hiányában a CSIKO szerver nem tudja elvégezni. Ahhoz, hogy rendszer a többi szerverről is képes legyen mentést készíteni, a fenti lépéseket minden egyes szerveren el kell végezni! A mentések konfigurálása innen kezdve egy webes interfészen keresztül történik. Egy belső zónában lévő kliens gépről lépjünk be egy böngésző segítségével az alábbi linkre: Belépési név: backupp (62.ábra) 62. ábra. Backuppc belépés Ezen a felületen keresztül készítettem egy mentést, amely minden nap a FUTO szerver /srv/samba könyvtárát valamint a FUTO szerver /boot könyvtárát menti. (63.ábra) 63. ábra. Backuppc Samba mentés 79

80 A mentéseket minden szerverre felkonfiguráltam. A mentések prezentálása végett minden szerver /boot könyvtárának mentésére készítettem mentési feladatot. Ezek után a későbbiekben már gyerekjáték akár teljes rendszermentést ütemezni, vagy bármilyen más könyvtár mentését beállítani, melyre mentési igény felmerül. A mentések koordinálását egy kijelölt felhasználó is el tudja végezni. (64.ábra) 64. ábra. Backuppc, Host Summary A mentések létrehozása során nem volt cél a mentések külső médiára történő archiválása. Ennek kialakítása és a kialakítás módja igénytől, adatmennyiségtől és az adatok fontosságától függően a későbbiek során alakíthatók ki. A mentések létrehozásánál nem volt cél az időszakos teljes rendszer mentések bekonfigurálása. A teljes rendszermentéseket időszakos adminisztrációs feladatként határoztam meg, melyet egy képzett rendszergazdának kell végrehajtania és ellenőriznie. 80

81 Nagios. Rendszermonitorozás [24], A Nagios telepítését az alábbi paranccsal lehet elvégezni: sudo apt-get install nagios3 nagios-nrpe-plugin A telepítő bekéri a nagiosadmin felhasználó jelszavát. (65-66.ábra) 65. ábra. Nagios, nagisoadmin jelszó megadása. 66. ábra. Negios, nagisoadmin jelszó ismétlés A jelszót később is lehet módosítani az alábbi paranccsal. Illetve ugyanezzel a paranccsal további felhasználók is a Nagios-hez adhatók. sudo htpasswd /etc/nagios3/htpasswd.users nagiosadmin A jelszavak az /etc/nagios3/htpasswd.users fájlban titkosítottan kerülnek tárolásra. A szolgáltatás figyelések konfigurálása során csak azoknak a szolgáltatások a figyelését állítottam be, amelyek megítélésem szerint fontosak a rendszer működtetése szempontjából. Az alap szolgáltatásokon kívül megfigyelem a DHCP, DNS, SMTP, MySql, Web szerver, SSH eléréseket. A Nagios-t úgy állítottam be, hogy bármilyen hiba esetén küldjön egy t a locadmin@rosal.zapto.org címre. Az küldéshez konfigurálni kellett a CSIKO szerveren lévő Postfix szervert. A /etc/postfix/main.cf fájl tartalmát a következőre módosítottam: 81

82 smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no append_dot_mydomain = no #delay_warning_time = 4h readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache myhostname = csiko alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = csiko, localhost.localdomain,, localhost relayhost = mynetworks = /8 [::ffff: ]/104 [::1]/ /16 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all myorigin = /etc/mailname inet_protocols = all locadmin@csiko:~$ ^C locadmin@csiko:~$ A Nagios konfigurációs állományok és tartalmuk a következőek. /etc/nagios3/conf.d/contacts_nagios2.cfg define contact{ contact_name alias service_notification_period host_notification_period service_notification_options host_notification_options service_notification_commands host_notification_commands } define contactgroup{ contactgroup_name alias members } locadmin locadmin 24x7 24x7 w,u,c,r d,r notify-service-by- notify-host-by- locadmin@rosal.zapto.org admins Nagios Administrators locadmin /etc/nagios3/conf.d/generic-host_nagios2.cfg define host{ name this host template notifications_enabled enabled event_handler_enabled enabled flap_detection_enabled enabled failure_prediction_enabled enabled process_perf_data generic-host 82 ; The name of 1 ; Host notifications are 1 ; Host event handler is 1 ; Flap detection is 1 ; Failure prediction is 1 ; Process performance

83 data retain_status_information 1 ; Retain status information across program restarts retain_nonstatus_information 1 ; Retain non-status information across program restarts check_command check-host-alive max_check_attempts 10 notification_interval 0 notification_period 24x7 notification_options d,u,r contact_groups admins register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL HOST, JUST A TEMPLATE! notes Unknow host icon_image base/irix.png icon_image_alt Unknow host vrml_image irix.png statusmap_image base/irix.gd2 } define host { use name notes icon_image icon_image_alt vrml_image statusmap_image register } generic-host linux-server GNU/Linux server base/linux40.png Debian GNU/Linux linux40.png base/linux40.gd2 0 define host { use name notes icon_image icon_image_alt vrml_image statusmap_image register } generic-host linux-client GNU/Linux server base/ultrapenguin.png Debian GNU/Linux ultrapenguin.png base/ultrapenguin.gd2 0 define host { use name notes icon_image icon_image_alt vrml_image statusmap_image register } generic-host router Network Core Acessories base/router40.png Switch router40.png base/router40.gd2 0 define host { use name notes icon_image icon_image_alt vrml_image statusmap_image generic-host switch Network Core Acessories base/switch40.png Switch switch40.png base/switch40.gd2 83

84 } register 0 /etc/nagios3/conf.d/hostgroups.cfg define hostgroup { hostgroup_name all alias All Servers members * } define hostgroup { hostgroup_name rosal-area alias Rosal Area Network } define hostgroup { hostgroup_name internet alias Internet Network } define hostgroup { hostgroup_name http alias http register 0 ; nem latszik a webes feluleten } define hostgroup { hostgroup_name ssh alias ssh register 0 ; nem latszik a webes feluleten } define hostgroup { hostgroup_name mysql alias mysql register 0 ; } define hostgroup { hostgroup_name samba alias samba register 0 ; } define hostgroup { hostgroup_name dns alias dns register 0 ; } define hostgroup { hostgroup_name dhcp alias dhcp register 0 ; } define hostgroup { hostgroup_name state alias state register 0 ; } define hostgroup { hostgroup_name mail alias mail register 0 ; } define hostgroup { 84

85 } hostgroup_name alias register smtp mail 0 ; /etc/nagios3/conf.d/hosts-rosal-area.cfg define hostgroup { hostgroup_name all alias All Servers members * } define hostgroup { hostgroup_name rosal-area alias Rosal Area Network } define hostgroup { hostgroup_name internet alias Internet Network } define hostgroup { hostgroup_name http alias http register 0 ; nem latszik a webes feluleten } define hostgroup { hostgroup_name ssh alias ssh register 0 ; nem latszik a webes feluleten } define hostgroup { hostgroup_name mysql alias mysql register 0 ; } define hostgroup { hostgroup_name samba alias samba register 0 ; } define hostgroup { hostgroup_name dns alias dns register 0 ; } define hostgroup { hostgroup_name dhcp alias dhcp register 0 ; } define hostgroup { hostgroup_name state alias state register 0 ; } define hostgroup { hostgroup_name mail alias mail register 0 ; } 85

86 define hostgroup { hostgroup_name smtp alias mail register 0 ; } locadmin@csiko:~$ sudo cat /etc/nagios3/conf.d/hosts-rosal-area.cfg define host { use router host_name internet alias Internet Kapcsolat hostgroups internet, dns address } define host { use router host_name Modem alias Kulso Modem hostgroups internet address parents internet } define host { use router host_name bastya_kulso alias BASTYA Kulso Network hostgroups internet, ssh address parents Modem } define host { use switch host_name bastya_belso alias BASTYA Belso Network hostgroups rosal-area, ssh, state address parents bastya_kulso } define host { use switch host_name bastya_dmz alias BASTYA DMZ Network hostgroups rosal-area, ssh address parents bastya_kulso } define host { use linux-server host_name vezer alias VEZER DMZ hostgroups rosal-area, http, ssh, dns, smtp, state address parents bastya_dmz } define host { use linux-server host_name futo alias FUTO hostgroups rosal-area, ssh, mysql, state, mail, smtp, dhcp address parents bastya_belso } 86

87 define host { use host_name alias hostgroups address parents } #Kliensek define host { use host_name alias hostgroups address parents } linux-server csiko CSIKO rosal-area, ssh, state bastya_belso linux-client gyalog01 GYALOG01 rosal-area, state bastya_belso /etc/nagios3/conf.d/localhost_nagios.cfg define host{ # use template to use use template to use host_name alias address parents } define service{ use service template to use host_name service_description check_command } define service{ use service template to use host_name service_description check_command } define service{ use service template to use host_name service_description check_command } define service{ use service template to use host_name service_description check_command } generic-host linux-server ; Name of host ; Name of host localhost localhost futo generic-service ; Name of localhost Disk Space check_all_disks!20%!10% generic-service ; Name of localhost Current Users check_users!2!3 generic-service ; Name of localhost Total Processes check_procs!260!300 generic-service ; Name of localhost Current Load check_load!5.0!4.0!3.0!10.0!6.0!4.0 87

88 /etc/nagios3/conf.d/services_nagios2.cfg #Szervizek define service { name active_checks_enabled passive_checks_enabled parallelize_check obsess_over_service check_freshness notifications_enabled event_handler_enabled flap_detection_enabled failure_prediction_enabled process_perf_data retain_status_information retain_nonstatus_information notification_interval is_volatile check_period normal_check_interval retry_check_interval max_check_attempts notification_period notification_options contact_groups register } #HTTP eleres ellenorzese define service { hostgroup_name service_description check_command use } #SSH ellenorzes define service { hostgroup_name service_description check_command use } #Ping ellenorzes define service { hostgroup_name service_description check_command use } define service { hostgroup_name service_description check_command use } #DNS ellenorzes define service { hostgroup_name service_description check_command use generic-service x x7 w,u,c,r admins 0 http HTTP check_http generic-service ssh SSH check_ssh generic-service rosal-area PING check_ping!100.0,20%!500.0,60% generic-service internet PING check_ping!100.0,29%!500.0,60% generic-service dns DNS check_dns generic-service 88

89 } #DHCP ellenorzes define service { hostgroup_name dhcp service_description DHCP check_command check_dhcp use generic-service } #MySQL ellenorzes define service { hostgroup_name mysql service_description MySQL check_command check_mysql_cmdlinecred!nagios! secret!$hostaddress use generic-service } #Altalanos rendszer allapot tesztelese define service { hostgroup_name state service_description Disk Space check_command check_all_disks!20%!10% use generic-service } define service { hostgroup_name service_description check_command use } define service { hostgroup_name service_description check_command use } define service { hostgroup_name service_description check_command use } #Levelezés tesztelése define service { hostgroup_name service_description check_command use } define service { hostgroup_name service_description check_command use } define service { hostgroup_name service_description check_command use } state Current Users check_users!2!3 generic-service state Total Processes check_procs!260!300 generic-service state Current Load check_load!5.0!4.0!3.0!10.0!6.0!4.0 generic-service mail IMAP check_imap generic-service mail POP3 check_pop generic-service smtp SMPT check_smtp generic-service 89

90 /etc/nagios3/conf.d/timeperiods_nagios2.cfg define timeperiod{ timeperiod_name alias sunday monday tuesday wednesday thursday friday saturday } 24x7 24 Hours A Day, 7 Days A Week 00:00-24:00 00:00-24:00 00:00-24:00 00:00-24:00 00:00-24:00 00:00-24:00 00:00-24:00 define timeperiod{ timeperiod_name alias monday tuesday wednesday thursday friday } workhours Standard Work Hours 09:00-17:00 09:00-17:00 09:00-17:00 09:00-17:00 09:00-17:00 define timeperiod{ timeperiod_name alias sunday monday tuesday wednesday thursday friday saturday } nonworkhours Non-Work Hours 00:00-24:00 00:00-09:00,17:00-24:00 00:00-09:00,17:00-24:00 00:00-09:00,17:00-24:00 00:00-09:00,17:00-24:00 00:00-09:00,17:00-24:00 00:00-24:00 # This one is a favorite: never :) define timeperiod{ timeperiod_name never alias Never } A DHCP monitorozáshoz módosítottam a /usr/lib/nagios/plugins/check_dhcp fájl jogosultságait az alábbi módon. sudo chown root:nagios check_dhcp sudo chmod 4710 check_dhcp Minden gépre amit monitorozni szeretnék fel kell telepíteni a nagios-nrpe-server csomagot. Ez a csomag alapértelmezetten tartalmaz pár monitorozási lehetőséget. A klienseken egyedüli paraméterként a Nagios szerver IP címét kell megadni. A módosítandó fájl: /etc/nagios/nrpe.cfg A módosítandó érték: allowed_hosts=

91 A módosítás után újra kell indítani a Nagios Nrpe Szervert az alábbi paranccsal. sudo /etc/init.d/nagios-nrpe-server A Nagios működését egy kliens munkaállomásról bejelentkezve tesztelhetjük. Jelentkezzünk be a nagiosadmin felhasználóval! ( ábra) 67. ábra. Nagios bejelentkezés. 68. ábra. Nagios kezdőlap. 91

92 69. ábra. Nagios szolgáltatások figyelése A Nagios számos más monitorozó lehetőséget tartalmaz. Ezek testreszabását a felhasználói igényeknek megfelelően kell kialakítani. A Nagios beállítása meglehetősen bonyolult, ezért a szabályrendszer bővítése mindenképpen rendszergazdai felügyeletet, és gondos tervezést kíván. 92

93 10.5 Kliens munkaállomások beállításai. A Kliens munkaállomás operációs rendszerének telepítése után gyakorlatilag a munka azonnal megkezdhető. A továbbiakban rendszer megbízott adminisztrátorának feladata, hogy meghatározza, hogy a telepített kliens fix vagy dinamikus IP címet kap-e, illetve proxy szűrés alá vonja-e a gépet, vagy sem. A munkaállomás számára a kiépített szolgáltatásokból az alábbi beállításokat kell elvégezni Nagios Be lehet álltani, hogy a munkaállomás hardver állapota megjelenjen a Nagios által figyelt gépek közt. A beállítás módját a Nagios konfigurációnál leírt módon kell végrehajtani. Amennyiben a gépet Nagios segítségével fogjuk monitorozni, akkor fix IP címet kell neki megadjunk. (70-71.ábra.) 70. ábra. Kliens Nagios figyelése 71. ábra. Kliens figyelése Nagiossal Levelezés Levelezéshez az Evolution program használatát állítottam be. Természetesen igényeknek megfelelően más IMAP kompatibilis levelező kliens beállítása is lehetséges. A levelezés beállításához a beállítandó felhasználónak rendelkeznie kell mailbox fiókkal. Ha ez rendelkezésre áll, akkor a levelező kliens programban a következő paramétereket kell beállítani. 93

94 Az alábbiakban a locadmin felhasználó beállításait mutatom be. A Személyazonosság fülön a következő adatokat kell megadni. (72.ábra.) Név: locadmin@rosalzapto.org Teljes név: locadmin cím: locadmin@rosal.zapto.org 72. ábra. beállítás, személyazonosság. A levelek fogadása fülön a következő adatokat kell megadni. (73.ábra.) Kiszolgáló típusa: IMAP Kiszolgáló: mail.rosal.zapto.org Felhasználónév: locadmin A jelszó megjegyzése mezőt be kell jelölni. 73. ábra. beállítás IMAP. 94

95 A levél küldése fülön a következő beállításokat kell megadni. (74.ábra.) Kiszolgáló típusa: SMTP Kiszolgáló: mail.rosal.zapto.org 74. ábra. beállítás, kiszolgáló. A beállítások után ez első kapcsolódáskor meg kell adni az fiókhoz tartozó jelszót Proxy [11], [18], Az Internet használatához a böngészőben mindenképpen meg kell adni a Proxy kiszolgálót. Enélkül nincs Internet elérhetőség. A beállítandó paraméterek a következőek. HTTP Proxy: port: 3128, és be kell jelölni ugyanezen cím használatát minden protokollhoz. Amennyiben a gép adminisztrátori funkciókat lát el, akkor fel kell venni a kivételek közé a , , címeket. (75.ábra.) 75. ábra. Proxy beállítások frissítéshez. 95

96 Hálózat A hálózat beállítása a gép MAC címének ismeretében a DHCP szerveren történik az alábbiak szerint ig fix IP cím, mely esetben a Proxy nem végez szűrést az Internet adatforgalmon ig Dinamikus IP cím, mely esetben a Proxy szűrést végez az Internet adatforgalmon. 101 és 200 közötti véletlenszerű IP cím kerül kiosztásra ig fix IP cím, mely esetben a Proxy nem engedélyezi az Internet adatforgalmat Hálózati Proxy Ahhoz, hogy a gép képes legyen a rendszer frissítéseket elérni, be kell állítani a hálózati proxy beállításokat. Meg kell adni a port: 3128 paramétereket. (76.ábra.) 76. ábra. Hálózati proxy megadása Gépnév A gépnevet a telepítéskor érdemes megadni. Például gyalogxx. Ahol az xx számot jelöl. A gépnév a /etc/hostname fájban kerül tárolásra. 96

97 A rendszerbiztonság Hálózatbiztonság A rendszer építése során a hálózat egyes logikai funkcióit megvalósító erőforrásai elkülönítésre kerültek. Ez azért van így, mert a rendszer egyes erőforrásait az üzleti logika szerint kívülről vagy belülről is elérhetővé kellett tenni. A hálózat szegmentálásáról a Bástya szerveren létrehozott tűzfal gondoskodik. (Lásd Rendszertervezés fejezet.) Biztosítottam a céges arculatért felelős Weblap Internet felől történő elérhetőségét. Titkosított kapcsolaton keresztül biztosítottam a levelező rendszer Internet irányából elérését is. Ezen kívül más erőforrást kívülről érkező kérés nem érhet el. A külső kéréseket csak a DMZ zónáig engedtem be oly módon, hogy csak azokat a szolgáltatásokat lehessen elérni, mely a rendszer működtetéséhez feltétlenül szükséges. Mindez igaz a Belső zóna felől érkező kérésekre is. Csak azon adatforgalom van megengedve, mely feltétlenül szükséges. A belső zóna felől az Internet kommunikáció Proxy szerveren keresztül valósul meg. Így a belülről kifelé történő kérések csak a DMZ zónáig mehetnek ki. A tűzfal szabályok valósítják meg az adatforgalom szabályozását. Ezen szabályok részletes kifejtése a BASTYA szerver konfigurálásánál A tűzfal című fejezetben található. A levelezés védelmét úgy oldottam meg, hogy a levelek tárolására a Belső zónában kialakított levelező szerver szolgál. Igaz, hogy a levelezés külső elérésére szolgáló program a DMZ zónában van, a levelek tárolása a Belső zónában kerül tárolásra Adatbiztonság Az általam felépített rendszer üzleti logikája szerint a legfontosabb védendő értéket a FUTO szerveren megvalósított Samba szerveren tárolt adatok jelentik. A hálózat kiépítése lehetővé teszi, hogy a FUTO szerveren lévő adatokat megfelelő jogosultság nélkül ne lehessen elérni. Ezt a funkciót a Linux alap szolgáltatásaként rendelkezésre álló felhasználói és fájlrendszer jogosultságok, valamint a Samba szerver által nyújtott hozzáférési jogosultságok kombinációjával érem el. Az adatok elérését megfelelő felhasználói szintű hozzáférések tervezésével hajtottam végre. Létrehoztam egy struktúrát, amely ezt az adatvédelmi funkciót lehetővé teszi. Ezen jogosultság rendszer megvalósításának kifejtése a Felhasználók és jogosultságaik részben kerül részletes kifejtésre Jelszavak védelme Mivel a leggyengébb láncszem mindig az ember, ezért a felhasználói jelszavak védelme kiemelten fontos feladat. Sajnos ezt csak megfelelő üzemeltetési és biztonsági szabályozással és azok betartatásával lehet biztosítani. Ennek kidolgozása a cégvezetés feladata. Szakdolgozatomban ezen dokumentációk elkészítésével nem foglalkozom Védelmi eszközök tesztelése A tűzfal tesztelése során önmegtámadással sikerrel teszteltem a tűzfal védelmi képességeit. A levelező rendszer építése során sikerrel teszteltem a rendszer vírus védelmét. Próba vírust küldtem levél mellékletként. A levelezést védő vírus védelmi rendszer a vírust elfogta, és karanténba helyezte. 97

98 11.5 Erőforrások elérésének biztosítása a szakdolgozat lektorálásához A szakdolgozatom lektorálásához biztosítom a hálózat erőforrásainak kívülről törtnő elérését. Ennek kialakítását VNC kapcsolaton keresztül egy kliens gép elérésével tudom biztosítani. A kliens gépről elérhető a rendszer összes erőforrása! SSH kapcsolaton keresztül maguk a szerverek is elérhetőek és vizsgálhatóak. E kapcsolódási lehetőségeket a lektorálási folyamat végeztével biztonsági okokból le kell zárni, mert biztonsági kockázatot jelent! A lektorálás megkönnyítése végett viszonylag egyszerű könnyen kezelhető egyszerű jelszavakat adtam meg. A lektorálás végeztével ezen jelszavakat mindenhol meg kell változtatni, mert a túl egyszerű jelszó biztonsági kockázatot jelent! 98

99 Üzemeltetés bemutatása Felhasználó létrehozása a rendszeren Felhasználó felvételéhez a FUTO szerveren az alábbi műveleteket kell elvégezni. Lépjünk be SSH segítségével a futó szerverre. ssh l locadmin 1; Linux felhasználó létrehozása a FUTO szerveren. sudo adduser felhasználónév A felhasználó FUTO szerverre való bejelentkezését le kell tiltani a /etc/passwd fájlban. Ennek módja az, hogy a felhasználóhoz tartozó /bin/bash értéket át kell írni /bin/false értékre. 2; Samba felhasználó létrehozása ugyanazzal a névvel és jelszóval. smbpasswd -a felhasználónév sudo service smbd restart sudo service nmbd restart A Samba jogosultságok beálíltása a mindenkori funkciónak megfelelően kell történjen. 3; Felhasználók csoportba sorolása. adduser user group A felhasználók csoport tagságait a mindenkori szerepköröknek megfelelően kell kialakítani. 4; Felhasználó létrehozása a megfelelő kliensen. A felhasználó mindenkori jogosultságait a betöltendő feladatnak megfelelően kell kialakítani! A Felhasználók és jogosultságaik fejezetnél kifejtett felhasználók a fenti irányelveknek megfelelően lettek létrehozva Mentések, rendszerhelyreállítás Napi mentés A napi mentés jelenleg naponta csak egyszer fut le és a FUTO szerveren lévő Samba fájl megosztásokat menti. Ezen kívül demonstrációs jelleggel minden szerver /boot könyvtáráról is készítek mentéseket. A mentett tartalom kibővítésének lehetősége adott. A későbbiek során felmerülő igények alapján a mentések kibővítése mindenképpen javasolt. 99

100 Rendszer mentés A telepített rendszerről célszerű egy teljes mentést készíteni, melyet biztonsági okokból külső adathordozóra célszerű menteni. Ennek segítségével meghibásodás esetén vissza lehet állítani a rendszer működőképességét. A Backuppc program segítségével időről időre meg lehet ismételni a mentési műveletet. A mentést lehetőleg olyan szakértő végezze, aki képes megállapítani a mentés sikerességét Katasztrófa terv A rendszer fizikai megsemmisülése esetére megfelelő szabályzatot kell kidolgozni. A rendszer mentésekből egy példányt földrajzilag elkülönített helyen célszerű tárolni. A szakdolgozatom úgy próbáltam felépíteni, hogy implementációs dokumentációként a rendszer a leírás alapján reprodukálható legyen. Ezen dokumentum alapján egy katasztrófa esetén a rendszer helyreállítható, így akár katasztrófa helyreállítási tervnek is tekinthető. A szakdolgozatomnak nem célja, hogy olyan dokumentumot hozzak létre, amely hozzáértés nélküli személyek részére is lehetővé teszi a tartalom megértését, és a benne foglalt ismeret alkalmazását. Úgymond egy takarítónő nem képes a leírás alapján reprodukálni a rendszert. Ezért egy katasztrófa során jelentkező kárelhárításhoz mindenképpen szakértői beavatkozás szükséges. Egy esetleges katasztrófa elkerülésére mindenképpen javasolt a rendszer üzembe állása után egy teljes rendszer mentést végezni, melyet külső adathordozóra kell írni. Ezen médiáról egy rendszerösszeomlás esetén egy korábbi állapot visszaállítható. Célszerű e mentést időről időre megismételni. Jelenleg a kiépített szerverek méret alapján bőven ráférnek szerverenként egy DVD lemezre. Ez akár havi szintű üzemeltetési feladat is lehet Rendszer ellenőrzés, Rendszerfelügyelet A rendszer ellenőrzésére a Nagios szoftvert használom. Szakdolgozatom egyik célja a költségcsökkentés lehetőségeinek a megvalósítása. Az üzemeltetési költségek optimalizálhatóak, ugyanis a Nagios lehetővé teszi, hogy a rendszer nem igényel állandó rendszergazdai jelenlétet. A rendszert egy megbízott felhasználó (superuser) is figyelheti, vagy a riasztásokat egy megbízott felhasználó címére is lehet továbbítani. Jelenleg a locadmin felhasználó kapja meg az riasztásokat. (77.ábra.) 77. ábra. Nagios riasztás 100

101 A Nagios adminisztrációs felületén egyértelműen látható, hogy melyik szolgáltatással van probléma. A szolgáltatások státuszát színkódok is jelzik. Hiba esetén van csak szükség rendszergazdai szintű beavatkozásra, ezzel is lehet csökkenteni az üzemeltetési költségeket. A Nagios a címen érhető el. A belépéshez a nagiosadmin felhasználóra van szükség. (78.ábra.) 78. ábra. Nagios státusz ablak. Hálózati hiba esetén térképen is megjeleníthető a megfigyelt gépek állapota. (79.ábra.) 79. ábra. Nagios térkép 101

102 12.4 Rendszer indítása A rendszer a szerver bekapcsolásával indítható. Az egyes szerverek indítási sorrendjét az alábbiakban határoztam meg: 1. BASTYA szerver. 2. VEZER szerver. 3. FUTO szerver. 4. CSIKO szerver. 5. Kliensek. A gépek elindulása után más teendőnk nincs Rendszer leállítása A rendszer leállítása az alábbi paranccsal történik. sudo shutdown -h now A rendszer leállításának sorrendjét a következő sorrendben határoztam meg: 1. CSIKO szerver. 2. FUTO szerver. 3. VEZER szerver. 4. BASTYA szerver. A leállítás során más teendőnk nincs. A leállítás után a rendszer nem fogad külső adatkapcsolatokat, tehát a rosal.zapto.org végződésű címekre a levelek nem fognak megérkezni, és a külvilág felé nyújtott szolgáltatások, úgymint webszájt, stb. sem lesz elérhető SWAT A Samba megosztások adminisztrálását a terminálos lehetőségen kívül a Swat alkalmazással lehet elvégezni. A Swat elérhetősége a címen keresztül lehetséges, a root felhasználóval. (80.ábra.) 80. ábra. Swat nyitóképernyő. 102

103 A Swat lehetővé teszi, hogy a különböző könyvtárakhoz felhasználókat, csoportokat adjunk hozzá. Figyelem! Ez nem helyettesíti a FUTO szerveren lévő fájl jogosultságok kiosztását! Erről bővebben a Felhasználók és jogosultságaik fejezetben foglalkozom. (81-82.ábra.) 81. ábra. Swat konfigurálás, felhasználók, csoportok. 82. ábra. Swat konfigurálás, Samba jogosultságok. 103

104 12.7 Backuppc A Backuppc szoftverrel biztosítottam a rendszert kulcsfontosságú adatainak mentését. A konfigurálásra, és a mentések lefutásának ellenőrzésére egy webes interfészen keresztül nyílik lehetőség. A bejelentkezés a oldalon keresztül a backuppc felhasználóval lehetséges. A Host Summary résznél látható az egyes mentések státusza. Hiba esetén ezen a felületen lehet látni, ha egy mentés sikertelen. (83.ábra.) 83. ábra. Backuppc státusz Az egyes mentések tartalmából visszaállítást pár kattintással el lehet végezni. (84.ábra.) 84. ábra. Backuppc visszaállítás 104

105 A mentések hibáinak felderítéséhez beszédes logok állanak rendelkezésre. (85.ábra.) 85. ábra. Backuppc logok. Pár kattintással további könyvtárak is hozzáadhatók a mentésekhez. (86.ábra.) 86. ábra. Backuppc beállítások. 105

106 13 A rendszer adminisztrálása A rendszer adminisztrálásának tervezésekor az az irányelv vezetett, hogy a felépített rendszer minél kevesebb beavatkozással működőképes maradjon. A kialakított rendszer nem igényel állandó személyes rendszergazdai jelenlétet. Az adminisztrálási teendők többsége egy megbízott és betanított felhasználón keresztül (superuser) is megvalósítható. A felépített ellenőrzési lehetőség (Nagios) lehetővé teszi, hogy az esetlegesen fellépő hibákat, szolgáltatás kieséséket egy megbízott felhasználó egyszerűen észrevegye. A Nagios a rendszer hibára utaló állapotváltozásairól ben értesítést küld. A hibák kezelése viszont mindenképpen szakértői beavatkozást igényel. A rendszer adminisztrálásához fontos, hogy a felhasználó aki superuser szerepköröket kap, megfelelő módon legyen felkészítve az elvégzendő feladatára. A felkészítéshez számos dokumentáció áll rendelkezésre. (Például a Linux rendszeradminisztrátorok kézikönyve.) [36] A szakértői személyes felügyeletet ezért nem tartom elhagyhatónak vagy megspórolhatónak. Szükség van időszakos karbantartási és ellenőrző munkálatok elvégzésére. Ilyen például a rendszer frissítése, és a rendszer teljes mentésének lebonyolítása, ellenőrzése, valamint a hardver állapotának időszakos műszaki ellenőrzése, karbantartása. Fontos feladat a rendszer naprakészen tartása. Ezért megfelelő mentések után időről időre le kell futtatni a rendszer frissítését biztosító parancsokat. A vezetés döntésétől függ, hogy ezt hogyan kívánja megvalósítani. Választhat állandó rendszergazdát, avagy megbízhat egy céget az időszakos felügyeleti és karbantartási munkákkal. Akármelyik megoldást is választják, van lehetőség a rendszer távfelügyeletének megoldására és a helyi felügyelet megvalósítására is. Például van rá lehetőség, hogy a Nagios riasztások egy rendszerfelügyelettel megbízott cég külső címére legyenek küldve, akik a riasztásoknak megfelelően reagálnak a fellépő hibákra. Az üzemeltetéssel kapcsolatos szabályozások, szerződések megoldása a vezetés feladata, így ezekkel szakdolgozatomban nem foglalkozom. Számomra a feladatot az jelentette, hogy a rendszerfelügyelet technikai feltételeit oly módon bocsáthassam a felhasználók rendelkezésére, hogy a minél könnyebben és egyszerűbben biztosíthassam a rendszer monitorozhatóságát. 106

107 14 A rendszer bemutatása Ebben a fejezetben bemutatom a rendszer külső és belső működését egy felhasználó nézőpontján keresztül. A külső felhasználók a Weboldallal és a Webmail szolgáltatással találkozhatnak. A belső felhasználók a levelezés és a fájlkiszolgáló alkalmazást használhatják. Az erőforrások külső elérését egy másik fejezetben a Távmunka lehetőségeknél fogom kifejteni Weblap Az Apache2 szerver által adott alapértelmezett weblapot a működőképesség demonstrálása végett kicseréltem egy általam készített PHP alapú egyszerű telefonkönyv programra, mely fejlesztés közvetlenül nem része a szakdolgozatomnak. A program működésének viszont demonstrációs jelentősége van, mert ezen keresztül mutatom be két fontos szolgáltatás működőképességét. A telefonkönyv program a FUTO szerveren futó MySql adatbázist használja az adatok rögzítésére, tárolására. E programmal demonstrálom a FUTO szerver adatbázis szerver funkciójának működőképességét, valamint a FUTO és a VEZER szerver közti adatkommunikáció meglétét. A külső felhasználók ezt a telefonkönyvet láthatják, ha a címre látogatnak. (87.ábra.) 87. ábra. Weblap. 107

108 14.2 Levelezés A levelezésre az egyes kliens gépeke az Evolution levelező program használatát állítottam be. A program a levelezésen kívül számos további szolgáltatást is biztosít. Úgymint névjegy kezelés, naptár, feladatütemező, és feljegyzés szolgáltatást. Fontos, hogy a levelezés központilag a FUTO szerveren kerül tárolásra, így a gép meghibásodása esetén is elérhetők az adatok a Webes kliensen keresztül. (88.ábra.) 88. ábra. Evolution Samba A levelezésen kívül a legfontosabb a fájlszerver szolgáltatás. Az alapelv az, hogy a napi munka során fontos céges adatot lokálisan nem szabad tárolni. Minden munkával kapcsolatos adat tárolására a fájlszerver szolgál, melyet a FUTO szerveren lehet elérni. (89.ábra.) 89. ábra. Samba szerver 108

109 A fájlkiszolgálóra belépés után az egyes megosztásokhoz csak megfelelő jogosultságokkal rendelkező személyek férhetnek hozzá. (90.ábra.) 90. ábra. Samba megosztások Programok A felhasználók munkájához az Ubuntu Linux alap telepítésének teljes repertoárja rendelkezésre áll. Ez gyakorlatilag teljes irodai munkakörnyezetre jellemző programokat takar. A teljesség igénye nélkül. OpenOffice, számológép, jegyzettömb, stb. A programok köre igény szerint további összetevőkkel tetszőlegesen bővíthető. (91.ábra.) 91. ábra. Programok. A programok körének bővítése az Ubutnu Linux disztribúció hivatalos tárolóiból biztosított. További szoftver komponensek telepítésekhez rendszergazdai jogosultság szükséges. 109

110 15 Felhasználók és jogosultságaik [11], Szakdolgozatomban megpróbáltam lefedni egy kisebb vállalatnál előforduló gyakoribb szerepköröket. Az egyes szerepkörök kialakítását egy feltételezett szervezeti hierarchia alapján valósítottam meg. Elkészítettem ennek a hierarchiának megfelelő szolgáltatás mátrixot, mely felhasználónként mutatja meg, hogy kinek milyen szolgáltatást nyújt a rendszer. A hozzáférések és jogosultságok rendjét ezen szerepkörök alapján alakítottam ki Felhasználók és szerepköreik Az alábbi táblázat tartalmazza a rendszer felhasználóinak loginnevét és szerepköreik kifejtését: (4. táblázat.) Loginnév Szerepkör nagyfonok A cég vezetője. Minden erőforráshoz hozzá kell tudjon férni. Céggel kapcsolatos privát információkat is kezel. kisfonok Cégvezető helyettes. Szinte mindenhez hozzá kell tudjon férjen. titkarno A cég vezetésének nyújt titkárnői és asszisztensi támogatást. konyvelo A cég könyvelője. Pénzügyi munkaköröket lát el. dolgozo1 Szellemi dolgozó. dolgozo2 Szellemi dolgozó. dolgozo3 Fizikai dolgozó, aki a cég számítógépes rendszerén nem végez munkát. Hozzáférése csak adminisztratív funkciók miatt szükséges. raktaros A cég raktárának kezelője. projektmunkatars Nem tagja a cégnek. Ideiglenesen egy projekt erejéig végez munkát a cégnél, és csak a projekt erőforrásaihoz kell hozzáférjen. 4. táblázat. Felhasználók és szerepköreik. 110

111 15.2 Felhasználói szolgáltatás mátrix Az egyes felhasználók az általam megvalósított üzleti logika szerint az alábbi szolgáltatásokat használhatják. A jogosultságok rendszere e mátrix alapján került meghatározásra. (5. táblázat.) Leírás Loginnév fiók Gyalog01 local account Proxy nélküli Internet használat. Gyalog02 local Tiltott account Proxy Internet szűréses Internet használat. Felső vezető nagyfonok X X Közép vezető kisfonok X X Asszisztens titkarno X X Könyvelő konyvelo X X Irodai munkás dolgozo1 X X Irodai munkás dolgozo2 X X Fizikai munkás dolgozo3 X Fizikai munkás raktaros X Külső projekt munkatárs X projektmunkatars X X 5. táblázat. Felhasználói szolgáltatás mátrix. Megjegyzés a lektornak! Minden felhasználónak a jelszava Jelszo Felhasználói csoportok és tagjaik A rendszer felhasználóit csoportokba soroltam 6-os táblázat szerint. Csoport név Tagok vezeto nagyfonok, kisfonok, titkos nagyfonok, kisfonok, titkarsag titkarno, nagyfonok, kisfonok, konyveles konyvelo, nagyfonok, kisfonok, projekt1 projektmunkatars, dolgozo1, dolgozo2, szellemi dolgozo1, dolgozo2, fizikai dolgozo3 raktar raktartos dokumentumok dolgozo1, dolgozo2, dolgozo3, raktaros, audit titkarno, konyvelo 6. táblázat. Felhasználói csoportok, és tagjaik. 111

112 Közös címek, aliasok [12], A közös címek felvétele a /etc/postfix/virtual fájlban lehetséges. Ez azért fontos, mert így létrehozhatóak közös használatú címek. Jelenleg 3 közös használatú csoport van felvéve az alábbiak szerint: fonok@rosal.zapto.org nagyfonok@rosal.zapto.org,kisfonok@rosal.zapto.org info@rosal.zapto.org nagyfonok@rosal.zapto.org,kisfonok@rosal.zapto.org,titkarno@rosal.zapto.o rg rosal@rosal.zapto.org nagyfonok@rosal.zapto.org,kisfonok@rosal.zapto.org,titkarno@rosal.zapto.o rg A /etc/postfix/virtual fájl módosítása után a változtatás érvényesítéséhez ki kell adni a következő parancsokat. sudo postmap /etc/postfix/virtual sudo postfix reload Speciális accountok A rendszer működéséhez szükséges speciális felhasználókat és funkcionalitásukat a 7-es táblázatban mutatom be. Leírás Loginnév Jelszó Rendszergazda locadmin Jelszo11 Backuppc user backuppc Jelszo11 Nagios user nagiosadmin Jelszo11 Root root Jelszo11 Swat user root Jelszo11 Mysql adminisztrátor root Jelszo11 Samba adminisztrátor locadmin Jelszo11 Postfix adminisztrátor locadmin Jelszo11 Lokális rendszergazda locadmin Jelszo11 7. táblázat. Speciális accountok 112

113 15.3 Samba jogosultságok, az adatok szegmentálása.[11], [21], [35], Samba könyvtárak és hozzáférési paramétereik beállításai a Rendszer konfigurálás fejezetben a Futo szerver beállításainál, azon belül a Samba alfejezetben találhatóak. A jogosultságok kialakításának szempontjait ezen fejezetben fejtem ki. A Samba megosztásoknak létrehozott könyvtárakat csak root jogú felhasználó szerkesztheti. A felhasználók adatokhoz való hozzáférésének jogosultságait a Samba jogosultságok, és a Linux fájl rendszer jogosultságai együttesen alkotják. Ezek konfigurálása kicsit bonyolult. Ezért a jogosultságok konfigurálásához a Samba és a fájl rendszer jogosultság rendszerének szélesebb körű ismerete szükséges. Az általam létrehozott struktúra egy egyszerűbb cég struktúráját szemlélteti. A meglévő struktúra az igényeknek megfelelően idővel bővíthető. A felhasználók jogosultságai csoporttagságokon keresztül valósulnak meg. Demonstrációs jelleggel van egy megosztás, nagyfonok_privat amelyhez a nyagyfonok felhasználó kizárólagos jogosultságal fér hozzá. Egy felhasználónak könyvtár hozzáférési jog úgy adható, hogy besorolásra kerül egy csoportba, amely csoportnak van megfelelő joga a szóban forgó könyvtárhoz Könyvtárak struktúrája, és a rajtuk lévő jogosultságok Adattar: Tulajdonos: root, Csoport: vezeto, Jogok: 2750 Munka: Tulajdonos: root, Csoport: szellemi, Jogok: 2770 Raktar: Tulajdonos: root, Csoport: raktar, Jogok: 2770 Temp: Tulajdonos: root, Csoport: vezeto, Jogok: 2770 Dokumentumok : Tulajdonos: root, Csoport: vezeto, Jogok: 2770 Projekt : Tulajdonos: root, Csoport: vezeto, Jogok: 2750 Projekt1: Tulajdonos: root, Csoport: vezeto, Jogok: 2770 Vezeto: Tulajdonos: root, Csoport: vezeto, Jogok: 2750 Konyveles: Tulajdonos: root, Csoport: konyveles, Jogok: 2770 Kozos: Tulajdonos: root, Csoport: vezeto, Jogok: 2770 Nagyfonok_privat: Tulajdonos: nagyfonok, Csoport: nagyfonok, Jogok: 2770 Titkarsag: Tulajdonos: root, Csoport: titkarsag, Jogok: 2770 Titkos: Tulajdonos: root, Csoport: titkos, Jogok:

114 16 Munka a hálózaton. Erőforrások elérése Felhasználó a hálózaton csak érvényes felhasználónévvel és hozzátartozó jelszóval tud dolgozni. Ezek hiányában nem érheti el az egyes erőforrásokat. A felhasználók és a hozzá tartozó szerepkörök létrehozása rendszeradminisztrátori feladat, melyet egy arra betanított megbízott superuser is el tud végezni Kliens gépek A kliens gépekre csak felhasználónév és jelszó páros megadásával lehetséges belépni. Ezek hiányában a kliens gépek erőforrásaihoz, így a hálózathoz sem férhet hozzá. Az egyes kliens gépekre a felhasználók felvétele csak rendszergazdai jogosultsággal lehetséges Levelező rendszer A levelező rendszer kliens gépeken történő beállítása szintén rendszeradminisztrátori feladat. A levelezés IMAP protokoll használatával felhasználónév és jelszó páros megadásával lehetséges. Ezek megadásának módját a Kliens gépek konfigurációjánál fejtettem ki. A levelezés elérése lehetséges Webbes felületen keresztül is. Itt ugyanazokat az azonosítókat kell megadni, mint amik a kliens gépeken kerülnek beállításra. (92.ábra.) 92. ábra. Webes levelezés. 114

115 16.3 Fájlszerver A fájlszerveren tárolt adatok elérésének módja szabályozott. E szabályok a korábbi fejezetekben kifejtésre kerültek. A fájlszerverre fájlböngésző segítségével lehetséges kapcsolódni, majd ott meg kell adni a hozzáféréshez szükséges azonosítókat. (93.ábra.) 93. ábra. Fájlszerver elérése. 115

116 17 Távmunka lehetőségek biztonságosan A távmunka szükségessége a cég profiljától függhet. Az általam felvázolt rendszerben a levelezésen kívül nincs szükség más erőforrás elérésére. Ennek megvalósítását a Squirrelmail segítségével oldottam meg Squirrelmail A levelezés kívülről történő elérését HTTPS protokoll segítségével a 443-as porton keresztül biztosítottam. Ez lehetővé teszi, hogy a felhasználó a levelezést biztonságos módon titkosított csatornán keresztül érje el. A külső levelezés elérése az alábbi linken lehetséges (94.ábra.) ábra. Külső levelezés elérése. 116

117 18 Az elkészült munka elérhetősége VNC segítségével A rendszer lektorálásához és teszteléséhez a rendszer elérését VNC protokollon TCP 5900as porton keresztül legkésőbb a szakdolgozatom védésének időpontjáig minden hétköznap 8 és 20 óra között, illetve hétvégenként és munkaszüneti napokon 12 és 20 óra között biztosítom. A hozzáférés biztosítása kizárólag a szakdolgozatom lektorálásában részt vevő személyeknek, tesztelés céljából áll rendelkezésre! A VNC eléréshez szükséges bekapcsolt állapotban tartanom a gyalog01 gépet, melyen bejelentkezett állapotban marad a locadmin felhasználó! E felhasználói fiókba belépve végezhető el a rendszer tesztelése. A tűzfalat úgy állítottam be, hogy a VNC-vel érkező kéréseket (5900-as port) a tűzfal forwardolja a gyalog01 gépnek. A csatlakozáshoz kizárólag jelszót kell megadni. Amennyiben a lektorálást vállalati tűzfal mögül végzi, úgy a kapcsolódás feltétele, hogy a tesztelő oldaláról is oda-vissza irányban az 5900-as port engedélyezve legyen. Ezen beállításokkal kapcsolatban kérem egyeztessen a vállalati rendszergazdáival! Ha az 5900-as port nincs engedélyezve, de a 22-es igen, akkor SSH tunnel technológia felhasználásával is lehetséges a kapcsolódás. [37] Segítségért látogassa meg az alábbi linket: Figyelem! A csatlakozáshoz szükséges jelszó: Jelszo11 A kapcsolódás során felhasználónév megadására nincs szükség! 117

118 VNC kapcsolódás módja Windows rendszer alól [38], [39] A kapcsolódáshoz VNC kliens szoftverre van szükség. A TightVNC program használatát javaslom. Nem igényel telepítést. Letöltés és kicsomagolás után azonnal használható. A program az alábbi linkeken érhető el.[40] A kapcsolódáshoz adjuk meg a rosal.zapto.org domain-t! (95.ábra.) 95. ábra. TightVNC Csak jelszót kell megadni. (Jelszo11) (96.ábra.) 96. ábra. TightVNC jelszó 118

119 VNC kapcsolódás Linux alapú operációs rendszer alól A javasolt program a Remmina távoli asztal kliens. A szükséges beállítások az alábbi képernyőképen láthatóak. (97.ábra.) 97. ábra. Remmina Kapcsolódáskor meg kell adni a jelszót. (Jelszo11) (98.ábra.) 98. ábra. Remmina jelszó 119

120 A belépés után a munka megkezdhető. A belépéskor az alábbi képernyőképhez hasonló látvány fogad. A kapcsolat a kiszolgáló oldalon ~10 Mbps le és ~1,5 Mbps feltötltési sávszélességgel rendelkezik. Javaslom, hogy a tesztelést lehetőség szerint ugyanekkora, vagy nagyobb sávszélességgel üzemelő hálózatból végezzék! (99.ábra.) 99. ábra. VNC Desktop Gyalog01 A munka végeztével csak bontani kell a kapcsolatot. Figyelem! Nem szabad kilépni a gépből, mert akkor később távolról nem lehetséges visszalépni a rendszerbe! Az Ubuntu Linux rendszerben csak bejelentkezett felhasználónak lehetséges VNC hozzáférést adni! 120