Версия для печати

От переводчика.

Ваши замечания и предложения по переводу этой книги я с удовольствием приму по почте. Примеры конфигурационных файлов, приведенные в этой книге, лежат, как на оригинальном сервере этой книги www.openna.com, так и на сервере "Linux Park". Вы можете свободно копировать перевод этой книги, но при этом обязательно нужно оставить ссылку на сервер "Linux Park", как место хранения его оригинала. Английскую версию книги можно получить на сервере www.openna.com или здесь.

Оглавление

Введение

Часть I Рекомендации связанные с инсталляция

Глава 1 Введение в Linux

Глава 2 Инсталляция вашего Linux сервера

Часть II Рекомендации связанные с безопасностью и оптимизацией

Глава 3 Общая системная безопасность

Глава 4 Общая системная оптимизация

Глава 5 Конфигурирование и создание оптимизированных, безопасных ядер

Часть III Рекомендации связанные с сетью

Глава 6 Управление TCP/IP сетями

Глава 7 Сетевой брандмауэр

Глава 8 Сетевой брандмауэр с поддержкой маскарадинга и форвардинга

Часть IV Рекомендации связанные с программным обеспечением.

Глава 9 Функциональные возможности компилятора

Глава 10 Программы обеспечения безопасности (Утилиты контроля)

Глава 11 Программы обеспечения безопасности (Сетевые сервисы)

Глава 12 Программы обеспечения безопасности (Целостность системы)

Глава 13 Программы обеспечения безопасности (Управление и ограничения)

Глава 14 Серверное программное обеспечение (BIND/Сервис DNS)

Глава 15 Серверное программное обеспечение (Почтовый сервис)

Глава 16 Серверное программное обеспечение (Сетевой сервис шифрования)

Глава 17 Серверное программное обеспечение (Сервис баз данных)

Глава 18 Серверное программное обеспечение (Прокси сервис)

Глава 19 Серверное программное обеспечение (Веб сервис)

Глава 20 Опциональные компоненты устанавливаемые с веб-сервером Apache

Глава 21 Серверное программное обеспечение (Файловый сервис)

Часть V Рекомендации связанные с резервным копированием

Глава 22 Процедуры резервирования и восстановления данных

Часть VI Приложение

Часть I Рекомендации связанные с инсталляция

Глава 1 Введение в Linux

Что такое Linux?

Linux это операционная система, которая изначально была создана как хобби молодого студента Линуса Торвальдса из Хельсинского университета в Финляндии. Линус интересовался Minix, небольшим вариантом UNIX, и решил разработать систему превосходящую Minix стандарт. Он начал свои работы в 1991 году, выпустив версию 0.02, и постоянно работал над ней до 1994 года, когда вышла версия 1.0 ядра Linux. Текущей версией ядра является 2.2 (выпущено 25 января 1999 года).

Linux распространяется под GNU General Public License и его исходные коды свободно доступны для всех желающих. Linux может использоваться как сетевая платформа, платформа для разработчиков и платформа для конечных пользователей. Linux часто считается как прекрасная и недорогая альтернатива других более дорогих операционных систем.

Несколько причин использовать Linux.

За него не надо выплачивать лицензионных или авторских отчислений. Даже если бы Линус Торвальдс и владел правом на торговую марку Linux, то ядро и сопутствующее ему программное обеспечение все равно бы распространялось под GNU General Public License. Это значит, что вы можете модифицировать исходные коды и продавать свои программы, но вы все равно должны предоставлять их исходные коды.

Хотя Linux наиболее популярен на платформе Intel, но он может запускаться на большем числе процессоров и различных платформах, чем другие ОС. Тенденции развития программного и аппаратного обеспечения в последнее время заставляют пользователей покупать компьютеры со все большим объемом памяти и размерами жесткого диска. Linux не следует этой тенденции и прекрасно работает на 486 машинах с ограниченным объемом RAM. Linux - это истинная многозадачная система, подобная своему брату UNIX. Она использует сложный, современный метод управления памятью для контроля за всеми системными процессами. Это означает, что если в какой-нибудь программе произойдет сбой, то вы ее просто "убьете" и продолжите работать дальше, как ни в чем не бывало.

Дополнительное преимуществом является то, что Linux свободен от огромного количества вирусов присущих другим ОС. Благодаря GNU GPL и Open Source, практически все программное обеспечение поставляется с исходными кодами.

Позвольте рассеять несколько опасений и сомнений относительно Linux.

Linux все больше и больше используется для работы в компаниях входящих в список Fortune 500, в правительственных учреждениях и у других пользователей как чрезвычайно рентабельное решение. Спросите об этом у IBM, Compaq, Dell, Apple Computer, Burlington Coat Factory, Amtrak, Virginia Power, NASA и миллиона пользователей во всем мире.

Хотя и говорится, что Linux распространяется без поддержки, но в состав любого дистрибутива входит более 12 000 страниц документации. Коммерческие дистрибутивы Linux, такие как Red Hat Linux, Caldera, SuSE и OpenLinux, предлагают поддержку для зарегистрированных пользователей. Вам не придется по шесть месяцев ждать выхода исправлений. Большинство серьезных ошибок (в том числе связанных с проблемами безопасности) исправляются online сообществом Linux в течение часа.

Глава 10 Программы обеспечения безопасности (Утилиты контроля) - sXid В этой главе Linux sXid Конфигурация Административные средства sXid Linux Logcheck Конфигурация Linux PortSentry Конфигурация Запуск PortSentry

Linux sXid

SUID/SGID файлы несут в себе риск для безопасности. Для уменьшения этого риска, мы убрали бит "s" с программ, владельцем которых является root, и которым эти полномочия не нужны, но возможно в будущем, на существующие программы может быть установлен этот бит без предупреждения. sXid - это программа для контроля за SUID/SGID программами, запеускаемая из cron. В основном, она отслеживает любые изменения в suid-ных программах и папках. Если появились новые файлы, или у существующих программ этот бит снят, или в них изменились биты или другие режимы, то sXid сообщит вам об этом по электронной почте или в командной строке в удобочитаемом формате. sXid автоматизирует задачу поиска всех SUID/SGID файлов на сервере и известит вас о них. После ее инсталляции вы можете забыть об этой работе, она сделает все за вас.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
sXid версии 4.0.1

Пакеты.
FTP сервер: ftp://marcus.seva.net/pub/sxid/
Вы должны скачать: sxid_4.0.1.tar.gz

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции sXid и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:

После инсталляции:

Для получения списка установленных файлов:

Раскройте тарбол:
[root@deep /]# cp sxid_version.tar.gz /var/tmp/
[root@deep /]# cd /var/tmp
[root@deep tmp]# tar xzpf sxid_version.tar.gz

Компиляция и оптимизация.
Переместитесь в новый каталог sXid и выполните следующие команды:
[root@deep tmp]# cd sxid-4.0.1
[root@deep sxid-4.0.1]# make install

Вышеприведенные команды будут конфигурировать программу, проверяя, что ваша система имеет необходимые библиотеки и способна выполнять необходимые функции, компилирует все исходные файлы в исполняемые, и затем, инсталлирует все двоичные и вспомогательные файлы в определенное место.

Очистка после работы.
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf sxid-version/ sxid_version_tar.gz

Команда "rm", использованная выше, удалит все исходные коды, которые мы использовали при компиляции и инсталляции sXid. Она также удалит .tar.gz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска sXid должен быть создан или скопирован файл sxid.conf в каталог /etc.

Настройка файла "/etc/sxid.conf".

Конфигурационный файл "/etc/sxid.conf" позволяет вам установить опции, которые управляют действиями программы.

Редактируйте файл sxid.conf file (vi /etc/sxid.conf) и измените все, что нужно:

# Конфигурационный файл для sXid
# Замечу, что все пути должны быть абсолютными без замыкающих /
# Где начинать поиск файлов
SEARCH = "/"
# Какие каталоги исключить из поиска
EXCLUDE = "/proc /mnt /cdrom /floppy"
# Кому посылать отчеты
EMAIL = "root"
# Всегда посылать отчеты, даже если нет изменений?
ALWAYS_NOTIFY = "no"
# Где хранить промежуточные логи. Они будут циклически ротироваться 'x' раз
# согласно KEEP_LOGS
LOG_FILE = "/var/log/sxid.log"
# Как много логов хранить
KEEP_LOGS = "5"
# Сдвигать логи когда не произошло изменений?
ALWAYS_ROTATE = "no"
# Каталоги, где +s запрещены (они проверяются даже
# если явно на прописнаы в SEARCH), правила EXCLUDE применяются
FORBIDDEN = "/home /tmp"
#  Удалять (-s) из файлов найденных в запрещенном каталоге?
ENFORCE = "yes"
# Это предполагает ALWAYS_NOTIFY. Будет посылаться полный список
# элементов наряду с изменениями
LISTALL = "no"
# Игнорировать элементы для каталогов в этом пути
# (Это означает, что файлы будут только регистрироваться, вы
# можете эффективно игнорировать все элементы каталогов
# установив это в "/"). По умолчанию - /home, так как 
# в некоторых системах /home имеет g+s.
IGNORE_DIRS = "/home"
# Файл, который содержит список (каждый в новой строке)
# других файлов, которые sxid должен проверять. Это полезно
# для файлов, не имеющих +s, но относящихся к целостности
# системы (tcpd, inetd, apache...).
# EXTRA_LIST = "/etc/sxid.list"
# Почтовая программа. Это опция изменяет определенную при компиляции
# почтовую программу для отчетов. Эта опция нужно только если вы изменили
# месторасположение по умолчанию и не хотите перекомпилировать sxid.
# MAIL_PROG = "/usr/bin/mail"

Поместите соответствующий элемент в crontab файл пользователя root, чтобы sXid выполнялся автоматически. sXid будет автоматически запускаться и будет отслеживать появление новых s[ug]id программ, изменений произошедших с существующими (снятие этого бита, изменение режима и пр.), их удаление, составляя вам отчет о произошедших событиях.

Для редактирования crontab введите следующую команду:

И добавьте следующую строку в crontab (запуск каждый день в 4 часа утра):

Дополнительная документация.

Для получения большей информации, читайте соответствующие man страницы:

$ man sxid.conf (5) - конфигурационные устаноки для sxid
$ man sxid (1) - проверяет изменения в s[ug]id файлах и каталогах

Административная утилита sXid.

Эта программа предназначена для запуска с помощью cron. Она должна запускаться один раз в день, но можно и два раза.

Для запуска sxid вручную введите команду:

Она проверяет изменения в текущем рабочем каталоге. Ротации файлов регистрации и отправки сообщений по почте не происходит. Все результаты выводятся в stdout.

Инсталлированные файлы.

> /etc/sxid.conf
> /usr/bin/sxid
> /usr/man/man1/sxid.1
> /usr/man/man5/sxid.conf.5

Глава 10 Программы обеспечения безопасности (Утилиты контроля) - Logcheck В этой главе Linux sXid Конфигурация Административные средства sXid Linux Logcheck Конфигурация Linux PortSentry Конфигурация Запуск PortSentry

Linux Logcheck

Одной из важнейших задач в мире обеспечения безопасности является анализ файлов регистраций. Часто, повседневные работы администратора не оставляют ему время на это, что может привести к ряду проблем.

В кратком обзоре Logcheck сказано:

Ревизия и регистрация системных событий чрезвычайно важна. Системный администратор должен знать о происходящих событиях, чтобы суметь предотвратить возникновение проблем, особенно если система подключена к Интернет. К сожалению, для большинства версий UNIX регистрация событий не имеет значение, так как лог файлы никто не просматривает. Это то, в чем вам может помочь Logcheck. Он автоматизирует ревизию зарегистрированных событий, отфильтровывая "нормальные" сообщения, чтобы вы могли концентрировано посмотреть на проблемы и на потенциальных нарушителей.

Logcheck - это программное обеспечение, которое создано, чтобы автоматически проверять системные журналы на предмет нарушений защиты и необычной активности. Она использует программу logtail, которая запоминает последнюю позицию, считанную из системного журнала, и использует ее при следующем запуске для получения новой информации.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Logcheck версии 1.1.1

Пакеты.
Домашняя страница Logcheck: http://www.psionic.com/abacus/logcheck/
Вы должны скачать: logcheck-1.1.1.tar.gz

Тарбол.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Logcheck и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > Logcheck1

После инсталляции:
find /* > Logcheck2

Для получения списка установленных файлов:
diff Logcheck1 Logcheck2 > Logcheck-Installed

Раскрываем тарбол (tar.gz).
[root@deep /]# cp logcheck-version.tar.gz /var/tmp/
[root@deep /]# cd /var/tmp
[root@deep tmp]# tar xzpf logcheck-version.tar.gz

Вы должны редактировать файл "Makefile" Logcheck-а, чтобы определить инсталляционные пути, флаги компиляции и оптимизации для вашей системы. Место, куда будет установлен Logcheck должно соответствовать структуре расположения системных файлов Red Hat,а расположение скрипта Logcheck переменной окружения PATH.

Переместитесь в новый каталог Logcheck и выполните следующие команды:

Редактируйте файл Makefile (vi Makefile) и измените следующие строки:

CC = cc
Должна читаться:
CC = egcs

CFLAGS = -O
Должна читаться:
CFLAGS = -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions

INSTALLDIR = /usr/local/etc
Должна читаться:
INSTALLDIR = /etc/logcheck

INSTALLDIR_BIN = /usr/local/bin
Должна читаться:
INSTALLDIR_BIN = /usr/bin

INSTALLDIR_SH = /usr/local/etc
Должна читаться:
INSTALLDIR_SH = /usr/bin

TMPDIR = /usr/local/etc/tmp
Должна читаться:
TMPDIR = /etc/logcheck/tmp

Вышеприведенные изменения настраивают на использование компилятора egcc, включают оптимизационные флаги подходящие для вашей системы и определяют месторасположение файлов Logcheck, соответствующее структуре размещения системных файлов Red Hat.

Редактируйте файл Makefile (vi +67 Makefile) и измените следующую строку:

@if [ ! -d $(TMPDIR) ]; then /bin/mkdir $(TMPDIR); fi
Должна читаться:
@if [ ! -d $(TMPDIR) ]; then /bin/mkdir -p $(TMPDIR); fi

Вышеупомянутое изменение (-p) позволит инсталляционной программе создавать родительские каталоги, когда это необходимо.

Инсталляция Logcheck на вашей системе:

Вышеприведенная команда будут настраивать программу на операционную систему Linux, компилировать все исходные файлы в исполняемые двоичные, и затем, инсталлировать все двоичные и вспомогательные файлы в определенное место.

Очистка после работы.
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf logcheck-version/ logcheck-version_tar.gz

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Logcheck. Она также удалит .tar.gz архив из каталога /var/tmp.

Конфигурация.

Так как мы использовали альтернативное месторасположение файлов, нам необходимо изменить пути к "logcheck.hacking", "logcheck.violations", "logcheck.ignore", "logcheck.violations.ignore" и "logtail" в основном скрипте logcheck.sh. Скрипт файл для Logcheck "/usr/bin/logcheck.sh" позволяет настроить опции, которые модифицируют пути и действия программы. Он хорошо комментирован и очень прост.

Редактируйте файл logcheck.sh (vi /usr/bin/logcheck.sh) и измените следующее:

LOGTAIL=/usr/local/bin/logtail
Должна читаться:
LOGTAIL=/usr/bin/logtail

TMPDIR=/usr/local/etc/tmp
Должна читаться:
TMPDIR=/etc/logcheck/tmp

HACKING_FILE=/usr/local/etc/logcheck.hacking
Должна читаться:
HACKING_FILE=/etc/logcheck/logcheck.hacking

VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
Должна читаться:
VIOLATIONS_FILE=/etc/logcheck/logcheck.violations

VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
Должна читаться:
VIOLATIONS_IGNORE_FILE=/etc/logcheck/logcheck.violations.ignore

IGNORE_FILE=/usr/local/etc/logcheck.ignore
Должна читаться:
IGNORE_FILE=/etc/logcheck/logcheck.ignore

Поместите соответствующий элемент в crontab файл пользователя root, чтобы Logcheck выполнялся автоматически каждый час (рекомендуется, можете запускать его чаще или реже).

Для редактирования crontab введите следующую команду:

ЗАМЕЧАНИЕ. Запомните, что Logcheck не присылает отчеты по электронной почте, если ему нечего сказать.

> /etc/logcheck 
> /usr/bin/logcheck.sh
> /etc/logcheck/tmp
> /etc/logcheck/logcheck.hacking
> /etc/logcheck/logcheck.violations
> /etc/logcheck/logcheck.violations.ignore
> /etc/logcheck/logcheck.ignore
> /usr/bin/logtail
> /var/log/messages.offset
> /var/log/secure.offset
> /var/log/maillog.offset

Глава 10 Программы обеспечения безопасности (Утилиты контроля) - PortSentry В этой главе Linux sXid Конфигурация Административные средства sXid Linux Logcheck Конфигурация Linux PortSentry Конфигурация Запуск PortSentry

Linux PortSentry

Краткий обзор.

Брандмауэры помогают нам защитить сеть от вторжений. С их помощью мы выбираем какие порты открыть, а какие нет. Никто снаружи нашей сети не владеет информацией об этом, но может попытаться организовать атаку при помощи программ сканирования портов. Они покажут какие порты у нас открыты.

Как сказано во введение к PortSentry:

Сканирование портов это симптом больших проблем, которые вас ждут. Это часто является предвестником атак. PortSentry - это программа созданная для определения и ответа на сканирование портов в реальном времени. Когда сканирование обнаружено могут последовать следующие ответы:

• занесение информации об инциденте в системный журнал через syslog().
• Компьютер замеченный в сканировании автоматически заносится в файл "/etc/host.deny" для TCP Wrappers.
• Локальный компьютер автоматически перенастраивается, чтобы направлять весь трафик от атакующего на несуществующий компьютер.
• Локальный компьютер автоматически перенастраивается, чтобы блокировать все пакеты от атакующего пакетным фильтром.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
PortSentry версии 1.0

Пакеты.
Домашняя страница Logcheck: http://www.psionic.com/abacus/portsentry/
Вы должны скачать: portsentry-1.0.tar.gz

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции PortSentry и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > Portsentry1

После инсталляции:
find /* > Portsentry2

Для получения списка установленных файлов:
diff Portsentry1 Portsentry2 > Portsentry-Installed

Раскрываем тарбол (tar.gz).

Компиляция и оптимизация.

Вы должны редактировать файл "Makefile" PortSentry, чтобы определить инсталляционные пути, флаги компиляции и оптимизации для вашей системы. Место, куда будет установлен PortSentry должно соответствовать структуре расположения системных файлов Red Hat.

Переместитесь в новый каталог PortSentry и выполните следующие команды:

Редактируйте файл Makefile (vi Makefile) и измените следующие строки:

CC = cc
Должна читаться:
CC = egcs

CFLAGS = -O
Должна читаться:
CFLAGS = -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions -Wall

INSTALLDIR = /usr/local/psionic
Должна читаться:
INSTALLDIR = /usr/ psionic

Вышеприведенные изменения настраивают на использование компилятора egcc, включают оптимизационные флаги подходящие для вашей системы и определяют месторасположение файлов PortSentry, которое вы выберите.

Шаг 2.

Так как мы использовали альтернативное месторасположение файлов (не /usr/local/psionic), нужно изменить путь к конфигурационному файлу PortSentry в основном заголовочном файле "portsentry_config.h".

Перемещаемся в новый каталог PortSentry и редактируем файл portsentry_config.h (vi portsentry_config.h), изменяя следующие строки:

#define CONFIG_FILE "/usr/local/psionic/portsentry/portsentry.conf"
Должен читаться:
#define CONFIG_FILE "/usr/psionic/portsentry/portsentry.conf"

Инсталируем Portsentry на вашей системе.

Вышеприведенныя команды будут настраивать программу на операционную систему Linux, компилировать, создавать и в заключение инсталлировать файлы в заданное место.

Очистка после работы

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции PortSentry. Она также удалит .tar.gz архив из каталога /var/tmp.

Конфигурации.

"/usr/psionic/portsentry/portsentry.conf" - это основной конфигурационный файл для PortSentry; вы можете определить какие порты нужно слушать, какие IP адреса отклонены, контролируются, игнорируются, для каких отключается автоматический ответ и т.д. Для большей информации читайте файл "README.install" в каталоге с исходными кодами PortSentry.

Редактируйте файл portsentry.conf (vi /usr/psionic/portsentry.conf) и проверьте/измените опции, которые вам нужны:

# Конфигурация PortSentry
#
# $Id: portsentry.conf,v 1.13 1999/11/09 02:45:42 crowland Exp crowland $
#
# ВАЖНОЕ ЗАМЕЧАНИЕ: Вы не можете добавить пробелы между номерами 
# портов.
#
# По умолчанию настройки портов позволяют захватывать большое количество
# основных проверок
#
# Все элементы должны быть в кавычках.
#######################
# Конфигурации портов  #
#######################
#
#
# Несколько примеров настроены для классического и основного Stealth 
#  режимов
#
# Я люблю всегда сохранить некоторые порты в нижнем конце диапазона.
# Это позволит быстро обнаружить последовательное сканирование портов 
# и обычно эти порты не используются (например, tcpmux порт 1)
#
# ** Пользователи X-Windows **: Если вы запускаете X на вашем сервере, вам
# нужно быть уверенным, что PortSentry не привязан к порту 6000 (или порту
# 2000 для пользователей OpenWindows).
# Сделав это вы обеспечите правильный старт X-клиента.
#
# Эти привязанные порты игнорируются для режима Advanced Stealth Scan
# Detection Mode.
#
# Раскомментируйте это для чрезвычайного анализа:
#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515
,540,635,1080,1524,2000,2001,4000,4001,5742,6000,6001,6667,12345,12346,20034,
30303,32771,32772,32773,32774,31337,40421,40425,49724,54320"
#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,64
1,666,700,2049,32770,32771,32772,32773,32774,31337,54321"
#
# Используйте их, если вы только хотите знать:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,
12346,20034,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,3
2774,31337,54321"
#
# Используйте это только для bare-bones
#TCP_PORTS="1,11,15,110,111,143,540,635,1080,524,2000,12345,12346,20034,32
771,32772,32773,32774,49724,54320"
#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,313
37,54321"
###########################################
# Опции Advanced Stealth Scan Detection              #
###########################################
#
# Это номера портов, которые PortSentry должен контролировать в 
# Advanced mode.
# Любые порты "ниже" этого числа будут контролироваться. Оставьте это
# для контроля всего ниже 1023.
#
# На многих Linux системах нельзя привязать порты выше 61000. Это
# потому, что эти порты используются как часть IP маскарадинга. Я не 
# рекомендую вам привязываться к этим номерам портов. Реальность: Я не 
# рекомендую использовать порты за 1023, так как это будет приводить к 
# ошибочным предупреждениям. Вы были предупреждены!
# Не пишите мне если у вас возникли проблемы, потому что я просто 
# высказываю вам свое мнение. Не используйте выше 1023 порта.
#
#
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"
#
# Это поле говорит PortSentry, что порты (за исключением прослушиваемых 
# демонами) игнорируются. Это полезно для услуг, вызываемых ident,     
# например FTP, SMTP и wrappers, которые могут остаться не 
# запущенными.
#
# По установленным здесь портам PortSentry будет просто не отвечать
# на входящие запросы. Фактически, PortSentry будет их обрабатывать как 
# будто они привязаны к демонам. Заданные по умолчанию порты могут 
# выступать в отчетах, как возможно ложные сигналы тревоги и 
# вероятно должны быть оставлены для всез кроме особо изолированных систем
#
# TCP ident и NetBIOS сервисы
ADVANCED_EXCLUDE_TCP="113,139"
# UDP route (RIP), NetBIOS, bootp broadcasts.
ADVANCED_EXCLUDE_UDP="520,138,137,67"
######################
# Конфигурационные файлы #
######################
#
# Игнорируемые компьютеры
IGNORE_FILE="/usr/psionic/portsentry/portsentry.ignore"
# Компьютеры, которым было отказано в доступе (из истории работы)
HISTORY_FILE="/usr/psionic/portsentry/portsentry.history"
# Компьютеры доступ которым заблокирован только в этой сессии 
# (времмено до следующей перезагрузки)
BLOCKED_FILE="/usr/psionic/portsentry/portsentry.blocked"
###################
# Опции ответов      #
###################
# Опции ликвидации атакующего. Каждое из этих действий будет
# выполняться если будет обнаружена атака. Если вы не хотите отдельную
# опцию, то комментируйте ее и она будет пропущена.
#
# Переменная $TARGET$ будет замещена целью атаки, когда атака обнаружена.
# Переменная $PORT$ будет заменятьс портом, который был сканирован.
#
##################
# Опции игнорирования #
##################
# Эти опции позволяют вам допустить автоматический параметры ответа для 
# UDP/TCP. Это бывает полезно, если вы хотите получить предупреждение о 
# соединениях, но не хоти реагировать на определенный протокол.
# Для предотвращения возможных Denial of service атак через UDP и 
# определение stealth сканирования для TCP, вы можете пожелать отключить 
# блокирование, но оставить предупреждение.
# Лично я предпочитаю ждать начала возникновения проблем до того как
# что-нибудь предпринять, так как большинство атакующих ничего не делают.
# Третья опция позволяет вам запускать внешнюю команду в случае 
# сканирования. Это может быть полезно, например, для администраторов, 
# которые хотят блокировать TCP, но для UDP будет высылаться 
# предупреждения и т.д.
#
#
# 0 = Не блокировать UDP/TCP сканирование.
# 1 = Блокировать UDP/TCP сканирование.
# 2 = Запуск внешней команды (KILL_RUN_CMD)
BLOCK_UDP="1"
BLOCK_TCP="1"
###################
# Сброс маршрутов  #
###################
# Эти команды используются для удаления маршрута или
# хоста в локальную таблицу фильтрации.
#
# Шлюз (333.444.555.666) идеально должен быть неработающий хост
# в локальной подсети. На некоторых хостах вместо него используется
# localhost (127.0.0.1), что дает тот же эффект. ЗАМЕТИМ ЧТО 
# 333.444.555.66  НЕ БУДЕТ РАБОТАТЬ, ИЗМЕНИТЕ ЭТО!!
#
# ВСЕ ОПЦИИ ОТКЛЮЧЕНИЯ МАРШРУТОВ ИЗНАЧАЛЬНО 
# ЗАКОММЕНТИРОВАНЫ. Убедитесь, что вы раскомменировали
# правильные строки для вашей ОС. Если вашей ОС нет в списке
# и вы точно знаете команды сбрасывающие  маршруты, то,
# пожалуйста, пришлите их мне. ТОЛЬКО ОДНА KILL_ROUTE ОПЦИЯ
# МОЖЕТ БЫТЬ ИСПОЛЬЗОАНА ОДНОВРЕМЕННО, ТАК ЧТО 
# НЕ РАСКОММЕНТИРУЙТЕ БОЛЬШЕ ОДНОЙ СТРОКИ.
#
# ЗАМЕЧАНИЕ: route команды это наименее оптимальная дорога блокирования 
# и она не предоставляет полной защиты от UDP атак и 
# будет спокойно создавать предупреждения для UDP и stealth сканирований.
# Я всегда рекомендую вам использовать пакетный фильтр, потому что это
# соответствует замыслу.
#
# Общий
#KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"
# Общий для Linux
#KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666"
# Новые версии Linux поддерживают сейчас флаг reject. Это лучше, чем
# вышестоящая опция
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
# Общие для BSD (BSDI, OpenBSD, NetBSD, FreeBSD)
#KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"
# Общий для Sun
#KILL_ROUTE="/usr/sbin/route add $TARGET$ 333.444.555.666 1"
# NEXTSTEP
#KILL_ROUTE="/usr/etc/route add $TARGET$ 127.0.0.1 1"
# FreeBSD (Оттестировано не достаточно хорошо)
#KILL_ROUTE="route add -net $TARGET$ -netmask 255.255.255.255 127.0.0.1 -blackhole"
# Digital UNIX 4.0D (OSF/1 / Compaq Tru64 UNIX)
#KILL_ROUTE="/sbin/route add -host -blackhole $TARGET$ 127.0.0.1"
# Общие HP-UX
#KILL_ROUTE="/usr/sbin/route add net $TARGET$ netmask 255.255.255.0 
127.0.0.1"
##
# Использование пакетного фильтра более предпочтительный метод. Ниже
# перечисленные строки подходят для многих ОС. Помните, вы можете
# раскомментировать только одну строку.
# Опции KILL_ROUTE.
##
###############
# TCP Wrappers#
###############
# Этот текст описывает внесение в файл hosts.deny для использования wrappers.
# Зжесь приводятся два формата TCP wrappers:
#
# Формат 1: Старый стиль - по умолчанию, когда хост не допускает обработки
# параметров.
#
KILL_HOSTS_DENY="ALL: $TARGET$"
#
# Формат 2: Новый стиль - включены расширенной обработки.
#  Вы можете просмотреть опции расширенной обработки, чтобы
# быть уверенными, что все перед символами "%" стоит символ "\"
# (например, \%c \%h )
#
#KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
###################
# Внешние команды #
###################
# Эта команда выполняется когда хост подключен, это может быть то, что вам
# нужно (пэйджер и т.д.). Эта команда выполняется перед очисткой маршрута.
# Я НЕ РЕКОМЕНДУЮ ПОМЕЩАТЬ КАКИЕ-ЛИБО КАРАТЕЛЬНЫЕ 
# ДЕЙСТВИЯ ПРОТИВ ХОСТА СКАНИРУЮЩЕГО ВАС. TCP/IP это 
# протокол без подтверждения подлинности и люди могут организовать
# сканирование из ниоткуда. Единственное, что можно безопасно запустить
# это скрипт обратной проверки, который использует классический -tcp режим. 
This
# Этот режим требует полного соединения и очень труден для обмана (spoof).
#
#KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$"
#####################
# Значение триггеров сканирования #
#####################
# Введите число соединений к портам, когда вам будет дано предупреждение. 
# По умолчанию значение равно 0 - незамедлительная реакция.
# Значения 1 или 2 будут уменьшать количество ложных срабатываний. В более 
# высоком значение нет необходимости. Это значение должно быть определено, 
# но как правило можно оставить 0.
#
# ЗАМЕЧАНИЕ: Если вы используете продвинутые опции определения, вам
# нужно быть внимательным, чтобы не создать ситуацию "спускового крючка,
# требующего легкого нажатия". Поскольку расширенный режим будет 
# реагировать на любой удаленный компьютер соединяющийся с интервалом
# ниже определенного здесь, вы при определенных обстоятельствах 
# действительно разорвете что-нибудь. (например, кто-то невинно пытается 
# соединиться с вами через SSL [TCP порт 443] и вы сразу блокируете его). 
# Так что будьте внимательны.
#
SCAN_TRIGGER="0"
######################
# Секция заголовка (banner) порта  #
######################
#
# Введите здесь текст, который вы хотите показать человеку отключаемого 
# PortSentry. Я не рекомендую насмехаться над человек, так как это может его
# разозлить. Оставьте эти строки закомментироваными, чтобы отключить эту 
# возможность.
#
# Режим определения Stealth сканирования не использует эту возможность. 
#
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR 
CONNECTION ATTEMPT HAS
BEEN LOGGED. GO AWAY."
# EOF

Сейчас, вы должны проверить/изменить права установленные по умолчанию из соображения безопасности:

В файл "/usr/psionic/portsentry/portsentry.ignore" вы добавляете компьютеры, которые должны быть проигнорированы если они соединяются к порту. Он всегда должен содержать localhost адрес (127.0.0.1) и адреса локальных машин. Не рекомендуется помещать в него все компьютеры из вашей локальной сети. Редактируйте фай portsentry.ignore file (vi /usr/psionic/portsentry.ignore) и добваьте в него все хосты, которые будут пропущены:

# Положите сюда адреса хостов, которые мы никогда не будем блокировать.

# Здесь должны находится адреса всех локальных интерфейсов на 

# защищаемом сервере (например, virtual host, mult-home)

# Сохраните здесь 127.0.0.1 и 0.0.0.0.

127.0.0.1

0.0.0.0

Запуск PortSentry.

Программа PortSentry может быть сконфигурирована для работы в шести различных режимах, но запущена только для проверки одного протокольного режима за раз. Чтобы было более правильно, вы можете запустить одни TCP режим и один UDP режим, так как два TCP и один UDP, для примера, не работает. Доступные режимы:

В моем случае я предпочитаю запускать TCP в протокольном режиме "продвинутое определение TCP stealth сканирования " и UDP в протокольном режиме "определение Stealth UDP сканирования ". Для получения большей информации о других протокольных режимах пожалуйста читайте "README.install" и "README.stealth" файлы в каталоге с исходными кодами PortSentry. Для TCP режима я выбираю:

- atcp - продвинутое определение TCP stealth сканирования
В режиме продвинутого определения TCP stealth сканирования, PortSentry будет вначале смотреть какие порты вы запустили на сервере, а затем выведет их из под наблюдения и начнет следить за остальными портами. Это очень полезно и очень быстро реагирует на сканирование портов. Этот режим, также, потребляет мало времени CPU.

-sudp - режим определения "Stealth" UDP сканирования
В режиме определения "Stealth" UDP сканирования UDP порты сперва будут формироваться в список, а затем контролироваться.

Для запуска PortSentry в двух вышеприведенных режимах используйте команды:

ЗАМЕЧАНИЕ: Вы можете добавить вышеприведенные строки в файл "/etc/rc.d/rc.local", чтобы они автоматически запускались при каждой перезагрузке системы.

> /usr/psionic
> /usr/psionic/portsentry
> /usr/psionic/portsentry/portsentry.conf
> /usr/psionic/portsentry/portsentry.ignore
> /usr/psionic/portsentry/portsentry

Linux OpenSSH Клиент/Сервер

Краткий обзор.

Как было написано во 2 главе "Инсталляция вашего Linux сервера", многие сетевые сервисы, включая, но не ограничиваясь, telnet, rsh, rlogin или rexec, уязвимы к электронному прослушиванию. В результате, любой человек, имеющий доступ к компьютеру в вашей сети, может прослушивать сообщения и перехватывать пароли и другую полезную информацию, проходящую по сети в открытом виде. Программа telnet необходима для решения ежедневных административных задач, но она не безопасна, так как передает через сеть пароли в открытом виде. Чтобы решить эту проблему необходима программа, которая заменит нам telnet. К счастью такая программа есть, это OpenSSH - настоящая и безопасная замена старых и небезопасных программ удаленного доступа, таких как telnet, rlogin, rsh, rdist или rcp.

Согласно официальному OpenSSH README файлу:

Ssh (Secure Shell) - это программа для подключения к компьютерам через сеть, выполнения команд на удаленных машинах и перемещения файлов из одного компьютера на другой. Она предоставляет строгую аутентификацию и безопасную передачу информации по незащищенным каналам. Ssh предназначен заменить rlogin, rsh, rcp и rdist.

В нашей конфигурации мы будем настраивать OpenSSH на поддержку tcp-wrappers (inetd superserver) для улучшения безопасности уже безопасной программы и чтобы не запускать ее как демон. В результате, когда клиент пытается соединиться с сервером, ssh будет запущен TCP-WRAPPER-ом для его аутентификации и авторизации перед тем, как разрешить подключение.

OpenSSH - это свободно-распространяемая замена SSH1, в которой были удалены все патентозависимые алгоритмы (во внешние библиотеки), все известные ошибки в безопасности и добавлены новые возможности. Мы рекомендуем вам использовать OpenSSH вместо SSH1 (свободно- распространяемый, но содержащий ошибки) или SSH2, который изначально тоже был бесплатным, но сейчас поставляется под коммерческой лицензией. Для тех, кто использует SSH2 от компании Datafellows, мы описываем в этой книге обе версии, начиная с OpenSSH.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
OpenSSH версии 1.2.3

Пакеты.
Домашняя страница OpenSSH: http://violet.ibs.com.au/openssh/
Вы должны скачать: openssh-1.2.3.tar.gz

OpenSSH требует, чтобы был установлен пакет zlib-devel, который содержит заголовочные файлы и библиотеки нужные программам, использующим библиотеки zlib компрессии и декомпрессии. Если это не так, то установите его с вашего Red Hat Linux 6.1 или 6.2 CD-ROM.

Чтобы узнать установлен ли у вас zlib-devel дайте команду:

Для инсталляции zlib-devel дайте следующие комнады:

[root@deep /]# mount /dev/cdrom /mnt/cdrom/
[root@deep /]# cd /mnt/cdrom/RedHat/RPMS/
[root@deep RPMS]# rpm -Uvh gd-devel-version.i386.rpm
gd            ##################################################
[root@deep RPMS]# rpm -Uvh zlib-devel-version.i386.rpm
zlib-devep    ##################################################
[root@deep RPMS]# cd /; umount /mnt/cdrom/

OpenSSL, необходимая для включения поддержки SSL в OpenSSH, тоже должна быть установлена на вашей системе.

ЗАМЕЧАНИЕ. Для того, чтобы получить большую информацию об OpenSSL сервере читайте соответствующую главу этой книги. Даже если вам не нужно использовать OpenSSL для создания и хранения зашифрованных файлов ключей, все равно для правильной работы OpenSSH требуются библиотеки OpenSSL.

Тарболы.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции OpenSSH и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > OpenSSH1

После инсталляции:
find /* > OpenSSH2

Для получения списка установленных файлов:
diff OpenSSH1 OpenSSH22 > OpenSSH-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Переместитесь в новый каталог OpenSSH и выполните следующие команды:

Вышеприведенные опции говорят OpenSSH следующее:

Вкомпилировать libwrap и включить поддержку TCP Wrappers (/etc/hosts.allow|deny)
Заблокировать длительные задержки при разрешении имен под Linux/glibc-2.1.2 для улучшения времени соединения
Определить месторасположение OpenSSL

Сейчас мы должны компилировать и инсталлировать OpenSSH на сервере:

make - компилирует исходные коды в двоичные файлы;
make install - инсталлирует исполняемы и вспомогательные файлы
make host-key - создает ключ сервера
install - инсталлирует PAM поддержку на Red Hat Linux, которая сейчас имеет больше возможностей, чем популярный пакет из коммерческого ssh-1.2.x.

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции OpenSSH. Она также удалит .tar.gz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:

Для запуска OpenSSH клиента/сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте ssh_config в каталог "/etc/ssh/".
Копируйте sshd_config в каталог "/etc/ssh/".
Копируйте sshd в каталог "/etc/pam.d/".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Файл "/etc/ssh/ssh_config" это конфигурационный файл для OpenSSH, действующий в масштабах системы, который определяет опции изменяющие действия клиентских программ. Он содержит пары ключ-значение, одну на строку, не зависящие от регистра. Здесь описаны наиболее важные ключи влияющие на безопасность; полный список вы можете найти на стрнице руководства (man) для ssh (1).

Редактируйте файл ssh_config (vi /etc/ssh/ssh_config) и добавьте/или измените следующие параметры:

# Site-wide defaults for various options
Host *
    ForwardAgent no
    ForwardX11 no
    RhostsAuthentication no
    RhostsRSAAuthentication no
    RSAAuthentication yes
    PasswordAuthentication yes
    FallBackToRsh no
    UseRsh no
    BatchMode no
    CheckHostIP yes
    StrictHostKeyChecking no
    IdentityFile ~/.ssh/identity
    Port 22
    Cipher blowfish
    EscapeChar ~

Host *
Опция "Host" ограничивает влияние всех нижестоящих объявлений и опций только на компьютеры соответствующих шаблону приведенному после ключевого слова. "*" подразумевает все компьютеры. При помощи этой опции вы сможете в одном файле определить параметры для разных удаленных машин.

ForwardAgent no
Опция "ForwardAgent" определяет какой агент установления подлинности соединения должен быть направлен на удаленную машину.

ForwardX11 no
Опция "ForwardX11" для людей, которые используют Xwindow GUI и хотят автоматически перенаправлять сессии X11 на удаленную машину. Так как мы устанавливали сервер и не инсталлировали GUI, мы можем спокойно выключить эту опцию.

RhostsAuthentication no
Опция "RhostsAuthentication" определяет можем ли мы использовать аутентификацию, базирующуюся на rhosts. Так как она не безопасна, то мы отключаем ее.

RhostsRSAAuthentication no
Опция "RhostsRSAAuthentication" определяет использовать ли rhosts аутентификацию совместно с RSA host аутентификацией или нет.

RSAAuthentication yes
Опция "RSAAuthentication" определяет использовать RSA аутентфикацию или нет. Эта опция должна быть установлена в "yes" для лучшей безопасности ваших сессий. RSA использует пару из общедоступного и личного ключей, созданную при помощи утилиты ssh-keygen1.

PasswordAuthentication yes
Опция "PasswordAuthentication" определяет можем ли мы использовать аутентификацию, базирующуюся на паролях, или нет. Для большей безопасности эта опция должна быть установлена в "yes".

FallBackToRsh no
Опция "FallBackToRsh" определяет, что если соединение с демоном ssh завершилось ошибкой, должен ли автоматически использоваться rsh. Запомните, что сервис rsh небезопасен, поэтому эту опцию устанавливаем в no.

UseRsh no
Опция "UseRsh" определяет, что сервис rlogin/rsh должен использоваться на этом компьютере. Как и с опцией "FallBackToRsh", эта опция должна быть установлена в "no" из соображений безопасности.

BatchMode no
Опция "BatchMode" определяет можем ли мы отключить запрос имени и пароля при соединении. Эта опция полезна когда вы создаете скрипты и не хотите вводить пароль. (например, скрипт, который использует команду scp для создания резервных копий через сеть).

CheckHostIP yes
Опция "CheckHostIP" определяет будет или нет ssh дополнительно проверять IP адрес компьютера, который подключается к серверу, для определения DNS spoofing. Рекомендую установить эту опцию в "yes".

StrictHostKeyChecking no
Опция "StrictHostKeyChecking" определяет будет или нет ssh автоматически добавлять новые ключи компьютера в файл $HOME/.ssh/known_host. Эта опция, когда установлена в "yes", предоставляет максимальную защиту от атак Trojan horse. С этой опцией должна быть проведена одна процедура. Вначале она устанавливается в "no", чтобы ключи с обычно используемых компьютеров были собраны в файле, а затем нужно установить ее в "yes", чтобы воспользоваться ее дополнительными возможностями.

IdentityFile ~/.ssh/identity
Опция "IdentityFile" определяет альтернативный идентичный файл RSA идентификации для чтения. Много идентичных файлов может быть определено с помощью этой опции.

Port 22
Опция "Port" опередляет какой порт используется для ssh соединений на удаленном компьютере. По умолчанию он равен 22.

Cipher blowfish
Опция "Cipher" определяет какой шифр должен быть использован для шифрования сессии. blowfish использует 64-битные блоки и ключи до 448 бит.

EscapeChar ~
Опция "EscapeChar" определяет сессионный знак перехода в приостановленное состояние.

Настройка файла "/etc/ssh/sshd_config".

Файл "/etc/ssh/sshd_config" - это конфигурационный файл для OpenSSH, действующий в масштабах системы, который определяет опции изменяющие действия демона. Он содержит пары ключ-значение, одну на строку, не зависящие от регистра. Здесь описаны наиболее важные ключи влияющие на безопасность sshd; полный список вы можете найти на странице руководства к sshd (8).
Редактируйте файл sshd_config (vi /etc/ssh/sshd_config) и добавьте/или измените следующие параметры:

# This is ssh server systemwide configuration file.
Port 22
ListenAddress 192.168.1.1
HostKey /etc/ssh/ssh_host_key
ServerKeyBits 1024
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
PrintMotd yes
SyslogFacility AUTH
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
AllowUsers admin

Port 22
Опция "Port" определяет какой порт слушает ssh демон для входящих соединений. По умолчанию - 22.

ListenAddress 192.168.1.1
Опция "ListenAddress" определяет IP адрес интерфейса к которому подключен сокет ssh демона. По умолчанию это "0.0.0.0"; для улучшения безопасности вы можете ограничиться только одним адресом.

HostKey /etc/ssh/ssh_host_key
Опция "HostKey" определяет место содержащее приватный ключ сервера.

ServerKeyBits 1024
Опция "ServerKeyBits" определяет как много бит используется в ключе сервера. Эти биты используются когда демон стартует для генерации RSA ключа.

LoginGraceTime 600
Опция "LoginGraceTime" определяет как долго в секундах после соединения сервер ждет правильной регистрации до его разрыва.

KeyRegenerationInterval 3600
Опция "KeyRegenerationInterval" определяет как долго в секундах сервер должен ждать перед автоматической регенерацией своего ключа. Эта опция защиты предназначена для предотвращения расшифровки захваченного сеанса связи.

PermitRootLogin no
Опция "PermitRootLogin" определяет может ли root подключаться, используя ssh. Никогда не говорите "yes" в этой опции.

IgnoreRhosts yes
Опция "IgnoreRhosts" определяет должны ли файлы rhosts или shosts использоваться при аутентификации. Из соображений безопасности рекомендуется не использовать эти файлы.

IgnoreUserKnownHosts yes
Опция "IgnoreUserKnownHosts" определяет должен ли ssh демон игнорировать пользователей "$HOME/.ssh/known_hosts" во время RhostsRSAAuthentication.

StrictModes yes
Опция "StrictModes" определяет должен ли ssh проверять права пользователей в их домашних каталогах и файлы rhosts перед тем, как пустить на сервер. Эта опция должна всегда быть установлена в "yes", потому что иногда пользователи могут случайно оставить свои каталоги и файлы открытыми всем для записи.

X11Forwarding no
Опция "X11Forwarding" определяет должен ли сервер перенаправлять X11 пакеты или нет. Так как мы установили сервер без GUI, то эту опцию устанавливаем в no.

PrintMotd yes
Опция "PrintMotd" определяет должен ли ssh демон печатать содержимое файла "/etc/motd", когда пользователь входит на сервер. Файл "/etc/motd" также известен как "сообщение дня".

SyslogFacility AUTH
Опция "SyslogFacility" определяет с какого средства (facility) поступают сообщения в syslog от sshd. facility представляет подсистему, которая создает сообщение, в нашем случае AUTH.

LogLevel INFO
Опция "LogLevel" определяет уровень важности сообщения поступающего системе syslog от sshd. INFO - хороший выбор. Смотрите страницу man для sshd для получения большей информации о других возможностях.

RhostsAuthentication no
Опция "RhostsAuthentication" определяет может ли sshd использовать rhosts аутентификацию. Так как rhosts аутентификация небезопасна, то мы не используем эту опцию.

RhostsRSAAuthentication no
Опция "RhostsRSAAuthentication" определяет можно ли использовать rhosts аутентификацию вместе с RSA аутентификацией.

RSAAuthentication yes
Опция "RSAAuthentication" определяет можно ли использовать RSA аутентификацию. Эта опция должна быть установлена в "yes" для лучшей безопасности. RSA использует пару из общедоступного и личного ключей, созданных с помощью утилиты ssh-keygen1.

PasswordAuthentication yes
Опция "PasswordAuthentication" определяет можно ли использовать аутентификацию по паролю. Для лучшей защищенности эта опция должна быть установлена в "yes".

PermitEmptyPasswords no
Опция "PermitEmptyPasswords" определяет позволяет ли сервер входить на сервер с бюджетов с пустыми паролями. Если вы используете утилиту "scp" для автоматического создания резервных копий через сеть, то нужно установить эту опцию в "yes".

AllowUsers admin
Опция "AllowUsers" определяет и контролирует какие пользователи могут использовать ssh сервис. Для разделения нескольких имен используйте пробелы.

Настройка OpenSSH для использования с TCP-Wrappers inetd супер сервером.

Tcp-Wrappers может быть использован для запуска и остановки вашего ssh сервиса. Перед выполнением inetd читает информацию из конфигурационного файла /etc/inetd.conf.

Редактируйте файл inetd.conf (vi /etc/inetd.conf) и добавьте в него следующую строку:

ЗАМЕЧАНИЕ. Параметр '"-i" говорит, что sshd должен запускаться из inetd. После редактирования файла "etc/inetd.conf" отправьте демону inetd сигнал SIGHUP, чтобы он перечитал файл конфигурации.

Редактируйте файл hosts.allow file (vi /etc/hosts.allow) и добавьте следующую строку:

Которая значит, что клиенту с IP адресом "192.168.1.4" и именем компьютера "win.openna.com" разрешен ssh доступ к серверу.

Эти строки "демона" (для tcp-wrappers) используются sshd:

sshdfwd-X11 (если вы хотите разрешить/запретить X11-forwarding).
sshdfwd-<port-number> (для tcp-forwarding).
sshdfwd-<port-name> (номер порта определен в /etc/services. Ипсользуемый в tcp-forwarding).

ЗАМЕЧАНИЕ. Если вы решили переключиться на использование ssh, сделайте так, чтобы вы инсталлировали и использовали его на всех ваших серверах. Наличие десяти защищенных серверов и одного незащищенного бесполезно.

Дополнительная документация.

Для получения большей информации, вот несколько man-страниц, которые можно прочитать.

$ man ssh (1) - OpenSSH secure shell клиент (программа удаленного подключения)
$ man ssh [slogin] (1) - OpenSSH secure shell клиент (клиент (программа удаленного подключения)
$ man ssh-add (1) - добавление identities для агента аутентификации
$ man ssh-agent (1) - аутентификационный агент
$ man ssh-keygen (1) - генерация аутентификационного ключа
$ man sshd (8) - ssh демон

Конфигурирование OpenSSH для каждого пользователя

Создайте, локально, ваш общедоступный и персональный ключи:

Результат должен выглядеть примерно так:

Initializing random number generator...
Generating p: ............................++ (distance 430)
Generating q: ......................++ (distance 456)
Computing the keys...
Testing the keys...
Key generation complete.
Enter file in which to save the key (/home/admin/.ssh/identity): [Press Enter]
Enter passphrase:
Enter the same passphrase again:
Your identification has been saved in /home/admin/.ssh/identity.
Your public key is:
1024 37
149377575112519555336911203184772938622900493947151365111458061088700
017643784946768312975778431585322723612061006231460440536487184367748
423324091941848098890786099717524446977589647127757030728779973708569
993017043141563536333068888944038178461608592483844590202154102756903
055846534063365635584899765402181 admin@deep.openna.com
Your public key has been saved in /home/admin/.ssh/identity.pub

ЗАМЕЧАНИЕ. Если вы имеете несколько бюджетов, то вы можете хотеть создать независимые ключи для них.

Вы хотите создать ключи для:

1. Ваш почтовый сервер
2. Ваш Веб сервер
3. Ваш шлюз

Это позволит вам ограничить доступ между серверами, например не позволит почтовому бюджету получить доступ на Веб сервер или Шлюз. Это расширяет полную защиту, если одни из ваших аутентификационных ключей скомпрометирован по какой-нибудь причине.

Копируйте ваш общедоступный ключ (identity.pub) на удаленный компьютер в каталог "/home/admin/.ssh" под именем "authorized_keys".

ЗАМЧЕАНИЕ. Одним из способов копирования файла является использование ftp команд или вам нужно послать по электронной почте ваш общедоступный ключ администратору системы. Только включите содержимое файла ~/.ssh/identity.pub в сообщение.

Изменение вашей pass-phrase.

Утилиты пользователя OpenSSH

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить man-страницы и документацию для получения деталей.

"ssh" (Secure Shell) команда предоставляющая безопасную шифрованную связь между двумя недоверенными компьютерами через небезопасную сеть. Эта программа для безопасного подключения к удаленной машине и выполнения команд на ней. Она заменяет такие небезопасные программы, как telnet, rlogin, rcp, rdist и rsh.

Для подключения к удаленной машине используйте команду:

Например:

[root@deep /]# ssh -l admin www.openna.com
admin@deep.openna.com's password:
Last login: Tue Oct 19 1999 18:13:00 -0400 from deep.openna.com
No mail.
[admin@www admin]$

Где <login_name> это имя, которое вы используете для соединения с ssh сервером и <hostname> это имя удаленного ssh сервера.

"scp" (Secure Copy) это утилита для копирования файлов из локальной системы на удаленную и наоборот, или между двумя удаленными системами. Для копирования файлов с удаленной системы на локулбную используйте следующую команду:

Например:

Для копирования файла с локальной на удаленную систему используйте следующую команду:

Например:

ЗАМЕЧАНИЕ. Опция "-p" говорит, что время модификации и доступа, также как и режимы исходных файлов, должны быть сохранены и на копии. Это обычно желательно.

Некоторые возможности использования OpenSSH

OpenSSH может использоваться для:

1. Замены telnet, rlogin, rsh, rdist и rcp.
2. Организации безопасного резервного копирования через сеть.
3. Удаленного выполнения команд..
4. Доступа к корпоративным ресурсам через Интернет.

Инсталлируемые файлы

> /etc/ssh
> /etc/ssh/ssh_config
> /etc/ssh/sshd_config
> /etc/ssh_host_key
> /etc/ssh_host_key.pub
> /usr/bin/ssh
> /usr/bin/slogin
> /usr/man/man1/ssh.1
> /usr/man/man1/scp.1
> /usr/man/man1/ssh-add.1
> /usr/man/man1/ssh-agent.1
> /usr/man/man1/ssh-keygen.1
> /usr/bin/scp
> /usr/bin/ssh-add
> /usr/bin/ssh-agent
> /usr/bin/ssh-keygen
> /usr/man/man1/slogin.1
> /usr/man/man8/sshd.8
> /usr/sbin/sshd

Бесплатные SSH клиенты для Windows

Putty
Домашняя страница Putty: http://www.chiark.greenend.org.uk/~sgtatham/putty.html

Tera Term Pro и TTSSH
Домашняя страница Tera Term Pro: http://hp.vector.co.jp/authors/VA002416/teraterm.html
Домашняя страница TTSSH : http://www.zip.com.au/~roca/download.html

Linux SSH2 Клиент/Сервер

Сейчас стало ясно, что все пользователи Linux, должны использовать OpenSSH вместо SSH2 от компании Datafellows. Однако, для пользователей и организаций, которые хотят использовать коммерческую версию этого программного обеспечения, мы приводим следующее описание. Это SSH2 - коммерческая версия SSH. В нашей конфигурации мы настраиваем SSH2 на поддержку работы с TCP-Wrappers из соображений безопасности.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
SSH2 версии 2.0.13

Пакеты.
Домашняя страница SSH2: http://www.ssh.org/
Вы должны скачать: ssh-2.0.13.tar.gz

Тарболы.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции SSH2 и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > SSH1

После инсталляции:
find /* > SSH2

Для получения списка установленных файлов:
diff SSH1 SSH2 > SSH2-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Переместитесь в новый каталог SSH2 и выполните следующие команды:

Вышеприведенные опции говорят SSH2 следующее:

• Не включать совместимость с ssh-agent1
• Инсталлировать ssh-signer без suid бита.
• Отключить поддержку перенаправление портов (port forwarding).
• Отключить поддержку перенаправление X11.
• Включить опцию сокета TCP_NODELAYn.
• Вкомпилировать libwrap (tcp_wrappers) поддержки.

Команда "make clean" удаляет все предыдущие следы компиляции, чтобы избежать любых ошибок. Команда "make" компилирует все исходные файлы в исполняемые и в заключении команда "make install" инсталлирует двоичные и сопутствующие им файлы в определенное место.

Очистка после работы.

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции SSH2. Она также удалит .tar.gz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска SSH2 клиента/сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте ssh2_config в каталог "/etc/ssh2/".
Копируйте sshd2_config в каталог "/etc/ssh2/".
Копируйте sshd в каталог "/etc/pam.d/".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Настройка файла "/etc/ssh2/ssh2_config".

Файл "/etc/ssh2/ssh2_config" это конфигурационный файл для SSH2, действующий в масштабах системы, который определяет опции изменяющие действия клиентских программ. Он содержит пары ключ-значение, записанных в одну на строку, не зависящие от регистра. Здесь описаны наиболее важные ключи влияющие на безопасность; полный список вы можете найти странице руководства для ssh2 (1).

Редактируйте файл ssh2_config (vi /etc/ssh2/ssh2_config) и добавьте/или измените следующие параметры:

# ssh2_config
# SSH 2.0 Client Configuration File
*:
  Port 22
  Ciphers blowfish
  Compression yes
  IdentityFile identification
  AuthorizationFile authorization
  RandomSeedFile random_seed
  VerboseMode no
  ForwardAgent no
  ForwardX11 no
  PasswordPrompt "%U's password: "
  Ssh1Compatibility no
  Ssh1AgentCompatibility none
  NoDelay yes
  KeepAlive yes
  QuietMode no

Port 22<br> Опция "Port" определяет на какой порт ssh присоединяется на удаленнный компьютер. По умолчанию - 22.

Ciphers blowfish
Опция "Ciphers" определяет какой шифр должен быть использован для шифрования сессии. blowfish использует 64-битные блоки и ключи до 448 бит.

Compression yes
Опция "Compression" определяет использовать ли во время сессии сжатие. Сжате будет улучшать скорость связи и обмена файлами.

IdentityFile identification
Опция "IdentityFile" определяет альтернативное имя для пользовательского идентификационного файла.

AuthorizationFile authorization
Опция "AuthorizationFile" определяет альтернативное имя для пользовательского файла авторизации.

RandomSeedFile random_seed
Опция "RandomSeedFile" определяет альтернативное имя для пользовательского файла с начальным числом для генерации псевдослучайных чисел (random seed file).

VerboseMode no
Опция "VerboseMode" заставляет ssh2 печатать отладочные сообщения о ходе его работы. Эта опция полезна при отладочных соединениях и проблемах с настройками.

ForwardAgent no
Опция "ForwardAgent" определяет какой агент установления подлинности соединения должен быть направлен на удаленную машину.

ForwardX11 no
Опция "ForwardX11" для людей, которые используют Xwindow GUI и хотят автоматически перенаправлять сессии X11 на удаленную машину. Так как мы устанавливали сервер и не инсталлировали GUI, мы можем спокойно выключить эту опцию.

PasswordPrompt "%U's password: "
Опция "PasswordPrompt" определяет строку запроса пароля, которая будет выводится пользователю, когда он подключается к системе. Переменные '%U' и '%H' дают имя пользователя и хоста соответственно.

Ssh1Compatibility no
Опция "Ssh1Compatibility" определяет будут или нет использоваться SSH1 совместимые коды в SSH2 для ssh1 пользователей.

Ssh1AgentCompatibility none
Опция "Ssh1AgentCompatibility" определяет будет или нет направляться SSH1 агент соединений с SSH2 для пользователей ssh1.

NoDelay yes
Опция "NoDelay" определяет, что опция сокета TCP_NODELAY должна быть включена. Рекомендуется установить ее в "yes" для улучшения сетевой производительности.

KeepAlive yes
Опция "KeepAlive" определяет должна ли система отправлять keep alive сообщения на удаленный сервер. Если эта опция установлена в "yes", то в случае разрыва соединения или аварийного отказа удаленной машины будет получено корректное извещение.

QuietMode no
Опция "QuietMode" определяет будет ли система запущена в тихом режиме. Эта опция должна быть установлена в "no", потому что в бесшумном режиме, никакой информации не заносится в с системные журналы регистрации, за исключением фатальных ошибок. Так как мы хотим иметь информацию о пользовательских сессиях, нам надо установить опцию в "no".

Настройка файла "/etc/ssh2/sshd2_config".

Файл "/etc/ssh2/sshd2_config" это конфигурационный файл для SSH2, действующий в масштабах системы, который определяет опции изменяющие действия демона. Он содержит пары ключ-значение, одну на строку, не зависящие от регистра. Здесь описаны наиболее важные ключи влияющие на безопасность sshd; полный список вы можете найти в man странице для sshd2 (8).

Редактируйте файл sshd2_config (vi /etc/ssh2/sshd2_config) и добавьте/или измените следующие параметры:

# sshd2_config
# SSH 2.0 Server Configuration File
*:
  Port 22
  ListenAddress 192.168.1.1
  Ciphers blowfish
  IdentityFile identification
  AuthorizationFile authorization
  HostKeyFile hostkey
  PublicHostKeyFile hostkey.pub
  RandomSeedFile random_seed
  ForwardAgent no
  ForwardX11 no
  PasswordGuesses 3
  MaxConnections 5
  PermitRootLogin no
  AllowedAuthentications publickey,password
  RequiredAuthentications publickey,password
  VerboseMode no
  PrintMotd yes
  CheckMail yes
  UserConfigDirectory "%D/.ssh2"
  SyslogFacility DAEMON
  Ssh1Compatibility no
  NoDelay yes
  KeepAlive yes
  UserKnownHosts yes
  AllowHosts 192.168.1.4
  DenyHosts *
  QuietMode no
# subsystem definitions
  subsystem-sftp sftp-server

Port 22
Опция "Port" определяет какой порт слушает ssh2 демон для входящих соединений. По умолчанию - 22.

ListenAddress 192.168.1.1
Опция "ListenAddress" определяет IP адрес интерфейса к которому подключен сокет ssh демона. По умолчанию это "0.0.0.0"; для улучшения безопасности вы можете ограничиться только одним адресом.

Ciphers blowfish
Опция "Ciphers" определяет какой шифр должен быть использован для шифрования сессии. blowfish использует 64-битные блоки и ключи до 448 бит.

IdentityFile identification
Опция "IdentityFile" определяет альтернативное имя для идентификационного файла пользователей.

AuthorizationFile authorization
Опция "AuthorizationFile" задает альтернативное имя для файла полномочий пользователей (user's authorization file).

HostKeyFile hostkey
Опция "HostKeyFile" определяет место содержащее приватный ключ сервера. По умолчанию "/etc/ssh2/hostkey".

PublicHostKeyFile hostkey.pub
Опция "PublicHostKeyFile" определяет альтернативный файл содержащий публичный ключ сервера. По умолчанию - "/etc/ssh2/hostkey.pub".

RandomSeedFile random_seed
Опция "RandomSeedFile" определяет альтернативное имя для пользовательского файла с начальным числом для генерации псевдослучайных чисел (random seed file).

ForwardAgent no
Опция "ForwardAgent" определяет какой агент установления подлинности соединения должен быть направлен на удаленную машину.

ForwardX11 no
Опция "ForwardX11" определяет должен ли сервер перенаправлять X11 пакеты или нет. Так как мы установили сервер без GUI, то эту опцию устанавливаем в no.

PasswordGuesses 3
Опция "PasswordGuesses" определяет как много попыток имеет пользователь, чтобы ввести имя и пароль, при парольной аутентификации.

MaxConnections 5
Опция "MaxConnections" определяет максимальное число одновременных соединений, которыми демон ssh2 может управлять.

PermitRootLogin no
Опция "PermitRootLogin" определяет может ли root подключаться, используя ssh. Никогда не говорите "yes" в этой опции.

AllowedAuthentications publickey,password
Опция "AllowedAuthentications" определяет какие виды аутентификации разрешено использовать. С этой опцией администратор может вынуждать пользователей заканчивать несколько аутентификаций прежде чем они расссматриваются как заверенные.

RequiredAuthentications publickey,password
Опция "RequiredAuthentications" связана с "AllowedAuthentications", определяет какие метода аутентификации пользователь должен завершить прежде чем продолжить свою работу. Этот параметр должен иметь те же значения, что и "AllowedAuthentications" или сервер будет все время запрещать соедиенния.

VerboseMode no
Опция "VerboseMode" заставляет демон ssh2 печатать отладочные сообщения о ходе его работы. Эта опция полезна при отладочных соединениях и проблемах с настройками.

PrintMotd yes
Опция "PrintMotd" определяет должен ли ssh2 демон печатать содержимое файла "/etc/motd", когда пользователь входит на сервер. Файл "/etc/motd" также известен как "сообщение дня".

CheckMail yes
Опция "CheckMail" определяет должен ли ssh2 демон печатать информацию о новой почте, которая пришла пользователю.

UserConfigDirectory "%D/.ssh2"
Опция "UserConfigDirectory" определяет месторасположение конфигурационных данных пользователей.

SyslogFacility DAEMON
Опция "SyslogFacility" определяет с какого средства (facility) поступают сообщения в syslog от sshd2. facility представляет подсистему, которая создает сообщение, в нашем случае DAEMON.

Ssh1Compatibility no
Опция "Ssh1Compatibility" определяет будут ли использоваться SSH1 совместимые коды в SSH2 для пользователей ssh1.

NoDelay yes
Опция "NoDelay" определяет, что опция сокета TCP_NODELAY должна быть включена. Рекомендуется установить ее в "yes" для улучшения сетевой производительности.

KeepAlive yes
Опция "KeepAlive" определяет должна ли система отправлять keep alive сообщения на удаленный сервер. Если эта опция установлена в "yes", то в случае разрыва соединения или аварийного отказа удаленной машины будет получено корректное извещение.

UserKnownHosts yes
Опция "UserKnownHosts" определяет может ли быть использован домашний каталог пользователя "$HOME/.ssh2/knownhosts/" для получения публичного ключа хоста, когда используется "hostbased"-аутентификация.

AllowHosts 192.168.1.4
Опция "AllowHosts" определяет и контролирует какие компьютеры имеют доступ к ssh2 сервису. Несколько хостов, разделенных пробелами, может быть перечислено.

DenyHosts *
Опция "DenyHosts" определяет и контролирует какие хосты не имеют доступа к ssh2 сервису. Несколько хостов, разделенных пробелами, может быть перечислено. По умолчанию шаблон "*" означает все компьютеры.

QuietMode no
Опция "QuietMode" определяет будет ли система запущена в тихом режиме. Эта опция должна быть установлена в "no", потому что в бесшумном режиме, никакой информации не заносится в с системные журналы регистрации, за исключением фатальных ошибок. Так как мы хотим иметь информацию о пользовательских сессиях, нам надо установить опцию в "no".

Настройка SSH2 для использования с TCP-Wrappers inetd супер сервером.

Tcp-Wrappers может быть использован для запуска и остановки вашего ssh2 сервиса. Перед выполнением inetd читает информацию из конфигурационного файла /etc/inetd.conf.

Редактируйте файл inetd.conf (vi /etc/inetd.conf) и добавьте в него следующую строку:

ЗАМЕЧАНИЕ. Параметр "-i" говорит, что sshd должен запускаться из inetd.

После редактирования файла "etc/inetd.conf" отправьте демону inetd сигнал SIGHUP, чтобы он перечитал файл конфигурации.

Редактируйте файл hosts.allow file (vi /etc/hosts.allow) и добавьте следующую строку:

Которая значит, что клиенту с IP адресом "192.168.1.4" и именем компьютера "win.openna.com" разрешен ssh доступ к серверу.

Эти строки "демона" (для tcp-wrappers) используются sshd2:
ssh,ssh2 (может вызываться по имени ssh2 (обычно используется ssh)).
sshdfwd-X11 (если вы хотите разрешить/запретить X11-forwarding).
sshdfwd-<port-number> (для tcp-forwarding).
sshdfwd-<port-name> (номер порта определен в /etc/services. Ипсользуемый в tcp-forwarding).

ЗАМЕЧАНИЕ. Если вы решили переключиться на использование ssh, сделайте так, чтобы вы инсталлировали и использовали его на всех ваших серверах. Наличие десяти защищенных серверов и одного незащищенного бесполезно.

Конфигурация файла "/etc/pam.d/ssh".

Для лучшей безопасности вашего ssh2 сервера, вы можете настроить его на аутентификацию через PAM. Чтобы сделать это, надо создать файл "/etc/pam.d/ssh" file.

Создайте файл ssh (touch /etc/pam.d/ssh) и добавьте или измените, если нужно:

Дополнительная документация

Для получения большей информации, вот несколько man-страниц, которые можно прочитать:

$ man ssh-add2 (1) - добавляет identities агенту аутентификации
$ man ssh-agent2 (1) - агент аутентификации
$ man ssh-keygen2 (1) - генератор пары аутентификационных ключей
$ man ssh2 (1) - secure shell клиент (программа удаленного подключения)
$ man sshd2 (8) - secure shell демон

Конфигурирование SSH2 для каждого пользователя

Создайте, локально, ваш личный и публичный ключи:

Создайте файл "identification" в вашем каталоге "~/.ssh2" на локальной машине:

ЗАМЕЧАНИЕ. Опционально можно создать идентификационный файл и на удаленной машине. Он содержит имя приватного ключа, который используется при аутентификации.

Копируйте ваш публичный ключ с локальной машины (id_dsa_1024_a.pub) на удаленную в каталог "~/.ssh2" под именем, "Local.pub".

Создайте файл "authorization" в каталоге "~/.ssh2" на удаленной машине:

ЗАМЕЧАНИЕ. "~/" означает ваш домашний каталог.

Добавьте следующую строку в файл "authorization" на удаленной машине:

Утилиты пользователя SSH2

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить man-страницы и документацию для получения деталей.

"ssh2" (Secure Shell) команда предоставляющая безопасную шифрованную связь между двумя недоверенными компьютерами через небезопасную сеть. Эта программа для безопасного подключения к удаленной машине и выполнения команд на ней. Она заменяет такие небезопасные программы, как telnet, rlogin, rcp, rdist и rsh.

Для подключения к удаленной машине используйте команду:

например:

Где <login_name> это имя, которое вы используете для соединения с ssh2 сервером и <hostname> это имя удаленного ssh2 сервера.

Утилита sftp2 (Secure File Transfer) - это ftp-подобный клиент, который предоставляет возможность передачи файлов через сеть. До того, как начать использовать sftp2, вы должны подключиться к ssh2 серверу.

Для ftp через ssh2, используйте следующую команду:

Например:

Где <hostname> - это имя удаленного сервера с которым вы хотите обмениваться файлами посредством sftp.

Инсталлированные файлы

> /etc/pam.d/ssh
> /etc/ssh2
> /etc/ssh2/hostkey
> /etc/ssh2/hostkey.pub
> /etc/ssh2/sshd2_config
> /etc/ssh2/ssh2_config
> /root/.ssh2
> /root/.ssh2/random_seed
> /root/ssh2
> /usr/man/man1/ssh2.1
> /usr/man/man1/ssh-keygen2.1
> /usr/man/man1/ssh-add2.1
> /usr/man/man1/ssh-agent2.1
> /usr/man/man1/scp2.1
> /usr/man/man1/sftp2.1
> /usr/man/man1/ssh.1
> /usr/man/man1/ssh-add.1
> /usr/man/man1/ssh-agent.1
> /usr/man/man1/ssh-keygen.1
> /usr/man/man1/scp.1
> /usr/man/man1/sftp.1
> /usr/man/man8/sshd2.8
> /usr/man/man8/sshd.8
> /usr/bin/ssh2
> /usr/bin/scp2
> /usr/bin/sftp2
> /usr/bin/sftp-server2
> /usr/bin/ssh-agent2
> /usr/bin/ssh-keygen2
> /usr/bin/ssh-signer2
> /usr/bin/ssh-add2
> /usr/bin/ssh
> /usr/bin/ssh-agent
> /usr/bin/ssh-add
> /usr/bin/ssh-askpass
> /usr/bin/ssh-keygen
> /usr/bin/scp
> /usr/bin/sftp
> /usr/bin/sftp-server
> /usr/bin/ssh-signer
> /usr/sbin/sshd2
> /usr/sbin/sshd

Глава 12 Программы обеспечения безопасности (Целостность системы) - Tripwire 2.2.1 В этой главе Linux Tripwire 2.2.1 Конфигурации Организация защиты Tripwire для Linux Команды Linux Tripwire ASR 1.3.1 Конфигурации Организация защиты Tripwire Команды

Linux Tripwire 2.2.1

Инсталляция типичного Red Hat Linux сервера включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов, и если хакер получит доступ к серверу и сможет модифицировать какие-либо файлы, то вы можете об этом не узнать. Для решения этих проблем было создано несколько программ.

Согласно информации опубликованной на официальном сайте Tripwire:
Tripwire работает на самом фундаментальном уровне, защищая сервера и рабочие станции, представляющие основу корпоративной сети. Запускаемая первый раз, она сканирует компьютер и создает базу данных системных файлов, компактный цифровой "снимок" системы в безопасном состоянии. Пользователи могут настраивать Tripwire очень точно, определяя конкретные файлы и каталоги на каждой машине, или создавая стандартный шаблон, который может использоваться на всех машинах предприятия.

Как только такая базовая база данных создана, администратор может запускать Tripwire для проверки целостности системы в любое время. Она сканирует текущую систему и сравнивает результаты со своей базой. Tripwire определяет и рапортует о любых дополнения, удаления и изменениях произошедших среди контролируемых ею файлов. Если изменения правильные, то администратор может обновить базу данных новой информацией. Если были найдены злонамеренный изменения, то администратор будет знать на какую часть системы было оказано воздействие.

Эта версия Tripwire имеет значительные изменения по сравнению с предыдущей. Некоторые расширения включают:

• Множество уровней сообщений позволяет вам выбрать различную информационность отчетов.
• Опция Syslog посылает информация об инициализации и обновлении базы данных, изменении политики, и целостности в syslog.
• Производительность базы данных может быть оптимизирована для увеличения эффективности проверки целостности
• Разные разделы отчета могут быть посланы разным получателям
• Поддержка отправки отчетов по почте через SMTP
• Режим тестирования почты для проверки правильности почтовых настроек
• Возможность создания нескольких независимо исполняемых секций с политиками

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Tripwire версии 2.2.1

Пакеты.
Домашняя страница Tripwire : http://www.tripwiresecurity.com/
Вы должны скачать: Tripwire_221_for_Linux_x86_tar.gz

Раскройте тарбол:

ЗАМЕЧАНИЕ. После раскрытия архива Tripwire в каталоге "/var/tmp" вы увидите файлы, связанные с Tripwire: License.txt, README, Release_Notes, install.cfg, install.sh, созданный каталог и Tripwire_version_for_Linux_x86_tar.gz.

Конфигурирование файла "/var/tmp/install.cfg".

Помните, что Tripwire не является программой с открытыми исходными кодами, поэтому процесс компиляции не выглядит как обычно; вместо этого, вы должны модифицировать файл "install.cfg" (который будет автоматически инсталлировать Tripwire), чтобы определить в нем все необходимые пути. Мы должны это сделать так, чтобы он был совместим со структурой файловой системы Red Hat и исполняемые файлы Tripwire попали под переменную PATH.

Редактируйте файл install.cfg (vi install.cfg) и измените этот файл следующим образом:

#
# install.cfg
#
# default install.cfg for:
# Tripwire(R) 2.2.1 for Unix
#
# NOTE: Это Bourne shell скрипт, который ваши запоминает инсталляционные
# параметры. Инсталлятор будет выполнять этот файл, чтобы создать
# ваш конфигурационный файл, а также определит место любой
# специальной конфигурации нужной для инсталляции.
# Защитите этот файл, потому что в нем могут разместить вредоносный
# код.
#
# Определите ваш корневой каталог для инсталляции, установив TWROOT= во
# что-нибудь иное, чем /usr/TSS.
#
#=======================================================
# Если CLOBBER истина, то существующие файлы будут переписываться.
# Если CLOBBER ложь, то существующие файлы не переписываются.
CLOBBER=false
# Корень дерева каталогов TSS.
TWROOT="/usr"
# Исполняемые файлы Tripwire хранятся в TWBIN.
TWBIN="${TWROOT}/bin"
# Файлы политик Tripwire хранятся в TWPOLICY.
TWPOLICY="${TWROOT}/TSS/policy"
# Руководства пользователя (manual pages) Tripwire хранятся в TWMAN.
TWMAN="${TWROOT}/man"
# Файлы базы данных Tripwire хранятся в TWDB.
TWDB="${TWROOT}/TSS/db"
# Файлы ключей сайта Tripwire хранятся в TWSITEKEYDIR.
TWSITEKEYDIR="${TWROOT}/TSS/key"
# Файлы локальных ключей Tripwire хранятся в TWLOCALKEYDIR.
TWLOCALKEYDIR="${TWROOT}/TSS/key"
# Файлы отчетов Tripwire хранятся TWREPORT.
TWREPORT="${TWROOT}/TSS/report"
# Определяется текстовый редактор по умолчанию для Tripwire.
TWEDITOR="/bin/vi"
# TWLATEPROMTING контролирует место когда tripwire спрашивает пароль.
TWLATEPROMPTING=false
# TWLOOSEDIRCHK определяет должен ли проверяться каталог на
# свойства которые могут изменяться, когда файлы в нем проверена.
TWLOOSEDIRCHK=false
# TWMAILNOVIOLATIONS определяет должен ли Tripwire посылать отчет 
# когда при проверки целостности с опцией --email-report нарушений найдено
# не было. Это позволяет администратору узнать, что проверка была
# произведена.
TWMAILNOVIOLATIONS=true
# TWEMAILREPORTLEVEL определяет словесное наполнение e-mail отчетов.
TWEMAILREPORTLEVEL=3
# TWREPORTLEVEL определяет словесное наполнение печатаемых отчетов.
TWREPORTLEVEL=3
# TWSYSLOG определяет должен ли Tripwire регистрировать события в
# системные файлы регистраций
TWSYSLOG=false
#####################################
# Почтовые опции - Выберите подходящий
# метод и комментируйте другие секции
#####################################
#####################################
# Опции SENDMAIL - по умолчанию
#
# SENDMAIL или SMTP может быть использованы для отправки отчетов
# через TWMAILMETHOD.
# Определяет какая программа sendmail используется.
#####################################
TWMAILMETHOD=SENDMAIL
TWMAILPROGRAM="/usr/lib/sendmail -oi -t"
#####################################
# Опции SMTP
#
# TWSMTPHOST выбирает SMTP сервер, используемый для отправки отчетов.
# SMTPPORT выбирает SMTP порт, используемой почтовой программой SMTP.
#####################################
# TWMAILMETHOD=SMTP
# TWSMTPHOST="mail.domain.com"
# TWSMTPPORT=25
#####################################################################
###########
# Copyright (C) 1998-2000 Tripwire (R) Security Systems, Inc. Tripwire (R) is a
# registered trademark of the Purdue Research Foundation and is licensed
# exclusively to Tripwire (R) Security Systems, Inc.
#####################################################################
###########

ЗАМЕЧАНИЕ. Файл "install.cfg" используются Bourne shell скриптом при инсталляции для определения конфигурационных переменных. Они определяют места куда устанавливаются файлы и предпринимаемые действия, если подобные файлы существуют.

Сейчас мы должны запустить инсталляционный скрипт для установки исполняемых и сопутствующих файлов Tripwire.

Для запуска инсталляционного скрипта и установки Tripwire, используйте следующую команду:

Замечание. Файл "install.sh" - это инсталляционный скрипт, который запускается для начала установки Tripwire.

Во время инсталляции вы будете:

1. Отвечать на некоторые вопросы, связанные с инсталляцией.
2. Задавать две парольные фразы (pass phrases) соответственно для ключа сервера и локального ключа.

Когда Tripwire установится на вашу систему, она скопирует файлы "License.txt", "README" и "Release_Notes" в каталог "/usr". Конечно, после прочтения, вы можете спокойно удалить их следующей командой:

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит .tgz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска Tripwire под Linux следующий файл должен быть создан или скопирован в требуемый каталог:

Копируйте файл twpol.txt в каталог "/usr/TSS/policy".

Настройка файла "/usr/TSS/policy/twpol.txt".

"/usr/TSS/policy/twpol.txt" - это текстовый файл политик Tripwire, где вы можете определить файлы и каталог для проверки. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример вы можете использовать, как стартовую площадку для ваших настроек.

Вы должны редактировать файл политик, заданный по умолчанию, для получения вашей версии. Файл "policyguide.txt" в каталоге "/usr/TSS/policy" может вам помочь. Откройте файл "twpol.txt" в текстовом редакторе (vi /usr/TSS/policy/twpol.txt) и измените все, что нужно:

@@section GLOBAL
TWROOT="/usr";
TWBIN="/usr/bin";
TWPOL="/usr/TSS/policy";
TWDB="/usr/TSS/db";
TWSKEY="/usr/TSS/key";
TWLKEY="/usr/TSS/key";
TWREPORT="/usr/TSS/report";
HOSTNAME=deep.openna.com;
@@section FS
SEC_CRIT = $(IgnoreNone)-SHa; # Критические файлы - мы не можем пропустить любые изменения.
SEC_SUID = $(IgnoreNone)-SHa; # Исполняемые с установленными флагами SUID или SGID.
SEC_TCB = $(ReadOnly); # Члены базы доверенных компьютеров (Trusted Computing Base).
SEC_BIN = $(ReadOnly); # Исполняемые, которые не должны изменяться
SEC_CONFIG = $(Dynamic); # Конфигурационные файлы, которые изменяются редко, но часто читаются.
SEC_LOG = $(Growing); # Файлы, которые растут, но которые никогда не должны изменять монопольное использование.
SEC_INVARIANT = +pug; # Каталоги, которые никогда не изменяют права доступа и владельца.
SIG_LOW = 33; # Не критичные файлы, которые имеют минимальный риск при проведении атаки
SIG_MED = 66; # Не критичные файлы, которые важны при ударе по безопасности
SIG_HI = 100; # Критические файлы, которые являются важным местом уязвимости
# Исполняемы файлы Tripwire
(emailto = admin@openna.com, rulename = "Tripwire Binaries", severity = 
$(SIG_HI))
{
$(TWBIN)/siggen -> $(ReadOnly);
$(TWBIN)/tripwire -> $(ReadOnly);
$(TWBIN)/twadmin -> $(ReadOnly);
$(TWBIN)/twprint -> $(ReadOnly);
}
# Файлы данных Tripwire - конфигурационные файлы, файлы политик, ключи, 
отчеты, базы данных
(emailto = admin@openna.com, rulename = "Tripwire Data Files", severity = 
$(SIG_HI))
{
# Замечание: Удаляем атрибут inode, потому что когда Tripwire создает
# резервные копии он переименовывает старый файл и создает новый
# (который будет иметь новый номер inode). Оставляем inode включенным
# для ключей, которые никогда не должны изменяться.
# ЗАМЕЧАНИЕ. это правило будет срабатывать при первой проверки целостности 
# после инициализации базы данных и каждый раз при проверке целостности
# позже, пока не будет выполнена модификация базы данных, так как база
# данных не будет существовать до этого момента
$(TWDB) -> $(Dynamic) -i;
$(TWPOL)/tw.pol -> $(SEC_BIN) -i;
$(TWBIN)/tw.cfg -> $(SEC_BIN) -i;
$(TWLKEY)/$(HOSTNAME)-local.key -> $(SEC_BIN) ;
$(TWSKEY)/site.key -> $(SEC_BIN) ;
# не сканировать персональные отчеты
$(TWREPORT) -> $(Dynamic) (recurse=0);
}
# Эти файлы критичны для корректной загрузки системы.
(emailto = admin@openna.com, rulename = "Critical system boot files", severity = 
100)
{
/boot -> $(SEC_CRIT) ;
!/boot/System.map ;
!/boot/module-info ;
}
# Эти файлы изменяют поведение бюджета root
(emailto = admin@openna.com, rulename = "Root config files", severity = 100)
{
/root -> $(SEC_CRIT) ;
/root/.bash_history -> $(SEC_LOG) ;
}
# Общедоступные каталоги, которые должны оставаться статическими 
# относительно владельца и группы
(emailto = admin@openna.com, rulename = "Invariant Directories", severity = 
$(SIG_MED))
{
/ -> $(SEC_INVARIANT) (recurse = 0);
/home -> $(SEC_INVARIANT) (recurse = 0);
/etc -> $(SEC_INVARIANT) (recurse = 0);
/chroot -> $(SEC_INVARIANT) (recurse = 0);
/cache -> $(SEC_INVARIANT) (recurse = 0);
}
(emailto = admin@openna.com, rulename = "Shell Binaries")
{
/bin/bsh -> $(SEC_BIN);
/bin/csh -> $(SEC_BIN);
/bin/sh -> $(SEC_BIN);
}
# Месторасположение критичных исполняемых файлов
(emailto = admin@openna.com, rulename = "OS executables and libraries", severity 
= $(SIG_HI))
{
/bin -> $(ReadOnly) ;
/lib -> $(ReadOnly) ;
}
# Локальные файлы
(emailto = admin@openna.com, rulename = "User binaries", severity = 
$(SIG_MED))
{
/sbin -> $(SEC_BIN) (recurse = 1);
/usr/sbin -> $(SEC_BIN) (recurse = 1);
/usr/bin -> $(SEC_BIN) (recurse = 1);
}
# Каталоги с временными файлами
(emailto = admin@openna.com, rulename = "Temporary directories", recurse = false, 
severity =
$(SIG_LOW))
{
/usr/tmp -> $(SEC_INVARIANT);
/var/tmp -> $(SEC_INVARIANT);
/tmp -> $(SEC_INVARIANT);
}
# Библиотеки
(emailto = admin@openna.com, rulename = "Libraries", severity = $(SIG_MED))
{
/usr/lib -> $(SEC_BIN);
}
# Включаемы файлы (Include)
(emailto = admin@openna.com, rulename = "OS Development Files", severity = 
$(SIG_MED))
{
/usr/include -> $(SEC_BIN);
}
# Разделяемые (Shared)
(emailto = admin@openna.com, rulename = "OS Shared Files", severity = 
$(SIG_MED))
{
/usr/share -> $(SEC_BIN);
}
# Заголовочные файлы ядра
(emailto = admin@openna.com, rulename = "Kernel Headers Files", severity = $( 
SIG_HI))
{
/usr/src/linux-2.2.14 -> $(SEC_BIN);
}
# setuid/setgid root программы
(emailto = admin@openna.com, rulename = "setuid/setgid", severity = $(SIG_HI))
{
/bin/su -> $(SEC_SUID);
/sbin/pwdb_chkpwd -> $(SEC_SUID);
/sbin/dump -> $(SEC_SUID);
/sbin/restore -> $(SEC_SUID);
/usr/bin/at -> $(SEC_SUID);
/usr/bin/passwd -> $(SEC_SUID);
/usr/bin/suidperl -> $(SEC_SUID);
/usr/bin/crontab -> $(SEC_SUID);
/usr/sbin/sendmail -> $(SEC_SUID);
/usr/bin/man -> $(SEC_SUID);
/usr/bin/sperl5.00503 -> $(SEC_SUID);
/usr/bin/slocate -> $(SEC_SUID);
/usr/sbin/utempter -> $(SEC_SUID);
/sbin/netreport -> $(SEC_SUID);
}
(emailto = admin@openna.com, rulename = "Configuration Files")
{
/etc/hosts -> $(SEC_CONFIG);
/etc/inetd.conf -> $(SEC_CONFIG);
/etc/initlog.conf -> $(SEC_CONFIG);
/etc/inittab -> $(SEC_CONFIG);
/etc/resolv.conf -> $(SEC_CONFIG);
/etc/syslog.conf -> $(SEC_CONFIG);
}
(emailto = admin@openna.com, rulename = "Security Control")
{
/etc/group -> $(SEC_CRIT);
/etc/security/ -> $(SEC_CRIT);
/lib/security/ -> $(SEC_CRIT);
/var/spool/cron -> $(SEC_CRIT);
}
(emailto = admin@openna.com, rulename = "Login Scripts")
{
/etc/csh.login -> $(SEC_CONFIG);
/etc/profile -> $(SEC_CONFIG);
}
# Эти файлы изменяются при каждой загрузке системы
(emailto = admin@openna.com, rulename = "System boot changes", severity = 
$(SIG_HI))
{
/dev/log -> $(Dynamic) ;
/dev/cua0 -> $(Dynamic) ;
/dev/console -> $(Dynamic) ;
/dev/tty2 -> $(Dynamic) ; # tty devices
/dev/tty3 -> $(Dynamic) ; # are extremely
/dev/tty4 -> $(Dynamic) ; # variable
/dev/tty5 -> $(Dynamic) ;
/dev/tty6 -> $(Dynamic) ;
/dev/urandom -> $(Dynamic) ;
/dev/initctl -> $(Dynamic) ;
/var/lock/subsys -> $(Dynamic) ;
/var/run -> $(Dynamic) ; # daemon PIDs
/var/log -> $(Dynamic) ;
/etc/ioctl.save -> $(Dynamic) ;
/etc/.pwd.lock -> $(Dynamic) ;
/etc/mtab -> $(Dynamic) ;
/lib/modules -> $(Dynamic) ;
}
# Критические конфигурационные файлы
(emailto = admin@openna.com, rulename = "Critical configuration files", severity = 
$(SIG_HI))
{
/etc/conf.modules -> $(ReadOnly) ;
/etc/crontab -> $(ReadOnly) ;
/etc/cron.hourly -> $(ReadOnly) ;
/etc/cron.daily -> $(ReadOnly) ;
/etc/cron.weekly -> $(ReadOnly) ;
/etc/cron.monthly -> $(ReadOnly) ;
/etc/default -> $(ReadOnly) ;
/etc/fstab -> $(ReadOnly) ;
/etc/group- -> $(ReadOnly) ; # изменения должны быть не частыми
/etc/host.conf -> $(ReadOnly) ;
/etc/hosts.allow -> $(ReadOnly) ;
/etc/hosts.deny -> $(ReadOnly) ;
/etc/lilo.conf -> $(ReadOnly) ;
/etc/logrotate.conf -> $(ReadOnly) ;
/etc/pwdb.conf -> $(ReadOnly) ;
/etc/securetty -> $(ReadOnly) ;
/etc/sendmail.cf -> $(ReadOnly) ;
/etc/protocols -> $(ReadOnly) ;
/etc/services -> $(ReadOnly) ;
/etc/rc.d/init.d -> $(ReadOnly) ;
/etc/rc.d -> $(ReadOnly) ;
/etc/motd -> $(ReadOnly) ;
/etc/passwd -> $(ReadOnly) ;
/etc/passwd- -> $(ReadOnly) ;
/etc/profile.d -> $(ReadOnly) ;
/etc/rpc -> $(ReadOnly) ;
/etc/sysconfig -> $(ReadOnly) ;
/etc/shells -> $(ReadOnly) ;
/etc/nsswitch.conf -> $(ReadOnly) ;
}
# Критичные устройства
(emailto = admin@openna.com, rulename = "Critical devices", severity = $(SIG_HI), 
recurse = false)
{
/dev/kmem -> $(Device) ;
/dev/mem -> $(Device) ;
/dev/null -> $(Device) ;
/dev/zero -> $(Device) ;
/proc/devices -> $(Device) ;
/proc/net -> $(Device) ;
/proc/tty -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;
/proc/mounts -> $(Device) ;
/proc/dma -> $(Device) ;
/proc/filesystems -> $(Device) ;
/proc/ide -> $(Device) ;
/proc/interrupts -> $(Device) ;
/proc/ioports -> $(Device) ;
/proc/scsi -> $(Device) ;
/proc/kcore -> $(Device) ;
/proc/self -> $(Device) ;
/proc/kmsg -> $(Device) ;
/proc/stat -> $(Device) ;
/proc/ksyms -> $(Device) ;
/proc/loadavg -> $(Device) ;
/proc/uptime -> $(Device) ;
/proc/locks -> $(Device) ;
/proc/version -> $(Device) ;
/proc/meminfo -> $(Device) ;
/proc/cmdline -> $(Device) ;
/proc/misc -> $(Device) ;
}

ЗАМЕЧАНИЕ. Это пример файла политик, который мы вам предоставляем, конечно, вы должны модифицировать его под вашу систему.

Так как мы уже готовы использовать наш файл политик в первый раз, инсталлируйте его следующей командой:

Организация защиты Tripwire для Linux

Важно удостовериться, что целостность системы уже не была нарушена. Для максимальной безопасности вашей основной базы данных, вы должны инсталлировать систему с оригинальных носителей. Также рекомендуется удалить текстовую копию конфигурационного файла Tripwire "twcfg.txt", расположенного в каталоге "/usr/bin", для сокрытия месторасположения файлов Tripwire и предотвращения создания альтернативного конфигурационного файла.

Дополнительная документация.

Здесь перечислены некоторые страницы руководства (man), которые могут дать вам дополнительную информацию.

$ siggen (8) - сбор сигнатур кодов для Tripwire
$ tripwire (8) - программа проверки целостности файлов UNIX систем
$ twadmin (8) - административная и инструментальная программа Tripwire
$ twconfig (4) - конфигурационный файл Tripwire
$ twfiles (5) - краткий обзор фалов используемых Tripwire и процесса
резервного копирования файлов
$ twintro (8) - введение в Tripwire
$ twpolicy (4) - файл политик Tripwire
$ twprint (8) - база данных и печать отчетов Tripwire

Команды.

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.

Так как ваш файл с политиками инсталлирован, то наступило время создать базу данных объектов файловой системы, базирующуюся на файле с политиками. Эта база данных будет выступать как основание для дальнейших проверок целостности.

Синтаксис для перехода в режим инициализации базы данных:

Инициализируем вашу базу данных:

ЗАМЕЧАНИЕ. Когда команда выполнена, база данных готова и вы можете выполнить проверку целостности файловой системы и просматривать отчеты.

Tripwire имеет возможность называемую "Режим проверки целостности". Сейчас, когда наша база данных инициализована, мы можем использовать этот режим для сравнения текущих объектов файловой системы с их свойствами, записанными в базу данных Tripwire. Все файлы с нарушениями будут выводится в stdout; файл генератор отчетов будет создан и может быть использован в дальнейшем с помощью утилиты twprint.

Синтаксис для режима проверки целостности:

Для запуска проверки целостности используйте команду:

Tripwire может быть также запущен в режиме "Интерактивный режим проверки". В этом режиме вы можете автоматически обновлять ваши изменения с терминала.

Для запуска интерактивного режима проверки используйте команду:

В Tripwire есть опция email, которая позволяет отправлять письма. Эта опция определяет, что отчет должен быть отправлен по электронной почте адресату, определенному в файле политик.

Для запуска режима проверки целостности и отправки отчета по электронной почте, используйте команду:

Если вы решили использовать "Режим проверки целостности " вместо "Интерактивного режима проверки ", вы должны обновить базу данных Tripwire, используя возможность "Режим обновления базы данных". Этот процесс позволяет вам сэкономить время, обновляя базу данных без ее полного пересоздания, и также допускается выборочное обновление, которое не может быть осуществлена через восстановление.

Синтаксис режима обновления базы данных:

Для обновления базы данных дайте команду:

где "-r" читает определенный файл отчет (deep.openna.com-200001-021854.twr). Эта опция требуется, так как переменная REPORTFILE в текущем файле конфигурации использует $(DATE).

ЗАМЕЧАНИЕ: В режиме обновления базы данных или режиме интерактивной проверки, Tripwire выводит отчет на вашем терминале с местом для отметки напротив каждого нарушения политики. Вы можете принять изменения в файловой системе установив знак "x" или не обновлять базу данных убрав "x". После того, как вы вышли из редактора и ввели локальную парольную фразу, Tripwire будет обновлять и записывать изменения.

Иногда вы можете захотеть изменить правила в вашей политике, чтобы отразить изменения правил и отразить расположение новых файлов и политик. Существуют специальные команды, чтобы выполнить работу по обновлению базы данных без полного обновления базы. Это поможет сохранить много времени и безопасность, сохраняя файлы политик синхронизированными с базой данных

Синтаксис для режима обновления политик:

Для обновления файла с политиками используйте команду:

Режим обновления политик по умолчанию запускается с опцией "--secure-mode high". Вы можете столкнуться с ошибкой когда запускаете Tripwire с этой опцией, если файловая система изменилась по сравнению с последним обновлением базы данных, и если эти изменения будут причиной нарушений по новым правилам политики. После уточнения, что все отчеты о нарушениях в high security режиме санкционированы, вы можете обновить файл с политиками в low security режиме для решения этой проблемы:

Для обновления файла политик в low security режиме используйте команду:

Проинсталлированные файлы.

> /usr/TSS
> /usr/bin
> /usr/bin/siggen
> /usr/bin/twprint
> /usr/bin/twadmin
> /usr/bin/tripwire
> /usr/bin/twcfg.txt
> /usr/bin/tw.cfg
> /usr/TSS/policy
> /usr/TSS/policy/policyguide.txt
> /usr/TSS/policy/twpol.txt
> /usr/TSS/policy/tw.pol
> /usr/TSS/policy/twpol.txt.bak
> /usr/TSS/report
> /usr/TSS/db
> /usr/TSS/key
> /usr/TSS/key/site.key
> /usr/TSS/key/deep.openna.com-local.key
> /usr/man
> /usr/man/man4
> /usr/man/man4/twconfig.4
> /usr/man/man4/twpolicy.4
> /usr/man/man5
> /usr/man/man5/twfiles.5
> /usr/man/man8
> /usr/man/man8/siggen.8
> /usr/man/man8/tripwire.8
> /usr/man/man8/twadmin.8
> /usr/man/man8/twintro.8
> /usr/man/man8/twprint.8
> /usr/README
> /usr/Release_Notes
> /usr/License.txt

Глава 12 Программы обеспечения безопасности (Целостность системы) - Tripwire ASR 1.3.1 В этой главе Linux Tripwire 2.2.1 Конфигурации Организация защиты Tripwire для Linux Команды Linux Tripwire ASR 1.3.1 Конфигурации Организация защиты Tripwire Команды

Linux Tripwire ASR 1.3.1

Tripwire ASR 1.3.1 это "Academic Source Release (ASR)" программы Tripwire. Лично я предпочитаю версию 1.3.1 версии 2.2.1, так как она может быть скомпилирована и инсталлирована без каких-либо проблем с совместимостью на всех версиях Linux

В задачах Tripwire ASR написано:

С появлением все более и более сложных и тонких способов проникновений в систему UNIX, возникает необходимость в утилитах, помогающих обнаружить неправомочные модификации файлов. Tripwire - это утилита, которая помогает администраторам и пользователям контролировать обозначенный набор файлов на предмет любых изменений. Используемая на регулярной основе (например, ежедневно), Tripwire может предупредить администраторов о нарушении или разрушении файлов, так чтобы меры были предприняты в кратчайшие сроки.

Tripwire - это программа для проверки целостности файлов и каталогов, утилита которая сравнивает обозначенный набор файлов и каталогов с информацией о них, сохраненной в базе данных, сформированной ранее. Помечаются и регистрируются любые изменения, в том числе добавление или удаление элементов. Системный администратор может заключить с высокой степенью уверенности, что требуемый набор файлов не был подвержен неправомочным модификациям, если Tripwire не сообщала об изменениях.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Tripwire версии 1.3.1-1

Пакеты.
Домашняя страница Tripwire: http://www.tripwiresecurity.com/
Вы должны скачать: Tripwire-1.3.1-1.tar.gz

Тарболы.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Tripwire и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > Tripwire1

После инсталляции:
find /* > Tripwire2

Для получения списка установленных файлов:
diff Tripwire1 Tripwire2 > Tripwire-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Редактируйте файл utils.c (vi +462 src/utils.c) и измените следующую строку:

else if (iscntrl(*pcin)) {
Должна читаться:
else if (!(*pcin & 0x80) && iscntrl(*pcin)) {

Редактируйте файл config.parse.c file (vi +356 src/config.parse.c) и измените следующую строку:

rewind(fpout);
Должна читаться:
else {
rewind(fpin);
}

Редактируйте файл config.h (vi +106 include/config.h) и измените следующие строки:

#define CONFIG_PATH "/usr/local/bin/tw"
#define DATABASE_PATH "/var/tripwire"
Должны читаться:
#define CONFIG_PATH "/etc"
#define DATABASE_PATH "/var/spool/tripwire"

Редактируйте файл config.h (vi +165 include/config.h) и измените следующую строку:

#define TEMPFILE_TEMPLATE "/tmp/twzXXXXXX"
Должна читаться:
#define TEMPFILE_TEMPLATE "/var/tmp/.twzXXXXXX"

Редактируйте файл config.pre.y (vi +66 src/config.pre.y) и измените следующую строку:

#ifdef TW_LINUX
Должна читаться:
#ifdef TW_LINUX_UNDEF

Редактируйте файл Makefile (vi +13 Makefile) и измените следующие строки:

DESTDIR = /usr/local/bin/tw
Должна читаться:
DESTDIR = /usr/sbin

DATADIR = /var/tripwire
Должна читаться:
DATADIR = /var/spool/tripwire

LEX = lex
Должна читаться:
LEX = flex

CC=gcc
Должна читаться:
CC=egcs

CFLAGS = -O
Должна читаться:
CFLAGS = -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions

Команды "make" и "make install" настаивают программное обеспечение, чтобы удостовериться, что ваша система имеет необходимые возможности и библиотеки для успешной компиляции пакета, компилируют все исходные файлы в исполняемые, и затем инсталлирует их и сопутствующие им файлы в определенное место.

Команда "chmod" изменяет права доступа по умолчанию к каталогу "tripwire" на 700 (drwx------), чтение, запись и исполнение только для пользователя "root". И изменяет права доступа на чтение и исполнение только пользователем root (- r-x------) для программ "/usr/sbin/tripwire" и "/usr/sbin/siggen". Команда "rm" используется для удаления файла "tw.config" расположенного в "/usr/sbin". Нам этот файл не нужен, так как мы создадим подобный новый файл позже в каталоге "/etc".

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит .tar.gz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска Tripwire следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл tw.config в "/etc".
Копируйте скрипт tripwire.verify в каталог "/etc/cron.daily".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Настройка файла "/etc/tw.config"

"/etc/tw.config" это конфигурационный файл для Tripwire, в котором определяется какие файл и каталоги должны контролироваться. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример вы можете использовать, как стартовую площадку для ваших настроек.

Создайте файл tw.config (touch /etc/tw.config) и добавьте в него все файлы и каталоги, которые вы хотите контролировать. Формат конфигурационного файла описан в его заголовке и в странице руководства (man) для tw.config (5):

# Gerhard Mourani: gmourani@videotron.ca
# last updated: 1999/11/12
# Первое, домашний каталог root-а
/root			 R
!/root/.bash_history
/			 R
# это ядро
/boot/vmlinuz		 R
# критичные файлы загрузки
/boot			 R
# Критичные каталоги и файлы
/chroot			 R
/etc			 R
/etc/inetd.conf		 R
/etc/nsswitch.conf	 R
/etc/rc.d 		 R
/etc/mtab 		 L
/etc/motd		 L
/etc/group		 R
/etc/passwd		 L
# другие популярные файловые системы
/usr			 R
/usr/local		 R
/dev			 L-am
/usr/etc			 R
# исключаем home
=/home R
# каталог var
=/var/spool		 L
/var/log		 L
/var/lib			 L
/var/spool/cron	 L
!/var/lock
# особые каталоги
=/proc			 E
=/tmp
=/mnt/cdrom
=/mnt/floppy

Сейчас, из соображений безопасности, изменим режим доступа к этому файлу:

Конфигурирование скрипта "/etc/cron.daily/tripwire.verify".

"/etc/cron.daily/tripwire.verify" это небольшой скрипт, запускаемый crond-ом на вашем сервере каждый день, для сканирования жесткого диска на предмет возможных изменений в файлах и каталогах и отправки результатов по электронной почте системному администратору. Этот скрипт автоматически выполнит проверку целостности файловой системы. Если вы хотите автоматизировать эту задачу выполните шаги, описанные ниже.

Создайте скрипт tripwire.verify (touch /etc/cron.daily/tripwire.verify) и добавьте в него:

#!/bin/sh
/usr/sbin/tripwire -loosedir -q | (cat <<EOF
Это отчет о возможных изменениях в целостности файловой системы, 
Автоматически созданный программой Tripwire. Чтобы сообщить Tripwire
Что файлы и содержимое каталогов верно, выполните как root следующую
команду:

/usr/sbin/tripwire -update [pathname|entry]

Если вы хотите войти в интерактивный режим проверки целостности и
контроля сессии, выполните как root:

/usr/sbin/tripwire -interactive

Измененные файлы/каталоги включают:
EOF
cat
) | /bin/mail -s "Отчет о целостности файлов" root

Сейчас, сделайте скрипт исполняемым и измените режим доступа к нему на 0700 следующей командой:

Организация защиты Tripwire.

Рекомендуется, из соображений безопасности, переместить базы данных Tripwire (tw.db_[hostname]) в какое-либо место (например, на дискету), где они не могут быть модифицированы. Это важно, потому что данные Tripwire заслуживают такого же доверия, что и ее базы данных. Также рекомендуется сделать сразу распечатку базы данных. Если вы начнете подозревать, что целостность вашей базы данных нарушена, то сможете вручную проверить ее.

Дополнительная документация.

Для получения большей информации вы можете прочитать страницы руководства (man) перечисленные ниже.

$ man siggen (8) - генератор сигнатур программ для Tripwire
$ man tripwire (8) - программа проверки целостности файлов для UNIX
$ man tw.config (5) - конфигурационный фал для Tripwire

Команды.

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.

В "Интерактивном режиме проверки" Tripwire проверяет файлы и каталоги, выясняя какие были добавлены, удалены или изменены, сравнивая их со своей базой данных, а затем спрашивает у администратора, какие элементы базы данных должны быть обновлены. Это наиболее удобный путь поддерживать базу данных в актуальном состоянии, но он требует наличия администратора за консолью. Если вы хотите использовать этот режим, то следуйте шагам приведенным ниже.

Tripwire должна иметь базу данных, сравнивая с которой в дальнейшем файловую систему она сможет определить изменения. Первым нашим действием будет создание файла, называемого "tw.db_[hostname]" в каталоге, который вы определили для хранения базы данных ([hostname] будет заменен на имя вашей машины).

Для создания информационной базы данных Tripwire, используйте команду:

Мы переходим в каталог, который определили для хранения баз данных, и затем создаем информационную базу данных, которая используется для всех последующих проверок целостности.

Так как файл с информационной базой данных Tripwire был создан, мы можем сейчас запустить Tripwire в "Интерактивном режиме проверки". Этот режим будет запрашивать пользователя относительно того, действительно ли каждый измененный элемент системы должен быть обновлен в базе данных.

Для запуска Интерактивного режима проверки используйте команду:

ЗАМЕЧАНИЕ. В интерактивном режиме Tripwire будет сообщать обо всех добавленных, удаленных и измененных файлах, затем позволяя пользователю обновить базу данных.

Выполнение Tripwire в "Режиме обновления базы данных" совместно со скриптом "tripwire.verify", который отправляет результаты системному администратору, будет сокращать время сканирования системы. Вместо запуска Tripwire в "Интерактивном режиме проверки" и ожидания завершения долгого сканирования, скрипт "tripwire.verify" будет сканировать систему и сообщать по электронной почте о результатах, а затем вы запускаете Tripwire в "Режиме обновления базы данных " и обновляете только единичные файлы и каталоги, которые были изменены.

Например:

Если один файл был изменен, вы можете:

Или, если был изменен набор файлов и каталогов, вы можете выполнить:

любом случае, Tripwire пересоздает элементы базы данных для каждого заданного файла. Резервная копия старой базы создается в каталоге"./databases".

Некоторые возможные места использования Tripwire

Tripwire может быть использован для:

1. Проверки целостности файловой системы.
2. Получения списка новых инсталлированных или удаленных файлов в вашей системе.

Инсталлированные файлы.

> /etc/cron.daily/tripwire.verify
> /etc/tw.config
> /usr/man/man5/tw.config.5
> /usr/man/man8/siggen.8
> /usr/man/man8/tripwire.8
> /usr/sbin/tripwire
> /usr/sbin/siggen
> /var/spool/tripwire
> /var/spool/tripwire/tw.db_TEST

Альтернативы Tripwire

Глава 13 Программы обеспечения безопасности (Управление и ограничения) - GnuPG В этой главе Linux GnuPG Команды Установка поддержки квот на вашей Linux системе. Создание ядра с поддержкой квот Модификация файла "/etc/fstab" Создание файлов "quota.user" и "quota.group" Назначение квот для Пользователей и групп Команды

Linux GnuPG

Шифрование данных это бесценная возможность, которая сильно увеличивает конфиденциальность вашей работы. Утилиты подобные GnuPG делаю намного больше, чем просто шифруют почтовые сообщения. Они могут быть использованы для всех видов шифрования данных и их использование может быть ограничено только вашей фантазией. RPM пакет GnuPG уже может быть инсталлирован на вашем компьютере, но эта версия не является последней и поэтому мы рекомендуем инсталлировать последний релиз соответствующий вашему серверу и архитектуре CPU.

Согласно официальному README файлу GnuPG:

GnuPG - это GNU утилита для безопасной передачи информации и хранения данных. Она может быть использована для шифрования данных и создания цифровых сигнатур. GnuPG включает продвинутый менеджер ключей и совместима с OpenPGP Internet стандартом, описанном в RFC2440. Так как GnuPG не использует каких-либо патентованных алгоритмов, она не может быть совместима с PGP2. PGP 2.x использует только IDEA (запатентован) и RSA (который запатентован в США до 20 сентября 2000).

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
GnuPG версии 1.0.1

Пакеты.
Домашняя страница GnuPG: http://www.gnupg.org/
Вы должны скачать: gnupg-1.0.1.tar.gz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции GnuPG и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > GnuPG1

После инсталляции:
find /* > GnuPG2

Для получения списка установленных файлов:
diff GnuPG1 GnuPG2 > GnuPG

Раскройте тарбол:

Компиляция и оптимизация.

Переместитесь в новый каталог GnuPG и выполните следующие команды:

команда make компилирует исходные коды в исполняемые двоичные файлы;
команда make check запускает все тесты, входящие в пакет;
команда make install инсталлирует исполняемые и сопутствующие им файлы в определенный каталог;
strip будет уменьшать размер, увеличивая производительность программы.

Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции GnuPG. Она также удалит .tar.gz архив.

Команды.

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.

Прежде всего, если мы используем GnuPG в первый раз, для включения возможностей шифрования необходимо создать новую пару ключей (публичный и персональный).

Для создания новой пары ключей используйте следующую команду:

Мы вновь запускаем GnuPG следующей командой:

Новая пара ключей (общедоступный и личный) успешно созданы в домашнем каталоге пользователя root (~/root).

Как только мы создали нашу пару ключей, мы можем начать добавлять в нашу публичную базу ключей все ключи, которые мы получили от третьих лиц, чтобы в будущем использовать их для шифрования и опознания связи.

Для импортирования публичных ключей в базу данных ключей используйте команду:

Например:

Вышеприведенная команда будет добавлять все новые ключи в базу данных и будет обновлять все уже существующие ключи. Важно заметить, что GnuPG не импортирует не самоподписанные (self-signed) ключи. В вышеприведенном примере мы импортируем файл "redhat.asc", содержащий публичный ключ компании Red Hat Linux, взятый с Интернет сайта Red Hat.

Когда вы импортировали ключи в свою базу данных публичных ключей и вы точно уверенны, что третье лицо, чей ключ вы положили, действительно тот за кого себя выдает, вы можете подписать его/ее ключ. Подписание ключа удостоверяет, что вы знаете его владельца.

Для подписания ключа компании Red Hat, который мы добавили выше, используйте команду:

Например:

ЗАМЕЧАНИЕ. Вы должны подписывать ключ только когда абсолютно уверенны, что ключ действительно настоящий! Вы никогда не должны подписывать ключ, базирующийся на любых предположении.

После инсталляции, импортирования, подписания и конфигурирования мы можем начать шифровать и расшифровывать нашу работу.

Для шифрования и подписания данных для пользователя RedHat, ключ которого мы добавили выше, используйте следующую команду:

Например:

Аргументы, которые использовались обозначают следующее, "s" - подписание (уменьшение риска что кто-то попытается представиться вами, очень полезно подписывать все, что вы шифруете), "e" - шифрование, "a" - создание ASCII защищенного вывода (".asc" готовые для отправки по почте), "r" - шифрование имени идентификатора пользователя и <file> это сообщение, которое вы хотите зашифровать.

Для расшифровки данных используйте следующую команду:

Например:

Где "-d" означает расшифровку и <file> сообщение, которое вы хотите расшифровать. Важно, чтобы публичный ключ отправителя сообщения, которое мы хотим расшифровать, был в нашей базе ключей или ничего работать не будет.

Вы можете расширить ваши горизонты экспортируя и распространяя свой публичный ключ. Это можно сделать публикуя его на вашей домашней странице, через доступные сервера ключей в Интернет или другими способами. GnuPG имеет несколько полезных опций, чтобы помочь вам публиковать ваш публичный ключ.

∙ Для извлечения вашего публичного ключа в ASCII защищенный вывод используйте команду:

где "--export" для извлечения вашего публичного ключа из зашифрованного файла, "--armor" создать ASCII защищенный вывод, который вы можете отправлять, публиковать или выкладывать на веб-странице и "> Public-key.asc" говорит, что результат надо поместить в файл с именем Public-key.asc.

Когда вы извлекли публичный ключ и экспортировали его, каждый кто знает или получит его может захотеть убедиться, что полученные от вас данные действительно от вас.

∙ Для проверки сигнатуры шифрованных данных используйте команду:

Опция "--verify" будет проверять сигнатуру, а <Data> - зашифрованные данные/файл, который вы хотите проверить.

Некоторые области применения GnuPG

GnuPG может быть использован:

1. Отправки зашифрованных почтовых сообщений.
2. Шифрование резервных копий файлов перед отправкой через сеть.
3. Шифрование личных чувствительных фалов (например, файл содержащий все ваши пароли).

Инсталлированные файлы

> /usr/bin/gpg
> /usr/lib/gnupg
> /usr/lib/gnupg/rndunix
> /usr/lib/gnupg/rndegd
> /usr/lib/gnupg/tiger
> /usr/man/man1/gpg.1
> /usr/share/gnupg
> /usr/share/gnupg/options.skel

Глава 13 Программы обеспечения безопасности (Управление и ограничения) - Квоты В этой главе Linux GnuPG Команды Установка поддержки квот на вашей Linux системе. Создание ядра с поддержкой квот Модификация файла "/etc/fstab" Создание файлов "quota.user" и "quota.group" Назначение квот для Пользователей и групп Команды

Установка поддержки квот на вашей Linux системе.

Квота - это административная утилита для мониторинга и ограничения использования дискового пространства пользователями и группами на каждой файловой системе. Существует две возможных способа ограничений использования дисков. Первый, это число inode-ов (число файлов), которым может владеть пользователь или группа. Второй, число дисковых блоков (суммарное пространство в килобайтах), которое может выделяться в использование пользователю или группе. При помощи квот, системный администратор принуждает пользователя не расходовать неограниченный объем дискового пространства. Эта программа оперирует отдельно каждым пользователем и каждой файловой системой, поэтому для каждой файловой системы нужно определять квоты отдельно.

Создание ядра с поддержкой квот

Первое, что вам необходимо сделать, это создать ядро с поддержкой квот. В ядре 2.2.14 надо удостовериться, что вы ответили "Y" на вопрос:

ЗАМЕЧАНИЕ. Если при компиляции ядра вы руководствовались соответствующей главой из этой книги, то поддержка квот у вас включена.

Модификация файла "/etc/fstab"

Файл "/etc/fstab" содержит информацию обо всех файловых системах, инсталлированных на вашем Linux сервере. Квоты должны быть включены в нем, чтобы их можно было использовать. Так как квоты должны быть определены для каждой файловой системы независимо и каждая файловая система описывается в файле "/etc/fstab" в отдельной строке, то квота должна быть установлена для каждой строки, где вы хотите включить их поддержку. Используя прорамму квота, в зависимости от ваших нужд, вы можете включить квоты только для групп, пользователей или и тех и других одновременно. Для всех нижеприведенных примеров, мы используем каталог "/home", размещенный на разделе "/dev/sda6".

Для включения квот для пользователей на определенной файловой системы, отредактируйте ваш "/etc/fstab" файл (vi /etc/fstab) и добавьте опцию "usrquota" в четвертое поле после слова "defaults" или любой другой опции.

Например:

Должен читаться:

Возможность 2.

Для включения квот для групп на определенной файловой системы, отредактируйте ваш "/etc/fstab" файл (vi /etc/fstab) и добавьте опцию "grpquota" в четвертое поле после слова "defaults" или любой другой опции.

Например:

Должен читаться:

Для включения квот для пользователей и групп на определенной файловой системы, отредактируйте ваш "/etc/fstab" файл (vi /etc/fstab) и добавьте опции "usrquota, grpquota" в четвертое поле после слова "defaults" или любой другой опции.

Например:

Должен читаться:

Создание файлов "quota.user" и "quota.group"

После модификации файла "/tc/fstab", чтобы квоты начали действовать, в корневой каталог файловой системы (например, "/home") помещается файл "quota.user", если вы хотите использовать пользовательские квоты, или "quota.group", для групповых квот, или и тот и другой для комбинированных квот. Владельцем обоих файлов является "root".

Шаг 1.

Для создания файлов "quota.user" и/или "quota.group", как "root" перейдите в корневой каталог раздела, где вы хотите активизировать квоты (например, /home), создайте "quota.user" и/или "quota.group", для этого выполните следующие команды:

Команда "touch" будет создавать новые пустые файлы в каталоге "home" с именами "quota.user" и "quota.group". Команда "chmod" будет устанавливать права доступа к этим файлам в чтение-запись только для root.

ЗАМЕЧАНИЕ. Оба файла "quota.user" и "quota.group", должны принадлежать root, с правами чтение-запись только для владельца.

Сейчас мы должны инициализировать файлы "quota.user" и "quota.group" в корневом каталоге файловой системы, чтобы не получать сообщений об ошибках о квотах во время перезагрузки сервера.

Для инициализации файлов "quota.user" и/или "quota.group", используйте следующие команды:

Вышеприведенные команды необходимы только для инициализации файлов "quota.user" и/или "quota.group"; команда edquota (-u) будет редактировать квоты для пользователя "wahib" и (-g) будет редактировать квоты для группы. Заметим, что вы должны редактировать существующие в вашей системе UID/GID, чтобы инициализация файлов прошла успешно.

После того как вы закончили устанавливать необходимые опции в файле "/etc/fstab", создали и инициализировали файлы "quota.users" и/или "quota.group", вы должны перезагрузить систему, чтобы внесенные изменения в файлы "/etc/fstab", "quota.user" и/или "quota.group" вступили в силу. Для перезагрузки системы используйте следующую команду:

Назначение квот для Пользователей и групп

После того, как система перезагрузилась, вы можете назначить квоты пользователям и группам пользователей. Это операция осуществляется при помощи команды "edquota". edquota (8).

Edquota - это редактор квот, который создает временный файл с текущими дисковыми квотами, используемый пользователем "root" для их установки для пользователей и групп пользователей. Нижеприведенный пример покажет как установить квоты для пользователя и группы пользователей.

Предположим, для примера, что у вас есть пользователь с именем "wahib". Следующая команда вызывает редактор (vi), чтобы изменить и установить квоты для пользователя "wahib" на каждый раздел, где включены квоты:

Для редактирования и можификации квот для пользователя "wahib" используйте следующую команду:

После выполнения этой команды, вы увидите на экране строки связанные с пользователем "wahib". "blocks in use:" отображает общее число блоков (в килобайтах) расходуемых пользователем на разделе. "inodes in use:" отображает общее число файлов, которое имеет пользователь на разделе. Эти параметры ("blocks in use, and inodes in use") контролируются и устанавливаются автоматически системой и вы не можете установить или изменить их.

Назначим 5MB квоту для пользователя "wahib", изменив следующие параметры в редакторе vi:

Должна читаться:

"soft limit" (soft =) определяет максимальное количество дискового пространства, которое пользователь может иметь.
"hard limit" (hard =) определяет абсолютное ограничение использования пользоватлем дискового пространства. Пользователь не может превзойти его. Следует заметить, что "hard limit" работает только когда установлен параметр "grace period".

Параметр "grace period" позволяет вам установить время, прежде чем значение soft limit будет приведено в жизнь на файловой системе с включенными квотами. Например этот параметр может быть использован для предупреждения ваших пользователей о новой политике, которая установит дисковую квоту в 5MB на их домашний каталог через 7 дней. Вы можете установить это значение в 0 дней (по умолчанию) для любого отрезка времени. Чтобы изменить это требуется два следующих шага (в моем примере я принимаю 7 дней).

Редактируем значение по умолчанию параметра период любезности (grace period), используя следующую команду:

Модифицируем период любезности (grace period) до 7 дней. Измените или установите следующие параметры в редакторе vi:

Должно читаться:

Замечание. Команда "edquota -t" редактирует параметр soft time limits для каждой файловой системы с включенными квотами.

Предположим, например, что у вас есть группа с именем "webusers". Следующая команда вызовет редактор vi для редактирования квот для группы "webusers" на каждой файловой системе, где квоты разрешены.:

Процедура такая же как и при назначении квот для пользователей; как описано выше, вы должны модифицировать параметр "soft =" и записать изменения.

Программа edquota имеет специальную опцию (-p), которая назначает квоты для групп пользователей с некоторым значением назначенным при инициализации пользователя. Допустим, вы хотите назначить пользователям UID-ы которых начинаются с 500 то же значение, что и для пользователя "wahib". Сперва, мы редактируем квоты для пользователя "wahib", а затем выполняем следующую команду:

Программа edquota будет дуплицировать квоты, которые установлены для пользователя "wahib", на всех пользователей с UID больше 499 из файла "/etc/passwd"

Дополнительная документация.

Чтобы получить больше информации, читайте следующие страницы руководства:

$ man edquota (8) - редактирование пользовательских квот
$ man quota (1) - вывод информации об использовании диска и ограничениях
$ man quotacheck (8) - сканирование файловой системы о использовании диска
$ man quotactl (2) - манипулирование дисковыми квотами
$ man quotaon, quotaoff (8) - включение или выключение квот на файловой системе
$ man repquota (8) - суммирование квот на файловой системе
$ man rquota (3) - осуществление квот на удаленной машине

Команды

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.

Quota выводит информацию об использовании диска и ограничениях на файловой системе.

Для получения информации об использовании диска и ограничениях пользователя wahib используйте команду:

[root@deep /]# quota -u wahib
Disk quotas for user wahib (uid 501):
Filesystem blocks   quota   limit  grace    files   quota   limit    grace
/dev/sda6   6001*    6000     0     none      7       0       0

Для получения информации о групповых квотах группы, членом которой является пользователь используйте команду:

[root@deep /]# quota -g wahib
Disk quotas for group wahib (gid 501):
Filesystem  blocks   quota   limit   grace   files   quota   limit   grace
/dev/sda6    5995*    5000     0      none     1       0       0

ЗАМЕЧАНИЕ. Если групповые квоты не установлены для заданного пользователя, вы получите следующее сообщение:
Disk quotas for group wahib (gid 501): none

Repquota создает полную информацию об использовании дискового пространства и квотах на заданной файловой системе. Также она печатает для каждого пользователя текущее количество файлов и объем используемого дискового пространства (в килобайтах).

Здесь приведен пример информации полученной от команды repquota:

[root@deep /]# repquota -a
             Block limits             File limits
User        used  soft  hard  grace   used  soft   hard   grace
Roo --      21     0     0      4       0    0
Named --    6      0     0      5       0    0
Admin --    388657 0     0      21      21   0       0
Wahib --    6001   0     0      7       0    0

            Block limits                 File limits
User        used   soft   hard   grace   used   soft   hard   grace
root --     21     0      0      4        0      0
named --    6      0      0      5        0      0
admin --    388657 0      0      2121     0      0
wahib --    6001   6000   0      none     7      0     0

Глава 14 Серверное программное обеспечение (BIND/Сервис DNS) (Часть1) В этой главе Linux DNS и BIND сервер Конфигурации Кэширующий DNS-сервер Основной сервер имен Вторичный сервер имен Организация защиты ISC BIND/DNS Административные средства DNS Утилиты пользователя DNS

Linux DNS и BIND сервер

Сейчас, когда мы установили все программное обеспечение предназначенное для зашиты сервера, самое время улучшить и настроить его сетевую часть. DNS наиболее важный сервис для IP сетей, и поэтому, все Linux машины - клиенты DNS, должны быть, как минимум, настроены на функцию кэширования. Такая настройка на клиентской машине уменьшит загрузку сервера. Кэширующий сервер ищет ответы на DNS запросы и сохраняет их до следующего раза. В результате время ответа на тот же запрос сильно сокращается.

Из соображений безопасности, важно, чтобы между внутренними компьютерами корпоративной сети и внешними компьютерами не существовало DNS, гораздо безопаснее использовать просто IP адреса для соединения с внешними машинами и наоборот.

В нашей конфигурации, мы будем запускать BIND/DNS от имени не root- пользователя и будем chroot-ить его окружение. Мы также предоставим вам три различные конфигурации: одну для простого кэширующего сервера (клиент), одну для вторичного сервера (secondary) и одну для основного (master) сервера.

Конфигурацию кэширующего сервера мы будем использовать на машине, которая не будет выполнять функции основного и вторичного DNS серверов. Обычно, один из серверов выступает в роли основного сервера, а другой подчиненного (slave).

На этой картинке изображена конфигурация, которую мы используем в этой книге.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
ISC BIND версии 8.2.2-patchlevel5

Пакеты.
Домашняя страница ISC BIND: http://www.isc.org/
FTP сервер ISC BIND: 204.152.184.27
Вы должны скачать: bind-contrib.tar.gz, bind-doc.tar.gz, bind-src.tar.gz

Тарболы. Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции BIND и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

До инсталляции:
find /* > DNS1

После инсталляции:
find /* > DNS2

Для получения списка установленных файлов:
diff DNS1 DNS2 > DNS-install

Раскройте тарбол:

Мы создаем каталог с именем "bind" и манипулируем tar архивами, копируя их в новый каталог.

Переходим в новый каталог bind (cd /var/tmp/bind) и разархивируем tar файлы:

Конфигурирование и оптимизация.

ISC BIND не должен запускаться с правами root, поэтому мы должны завести пользователя не имеющего shell доступа.

Редактируем файл Makefile.set (vi src/port/linux/Makefile.set) и добавляем или модифицируем его:

Первая строки представляет имя вашего GCC компилятора (egcs), а вторая ваши флаги оптимизации. Срока "DESTLIB=" определяет путь, где будут располагаться файлы сервера BIND

Компиляция и оптимизация.

Введите следующие команды на вашем терминале

Команда "make" компилирует все исходные кода в двоичные исполняемые файлы, и затем команды "make install" инсталлируют исполняемые и сопутствующие им файлы в заданный каталог.

Команда "strip" удаляет все символы из объектных файлов Это уменьшает размер исполняемых файла. Вследствие чего, улучшается производительность. "mkdir" создает новый каталог "/var/named".

Эти команды будут удалять все исходные коды, которые мы использовали при компиляции и инсталляции ISC BIND/DNS.

Конфигурации.

Конфигурационные файлы различный сетевых сервисов сильно зависят от ваших нужд и архитектуры. Люди могут устанавливать DNS сервер дома как кэширующий сервер, а в компании как основной, подчиненный или кэширующий DNS сервера.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска кэширующего сервера имен необходимы следующие файлы, вы должны их либо создать либо скопировать в нужные каталоги сервера

Для запуска основного (master) сервера имен необходимы следующие файлы, вы должны их либо создать либо скопировать в нужные каталоги сервера

Для запуска подчиненного сервера имен необходимы следующие файлы, вы должны их либо создать либо скопировать в нужные каталоги сервера.

Вы можете взять эти файлы из нашего архива floppy.tgz.

Кэширующий сервер имен

Кэширующий сервер имен не авторитетен для любых доменов, кроме 0.0.127.in- addr.arpa (localhost). Он ищет имена как внутри, так и за пределами ваших зон, как на первичных, так и на подчиненных серверах. В отличии от них, кэширующий сервер инициирует поиск имен в пределах вашей зоны, спрашивая один из первичных или подчиненных серверов.

Файлы необходимые для установки простого кэширующего сервера имен:

Используйте эту конфигурацию для всех серверов в вашей сети, которые не выступают как основной или подчиненный сервера имен. Установка простого кэширующего севера на локальной клиентской машине уменьшит загрузку первичного сервера. Многие пользователи, использующие dialup соединения, могут использовать эту конфигурацию. Создайте файл named.conf (touch /etc/named.conf) и добавьте в него следующие строки:

options {
  directory "/var/named";
  forwarders { 208.164.186.1; 208.164.186.2; };
  forward only;
};
//
// a caching only nameserver config
zone "." in {
  type hint;
  file "db.cache";
};
zone "0.0.127.in-addr.arpa" in {
  type master;
  file "db.127.0.0";
};

Для улучшения безопасности вашего BIND/DNS сервера вы можете запретить вашему серверу контактировать со сторонними серверами, если свои сервера не работают или не отвечают. С опцией "forward only", установленной в файле "named.conf", сервер имен не будет контактировать с другими серверами для поиска информации, если сервера на которые перенаправляются запросы не отвечают.

Конфигурация файла "/var/named/db.127.0.0" для простого кэширующего сервера имен.

Используйте эту конфигурацию для всех серверов в вашей сети, которые не выступают как основной или подчиненный сервера имен. Файл "db.127.0.0" распространяется на сеть loopback. Создайте его в "/var/named/".

Создайте файл db.127.0.0 (touch /var/named/db.127.0.0) и внесите в него следующие строки:

@   IN   SOA   localhost.   root.localhost. (
                   00 ; Serial
                   86400 ; Refresh
                   7200 ; Retry
                   2592000 ; Expire
                   345600 ) ; Minimum
    IN   NS    localhost.

1   IN   

Конфигурация файла "/var/named/db.cache" для простого кэширующего сервера имен.

Перед запуском вашего DNS сервера необходимо взять файл "db.cache" и поместить его в каталог "/var/named/". "db.cache" определяет сервера корневой зоны.

Используйте следующие команды на другом UNIX компьютере для запроса нового файла db.cache для вашего DNS сервера или возьмите его с вашего Red Hat Linux CD-ROM:

Для запроса нового файла db.cache для вашего DNS сервера используйте следующую команду:

Не забудьте скопировать файл db.cache в каталог "/var/named/" на вашем сервере после получения его из Интернет.

ЗАМЕЧАНИЕ. Внутренние адреса, подобные 192.168.1/24, не включаются в файлы конфигурации DNS из соображений безопасности. Очень важно, чтобы между внутренними хостами и внешними не существовал DNS.

Основной сервер имен.

Первичный мастер сервер имен читает файл с данными о зоне и отвечает за эту зону.

Файлы необходимые для настройки первичного мастер сервера имен:
named.conf
db.127.0.0
db.208.164.186
db.openna
db.cache
скрипт named

Конфигурация файла "/etc/named.conf" для первичного мастер сервера

Используйте эту конфигурацию для серверов, которые выступают как мастер сервер имен. После компиляции DNS, вам необходимо установить первичное доменное имя сервера. Мы используем "openna.com", как пример домена, предполагая, что используем IP сеть с адресом 208.164.186.0. Для этого, добавьте следующие строки файл "/etc/named.conf".

Создайте файл named.conf (touch /etc/named.conf) и добавьте следующее:

options {
   directory "/var/named";
   fetch-glue no;
   recursion no;
   allow-query { 208.164.186/24; 127.0.0/8; };
   allow-transfer { 208.164.186.2; };
   transfer-format many-answers;
};
// Эти файлы не привязаны к какой-либо зоне
zone "." in {
   type hint;
   file "db.cache";
};
zone "0.0.127.in-addr.arpa" in {
   type master;
   file "db.127.0.0";
};
// Это файл вашей первичной зоны
zone "openna.com" in {
   type master;
   file "db.openna ";
};
zone "186.164.208.in-addr.arpa" in {
   type master;
   file "db.208.164.186";
};

Опция "fetch-glue no" может использоваться в связке с опцией "recursion no" для предотвращения роста и разрушения кэша сервера. Также, отключение рекурсии переведет ваш сервер имен в пассивный режим, говорящий ему никогда не посылать запросы от имени другого сервера имен или ресолвера. Не рекурсивные сервера имен очень сложно обмануть при помощи атаки spoof, так как они не отправляют никакие запросы и следовательно не кэшируют никакие данные.

В строке "allow-query", 208.164.186/24 и 127.0.0/8 определяются IP адреса, которым разрешено осуществлять обычные запросы к серверу.

В строке "allow-transfer", 208.164.186.2 это IP адрес, которому разрешается принимать пересылки зон с сервера. Вы должны обеспечить, чтобы только ваши вторичные сервера могли получать зоны с сервера. Эта информация часто используется спаммерами и IP spoofers.

ЗАМЕЧАНИЕ. Опции "recursion no", "allow-query" и "allow-transfer" в файле "named.conf" используются для обеспечения большей безопасности сервера имен.

Конфигурация файла "/var/named/db.127.0.0" для основного и вспомогательного серверов имен.

Этот файл может быть использован как на основном, так и на вспомогательном серверах. Файл "db.127.0.0" описывает сеть loopback. Создайте файл db.127.0.0 (touch /var/named/db.127.0.0) и добавьте в него следующую информацию:

; Revision History: April 22, 1999 - admin@mail.openna.com
; Start of Authority (SOA) records.
$TTL 345600
@     IN    SOA    deep.openna.com.   admin.mail.openna.com. (
                       00 ; Serial
                       86400 ; Refresh
                       7200 ; Retry
                       2592000 ; Expire
                       345600 ) ; Minimum
; Name Server (NS) records.
             NS    deep.openna.com.
             NS    mail.openna.com.
; only One PTR record.
1            PTR   localhost.

Конфигурация файла "/var/named/db.208.164.186" для основного сервера имен.

Используйте эту конфигурацию для сервера, который выступает в вашей сети, как основной сервер имен. Файл "db.208.164.186" привязывает имена хостов к адресам. Создайте следующий файл db.208.164.186 (touch /var/named/db.208.164.186) в каталоге "/var/named/":

; Revision History: April 22, 1999 - admin@mail.openna.com
; Start of Authority (SOA) records.
$TTL 345600
@   IN  SOA   deep.openna.com.   admin.mail.openna.com. (
                   00 ; Serial
                   86400 ; Refresh
                   7200 ; Retry
                   2592000 ; Expire
                   345600 ) ; Minimum
; Name Server (NS) records.
        NS    deep.openna.com.
        NS    mail.openna.com.
; Addresses Point to Canonical Names (PTR) for Reverse lookups
1       PTR   deep.openna.com.
2       PTR   mail.openna.com.
3       PTR   www.openna.com.

Конфигурация файла "/var/named/db.openna" для основного сервера имен

Используйте этот файл для сервера выступающего в роли основного сервера имен. Файл "db.openna" привязывает адреса к именам хостов. Создайте файл db.openna в каталоге "/var/named/" (touch /var/named/db.openna):

; Revision History: April 22, 1999 - admin@mail.openna.com
; Start of Authority (SOA) records.
$TTL  345600
@   IN     SOA   deep.openna.com.  admin.mail.openna.com. (
                      00 ; Serial
                      86400 ; Refresh
                      7200 ; Retry
                      2592000 ; Expire
                      345600 ) ; Minimum
; Name Server (NS) records.
           NS    deep.openna.com.
           NS    mail.openna.com.
; Mail Exchange (MX) records.
           MX 0  mail.openna.com.
; Address (A) records.
localhost  A     127.0.0.1
deep       A     208.164.186.1
mail       A     208.164.186.2
www        A     208.164.186.3
; Aliases in Canonical Name (CNAME) records.
;www       CNAME deep.openna.com.

Конфигурация файла "/var/named/db.cache" для основного и подчиненного серверов имен

Перед запуском вашего DNS сервера вы должны сделать копию файла "db.cache" и поместить его в каталог "/var/named/". Он говорит серверу, какие сервера отвечают за корневую зону.

Используйте следующую команду на другом UNIX компьютере для получения нового файла db.cache или возьмите его с вашего Red Hat Linux CD-ROM:

Не забудьте скопировать файл "db.cache" в каталог "/var/named/" после получения его из Интерент.

Вторичный сервер имен.

Основное назначение вторичного сервера имен - разделение нагрузки с основным сервером, и обработка запросов, если основной сервер не работает. Вторичный сервер загружает данные через сеть с другого сервера имен (обычно основного, но может и с другого вторичного). Этот процесс называется пересылкой зоны.

Файлы необходимые для установки вторичного сервера имен:
named.conf
db.127.0.0
db.cache
скрипт named

Конфигурация файла "/etc/named.conf" для вторичного сервера имен

Используйте эту конфигурацию для сервера вполняющего роль вторичного сервера имен. Вы должны модифицировать файл "named.conf" на вторичном сервере имен. Измените каждое вхождение master на slave, сделав исключение для "0.0.127.in-addr.arpa", и добавьте строку с IP адресом первичного сервера, как это показано ниже.

Создайте файл named.conf (touch /etc/named.conf) и добавьте в него:

options {
   directory "/var/named";
   fetch-glue no;
   recursion no;
   allow-query { 208.164.186/24; 127.0.0/8; };
   allow-transfer { 208.164.186.1; };
   transfer-format many-answers;
};
// These files are not specific to any zone
zone "." in {
   type hint;
   file "db.cache";
};
zone "0.0.127.in-addr.arpa" in {
   type master;
   file "db.127.0.0";
};
// These are our slave zone files
zone "openna.com" in {
   type slave;
   file "db.openna";
   masters { 208.164.186.1; };
};
zone "186.164.208.in-addr.arpa" in {
   type slave;
   file "db.208.164.186";
   masters { 208.164.186.1; };
};

Этот файл говорит серверу, что он является вторичным для зоны "openna.com" и должен брать информацию об этой зоне с хоста "208.164.186.1". Вторичному серверу имен нет необходимости получать все файлы (db) через сеть, так как db файлы "db.127.0.0" и "db.cache" одинаковы как для основного так и для вторичных серверов, поэтому вы можете создать их локальные копии на вторичном сервере.

Копируйте файл "db.127.0.0" с основного сервера на подчиненный.

Копируйте файл "db.cache" с основного сервера на подчиненный.

Конфигурация скрипта "/etc/rc.d/init.d/named" для всех типов серверов имен

Сконфигурируйте ваш скрипт "/etc/rc.d/init.d/named" для запуска и остановки демона BIND/DNS. Этот скрипт может быть использован для всех типов серверов (кэширующего, основного или подчиненного).

Создайте следующий скрипт named (touch /etc/rc.d/init.d/named):

#!/bin/sh
#
# named Этот скрипт командного интерпретатора отвечает за запуск и
# остановку (BIND DNS сервера).
#
# chkconfig: - 55 45
# description: named (BIND) is a Domain Name Server (DNS) \
# that is used to resolve host names to IP addresses.
# probe: true
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0
[ -f /usr/sbin/named ] || exit 0
[ -f /etc/named.conf ] || exit 0
RETVAL=0
# See how we were called.
case "$1" in
  start)
    # Start daemons.
    echo -n "Starting named: "
    daemon named
    RETVAL=$?
    [ $RETVAL -eq 0 ] && touch /var/lock/subsys/named
    echo
  ;;
  stop)
    # Stop daemons.
    echo -n "Shutting down named: "
    killproc named
    RETVAL=$?
    [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/named
    echo
  ;;
  status)
    /usr/sbin/ndc status
    exit $?
  ;;
  restart)
    $0 stop
    $0 start
  ;;
  reload)
    /usr/sbin/ndc reload
    exit $?
  ;;
  probe)
    # named знает как правильно перезагружаться; мы не хотим использовать 
    # linuxconf для перезагрузок
    /usr/sbin/ndc reload >/dev/null 2>&1 || echo start
    exit 0
  ;;
  *)
    echo "Usage: named {start|stop|status|restart}"
    exit 1
esac
exit $RETVAL

Сейчас, надо сделать этот скрипт исполняемым и изменить права доступ, принятые по умолчанию:

Создайте символические rc.d ссылки для BIND/DNS:

Скрипт BIND/DNS не будет автоматически стартовать, когда вы перезагружаете сервер. Чтобы изменить это, выполните следующую команду:

Запустите вручную ваш DNS сервер:

Глава 14 Серверное программное обеспечение (BIND/Сервис DNS) (Часть2) В этой главе Linux DNS и BIND сервер Конфигурации Кэширующий DNS-сервер Основной сервер имен Вторичный сервер имен Организация защиты ISC BIND/DNS Административные средства DNS Утилиты пользователя DNS

Организация защиты ISC BIND/DNS

Запуск ISC BIND/DNS в chroot окружении.

Эта часть фокусируется на предотвращении использования ISC BIND/DNS, как точки прерывания для доступа к системе. Так как ISC BIND/DNS выполняет относительно большую и комплексную функцию, вероятность возникновения ошибки, затрагивающей защиту, высока. Фактически, в прошлом имелись дефекты, которые позволяли удаленному пользователю получить root доступ к серверу с запущенным BIND.

Чтобы минимизировать риск, ISC BIND/DNS может быть запущен как не root пользователь, который сможет нанести повреждения, как нормальный пользователь с локальным shell. Конечно, этого не достаточно для обеспечения безопасности большинства DNS серверов, поэтому может быть предпринят дополнительный шаг - запуск ISC BIND в chroot заключении.

Основная выгода chroot состоит в том, что в результате ограничивается часть файловой системы, которую DNS демон может видеть, корневым каталогом "окружения". Так как "окружение" создается только для поддержки DNS, число программ связанных с ISC BIND/DNS и доступных в этой части файловой системы чрезвычайно ограничено. Наиболее важно то, что здесь отпадает необходимость в setuid-root программах, которые могут быть использованы для получения root доступа и взлома "окружения".

ЗАМЕЧАНИЕ: Исполняемая программа "named" должна располагаться в каталоге, описанном в переменной PATH. В этом документе, я буду считать, что путь к named будет "/usr/sbin/named".

Для запуска ISC BIND/DNS в chroot "окружении" необходимо сделать слеующие шаги:

Шаг 1

Мы должны найти совместно-используемые библиотеки от которых зависит named (named - это DNS демон). Их будет нужно позже скопировать в chroot "окружение".

Для поиска подобных библиотек используйте следующую команду:

Сделайте себе соответствующую отметку, чтобы можно было использовать ее позже на следующих шагах.

Шаг 2

Сейчас мы должны определить chroot окружение и создавать корневой каталог для него. Мы выбрали каталог "/chroot/named", потому что хотим разместить ее на независимом разделе, чтобы предотвратить атаки на файловую систему. Раньше, во время инсталляции Linux мы создали раздел "/chroot" специально предназначенный для этого.

Сейчас копируем основные конфигурационные файлы, файлы с описаниями зон, программы named named-xfer в необходимые места:

ВАЖНОЕ ЗАМЕЧАНИЕ. Для подчиненного сервера имен владельцем каталога "/chroot/named/var/named" и всех файлов расположенных в нем должен быть процесс с "named", иначе вы не сможете осуществить пересылку зоны. Чтобы сделать на подчиненном сервере владельцем каталога "named" и всех файлов лежащих в нем пользователя "named" используйте следующую команду:

Шаг 3

Копируйте разделяемые библиотеки определенные на шаге 1 в chroot каталог lib:

Шаг 4

Копируйте файлы "localtime" и "nsswitch.conf" в chroot каталог etc, чтобы элементы файлов регистрации были правильно установлены для вашей временной зоны:

Шаг 5

Для большей безопасности на некоторые файлы из каталога "/chroot/named/etc" мы должны установить бит постоянства:

Файл с атрибутом "+i" не может быть модифицирован, удален или переименован; к нему не может быть создана ссылка и никакие данные не могут быть записаны в него. Только суперпользователь может установить или снять этот атрибут.

Шаг 6

Добавьте новый UID и новый GID для запуска демона "named", если они еще не определены. Это важно, так как запуск его как root нарушит правильное функционирование "окружения", а использование существующих пользовательских id позволит вашему сервису получить доступ к другим ресурсам.

Проверьте файлы "/etc/passwd" и "/etc/group" на наличие свободных UID/GID. В нашем примере, мы используем номер "53" и имя "named".

Шаг 7

Мы должны сказать syslogd (демону системы syslog) о новом chrooted сервисе: Обычно, процессы обращаются к syslogd через "/dev/log". chroot-овое "окружение", этого сделать не сможет, поэтому syslogd необходимо объяснить, что нужно слушать "/chroot/named/dev/log" вместо принятого по умолчанию "dev/log". Чтобы сделать это, нужно редактировать скрипт запуска syslog.

Редактируйте скрипт syslog (vi +24 /etc/rc.d/init.d/syslog) и измените следующую строку:

daemon syslogd -m 0
Должна читаться как:
daemon syslogd -m 0 -a /chroot/named/dev/log

Шаг 8

Скрипт для запуска ISC BIND/DNS по умолчанию настроен для запуска его вне chroot "окружения". Мы должны внести следующие изменения в файл named (vi /etc/rc.d/init.d/named), чтобы исправить это:

[ -f /usr/sbin/named ] || exit 0
Должна читаться:
[ -f /chroot/named/usr/sbin/named ] || exit 0

[ -f /etc/named.conf ] || exit 0
Должна читаться:
[ -f /chroot/named/etc/named.conf ] || exit 0

daemon named
Должна читаться:
daemon /chroot/named/usr/sbin/named -t /chroot/named/ -unamed -gnamed

Опция "-t" говорит "named" запускаться, используя новое chroot окружение.
Опция "-u" определяет пользователя от имени которого стартует named.
Опция "-g" определяет группу от имени которой стартует named.

Шаг 9

В BIND 8.2, команда "ndc" стала двоичным файлом (ранее, это был скрипт), которая в этой конфигурации не работает. Чтобы исправить это, пакет ISC BIND/DNS должен быть скомпилирован из исходных кодов.

Редактируем файл Makefile.set (vi port/linux/Makefile.set) и делаем в нем следующие изменения:

Различие между Makefile, который мы использовали прежде и новым, заключается в изменении строк "DESTSBIN=", "DESTEXEC=" и "DESTRUN=". В них мы задаем новое месторасположение файлов и теперь программа "ndc" будет знать, где находится "named".

Мы создали двоичный файл, а затем копируем полученную программу "ndc" в "/usr/sbin", переписывая старую. Мы не должны забыть выполнить команду strip для улучшения производительности.

Шаг 10

Также хорошей идеей будет создание новых двоичных файлов "named" и "named-xfer", чтобы грантировано использовать одну и туже версию "named" и "ndc".

Для named:

Редактируйте файл Makefile.set (vi port/linux/Makefile.set) и внесите в него следующие изменения:

Мы удалили файл ".settings", так как система кэширует в нем переменные и выполнили команду "make clean", чтобы убедиться, что у нас не возникнут старые наложения. После того, как создан файл "named", мы копируем его вместе с "named-xfer" в chroot каталог и используем команду "strip" для улучшения производительности новых исполняемых файлов.

Step 11

Удаление ненужных файлов и каталогов.

Мы удаляем "named" и "named-xfer" из "/usr/sbin", так как они будут теперь запускаться из chroot каталога. Тоже самое проделываем и для файла "named.conf" и каталога "/var/named".

Шаг 12

Мы должны тестировать новую chroot-овую конфигурацию ISC BIND/DNS.

Первое, перезапустите ваш syslogd демон:

[root@deep /]# /etc/rc.d/init.d/syslog restart
Shutting down kernel logger:      [ OK ]
Shutting down system logger:      [ OK ]
Starting system logger:           [ OK ]
Starting kernel logger:           [ OK ]

Теперь можно запустить chroot версию ISC BIND/DNS:

[root@deep /]# /etc/rc.d/init.d/named start
Starting named:	                  [ OK ]

Проверяем, что ISC BIND/DNS запущен от имени пользователя "named" с новыми аргументами:

Первая колонка говорит, что программа запущена с UID "named". Конец строки должен содержать "named -t /chroot/named/ -u named -g named", представляющие из себя новые аргументы.

Очистка после работы

Эта команда перемещает исходные файлы и tar архив, которые мы использовали при компиляции и инсталляции ISC BIND/DNS.

Дополнительная документация

Для получения большей информации вы можете читать следующие страницы руководства:

$ man dnsdomainname (1) - показывает доменное имя системы
$ man dnskeygen (1) - создает публичный, приватный и разделяемый секретные ключи для DNS Security
$ man dnsquery (1) - запрос доменного имени, используя распознаватель (resolver)
$ man named (8) - сервер доменной службы имен (DNS)
$ man hesiod_to_bind [hesiod] (3) - Интерфейсная библиотека к серверу имен Hesiod
$ man ldconfig (8) - определяет связи времени выполнения
$ man lesskey (1) - определяет ключ связанный с less
$ man raw (8) - привязывает "сырые" символьные устройства Linux
$ man mkfifo (1) - создает FIFO (именные каналы)
$ man named-bootconf (8) - конвертирует конфигурационный файл сервера имен
$ man named-xfer (8) - вспомогательный агент для входящей зонной пересылки
$ man named.conf [named] (5) - конфигурационный файл
$ man Opcode (3) - Отключает opcode-ы named, когда компилируется perl код
$ man dig (1) - посылает запросы к серверу имен
$ man nslookup (8) - создание интерактивных запросов к серверу имен
$ man ndc (8) - программа контролирующая работу сервера имен

Административные средства DNS

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить man-страницы и документацию для получения деталей.

Утилита "dig" (domain information groper) может быть использована для обновления файла "db.cache", который говорит вашему серверу какие сервера отвечают за корневую зоны. Такие сервера изменяются чрезвычайно редко. Хорошей идеей будет обновлять ваш файл каждые один-два месяца.

Используйте следующую команду для получения нового файла db.cache:

Копируйте, полученный файл db.cache в каталог /var/named/.

Где @a.root-servers.net - это адрес root сервера у которого вы спрашиваете о новой файле db.cache и db.cache - имя вашего нового db.cache файла.

Утилита "ndc", входящая в ISC BIND/DNS, позволяет системному администратору из терминала интерактивно контролировать деятельность сервера имен.

Наберите на вашем терминале ndc и затем help, чтобы увидеть список доступных команд.

Утилиты пользователя DNS

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить man-страницы и документацию для получения деталей.

Программа nslookup позволяет пользователям интерактивно или не интерактивно запрашивать сервера имен Интернет. В интерактивном режиме пользователи могут запрашивать у серверов имен информацию о различных хостах и доменах, печатать список хостов в домене. В не интерактивном режиме пользователь может получить имена и запросить информацию о хостах и доменах.

Интерактивный режим имеет много опций и команд; рекомендуется прочитать страницу руководства для nslookup или дать команду help в интерактивном режиме.

Для запуска nslookup в интерактивном режиме используйте команду:

Команды: (идентификаторы представлены в верхнем регистре, что делать не обязательно)

Для запуска в не интерактивном режиме используйте команду:

Где <www.redhat.com> это имя или Интернет адрес о котором вы хотите получить информацию.

Программа dnsquery запрашивает сервера имен через библиотеку определителей.Для организации запроса на сервер имен, используя библиоткеку определителей, введите следующую команду:

Например:

где <host> - имя хоста информацию о котором вы хотите получить.

Программа host определяет имя хоста, используя DNS. Для определения имен хоста используя сервер имен, введите следующую команду:

Например:

где <FQDN, domain names, host names, or host numbers> FDQN - полностью определенное имя домена (www.redhat.com), domain names - доменное имя (redhat.com), host names - имя хоста (www) или host numbers - адрес хоста (207.175.42.154).

Для поиска всей информации предоставляемой DNS о хосте используйте команду:

Для получения полного описания домена используйте команду:

Эта опция вызовет получение всех данных о зоне для доменного имени "openna.com". Подобная команды должна использоваться только если это действительно необходимо.

Инсталлированные файлы.

> /etc/rc.d/init.d/named
> /etc/rc.d/rc0.d/K45named
> /etc/rc.d/rc1.d/K45named
> /etc/rc.d/rc2.d/K45named
> /etc/rc.d/rc3.d/K45named
> /etc/rc.d/rc4.d/K45named
> /etc/rc.d/rc5.d/K45named
> /etc/rc.d/rc6.d/K45named
> /etc/named.conf
> /usr/bin/addr
> /usr/bin/nslookup
> /usr/bin/dig
> /usr/bin/dnsquery
> /usr/bin/host
> /usr/bin/nsupdate
> /usr/bin/mkservdb
> /usr/lib/bind
> /usr/lib/bind/include/hesiod.h
> /usr/lib/bind/include/sys
> /usr/lib/bind/include/net
> /usr/lib/bind/lib
> /usr/lib/bind/lib/libbind.a
> /usr/lib/bind/lib/libbind_r.a
> /usr/lib/nslookup.help
> /usr/man/man1/dig.1
> /usr/man/man1/host.1
> /usr/man/man1/dnsquery.1
> /usr/man/man1/dnskeygen.1
> /usr/man/man3/hesiod.3
> /usr/man/man3/gethostbyname.3
> /usr/man/man3/inet_cidr.3
> /usr/man/man3/resolver.3
> /usr/man/man3/getnetent.3
> /usr/man/man3/tsig.3
> /usr/lib/bind/include
> /usr/lib/bind/include/arpa
> /usr/lib/bind/include/arpa/inet.h
> /usr/lib/bind/include/arpa/nameser.h
> /usr/lib/bind/include/arpa/nameser_compat.h
> /usr/lib/bind/include/isc
> /usr/lib/bind/include/isc/eventlib.h
> /usr/lib/bind/include/isc/misc.h
> /usr/lib/bind/include/isc/tree.h
> /usr/lib/bind/include/isc/logging.h
> /usr/lib/bind/include/isc/heap.h
> /usr/lib/bind/include/isc/memcluster.h
> /usr/lib/bind/include/isc/assertions.h
> /usr/lib/bind/include/isc/list.h
> /usr/lib/bind/include/isc/dst.h
> /usr/lib/bind/include/isc/irpmarshall.h
> /usr/lib/bind/include/netdb.h
> /usr/lib/bind/include/resolv.h
> /usr/lib/bind/include/res_update.h
> /usr/lib/bind/include/irs.h
> /usr/lib/bind/include/irp.h
> /usr/man/man3/getaddrinfo.3
> /usr/man/man3/getipnodebyname.3
> /usr/man/man5/resolver.5
> /usr/man/man5/irs.conf.5
> /usr/man/man5/named.conf.5
> /usr/man/man7/hostname.7
> /usr/man/man7/mailaddr.7
> /usr/man/man8/named.8
> /usr/man/man8/ndc.8
> /usr/man/man8/named-xfer.8
> /usr/man/man8/named-bootconf.8
> /usr/man/man8/nslookup.8
> /usr/man/man8/nsupdate.8
> /usr/sbin/ndc
> /usr/sbin/named
> /usr/sbin/named-xfer
> /usr/sbin/irpd
> /usr/sbin/dnskeygen
> /usr/sbin/named-bootconf
> /var/named

Глава 15 Серверное программное обеспечение (Почтовый сервис) - Sendmail (часть 1) В этой главе Linux Sendmail сервер Конфигурации Организация защиты Sendmail Утилиты администратора Sendmail Утилиты пользователя Sendmail Linux Imap и Pop сервер Конфигурации Настройка Imap и POP для использования с TCP-Wrappers inetd супер сервером Организация защиты IMAP/POP

Linux Sendmail сервер

Sendmail - это один из наиболее широко используемых Почтовых Транспортных Агентов (MTA) в мире. Основное назначение MTA - это пересылка почтовых сообщений с одной машины на другую. Sendmail не клиентская программа, которую вы можете использовать для чтения вашей почты. Она перемещает вашу почту через сети или Интернет туда, куда вы хотите ее отправить. Sendmail в прошлом была легкой целью для хакеров, но с появлением Sendmail версии 8, использовать ее для взлома стало значительно труднее.

Здесь мы представим вам две различные конфигурации Sendmail; одна для центрального почтового концентратора, другая для локального или граничного клиента и сервера.

Конфигурация центрального почтового концентратора будет использована для серверов, в задачу которых входит отправка, получение и перенаправление всех почтовых сообщений со всех локальных и граничных клиентов и серверов вашей сети. Конфигурация для локальных или граничных клиентов и серверов относится ко всем другим локальным серверам и клиентам вашей сети на которых запущен Sendmail и которые отправляют исходящую почту на центральных почтовых концентратор для ее дальнейшей доставки. Этот тип внутренних клиентов никогда не посылают почту напрямую через Интернет; вместо этого вся почта из Интернета для этих компьютеров хранится на центральном почтовом концентраторе. Запуск одного центрального почтового концентратора для всех компьютеров вашей сети является хорошей идеей; эта архитектура будет ограничивать задачу управления на сервере и клиентских машинах и улучшит безопасность вашего сайта.

Вы можете настроить граничный Sendmail так, чтобы он принимал почту созданную только локально, такая изоляция граничной машины нужна для удобства защиты. Шлюз (вне межсетевого защитного экрана или как часть его) выступает как прокси и принимает внешние почтовые сообщения (через файл правил защитного экрана), которые предназначены для внутренней доставки и перенаправляет их на центральный почтовый концентратор. Также заметим, что Шлюз настроен как граничный Sendmail сервер, чтобы никогда не принимать входящую почту снаружи (из Интернет).

Это графическое представление конфигурации Sendmail, которую мы используем в этой книге. Мы попытаемся показать вам различные установки (Центральный почтовый концентратор и локальный или граничный клиенты и сервера) на различных серверах. Существует много возможных решений в зависимости от ваших нужд и сетевой архитектуры.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Sendmail версии 8.10.1

Пакеты.
Домашняя страница Sendmail: http://www.sendmail.org/
FTP сервер: 204.152.184.34
Вы должны скачать: sendmail.8.10.1.tar.gz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Sendmail и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Sendmail1

После инсталляции:
find /* > Sendmail2

Для получения списка установленных файлов:
diff Sendmail1 Sendmail2 > Sendmail-Installed

Раскроем тарбол (tar.gz).

Конфигурирование
Переместитесь в новый каталог Sendmail и выполните следующее:
Редактируйте файл smrsh.c (vi +77 smrsh/smrsh.c) и измените строку:
# define CMDDIR "/usr/adm/sm.bin"
Должна читаться:
# define CMDDIR "/etc/smrsh"
Эта модификация задает поисковый путь по умолчанию для команд, запускающих программу "smrsh". Это позволяет нам ограничивать место, где эти программы расположены.

Компиляция и оптимизация

Скрипт Build из Sendmail использует конфигурационных файл сайта в котором определяются тип операционной системы и различные флаги компиляции. Этот файл находится в каталоге "devtools/OS" и если вы запускаетесь на Linux, то он имеет имя "Linux". Мы пересоздадим этот конфигурационный файл сайта для соответствия его вашей системе и поместим в каталог "devtools/OS" дерева исходных кодов Sendmail, так как скрипт Build будет в процессе компиляции искать конфигурационный файл по умолчанию именно в этом месте.

Переместитесь в новый каталог Sendmail и редактируйте файл Linux (vi devtools/OS/Linux), удалив в нем все предопределенные строки и добавив следующие новые:

где опции обозначают следующее:

define(`confENVDEF', `-DPICKY_QF_NAME_CHECK -DXDEBUG=0')
Это макро опция первично использовалась для определения кода, который должен быть включен или исключен. С "-DPICKY_QF_NAME_CHECK", Sendmail будет фиксировать ошибку, если файл "qf" сформирован некорректно и будет переименовывать файл "qf" в "Qf". Аргумент "-DXDEBUG=0 " отключает шаги дополнительных внутренних проверок в течении компиляции.

define(`confCC', `egcs')
Эта макро опция определяет компилятор C используемый при компиляции Sendmail. В нашем случае мы используем C компилятор "egcs" для лучшей оптимизации.

define(`confOPTIMIZE', `-O9 -funroll-loops -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions')
Эта макро опция определяет флаги используемые для оптимизации под вашу CPU архитектуру.

define(`confLIBS', `-lnsl')
Эта макро опция определяет флаг -l передаваемый ld.

define(`confLDOPTS', `-s')
Эта макро опция определяет опции компоновщика передаваемые ld.

define(`confMANROOT', `/usr/man/man')
Эта макро опция определяет место, куда надо инсталлировать страницы руководства (man) Sendmail.

define(`confMANOWN', `root')
Эта макро опция определяет владельца всех проинсталлированных страниц руководства Sendmail.

define(`confMANGRP', `root')
Эта макро опция определяет группу для всех проинсталлированных страниц руководства Sendmail.

define(`confMANMODE', `644')
Эта макро опция определяет режим доступа для всех проинсталлированных страниц руководства Sendmail.

define(`confMAN1SRC', `1')
Эта макро опция определяет источник для страниц руководств устанавливаемых в confMAN1.

define(`confMAN5SRC', `5')
Эта макро опция определяет источник для страниц руководств устанавливаемых в confMAN5.

define(`confMAN8SRC', `8')
Эта макро опция определяет источник для страниц руководств устанавливаемых в confMAN8.

define(`confDEPEND_TYPE', `CC-M')
Эта макро опция определяет как создавать зависимости с Sendmail.

define(`confNO_HELPFILE_INSTALL')
Эта макро опция говорит, что не надо инсталлировать файл помощи Sendmail по умолчанию. Некоторые опытные администраторы рекомендуют сделать это для большей безопасности.

define(`confSBINGRP', `root')
Эта макро опция определяет группу для всех исполняемых файлов со сменой идентификатора (setuid) Sendmail.

define(`confSBINMODE', `6755')
Эта макро опция определяет режим доступа для всех исполняемых файлов со сменой идентификатора (setuid) Sendmail.

define(`confUBINOWN', `root')
Эта макро опция определяет владельца всех исполняемых файлов Sendmail.

define(`confUBINGRP', `root')
Эта макро опция определяет группу всех исполняемых файлов Sendmail.

define(`confEBINDIR', `/usr/sbin')
Эта макро опция определяет куда должны быть установлены двоичные исполняемые файлы исполняемые из других двоичных файлов. В Red Hat Linux этот путь должен быть определен как "/usr/sbin".

Шаг 2
Сейчас мы должны скомпилировать и проинсталлировать Sendmail на нашем сервере:

Команда "sh Build" собирает и создает необходимые зависимости для различных двоичных файлов требуемых Sendmail до инсталляции на вашу систему.

Команда "sh Build install" инсталлирует исполняемые двоичные файлы sendmail, mailstats, makemap, praliases, smrsh и страницы руководства, ечли это было задано перед компиляцией.

Команда "ln -fs" создает символическую ссылку исполняемого файла sendmail в каталоге "/usr/lib". Это требуется, так как некоторые программы пытаются искать sendmail в этом каталоге (/usr/lib).

Команда "install" создаст каталог "mqueue" с правами 755 в каталоге "/var/spool". Почтовые сообщения по разным причинам могут быть сразу не доставлены. Чтобы гарантировать их доставку, Sendmail запоминает их в каталоге "mqueue" пока они не будут отправлены.

Команда "chown" устанавливает UID "root" и GID "mail" для каталога "mqueue".

Команда "mkdir" будет создавать каталог "/etc/smrsh". Здесь будут лежать все программы-почтальоны, которые мы разрешим запускать Sendmail.

ЗАМЕЧАНИЕ. Программы "makemap" и "praliases" должны быть установлены только на центральном почтовом концентраторе. "makemap" позволяет вам создавать базы данных соответствий наподобии файлам "/etc/mail/aliases.db" или "/etc/mail/access.db". "praliases" выводит системные почтовые псевдонимы (содержимое файла /etc/mail/aliases). Так как лучше иметь только одно место (подобное центральному почтовому концентратору) для обработки и управления всеми db файлами в вашей сети, то нет необходимости использовать программы "makemap" и "praliases" и создавать db файлы на других компьютерах сети.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации.

Скопируйте файлы связанные с Sendmail из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска центрального почтового концентратора нужны следующие файлы. Создайте или скопируйте их в требуемые каталоги на вашем сервере.

Копируйте файл sendmail в каталог "/etc/sysconfig".
Копируйте скрипт sendmail в каталог "/etc/rc.d/init.d/".
Копируйте файл local-host-names в каталог "/etc/mail".
Копируйте файл access в каталог "/etc/mail".
Копируйте файл aliases в каталог "/etc/mail".
Создайте файлы virtusertable, domaintable, mailertable и .db в каталоге "/etc/mail" directory.

Для запуска локального или граничного клиента или сервера требуются следующие файлы. Создайте или скопируйте их в требуемые каталоги на вашем сервере.

Копируйте файл sendmail в каталог "/etc/sysconfig".
Копируйте скрипт sendmail в каталог "/etc/rc.d/init.d/".
Копируйте файл local-host-names в каталог "/etc/mail".

Файл "/etc/sendmail.mc" для центрального почтового концентратора

Вместо того, чтобы иметь индивидуальные сервера или рабочие станции обрабатывающие свою почту, намного выгоднее иметь в сети единый мощный центральный сервер, который обрабатывает всю почту. Такой сервер называется Почтовый концентратором. Преимущества Центрального Почтового Концентратора:

• Вся входящая почта отправляется на концентратор, никогда почта не отправляется клиенту напрямую.
• Вся исходящая почта от клиентов отправляется на концентратор, и уже он отправляет ее по назначению.
• Вся исходящая почта поступает от одного сервера, поэтому во внешнем мире не требуется знать имена клиентских машин.
• Клиенту не надо запускать демон sendmail для получения почты.

Файл "sendmail.cf" первым считывается Sendmail при запуске и является одним из самых важных файлов для него. В нем определяются месторасположения остальных файлов, права доступа к файлам и каталогам нужных Sendmail. Макро препроцессор m4 из Linux используется Sendmail V8 для создания конфигурационного файла.

Он будет создавать конфигурационный файл "/etc/mail/sendmail.cf", обрабатывая файл имя которого заканчивается на ".mc".

Мы создадим файл (sendmail.mc) и внесем в него необходимые макро значения, которые препроцессор m4 прочитает, соберет определения макросов и затем, заменит эти макросы их значениями, создавая в результате своей работы файл "sendmail.cf". Пожалуйста, обратитесь к документации Sendmail и файлу README из каталога "cf" дерева исходных фалов Sendmail V8 для получения большей информации.

Создайте файл sendmail.mc (touch /var/tmp/sendmail-version/cf/cf/sendmail.mc) и добавьте в него следующие строки:

define(`confDEF_USER_ID',``8:12'')dnl
Эта конфигурационная опция определяет id пользователя по умолчанию. В нашем случае пользователь "mail" и группа "mail", которые отвечают следующим идентификатор "8:12" (смотрите /etc/passwd и /etc/group file).

OSTYPE(`linux')dnl
Эта конфигурационная опция задает операционную систему под которой будет запускаться Sendmail; в нашем случае это "linux". Этот элемент является минимально необходимым для "mc" файла.

DOMAIN(`generic')dnl Эта конфигурационная опция будет определять и описывать домен соответствующий вашему окружению.

define(`confTRY_NULL_MX_LIST',true)dnl
Эта конфигурационная опция определяет, является ли принимающий сервер лучшим MX для хоста, и если это так, то соединяется с ним напрямую.

define(`confDONT_PROBE_INTERFACES',true)dnl
Эта конфигурационная опция, если она установлена в true, говорит Sendmail не вставлять имена и адреса любых локальных интерфейсов в класс $=w (список известных "эквивалентных" адресов).

define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
Эта опция определяет путь к программе procmail, инсталлированной на вашей системе. Так как в Red Hat Linux он отличается от других Linux версий, мы должны определить новый путь в этом макросе. Важно заметить, что этот макрос также используется в FEATURE(`local_procmail'), как будет определено позже в этом файле.

define(`LOCAL_MAILER_FLAGS', `ShPfn')dnl
Эта конфигурационная опция определяет флаги, которые должны быть использованы локальным агентом доставки (procmail). Смотрите документацию Sendmail для получения большей информации о них.

define(`LOCAL_MAILER_ARGS', `procmail -a $h -d $u')dnl
Эти конфигурационные опции определяют аргументы которые должны быть переданы локальному агенту доставки (procmail). Смотрите документацию Sendmail для получения информации о них.

FEATURE(`smrsh',`/usr/sbin/smrsh')dnl
Этот m4 макроопределение включает использование "smrsh" (ограниченная оболочка sendmail) вместо "/bin/sh", используемого по умолчанию) для почтовых программ. При помощи этой опции вы можете контролировать какие программы могут запускаться через электронную почту через файлы "/etc/mail/aliases" и "~/.forward". По умолчанию программа "smrsh" находится в "/usr/libexec/smrsh"; так как мы проинсталлировали "smrsh" в другое место, нам нужно добавить аргумент smrsh, указывающий новое месторасположение "/usr/sbin/smrsh". Использование "smrsh" рекомендовано CERT, так что вы должны поддерживать использование этой возможности так часто, как возможно.

FEATURE(`mailertable')dnl
Это макроопределение m4 включает возможность использования "mailertable" (базы данных выбора нового агента доставки). mailertable - это база данных которая связывает имена "host.domain" со специальными агентами доставки. Благодаря этой возможности, почта может доставляться специфическими агентами доставки к новым доменным именам. Обычно, эта возможность используется только на Центральном Почтовом концентраторе.

FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable')dnl
Это макроопределение m4 включает использование "virtusertable" (поддержка виртуальных доменов), которая позволяет на одной машине размещать много виртуальных доменов. virtusertable - это база данных, которая связывает виртуальные домены с новыми адресами. Благодаря использованию этой возможности, почта для виртуальных почтовых доменов может быть доставлена на локальные, удаленные или единичные адреса пользователей. Обычно, эта возможность используется только на Центральном Почтовом Концентраторе.

FEATURE(`redirect')dnl
Это макроопределение m4 включает использование "redirect" (поддержка для address.REDIRECT). С этой возможностью, почтовый адрес удаленного бюджета, например, "wahib", будет отражаться с информацией о новом адресе. Удаленный бюджет должен быть определен в файле псевдонимов на почтовом сервере. Обычно, эта возможность используется только на Центральном Почтовом Концентраторе.

FEATURE(`always_add_domain')dnl
Это макроопределение m4 включает использование "always_add_domain" (добавлять локальный домен в локальной почте). Благодаря этой возможности, все локально доставляемые адреса будут полностью квалифицированными.

FEATURE(`use_cw_file')dnl
Это макроопределение m4 включает использование "use_cw_file" (использование файла /etc/mail/local-host-names для локальных имен компьютеров). Используя эту возможность вы можете объявить список хостов в файле "/etc/mail/local-host-names" для которых локальных хост выступает MX получателем. Другими словами файл "/etc/mail/local-host-names" будет содержать альтернативные имена локального компьютера.

FEATURE(`local_procmail')dnl
Это макроопределение m4 включает использование "local_procmail" (использовать procmail, как локальный агент доставки). Благодаря этой функции вы можете использовать procmail, как агент доставки Sendmail.

FEATURE(`access_db')dnl
Это макроопределение m4 включает использование базы данных доступа. Благодаря этой функции, вы можете в базе данных access разрешать или запрещать прием почты из определенных доменов. Обычно, эта возможность используется только на Центральном Почтовом Концентраторе.

FEATURE(`blacklist_recipients')dnl
Это макроопределение m4 включает возможность блокирования входящей почты от определенных отправителей, компьютеров и адресов. Используя эту функцию, например, вы можете блокировать входящую почту от пользователя nobody, хоста foo.mydomain.com или guest@bar.mydomain.com.

FEATURE(`dnsbl')dnl
Это макроопределение m4 разрешает Sendmail отклонять почту от любых сайтов, входящих в базу данных Realtime Blackhole List "rbl.maps.vix.com". Базирующееся на DNS блокирование основывается на базе данных, содержащей DNS имена спаммеров. За подробной информацией обращайтесь на "http://maps.vix.com/rbl/".

MAILER(`local'), MAILER(`smtp') и MAILER(`procmail')dnl
Это макроопределение m4 включает использование агентов доставки "local", "smtp" и "procmail" (по умолчанию Sendmail, агенты доставки автоматичнски не объявляются). Используя эту возможность, вы можете определить какие агенты использовать, а какие игнорировать. Опции MAILER(`local'), MAILER(`smtp') и MAILER(`procmail') поддерживают local, smtp, esmtp, smtp8, relay procmail агенты доставки. Важно отметить, что MAILER(`smtp') должен всегда предшествовать MAILER(`procmail').

ЗАМЕЧАНИЕ. Иногда, домен с которым вы хотите продолжить общаться может входить в список RBL. В этом случае, Sendmail позволит вам переписать разрешение на прием их почты. Чтобы сделать это, просто отредактируйте файл "/etc/mail/access" и добавить соответствующую доменную информацию.
Например:
blacklisted.domain OK

Сейчас, когда файл с макроопределениями "sendmail.mc" создан, мы создадим конфигурационный файл sendmail ("sendmail.cf"). Для этого используйте следующие команды:

ЗАМЕЧАНИЕ. Здесь "../m4/cf.m4" говорит программе m4, где находится конфигурационный файл с информацией по умолчанию.

Так как локальные клиентские машины никогда не получают почту напрямую из внешнего мира и пересылают (отправляют) почту через Центральный Почтовый Концентратор, мы создаем специальный фал, называемый "null.mc", из которого позже мы получим конфигурационный файл "sendmail.cf", отвечающий специальным установкам для граничных и локальных серверов. Этот файл с макроопределениями m4 легко создается и конфигурируется, потому, что ему не нужно столько возможностей как на Центральном Почтовом Концентраторе.

OSTYPE(`linux')
Эта конфигурационная опция задает операционную систему под которой будет запускаться Sendmail; в нашем случае это "linux". Этот элемент является минимально необходимым для "mc" файла.

DOMAIN(`generic')
Эта конфигурационная опция будет определять и описывать домен соответствующий вашему окружению.

FEATURE(`nullclient',`mail.openna.com')
Это макроопределение m4 говорит вашей клиентской машине никогда не принимать почту напрямую, посылать ее через почтовый концентратор, и пересылать всю почту через этот же сервер, вместо того, чтобы отправлять напрямую. Эта возможность создает небольшой конфигурационный файл ни содержащий ничего, кроме информации о пересылки всей почты на почтовый концентратор через локальную сеть, базирующуюся на SMTP-based. Аргумент "mail.openna.com', включенный в это определение, является каноническим именем Почтового концентратора. Вы должны, конечно, изменить это имя на ваш Почтовый концентратор, например: FEATURE(`nullclient',` my.mailhub.com').

undefine(`ALIAS_FILE')
Эта конфигурационная опция предотвращает доступ к файлам "/etc/mail/aliases" и "/etc/mail/aliases.db" со стороны nullclient-ской версии Sendmail. С этой строкой в ".mc" файле, вам не нужно создавать файл "aliases" на вашем внутреннем сервере. Эти файлы необходимы только для Центрального почтового севера.

ЗАМЕЧАНИЕ. Хочется отметить, что со всеми типами конфигураций, должны быть определены no mailers, no aliasing и forwarding.

Сейчас, когда у нас есть конфигурационный файл с макроопределениями "null.mc", мы будем на его основе создавать конфигурационный файл Sendmail "sendmail.cf" для граничных серверов и клиентских машин, используя следующие команды:

Так как у нас не должно быть входящих почтовых соединений, то нам не нужен больше запущенный демон Sendmail на наших граничных или локальных серверах и клиентских машинах.

Для остановки демона Sendmail, редактируйте или создайте файл "/etc/sysconfig/sendmail" и измените/добавьте следующие строки:

DAEMON=yes
Должна читаться:
DAEMON=no

ЗАМЕЧАНИЕ. "QUEUE=1h" в файле "/etc/sysconfig/sendmail" говорит Sendmail, что необходимо обрабатывать очередь каждый час. Мы оставим эту строку, так как Sendmail необходимо периодически выполнять эту операцию, если Почтовый концентратор не работает.

Локальные машины никогда не используют псевдонимы, файлы доступа и другие базы данных соответствий. Так как все эти файлы располагаются на Центральном почтовом концентраторе, мы можем спокойно удалить следующие файлы на всех локальных машинах.

Для удаления перечисленных файлов используйте следующую команду:

Шаг 5

Удалите неиспользуемую программу Procmail с ваших локальных серверов и клиентских машин. Так как локальные машины отправляют всю внутреннюю и исходящую почту на центральный почтовый концентратор для дальнейшей доставки, нам нет необходимости использовать локальный агент доставки подобный Procmail. Вместо него мы можем использовать программу "/bin/mail". Для удаления Procmail с вашего сервера используйте следующую команду:

Файлы "/etc/mail/access" и "access.db" для центрального почтового концентратора.

Файл базы данных "access" может быть создан для приема и блокирования почты из выбранных доменов. Например, вы можете выбрать блокирование всей почты исходящей от известных спаммеров, или прием для пересылки всей почты из вашей локальной сети, так как по умолчанию пересылки любой почты в Sendmail запрещена (это антиспаммовая возможность). В файле "access" приведенном ниже, мы разрешаем пересылку почты от локального компьютера и всех локальных сетевых адресов начинающихся с IP адреса 192.168.1. Файлы "access" и "access.db" не требуются на Локальных и граничных клиентах. Они нужны только если вы решили установить центральный почтовый концентратор для управления всей вашей почты. Также заметим, что использование центрального почтового концентратора будет улучшать безопасность и управление другими серверами и клиентами с запущенным Sendmail.

Создайте файл access (touch /etc/mail/access) и добавьте в него следующие строки:

# Посмотреть описание формата записей используемого в этом файле
# можно в файле "cf/README" из пакета с исходными кодами Sendmail.
#
# В записях используются почтовые адреса, доменные имена и
# сетевые адреса как ключи. Например,
#
# spammer@aol.com REJECT
# cyberspammer.com REJECT
# 192.168.212 REJECT
#
# будет отвергать почту от spammer@aol.com, любых пользователей из
# домена cyberspammer.com (или любых хостов из домена cyberspammer.com)
# и любых хостов из сети 192.168.212.*.
#
# Ключам могут сопостовляться следующие значения:
#
# OK - принимать почту, даже если другие правила запущенного набора 
# правил будут ее отвергать, например, если доменное имя неразрешенное 
# (unresolvable).
# RELAY - принимать почту из указанного домена или принимать ее от них
# для дальнейшей пересылки через ваш SMTP сервер. Для некоторый проверок
# RELAY действует также как и OK.
# REJECT - отклонение отправителя или получателя с универсальным 
# сообщением.
# DISCARD - полное сбрасывание сообщения с использованием
# программы-почтальона $#discard. Это работает только для адресов
# отправителей (т.е. эта опция указывает, что вы должны сбросить любые
# сообщения из указанного домена).
# ### любой текст ### - возвращаемое сообщение представляет из себя 
# совместимый с RFC 821 код ошибки и "любой текст".
#
# Например:
#
# cyberspammer.com 		550 We don't accept mail from spammers
# okay.cyberspammer.com 	OK
# sendmail.org 		OK
# 128.32 			RELAY
#
# будет приниматься почта из okay.cyberspammer.com, но будут сбрасываться
# почта из любых других хостов домена cyberspammer.com с указанным
# сообщением.
# Будет приниматься почта из любых хостов домена sendmail.org,
# и разрешена пересылка почты для сети 128.32.*.*.
#
# Вы можете также использовать базу данных access для блокирования по
# адресу отправителя, базируясь на части адреса, содержащей имя
# пользователя.. Например: 
#
# FREE.STEALTH.MAILER@ 550 Spam not accepted
#
# Заметим, что вы должны указать @ после имени пользователя, чтобы указать,
# что этот элемент базы данных проверяет только имя пользователя в адресе
# отправителя.
#
# Если в вашем файле "sendmail.mc" вы используете макроопределение:
#
# FEATURE(`blacklist_recipients')
#
# тогда вы можете добавить элементы связанные с локальными пользователями,
# хостами в вашем домене или адресов в нем для которых вы не должны
# получать почту:
#
# badlocaluser				 550 Mailbox disabled for this username
# host.mydomain.com			 550 That host does not accept mail
# user@otherhost.mydomain.com		 550 Mailbox disabled for this recipient
#
# Вы хотите предотвратить получение почты для пользователя
# badlocaluser@mydomain.com, любых пользователей из host.mydomain.com и
# одного адреса user@otherhost.mydomain.com.
# Включение этой возможности также будет блокировать всю почту для
# получателей для который указан флаг сообщения об ошибки или REJECT.
#
# spammer@aol.com	 REJECT
# cyberspammer.com	 REJECT
#
# Почта не может быть отправлена пользователю spammer@aol.com или
# кому-либо из cyberspammer.com.
#
# Сейчас ваш конфигурационный файл access,
# разрешает пересылку почты из localhost...
localhost.localdomain	 RELAY
localhost		 RELAY
127.0.0.1		 RELAY
192.168.1		 RELAY

ЗАМЕЧАНИЕ. Не забудьте задать в этом файле диапазон ваших приватных IP адресов для которых вы хотите разрешить пересылку почты или вы не сможете отправлять почту из вашей внутренней сети.

Создание файла access.dbe:
Помните, так как "/etc/mail/access" является базой данных, то после создания текстового файла описанного выше, вы должны использовать команду "makemap" для создания базы данных схем.
Для создания базы данных схем используйте следующую команду:

Глава 15 Серверное программное обеспечение (Почтовый сервис) - Sendmail (часть 1) В этой главе Linux Sendmail сервер Конфигурации Организация защиты Sendmail Утилиты администратора Sendmail Утилиты пользователя Sendmail Linux Imap и Pop сервер Конфигурации Настройка Imap и POP для использования с TCP-Wrappers inetd супер сервером Организация защиты IMAP/POP

Файлы "/etc/mail/aliases и aliases.db" для Центрального Почтового Концентратора

Использование псевдонимов это процесс конвертирования одних локальных имен получателей в другие (использование псевдонимов возможно только для локальных имен). Например используется конвертирование общих имен (таких как root) в реальные имена, или конвертирование одних имен в список из нескольких имен (для списка рассылки). Для каждого элемента где локальный пользователь упоминается как получатель, Sendmail смотрит получателя в базе данных "aliases". Так как Sendmail может производить поиск среди нескольких тысяч имен в файле "aliases", копия файла хранится в независимой базе данных "db" для значительного увеличения скорости просмотра. Если вы настраиваете ваш Sendmail на использование Центрального Сервера (Почтового концентратора) для управления всей почты, вам не нужно будет инсталлировать файлы "aliases" и "aliases.db" на граничных серверах и клиентских машинах.

Создайте файл aliases (touch /etc/mail/aliases) и добавьте в него следующие строки:

#
# @(#)aliases 8.2 (Berkeley) 3/5/94
#
# Псевдонимы в этом файле не будут расширяться в заголоке FROM: почты
# но будут видны через сеть и из /bin/mail.
#
# >>>>>>>>>> Программа "newaliases" должна быть запущена после того
# >> NOTE >> как этот в этот файл будут внесены любые изменения,  
# >>>>>>>>>> чтобы они стали видны в sendmail.
#
# Общие системные псевдонимы - должны быть представлены.
MAILER-DAEMON: postmaster
postmaster: root
# Общие перенаправления для псевдо бюджетов.
bin: root
daemon: root
nobody: root
# Лицо получающее почту пользователя root
#root: admin

ЗАМЕЧАНИЕ. Ваш файл псевдонимов будет скорее всего более сложным. Этот пример показывает минимальный вид этого файла.

Создание файла aliases.db:
Так как "/etc/mail/aliases" - это база данных, после создания текстового файла как описано выше, вы должны использовать команду "makemap" для создания базы данных схем.
Для создания "базы данных схем псевдонимов", используйте следующую команду:

Файлы "/etc/mail/virtusertable, domaintable, mailertable, и virtusertable.db,

domaintable.db, mailertable.db" для Центрального Почтового Концетратора.

virtusertable - это база данных, которая отображает виртуальные домены на известные адреса. Благодаря этой возможности, почта для виртуальных доменов на вашей сети может быть доставлена локальным, удаленным или отдельным пользовательским адресам.

domaintable - это база данных, которая отображает старые домены на новые. Благодаря этой возможности, несколько доменных имен в вашей сети может быть переписаны из старых доменов в новые.

mailertable - это база данных, которая отображает имена вида "host.domain" на специальные агенты доставки и новые пары доменных имен. Благодаря этой возможности может быть доставлена через использования специального агента доствки новым локальным или удаленным доменным именам.

Для создания файлов virtusertable, domaintable, mailertable и их соответсвующих ".db" версий в каталоге "/etc/mail" используйте следующие команды:

Файл "/etc/mail/local-host-names" для всех типов конфигураций

Файл "/etc/mail/local-host-names" считывается для получения альтернативных имен локального хоста. Одним из способов, как этот файл может быть использован, это объявление списка хостов для которых локальный компьютер выступает как получатель почты через MX записи. На такой машине нам просто нужно добавить имена (например, mail.openna.com), для которых он будет манипулировать почтой. Например:

Создайте файл local-host-names file (touch /etc/mail/local-host-names) и добавьте в него следют строку:

С такой конфигурацией, вся почта отправляемая на домен "openna.com" или любая почта отправляемая на сервер "www.openna.com" или другой хост будет доставляться на ваш почтовый концентратор "mail.openna.com".

Пожалуйста запомните, что если вы настраивает вашу систему для маскарадинга под другую машину, любая почта посланная из вашей системы на вашу систему будет отправлена на машину под которую вы маскируетесь. Например, в вышеприведенной конфигурации, системные файлы регистрации, которые периодически отправляются на адрес root@www.openna.com, будут отправлены на адрес root@mail.openna.com вашего почтового концентратора.

Конфигурация файла "/etc/sysconfig/sendmail" для всех типов конфигураций

Файл "/etc/sysconfig/sendmail" используется для определения конфигурационной информации SENDMAIL, такой как, запускать ли sendmail как демон, нужно ли слушать порт для приема почты или нет, и как долго ждать перед отправкой предупреждающего сообщения, если сообщение из каталога очереди не может быть доставлено.

Создайте файл sendmail (touch /etc/sysconfig/sendmail) и добавьте в него следующее:

Опция "DAEMON=yes" говорит Sendmail запускаться как демон. Эта строка особо полезна, когда sendmail запускается на клиентских машинах, которые не должны принимать почту из внешнего мира, а должны пересылать все сообщения на центральный почтовый концентратор. Не запуская sendmail, вы также улучшается безопасность. Если вы настаиваете sendmail подобным образом, то замените строку "DAEMON=yes" на "DAEMON=no".

Почта обычно помещается в очередь, потому что не может быть отправлена незамедлительно. "QUEUE=1h" устанавливает интервал времени до отправки предупреждающего сообщения отправителю письма, что его сообщение не может быть доставлено.

Конфигурация скрипта "/etc/rc.d/init.d/sendmail" для всех типов конфигураций.

Настройка скрипта "/etc/rc.d/init.d/sendmail" для запуска и остановки демона Sendmail.
Создайте скрипт-файл sendmail (touch /etc/rc.d/init.d/sendmail) и добавьте в него следующее:

Сейчас, сделаем скрипт исполняемым и изменим права доступа по умолчанию:
[root@deep /]# chmod 700 /etc/rc.d/init.d/sendmail
Создадим символическую ссылку rc.d для Sendmail:
[root@deep /]# chkconfig --add sendmail
Запустим Sendmail сервер вручную, используя следующую команду:
[root@deep /]# /etc/rc.d/init.d/sendmail start
Starting sendmail: [ OK ]

Очистка после работы

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции Sendmail. Также будет удален сжатый архив Sendmail из каталога "/var/tmp".

Организация защиты Sendmail

Программа smrsh предназначается для замены "/bin/sh" в программах почтальонах, определенных в Sendmail. Это ограниченная оболочка, которая предоставляет возможность строго определить через каталог "/etc/smrsh", явный список исполняемых программ доступных Sendmail. Чтобы быть более точным, даже если "плохой парень" использует Sendmail для запуска программ без файлов псевдонимов и forward, smrsh ограничит набор программ, которые он или она сможет выполнить. В связке с Sendmail smrsh эффективно ограничивает область выполняемых программ только теми программами, что перечислены в каталоге /etc/smrsh. Если вы следовали по инструкциям описанным выше, то smrsh уже откомпилирована и инсталлирована в каталог "/usr/sbin/smrsh".

Первое, что надо сделать, это определить список команд, которые "smrsh" позволит Sendmail выполнять.
По умолчанию в него входят:
"/bin/mail" (если инсталлирована на вашей системе)
"/usr/bin/procmail" (если инсталлирована на вашей системе)

ЗАМЕЧАНИЕ. Вы не должны включать интерпретирующие программы, такие как sh(1), csh(1), perl(1), uudecode(1) или потоковый редактор sed(1) в список разрешенных программ.

Следующее, что надо сделать, это заполнить каталог "/etc/smrsh" программами, которые разрешено запускать Sendmail. Для предотвращения дублирования программ мы будем создавать символические ссылки.
Для разрешения использования программы "/bin/mail" используйте следующие команды:

Для разрешения использования программы "/usr/bin/procmail" используйте следующие команды:

Вышеприведенные команды позволят запускать программы mail и procmail из пользовательских файлов ".forward" или файла "aliases", которые используют "program" синтаксис.

ЗАМЕЧАНИЕ. Procmail требуется только на почтовом концентраторе и не требуется на клиентской машине. Если вы настраиваете вашу систему как Центральный почтовый сервер, то создайте ссылку на procmail как описано выше, иначе пропустите его.

Сейчас мы можем настроить Sendmail на использование защищенного shell. Программа почтальон определяется в одиночной строке конфигурационного файла "/etc/mail/sendmail.cf". Вы должны модифицировать линию "Mprog", заменив в ней "/bin/sh" на "/usr/sbin/smrsh".

Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и измениет строку: Например:

Сейчас перезапустите вручную процесс sendmail следующей командой:

ЗАМЕЧАНИЕ. В нашем конфигурационном файле "sendmail.mc", написанном выше, мы уже настроили строку "Mprog" на использование защищенного shell "/usr/sbin/smrsh" при помощи макроопределения "FEATURE(`smrsh',`/usr/sbin/smrsh')", так что не удивляйтесь, если "/usr/sbin/smrsh" уже установлен в "/etc/mail/sendmail.cf" для Почтового концентратора. Используйте технику непосредственного редактирования файла "/etc/mail/sendmail.cf" для тех машин, где вы использовали файл с макроопределениями "null.mc" (граничные сервера и клиентские машины).

Несовершенное или небрежное администрирование файла "aliases" может привести к легкому получению привилегированному статусу. Например, многие разработчики поставляют системы с псевдонимом "decode" в файле "/etc/mail/aliases". Его основное назначение - облегчение для пользователей пересылки двоичных файлов по почте. Отправляющий пользователь конвертирует двоичный файл в ASCII, используя "uuencode", затем отправляет полученное сообщение псевдониму "decode" на принимающий сервер. Затем псевдоним через канал (pipe) отправляет сообщение программе "/usr/bin/uuencode", которая конвертирует ASCII назад в двоичный файл. Удалите псевдоним "decode" из файла "/etc/mail/aliases". Аналогично, каждый псевдоним, который запускает программу и который вы сам не создавали должен быть проверен и скорее всего удален.

Редактируйте файл aliases (vi /etc/mail/aliases) и удалите следующие строки:

Чтобы изменения вступили в силу выполните команду:

Sendmail сейчас включает значительные антиспаммовские возможности, которые могут помочь предотвратить неправильное использование вашего почтового сервера неавторизированными пользователями. Для этого, редактируйте ваш файл "/etc/mail/sendmail.cf" и внесите в него изменения блокирующие спаммеров.

Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и измените строку:

O PrivacyOptions=authwarnings
Должна быть:
O PrivacyOptions=authwarnings,goaway

Установка "goaway" говорит Sendmail отвергать все SMTP "EXPN" команды, отбрасывать все SMTP "VERB" команды и игнорировать все SMTP "VRFY" команды. Эти изменения не дадут спаммеру использовать команды "EXPN" и "VRFY".

Обычно, кто угодно может просмотреть почтовую очередь при помощи команды "mailq". Для ограничения тех, кто имеет возможность ее просмотреть используйте опцию "restrictmailq" в файле "/etc/mail/sendmail.cf". С ней, Sendmail позволяет просматривать очередь только тем пользователям, кто входит в группу владеющую ею (root). Это позволяет полностью защитить каталог очереди, используя режим доступа 0700.

Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и внесите в него следующее изменение:

O PrivacyOptions=authwarnings,goaway
Измените на:
O*-PrivacyOptions=authwarnings,goaway,restrictmailq

Сейчас измените режим доступа к вашему каталогу очереди:
[root@deep /]# chmod 0700 /var/spool/mqueue

И перезапустите процесс sendmail, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/sendmail restart
Shutting down sendmail:         [ OK ]
Starting sendmail:              [ OK ]

ЗАМЕЧАНИЕ. Мы уже добавили опцию "goaway" в строке "PrivacyOptions=", а сейчас добавили туда же опцию "restrictmailq". Любой непривелигированный пользователь, который попытается изучить почтовую очередь получит следующее собщение:

Обычно, кто угодно может вызвать обработку очереди при помощи ключа "-q". Чтобы только пользователь "root" и владелец каталога очереди могли сделать это используйте опцию "restrictqrun" в файле "/etc/mail/sendmail.cf".

Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и внесите в него следующее изменение:

O PrivacyOptions=authwarnings,goaway,restrictmailq
Изменить на:
O PrivacyOptions=authwarnings,goaway,restrictmailq,restrictqrun

Перезапустите процесс sendmail, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/sendmail restart
Shutting down sendmail:   [ OK ]
Starting sendmail:        [ OK ]

Любой непривилегированный пользователь, попытавшийся запустить обработку очереди, получит следующее сообщение:

Когда Sendmail принимает входящие SMTP соединения, он посылает на другой хост приветственное сообщение. Оно идентифицирует локальную машину и говорит о том, что sendmail готов к приему.

Редактируйте файл sendmail.cf (vi /etc/mail/sendmail.cf) и измените строку:

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b
Должна быть:
O SmtpGreetingMessage=$j

Перезапустите процесс sendmail, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/sendmail restart
Shutting down sendmail:   [ OK ]
Starting sendmail:        [ OK ]

Это изменение фактически ничего не меняет, но рекомендуется в группе новостей news.admin.net-abuse.email как законная предосторожность. Оно изменяет заголовок, которое Sendmail выводит при приеме соединений.

На важные файлы Sendmail может быть установлен бит "постоянства для лучшей безопасности при помощи команды "chattr". Файл с установленным атрибутом "+i" не может быть модифицирован, удален или переименован, на него нельзя создавать ссылки и никакие данные не могут быть дописаны в такие файлы. Только суперпользователь может снять этот атрибут.

Установите бит "постоянства" на файл "sendmail.cf":
[root@deep /]# chattr +i /etc/mail/sendmail.cf

Установите бит "постоянства" на файл "local-host-names":
[root@deep /]# chattr +i /etc/mail/local-host-names

Установите бит "постоянства" на файл "aliases":
[root@deep /]# chattr +i /etc/mail/aliases

Установите бит "постоянства" на файл "access":
[root@deep /]# chattr +i /etc/mail/access

Дополнительная документация.

Для получения большей информации читайте следующие страницы руководства:

$ man aliases (5) - файл псевдонимов для sendmail
$ man makemap (8) - создание базы данных отображений для sendmail
$ man sendmail (8) - почтовый агент электронной почты
$ man mailq (1) - вывод информации о почтовой очереди
$ man newaliases (1) - пересоздание данных базирующихся на почтовом файле псевдонимов
$ man mailstats (8) - вывод статистики работы sendmail
$ man praliases (8) - вывод системных почтовых псевдонимов

Утилиты администратора Sendmail

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить страницы руководства (man) и документацию, чтобы получить более подробную информацию.

Назначение утилиты "newaliases" - это пересоздание и обновление базы данных произвольного доступа для файла почтовых псевдонимов "/etc/mail/aliases". Она должна запускаться каждый раз, когда вы изменяете содержимое этого файла, чтобы изменения вступили в силу.
Обновите файл базы данных псевдонимов с помощью утилиты "newaliases", используя следующую команду:

Назначение утилиты "makemap" это создание базы данных соответствий для Sendmail. Она должна использоваться только когда вам надо создать новую базу данных для файлов подобных aliases, access, domaintable, mailertable и virtusertable.

Запустите команду makemap, чтобы создать новую базу данных access:

где <hash> - это формат базы данных, makemap может манипулировать тремя различными форматами баз данных: "hash", "btree" или "dbm". </etc/mail/access.db> - месторасположения и имя новой базы данных, которую мы создаем. </etc/mail/access> - месторасположение файла из которого мы получаем базу. В нашем примере, мы создаем новый файл "access.db", используя команду makemap. Для создания баз данных из других файлов (aliases, domaintable, mailertable и virtusertable) вы должны определить месторасположение и имена соответствующих файлов в команде "makemap".

Назначение утилиты "mailq" - это печать краткой информации о почтовых сообщениях, хранящихся в очереди для дальнейшей доставки Для вывода краткой информации о почтовой очереди используйте команду:

Утилиты пользователя Sendmail

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить страницы руководства (man) и документацию, чтобы получить более подробную информацию.

Назначение утилиты "mailstats" - это вывод текущей статистики работы почтового сервера.
Для получения текущей почтовой статистики используйте следующую команду:

[root@deep /]# mailstats
Statistics from Tue Dec 14 20:31:48 1999
M   msgsfr   bytes_from   msgsto   bytes_to   msgsrej   msgsdis   Mailer
5     0         0K           1        3K         0         0       esmtp
8    1259      19618K       1259     19278K      0         0       local
=========================================================================
T    1259      19618K       1260     19281K      0         0

Назначение утилиты "praliases" - вывод текущего почтовых.
Для вывода почтовых псевдонимов используйте команду:

Файлы инсталлированные для Sendmail на Центральном Почтовом Концентраторе

> /etc/rc.d/init.d/sendmail
> /etc/rc.d/rc0.d/K30sendmail
> /etc/rc.d/rc1.d/K30sendmail
> /etc/rc.d/rc2.d/S80sendmail
> /etc/rc.d/rc3.d/S80sendmail
> /etc/rc.d/rc4.d/S80sendmail
> /etc/rc.d/rc5.d/S80sendmail
> /etc/rc.d/rc6.d/K30sendmail
> /etc/sysconfig/sendmail
> /etc/mail
> /etc/mail/statistics
> /etc/mail/sendmail.cf
> /etc/mail/access
> /etc/mail/access.db
> /etc/mail/aliases
> /etc/mail/aliases.db
> /etc/mail/virtusertable
> /etc/mail/virtusertable.db
> /etc/mail/domaintable
> /etc/mail/domaintable.db
> /etc/mail/mailertable
> /etc/mail/mailertable.db
> /etc/mail/local-host-names
> /etc/smrsh
> /usr/bin/newaliases
> /usr/bin/mailq
> /usr/bin/hoststat
> /usr/bin/purgestat
> /usr/lib/sendmail
> /usr/man/man1/mailq.1
> /usr/man/man1/newaliases.1
> /usr/man/man5/aliases.5
> /usr/man/man8/sendmail.8
> /usr/man/man8/mailstats.8
> /usr/man/man8/makemap.8
> /usr/man/man8/praliases.8
> /usr/man/man8/smrsh.8
> /usr/sbin/sendmail
> /usr/sbin/mailstats
> /usr/sbin/makemap
> /usr/sbin/praliases
> /usr/sbin/smrsh
> /var/spool/mqueue

Файлы инсталлированные для Sendmail на локальном сервере или клиенте

> /etc/rc.d/init.d/sendmail
> /etc/rc.d/rc0.d/K30sendmail
> /etc/rc.d/rc1.d/K30sendmail
> /etc/rc.d/rc2.d/S80sendmail
> /etc/rc.d/rc3.d/S80sendmail
> /etc/rc.d/rc4.d/S80sendmail
> /etc/rc.d/rc5.d/S80sendmail
> /etc/rc.d/rc6.d/K30sendmail
> /etc/sysconfig/sendmail
> /etc/mail
> /etc/mail/statistics
> /etc/mail/sendmail.cf
> /etc/mail/local-host-names
> /etc/smrsh
> /usr/bin/mailq
> /usr/bin/hoststat
> /usr/bin/purgestat
> /usr/lib/sendmail
> /usr/man/man1/mailq.1
> /usr/man/man8/sendmail.8
> /usr/man/man8/mailstats.8
> /usr/man/man8/smrsh.8
> /usr/sbin/sendmail
> /usr/sbin/mailstats
> /usr/sbin/smrsh
> /var/spool/mqueue

Глава 15 Серверное программное обеспечение (Почтовый сервис) - Sendmail (часть 1) В этой главе Linux Sendmail сервер Конфигурации Организация защиты Sendmail Утилиты администратора Sendmail Утилиты пользователя Sendmail Linux Imap и Pop сервер Конфигурации Настройка Imap и POP для использования с TCP-Wrappers inetd супер сервером Организация защиты IMAP/POP

Linux Imap и Pop сервер

Если вы настроили Sendmail как Центральный Почтовый Концентратор, вы должны инсталлировать IMAP/POP программное обеспечение или вы не сможете воспользоваться преимуществами вашего почтового Linux сервера, так как Sendmail занимается только пересылкой почты с одной на другую машину. Почтовый сервер - это сервер на котором запущено одно или более из следующего: IMAP сервер, POP3 сервер, POP2 сервер или SMTP сервер.

Примером SMTP сервера может служить Sendmail, который мы уже проинсталлировали на нашем Linux сервере, как Центральный Почтовый Концентратор. Далее мы попытаемся охватить инсталляцию IMAP4, POP3 и POP2, которые входят в один пакет.

С IMAP & POP программами, почтовая программа удаленного "клиента" может получить доступ к сообщению хранящемся на почтовом сервере, как будто он находится на этом сервере. Например, почта присылается и запоминается на IMAP сервере для пользователя, который может манипулировать ею из его/ее компьютера дома, в офисе и т.д., без необходимости пересылки сообщений или файлов между этими компьютерами.

POP сокращение для "Post Office Protocol" и просто позволяет вам просматривать список сообщений, принимать и удалять их. IMAP - это POP на стероидах. Он позволяет вам легко манипулировать бюджетами, разрешать доступ нескольких людей к одному бюджету, оставлять сообщения на сервере, скачивая только их заголовки, тела, без присоединенных файлов или с ними. IMAP идеален для всех кому серьезно нужна почта. По умолчанию POP и IMAP сервера, которые поставляются с большинством дистрибутивов делают больше, чем нужно.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
IMAP версии 4.7c

Пакеты.
Домашняя страница IMAP/POP: http://www.washington.edu/imap/
FTP сервер IMAP/POP: 140.142.3.227 или 140.142.4.227
Вы должны скачать: imap.tar.Z

Предварительные условия.
Sendmail сервер должен быть уже установлен на вашей системе.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Sendmail и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Imap1

После инсталляции:
find /* > Imap2

Для получения списка установленных файлов:
diff Imap1 Imap2 > Imap-Installed

Раскроем тарбол (tar.Z).

Компиляция и оптимизация.

Перейдите в новый IMAP/POP каталог и введите следующие команды на вашем терминале:

Редактируйте файл Makefile (vi +719 src/osdep/unix/Makefile) и измените следующую строку:

sh -c '(test -f /usr/include/sys/statvfs.h -a $(OS) != sc5 -a $(OS) != sco) && $(LN) flocksun.c flockbsd.c || $(LN) flocksv4.c flockbsd.c'
Должна быть:
sh -c '(test -f /usr/include/sys/statvfs.h -a $(OS) != sc5 -a $(OS) != sco -a $(OS) != lnx) && $(LN) flocksun.c flockbsd.c || $(LN) flocksv4.c flockbsd.c'

Эта модификация изменит файл "sys/stavfs". Этот файл, с новой glibc 2.1 из Linux отличается от доступной на Sun.

Редактируйте файл Makefile (vi +354 src/osdep/unix/Makefile) и измените следующую строку:

BASECFLAGS="-g -fno-omit-frame-pointer -O6 -DNFSKLUDGE" \
Должна быть:
BASECFLAGS="-g -fno-omit-frame-pointer -O9 -funroll-loops -ffast-math -malign-double -mcpu= pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions -DNFSKLUDGE" \

Это наши оптимизационные флаги для компиляции программ IMAP/POP на сервере.

Редактируйте файл Makefile (vi +61 src/osdep/unix/Makefile) и измените следующие строки:

ACTIVEFILE=/usr/lib/news/active
Должна быть:
ACTIVEFILE=/var/lib/news/active

SPOOLDIR=/usr/spool
Должна быть:
SPOOLDIR=/var/spool

RSHPATH=/usr/ucb/rsh
Должна быть:
RSHPATH=/usr/bin/rsh

LOCKPGM=/etc/mlock
Должна быть:
#LOCKPGM=/etc/mlock

"ACTIVEFILE="строка определяет путь "активного" каталога для IMAP/POP, "SPOOLDIR="где вы разместите "spool" каталог Linux IMAP/POP, "RSHPATH="определяет путь каталога "rsh" на вашей системе. Важно заметить, что мы не используем сервис rsh на нашем сервере, но даже в этом случае, мы должны определить правильный путь до "rsh".

Редактируйте файл Makefile (vi +89 src/osdep/unix/Makefile) и измените строку:

CC=cc
Должна быть:
CC=egcs

Эта строка определяет имя нашего GCC компилятора, который мы будем использовать при компиляции программ IMAP/POP (в нашем случае egcs).

Сейчас мы должны компилировать и инсталлировать IMAP & POP на почтовом сервере:

Вышеприведенные команды будут конфигурировать программу, проверяя, что ваша система имеет необходимые библиотеки и способна выполнять необходимые функции, компилирует все исходные файлы в исполняемые двоичные, и затем, инсталлирует все двоичные и вспомогательные файлы в определенное место.

Заметим, что команда "make lnp" будет настраивать программу под вашу Linux систему с поддержкой Pluggable Authentication Modules (PAM) для лучшей безопасности.

Команда "mkdir" создаст новый каталог с именем "imap" в "/usr/include". Этот новый каталог "imap" будет содержать все заголовочные файлы связанные с программой imapd файлы "c-client/*" и "shortsym.h".

Команда "chown" изменит владельца исполняемых программ "ipop2d", "ipop3d" и "imapd" на пользователя "root" и группу "mail".

Команда "ln -fs" создаст символическую ссылку "libimap.a" к файлу "c-client.a", которая может потребоваться для некоторых других программ, которые мы будем инсталлировать в будущем.

ЗАМЕЧАНИЕ. Из соображений безопасности, если вы используете только imapd сервис, удалите двоичные файлы ipop2d и ipop3d. Тоже верно и для ipopd; если вы используете только ipopd сервис, удалите исполняемый файл imapd. Если же вы используете оба сервиса (imapd и ipopd), то оставьте оба двоичных файла.

Очистка после работы

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции IMAP/POP. Также будет удален сжатый архив IMAP/POP из каталога "/var/tmp".

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл связанные с IMAP/POP из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска IMAP/POP сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл imap в каталог "/etc/pam.d/", если вы планируете использовать imapd сервис.
Копируйте файл pop в каталог "/etc/pam.d/", если вы планируете использовать popd сервис.

Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация файла "/etc/pam.d/imap"

Сконфигурируем ваш файл "/etc/pam.d/imap" для использования pam аутентификации.

Создайте файл imap (touch /etc/pam.d/imap) и добавьте в него:

#%PAM-1.0
auth     required   /lib/security/pam_pwdb.so   shadow nullok
account  required   /lib/security/pam_pwdb.so

ЗАМЕЧАНИЕ. Этот файл нужен, если вы хотите использовать IMAP сервис.

Конфигурация файла "/etc/pam.d/pop".

Сконфигурируем ваш файл "/etc/pam.d/pop" для использования pam аутентификации.

Создайте файл pop (touch /etc/pam.d/pop) и добавьте в него:

#%PAM-1.0
auth     required   /lib/security/pam_pwdb.so   shadow nullok
account  required   /lib/security/pam_pwdb.so

ЗАМЕЧАНИЕ. Этот файл нужен, если вы хотите использовать POP сервис.

Настройка Imap и POP для использования с TCP-Wrappers inetd супер сервером.

Tcp-wrappers берет на себя заботу о запуске и остановке IMAP или POP серверов. При запуске, inetd читает конфигурационную информацию из файла "/etc/inetd.conf". Этот файл содержит поля разделяемые символами табуляции или пробелами.

Редактируйте файл inetd.conf (vi /etc/inetd.conf) и добавьте или раскомментируйте строки, связанные с сервисами, которые вы хотите включить. Если вы хотите использовать IMAP тогда раскомментируйте строку, связанную с ним, если же вы хотите использовать POP, тогда раскомментируйте его вместо IMAP. В нашем примере мы используем IMAP сервис.

#pop-2  stream  tcp  nowait  root  /usr/sbin/tcpd  ipop2d
#pop-3  stream  tcp  nowait  root  /usr/sbin/tcpd  ipop3d
imap    stream  tcp  nowait  root  /usr/sbin/tcpd  imapd

Не забудьте после обновления вашего файла "inetd.conf" послать процессу inetd сигнал SIGHUP (killall -HUP inetd).
Чтобы изменения вступили в силу перезапустите процесс inetd, используя следующую команду:

Если вы хотите инсталлировать IMAP/POP сервер обслуживания ограниченного числа известных реальных IP адресов клиентов, то можно использовать возможности tcp-wrapper-а. Если вы планируете обслуживать dial-up клиентов или сервис Webmail, тогда вы не сможете использовать эти возможности.

Редактируйте файл hosts.deny (vi /etc/hosts.deny) и добавьте следующую строку:

Которая говорит, что все сервисы, все месторасположения клиентов будут заблокированы, пока не будет непосредственного разрешения в файле "hosts.allow".

Редактируйте файл hosts.allow (vi /etc/hosts.allow) и добавьте следующую строку:

Которая говорит, что только клиентам с IP адресом "216.209.228.34" и именем хоста "my.domain.com" будет разрешен доступ к IMAP сервису на сервере.

Организация защиты IMAP/POP

Знайте, что IMAP/POP программы используют по умолчанию пароли в текстовом формате. Любой, кто запустит сниффер на вашей сети сможет перехватить имя/пароль и использовать их для подключения к серверу. Проверьте вашу конфигурацию, и если вы используете внешний/удаленный IMAP/POP сервер, то деинсталлируйте IMAP/POP с вашей системы.

К сожалению из-за экспортных ограничений правительства США, IMAP с поддержкой SSL сейчас не доступен. Существуют пакеты предоставляемые третьими производителями, которые позволяют использовать сессии IMAP и POP3 через SSL. Одним из них является WebMail IMP, Веб интерфейс которого позволяет читать почту через Интернет, используя Веб броузер. WebMail IMP использует протокол SSL для шифрования трафика с IMAP/POP сервером. Смотрите главу 20 "Опциональные компоненты устанавливаемые с веб-сервером Apache" для получения большей информации по этой теме.

Дополнительная документация.

Для получения более подробной информации вы можете прочитать следующие страницы руководства:

$ man imapd (8C) - сервер Internet Message Access Protocol (IMAP)
$ man ipopd (8C) - сервер Post Office Protocol (POP)

Инсталлированные файлы

> /etc/pam.d/imap
> /etc/pam.d/pop
> /usr/include/imap
> /usr/include/imap/dummy.h
> /usr/include/imap/env.h
> /usr/include/imap/env_unix.h
> /usr/include/imap/fdstring.h
> /usr/include/imap/flstring.h
> /usr/include/imap/fs.h
> /usr/include/imap/ftl.h
> /usr/include/imap/imap4r1.h
> /usr/include/imap/linkage.h
> /usr/include/imap/lockfix.h
> /usr/include/imap/mail.h
> /usr/include/imap/mbox.h
> /usr/include/imap/mbx.h
> /usr/include/imap/mh.h
> /usr/include/imap/misc.h
> /usr/include/imap/mmdf.h
> /usr/include/imap/mtx.h
> /usr/include/imap/mx.h
> /usr/include/imap/netmsg.h
> /usr/include/imap/news.h
> /usr/include/imap/newsrc.h
> /usr/include/imap/nl.h
> /usr/include/imap/nntp.h
> /usr/include/imap/os_a32.h
> /usr/include/imap/os_a41.h
> /usr/include/imap/os_aix.h
> /usr/include/imap/os_aos.h
> /usr/include/imap/os_art.h
> /usr/include/imap/os_asv.h
> /usr/include/imap/os_aux.h
> /usr/include/imap/os_bsd.h
> /usr/include/imap/os_bsi.h
> /usr/include/imap/os_cvx.h
> /usr/include/imap/os_d-g.h
> /usr/include/imap/os_do4.h
> /usr/include/imap/os_drs.h
> /usr/include/imap/os_dyn.h
> /usr/include/imap/os_hpp.h
> /usr/include/imap/os_isc.h
> /usr/include/imap/os_lnx.h
> /usr/include/imap/os_lyn.h
> /usr/include/imap/os_mct.h
> /usr/include/imap/os_mnt.h
> /usr/include/imap/os_nxt.h
> /usr/include/imap/os_os4.h
> /usr/include/imap/os_osf.h
> /usr/include/imap/os_ptx.h
> /usr/include/imap/os_pyr.h
> /usr/include/imap/os_qnx.h
> /usr/include/imap/os_s40.h
> /usr/include/imap/os_sc5.h
> /usr/include/imap/os_sco.h
> /usr/include/imap/os_sgi.h
> /usr/include/imap/os_shp.h
> /usr/include/imap/os_slx.h
> /usr/include/imap/os_sol.h
> /usr/include/imap/os_sos.h
> /usr/include/imap/os_sun.h
> /usr/include/imap/os_sv2.h
> /usr/include/imap/os_sv4.h
> /usr/include/imap/os_ult.h
> /usr/include/imap/os_vu2.h
> /usr/include/imap/osdep.h
> /usr/include/imap/phile.h
> /usr/include/imap/pop3.h
> /usr/include/imap/pseudo.h
> /usr/include/imap/rfc822.h
> /usr/include/imap/smtp.h
> /usr/include/imap/tcp.h
> /usr/include/imap/tcp_unix.h
> /usr/include/imap/tenex.h
> /usr/include/imap/unix.h
> /usr/include/imap/utf8.h
> /usr/include/imap/shortsym.h
> /usr/lib/c-client.a
> /usr/lib/libimap.a
> /usr/man/man8/ipopd.8c
> /usr/man/man8/imapd.8c
> /usr/sbin/ipop2d
> /usr/sbin/ipop3d
> /usr/sbin/imapd

Глава 16 Серверное программное обеспечение (Сетевой сервис шифрования) - OPENSSL сервер В этой главе Linux OPENSSL сервер Конфигурации Команды Организация защиты Openssl Linux FreeS/WAN VPN Настройка RSA private keys secrets Требования по настройке сети для IPSec Тестирование инсталляции

Linux OPENSSL сервер

Большинство серверов подобных IMAP & POP, Samba, OpenLDAP, FTP, Apache и других, которым необходима аутентификация пользователей перед разрешением использования сервиса, по умолчанию, передают имя пользователя и пароль в простом текстовом виде. Альтернативные механизмы шифрования подобные SSL гарантируют надежность и безопасность транзакций. С этой технологией, данные передаются через сеть в зашифрованном виде. Однажды установив OpenSSL на своем сервере, вы можете использовать его как стороннюю утилиту в других приложениях, для включения в них возможностей SSL.

Из описания OpenSSL:

Проект OpenSSL - это совместная попытка разработать надежную, коммерчески независимую, полнофункциональную и распространяемую с открытыми кодами реализацию протоколов Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1) с полной криптографией. Проект управляется добровольцами всемирного сообщества, которые используют Интернет для общения, планирования и разработки инструментария OpenSSL и связанной с ним документацией.

Основные преимущества использования технологий шифрования следующие:

• Конфиденциальность данных
  
  Когда сообщение зашифровано, входной открытый текст трансформируется по алгоритму в зашифрованный текст, который скрывает смысл сообщения и может быть отправлен через общедоступный механизм. В этот процесс вовлекается секретный ключ, который используется при шифровании, а позже при расшифровании данных. Без этого ключа, зашифрованные данные становятся бессмысленными.
• Целостность данных
  
  Криптографическая контрольная сумма, называемая message authentication code (MAC), может рассчитываться на произвольном определенном пользователем тексте для защиты целостности данных. Результат (текст и MAC) отправляется принимающей стороне, который может проверить контрольный MAC присоединенный к сообщению пересчитывая MAC для сообщения, используя соответствующий секретный ключ и проверяя, что полученный MAC эквивалентен контрольному.
• Аутентификация
  
  Персональная идентификация - это другое применение криптографии, где пользователь/отправитель знает ключ, который может служить для установления его/ее подлинности.
• Электронные подписи
  
  Цифровые подписи заверяет отправителя и получателя, что сообщение подлинное и что только владелец ключа мог создать цифровую подпись.

Несколько юридических проблем существует при использовании SSL технологии. Если вы планируете использовать OpenSSL для коммерческих целей, то необходимо получить у RSA лицензию на использование RSA библиотек.

Здесь приведено извлечение из файла README OpenSSL:

Разные компании владеют патентами на разные алгоритмы в разных местах мира. Вы сами отвечаете за то, что бы использование любых алгоритмов для вас было юридически законно, проверяя имеются ли какие-либо патенты у вас в стране. Этот файл включает некоторые патенты о которых мы точно или "по слухам" знаем. Это не точный список.

RSA Data Security держит программный патент на алгоритмы RSA и RC5. Если принадлежащий им код используется в США (и Японии?), вы должны контактировать с RSA Data Security об условиях лицензии. Их веб-сервер: http://www.rsa.com/.

RC4 - это торговая марка RSA Data Security, так что его использование возможно только с разрешения RSA Data Security.

Алгоритм IDEA патентован Ascom в Австрии, Франции, Германии, Италии, Японии, Нидерландах, Испании, Швеции, Швейцарии, Соединенном Королевстве и США. С ними нужно войти в контакт если вы используете этот алгоритм; их веб-сервер: http://www.ascom.ch/.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
OpenSSL версии 0.9.5a

Пакеты.
Домашняя страница OpenSSL: http://www.openssl.org/
Вы должны скачать: openssl-0.9.5a.tar.gz

Тарболы.

Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Sendmail и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > OpenSSL1

После инсталляции:
find /* > OpenSSL2

Для получения списка установленных файлов:
diff OpenSSL1 OpenSSL2 > OpenSSL-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Перейдите в новый Openssl каталог и введите следующие команды на вашем терминале:

Редактируйте файл c_rehash (vi +11 tools/c_rehash) и измените следующую строку:

DIR=/usr/local/ssl
Должен быть:
DIR=/usr

Изменение этой строки будет создавать и инсталлировать OpenSSL в "/usr".

По умолчанию, исходные файлы OpenSSL предполагают что Perl расположен в каталоге "/usr/local/bin/perl". Мы должны модифицировать строку "#!/usr/local/bin/perl" во всех скриптах, которые зависят от perl, на месторасположение Perl в Red Hat Linux - "/usr/bin".

OpenSSL должен знать где находится необходимые OpenSSL исходные библиотеки. Командой приведенной ниже, мы устанавливаем переменную окружения PATH в каталог по умолчанию, где мы разместили исходные файлы OpenSSL.

Сейчас, мы должны сконфигурировать OpenSSL под нашу систему:

ЗАМЕЧАНИЕ. Опция "-DSSL_FORBID_ENULL" нужна, чтобы запретить нулевое шифрование из соображений безопасности.

Редактируйте файл Makefile.ssl (vi +50 Makefile.ssl) и внесите следующие изменения:

CC= gcc
Должен быть:
CC= egcs

Редактируйте файл Makefile.ssl (vi +52 Makefile.ssl) и добавьте/измените следующие строки:

Редактируйте файл Makefile.ssl (vi +79 Makefile.ssl) и измените следующее значение для процессора Pentium Pro:

ЗАМЕЧАНИЕ. Три последние модификации выполненные нами устанавливают оптимизационные флаги для компиляции OpenSSL на сервере. Последняя модификация (PROCESSOR=), если у вас Pentium, то измените на 586, Pentium Pro/II/III на 686, a 486 на 486.

Редактируйте файл Makefile.ssl (vi +161 Makefile.ssl) и измените следующую строку:

MANDIR=$(OPENSSLDIR)/man
Должна быть:
MANDIR=/usr/man

Этот шаг нужен для определения каталога, куда будут проинсталлированы страницы руководства (man pages) OpenSSL. В нашем случае это каталог "/usr/man".

Сейчас мы должны скомпилировать и инсталлировать OpenSSL на сервере:

Команда "make -f" создаст библиотеки OpenSSL (libcrypto.a и libssl.a) и двоичный файл "openssl". Библиотеки будут созданы в каталоге верхнего уровня, а двоичный файл в каталоге "apps". После успешного создания, команда "make test" будет тестировать библиотеки и в заключении "make install" создаст инсталляционный каталог и инсталлирует OpenSSL.

Команда "mv" переместит все файлы из "/etc/ssl/misc/" в каталог "/usr/bin/". Эти файлы двоичные и должны располагаться в "/usr/bin/", так как там находятся все исполняемые файлы вашей системы. Также размещение их в этом каталоге поместит их в поле действия переменной окружения PATH.

Команда "rm" удалит каталоги "/etc/ssl/misc/" и "/etc/ssl/lib/" из вашей системы, так как они сейчас располагаются в другом месте. Также, мы удаляем файлы "CA.pl" и "CA.sh", представляющие из себя небольшие скрипты для создания ваших собственных CA сертификатов. Эти скрипты, связанные с "openssl ca" командами, имеют несколько странные требования, и по умолчанию конфигурация OpenSSL не позволяет вам легко напрямую использовать "openssl ca".Так, что мы создадим скрипт "sign.sh" позже, чтобы заменить их.

ЗАМЕЧАНИЕ. Пакет bc-1.05a-4.i386.rpm или новее должен быть уже проинсталлирован на вашем Linux сервере или вы получите сообщение об ошибке во время тестирования библиотек OpenSSL.

Очистка после работы

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции OpenSSL. Также будет удален сжатый архив OpenSSL из каталога "/var/tmp".

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл связанные с OpenSSL из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска OpenSSL сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл openssl.cnf в каталог "/etc/ssl/".
Копируйте файл sign.sh в каталог "/usr/bin/".
Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация файла "/etc/ssl/openssl.cnf"

Это общий конфигурационный файл для программы OpenSSL, где вы можете настроить срок хранения ваших ключей, имя организации, адрес и т.д. Эти параметры вы можете изменить в секциях [ CA_default ] и [req_distinguished_name].

Редактируйте файл openssl.cnf (vi /etc/ssl/openssl.cnf):

# Примерный конфигурационный файл OpenSSL.
# Это главным образом используется для создания удостоверяющих запросов.
#
RANDFILE = $ENV::HOME/.rnd
oid_file = $ENV::HOME/.oid
oid_section = new_oids
# Используйте этот конфигурационный файл с опцией "-extfile" из
# утилиты "openssl x509", имя секции содержит 
# расширения  X.509v3, чтобы использовать:
# extensions =
# (Альтернативно, используйте конфигурационный файл который имеет только
# X.509v3 расширения в основной [= default] секции.)
[ new_oids ]
# Мы можем добавить новый OIDs здесь для использования в 'ca' и 'req'.
# Добавьте простой OID подобно этому:
# testoid1=1.2.3.4
# Или используйте подстановку конфигурационного файла наподобие этого:
# testoid2=${testoid1}.5.6
####################################################################
[ ca ]
default_ca = CA_default # Это ca секция по умолчанию
####################################################################
[ CA_default ]
dir = /etc/ssl # где все хранится
certs = $dir/certs # где хранятся штатные сертификаты
crl_dir = $dir/crl # где хранятся штатные crl
database = $dir/ca.db.index # файл с базой данных индексов.
new_certs_dir = $dir/ca.db.certs # место по умолчанию для новых сертификатов.
certificate = $dir/certs/ca.crt # CA сертификат
serial = $dir/ca.db.serial # текущий регистрационный номер
crl = $dir/crl.pem # текущий CRL
private_key = $dir/private/ca.key # приватный ключ
RANDFILE = $dir/ca.db.rand # приватный файл со случайным числом
x509_extensions = usr_cert # расширение добавляемое к сертификату
# Расширение добавляемое к CRL. Замечание: Netscape communicator
# основывается на V2 CRL так что по умолчанию это закомментировано,
# чтобы оставить V1 CRL.
# crl_extensions = crl_ext
default_days = 365 # сколько времени удостоверяет
default_crl_days = 30 # сколько времени до следующего CRL
default_md = md5 # какой использовать md.
Preserve = no # сохранять порядок пройденных DN
# Несколько различных путей для определения, как подобные запросы должны
# выглядеть для CA, список атрибутов должен быть такой же и  плюс некоторые
# необязательные поля 
policy = policy_match
# Для CA политик
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# Для 'чьих угодно' политик
# В этом пункте вы должны перечислить все приемлемые типы объектов
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # Расширение добавляемое к самоподписанным сертификатам
[ req_distinguished_name ]
countryName = Country Name (2-х буквенный код)
countryName_default = CA
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (полное имя)
stateOrProvinceName_default = Quebec
localityName = Locality Name (например, город)
localityName_default = Montreal
0.organizationName = Organization Name (например, компания)
0.organizationName_default = Open Network Architecture
# мы можем сделать это, но обычно это не нужно :-)
#1.organizationName = Second Organization Name (например, компания)
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName = Organizational Unit Name (например, подразделение)
organizationalUnitName_default = Internet Department
commonName = Common Name (например, ВАШЕ имя)
commonName_default = www.openna.com
commonName_max = 64
emailAddress = Email Address
emailAddress_default = admin@openna.com
emailAddress_max = 40
# SET-ex3 = SET extension number 3
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
# Эти расширения добавляются, когда 'ca' подписанный запрос.
# Это идет против рекомендаций PKIX, но некоторые CA делают это и
# некоторые программы запрашивают это, чтобы уклониться от
# интерпретирования сертификатов конечных пользователей как CA.
basicConstraints=CA:FALSE
# Здесь приведены некоторые примеры использования nsCertType. Если это
# пропущено, то сертификат может использоваться для каких-нибудь пропусков
# подписаний объектов.
# Это OK для сервера SSL.
# nsCertType = server
# Это используется для объекта, подписывающего сертификат.
# nsCertType = objsign
# Это обычно используется для нормальных клиентов
# nsCertType = client, email
# и для всего, включая объекты подписания:
# nsCertType = client, email, objsign
# Это типично в keyUsage для клиентских сертификатов.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# Это будет выводится в списковом окне комментариев Netscape.
nsComment = "OpenSSL Generated Certificate"
# PKIX рекомендации, безопасно если включены  все сертификаты.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# Это для subjectAltName и issuerAltname.
# Импортирование почтового адрес.
# subjectAltName=email:copy
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
[ v3_ca]
# Расширение для типичного CA
# Рекомендация PKIX.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
# Это то, что рекомендует PKIX, но некоторые  "неправильные" программы
# засоряют критическими расширениями
#basicConstraints = critical,CA:true
#Так мы делаем это вместо вышеприведенного.
basicConstraints = CA:true
# Ключевое использование: это типично для CA сертификатов. Однако, так как
# это предотвратит использование для проверки самоподписанных
# сертификатов, лучше по умолчанию это не учитывать.
# keyUsage = cRLSign, keyCertSign
# Некоторые могли бы хотеть также 
# nsCertType = sslCA, emailCA
# Включение почтового адреса в subject alt name: другая рекомендация PKIX
# subjectAltName=email:copy
# Копирование деталей запрашивающей стороны
# issuerAltName=issuer:copy
# RAW DER hex encoding of an extension: beware experts only!
# 1.2.3.5=RAW:02:03
# You can even override a supported extension:
# basicConstraints= critical, RAW:30:03:01:01:FF
[ crl_ext ]
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always

ЗАМЕЧАНИЕ. Файл "openssl.cnf" уже будет существовать на вашей системе, когда вы скомпилируете и проинсталлируете программу OpenSSL, и может быть найден в каталоге "/etc/ssl/". Вам не нужно менять все опции установленные по умолчанию в этом файле; обычно, достаточно внести изменения в секции [CA_default] и [req_distinguished_name].

Создание программы "/usr/bin/sign.sh"

Команда "openssl ca" имеет некоторые странные требования и конфигурация OpenSSL по умолчанию не позволяет легко использовать ее напрямую. Поэтому мы будем создавать программу "sign.sh", заменяющую собой "openssl ca".
Создайте программный файл sign.sh (touch /usr/bin/sign.sh) и добавьте в него следующие строки:

#!/bin/sh
##
## sign.sh -- Sign a SSL Certificate Request (CSR)
## Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
##
# argument line handling
CSR=$1
if [ $# -ne 1 ]; then
echo "Usage: sign.sign <whatever>.csr"; exit 1
fi
if [ ! -f $CSR ]; then
echo "CSR not found: $CSR"; exit 1
fi
case $CSR in
*.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;
* ) CERT="$CSR.crt" ;;
esac
# make sure environment exists
if [ ! -d ca.db.certs ]; then
mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null ca.db.index
fi
# create an own SSLeay config
cat >ca.config <<EOT
[ ca ]
default_ca = CA_own
[ CA_own ]
dir = /etc/ssl
certs = /etc/ssl/certs
new_certs_dir = /etc/ssl/ca.db.certs
database = /etc/ssl/ca.db.index
serial = /etc/ssl/ca.db.serial
RANDFILE = /etc/ssl/ca.db.rand
certificate = /etc/ssl/certs/ca.crt
private_key = /etc/ssl/private/ca.key
default_days = 365
default_crl_days = 30
default_md = md5
preserve = no
policy = policy_anything
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
EOT
# sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile /etc/ssl/certs/ca.crt $CERT
# cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old
# die gracefully
exit 0

Сейчас, сделаем эту программу исполняемой и изменим права доступа принятые по умолчанию:

ЗАМЕЧАНИЕ. Вы можете найти прогамму "sign.sh" в дистрибутиве mod_ssl в каталоге "mod_ssl-version/pkg.contrib/" или в нашем архиве floppy.tgz. Также заметим, что секция [CA_own] должна быть изменена в соответствии с вашим окружением и не забудьте изменит строку "openssl verify -Cafile /etc/ssl/certs/ca.crt $CERT".

Команды.

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить страницы руководства (man) и документацию, чтобы получить более подробную информацию.

Для примера, мы покажем вам как создавать сертификат для вашего Веб сервера Apache и/или ваш личный CA (Certifying Authority (подтверждение полномочий)) для подписания ваших "Certificate Signing Request".

ЗАМЕЧАНИЕ. Все команды перечисленные ниже выполняются в каталоге "/etc/ssl/".

1.1 Создание приватного ключа RSA защищенного парольной фразой для вашего сервера Apache.

Пожалуйста, создайте резервную копию файла server.key и запомните парольную фразу.

1.2 Создание Certificate Signing Request (CSR) с серверным приватным ключом RSA.

ЗАМЕЧАНИЕ. Убедитесь, что вы ввели FQDN (Полностью определенное доменное имя ("Fully Qualified Domain Name")) сервера, когда OpenSSL спросил вас о "CommonName" (например, когда вы создаете CSR для Веб сервера который будет позже доступен через https://www.mydomain.com/, введите www.mydomain.com).

После создания вашего Certificate Signing Request (CSR), у вас возникают два варианта:

Первый, это послать этот сертификат в коммерческие структуры Certifying Authority (CA), подобные Verisign или Thawte, для подписания. Вы обычно отправляете CSR через Веб форму, оплачиваете подписание, ждете Сертификата и запоминаете его в файле "server.crt". Результатом всех этих операций будет настоящий сертификат, который может быть использован с Apache.

Второй, вы можете использовать ваш собственный CA и затем самостоятельно подписывать CSR этим CA. Это решение экономично, и позволяет организации поддерживать собственный CA сервер и создавать так много сертификатов, как нужно для внутреннего использования без выплаты каких-нибудь денег коммерческим CA.

К сожалению использование ваших собственных CA для создания сертификатов создает ряд проблем в электронной коммерции, потому что заказчики должны иметь некоторое доверие вашей организации через использования признанных коммерческих CA. Смотрите ниже информацию о том, как самостоятельно подписать CSR собственным CA.

1.3 Создание вашего приватного ключа RSA (CA).

Сделайте резервную копию этого файла ca.key и запомните парольную фразу (pass-phrase), которую вы ввели.

1.4 Создание самоподписанного (CA) сертификата (структура x509) с ключом RSA из CA.

ЗАМЕЧАНИЕ. Команда "req" создает самоподписанный сертификат, когда используется переключатель -x509.

1.5 Подписание запросов сертификата. (Мы создаем и используем наш личный Certificate Authority (CA))

Приготовьте скрипт для подписания (он нужен, потому что команда "openssl ca'' имеет некоторые странные требования и по умолчанию конфигурация OpenSSL не позволяет ее легко использовать напрямую). Скрипт с именем sign.sh находится в нашем архиве flopy.tgz в каталоге openssl. Используйте этот скрипт для подписания.

Сейчас вы можете использовать CA для подписания CSR сервера, чтобы создать реальный сертификат для внутреннего использования в Веб сервере Apache (предполагаем, что вы уже имеете файл server.csr под рукой):

Сейчас мы имеем два файла: server.key и server.crt. Они могут быть использованы в конфигурационном файле httpd.conf Веб-сервера Apache следующим образом:

Файл server.csr больше не нужен.

ЗАМЕЧАНИЕ. Если вы получили сообщение об ошибке во время подписания сертификата, это потому что вы ввели неправильно FQDN ("Fully Qualified Domain Name") для сервера, когда OpenSSL запросил у вас "CommonName"; "CommonName" должен представлять из себя что-то подобное "my.domain.com" и не "domain.com". Также, так как вы создавали сертификат и CA сертификат, важно, чтобы хотя бы небольшая часть информации представленной в них отличалась, или вы можете столкнуться с проблемами во время подписания удостоверяющих запросов.

Организация защиты OpenSSL

Сделайте ваши ключи "Для чтения и записи" только для пользователя root. Это важно, потому что никому не нужно работать к ним. Для этого выполните следующие команды.

Некоторые варианты использования OpenSSL

OpenSSL может использоваться для:

1. Создания вашего сертификационного сервера.
2. Обеспечения конфиденциальности данных, целостности, аутентификации и электронных подписей при передачи для пользователей.
3. Безопасность электронных коммерческих транзакций.

Инсталлированные файлы

> /etc/ssl
> /etc/ssl/crl
> /etc/ssl/certs
> /etc/ssl/private
> /etc/ssl/openssl.cnf
> /usr/bin/openssl
> /usr/bin/c_rehash
> /usr/bin/sign.sh
> /usr/man/man1/verify.1
> /usr/man/man1/version.1
> /usr/man/man1/x509.1
> /usr/man/man3/BN_CTX_new.3
> /usr/man/man3/BN_CTX_start.3
> /usr/man/man3/BN_add.3
> /usr/man/man3/BN_add_word.3
> /usr/man/man3/BN_bn2bin.3
> /usr/bin/c_hash
> /usr/bin/c_info
> /usr/bin/c_issuer
> /usr/bin/c_name
> /usr/bin/der_chop
> /usr/include/openssl
> /usr/include/openssl/e_os.h
> /usr/include/openssl/e_os2.h
> /usr/include/openssl/crypto.h
> /usr/include/openssl/tmdiff.h
> /usr/include/openssl/opensslv.h
> /usr/include/openssl/opensslconf.h
> /usr/include/openssl/ebcdic.h
> /usr/include/openssl/md2.h
> /usr/include/openssl/md5.h
> /usr/include/openssl/sha.h
> /usr/include/openssl/mdc2.h
> /usr/include/openssl/hmac.h
> /usr/include/openssl/ripemd.h
> /usr/include/openssl/des.h
> /usr/include/openssl/rc2.h
> /usr/include/openssl/rc4.h
> /usr/include/openssl/rc5.h
> /usr/include/openssl/idea.h
> /usr/include/openssl/blowfish.h
> /usr/include/openssl/cast.h
> /usr/include/openssl/bn.h
> /usr/include/openssl/rsa.h
> /usr/include/openssl/dsa.h
> /usr/include/openssl/dh.h
> /usr/include/openssl/buffer.h
> /usr/include/openssl/bio.h
> /usr/include/openssl/stack.h
> /usr/include/openssl/safestack.h
> /usr/include/openssl/lhash.h
> /usr/include/openssl/rand.h
> /usr/include/openssl/err.h
> /usr/include/openssl/objects.h
> /usr/include/openssl/evp.h
> /usr/include/openssl/asn1.h
> /usr/include/openssl/asn1_mac.h
> /usr/include/openssl/pem.h
> /usr/include/openssl/pem2.h
> /usr/include/openssl/x509.h
> /usr/include/openssl/x509_vfy.h
> /usr/include/openssl/x509v3.h
> /usr/include/openssl/conf.h
> /usr/include/openssl/txt_db.h
> /usr/include/openssl/pkcs7.h
> /usr/include/openssl/pkcs12.h
> /usr/include/openssl/comp.h
> /usr/include/openssl/ssl.h
> /usr/include/openssl/ssl2.h
> /usr/include/openssl/ssl3.h
> /usr/include/openssl/ssl23.h
> /usr/include/openssl/tls1.h
> /usr/include/openssl/rsaref.h
> /usr/lib/libcrypto.a
> /usr/lib/libssl.a
> /usr/lib/libRSAglue.a
> /usr/man/man1/CA.pl.1
> /usr/man/man1/asn1parse.1
> /usr/man/man3/BN_cmp.3
> /usr/man/man3/BN_copy.3
> /usr/man/man3/BN_generate_prime.3
> /usr/man/man3/BN_mod_inverse.3
> /usr/man/man3/BN_mod_mul_montgomery.3
> /usr/man/man3/BN_mod_mul_reciprocal.3
> /usr/man/man3/BN_new.3
> /usr/man/man3/BN_num_bytes.3
> /usr/man/man3/BN_rand.3
> /usr/man/man3/BN_set_bit.3
> /usr/man/man3/BN_zero.3
> /usr/man/man3/CRYPTO_set_ex_data.3
> /usr/man/man3/DH_generate_key.3
> /usr/man/man3/DH_generate_parameters.3
> /usr/man/man3/DH_get_ex_new_index.3
> /usr/man/man3/DH_new.3
> /usr/man/man3/DH_set_method.3
> /usr/man/man3/DH_size.3
> /usr/man/man3/DSA_SIG_new.3
> /usr/man/man3/DSA_do_sign.3
> /usr/man/man3/DSA_dup_DH.3
> /usr/man/man3/DSA_generate_key.3
> /usr/man/man3/DSA_generate_parameters.3
> /usr/man/man3/DSA_get_ex_new_index.3
> /usr/man/man3/DSA_new.3
> /usr/man/man3/DSA_set_method.3
> /usr/man/man3/DSA_sign.3
> /usr/man/man3/DSA_size.3
> /usr/man/man3/ERR_GET_LIB.3
> /usr/man/man3/ERR_clear_error.3
> /usr/man/man3/ERR_error_string.3
> /usr/man/man3/ERR_get_error.3
> /usr/man/man3/ERR_load_crypto_strings.3
> /usr/man/man3/ERR_load_strings.3
> /usr/man/man3/ERR_print_errors.3
> /usr/man/man3/ERR_put_error.3
> /usr/man/man3/ERR_remove_state.3
> /usr/man/man3/EVP_DigestInit.3
> /usr/man/man3/EVP_EncryptInit.3
> /usr/man/man3/OPENSSL_VERSION_NUMBER.3
> /usr/man/man3/OpenSSL_add_all_algorithms.3
> /usr/man/man3/RAND_add.3
> /usr/man/man3/RAND_bytes.3
> /usr/man/man3/RAND_cleanup.3
> /usr/man/man3/RAND_egd.3
> /usr/man/man3/RAND_load_file.3
> /usr/man/man3/RAND_set_rand_method.3
> /usr/man/man3/RSA_blinding_on.3
> /usr/man/man3/RSA_check_key.3
> /usr/man/man3/RSA_generate_key.3
> /usr/man/man3/RSA_get_ex_new_index.3
> /usr/man/man3/RSA_new.3
> /usr/man/man3/RSA_padding_add_PKCS1_type_1.3
> /usr/man/man3/RSA_print.3
> /usr/man/man3/RSA_private_encrypt.3
> /usr/man/man3/RSA_public_encrypt.3
> /usr/man/man3/RSA_set_method.3
> /usr/man/man3/RSA_sign.3
> /usr/man/man3/RSA_sign_ASN1_OCTET_STRING.3
> /usr/man/man3/RSA_size.3
> /usr/man/man3/blowfish.3
> /usr/man/man3/bn.3
> /usr/man/man1/ca.1
> /usr/man/man1/ciphers.1
> /usr/man/man1/crl.1
> /usr/man/man1/crl2pkcs7.1
> /usr/man/man1/dgst.1
> /usr/man/man1/dhparam.1
> /usr/man/man1/dsa.1
> /usr/man/man1/dsaparam.1
> /usr/man/man1/enc.1
> /usr/man/man1/gendsa.1
> /usr/man/man1/genrsa.1
> /usr/man/man1/nseq.1
> /usr/man/man1/openssl.1
> /usr/man/man1/pkcs12.1
> /usr/man/man1/pkcs7.1
> /usr/man/man1/pkcs8.1
> /usr/man/man1/req.1
> /usr/man/man1/rsa.1
> /usr/man/man1/s_client.1
> /usr/man/man1/s_server.1
> /usr/man/man1/sess_id.1
> /usr/man/man1/smime.1
> /usr/man/man1/speed.1
> /usr/man/man1/spkac.1
> /usr/man/man3/bn_internal.3
> /usr/man/man3/buffer.3
> /usr/man/man3/crypto.3
> /usr/man/man3/d2i_DHparams.3
> /usr/man/man3/d2i_RSAPublicKey.3
> /usr/man/man3/dh.3
> /usr/man/man3/dsa.3
> /usr/man/man3/err.3
> /usr/man/man3/hmac.3
> /usr/man/man3/lh_stats.3
> /usr/man/man3/lhash.3
> /usr/man/man3/md5.3
> /usr/man/man3/mdc2.3
> /usr/man/man3/rand.3
> /usr/man/man3/rc4.3
> /usr/man/man3/ripemd.3
> /usr/man/man3/rsa.3
> /usr/man/man3/sha.3
> /usr/man/man3/threads.3
> /usr/man/man3/SSL_get_error.3
> /usr/man/man3/ssl.3
> /usr/man/man5/config.5
> /usr/man/man7/des_modes.7

Глава 16 Серверное программное обеспечение (Сетевой сервис шифрования) - FreeS/WAN VPN (часть 1) В этой главе Linux OPENSSL сервер Конфигурации Команды Организация защиты Openssl Linux FreeS/WAN VPN Настройка RSA private keys secrets Требования по настройке сети для IPSec Тестирование инсталляции

Linux FreeS/WAN VPN

Защита клиент-серверных соединений при помощи SSL отличный выбор, но иногда требуется безопасный канал, обеспечивающий полную конфиденциальность, аутентификацию и целостность данных между двумя межсетевыми экранами через Интернет. Для этого был создан IPSEC.

IPSEC - это Internet Protocol SECurity. Он использует сильную криптографию для обоих сервисов: аутентификации и шифрации. Аутентификация гарантирует что пакеты идут от правильного отправителя и не будут изменены при пересылке. Шифрование предотвращает неавторизованное чтение содержимого пакетов. IPSEC может защищать любые протоколы работающие поверх IP и любые среды передачи используемые под IP. IPSEC может также предоставлять некоторые сервисы безопасности в фоновом режиме, с невидимым для пользователя влиянием. Более того, он может защищать смешанные протоколы, запускаемы через комплексную комбинацию сред передачи (например, IMAP/POP и т.д.) без внесения в них изменений, так как шифрование идет на уровне IP.

Сервис IPSEC позволяет вам создавать безопасные туннели через небезопасные сети. Каждая передача через небезопасную сеть шифруется шлюзом IPSEC и расшифровывается шлюзом на другом конце. В результате возникает Виртуальная Приватная Сеть (Virtual Private Network) или VPN. Эта сеть является частной даже при том, что включает несколько машин объединенных небезопасным Интернет.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Ядро версии 2.2.14.
FreeS/WAN VPN версии 1.3

Пакеты.
Домашняя страница ядра Linux: http://www.kernelnotes.org/
Вы должны скачать: linux-2_2_14_tar.gz
Домашняя страница FreeS/WAN VPN: http://www.freeswan.org/
FTP сервер FreeS/WAN VPN: 194.109.6.26
Вы должны скачать: freeswan-1.3.tar.gz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции FreeS/WAN и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Freeswan1

После инсталляции:
find /* > Freeswan2

Для получения списка установленных файлов:
diff Freeswan1 Freeswan2 > Freeswan-Installed

Раскройте тарбол:

Предварительные требования.

Инсталляция IPSEC FreeS/WAN Virtual Private Network требует некоторой модификации в вашем оригинальном ядре, так как FreeS/WAN должен быть включен и зарегистрирован в вашем ядре перед тем как вы его используете. Из этих соображений первым шагом инсталляции FreeS/WAN будет переход в секцию "Ядро Linux" этой книги и следование инструкциям о том, как инсталлировать ядро на вашей и вернуться назад к секции "Linux FreeS/WAN VPN" (эта секция) после выполнения команд "make dep; make clean", но перед выполнение "make bzImage".

ПРЕДУПРЕЖДЕНИЕ: Очень рекомендуем, чтобы вы не компилировали что- нибудь в ядре с оптимизационными флагами, если вы планируете инсталлировать программное обеспечение FreeSWAN. Любые оптимизационные флаги добавленные в ядро Linux будут создавать сообщения об ошибках в FreeSWAN IPSEC. Все флаги документированные в главе 5, "Конфигурирование и Создание безопасного и оптимизированного ядра" применимы без каких-либо проблем со всем программным обеспечением описанном в книге за единственным исключением - FreeSWAN IPSEC. Так что повторюсь еще раз, не используйте оптимизационные опции и флаги в вашем ядре Linux, когда компилируете или патчите его для поддержки FreeSWAN.

Компиляция и добавление FreeS/WAN в ядро

Вы должны модифицировать "Makefile" в каталоге с исходными кодами FreeS/WAN и подкаталогах "utils", "klips/utils", "Pluto" и "lib", чтобы определить пути для инсталляции. Мы должны модифицировать эти файлы, чтобы расположение файлов соответствовало структуре файловой системы Red Hate и чтобы после инсталляции они попадали под нашу переменную окружения PATH.

Переместитесь в верхний уровень нового каталога с исходными кодами FreeS/WAN и введите следующие команды на вашем терминале:
Редактируйте файл Makefile (vi Makefile) и сделайте в нем следующие изменения:

PUBDIR=/usr/local/sbin
Должен быть:
PUBDIR=/usr/sbin

PRIVDIR=/usr/local/lib/ipsec
Должен быть:
PRIVDIR=/usr/lib/ipsec

FINALPRIVDIR=/usr/local/lib/ipsec
Должен быть:
FINALPRIVDIR=/usr/lib/ipsec

MANTREE=/usr/local/man
Должен быть:
MANTREE=/usr/man

Редактируйте файл Makefile в подкаталоге "utils" (vi utils/Makefile) и сделайте в нем следующие изменения:

PUBDIR=/usr/local/sbin
Должен быть:
PUBDIR=/usr/sbin

PRIVDIR=/usr/local/lib/ipsec
Должен быть:
PRIVDIR=/usr/lib/ipsec

FINALPRIVDIR=/usr/local/lib/ipsec
Должен быть:
FINALPRIVDIR=/usr/lib/ipsec

MANTREE=/usr/local/man
Должен быть:
MANTREE=/usr/man

Редактируйте файл Makefile в подкаталоге "klips/utils" (vi klips/utils/Makefile) и сделайте в нем следующие изменения:

BINDIR=/usr/local/lib/ipsec
Должен быть:
BINDIR=/usr/lib/ipsec

MANTREE=/usr/local/man
Должен быть:
MANTREE=/usr/man

Редактируйте файл Makefile в подкаталоге "pluto" (vi pluto/Makefile) и сделайте в нем следующие изменения:

BINDIR=/usr/local/lib/ipsec
Должен быть:
BINDIR=/usr/lib/ipsec

MANTREE=/usr/local/man
Должен быть:
MANTREE=/usr/man

Редактируйте файл Makefile в подкаталоге "lib" (vi lib/Makefile) и сделайте в нем следующие изменения:

MANTREE=/usr/local/man
Должен быть:
MANTREE=/usr/man

Редактируйте файл Makefile в подкаталоге "libdes" (vi libdes/Makefile и сделайте в нем следующие изменения:

LIBDIR=/usr/local/lib
Должен быть:
LIBDIR=/usr/lib

BINDIR=/usr/local/bin
Должен быть:
BINDIR=/usr/bin

INCDIR=/usr/local/include
Должен быть:
INCDIR=/usr/include

MANDIR=/usr/local/man
Должен быть:
MANDIR=/usr/man

Сейчас мы должны скомпилировать и проинсталлировать FreeSWAN на сервере:

Команды "make insert" создает символическую ссылку "/usr/src/linux/net/ipsec" на подкаталог с исходными кодами KLIPS, патчит некоторых файлов ядра, добавляет конфигурацию по умолчанию в конфигурационный файл ядра и в заключении создает коммуникационный файл KLIPS - "/dev/ipsec", если его еще нет. Команда "make programs" создает библиотеки, Pluto и различные пользовательские утилиты. "make install" будет инсталлировать демон Pluto и утилиты и делать их запускаемыми при загрузке системы.

Переконфигурирование и инсталляция ядра с поддержкой FreeS/WAN VPN

Сейчас, мы должны вернуться в каталог "/usr/src/linux" и выполнить следующие команды для реконфигурирования ядра с поддержкой FreeS/WAN:

Первое, что надо сделать - это включить поддержку FreeS/WAN в ядре. В версии 2.2.14 ядра, новая секция, связанная с frees/WAN VPN, называется "IPSec options (FreeS/WAN)". Вам нужно ответить Y на следующие вопросы.

ЗАМЕЧАНИЕ. Все настройки, которые вы сделали в различных секциях ядра до первого запуска команд "make config", "make dep" и "make clean" будут сохранены. Поэтому необходимо настроить только раздел "IPSec options (FreeS/WAN)" так, как это описано выше.

Некоторые параметры настройки сети включаются автоматически, даже если вы выключили их. Это связано с тем, что IPSEC нуждается в них. Какой бы ни была программа конфигурирования ядра, вы должны обратить внимание на некоторые проблемы. В частности, проверьте чтобы не были отключены следующие опции из секции "Сетевые опции":

Компиляция и инсталляция нового ядра с поддержкой FreeS/WAN

Сейчас мы включили поддержку FreeS/WAN VPN в ядре и мы можем его компилировать и инсталлировать.

Возвращаемся в каталог "/usr/src/linux" и запускаем следующие команды:

После окончания их работы, следуйте за инструкциями, приведенными в главе 5 "Конфигурирование и создание безопасного и оптимизированного ядра" для нормальной инсталляции нового ядра. После того, как вы проинсталлируете новый образ ядра, system.map, модули (если нужно) и определите в файл lilo.conf загрузку нового ядра, нужно редактировать и настроить конфигурационные файлы связанные с FreeS/WAN "ipsec.conf" и "ipsec.secrets" перед перезагрузкой системы.

Очистка после работы

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции FreeS/WAN. Также будет удален сжатый архив FreeS/WAN из каталога "/var/tmp".

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл связанные с FreeSWAN из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска FreeSWAN следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл ipsec.conf в каталог "/etc".
Копируйте файл ipsec.secrets в каталог "/etc".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Настройка файла "/etc/ipsec.conf"

Конфигурационный файл FreeS/WAN "/etc/ipsec.conf" позволяет вам настраивать вашу конфигурацию IPSEC, контролируя информацию и типы соединений. IPSEC сейчас поддерживает два типа соединений: снабжаемые ключами вручную и автоматически снабжаемые ключами. Соединения снабжаемые ключами вручную используют ключи, хранящиеся в файле "/etc/ipsec.conf". Этот тип соединений менее безопасен чем соединения автоматически снабжаемые ключами, которые используют ключи автоматически создаваемые демоном согласования ключей Pluto. Протокол согласования ключей, используемый по умолчанию и называемый IKE, устанавливает подлинность других систем используя совместный секрет, хранящийся в файле "/etc/ipsec.secrets". Мы будем использовать соединения автоматически снабжаемые ключами, так как они более безопасные чем их ручной аналог.

В нашем примерном конфигурационном файле приведенном ниже, мы настраиваем проходящий через брандмауэр туннель, и принимаем, что сетевой брандмауэр корректно работает на обоих концах туннеля. Мы выбрали эту конфигурацию, так как она представляется нам наиболее универсальной, пригодной для большинства пользователей. Также, она позволяет нам поиграться с большим числом опций конфигурационного файла "ipsec.conf".

Существуют другие конфигурации и вы можете прочитать файлы из подкаталога "doc/examples" для получения большей информации о них.

SubnetDeep==Deep--Deepgate.................Mailgate--Mail==SubnetMail
                            Untrusted net

leftsubnet = SubnetDeep (192.168.1.0/24)
left = Deep (deep.openna.com)
leftnexthop = Deepgate (первый маршрутизатор в направлении или маршрутизатор провайдера для deep.openna.com)
Internet = Untrusted net
rightnexthop = Mailgate (первый маршрутизатор в направлении или маршрутизатор провайдера для mail.openna.com)
right = Mail (mail.openna.com)
rightsubnet = SubnetMail (192.168.1.0/24)

      SubnetDeep
\   192.168.1.0/24   /
+--------------------+
          |
         Deep
\   208.164.186.1    /
+--------------------+
          |
       Deepgate
\   205.151.222.250  /
+--------------------+
          |
    I N T E R N E T
          |
       Mailgate
/  205.151.222.251 \
+-------------------+
          |
         Mail
/  208.164.186.2  \
+------------------+
          |
      SubnetMail
 /  192.168.1.0/24 \
+-------------------+

SubnetDeep - это IP адрес вашей внутренней приватной сети за первым шлюзом. eth1 подсоединен в внутренней сети.
Deep - это IP адрес первого шлюза. eth0 подсоединен к Интернет.
Deepgate - это IP адрес первого маршрутизатора в направлении вашего второго шлюза (mail.openna.com) или маршрутизатора вашего провайдера.
INTERNET - небезопасная сеть.
Mailgate - это IP адрес второго маршрутизатора в направлении вашего первого шлюза (deep.openna.com) или маршрутизатора вашего провайдера.
Mail - это IP адрес второго шлюза. eth0 подсоединен к Интернет.
SubnetMail - это IP адрес вашей внутренней приватной сети за вторым шлюзом. eth1 подсоединен в внутренней сети.

Мы должны редактировать файл ipsec.conf (vi /etc/ipsec.conf) и изменить значения принятые по умолчанию на то, что нам нужно. Существует два типа секций в этом файле (/etc/ipsec.conf): секция "config", которая определяет общую информацию для IPSEC, и секция "conn", которая определяет параметры IPSEC соединений. Он не содержит информации связанной с безопасностью если не используется ручное снабжение ключами (напоминаем, ручное снабжение ключами не рекомендуется из соображений безопасности).

Секции первого типа, называемые config setup, является единственным разделом содержащим полные параметры установки для IPSEC, которые применяются ко всем соединениям, и информацию используемую при запуске программного обеспечения.

Второй тип, называемый conn, содержит технические требования сетевых соединений осуществляемых при помощи IPSEC. Имя данное этому разделу произвольно, и просто используется для идентификации соединений с ipsec_auto(8) и ipsec_manual(8).

# /etc/ipsec.conf - конфигурационный файл FreeS/WAN IPSEC
# Более детальные и более разнообразные примеры конфигураций могут 
# быть найдены в doc/examples.
# Общая конфигурация
config setup
   interfaces="ipsec0=eth0"
   klipsdebug=none
   plutodebug=none
   plutoload=%search
   plutostart=%search
# образцы соединений
conn deep-mail
   left=208.164.186.1
   leftsubnet=192.168.1.0/24
   leftnexthop=205.151.222.250
   right=208.164.186.2
   rightsubnet=192.168.1.0/24
   rightnexthop=205.151.222.251
   keyingtries=0
   auth=ah
   auto=start

где:

interfaces="ipsec0=eth0"
Эта опция определяет какие соответствующие виртуальные и физические интерфейсы используются для IPSEC. Установка по умолчанию, "interfaces=%defaultroute", будет определять ваше соединение с Интернет или с вашей корпоративной сетью. Также, вы можете именовать один или больше интерфейсов для использования с FreeS/WAN. Например:
interfaces="ipsec0=eth0"
interfaces="ipsec0=eth0 ipsec1=ppp0"
Обе строки определяют интерфейс eth0 как ipsec0. Кроме того, вторая также устанавливает поддержку IPSEC через интерфейс PPP. Если установка по умолчанию "interfaces=%defaultroute" не используется, тогда заданный интерфейс будет только один - это шлюзовая машина, которая используется для обмена информации с другим IPSEC шлюзом.

klipsdebug=none
Эта опция определяет отладочный вывод для KLIPS (ядро кода IPSEC). Значение по умолчанию - none, означающее отсутствие вывода отладочной информации, all обозначает вывод всей отладочной информации.

plutodebug=none
Это опция определяет вывод отладочной информации для демона согласования ключей Pluto. Значения принимаемые этой опцией аналогичны klipsdebug.

plutoload=%search
Эта опция определяет какие соединения (по именам) загружаются автоматически в память, когда запускается Pluto. По умолчанию - none, значение %search загружает все соединения с auto=add или auto=start.

plutostart=%search
Эта опция определяет какие соединения (по именам) устанавливаются автоматически, когда запускается Pluto. По умолчанию - none, значение %search устанавливает все соединения с auto=start.

conn deep-mail
Эта опция задает имя, выступающее идентификатором соединения, которое может быть использовано IPSEC. Хорошим решением будет именовать соединения по их конечным точкам для предотвращения ошибок. Например, связь между deep.openna.com и mail.openna.com может быть названа "deep-mail", или связь между вашими офисам в Монреале и Париже - "montreal-paris". Заметим, что имя "deep-mail" или то, что вы выбрали в качестве имени должно совпадать на обоих шлюзах. Другими словами, единственным изменением, которое вы должны сделать в файле "/etc/ipsec.conf" на втором шлюзе должно быть изменение строки "interfaces=" на соответствующий интерфейс второго шлюза, использующего IPSEC соединение, если, конечно, это отличается от первого шлюза. Например, если интерфейс eth0 используется на обоих шлюзах для IPSEC, вам не нужно изменять строку "interfaces=" на втором шлюзе. С другой стороны, если первый шлюз использует eth0, а второй eth1, то вы должны изменить строку "interfaces=" на втором шлюзе на eth1.

left=208.164.186.1
Эта опция задает IP адрес внешнего интерфейса шлюза, используемого для общения с другим шлюзом.

leftsubnet=192.168.1.0/24
Эта опция определяет IP адрес приватной подсети находящейся за шлюзом.

leftnexthop=205.151.222.250
Эта опция определяет IP адрес первого маршрутизатора в требуемом направлении или маршрутизатора провайдера.

right=208.164.186.2
Это тоже, что и "left=", но для правого пункта назначения.

rightsubnet=192.168.1.0/24
Это тоже, что и "leftsubnet=", но для правого пункта назначения.

rightnexthop=205.151.222.251
Это тоже, что и "leftnexthop=", но для правого пункта назначения.

keyingtries=0
Эта опция определяет как много попыток (целое число) может быть сделано при переговорах об используемых ключах. По умолчанию равно 0 (постоянный повтор), что рекомендуется и оставить.

auth=ah
Эта опция определяет должна ли аутентификация осуществляться независимо, используя AH (Authentication Header), или включается как часть ESP (Encapsulated Security Payload) сервиса. Это предпочтительно, когда IP заголовки незащищены для предотвращения атак типа man-in-the-middle.

auto=start
Эта опция определяет должна ли быть выполнена автоматически операция запуска, когда запускается IPSEC.

ЗАМЕЧАНИЕ. Несоответствие данных в этом конфигурационном файле "ipsec.conf" будет заставлять FreeS/WAN фиксировать различные сообщения об ошибках.

Настройка файла "/etc/ipsec.secrets"

В файле "ipsec.secrets" хранятся секреты используемые демоном pluto для установления подлинности передачи между шлюзами. Может быть настроено два типа секретов preshared секреты и приватные ключи RSA. Вы должны проверить, чтобы владельцем файла был "root" и только он должен иметь право доступа к файлу.

Пример секрета поставляется в файле "ipsec.secrets" по умолчанию. Вы должны изменить его на свой собственный. С автоматической поддержкой ключей вы можете разделять секрет до 256 бит, которые затем используются во время обмена ключами, чтобы не происходили атаки man-in-the-middle.
Для создания общего секрета используйте команду:

Сейчас будут созданы случайные ключи при помощи утилиты ranbits(8) в файл с именем "temp". Утилита ranbits может приостанавливаться на несколько секунд если не было доступно немедленно достаточно энтропии.

ЗАМЕЧАНИЕ. Не забудьте удалить временный файл как только закончите все манипуляции с ним.

Сейчас, наш общий секретный ключ созданный в файле "temp", мы должны положить в файл "/etc/ipsec.secrets". Когда вы редактируете файл "ipsec.secrets" вы должны видеть нечто подобное в вашем текстовом редакторе. Каждая строка содержит IP адреса двух шлюзов и секрет:

# Этот файл хранит общий секрет, который сейчас используется только для
# внутреннего механизма аутентификации Pluto. Смотрите страницу
# руководства ipsec_pluto(8). Каждый секрет (немного упрощенный) для одной
# пары договаривающихся хостов. Общий секрет это длинная и сложная для
# угадывания произвольная символьная строка
# Заметим, что все секреты должны быть заключены в кавычки, даже если они
# не имеют в своем составе пробелов.
10.0.0.1 11.0.0.1 "jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2
WjjRRnulmlkmU1Run5VSnnRT"

Редактируйте файл ipsec.secrets (vi /etc/ipsec.secrets) и измените секретный ключ принятый по умолчанию:

10.0.0.1 11.0.0.1 "jxVS1kVUTTulkVRRTnTujSm444jRuU1mlkklku2nkW3nnVuV2WjjRRnulmlkmU1Run5VSnnRT"
Должен быть:
208.164.186.1 208.164.186.2 "0x9748cc31_2e99194f_d230589b_cd846b57_dc070b01_74b66f34_19c40a1a_804906ed"

где "208.164.186.1" и "208.164.186.2" IP адреса двух шлюзов и "0x9748cc31_2e99194f_d230589b_cd846b57_dc070b01_74b66f34_19c40a1a_8049 06ed" (кавычки обязательно нужны) - общий ключ, который мы создали командой "ipsec ranbits 256 > temp" в файле "temp".

Файлы "ipsec.conf" и "ipsec.secrets" должны быть скопированы на второй шлюз, так, чтобы они были идентичны на обоих концах. Только одно исключение может быть в секции с меткой config setup, где должен быть указан правильный интерфейс. Файл "ipsec.secrets" должен иметь абсолютно одинаковые секреты на обоих шлюзах.

ЗАМЕЧАНИЕ. Файл "/etc/ipsec.secrets" должен иметь права доступа rw------- (600) и его владельцем должен быть пользователь "root". Файл "/etc/ipsec.conf" инсталлируется с правами rw-r--r- (644) и его владельцем также является суперпользователь "root".

Настройка тайного секретного ключа RSA

Напомним, что сейчас FreeSWAN имеет два типа секретов: предварительно разделенные секреты и приватные ключи RSA. Предварительно разделенные секреты, которые настраиваются в наших файлах "ipsec.conf" и "ipsec.secrets", мы рассмотрели выше. Некоторые люди предпочитают использовать приватные ключи RSA для аутентификации других хостов через Pluto демон. Если вы находитесь в этой ситуации, то надо будет сделать некоторые изменения в файлах "ipsec.conf" и "ipsec.secrets", как описано ниже:

Вам нужно создать независимый RSA ключ для каждого шлюза. Каждый из них хранит этот ключ в своем файле "ipsec.secrets", а публичный ключ перемещается в параметры "leftrsasigkey" и "rightrsasigkey" секции conn файла "ipsec.conf", который одинаков для обоих шлюзах.

Создайте независимый ключ RSA для каждого из шлюзов.
На первом шлюзе (например, deep) используйте команду:

На втором шлюзе (например, mail) используйте команду:

Утилита rsasigkey создает пару RSA ключей (публичный и приватный) из 1024- bit сигнатуры, и помещает их в файл deep-keys (mail-keys для второй команды на втором шлюзе). Приватный ключ может быть дословно вставлен в файл "ipsec.secrets", а публичный ключ в файл "ipsec.conf".

ЗАМЕЧАНИЕ. Утилита rsasigkey во время своей работы может остановиться на несколько секунд если ей не хватает энтропии. Вы можете добавить ее перемещая случайным образом мышь.

Временные файлы RSA "deep-keys" и "mail-keys" должны быть удалены, как только вы закончите работать с ними.

Изменим ваш файл "/etc/ipsec.conf" для использования публичного ключа RSA на каждом шлюзе.
Редактируйте оригинальный файл ipsec.conf (vi /etc/ipsec.conf) и добавьте в него следующие параметры связанные с RSA в секцию conn на обоих шлюзах:

# образец соединения
conn deep-mail
   left=208.164.186.1
   leftsubnet=192.168.1.0/24
   leftnexthop=205.151.222.250
   right=208.164.186.2
   rightsubnet=192.168.1.0/24
   rightnexthop=205.151.222.251
   keyingtries=0
   auth=ah
   authby=rsasig
   leftrsasigkey=<Public key of deep>
   rightrsasigkey=<Public key of mail>
   auto=start

authby=rsasig
Этот параметр определяет как два шлюза безопасности должны устанавливать подлинность друг друга. Значение по умолчанию этого параметра - shared secrets. Мы должны определить rsasig для RSA, так как мы решили использовать цифровые подписи RSA.

leftrsasigkey=<Public key of deep>
Этот параметр определяет публичный ключ для RSA сигнатуры левого участника. В нашем примере, левый - 208.164.186.1, и представляет deep.openna.com, так что мы должны поместить публичный ключ RSA для deep в этой строке.

rightrsasigkey=<Public key of mail>
Этот параметр определяет публичный ключ для RSA сигнатуры правого участника. В нашем примере, правый - 208.164.186.2, и представляет mail.openna.com, , так что мы должны поместить публичный ключ RSA для mail в этой строке.

Мы можем найти публичный ключ для deep в файле "deep-keys", а для mail в "mail-keys". Эти файлы мы получили на первом шаге. Их содержимое выглядит следующим образов:
Ключи RSA для шлюза deep (deep-keys):

[root@deep /]# cd /
[root@deep /]# vi deep-keys
      # 1024 bits, Fri Feb 4 05:05:19 2000
      # for signatures only, UNSAFE FOR ENCRYPTION
      #pubkey=0x010395daee1be05f3038ae529ef2668afd79f5ff1b16203c9ceaef801cea9cb74bcfb51a6e
cc08890d3eb4b5470c0fc35465c8ba2ce9d1145ff07b5427e04cf4a38ef98a7f29edcb4d7689f2da7a69199e
4318b4c8d0ea25d33e4f084186a2a54f4b4cec12cca1a5deac3b19d561c16a76bab772888f1fd71aa08f085
02a141b611f
       Modulus:
0x95daee1be05f3038ae529ef2668afd79f5ff1b16203c9ceaef801cea9cb74bcfb51a6ecc08890d3eb4b5470c0
fc35465c8ba2ce9d1145ff07b5427e04cf4a38ef98a7f29edcb4d7689f2da7a69199e4318b4c8d0ea25d33e4f0
84186a2a54f4b4cec12cca1a5deac3b19d561c16a76bab772888f1fd71aa08f08502a141b611f
        PublicExponent: 0x03
        # everything after this point is secret
        PrivateExponent:
0x63e74967eaea2025c98c69f6ef0753a6a3ff6764157dbdf1f50013471324dd352366f48805b0b37f232384b2
b52ce2ee85d173468b62eaa052381a9588a317b3a1324d01a531a41fa7add6c5efbdd88f4718feed2bc0246b
e924e81bb90f03e49ceedf7af0dd48f06f265b519600bd082c6e6bd27eaa71cc0288df1ecc3b062b
        Prime1:
0xc5b471a88b025dd09d4bd7b61840f20d182d9b75bb7c11eb4bd78312209e3aee7ebfe632304db6df5e211d
21af7fee79c5d45546bea3ccc7b744254f6f0b847f
        Prime2:
0xc20a99feeafe79767122409b693be75f15e1aef76d098ab12579624aec708e85e2c5dd62080c3a64363f2f4
5b0e96cb4aef8918ca333a326d3f6dc2c72b75361
        Exponent1:
0x83cda11b0756e935be328fcebad5f6b36573bcf927a80bf2328facb6c0697c9eff2a9976cade79ea3ec0be16
74fff4512e8d8e2f29c2888524d818df9f5d02ff
       Exponent2:
0x815c66a9f1fefba44b6c2b124627ef94b9411f4f9e065c7618fb96dc9da05f03ec83e8ec055d7c42ced4ca2e7
5f0f3231f5061086ccd176f37f9e81da1cf8ceb
       Coefficient:
0x10d954c9e2b8d11f4db1b233ef37ff0a3cecfffad89ba5d515449b007803f577e3bd7f0183ceddfd805466d62f
767f3f5a5731a73875d30186520f1753a7e325

Ключи RSA для шлюза mail (mail-keys):

[root@mail /]# cd /
[root@mail /]# vi mail-keys
      # 1024 bits, Fri Feb 4 04:46:59 2000
      # for signatures only, UNSAFE FOR ENCRYPTION
      #pubkey=0x01037631b81f00d5e6f888c542d44dbb784cd3646f084ed96f942d341c7c4686cbd405b8
05dc728f8697475f11e8b1dd797550153a3f0d4ff0f2b274b70a2ebc88f073748d1c1c8821dc6be6a2f0064f
3be7f8e4549f8ab9af64944f829b014788dd202cf7d2e320cab666f5e7a197e64efe0bfee94e92ce4dad82d5
230c57b89edf
      Modulus:
0x7631b81f00d5e6f888c542d44dbb784cd3646f084ed96f942d341c7c4686cbd405b805dc728f8697475f11e8
b1dd797550153a3f0d4ff0f2b274b70a2ebc88f073748d1c1c8821dc6be6a2f0064f3be7f8e4549f8ab9af64944f
829b014788dd202cf7d2e320cab666f5e7a197e64efe0bfee94e92ce4dad82d5230c57b89edf
     PublicExponent: 0x03
     # everything after this point is secret
     PrivateExponent:
0x4ecbd014ab3944a5b08381e2de7cfadde242f4b03490f50d737812fd8459dd3803d003e84c5faf0f84ea0bf0
7693a64e35637c2a08dff5f721a324b1747db09f62c871d5e11711251b845ae76753d4ef967c494b0def4f5d07
62f65da603bc04c41b4c6cab4c413a72c633b608267ae2889c162a3d5bc07ee083b1c6e038400b
      Prime1:
0xc7f7cc8feaaac65039c39333b878bffd8f95b0dc22995c553402a5b287f341012253e9f25b83983c936f6ca51
2926bebee3d5403bf9f4557206c6bbfd9aac899
      Prime2:
0x975015cb603ac1d488dc876132d8bc83079435d2d3395c03d5386b5c004eadd4d7b01b3d86aad0a2275d2
d6b791a2abe50d7740b7725679811a32ca22db97637
      Exponent1:
0x854fddb5471c84357bd7b777d0507ffe5fb92092c1bb92e37801c3cc5aa22b5616e29bf6e7ad1028624a486
e0c619d47f428e2ad2a6a2e3a159d9d2a911c85bb
      Exponent2:
0x64e00e87957c81385b3daf9621e5d302050d7937377b92ad38d04792aadf1e8de52012290471e06c1a3e1
e47a61171d435e4f807a4c39a6561177316c9264ecf
      Coefficient:
0x6f087591becddc210c2ee0480e30beeb25615a3615203cd3cef65e5a1d476fd9602ca0ef10d9b858edb22db
42c975fb71883a470b43433a7be57df7ace4a0a3f

Извлеките и скопируйте публичный RSA ключ для deep и mail в ваши файлы "ipsec.conf", как это показано ниже. Вы можете определит строки связанные с публичным ключом как начинающиеся с закомментированной строки: "#pubkey=".

# образец соединения
conn deep-mail
   left=208.164.186.1
   leftsubnet=192.168.1.0/24
   leftnexthop=205.151.222.250
   right=208.164.186.2
   rightsubnet=192.168.1.0/24
   rightnexthop=205.151.222.251
   keyingtries=0
   auth=ah
   authby=rsasig
   leftrsasigkey=0x010395daee1be05f3038ae529ef2668afd79f5ff1b16203c9ceaef801cea9cb74bcfb5
   1a6ecc08890d3eb4b5470c0fc35465c8ba2ce9d1145ff07b5427e04cf4a38ef98a7f29edcb4d7689f2d
   a7a69199e4318b4c8d0ea25d33e4f084186a2a54f4b4cec12cca1a5deac3b19d561c16a76bab77288
   8f1fd71aa08f08502a141b611f
   rightrsasigkey=0x01037631b81f00d5e6f888c542d44dbb784cd3646f084ed96f942d341c7c4686cbd
   405b805dc728f8697475f11e8b1dd797550153a3f0d4ff0f2b274b70a2ebc88f073748d1c1c8821dc6b
   e6a2f0064f3be7f8e4549f8ab9af64944f829b014788dd202cf7d2e320cab666f5e7a197e64efe0bfee94
   e92ce4dad82d5230c57b89edf
   auto=start

Не забудьте, что в нашем примере, параметр "leftrsasigkey=" содержит публичный ключ для и параметр "rightrsasigkey=" содержит публичный ключ для mail.

Модифицируйте ваш файл "/etc/ipsec.secrets" для использования приватного ключа RSA на каждом шлюзе.
Редактируйте оригинальный файл ipsec.secrets (vi /etc/ipsec.secrets) и добавьте в него приватный ключ RSA для подтверждения подлинности обоих шлюзов:
Файл "ipsec.secrets" для шлюза deep:

[root@deep /]# vi /etc/ipsec.secrets
208.164.186.1 208.164.186.2 
"0x9748cc31_2e99194f_d230589b_cd846b57_dc070b01_74b66f34_19c40a1a_804906ed"

Вы должны изменить ваш оригинальный файл "ipsec.secrets" как это показано ниже на обоих шлюзах. Важно заметить, что приватные ключи не совпадают на deep и mail. Приватный ключ для deep берем из файла "deep-keys", а приватный ключ для mail из "mail-keys":

208.164.186.1 208.164.186.2: RSA {
       Modulus:
0x95daee1be05f3038ae529ef2668afd79f5ff1b16203c9ceaef801cea9cb74bcfb51a6ecc08890d3eb4b5470c0
fc35465c8ba2ce9d1145ff07b5427e04cf4a38ef98a7f29edcb4d7689f2da7a69199e4318b4c8d0ea25d33e4f0
84186a2a54f4b4cec12cca1a5deac3b19d561c16a76bab772888f1fd71aa08f08502a141b611f
       PublicExponent: 0x03
       # everything after this point is secret
       PrivateExponent:
0x63e74967eaea2025c98c69f6ef0753a6a3ff6764157dbdf1f50013471324dd352366f48805b0b37f232384b2
b52ce2ee85d173468b62eaa052381a9588a317b3a1324d01a531a41fa7add6c5efbdd88f4718feed2bc0246b
e924e81bb90f03e49ceedf7af0dd48f06f265b519600bd082c6e6bd27eaa71cc0288df1ecc3b062b
       Prime1:
0xc5b471a88b025dd09d4bd7b61840f20d182d9b75bb7c11eb4bd78312209e3aee7ebfe632304db6df5e211d
21af7fee79c5d45546bea3ccc7b744254f6f0b847f
       Prime2:
0xc20a99feeafe79767122409b693be75f15e1aef76d098ab12579624aec708e85e2c5dd62080c3a64363f2f4
5b0e96cb4aef8918ca333a326d3f6dc2c72b75361
       Exponent1:
0x83cda11b0756e935be328fcebad5f6b36573bcf927a80bf2328facb6c0697c9eff2a9976cade79ea3ec0be16
74fff4512e8d8e2f29c2888524d818df9f5d02ff
       Exponent2:
0x815c66a9f1fefba44b6c2b124627ef94b9411f4f9e065c7618fb96dc9da05f03ec83e8ec055d7c42ced4ca2e7
5f0f3231f5061086ccd176f37f9e81da1cf8ceb
       Coefficient:
0x10d954c9e2b8d11f4db1b233ef37ff0a3cecfffad89ba5d515449b007803f577e3bd7f0183ceddfd805466d62f
767f3f5a5731a73875d30186520f1753a7e325
       }

Файл "ipsec.secrets" для шлюза mail:

[root@mail /]# vi /etc/ipsec.secrets
208.164.186.1 208.164.186.2: RSA {
        Modulus:
0x95daee1be05f3038ae529ef2668afd79f5ff1b16203c9ceaef801cea9cb74bcfb51a6ecc08890d3eb4b5470c0
fc35465c8ba2ce9d1145ff07b5427e04cf4a38ef98a7f29edcb4d7689f2da7a69199e4318b4c8d0ea25d33e4f0
84186a2a54f4b4cec12cca1a5deac3b19d561c16a76bab772888f1fd71aa08f08502a141b611f
        PublicExponent: 0x03
        # everything after this point is secret
        PrivateExponent:
0x63e74967eaea2025c98c69f6ef0753a6a3ff6764157dbdf1f50013471324dd352366f48805b0b37f232384b2
b52ce2ee85d173468b62eaa052381a9588a317b3a1324d01a531a41fa7add6c5efbdd88f4718feed2bc0246b
e924e81bb90f03e49ceedf7af0dd48f06f265b519600bd082c6e6bd27eaa71cc0288df1ecc3b062b
        Prime1:
0xc5b471a88b025dd09d4bd7b61840f20d182d9b75bb7c11eb4bd78312209e3aee7ebfe632304db6df5e211d
21af7fee79c5d45546bea3ccc7b744254f6f0b847f
        Prime2:
0xc20a99feeafe79767122409b693be75f15e1aef76d098ab12579624aec708e85e2c5dd62080c3a64363f2f4
5b0e96cb4aef8918ca333a326d3f6dc2c72b75361
        Exponent1:
0x83cda11b0756e935be328fcebad5f6b36573bcf927a80bf2328facb6c0697c9eff2a9976cade79ea3ec0be16
74fff4512e8d8e2f29c2888524d818df9f5d02ff
        Exponent2:
0x815c66a9f1fefba44b6c2b124627ef94b9411f4f9e065c7618fb96dc9da05f03ec83e8ec055d7c42ced4ca2e7
5f0f3231f5061086ccd176f37f9e81da1cf8ceb
        Coefficient:
0x10d954c9e2b8d11f4db1b233ef37ff0a3cecfffad89ba5d515449b007803f577e3bd7f0183ceddfd805466d62f
767f3f5a5731a73875d30186520f1753a7e325
        }

Аутентификация с использованием RSA сигнатур требует, чтобы каждый хост имел собственный приватный ключ. Начальная часть ключа может содержать признак, характеризующий тип ключа. "RSA" обозначает приватный ключ RSA и "PSK" (который принят по умолчанию) обозначает PreShared ключ. Так как "PSK" принимается по умолчанию, мы должны задать "RSA", определяя использования приватного ключа RSA в этом файле (ipsec.secrets). Только суперпользователь "root" должен владеть файлом "ipsec.secrets", и для всех остальных любой доступ к нему должен быть заблокирован.

Глава 16 Серверное программное обеспечение (Сетевой сервис шифрования) - FreeS/WAN VPN (часть 2) В этой главе Linux OPENSSL сервер Конфигурации Команды Организация защиты Openssl Linux FreeS/WAN VPN Настройка RSA private keys secrets Требования по настройке сети для IPSec Тестирование инсталляции

Требования по настройке сети для IPSec

Здесь приводятся некоторые вещи, которые вы должны проверить для корректной работы FreeS/WAN. Они важны, если вы не хотите получить сообщения об ошибке при запуске VPN.

Вам нужно включить TCP/IP forwarding на обоих шлюзах. В Red Hat Linux, это в зависимости от версии делается так:

Для Red Hat Linux 6.1

Редактируйте файл network (vi /etc/sysconfig/network) и измените следующую строку:
FORWARD_IPV4="false"
Должна быть:
FORWARD_IPV4="yes"

Вы должны перезапустить настройки сети, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/network restart
Bringing up interface lo       [ OK ]
Bringing up interface eth0     [ OK ]
Bringing up interface eth1     [ OK ]

Для Red Hat Linux 6.2

Редактируйте файл "/etc/sysctl.conf" и добавьте следующую строку:

Вы должны перезапустить настройки сети, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/network restart
Bringing up interface lo       [ OK ]
Bringing up interface eth0     [ OK ]
Bringing up interface eth1     [ OK ]

Помниту, что соединения с автоматическим снабжением ключами использует ключи автоматически созданные демоном согласования ключей Pluto. Этот демон стартуя устанавливает соединение с Pluto демоном на другом конце туннеля. Из этих соображений шлюх IPSEC должен иметь правила фильтра пакетов разрешающие следующие протоколы:

• UDP порт 500 для IKE реализации демона Pluto
• Протокол 50 для ESP шифрования и аутентификации
• Протокол 51 для аутентификации на уровне пакетов AH

Редактируйте скрипт firewall (vi /etc/rc.d/init.d/firewall) на обоих шлюзах и добавьте следующие строки, чтобы разрешить IPSEC пакетам перемещаться между обоими концами туннеля:

# FreeS/WAN IPSec VPN
# -------------------
# Если вы используете FreeSWAN IPSec VPN, вы должны заполнить 
# адреса шлюзов в IPSECSG и виртуальных интурфейсов для
# FreeS/Wan IPSEC в параметре FREESWANVI. Смотрите начало 
# этого скрипта для определения этих параметров.
# IPSECSG это разделенный пробелами список удаленных шлюзов.
# FREESWANVI это разделенный пробелами список виртуальных
# интерфейсов для реализации FreeS/Wan IPSEC.
# Включите только те, которые фактически используются.
# Разрешите протокол IPSEC из удаленных шлюзов на внешнем интерфейсе
# IPSEC использует три основных типа пакетов:
# IKE использует UDP протокол и порт 500,
# ESP использует протокол номер 50 и
# AH использует протокол номер 51
ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
-s $IPSECSG -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p udp \
-d $IPSECSG -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p 50 \
-s $IPSECSG -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p 50 \
-d $IPSECSG -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p 51 \
-s $IPSECSG -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p 51 \
-d $IPSECSG -j ACCEPT
# Разрешите весь трафик к виртуальному интерфейсу FreeS/WAN
ipchains -A input -i $FREESWANVI \
-s $ANYWHERE \
-d $ANYWHERE -j ACCEPT
ipchains -A output -i $FREESWANVI \
-s $ANYWHERE \
-d $ANYWHERE -j ACCEPT
# Пересылка всего из виртуального интерфейса FreeS/WAN IPSEC туннеля
ipchains -A forward -i $FREESWANVI \
-s $ANYWHERE \
-d $ANYWHERE -j ACCEPT

где EXTERNAL_INTERFACE="eth0" # Ваш внешний интерфейс к Интернет.
где ANYWHERE="any/0" # имеет значение все 0.0.0.0/0.
где IPSECSG="208.164.186.2" # разделенный пробелами список удаленных VPN шлюзов.
где FREESWANVI="ipsec0" # разделенный пробелами список виртуальных интерфейсов для FreeS/Wan.

ЗАМЕЧАНИЕ. Смотрите главу 7, "Сетевой брандмауэр" для большей информации. Не забудьте добавить эти правила на других шлюзах.

Подсистема rp_filter (связанная с защитой от IP spoofing) должна быть выключена на обоих шлюзах для корректной работы IPSEC. Это достигается проверкой значения содержащегося в файлах "/proc/sys/net/ipv4/conf/ipsec0/rp_filter и "/proc/sys/net/ipv4/conf/eth0/rp_filter".
Оно должно быть равно 0:

ЗАМЕЧАНИЕ. Подкаталог "ipsec0" в нашем примере будет создан только после перезагрузки системы. Так, что проверить значение файла "rp_filter" в каталоге "ipsec0" можно будет только когда система перезагрузится.

Для установки значения 0 (off) в оба файла вручную используйте команды:

Также можно добавить эти строки в скрипт файл firewall (/etc/rc.d/init.d/firewall) на обоих шлюзах, чтобы значение 0 (off) устанавливалось автоматически при каждой загрузке системы:

ЗАМЕЧАНИЕ. В нашем примере мы предполагаем что для установления соединений используется интерфейс eth0. Конечно, если вы используете eth1 вам надо просто заменить eth0 на eth1.

Если вы забудете сделать этот шаг, то получите на вашем терминале следующие сообщения об ошибках при запуске FreeSWAN IPSEC:

Важно заметить, что любые правила маскарадинга для внутренней сети, которая использует IPSEC, должны находится после правил разрешающих трафик связанный с IPSEC (шаги 2 и 3 выше), или машина будет маскарадить трафик вместо пропускания его через IPSEC.

Редактируйте скрипт firewall (vi /etc/rc.d/init.d/firewall) на обоих шлюзовых машинах и добавьте следующие строки позволяющие маскарадить пакеты направляемые на удаленный шлюз и обратно:

где EXTERNAL_INTERFACE="eth0" # Ваш внешний интерфейс в Интернет.
где LOCALNET_1=" 192.168.1.0/24" # диапазон внутренних адресов который вы используете.

ЗАМЕЧАНИЕ. Смотрите главу 8 "Сетевой брандмауэр с поддержкой маскарадинга и форвардингом" для большей информации.

Сейчас, вы можете перезагрузить вашу систему, и машины за шлюзом A должны без проблем обмениваться информацией с машинами за шлюзом B.

Тестирование инсталляции

Изучите файл "/var/log/secure" для выявления возникших трудностей. Если все хорошо, то вы должны увидеть нечто подобное:

Интерфейсы IPSEC должны быть подключены поверх определенных физических интерфейсов.
Проверьте что:

Сейчас выполните следующую команду для получения минимальной отладочной информации и проверьте, что полученный результат выглядит примерно так:

Выполните команду ping 192.168.1.2 из 192.168.1.1. Если она работает, тогда вы все установили корректно. Если не работает, то проверьте, что с машины 208.164.186.1 видна 208.164.186.2, что включен TCP-IP forwarding, и что на вашем брандмауэре нет правил блокирующих пакеты и правила маскарадинга находятся после правил, связанных с трафиком IPSec.

208.164.186.1 ---- 205.151.222.250 ---- 205.151.222.251 ---- 208.164.186.2
|                                                                 |
192.168.1.0/24                                               192.168.1.0/24
|                                                                 |
192.168.1.1                                                  192.168.1.2

Последнее замечание об инсталляции FreeSWAN IPSEC, если вы столкнулись с проблемами с которыми не можете разобраться, то вы можете использовать следующую команду для просмотра отладочной информации, связанной с системой шифрования/аутентификации IPSEC, которую вы можете послать в список рассылки Linux-IPSEC (linux-ipsec@clinet.fi) с просьбой помочь вам:

Эта команда первично предоставляла возможность удаленной отладки; единичная команда упаковывает (и помечает) всю информацию, которая могла бы быть уместна для диагностирования проблем в IPSEC.

Дополнительная документация

Для получения большей информации вы можете ознакомиться со страницами руководства перечисленными ниже:

$ man ipsec (8) - вызов утилит IPSEC
$ man ipsec atoaddr, addrtoa (3) - конвертирование Интернет адресов в и из ASCII
$ man ipsec atoasr (3) - конвертирование ASCII в Интернет адреса, подсети и диапазоны
$ man ipsec atobytes, bytestoa (3) - конвертирование байтов двоичных данных в и из ASCII формат
$ man ipsec atodata, datatoa (3) - конвертирование двоичных данных из и в ASCII формат
$ man ipsec atosa, satoa (3) - конвертирует IPSEC Security Association IDs в и из ASCII
$ man ipsec atosubnet, subnettoa (3) - конвертирует подсеть/маска в ASCII форме в и из адрес
$ man ipsec atoul, ultoa (3) - конвертирует unsigned-long числа в и из ASCII
$ man ipsec auto (8) - контролирует автоматическое снабжение ключами соединений IPSEC
$ man ipsec barf (8) - выделение набора отладочной информации IPSEC
$ man ipsec bitstomask (3) - конвертирование набора единиц и нулей в маску подсети Интернет
$ man ipsec eroute (8) - манипулирование таблицами маршрутизации IPSEC
$ man ipsec goodmask (3) - является ли эта маска правильной?
$ man ipsec hostof (3) - получает Интернет адрес и маску подсети и возвращает часть связанную с хостом
$ man ipsec klipsdebug (8) - устанавливает отладочные возможности и уровень Klips (ядерная поддержка IPSEC)
$ man ipsec look (8) - выводит минимальную отладочную информацию
$ man ipsec manual (8) - поднимает и опускает IPSEC соединения с ручным снабжением ключами
$ man ipsec masktobits (3) - конвертирует маску подсети Интернет в набор нолей и единиц
$ man ipsec optionsfrom (3) - читает дополнительные опции командной строки из файла
$ man ipsec pluto (8) - демон манипуляции ключами IPsec IKE
$ man ipsec ranbits (8) - генератор случайного набора битов в виде ASCII
$ man ipsec rangetoa (3) - конвертирует диапазон Интернет адресов в ASCII
$ man ipsec rsasigkey (8) - создает сигнатурный ключ RSA
$ man ipsec setup (8) - контролирует подсистему IPSEC
$ man ipsec spi (8) - управляет IPSEC Security Associations
$ man ipsec spigrp (8) - группирует/расгруппирует IPSEC Security Associations
$ man ipsec subnetof (3) - получает Интернет адрес и маску подсети и вохвращает часть связанную с подсетью
$ man ipsec tncfg (8) - ассоциирует виртуальный интерфейс IPSEC с реальным интерфейсом
$ man ipsec whack (8) - контролирует интерфейс для демона управления ключами IPSEC
$ man ipsec.conf (5) - конфигурация и соединения IPSEC
$ man ipsec.secrets (5) - секреты для IKE/Ipsec аутентификации

Инсталлированные файлы

> /etc/rc.d/init.d/ipsec
> /etc/rc.d/rc0.d/K68ipsec
> /etc/rc.d/rc1.d/K68ipsec
> /usr/man/man3/ipsec_atoasr.3
> /usr/man/man3/ipsec_rangetoa.3
> /usr/man/man3/ipsec_atodata.3
> /etc/rc.d/rc2.d/S47ipsec
> /etc/rc.d/rc3.d/S47ipsec
> /etc/rc.d/rc4.d/S47ipsec
> /etc/rc.d/rc5.d/S47ipsec
> /etc/rc.d/rc6.d/K68ipsec
> /etc/ipsec.conf
> /etc/ipsec.secrets
> /usr/lib/ipsec
> /usr/lib/ipsec/spi
> /usr/lib/ipsec/eroute
> /usr/lib/ipsec/spigrp
> /usr/lib/ipsec/tncfg
> /usr/lib/ipsec/klipsdebug
> /usr/lib/ipsec/pluto
> /usr/lib/ipsec/whack
> /usr/lib/ipsec/ipsec
> /usr/lib/ipsec/barf
> /usr/lib/ipsec/manual
> /usr/lib/ipsec/auto
> /usr/lib/ipsec/look
> /usr/lib/ipsec/showdefaults
> /usr/lib/ipsec/_include
> /usr/lib/ipsec/_confread
> /usr/lib/ipsec/_keycensor
> /usr/lib/ipsec/_secretcensor
> /usr/lib/ipsec/_updown
> /usr/lib/ipsec/ranbits
> /usr/lib/ipsec/rsasigkey
> /usr/lib/ipsec/setup
> /usr/man/man3/ipsec_atoaddr.3
> /usr/man/man3/ipsec_addrtoa.3
> /usr/man/man3/ipsec_atosubnet.3
> /usr/man/man3/ipsec_subnettoa.3
> /usr/man/man3/ipsec_atobytes.3
> /usr/man/man3/ipsec_bytestoa.3
> /usr/man/man3/ipsec_datatoa.3
> /usr/man/man3/ipsec_atosa.3
> /usr/man/man3/ipsec_satoa.3
> /usr/man/man3/ipsec_atoul.3
> /usr/man/man3/ipsec_ultoa.3
> /usr/man/man3/ipsec_goodmask.3
> /usr/man/man3/ipsec_masktobits.3
> /usr/man/man3/ipsec_bitstomask.3
> /usr/man/man3/ipsec_optionsfrom.3
> /usr/man/man3/ipsec_subnetof.3
> /usr/man/man3/ipsec_hostof.3
> /usr/man/man3/ipsec_broadcastof.3
> /usr/man/man5/ipsec.secrets.5
> /usr/man/man5/ipsec.conf.5
> /usr/man/man8/ipsec_spi.8
> /usr/man/man8/ipsec.8
> /usr/man/man8/ipsec_eroute.8
> /usr/man/man8/ipsec_spigrp.8
> /usr/man/man8/ipsec_tncfg.8
> /usr/man/man8/ipsec_klipsdebug.8
> /usr/man/man8/ipsec_pluto.8
> /usr/man/man8/ipsec_whack.8
> /usr/man/man8/ipsec_barf.8
> /usr/man/man8/ipsec_look.8
> /usr/man/man8/ipsec_manual.8
> /usr/man/man8/ipsec_auto.8
> /usr/man/man8/ipsec_setup.8
> /usr/man/man8/ipsec_ranbits.8
> /usr/man/man8/ipsec_rsasigkey.8
> /usr/sbin/ipsec

Глава 17 Серверное программное обеспечение (Сервис баз данных) - OpenLDAP сервер В этой главе OpenLDAP сервер Конфигурации Организация защиты OpenLDAP Утилиты создания и поддержки OpenLDAP Утилиты пользователя OpenLDAP Netscape Address Book клиент для LDAP Linux сервер баз данных PostgreSQL Создание и инсталляция базы данных из-под пользователя Postgres Конфигурации Команды

Linux OpenLDAP сервер

Если мы говорим в этой книге о безопасности и оптимизации, то почему вдруг возникает глава посвященная OpenLDAP? Сервер каталогов OpenLDAP расширит ваши горизонты за счет использования его возможностей. Мы можем использовать ее возможности дублирования для централизации и объединения различной информации на одном сервере для всех других серверов нашей сети. Представьте себе возможности добавления и отключения учетных записей Unix или NT, установка доступа к Веб серверу для служебного использования, добавление почтовых адресов и псевдонимов, все с единственной операцией доступной как NIS сервис, с добавлением возможности SSL шифрования и скоростью объектно-ориентированных иерархий. Другое интересное использование - это создание надежного списка разработчиков на одном или более LDAP серверов, доступ к которому может быть открыт из приватной сети или из Интернет.

Как сказано на веб сервере OpenLDAP:

LDAP (Lightweight Directory Access Protocol) - это открытый протокол для доступа к информационным сервисам. Он работает через транспортные протоколы Интернет, такие как TCP, и может быть использован для доступа к автономным серверам каталогов или каталогам X.500.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
OpenLDAP версии 1.2.10

Пакеты.
Домашняя страница OpenLDAP: http://www.openldap.org/
FTP сервер OpenLDAP: 204.152.186.57
Вы должны скачать: openldap-1.2.10.tgz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции OpenLDAP и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > OpenLDAP1

После инсталляции:
find /* > OpenLDAP2

Для получения списка установленных файлов:
diff OpenLDAP1 OpenLDAP2 > OpenLDAP-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Перейдите в новый OpenLDAP каталог и введите следующие команды на вашем терминале:

Важно заметить, что вы можете настроить три различных вида баз данных на использование с LDAP. Высокопроизводительная, с памятью на диске база данных "LDBM"; интерфейс базы данных к произвольным UNIX командам или shell скриптам, называемый "SHELL"; и простейшая база данных используемая в файле паролей "PASSWD".

По умолчанию OpenLDAP подразумевает использование базы данных LDBM,так что если вы хотите настроиться на другой тип базы данных, вы должны при инсталляции определить ее. Для SHELL вы должны добавить опцию "--enable-shell", а для PASSWD (используется как замена сервису NIS) - "--enable-passwd".

Эти опции настраивают OpenLDAP на следующее:

• включить поддержку dns.
• создавать совместно используемые библиотеки.
• предполагаем, что компилятор C использует GNU ld.

ЗАМЕЧАНИЕ. Опции компиляции предложенные выше предполагают использование базы данных LDBM. Для других типов баз данных используйте соответствующие опции, описанные выше.

Сейчас мы должны скомпилировать и инсталлировать OpenLDAP на сервере:

Команда "make depend" будет создавать необходимые зависимости для различных файлов, "make" компилирует все файлы с исходными кодами в исполняемые двоичные файлы и затем "make install" инсталлирует исполняемые файлы и файлы поддержки в необходимые каталоги. Команда "make" в подкаталоге "/test" будет делать некоторые важные тесты для проверки функциональности вашего LDAP сервера перед инсталляцией. Если некоторые тесты закончатся ошибкой, вам необходимо исправить их перед продолжением инсталляции.

Команда "install" будет создавать новый каталог с именем "ldap" в каталоге "/var" и установит режим доступа к нему чтение, запись и исполнение только для суперпользователя "root" (700) из соображений безопасности. Команда "strip" будет удалять все символы из объектных файлов. Это необходимо, чтобы сделать исполняемые файлы меньшего размера.

Очистка после работы
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf openldap-version/ openldap-version.tgz
Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции OpenLDAP. Также будет удален сжатый архив OpenLDAP из каталога "/var/tmp".

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файлы связанные с OpenLDAP из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска OpenLDAP сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл slapd.conf в каталог "/etc/openldap/".
Копируйте файл ldap в каталог "/etc/rc.d/init.d/".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация файла "/etc/ldap/slapd.conf"

Файл "/etc/openldap/slapd.conf" это основной конфигурационный файл для автономного LDAP демона. Все опции: права доступа, пароль, тип базы данных, месторасположение базы данных и прочие могут быть настроены в нем и применены к демону "slapd". Нижеприведенный пример настраивает файл "slapd.conf" на использование базы данных LDBM.

Редактируйте файл slapd.conf (vi /etc/openldap/slapd.conf) и добавьте/измените следующую информацию:

#
# Смотрите slapd.conf(5) для деталей о конфигурационных опциях.
# Этот файл не должен быть доступен для чтения всем пользователям.
#
include /etc/openldap/slapd.at.conf
include /etc/openldap/slapd.oc.conf
schemacheck off
#referral ldap://ldap.itd.umich.edu
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
#####################################################################
##
# определения базы данных ldbm
#####################################################################
##
database ldbm
suffix "o=openna, c=com"
directory /var/ldap
rootdn "cn=admin, o=openna, c=com"
rootpw secret
# избегайте использование пароля записанного открытым текстом, особенно
# для пользователя rootdn. Смотрите slapd.conf(5) для деталей.
# определение индексируемых атрибутов ldbm
index cn,sn,uid
index objectclass pres,eq
index default none
# определение прав доступа к ldbm
defaultaccess read
access to attr=userpassword
                by self write
                by dn="cn=admin, o=openna, c=com" write
                by * compare

Вы должны убедиться, что установили следующие опции в вашем файле "slapd.conf" перед запуском демона slapd:

suffix "o=openna, c=com"
Эта опция определяет DN (отличительное имя) корня поддерева, которое вы пытаетесь создать. Другими словами, это показывает какие элементы должны храниться в этой базе данных.

directory /var/ldap
Эта опция определяет каталог, где должны размещаться база данных и соответствующие индексные файлы LDAP. Мы должны установить этот параметр в "/var/ldap", потому что мы создали этот каталог на более ранней стадии инсталляции специально для этих целей.

rootdn "cn=admin, o=openna, c=com"
Эта опция определяет DN (отличительное имя) элемента, которому разрешено делать все, что угодно в каталоге LDAP. Имя введенное здесь может фактически не существовать в файле "/etc/passwd".

rootpw secret
Эта опция определяет пароль, который может использоваться для аутентификации элемента "super-user" базы данных. Это пароль для опции rootdn определенной выше. Важно не использовать пароли, записанные открытым текстом, а использовать вместо них шифрованные пароли.

index cn,sn,uid | index objectclass pres,eq | index default none
Эти опции определяет индексные определения, которые вы хотите создать и управлять в определении базы данных. Параметры, которые мы определили в нашем "slapd.conf" файле, указывают поддерживать индексы для атрибутов cn, sn и uid (index cn,sn,uid), индексы наличия и эквивалентности для атрибута objectclass (index objectclass pres,eq), и не создавать индексы для всех остальных атрибутов (index default none). Смотрите руководство пользователя для большей информации.

Последние опции в файле "slapd.conf" связаны с контролем доступа к каталогу LDAP.

defaultaccess read
access to attr=userpassword
                by self write
                by dn="cn=admin, o=openna, c=com" write
                by * compare

Этот пример применяется для элементов в поддереве "o=openna, c=com". Доступ на чтение разрешается всем, и сам элемент может записывать все свои атрибуты, исключая userpassword. Атрибут userpassword может быть записан только определенным элементом (admin), и сопоставим всеми. Смотрите ваше руководство пользователя для получения большей информации.

Конфигурация скрипта "/etc/rc.d/init.d/ldap"

Настроим ваш скрипт "/etc/rc.d/init.d/ldap" для старта и остановки LDAP сервера. Создайте скрипт ldap (touch /etc/rc.d/init.d/ldap) и добавьте в него:

#!/bin/sh
#
# ldap Это shell скрипт script заботящийся о запуске и остановке
# сервера ldap (slapd и slurpd).
#
# chkconfig: - 70 40
# описание: LDAP (Lightweight Directory Access Protocol) используется
# для реализации индустриального стандарта службы каталогов.
# имя процесса: slapd
# конфигурационный файл: /etc/openldap/slapd.conf
# pid файл: /var/run/slapd.pid
# библиотека исходных функций.
. /etc/rc.d/init.d/functions
# Исходная сетевая конфигурация.
. /etc/sysconfig/network
# Проверка, что сеть работает.
[ ${NETWORKING} = "no" ] && exit 0
[ -f /usr/sbin/slapd ] || exit 0
[ -f /usr/sbin/slurpd ] || exit 0
RETVAL=0
# See how we were called.
case "$1" in
  start)
   # Запуск демонов.
   echo -n "Starting ldap: "
   daemon slapd
   RETVAL=$?
   if [ $RETVAL -eq 0 ]; then
     if grep -q "^replogfile" /etc/openldap/slapd.conf; then
       daemon slurpd
       RETVAL=$?
       [ $RETVAL -eq 0 ] && pidof slurpd | cut -f 1 -d " " > /var/run/slurpd
     fi
   fi
   echo
   [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ldap
  ;;
  stop)
    # Остановка демонов.
    echo -n "Shutting down ldap: "
    killproc slapd
    RETVAL=$?
    if [ $RETVAL -eq 0 ]; then
      if grep -q "^replogfile" /etc/openldap/slapd.conf; then
        killproc slurpd
        RETVAL=$?
      fi
    fi
    echo
    if [ $RETVAL -eq 0 ]; then
       rm -f /var/lock/subsys/ldap
       rm -f /var/run/slapd.args
    fi
  ;;
  status)
     status slapd
     RETVAL=$?
     if [ $RETVAL -eq 0 ]; then
       if grep -q "^replogfile" /etc/openldap/slapd.conf; then
         status slurpd
         RETVAL=$?
       fi
     fi
  ;;
  restart)
    $0 stop
    $0 start
    RETVAL=$?
  ;;
  reload)
    killproc -HUP slapd
    RETVAL=$?
    if [ $RETVAL -eq 0 ]; then
      if grep -q "^replogfile" /etc/openldap/slapd.conf; then
        killproc -HUP slurpd
        RETVAL=$?
      fi
    fi
  ;;
  *)
   echo "Usage: $0 start|stop|restart|status}"
   exit 1
esac
exit $RETVAL

Сейчас, сделаем этот скрипт исполняемым и изменим права доступа:
[root@deep /]# chmod 700 /etc/rc.d/init.d/ldap

Создадим символическую rc.d ссылку для OpenLDAP командой:
[root@deep /]# chkconfig --add ldap

Скрипт OpenLDAP не будет автоматически стартовать демон slapd, когда вы перезагружаете сервер. Вы можете изменить это выполнив команду:
[root@deep /]# chkconfig --level 345 ldap on

Запустите сервер OpenLDAP вручную следующей командой:

[root@deep /]# /etc/rc.d/init.d/ldap start
Starting ldap:                  [ OK ]

Организация защиты OpenLDAP

Бит постоянства может быть использован для предотвращения случайного удаления или переписывания защищаемых файлов. Он также предотвращает возможность создания символических ссылок к этим файлам. После того как ваш файл "slapd.conf" настроен, можно его иммунизировать следующей командой:

Дополнительная документация

Для получения большей информации, вы можете прочитать несколько страниц руководства:

$ man ldapd (8) - демон LDAP X.500 протокла
$ man ldapdelete (1) - утилита для удаления элементов ldap
$ man ldapfilter.conf (5) - конфигурационный файл для LDAP осуществляющий фильтр операций
$ man ldapfriendly (5) - файл данных для дружественных операций LDAP
$ man ldapmodify, ldapadd (1) - утилита для изменения и добавления элементов ldap
$ man ldapmodrdn (1) - RDN утилита для модификации элементов ldap
$ man ldappasswd (1) - изменения пароля элементов LDAP
$ man ldapsearch (1) - утилита поиска ldap
$ man ldapsearchprefs.conf (5) - конфигурационный файл для поиска предпочтительных операций LDAP
$ man ldaptemplates.conf (5) - конфигурационный файл для операций отображения образцов LDAP
$ man ldif (5) - LDAP Data Interchange Format
$ man slapd (8) - автономный демон LDAP
$ man slapd.conf (5) - конфигурационный файл для slapd, автономного демона LDAP
$ man slurpd (8) - автономный LDAP Update Replication Daemon
$ man ud (1) - интерактивная программа запросов к серверу каталогов LDAP

Утилиты создания и поддержки OpenLDAP

Есть два метода создания базы данных для LDAP, первый оффлайновый с помощью утилиты "ldif2ldbm" и второй онлайновый при помощи утилиты "ldapadd". Обычно, вы будете использовать оффлайновый метод, когда вы хотите добавить несколько тысяч элементов в вашу базу данных и онлайновый, когда надо добавить небольшое число элементов. Также важно заметить, что оффлайновый метод требует, чтобы ваш "slapd" демон не был запущен, а онлайновый требует работы "slapd" демона.

Первое, что вы должны сделать это создать входной файл LDIF содержащий текстовое представление ваших элементов. Текстовый файл, именуемый "my- data-file", может быть использован как пример (конечно, ваш реальный входной LDIF файл будет содержать много больше информации). Когда вы инсталлируете OpenLDAP первый раз и имеете много элементов, которые нужно положить в базу данных, всегда будет хорошей идеей положить всю эту информацию в текстовый файл и добавить ее в вашу базу данных при помощи утилиты "ldif2ldbm".

Создайте файл my-data-file (touch /tmp/my-data-file) и добавьте в него, например, следующие строки:

dn: o=openna, c=com
o: openna
objectclass: organization

dn: cn=Gerhard Mourani, o=openna, c=com
cn: Gerhard Mourani
sn: Mourani
mail: gmourani@videotron.ca
title: Author
objectclass: person

dn: cn=Anthony Bay, o=openna, c=com
cn: Anthony Bay
sn: Bay
homephone: (444) 111-2233
mobile: (444) 555-6677
mail: abay@openna.com
objectclass: person

dn: cn=George Parker, o=openna, c=com
cn: George Parker
sn: Parker
telephonenumber: (555) 234-5678
fax: (543) 987-6543
mobile: (543) 321-4354
description: E-Commerce
objectclass: person

Вышеприведенный пример показывает вам как конвертирует вашу информацию в LDIF файлы перед добавлением ее в ваш новый каталог. Консультируйтесь с вашей OpenLDAP документацией или книгой для получения большей информации.

Как только входной LDIF файл содержащий все элементы создан, мы можем добавить их в наш LDAP сервер каталогов. Для этого используйте следующую команду:

Опция "-i" с опцией <inputfile> оперделяет месторасположения LDIF файла. Опция <slapdconfigfile> задает месторасположение конфигурационного файла slapd, который определяет где создавать индексы, какие индексы создавать и т.д.

ЗАМЕЧАНИЕ. Важно заметить, что при этом режиме создания демон "slapd"не должен быть запущен.

Если элементы в вашем сервере каталогов уже созданы или вы хотите добавить небольшое количество информации в вашу базу данных, то вы можете предпочесть использовать утилиту "ldapadd", чтобы выполнить вашу работу онлайн. Например, чтобы добавить элемент "Europe Mourani" используя утилиту "ldapadd", вы должны создать файл, называемый "newentry" в каталоге "/tmp".

Создайте файл newentry (touch /tmp/newentry) и добавьте в него следующие строки:

После того, как файл "newentry" создан, мы должны добавить элемены в сервер каталогов LDAP. Для этого используйте следующую команду:

Вышеприведенная команда подразумевает что вы установили rootdn в "cn=admin, o=openna, c=com" и rootpw в "secret". Вам будет предложено ввести пароль.

ЗАМЕЧАНИЕ. Важно заметить, что во время использования этой утилиты демон "slapd" должен быть запущен.

В отличие от реляционных баз данных, где данные постоянно изменяются, сервер каталогов содержит информацию, которая единожды введенная изменяется редко. Но иногда, вам все же приходится модифицировать данные, и в этом вам может помочь утилита "ldapmodify". Она позволяет вам добавлять и модифицировать элементы хранящиеся на сервере каталогов. Допустим что мы хотим заменить содержимое элемента "Europe Mourani" атрибут почты на новое значение "emourani@new.com", для этого нам понадобятся следующие шаги:

Создаем файл modifyentry (touch /tmp/modifyentry) и добавляем в него следующее содержимое:

После создания файла "modifyentry", мы должны заменить элемнты каталога LDAP сервера в соответствии с содержимым этого файла. Это делается следующей командой:

где <inputfile> - имя файла "modifyentry", который был создан на шаге 1.

Утилиты пользователя OpenLDAP

Утилита ldapsearch ищет в базе данных каталога LDAP информацию, которую вы запрашиваете.
Искать в каталоге LDAP элемент, используя команду:

Эта команда будет возвращать все элементы и значения с именем europe и будет выводить результаты в стандартный вывод вашего терминала.

Некоторые возможны варианты использования OpenLDAP

OpenLDAP может использоваться как:

1. Сервер веб каталога.
2. Сервер белых страниц.
3. Сертификационный сервер.
4. Сервер контроля доступа.
5. Сетевой сервер имен.

Клиент Netscape Address Book для LDAP

Если вы имеете Netscape проинсталлированный на вашей Linux системе или любой другой операционной системе, то вы можете использовать его возможности Address Book для доступа к серверу каталогов LDAP, только что установленной на вашем Linux и запросить ваш сервер каталогов об информации подобной той, что вы получали используя команду "ldapsearch". Если вы интересуетесь как сделать это, то следуйте по шагам описанным ниже:

1. Открыть Netscape Communicator
2. Перейти в меню Communicator
3. Открыть Address Book
4. Перейти в меню File
5. Кликнуть на New Directory .
6. Заполнить поля вашей информацией о сервере

Например:

• Описание: Open Network Architecture
• LDAP сервер: 208.164.186.3
• Корень сервера: o=openna, c=com

Сейчас вы сделаи все, что нужно, чтобы иметь возможность создавать запросы к вашему серверу каталогов LDAP на Linux, используя блок с именем "Show names Containing:" для запуска поиска и кликните на кнопке "Search For:" для получения результатов.

Инсталлированные файлы

> /etc/openldap
> /etc/openldap/ldap.conf
> /etc/openldap/ldap.conf.default
> /etc/openldap/ldapfilter.conf
> /etc/openldap/ldapfilter.conf.default
> /etc/openldap/ldaptemplates.conf
> /etc/openldap/ldaptemplates.conf.default
> /etc/openldap/ldapsearchprefs.conf
> /etc/openldap/ldapsearchprefs.conf.default
> /etc/openldap/slapd.conf
> /etc/openldap/slapd.conf.default
> /etc/openldap/slapd.at.conf
> /etc/openldap/slapd.at.conf.default
> /etc/openldap/slapd.oc.conf
> /etc/openldap/slapd.oc.conf.default
> /etc/openldap/ldapserver
> /etc/rc.d/init.d/ldap
> /etc/rc.d/rc0.d/K40ldap
> /etc/rc.d/rc1.d/K40ldap
> /etc/rc.d/rc2.d/K40ldap
> /etc/rc.d/rc3.d/S70ldap
> /etc/rc.d/rc4.d/S70ldap
> /etc/rc.d/rc5.d/S70ldap
> /etc/rc.d/rc6.d/K40ldap
> /usr/bin/ud
> /usr/bin/ldapsearch
> /usr/bin/ldapmodify
> /usr/bin/ldapdelete
> /usr/bin/ldapmodrdn
> /usr/bin/ldappasswd
> /usr/bin/ldapadd
> /usr/include/ldap.h
> /usr/include/lber.h
> /usr/include/ldap_cdefs.h
> /usr/include/disptmpl.h
> /usr/include/srchpref.h
> /usr/lib/liblber.so.1.0.0
> /usr/lib/liblber.so.1
> /usr/lib/liblber.so
> /usr/lib/liblber.la
> /usr/lib/liblber.a
> /usr/lib/libldap.so.1.0.0
> /usr/lib/libldap.so.1
> /usr/lib/libldap.so
> /usr/lib/libldap.la
> /usr/lib/libldap.a
> /usr/man/man1/ud.1
> /usr/man/man1/ldapdelete.1
> /usr/man/man1/ldapmodify.1
> /usr/man/man1/ldapadd.1
> /usr/man/man1/ldapmodrdn.1
> /usr/man/man1/ldappasswd.1
> /usr/man/man1/ldapsearch.1
> /usr/man/man3/cldap_close.3
> /usr/man/man3/cldap_open.3
> /usr/man/man3/cldap_search_s.3
> /usr/man/man3/cldap_setretryinfo.3
> /usr/man/man3/lber-decode.3
> /usr/man/man3/lber-encode.3
> /usr/man/man3/ldap_open.3
> /usr/man/man3/ldap_errlist.3
> /usr/man/man3/ldap_err2string.3
> /usr/man/man3/ldap_first_attribute.3
> /usr/man/man3/ldap_next_attribute.3
> /usr/man/man3/ldap_first_entry.3
> /usr/man/man3/ldap_next_entry.3
> /usr/man/man3/ldap_count_entries.3
> /usr/man/man3/ldap_friendly.3
> /usr/man/man3/ldap_friendly_name.3
> /usr/man/man3/ldap_free_friendlymap.3
> /usr/man/man3/ldap_get_dn.3
> /usr/man/man3/ldap_explode_dn.3
> /usr/man/man3/ldap_explode_dns.3
> /usr/man/man3/ldap_dn2ufn.3
> /usr/man/man3/ldap_is_dns_dn.3
> /usr/man/man3/ldap_get_values.3
> /usr/man/man3/ldap_get_values_len.3
> /usr/man/man3/ldap_value_free.3
> /usr/man/man3/ldap_value_free_len.3
> /usr/man/man3/ldap_count_values.3
> /usr/man/man3/ldap_count_values_len.3
> /usr/man/man3/ldap_getfilter.3
> /usr/man/man3/ldap_init_getfilter.3
> /usr/man/man3/ldap_init_getfilter_buf.3
> /usr/man/man3/ldap_getfilter_free.3
> /usr/man/man3/ldap_getfirstfilter.3
> /usr/man/man3/ldap_getnextfilter.3
> /usr/man/man3/ldap_setfilteraffixes.3
> /usr/man/man3/ldap_build_filter.3
> /usr/man/man3/ldap_modify.3
> /usr/man/man3/ldap_modify_s.3
> /usr/man/man3/ldap_mods_free.3
> /usr/man/man3/ldap_modrdn.3
> /usr/man/man3/ldap_modrdn_s.3
> /usr/man/man3/ldap_modrdn2.3
> /usr/man/man3/ldap_modrdn2_s.3
> /usr/man/man3/ldap_init.3
> /usr/man/man3/ldap_result.3
> /usr/man/man3/ldap_msgfree.3
> /usr/man/man3/ldap_search.3
> /usr/man/man3/ldap_search_s.3
> /usr/man/man3/ldap_search_st.3
> /usr/man/man3/ldap_searchprefs.3
> /usr/man/man3/ldap_init_searchprefs.3
> /usr/man/man3/ldap_init_searchprefs_buf.3
> /usr/man/man3/ldap_free_searchprefs.3
> /usr/man/man3/ldap_first_searchobj.3
> /usr/man/man3/ldap_next_searchobj.3
> /usr/man/man3/ldap_sort.3
> /usr/man/man3/ldap_sort_entries.3
> /usr/man/man3/ldap_sort_values.3
> /usr/man/man3/ldap_sort_strcasecmp.3
> /usr/man/man3/ldap_ufn.3
> /usr/man/man3/ldap_ufn_search_s.3
> /usr/man/man3/ldap_ufn_search_c.3
> /usr/man/man3/ldap_ufn_search_ct.3
> /usr/man/man3/ldap_ufn_setprefix.3
> /usr/man/man3/ldap_ufn_setfilter.3
> /usr/man/man3/ldap.3
> /usr/man/man3/cldap.3
> /usr/man/man3/ldap_abandon.3
> /usr/man/man3/ldap_add.3
> /usr/man/man3/ldap_add_s.3
> /usr/man/man3/ldap_bind.3
> /usr/man/man3/ldap_bind_s.3
> /usr/man/man3/ldap_simple_bind.3
> /usr/man/man3/ldap_simple_bind_s.3
> /usr/man/man3/ldap_kerberos_bind_s.3
> /usr/man/man3/ldap_kerberos_bind1.3
> /usr/man/man3/ldap_kerberos_bind1_s.3
> /usr/man/man3/ldap_kerberos_bind2.3
> /usr/man/man3/ldap_kerberos_bind2_s.3
> /usr/man/man3/ldap_unbind.3
> /usr/man/man3/ldap_unbind_s.3
> /usr/man/man3/ldap_set_rebind_proc.3
> /usr/man/man3/ldap_cache.3
> /usr/man/man3/ldap_enable_cache.3
> /usr/man/man3/ldap_disable_cache.3
> /usr/man/man3/ldap_destroy_cache.3
> /usr/man/man3/ldap_flush_cache.3
> /usr/man/man3/ldap_uncache_entry.3
> /usr/man/man3/ldap_uncache_request.3
> /usr/man/man3/ldap_set_cache_options.3
> /usr/man/man3/ldap_charset.3
> /usr/man/man3/ldap_set_string_translators.3
> /usr/man/man3/ldap_enable_translation.3
> /usr/man/man3/ldap_translate_from_t61.3
> /usr/man/man3/ldap_translate_to_t61.3
> /usr/man/man3/ldap_t61_to_8859.3
> /usr/man/man3/ldap_8859_to_t61.3
> /usr/man/man3/ldap_compare.3
> /usr/man/man3/ldap_compare_s.3
> /usr/man/man3/ldap_delete.3
> /usr/man/man3/ldap_delete_s.3
> /usr/man/man3/ldap_disptmpl.3
> /usr/man/man3/ldap_init_templates.3
> /usr/man/man3/ldap_init_templates_buf.3
> /usr/man/man3/ldap_free_templates.3
> /usr/man/man3/ldap_first_disptmpl.3
> /usr/man/man3/ldap_next_disptmpl.3
> /usr/man/man3/ldap_oc2template.3
> /usr/man/man3/ldap_tmplattrs.3
> /usr/man/man3/ldap_first_tmplrow.3
> /usr/man/man3/ldap_next_tmplrow.3
> /usr/man/man3/ldap_first_tmplcol.3
> /usr/man/man3/ldap_next_tmplcol.3
> /usr/man/man3/ldap_entry2text.3
> /usr/man/man3/ldap_entry2text_search.3
> /usr/man/man3/ldap_vals2text.3
> /usr/man/man3/ldap_entry2html.3
> /usr/man/man3/ldap_entry2html_search.3
> /usr/man/man3/ldap_vals2html.3
> /usr/man/man3/ldap_error.3
> /usr/man/man3/ldap_perror.3
> /usr/man/man3/ld_errno.3
> /usr/man/man3/ldap_result2error.3
> /usr/man/man3/ldap_ufn_timeout.3
> /usr/man/man3/ldap_url.3
> /usr/man/man3/ldap_is_ldap_url.3
> /usr/man/man3/ldap_url_parse.3
> /usr/man/man3/ldap_free_urldesc.3
> /usr/man/man3/ldap_url_search.3
> /usr/man/man3/ldap_url_search_s.3
> /usr/man/man3/ldap_url_search_st.3
> /usr/man/man5/ldap.conf.5
> /usr/man/man5/ldapfilter.conf.5
> /usr/man/man5/ldapfriendly.5
> /usr/man/man5/ldapsearchprefs.conf.5
> /usr/man/man5/ldaptemplates.conf.5
> /usr/man/man5/ldif.5
> /usr/man/man5/slapd.conf.5
> /usr/man/man5/slapd.replog.5
> /usr/man/man5/ud.conf.5
> /usr/man/man8/centipede.8
> /usr/man/man8/chlog2replog.8
> /usr/man/man8/edb2ldif.8
> /usr/man/man8/go500.8
> /usr/man/man8/go500gw.8
> /usr/man/man8/in.xfingerd.8
> /usr/man/man8/ldapd.8
> /usr/man/man8/ldbmcat.8
> /usr/man/man8/ldif.8
> /usr/man/man8/ldif2ldbm.8
> /usr/man/man8/ldif2index.8
> /usr/man/man8/ldif2id2entry.8
> /usr/man/man8/ldif2id2children.8
> /usr/man/man8/mail500.8
> /usr/man/man8/fax500.8
> /usr/man/man8/rcpt500.8
> /usr/man/man8/slapd.8
> /usr/man/man8/slurpd.8
> /usr/sbin/ldif
> /usr/sbin/in.xfingerd
> /usr/sbin/go500
> /usr/sbin/go500gw
> /usr/sbin/mail500
> /usr/sbin/rp500
> /usr/sbin/fax500
> /usr/sbin/xrpcomp
> /usr/sbin/rcpt500
> /usr/sbin/slapd
> /usr/sbin/ldif2ldbm
> /usr/sbin/ldif2index
> /usr/sbin/ldif2id2entry
> /usr/sbin/ldif2id2children
> /usr/sbin/ldbmcat
> /usr/sbin/centipede
> /usr/sbin/ldbmtest
> /usr/sbin/slurpd
> /usr/share/openldap
> /usr/share/openldap/ldapfriendly
> /usr/share/openldap/go500gw.help
> /usr/share/openldap/rcpt500.help
> /var/ldap

Глава 17 Серверное программное обеспечение (Сервис баз данных) - PostgreSQL сервер В этой главе OpenLDAP сервер Конфигурации Организация защиты OpenLDAP Утилиты создания и поддержки OpenLDAP Утилиты пользователя OpenLDAP Netscape Address Book клиент для LDAP Linux сервер баз данных PostgreSQL Создание и инсталляция базы данных из-под пользователя Postgres Конфигурации Команды

Linux сервер баз данных PostgreSQL.

Однажды занявшись обслуживанием и поддержкой сервисов для пользователей, вы неизбежно столкнетесь с тем, что вам нужно хранить информацию о них в архиве так, чтобы она была доступна и легко модифицировалась в любое время. Эти задачи могут быть решение использованием баз данных. Много разных баз данных доступно под Linux; выбрать какую-нибудь одну очень трудно, так как она должна поддерживать несколько языков программирования, стандарты и широкий спектр возможностей. PostgreSQL, оригинально разработанная в UC Berkeley Computer Science Department, является пионером многих объектно- реляционных концепций сейчас доступных в коммерческих базах данных. Она предоставляет поддержку языков SQL92/SQL3, целостность транзакций и расширяемость типов.

Как написано на веб сервере PostgreSQL:

PostgreSQL - это изощренная объектно-реляционная система управления базами данных DBMS, поддерживающая практически все SQL конструкции, включая вложенный select, транзакции, и определяемые пользователем типы и функции. Это наиболее продвинутая база данных, доступная в исходных кодах в настоящее время.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
PostgreSQL версии 6.5.3

Пакеты.
Домашняя страница PostgreSQL: http://www.postgresql.org/
FTP сервер PostgreSQL: 216.126.84.28
Вы должны скачать: postgresql-6.5.3.tar.gz

Предварительные требования.

Перед компиляцией PostgreSQL вам необходимо убедиться, что на вашей системе установлен пакет egcs-c++-version.i386.rpm. Этот пакет располагается на вашем Red Hat Linux CD-ROM в каталоге "RedHat/RPMS". После компиляции и инсталляции PostgreSQL вы можете удалить его из вашей системы.
Проверьте, что egcs-c++-version.i386.rpm уже инсталлирован, используя команду:

Для инсталляции egcs-c++-version.i386.rpm выполните следующие команды:

[root@deep /]# mount /dev/cdrom /mnt/cdrom
[root@deep /]# cd /mnt/cdrom/RedHat/RPMS
[root@deep RPMS]# rpm -Uvh egcs-c++-version.i386.rpm
egcs-c++                ##################################################

Тарболы. Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции PostgreSQL и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > PostgreSQL1

После инсталляции:
find /* > PostgreSQL2

Для получения списка установленных файлов:
diff PostgreSQL1 PostgreSQL2 > PostgreSQL-Installed

Раскройте тарбол:

Компиляция и оптимизация.

Первое, для уменьшения риска безопасности, мы создадим непривилегированный бюджет пользователя "postgres", который должен владеть файлами Postgres. Для этого используйте следующую команду:

Перейдите в новый PosgreSQL каталог, а затем в подкаталог "src". Введите следующие команды на вашем терминале:

Редактируйте файл Makefile.global (vi +210 Makefile.global) и измените следующие строки:

CFLAGS= -I$(SRCDIR)/include -I$(SRCDIR)/backend
Должна быть:
CFLAGS= -I$(SRCDIR)/include -I$(SRCDIR)/backend -O9 -funroll-loops -ffast-math -malign-double -mcpu=pentiumpro -march=pentiumpro -fomit-frame-pointer -fno-exceptions

Это оптимизационные флаги для сервера PostgreSQL. Конечно, вы должны приспособить их под вашу систему и процессор.

Сейчас, мы должны скомпилировать и инсталлировать PosgreSQL на сервере:

Команда "make" компилирует все исходные файлы в исполняемые двоичные файлы и команды "make install" инсталлирует исполняемые и все сопутствующие файлы в необходимое место. "mkdir" создаст новый каталог "pgsql" в каталогах "/usr/include" и "/usr/lib", и затем мы переместим все подкаталоги и файлы, связанные с PostgreSQL из каталогов "/usr/include" и "/usr/lib" в "/usr/include/pgsql" и "/usr/lib/pgsql" соответственно. Команда "chown" установит правильного владельца и группу для каталога "/var/lib/pgsql". Команда "strip" удалит все символы из объектных файлов. Это приведет к уменьшению размеров соответствующих файлов, что улучшит производительность программ. Команда "rm" удалит файлы "global1.description" и "local1_template1.description", которые не нужны программе PosgreSQL.

Создание базы данных инсталлированной из под бюджета суперпользователя Postgres

После того, как вы проинсталлировали PostgreSQL на сервере, необходимо создать базу данных до запуска PostgreSQL сервера.
Для создания базы данных используйте следующую команду:

[root@deep /]# su postgres
[postgres@deep /]$ initdb --pglib=/usr/lib/pgsql --pgdata=/var/lib/pgsql

We are initializing the database system with username postgres (uid=40).
This user will own all the files and must also own the server process.

Creating Postgres database system directory /var/lib/pgsql/base

Creating template database in /var/lib/pgsql/base/template1

Creating global classes in /var/lib/pgsql/base

Adding template1 database to pg_database...

Vacuuming template1
Creating public pg_user view
Creating view pg_rules
Creating view pg_views
Creating view pg_tables
Creating view pg_indexes
Loading pg_description

[postgres@deep /]$ chmod 640 /var/lib/pgsql/pg_pwd
[postgres@deep /]$ exit
exit
[root@deep /]#

Опция "--pglib" будет задавать месторасположение библиотек PostgreSQL, а "-- pgdata" определит место, где будут располагаться ваши базы данных.

ЗАМЕЧАНИЕ. Не создавайте базы данных из под пользователя "root"! Это создаст большую дыру в безопасности.

Очистка после работы

Удаление пакета egcs-c++-version.i386.rpm для экономии дискового пространства.

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции PostgreSQL. Также будет удален сжатый архив PostgreSQL из каталога "/var/tmp".

Команда "rpm -e" удалит пакет egcs-c++ при помощи которого мы компилировали сервер PosgreSQL. Заметим, что пакет egcs-c++ требуется только для компиляции программ подобных PostgreSQL и может быть спокойно удален после окончания этой процедуры.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файлы связанные с PostgreSQL из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска PostgreSQL сервера следующие файлы должны быть созданы или скопированы в нужный каталог:

Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация скрипта "/etc/rc.d/init.d/postgresql"

Настроим скрипт "/etc/rc.d/init.d/postgresql", который будет отвечать за запуск и остановку PostgreSQL сервера.
Создадим скрипт postgresql (touch /etc/rc.d/init.d/postgresql) и добавьте в него следующие строки:

#! /bin/sh
# postgresql Это инициализационный скрипт для запуска PostgreSQL сервера
# 
# chkconfig: 345 85 15
# описание: запуск и остановка демона PostgreSQL, отвечающего за  обработку
# всех запросов к базе данных.
# имя процесса: postmaster
# pid файл: /var/run/postmaster.pid
#
# библиотека исходных функций.
. /etc/rc.d/init.d/functions
# Get config.
. /etc/sysconfig/network
# Поверка работает ли сеть.
# это нужно для postmaster.
[ ${NETWORKING} = "no" ] && exit 0
[ -f /usr/bin/postmaster ] || exit 0
# Этот скрипт немного необычен тем, что имя демона (postmaster)
# не совпадает с именем подсистемы (postgresql)
# Смотрите, как мы осуществляем вызов.
case "$1" in
  start)
    echo -n "Checking postgresql installation: "
    # Проверка структуры PGDATA
    if [ -f /var/lib/pgsql/PG_VERSION ] && [ -d /var/lib/pgsql/base/template1 ]
    then
      # Проверка версии существующие PGDATA
      if [ `cat /var/lib/pgsql/PG_VERSION` != '6.5' ]
      then
         echo "old version. Need to Upgrade."
         echo "See /usr/doc/postgresql-6.5.2/README.rpm for more information."
         exit 1
      else
         echo "looks good!"
      fi
      # PGDATAне существуе! Нужно выполнить Initdb.
    else
      echo "no database files found."
      if [ ! -d /var/lib/pgsql ]
      then
        mkdir -p /var/lib/pgsql
        chown postgres.postgres /var/lib/pgsql
      fi
      su -l postgres -c '/usr/bin/initdb --pglib=/usr/lib/pgsql --pgdata=/var/lib/pgsql'
    fi
    # Проверка, запущен ли уже postmaster...
    pid=`pidof postmaster`
    if [ $pid ]
    then
      echo "Postmaster already running."
    else
      # все системы запущены - удаление старых блокирующих файлов
      rm -f /tmp/.s.PGSQL.* > /dev/null
      echo -n "Starting postgresql service: "
      su -l postgres -c '/usr/bin/postmaster -i -S -D/var/lib/pgsql'
      sleep 1
      pid=`pidof postmaster`
      if [ $pid ]
      then
         echo -n "postmaster [$pid]"
         touch /var/lock/subsys/postgresql
         echo $pid > /var/run/postmaster.pid
         echo
      else
         echo "failed."
      fi
    fi
  ;;
  stop)
     echo -n "Stopping postgresql service: "
     killproc postmaster
     sleep 2
     rm -f /var/run/postmaster.pid
     rm -f /var/lock/subsys/postgresql
     echo
  ;;
  status)
     status postmaster
  ;;
  restart)
     $0 stop
     $0 start
  ;;
  *)
     echo "Usage: postgresql {start|stop|status|restart}"
     exit 1
esac
exit 0

Сейчас, мы должны сделать этот скрипт исполняемым и изменить права доступа к нему:

Создайте символическую rc.d ссылку для PostgreSQL следующей командой:

Запустите ваш новый PostgreSQL сервер вручную следующей командой:

[root@deep /]# /etc/rc.d/init.d/postgresql start
Checking postgresql installation: looks good!
Starting postgresql service:          postmaster [22401]

Команды

Команды описанные ниже мы будем часто использовать, но на самом деле их много больше, и вы должны изучить страницы руководства (man) и документацию, чтобы получить более подробную информацию.

Для определения нового пользователя в вашей базе данных используйте утилиту:

Для удаления пользователя из базы данных используйте утилиту destroyuser:

Для создания новой базы данных запустите утилиту createdb:

Или из терминальной программы Postgres (psql)

ЗАМЕЧАНИЕ. Клиентское соединение должно быть разрешено с этого IP адреса и/или имени пользователя в файле "pg_hba.conf", расположенного в PG_DATA.

Другие полезные команды, выполняемые в терминальной программе Postgres (psql):

Соединение с новой базой данных:

Создание таблицы:

Для проверки новой таблицы используйте команду:

foo _ > \d bar
Table = bar
+----------------------------------+----------------------------------+------------+
|      Field                       |                 Type             |   Length   |
+----------------------------------+----------------------------------+------------+
|           I                      |              int4                |      4     |
|           c                      |              char()              |      16    |
+----------------------------------+----------------------------------+------------+
foo _ >

Для уничтожения таблицы, индекса, представления (view) используйте команду:

Инсталлированные файлы

> /etc/rc.d/init.d/postgresql
> /etc/rc.d/rc0.d/K15postgresql
> /etc/rc.d/rc1.d/K15postgresql
> /etc/rc.d/rc2.d/K15postgresql
> /etc/rc.d/rc3.d/S85postgresql
> /etc/rc.d/rc4.d/S85postgresql
> /etc/rc.d/rc5.d/S85postgresql
> /etc/rc.d/rc6.d/K15postgresql
> /usr/bin/postgres
> /usr/bin/postmaster
> /usr/bin/ecpg
> /usr/bin/pg_id
> /usr/bin/pg_version
> /usr/bin/psql
> /usr/man/manl/begin.l
> /usr/man/manl/close.l
> /usr/man/manl/cluster.l
> /usr/man/manl/commit.l
> /usr/man/manl/copy.l
> /usr/man/manl/create_aggregate.l
> /usr/man/manl/create_database.l
> /usr/man/manl/create_function.l
> /usr/man/manl/create_index.l
> /usr/man/manl/create_language.l
> /usr/man/manl/create_operator.l
> /usr/man/manl/create_rule.l
> /usr/man/manl/create_sequence.l
> /usr/man/manl/create_table.l
> /usr/bin/pg_dump
> /usr/bin/pg_dumpall
> /usr/bin/pg_upgrade
> /usr/bin/pg_passwd
> /usr/bin/cleardbdir
> /usr/bin/createdb
> /usr/bin/createlang
> /usr/bin/createuser
> /usr/bin/destroydb
> /usr/bin/destroylang
> /usr/bin/destroyuser
> /usr/bin/initdb
> /usr/bin/vacuumdb
> /usr/bin/initlocation
> /usr/bin/ipcclean
> /usr/include/lib
> /usr/include/lib/dllist.h
> /usr/include/pgsql
> /usr/include/pgsql/access
> /usr/include/pgsql/access/attnum.h
> /usr/include/pgsql/commands
> /usr/include/pgsql/commands/trigger.h
> /usr/include/pgsql/executor
> /usr/include/pgsql/executor/spi.h
> /usr/include/pgsql/libpq
> /usr/include/pgsql/libpq/pqcomm.h
> /usr/include/pgsql/libpq/libpq-fs.h
> /usr/include/pgsql/libpq++
> /usr/include/pgsql/libpq++/pgconnection.h
> /usr/include/pgsql/libpq++/pgdatabase.h
> /usr/include/pgsql/libpq++/pgtransdb.h
> /usr/include/pgsql/libpq++/pgcursordb.h
> /usr/include/pgsql/libpq++/pglobject.h
> /usr/include/pgsql/port
> /usr/include/pgsql/port/linux
> /usr/include/pgsql/utils
> /usr/include/pgsql/utils/geo_decls.h
> /usr/include/pgsql/utils/elog.h
> /usr/include/pgsql/utils/palloc.h
> /usr/include/pgsql/utils/mcxt.h
> /usr/include/pgsql/fmgr.h
> /usr/include/pgsql/os.h
> /usr/include/pgsql/config.h
> /usr/include/pgsql/c.h
> /usr/include/pgsql/postgres.h
> /usr/include/pgsql/postgres_ext.h
> /usr/include/pgsql/libpq-fe.h
> /usr/include/pgsql/libpq-int.h
> /usr/include/pgsql/ecpgerrno.h
> /usr/include/pgsql/ecpglib.h
> /usr/include/pgsql/ecpgtype.h
> /usr/include/pgsql/sqlca.h
> /usr/include/pgsql/libpq++.H
> /usr/lib/libpq.a
> /usr/lib/libpq.so.2.0
> /usr/lib/libpq.so.2
> /usr/lib/libpq.so
> /usr/lib/libecpg.a
> /usr/lib/libecpg.so.3.0.0
> /usr/lib/libecpg.so.3
> /usr/lib/libecpg.so
> /usr/lib/libpq++.a
> /usr/lib/libpq++.so.3.0
> /usr/lib/libpq++.so.3
> /usr/lib/libpq++.so
> /usr/lib/plpgsql.so
> /usr/lib/pgsql
> /usr/lib/pgsql/global1.bki.source
> /usr/lib/pgsql/local1_template1.bki.source
> /usr/lib/pgsql/pg_geqo.sample
> /usr/man/manl/create_trigger.l
> /usr/man/manl/create_type.l
> /usr/man/manl/create_user.l
> /usr/man/manl/create_version.l
> /usr/man/manl/create_view.l
> /usr/man/manl/declare.l
> /usr/man/manl/delete.l
> /usr/man/manl/drop.l
> /usr/man/manl/drop_aggregate.l
> /usr/man/manl/drop_database.l
> /usr/man/manl/drop_function.l
> /usr/man/manl/drop_index.l
> /usr/man/manl/drop_language.l
> /usr/man/manl/drop_operator.l
> /usr/man/manl/drop_rule.l
> /usr/man/manl/drop_sequence.l
> /usr/man/manl/drop_table.l
> /usr/man/manl/drop_trigger.l
> /usr/man/manl/drop_type.l
> /usr/man/manl/drop_user.l
> /usr/man/manl/drop_view.l
> /usr/man/manl/end.l
> /usr/man/manl/explain.l
> /usr/man/manl/fetch.l
> /usr/man/manl/grant.l
> /usr/man/manl/insert.l
> /usr/man/manl/listen.l
> /usr/man/manl/load.l
> /usr/man/manl/lock.l
> /usr/man/manl/move.l
> /usr/man/manl/notify.l
> /usr/man/manl/reset.l
> /usr/man/manl/revoke.l
> /usr/man/manl/rollback.l
> /usr/man/manl/select.l
> /usr/man/manl/set.l
> /usr/man/manl/show.l
> /usr/man/manl/sql.l
> /usr/man/manl/update.l
> /usr/man/manl/vacuum.l
> /var/lib/pgsql
> /var/lib/pgsql/base
> /var/lib/pgsql/base/template1
> /var/lib/pgsql/base/template1/pg_proc
> /var/lib/pgsql/base/template1/pg_type
> /var/lib/pgsql/base/template1/pg_attribute
> /var/lib/pgsql/base/template1/pg_class
> /var/lib/pgsql/base/template1/pg_inherits
> /var/lib/pgsql/base/template1/pg_index
> /var/lib/pgsql/base/template1/pg_statistic
> /var/lib/pgsql/base/template1/pg_operator
> /var/lib/pgsql/base/template1/pg_opclass
> /var/lib/pgsql/base/template1/pg_am
> /var/lib/pgsql/base/template1/pg_amop
> /var/lib/pgsql/base/template1/pg_amproc
> /var/lib/pgsql/base/template1/pg_language
> /var/lib/pgsql/base/template1/pg_aggregate
> /var/lib/pgsql/base/template1/pg_ipl
> /var/lib/pgsql/base/template1/pg_inheritproc
> /var/lib/pgsql/base/template1/pg_rewrite
> /var/lib/pgsql/base/template1/pg_listener
> /var/lib/pgsql/base/template1/pg_description
> /var/lib/pgsql/base/template1/pg_attribute_relid_attnam_index
> /var/lib/pgsql/base/template1/pg_attribute_relid_attnum_index
> /var/lib/pgsql/base/template1/pg_attribute_attrelid_index
> /var/lib/pgsql/base/template1/pg_proc_oid_index
> /var/lib/pgsql/base/template1/pg_proc_proname_narg_type_index
> /var/lib/pgsql/base/template1/pg_proc_prosrc_index
> /var/lib/pgsql/base/template1/pg_type_oid_index
> /var/lib/pgsql/base/template1/pg_type_typname_index
> /usr/lib/pgsql/pg_hba.conf.sample
> /usr/man/man1/cleardbdir.1
> /usr/man/man1/createdb.1
> /usr/man/man1/createuser.1
> /usr/man/man1/destroydb.1
> /usr/man/man1/destroyuser.1
> /usr/man/man1/ecpg.1
> /usr/man/man1/initdb.1
> /usr/man/man1/initlocation.1
> /usr/man/man1/ipcclean.1
> /usr/man/man1/pg_dump.1
> /usr/man/man1/pg_dumpall.1
> /usr/man/man1/pg_passwd.1
> /usr/man/man1/pg_upgrade.1
> /usr/man/man1/postgres.1
> /usr/man/man1/postmaster.1
> /usr/man/man1/psql.1
> /usr/man/man3/catalogs.3
> /usr/man/man3/libpq.3
> /usr/man/man5/pg_hba.conf.5
> /usr/man/manl
> /usr/man/manl/abort.l
> /usr/man/manl/alter_table.l
> /usr/man/manl/alter_user.l
> /var/lib/pgsql/base/template1/pg_class_oid_index
> /var/lib/pgsql/base/template1/pg_class_relname_index
> /var/lib/pgsql/base/template1/pg_attrdef
> /var/lib/pgsql/base/template1/pg_attrdef_adrelid_index
> /var/lib/pgsql/base/template1/pg_relcheck
> /var/lib/pgsql/base/template1/pg_relcheck_rcrelid_index
> /var/lib/pgsql/base/template1/pg_trigger
> /var/lib/pgsql/base/template1/pg_trigger_tgrelid_index
> /var/lib/pgsql/base/template1/pg_description_objoid_index
> /var/lib/pgsql/base/template1/PG_VERSION
> /var/lib/pgsql/base/template1/pg_user
> /var/lib/pgsql/base/template1/pg_rules
> /var/lib/pgsql/base/template1/pg_views
> /var/lib/pgsql/base/template1/pg_tables
> /var/lib/pgsql/base/template1/pg_indexes
> /var/lib/pgsql/pg_variable
> /var/lib/pgsql/pg_database
> /var/lib/pgsql/pg_shadow
> /var/lib/pgsql/pg_group
> /var/lib/pgsql/pg_log
> /var/lib/pgsql/PG_VERSION
> /var/lib/pgsql/pg_hba.conf
> /var/lib/pgsql/pg_geqo.sample
> /var/lib/pgsql/pg_pwd

Глава 18 Серверное программное обеспечение (Прокси сервис) (Часть 1) В этой главе Прокси сервер Squid Использование библиотеки GNU malloc для улучшения производительности Squid Конфигурации Организация защиты Squid Оптимизация Squid Утилита cachemgr.cgi Конфигурация Netscape для работы с прокси сервером Squid

Прокси сервер Squid

Прокси сервера, с их способностью к экономии полосы пропускания, улучшения безопасности, улучшения скорости веб-серфинга, становятся все более и более популярными. В настоящее время на рынке есть только несколько программных прокси-серверов. Они имеют два основных недостатка: они коммерческие и не поддерживают ICP (ICP используется для обмена информации о наличии URL в соседнем кэше). Squid - это лучший выбор для кэширующего прокси-сервера, так как он надежный, бесплатный и поддерживает ICP.

Производный от "кэширующего" программного обеспечения ARPA-funded Harvest research project, разработанного в National Laboratory for Applied Network Research and funded by the National Science Foundation, Squid предлагает высокопроизводительное кэширование для веб клиентов, он также поддерживает FTP, Gopher и HTTP объекты данных. Squid хранит часто используемые объекты в RAM, поддерживает надежную базу данных объектов на диске, имеет комплексных механизм контроля доступа и поддерживает SSL протокол для посредничества в безопасных соединениях. В дополнение к этому, он поддерживает иерархические связи с другими прокси-серверами, базирующимися на Squid.

В нашем случае мы настроим Squid на запуск, как httpd-акселератора для лучшей производительности нашего веб-сервера. В режиме акселератора, Squid выступает как обратный кэширующий прокси: он принимает запросы клиентов, если это возможно, то удовлетворяет их из кэша, а если не возможно, то организует запросы к оригинальному серверу для которого выступает как обратный прокси. Также, мы покажем конфигурацию Squid, как кэширующего прокси-сервера, которая позволит всем пользователям вашей корпоративной сети использовать Squid для доступа в Интернет.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Squid версии 2.3.STABLE2

Пакеты.
Домашняя страница Squid: http://www.squid-cache.org/
FTP сервер Squid: 204.144.128.89
Вы должны скачать: squid-2.3.STABLE2-src.tar.gz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Squid и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Squid1

После инсталляции:
find /* > Squid2

Для получения списка установленных файлов:
diff Squid1 Squid2 > Squid-Installed

Раскройте тарбол:
[root@deep /]# cp squid-version.STABLEz-src.tar.gz /var/tmp
[root@deep /]# cd /var/tmp
[root@deep tmp]# tar xzpf squid-version.STABLEz-src.tar.gz

Настройка и оптимизация.

Прокси-сервер Squid не должен запускаться из под пользователя root, и по этой причине мы создаем специального пользователя, не имеющего оболочки, для запуска Squid.

Первое, мы добавляем пользователя "squid". Затем создаем каталог "/cache", если этот каталог не существует. В заключении, мы изменяем владельца каталога "cache" на "squid".

ЗАМЕЧАНИЕ. Обычно мы не нуждаемся в выполнении команды (mkdir /cache/), потому что мы уже создали этот каталог, когда разбивали наш жесткий диск при инсталляции Linux. Если этот раздел не существует, мы должны выполнить эту команду для создания каталога.

Шаг 2

Переместитесь в новый каталог Squid и выполните следующие команды на вашем терминале:

Редактируйте файл Makefile.in (vi +18 icons/Makefile.in) и измените следующие строки:

DEFAULT_ICON_DIR = $(sysconfdir)/icons
Должна быть:
DEFAULT_ICON_DIR = $(libexecdir)/icons

Мы изменили переменную (sysconfdir) на (libexecdir). Благодаря этому, каталог "icons" будет размещаться в "/usr/lib/squid".

Редактируйте файл Makefile.in (vi +34 src/Makefile.in) и измените следующие строки:

DEFAULT_CACHE_LOG = $(localstatedir)/logs/cache.log
Должна быть:
DEFAULT_CACHE_LOG = $(localstatedir)/log/squid/cache.log

DEFAULT_ACCESS_LOG = $(localstatedir)/logs/access.log
Должна быть:
DEFAULT_ACCESS_LOG = $(localstatedir)/log/squid/access.log

DEFAULT_STORE_LOG = $(localstatedir)/logs/store.log
Должна быть:
DEFAULT_STORE_LOG = $(localstatedir)/log/squid/store.log

DEFAULT_PID_FILE = $(localstatedir)/logs/squid.pid
Должна быть:
DEFAULT_PID_FILE = $(localstatedir)/run/squid.pid

DEFAULT_SWAP_DIR = $(localstatedir)/cache
Должна быть:
DEFAULT_SWAP_DIR = /cache

DEFAULT_ICON_DIR = $(sysconfdir)/icons
Должна быть:
DEFAULT_ICON_DIR = $(libexecdir)/icons

Мы изменили месторасположение принятое по умолчанию для файлов "cache.log", "access.log" и "store.log" на каталог "/var/log/squid". Затем, мы разместили pid файл для Squid в каталоге "/var/run", и в заключении, разместили каталог "icons" в "/usr/lib/squid/icons".

Использование библиотеки GNU malloc для улучшения производительности Squid

Если вы страдаете от ограничения памяти на вашей системе, то производительность кэша Squid будет пониженной. Для решения этой проблемы, вы можете связать Squid с внешней библиотекой malloc, такой как GNU malloc. Чтобы Squid использовал GNU malloc как внешнюю библиотеку выполните следующие шаги:

Пакеты
Домашняя страница GNU malloc: http://www.gnu.org/order/ftp.html
Вы должны скачать: malloc.tar.gz

Компилируйте и инсталлируйте GNU malloc на вашей системе выполнив следующие команды:

Копируйте файл "libmalloc.a" в каталог с вашими системными библиотеками под именем "libgnumalloc.a".

Копируйте файл "malloc.h" в каталог с системными заголовочными файлами под именем gnumalloc.h".

Squid автоматически определит файлы "libgnumalloc.a" и "gnumalloc.h" и будет использовать их для улучшения производительности кэша.

Компиляция и оптимизация

Перейдите в каталог с исходными кодами Squid и введите следующие команды на вашем терминале:

Эти опции говорят Squid:

• Использовать delay pools для ограничения и контроля использования полосы пропускания пользователями.
• Использовать Cache Digests для улучшения времени ответа клиентам и использования сети.
• Использовать poll() вместо select(), так как это предпочтительней чем select.
• Отключить ident-lookups для удаления кодов, которые выполняют Ident (RFC 931) lookups и уменьшить возможность denial-of-service.
• Разрешить усекание, чтобы осуществить некоторое улучшение в производительности при удалении файлов.
• Использовать возможность Squid, называемую heap-replacement, чтобы иметь возможность выбора различных вариантов алгоритма замены кэша вместо стандартного алгоритма LRU для улучшения производительности. Смотрите ниже для более детального объяснения.

Сейчас, мы должны скомпилировать и инсталлировать Squid на сервере:

Команда "make -f" будет компилировать все исходные файлы в исполняемые двоичные, "make install" будет инсталлировать все исполняемые и сопутствующие им файлы в необходимые места. Команда "mkdir" создаст новый каталог "squid" под каталогом "/var/log". Команда "rm -rf" удалит каталог "/var/logs", так как этот каталог был создан для храннеия файлов регистрации, связанных со Squid, которые были перемещены в каталог "/var/log/squid". Команда "chown" изменит владельца "/var/log/squid" на пользователя squid, и "chmod" изменит права доступа к каталогам "squid" и "cache" (0750/drwxr-x---) из соображений безопасности. Заметим, что мы удаляем небольшие скрипты "RunCache" и "RunAccel", которые запускают Squid в режиме кэширования или акселератора, так как мы используем лучший скрипт "squid" расположенный в каталоге "/etc/rc.d/init.d/". Команда "strip" уменьшит размер двоичных файлов для оптимизации их производительности.

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции Squid и GNU malloc. Также будут удалены сжатые архивы Squid и GNU malloc из каталога "/var/tmp".

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файлы связанные с Squid из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска Squid в режиме httpd-акселератора следующие файлы должны быть созданы или скопированы на ваш сервер.

Копируйте squid.conf в каталог "/etc/squid/".
Копируйте squid в каталог "/etc/rc.d/init.d/".
Копируйте squid в каталог "/etc/logrotate.d/".

Для запуска Squid в режиме кэширующего прокси-сервера следующие файлы должны быть созданы или скопированы на ваш сервер.

Копируйте squid.conf в каталог "/etc/squid/".
Копируйте squid в каталог "/etc/rc.d/init.d/".
Копируйте squid в каталог "/etc/logrotate.d/".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация файла "/etc/squid/squid.conf" для режима httpd-акселератора

Файл "squid.conf" используется для установки и конфигурирования всех опций для вашего прокси-сервера Squid. В конфигурационном файле приведенном ниже, мы будем настраивать Squid на работу в режиме httpd- акселератора. В этом режиме, если Веб сервер запущен на том же сервере где Squid, то вы должны настроить демон на порт 81. В случае с веб сервером Apache, вы можете сделать это назначив вместо 80 порта 81 в файле "httpd.conf". Если Веб-сервер запущен на других серверах вашей сети, вы можете оставить тот же номер порта (80) для Apache, так как Squid подключен на другом IP адресе, где порт (80) не используется.

Редактируйте файл squid.conf (vi /etc/squid/squid.conf) и добавьте/измените следующие опции:

http_port 80
icp_port 0
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
cache_dir ufs /cache 200 16 256
emulate_httpd_log on
redirect_rewrites_host_header off
replacement_policy GDSF
acl all src 0.0.0.0/0.0.0.0
http_access allow all
cache_mgr admin@openna.com
cache_effective_user squid
cache_effective_group squid
httpd_accel_host 208.164.186.3
httpd_accel_port 80
log_icp_queries off
cachemgr_passwd my-secret-pass all
buffered_logs on

Эти опции обозначают следующее:

http_port 80
Опция "http_port" определяет номер порта на котором Squid слушает HTTP запросы клиентов. Если вы установите его в 80, у клиента будет создаваться иллюзия, что он соединяется с веб сервером Apache. Так как мы запускаем Squid в режиме акселератора, мы должны слушать 80 порт.

icp_port 0
Опция "icp_port" определяет номер порта на который Squid будет посылать и принимать ICP запросы от соседних кэшей. Мы должны установить эту опцию в 0, чтобы отключить эту возможность, так как мы настраиваем Squid для работы в режиме акселератора для Веб сервера. Возможность ICP нужна только в многоуровневых кэш окружениях с несколькими братскими и родительскими кэшами. Использование ICP в режиме акселератора будет добавлять нежелательные издержки в работе Squid.

acl QUERY urlpath_regex cgi-bin \? и no_cache deny QUERY
Опции "acl QUERY urlpath_regex cgi-bin \? и no_cache deny QUERY" используются для того, чтобы некоторые объекты никогда не кэшировались, например файлы и каталога "cgi-bin". Эта функция безопасности.

cache_mem 16 MB
Опция "cache_mem" определяет количество памяти (RAM) используемое для кэширования таких вызовов: In-Transit objects, Hot Objects, Negative-Cached objects. Это оптимизационная возможность. Важно заметить, что Squid может использовать намного больше памяти, чем значение этого параметра, и из этих соображений, если вы имеете для Squid 48 MB, вы должны здесь выделить 48/3 = 16 MB.

cache_dir ufs /cache 200 16 256
Опция "cache_dir" определяет по порядку: тип используемой системы хранения (ufs), имя каталога для кэша (/cache), объем дискового пространства выделяемый под этот каталог (200 Mbytes), число подкаталогов первого уровня, создаваемых в каталоге кэша (16 Level-1), и число подкаталогов второго уровня создаваемых под каждым подкаталогом первого уровня (256 Level-2). В режиме акселератора, эта опция напрямую связана с размером и количеством файлов, которое вы хотите обслуживать вашим Веб сервером Apache.

emulate_httpd_log on
Опция "emulate_httpd_log", если установлена в "ON", определяет, что Squid должен эмулировать формат файлов регистраций веб сервера Apache. Это очень полезно если вы хотите использовать программы третьих разработчиков, подобные Webalizer, для анализа файлов регистраций веб сервера (httpd).

redirect_rewrites_host_header off
Опция "redirect_rewrites_host_header", если установлена в "OFF", говорит Squid не переписывать любые хосты: заголовки в перенаправленных пакетах. Здесь рекомендуется установить значение "OFF", если вы запускаете Squid в режиме акселератора.

replacement_policy GDSF
Опция "replacement_policy" определяет политику кэша Squid, используемую для определения, какие объекты в кэше должны быть заменены, когда прокси нужно освободить дисковое пространство. Политика Squid LRU используется по умолчанию, если вы во время компиляции не определили опцию "--enable- heap-replacement". В нашей конфигурации, мы выбрали GDSF (Greedy-Dual Size Frequency), как политику по умолчанию. Смотрите http://www.hpl.hp.com/techreports/1999/HPL-1999-69.html и http://fog.hpl.external.hp.com/techreports/98/HPL-98-173.html для большей информации.

acl all src 0.0.0.0/0.0.0.0 and http_access allow all
Опции "acl" и "http_access" определяют списки доступа применяемые на прокси сервере Squid. Наш "acl" и "http_access" не ограничивающие, они позволяют всем соединяться с прокси сервером, так как мы используем его для ускорения работы публичного веб сервера Apache. Смотрите вашу документацию по Squid для получения большей информации об использовании Squid в режиме кэширования.

cache_mgr admin
Опция "cache_mgr" определяет почтовый адрес администратора отвечающего за работоспособность прокси сервера Squid. Этот человек будет получать почту, если при работе Squid возникнут проблемы. Вы можете задать имя или полный почтовый адрес.

cache_effective_user squid и cache_effective_group squid
Опции "cache_effective_user" и "cache_effective_group" определяют UID/GID, под которыми будет запущен кэш. Не забудьте, никогда не запускайте Squid как "root". В нашей конфигурации мы используем UID "squid" и GID "squid".

httpd_accel_host 208.164.186.3 и httpd_accel_port 80
Опции "httpd_accel_host" и "httpd_accel_port" определяют IP адрес и номер порта реального HTTP сервера (например, Apache). В нашей конфигурации, реальный HTTP Веб сервер имеет адрес 208.164.186.3 (www.openna.com) и порт (80). "www.openna.com" это другой сервер в нашей сети, и так как прокси сервер Squid не находится на одном компьютере с Веб сервером Apache, мы используем порт (80) для нашего прокси сервера и порт (80) для Apache веб сервера.

log_icp_queries off
Опция "log_icp_queries" определяет хотите ли вы регистрировать ICP (ICP используется для обмена информации о наличии в соседних кэшах URL-ов) запросы в файл "access.log" или нет. Так как мы не используем ICP в режиме акселератора, мы можем спокойно установить ее в "OFF".

cachemgr_passwd my-secret-pass all
Опция "cachemgr_passwd" определяет пароль, который будет требоваться для доступа к операциям из утилиты "cachemgr.cgi". Эта CGI утилита создана для запуска через веб интерфейс и вывода статистических данных о конфигурации и работе Squid. <my-secret-pass> - это пароль, который вы выбрали, ключевое слово <all> определяет, что он будет один и тот же для всех действий доступных из этой программы. Смотрите раздел "Утилита cachemgr.cgi", приведенный ниже в этой главе для получения большей информации.

buffered_logs on
Опция "buffered_logs", если установлена в "ON", может немного увеличить скорость записи некоторых файлов регистрации. Это оптимизационная возможность.

Конфигурация файла "/etc/squid/squid.conf" для режима кэширующего прокси

Внеся небольшие изменения в файл "squid.conf", используемый для запуска Squid как http-акселератор, мы запустим его как кэширующий прокси сервер. Если Squid запущен как кэширующий прокси сервер, все пользователи вашей корпоративной сети смогут использовать его для доступа в интернет. В этой конфигурации, мы будем иметь полный контроль над проходящим трафиком и сможем определять политику просмотра, доступа и выкачивания. Вы также сможете контролировать использование полосы пропускания, времени соединения и т.д. Кэширующий прокси сервер может быть настроен на запуск как автономный сервер вашей корпорации или использование разделяемой иерархии кэшей с другими серверами в Интернет.

В первом примере, приведенном ниже, мы покажем как настроить Squid как автономный сервер, а затем немного поговорим о конфигурации иерархических кэшей, где два или более серверов кооперируются для предоставления документов друг другу.

Редактируйте файл squid.conf (vi /etc/squid/squid.conf) и добавьте/измените следующие опции для запуска кэширующего прокси сервера, как автономного сервера:

http_port 8080
icp_port 0
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
cache_dir ufs /cache 200 16 256
redirect_rewrites_host_header off
replacement_policy GDSF
acl localnet src 192.168.1.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
cache_mgr admin@openna.com
cache_effective_user squid
cache_effective_group squid
log_icp_queries off
cachemgr_passwd my-secret-pass all
buffered_logs on

Большие отличия от конфигурации для режима httpd-акселератора вносит использование списков контроля доступа (ACL). Эта возможность позволяет ограничивать доступ базируясь на исходном IP адресе (src), IP адресе получателя (dst), исходном домене, домене назначения, времени и т.д. Много типов контроля существует благодаря этой возможности и вы должны посмотреть оригинальный файл "Squid.conf" для получения полного списка. Ниже приведены четыре основных типа:

acl    имя    тип     данные
|       |      |         |
acl some-name src a.b.c.d/e.f.g.h # ACL на основе IP адреса отправителя 
acl some-name dst a.b.c.d/e.f.g.h # ACL на основе IP адреса получателя 
acl some-name srcdomain foo.com # ACL на основе имени домена отправителя
acl some-name dstdomain foo.com # ACL на основе имени домена назначения

Как пример, ограничим доступ к вашему прокси серверу только вашими внутренними клиентами и определим диапазон портов к которым можно обращаться:

Эти acl будут разрешать доступ всем внутренним клиентам из диапазона приватных адресов класса C 192.168.1.0; также разрешается доступ с IP адреса localhost (специальный IP адрес используемый для доступа к самому себе). Затем мы выбираем диапазон портов (80=http, 443=https, 210=wais, 119=nntp, 70=gopher и 21=ftp), к которым внутренние клиенты могут обращаться, мы запрещаем метод CONNECT для предотвращения попыток подключения внешних пользователей к прокси серверу, и в заключении мы запрещаем доступ со всех IP адресов.

Многоуровневое Веб кэширование

Второй метод работы кэширующего прокси это так называемый "Multi-level Web Caching", при котором вы сотрудничаете с большим числом других кэшей в Интрнет. В этом случае ваша организация использует кэши других прокси серверов и другие сервера используют ваш кэш. Следует заметить, что в этой ситуации, кэширующие прокси играют две различные роли в иерархии. Они могут быть настроены, как кэши, имеющие одного "родителя" (sibling) и иметь возможность выдавать документы, которые уже имеют, или настроены как родительские сервера и иметь возможность брать документы из других кэшей или непосредственно с серверов.

ЗАМЕЧАНИЕ. Хорошей стратегией для предотвращения большого сетевого трафика при отсутствии веб кэширования будет настройка несколько sibling кэшей и только небольшого числа родительских кэшей.

Настройка скрипта "/etc/rc.d/init.d/squid" для всех типов конфигураций

Настроим ваш скрипт "/etc/rc.d/init.d/squid" для запуска и остановки кэширующего прокси сервера Squid. Это скрипт изменит установки кэша подкачки на "/cache" вместо "/var/spool/squid".

Создайте скрипт squid (touch /etc/rc.d/init.d/squid) и добавьте в него:

#!/bin/bash
# squid Этот скрипт отвечает за запуск и остановку
# Squid Internet Object Cache
#
# chkconfig: - 90 25
# описание: Squid - Internet Object Cache. Internet object caching - это путь
# для хранения запрошенных объектов из Интернет (например, данные
# доступные через протоколы HTTP, FTP и gopher) на системах находящихся 
# ближе к требуемым серверам, чем организатор запроса. Веб броузеры могут
# затем использовать локальный кэш как прокси HTTP сервер, сокращая
# время доступа и сохраняя полосу пропускания.
# pid файл: /var/run/squid.pid
# конфигурационный файл: /etc/squid/squid.conf
PATH=/usr/bin:/sbin:/bin:/usr/sbin
export PATH
# Библиотека исходных функций.
. /etc/rc.d/init.d/functions
# Исходная сетевая конфигурация.
. /etc/sysconfig/network
# Проверка, что сеть работает.
[ ${NETWORKING} = "no" ] && exit 0
# проверка наличия конфигурационного файла squid
[ -f /etc/squid/squid.conf ] || exit 0
# определения имени двоичного файла squid
[ -f /usr/sbin/squid ] && SQUID=squid
[ -z "$SQUID" ] && exit 0
# определения cache_swap каталога
CACHE_SWAP=`sed -e 's/#.*//g' /etc/squid/squid.conf | \
grep cache_dir | sed -e 's/cache_dir//' | \
cut -d ' ' -f 2`
[ -z "$CACHE_SWAP" ] && CACHE_SWAP=/cache
# опции squid по умолчанию
# -D отключение проверки dns при инициализации. Если вы скорее всего
# не будете иметь соединения с Интернет во время старта squid,
# раскомментируйте это
#SQUID_OPTS="-D"
RETVAL=0
case "$1" in
  start)
    echo -n "Starting $SQUID: "
    for adir in $CACHE_SWAP; do
      if [ ! -d $adir/00 ]; then
        echo -n "init_cache_dir $adir... "
        $SQUID -z -F 2>/dev/null
      fi
    done
    $SQUID $SQUID_OPTS &
    RETVAL=$?
    echo $SQUID
    [ $RETVAL -eq 0 ] && touch /var/lock/subsys/$SQUID
  ;;
  stop)
    echo -n "Stopping $SQUID: "
    $SQUID -k shutdown &
    RETVAL=$?
    if [ $RETVAL -eq 0 ] ; then
      rm -f /var/lock/subsys/$SQUID
      while : ; do
        [ -f /var/run/squid.pid ] || break
        sleep 2 && echo -n "."
      done
      echo "done"
    else
      echo
    fi
  ;;
  reload)
    $SQUID $SQUID_OPTS -k reconfigure
    exit $?
  ;;
  restart)
   $0 stop
   $0 start
  ;;
  status)
   status $SQUID
   $SQUID -k check
   exit $?
  ;;
  probe)
    exit 0;
  ;;
  *)
     echo "Usage: $0 {start|stop|status|reload|restart}"
     exit 1
esac
exit $RETVAL

Сейчас, сделайте этот скрипт исполняемым и измените права доступа:

Создайте символическую rc.d ссылку для Squid следующей командой:

По умолчанию скрипт squid не будет автоматически запускать прокси сервер на Red Hat Linux, когда перезагружаете сервер. Вы можете изменить это следующей командой:

Запустите ваш новый прокси сервер Squid вручную:

Конфигурация файла "/etc/logrotate.d/squid"

Настроим ваш файл "/etc/logrotate.d/squid" для автоматической ротации файлов регистраций каждую неделю.

Создайте файл squid (touch /etc/logrotate.d/squid) и добавьте в него:

/var/log/squid/access.log {
    weekly
    rotate 5
    copytruncate
    compress
    notifempty
    missingok
}
/var/log/squid/cache.log {
    weekly
    rotate 5
    copytruncate
    compress
    notifempty
    missingok
}
/var/log/squid/store.log {
    weekly
    rotate 5
    copytruncate
    compress
    notifempty
    missingok
# This script asks squid to rotate its logs on its own.
# Restarting squid is a long process and it is not worth
# doing it just to rotate logs
    postrotate
    /usr/sbin/squid -k rotate
    endscript
}

Глава 18 Серверное программное обеспечение (Прокси сервис) (Часть 2) В этой главе Прокси сервер Squid Использование библиотеки GNU malloc для улучшения производительности Squid Конфигурации Организация защиты Squid Оптимизация Squid Утилита cachemgr.cgi Конфигурация Netscape для работы с прокси сервером Squid

Организация защиты Squid

Если вы создаете кэш-каталог для Squid в независимом разделе вашей Linux системы (например, /cache), подобно тому как мы делали во время инсталляции, тогда вы можете использовать опции noexec, nodev и nosuid для улучшения и укрепления безопасности кэша. Эти параметры могут быть установлены в файле "/etc/fstab" и дают указания системе не исполнять любые двоичные файлы (noexec), не интерпретировать символьные и блочные специальные устройства (nodev) и не позволять действовать битам set-user-identifier или set-group- identifier (nosuid) на монтированной файловой системе (/cache, например). Примените эту процедуру на раздел, где располагается кэш Squid, чтобы предотвратить возможность DEV, SUID/SGID и выполнения любых двоичных файлов.

Например, предположим на разделе "/dev/sda8" располагается каталог "/cache". Вы должны редактировать файл fstab (vi /etc/fstab) и изменить строку, связанную с "/dev/sda8":

/dev/sda8 /cache ext2 defaults 1 2
должна быть:
/dev/sda8 /cache ext2 noexec,nodev,nosuid 1 2

ЗАМЕЧАНИЕ. Вы должны перезагрузить систему, чтобы изменения вступили в силу.

Как мы знаем, бит "постоянства" может быть использован для предотвращения удаления, переписывания или создания символической ссылки к файлу. Так как файл "squid.conf" уже настроен, хорошей идеей будет иммунизировать его:

Оптимизация Squid

Атрибуты atime и noatime могут быть использованы, чтобы немного улучшить производительность кэша Squid. Смотрите главу 4 в этой книге, "Общая системная оптимизация", для большей информации по этой теме.

Наиболее важный ресурс для Squid это физическая память. Вам не нужен очень быстрый процессор. Ваша дисковая система будет основным узким местом, так что быстрые диски важны для кэша. Не используйте IDE дисков, есди это возможно.

Утилита cachemgr.cgi

Утилита cachemgr.cgi, доступная по умолчанию, когда вы скомпилировали и инсталлировали Squid на вашей системе, создана для запуска через веб интерфейс, и выводит различную статистику о конфигурации и работе Squid. Эта программа располагается в каталоге "/usr/lib/squid", и вы должны переместить ее в ваш каталог "cgi-bin" (например, /home/httpd/cgi-bin). Следующие шаги помогут вам настроить программу для использования.

Переместите программу "cachemgr.cgi" в ваш каталог "cgi-bin":

ЗАМЕЧАНИЕ. Я подразумеваю, что ваш каталог "cgi-bin" расположен в каталоге "/home/httpd/cgi-bin"; возможны и другие пути. Этот "cgi-bin" будет существовать если вы инсталлировали веб сервер Apache.

После того, как вы переместили "cachemgr.cgi" в "cgi-bin", вы можете обратится к ней введя в вашем броузере следующий адрес (http://my-web-server/cgi- bin/cachemgr.cgi).

<my-web-server> это адрес вашего веб сервера Apache, а <cachemgr.cgi> это утилита, которую вы только, что переместили в каталог "cgi-bin" для получения информации и конфигурации прокси сервера Squid.

Если вы настраивали файл "squid.conf", то используйте парольную аутентификацию для доступа к "cachemgr.cgi", вам будет предложено ввести имя кэша (Cache Host), порт кэша (Cache Port), имя администратора (Manager name) и пароль (Password) перед тем, как допустят к программе "cachemgr.cgi". Смотрите конфигурационный файл "/etc/squid/squid.conf", приведенный выше, для большей информации.

После того как вы прошли аутентификацию на сервере, вы увидите в вашем броузере интерфейс Cache Manager menu, где вы сможете изучать и анализировать различные опции связанные с прокси сервером Squid.

Конфигурация Netscape для работы с прокси сервером Squid

Если вы решили использовать Squid как кэширующий прокси сервер и позволять всем пользователям использовать его для доступа в Интернет, вы должны настроить соответствующим образом броузеры пользователей, чтобы они брали информацию со Squid, вместо прямого обращения в Интернет.

Для Netscape Communicator, выполните следующие шаги:

1. Откройте Netscape Communicator
2. Перейдите в меню Edit
3. Щелкните на Preferences .
4. Двойной щелчок мыши на Advanced category слевой стороны
5. Щелкните на подкатегории Proxies
6. Выберите с правой стороны радио кнопку Manual proxy configuration
7. Щелкните на кнопке View
8. Заполните поля с информацией о вашем прокси сервере
   Например:
   • HTTP: 208.164.186.1 Port: 8080
   • Security: 208.164.186.1 Port: 8080
   • FTP: 208.164.186.1 Port: 8080
   • Gopher: 208.164.186.1 Port: 8080
   • WAIS: 208.164.186.1 Port: 8080

Инсталлированные файлы

> /etc/squid
> /etc/squid/mib.txt
> /etc/squid/squid.conf.default
> /etc/squid/squid.conf
> /etc/squid/mime.conf.default
> /etc/squid/mime.conf
> /etc/squid/errors
> /etc/squid/errors/ERR_ACCESS_DENIED
> /etc/squid/errors/ERR_CACHE_ACCESS_DENIED
> /etc/squid/errors/ERR_CACHE_MGR_ACCESS_DENIED
> /etc/squid/errors/ERR_CANNOT_FORWARD
> /etc/squid/errors/ERR_CONNECT_FAIL
> /etc/squid/errors/ERR_DNS_FAIL
> /etc/squid/errors/ERR_FORWARDING_DENIED
> /etc/squid/errors/ERR_FTP_DISABLED
> /etc/squid/errors/ERR_FTP_FAILURE
> /etc/squid/errors/ERR_FTP_FORBIDDEN
> /etc/squid/errors/ERR_FTP_NOT_FOUND
> /etc/squid/errors/ERR_FTP_PUT_CREATED
> /etc/squid/errors/ERR_FTP_PUT_ERROR
> /etc/squid/errors/ERR_FTP_PUT_MODIFIED
> /etc/squid/errors/ERR_FTP_UNAVAILABLE
> /etc/squid/errors/ERR_INVALID_REQ
> /etc/squid/errors/ERR_INVALID_URL
> /etc/squid/errors/ERR_LIFETIME_EXP
> /etc/squid/errors/ERR_NO_RELAY
> /etc/squid/errors/ERR_ONLY_IF_CACHED_MISS
> /etc/squid/errors/ERR_READ_ERROR
> /etc/squid/errors/ERR_READ_TIMEOUT
> /etc/rc.d/rc4.d/S90squid
> /etc/rc.d/rc5.d/S90squid
> /etc/rc.d/rc6.d/K25squid
> /etc/logrotate.d/squid
> /usr/lib/squid
> /usr/lib/squid/dnsserver
> /usr/lib/squid/unlinkd
> /usr/lib/squid/cachemgr.cgi
> /usr/lib/squid/icons
> /usr/lib/squid/icons/anthony-binhex.gif
> /usr/lib/squid/icons/anthony-bomb.gif
> /usr/lib/squid/icons/anthony-box.gif
> /usr/lib/squid/icons/anthony-box2.gif
> /usr/lib/squid/icons/anthony-c.gif
> /usr/lib/squid/icons/anthony-compressed.gif
> /usr/lib/squid/icons/anthony-dir.gif
> /usr/lib/squid/icons/anthony-dirup.gif
> /usr/lib/squid/icons/anthony-dvi.gif
> /usr/lib/squid/icons/anthony-f.gif
> /usr/lib/squid/icons/anthony-image.gif
> /usr/lib/squid/icons/anthony-image2.gif
> /usr/lib/squid/icons/anthony-layout.gif
> /usr/lib/squid/icons/anthony-link.gif
> /usr/lib/squid/icons/anthony-movie.gif
> /usr/lib/squid/icons/anthony-pdf.gif
> /usr/lib/squid/icons/anthony-portal.gif
> /usr/lib/squid/icons/anthony-ps.gif
> /usr/lib/squid/icons/anthony-quill.gif
> /usr/lib/squid/icons/anthony-script.gif
> /etc/squid/errors/ERR_SHUTTING_DOWN
> /etc/squid/errors/ERR_SOCKET_FAILURE
> /etc/squid/errors/ERR_TOO_BIG
> /etc/squid/errors/ERR_UNSUP_REQ
> /etc/squid/errors/ERR_URN_RESOLVE
> /etc/squid/errors/ERR_WRITE_ERROR
> /etc/squid/errors/ERR_ZERO_SIZE_OBJECT
> /etc/rc.d/init.d/squid
> /etc/rc.d/rc0.d/K25squid
> /etc/rc.d/rc1.d/K25squid
> /etc/rc.d/rc2.d/K25squid
> /etc/rc.d/rc3.d/S90squid
> /usr/lib/squid/icons/anthony-sound.gif
> /usr/lib/squid/icons/anthony-tar.gif
> /usr/lib/squid/icons/anthony-tex.gif
> /usr/lib/squid/icons/anthony-text.gif
> /usr/lib/squid/icons/anthony-unknown.gif
> /usr/lib/squid/icons/anthony-xbm.gif
> /usr/lib/squid/icons/anthony-xpm.gif
> /usr/sbin/RunCache
> /usr/sbin/RunAccel
> /usr/sbin/squid
> /usr/sbin/client
> /var/log/squid

Глава 19 Серверное программное обеспечение (Веб сервис) (Часть 1) В этой главе Linux MM - библиотека совместно используемой памяти Веб-сервер Apache Конфигурации PHP4 - язык скриптов со стороны сервера Perl библиотека - CGI.pm Организация защиты Apache Запуск Apache с использованием chroot. Оптимизация Apache

Linux MM - библиотека совместно используемой памяти

Если вы планируете инсталлировать и использовать модули для веб сервера Apache, разработанные третьими лицами, такими как mod_perl или mod_php, то я рекомендую установить эту небольшую программу на вашем сервере. Она даст увеличение производительности этих модулей. Другой пример, если вы захотите инсталлировать Apache с поддержкой SSL для организации электронной коммерции в Интернет, то MM позволит SSL протоколу использовать высокопроизводительный кэш сессий, базирующийся на RAM вместо базирующегося на диске.

Как объяснено на веб сервере MM библиотеки совместно используемой памяти: MM библиотека - это 2-уровневая абстрактная библиотека, которая упрощает использование общей памяти между процессами, образованными в результате операции fork, на платформе Unix. На первом уровне она скрывает все платформо-зависимые детали реализации (распределение и блокирование) операций со совместно используемыми сегментами памяти, а на втором уровн предоставляет высокоуровневый API в стиле malloc(3) для удобного и хорошо известного пути работы со структурами данных в этих общих сегментах памяти.

Библиотека реализована под условиями open-source (BSD-style) лицензии. Изначально она была написана, как планировалось, для использования внутри следующей версии веб сервера Apache, как базовая библиотека для предоставления совместно используемых пулов памяти модулям Apache (потому что сейчас, модули Apache могут использовать только память с неупорядоченным хранением данных (heap-allocated memory), которые не используется совместно между pre-forked процессами). Требования этой библиотеки в основном происходит от комплексных модулей подобных mod_ssl, mod_perl и mod_php, которые извлекли бы много выгоды из совместно используемых пулов памяти.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Mm версии 1.1.2

Пакеты.
Домашняя страница MM: http://www.engelschall.com/sw/mm/
Вы должны скачать: mm-1.1.2.tar.gz

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции MM и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > MM1

После инсталляции:
find /* > MM2

Для получения списка установленных файлов:
diff MM1 MM2 > MM-Installed

Раскройте тарбол:

Переместитесь в новый каталог mm и введите следующие команды на терминале

Опции говорят MM:
- Отключить совместно используемые библиотеки.

Сейчас, мы должны скомпилировать и инсталлировать библиотеку совместно используемой памяти:

ЗАМЕЧАНИЕ. Команда "make test" создаст несколько важных тестов, для проверки работоспособности программы.

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции mm. Также будет удален сжатый архив mm.

Для получения большей информации, вы можете прочитать несколько страниц руководства:

mm-config (1) - конфигурационный файл библиотеки MM

/usr/bin/mm-config
/usr/include/mm.h
/usr/lib/libmm.la
/usr/lib/libmm.a
/usr/man/man1/mm-config.1
/usr/man/man3/mm.3

Веб-сервер Apache

Apache - это, в настоящее время, наиболее широко используемый HTTP-сервер в мире. Он обогнал всех коммерческих и свободно-распространяемых конкурентов на рынке, и предоставляет огромное число возможностей. Также это наиболее популярный веб сервер под Linux. Веб сервера подобные Apache, в простейшем случае, выводят HTML страницы, располагающиеся на сервере, на клиентские броузеры, понимающие HTML код. Используясь совместно с модулями и программами третьих лиц, они становятся полнофункциональными программами, которые предоставляют надежные и полезные сервисы клиентским броузерам.

Я думаю, что большинство людей, читающих эту книгу, специально интересуются тем, как инсталлировать веб сервер Apache с обеспечением максимальной безопасности и оптимизацией. В своей базовой инсталляции, Apache устанавливать не труднее, чем любое другое программное обеспечение, описанное в этой книге. Трудности начинаю возникать, когда вы хотите добавить некоторые программы и модули третьих лиц.

Существует много возможностей, вариантов и опций для инсталляции Apache. Так, в дальнейшем, мы приведем вам пошаговый пример, где мы покажем как создать Apache с модулями и программами третьих лиц: PHP4, возможностью соединения с LDAP и т.д. Конечно, создание этих программ опционально, и вы можете свободно компилировать то, что захотите (например, вы можете решить скомпилировать Apache с поддержкой PHP4, но без SSL или PostgreSQL). Для упрощения мы подразумеваем некоторые предварительные требования для каждого примера. Если они не соответствуют вашей ситуации, просто скорректируйте шаги.

В этой главе, мы объясним и охватим некоторые общие пути благодаря которым вы можете скорректировать конфигурацию для улучшения производительности сервера. Также, для особо интересующихся пользователей, мы покажем процедуру запуска Apache не от имени пользователя root и в chroot- овом окружении для оптимальной безопасности.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Apache версии 1.3.12
Mod_SSL версии 2.6.4-1.3.12
Mod_Perl версии 1.24
Mod_PHP версии 4.0.0

Пакеты.
Домашняя страница Apache: http://www.apache.org/
FTP сервер Apache: 63.211.145.10
Вы должны скачать: apache_1.3.12.tar.gz
Домашняя страница Mod_SSL: http://www.modssl.org/
FTP сервер Mod_SSL: 129.132.7.171
Вы должны скачать: mod_ssl-2.6.4-1.3.12.tar.gz
Домашняя страница Mod_Perl: http://perl.apache.org/
FTP сервер Mod_Perl: 63.211.145.10
Вы должны скачать: mod_perl-1.24.tar.gz
Домашняя страница Mod_PHP: http://www.php.net/
Вы должны скачать: php-4.0.0.tar.gz

• Если вы хотите включить в Apache поддержку SSL шифрования, то OpenSSL должен быть уже проинсталлирован на вашей системе.
• Если вы хотите включить в Apache поддержку соединений с базой данных PosgreSQL, то PosgreSQL должен быть уже проинсталлирован на вашей системе.
• Если вы хотите включить в Apache поддержку высокопроизводительного кэширования сессий, базирующегося на RAM, то MM должен быть уже проинсталлирован на вашей системе.
• Если вы хотите включить в Apache поддержку соединений с сервером каталогов OpenLDAP, то OpenLDAP должен быть уже проинсталлирован на вашей системе.
• Если вы хотите включить в Apache поддержку IMAP & POP, то IMAP & POP должен быть уже проинсталлирован на вашей системе.

ЗАМЕЧАНИЕ. Для большей информации о требуемых программах смотрите соответствующие главы в этой книге.

Тарболы.
Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Apache и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,
До инсталляции:
find /* > Apache1

После инсталляции:
find /* > Apache2

Для получения списка установленных файлов:
diff Apache1 Apache2 > Apache-Installed

Раскройте тарбол:

Компиляция и оптимизация

Веб сервер Apache, подобно многим приложениям, которые мы инсталлировали, не должен запускаться из-под суперпользователя root. Из этих соображений мы должны создать специального пользователя, который имеет минимальный доступ в систему и предназначен только для запуска демона веб сервера.

Если вы хотите использовать и включить поддержку SSL шифрования данных в ваш веб сервер Apache, то переместитесь в новый каталог с исходными кодами mod_ssl (cd mod_ssl-version-version/) и введите следующие команды на вашем терминале:

Опция "--with-apache" определяет месторасположения каталога с исходными кодами Apache (мы допустили, что в нашем примере используем Apache версии 1.3.12), опция "--with-crt" определяет месторасположения вашего существующего публичного ключа для SSL шифрования, и опция "--with-key" определяет месторасположение вашего существующего приватного ключа для SSL шифрования.

ЗАМЕЧАНИЕ. Программное обеспечение OpenSSL должен быть уже проинсталлировано на вашем сервере, публичный и приватные ключи тоже должны уже существовать или быть созданы, или вы получите сообщение об ошибке во время конфигурирования модуля mod_ssl. Смотрите главу 16 этой книги "Серверное программное обеспечение (Сетевой сервис шифрования)", для большей информации.

По умолчанию в конфигурационном файле Apache (httpd.conf) максимальное число устанавливаемое для параметра MaxClients Parameter равно 256. Для загруженных сайтов и для улучшения производительности рекомендуется увеличить этот параметр. Вы можете сделать это редактируя файл "src/include/httpd.h" в дереве исходных кодов Apache и изменить это значение по умолчанию.

Перейдите в каталог с исходными кодами Apache (cd ../apache_1.3.12/) и редактируйте файл httpd.h (vi +333 src/include/httpd.h), изменив:

ЗАМЕЧАНИЕ. Если вы настраиваете Apache без поддержки mod_ssl, то нужно будет редактировать строку 316, а не 333.

Если вы хотите использовать и включить поддержку PHP4 в ваш веб сервер Apache, то перейдите в каталог с исходными кодами Apache (cd apache_1.3.12/) и выполните следующие команды:

ЗАМЕЧАНИЕ. Этот шаг необходим только если вы хотите включить поддержку PHP4 в ваши исходные коды Apache. Опция "-DDYNAMIC_MODULE_LIMIT=0" будет отключать использование динамически загружаемых модулей и улучшит производительность.

Сейчас, перейдите в каталог с исходными кодами php4 (cd ../php-4.0) и введите следующие команды:

1) Редактируйте файл php_pgsql.h (vi +46 ext/pgsql/php_pgsql.h) и измените следующие строки:

Эти модификации в файле "php_pgsql.h" необходимы, чтобы указать месторасположения заголовочных файлов "libpq-fe.h" и "libpq-fs.h" для базы данных PostgreSQL во время конфигурирования PHP4. В Red Hat Linux библиотеки PostgreSQL находятся в (/usr/include/pgsql).

2) Сейчас, мы должны сконфигурировать и инсталлировать PHP4 на нашем Linux сервере:

Эти опции говорят PHP4:

• Компилировать без символов отладки.
• Включить safe mode по умолчанию.
• Включить поддержку IMAP & POP.
• Включить поддержку сервиса каталогов LDAP.
• Включить поддержку базы данных PostgresSQL.
• Включить поддержку mm для улучшения производительности.
• Включить внутренний оптимизацию для лучшей производительности.
• Компилировать с поддержкой ограничения памяти.
• компилятору C использовать GNU ld.

Если вы хотите использовать и включить поддержку языка программирования Perl в ваш веб-сервер Apache, то перейдите к каталог с исходными кодами mod_perl (cd ../mod_perl-1.24/) и введите следующие команды на вашем терминале:

Создание/Инсталляция Apache с/без mod_ssl +- PHP4 и/или mod_perl Сейчас, когда вы добавили в исходные коды Apache все модули, которые хотели, наступило время скомпилировать и проинсталлировать его. Переместитесь в каталог с исходными кодами Apache (cd ../apache_1.3.12/) и введите следующие команды на вашем терминале:

Эти опции говорят Apache выполнить следующие установки:

• модуль mod_mmap для улучшения производительности.
• модуль mod_auth_db для парольной аутентификации пользователей.
• модуль mod_ssl для шифрования данные и безопасного соединения.
• модуль mod_php4 для поддержки языка подготовки сценариев на стороне сервера php и улучшения загрузки веб страниц созданных в PHP.
• модуль mod_perl для лучшей безопасности и производительности работы cgi скриптов.
• выключить модуль status
• выключить модуль userdir
• выключить модуль negotiation
• выключить модуль autoindex
• выключить модуль asis
• выключить модуль imap
• выключить модуль env
• выключить модуль actions

ЗАМЕЧАНИЕ. Важно заметить, что удаление всех необязательных модулей во время конфигурирования улучшит производительность вашего веб сервера Apache. В нашей конфигурации приведенной выше, мы удалили большинство неиспользуемых модулей для уменьшения времени загрузки и ограничения риска безопасности вашего веб сервера. Смотрите документацию Apache, чтобы получить информацию о каждом удаленном модуле.

Сейчас, мы должны инсталлировать Apache на вашем Linux сервере:

Команда "make" будет компилировать все файлы с исходными кодами в исполняемые двоичные, команда "make install" будет инсталлировать исполняемые и сопутствующие им файлы в тербуемые места. Команда "rm -f" удалит небольшой скрипт "apachectl" отвечающий за запуск и остановку демона Apache, так как мы используем для этого срипт "httpd" находящийся в "/etc/rc.d/init.d/". Мы также удаляем каталог "/home/httpd/icons", который используется веб сервером Apache при автоматической индексации файлов. Эта возможность несет в себе риск безопасности и из-за этого мы ее отключили. Каталог "/home/httpd/htdocs" содержит все файлы с документацией на Apache, поэтому после прочтения, мы спокойно можем его удалить. Команда "install - m" проинсталлирует файл "php.ini.dist" в каталог "/etc/httpd/" и переименует его в "php.ini"; Этот файл контролирует многие аспекты работы PHP. Каталоги "ssl.crl", "ssl.crt", "ssl.csr", "ssl.key" и "ssl.prm" в "/etc/httpd/conf" связаны с SSL, и в них хранятся публичные и приватные ключи. Так как для хранения ключей мы используем другой путь, "/etc/ssl/", мы можем их спокойно удалить. В заключении, мы удаляем неиспользуемые файлы "srm.conf", "srm.conf.default", "access.conf" и "access.conf.default", вместо которых сейчас используется одни файл "httpd.conf".

Команды "rm" будет удалять все файлы с исходными кодами, которые мы использовали при компиляции и инсталляции Apache, mod_ssl, mod_perl и php. Также будут удалены сжатые архивы Apache, mod_ssl, mod_perl и php из каталога "/var/tmp".

Конфигурации.

Конфигурационные файлы для разных сервисов очень зависят от ваших нужд и сетевой архитектуры. Кто-то хочет установить Apache только чтобы показывать веб страницы; другой хочет использовать его для работы с базой данных и e- коммерции с поддержкой SSL и т.д. В этой книге, мы предоставляем вам файл "httpd.conf", с установками для PHP, Perl, SSL, LDAP и парольной аутентификации, чтобы показать вам различные возможности. Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве "floppy.tgz", включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файлы связанные с Apache из архива, измените их под свои требования и поместите в нужное место так, как это описано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz

Для запуска веб сервера Apache следующие файлы должны быть созданы или скопированы на ваш сервер.

Копируйте httpd.conf в каталог "/etc/httpd/conf/".
Копируйте httpd в каталог "/etc/rc.d/init.d/".
Копируйте apache в каталог "/etc/logrotate.d/".

Вы можете взять эти файлы из нашего архива floppy.tgz.

Конфигурация файла "/etc/httpd/conf/httpd.conf"

Файл "httpd.conf" - это основной конфигурационный файл для веб сервера Apache. Существует большое количество различных опций про которые вы должны прочитать в документации к Apache. Следующая конфигурация представляет из себя пример минимальной рабочей конфигурации для Apache, с поддержкой SSL. Также важно заметить, что мы комментируем только параметры связанные с безопасностью и оптимизацией, а все остальные оставляем для вашего изучения.
Редактируйте файл httpd.conf (vi /etc/httpd/conf/httpd.conf) и добавьте/измените:

### Секция 1: Глобальное окружение
#
ServerType standalone
ServerRoot "/etc/httpd"
PidFile /var/run/httpd.pid
ResourceConfig /dev/null
AccessConfig /dev/null
Timeout 300
KeepAlive On
MaxKeepAliveRequests 0
KeepAliveTimeout 15
MinSpareServers 16
MaxSpareServers 64
StartServers 16
MaxClients 512
MaxRequestsPerChild 100000

### Секция 2: 'Основная' конфигурация сервера
#
Port 80

<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>

User www
Group www
ServerAdmin admin@openna.com
ServerName www.openna.com
DocumentRoot "/home/httpd/ona"

<Directory />
  Options None
  AllowOverride None
  Order deny,allow
  Deny from all
</Directory>

<Directory "/home/httpd/ona">
  Options None
  AllowOverride None
  Order allow,deny
  Allow from all
</Directory>

<Files .pl>
  Options None
  AllowOverride None
  Order deny,allow
  Deny from all
</Files>

<IfModule mod_dir.c>
DirectoryIndex index.htm index.html index.php index.php3 default.html index.cgi
</IfModule>

#<IfModule mod_include.c>
#Include conf/mmap.conf
#</IfModule>

UseCanonicalName On

<IfModule mod_mime.c>
TypesConfig /etc/httpd/conf/mime.types
</IfModule>

DefaultType text/plain
HostnameLookups Off
ErrorLog /var/log/httpd/error_log
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" 
combined
SetEnvIf Request_URI \.gif$ gif-image
CustomLog /var/log/httpd/access_log combined env=!gif-image
ServerSignature Off

<IfModule mod_alias.c>
ScriptAlias /cgi-bin/ "/home/httpd/cgi-bin/"
<Directory "/home/httpd/cgi-bin">
  AllowOverride None
  Options None
  Order allow,deny
  Allow from all
</Directory>
</IfModule>

<IfModule mod_mime.c>
AddEncoding x-compress Z
AddEncoding x-gzip gz tgz
AddType application/x-tar .tgz
</IfModule>

ErrorDocument 500 "The server made a boo boo.
ErrorDocument 404 http://192.168.1.1/error.htm
ErrorDocument 403 "Access Forbidden -- Go away.

<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
</IfModule>

### Секция 3: Виртуальные хосты
#
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>

<IfModule mod_ssl.c>
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/var/run/ssl_scache
SSLSessionCacheTimeout 300

SSLMutex file:/var/run/ssl_mutex

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin

SSLLog /var/log/httpd/ssl_engine_log
SSLLogLevel warn
</IfModule>

<IfDefine SSL>
<VirtualHost _default_:443>
DocumentRoot "/home/httpd/ona"
ServerName www.openna.com
ServerAdmin admin@openna.com
ErrorLog /var/log/httpd/error_log
SSLEngine on
SSLCipherSuite 
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
SSLCACertificatePath /etc/ssl/certs
SSLCACertificateFile /etc/ssl/certs/ca.crt
SSLCARevocationPath /etc/ssl/crl
SSLVerifyClient none
SSLVerifyDepth 10

SSLOptions +ExportCertData +StrictRequire
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
SetEnvIf Request_URI \.gif$ gif-image
CustomLog /var/log/httpd/ssl_request_log \
       "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" env=!gif-image
</VirtualHost>
</IfDefine>

Этот файл httpd.conf говорит следующее:

ServerType standalone
Опция "ServerType" определяет как Apache должен быть запущен. Вы можете запустить его из суперсервера inetd или как автономный демон. Для лучшей производительности и скорости рекомендуется запускать Apache как автономный демон.

ServerRoot "/etc/httpd"
Опция "ServerRoot" определяет каталог, являющийся корневым для сервера. По этому пути определяется месторасположения конфигурационных файлов.

PidFile /var/run/httpd.pid
Опция "PidFile" определяет месторасположение файла в котором будет хранится информация об id демона, когда он запущен. Эта опция требуется только если вы запускаете Apache в автономном режиме.

ResourceConfig /dev/null
Опция "ResourceConfig" определяет расположение старого файла "srm.conf", который Apache читал после прочтения файла "httpd.conf". Когда вы устанавливаете эту опцию в "/dev/null", Apache позволит вам включить содержимое этого файла в файл "httpd.conf" и вы получите только один файл для конфигурирования.

AccessConfig /dev/null
Опция "AccessConfig" определяет расположение старого файла "access.conf", который Apache читал после прочтения файла "srm.conf". Когда вы устанавливаете эту опцию в "/dev/null", Apache позволит вам включить содержимое этого файла в файл "httpd.conf" и вы получите только один файл для конфигурирования.

Timeout 300
Опция "Timeout" определяет время, которое Apache будет ждать до получения запросов GET, POST, PUT и ACK на передачу. Вы можете спокойно оставить значение этой опции как это принято по умолчанию.

KeepAlive On
Опция "KeepAlive", если установлена в "On", определяет возможность установления постоянных соединений на этом веб сервере. Для лучшей производительности, рекомендуется установить этот параметр в "On," и разрешить обработку более одного запроса на одно соединение.

MaxKeepAliveRequests 0
Опция "MaxKeepAliveRequests" определяет число запросов, которое может обработать сервер на одно соединение, если опция "KeepAlive" установлена в "On". Когда значение равно 0, тогда может обрабатываться неограниченное число запросов. Для лучшей производительности, рекомендуется устанавливать этот параметр в 0.

KeepAliveTimeout 15
Опция "KeepAliveTimeout" определяет как долго, в секундах, Apache будет ждать поступления новых запросов до закрытия соединения. "15" секунд - хорошее среднее значение для производительности сервера.

MinSpareServers 16
Опция "MinSpareServers" определяет минимальное число неработающих дочерних процессов сервера, которые не обрабатывают запросы. Это важный настроечный параметр, влияющий на производительность веб сервера Apache. Значение "16" рекомендуется различными тестами на производительность в Интернет.

MaxSpareServers 64
Опция "MaxSpareServers" определяет максимальное число неработающих дочерних процессов сервера, которые не обрабатывают запросы. Это тоже важный настроечный параметр, влияющий на производительность веб сервера Apache. Значение "64" рекомендуется различными тестами на производительность в Интернет.

StartServers 16
Опция "StartServers" определяет число дочерних серверных процессов, которые будут созданы при запуске Apache. Это тоже важный настроечный параметр, влияющий на производительность веб сервера Apache. Значение "16" рекомендуется различными тестами на производительность в Интернет.

MaxClients 512
Опция "MaxClients" определяет число одновременных запросов, которые может обработать Apache. Это тоже важный настроечный параметр, влияющий на производительность веб сервера Apache. Значение "512" рекомендуется различными тестами на производительность в Интернет.

MaxRequestsPerChild 100000
Опция "MaxRequestsPerChild" определяет число запросов, которое индивидуальный дочерний серверный процесс может обработать, после чего автоматически умрет. Это тоже важный настроечный параметр, влияющий на производительность веб сервера Apache.

User www
Опция "User" определяет UID, под которым Apache будет запускаться. Очень важно создать нового пользователя, который имеет минимальные права доступа к системе и единственным его предназначением будет запуск демона веб сервера.

Group www
Опция "Group" определяет GID под которым Apache будет запускаться. Важно создать новую группу, которая имеет минимальные права доступа к системе и единственным ее предназначением будет запуск демона веб сервера.

DirectoryIndex index.htm index.html index.php index.php3 default.html index.cgi
Опция "DirectoryIndex" определяет файлы используемые Apache как заранее созданный HTML индекс каталога, если Apache не может найти индексные страницы по умолчанию, он будет рассматривать следующий элемент этого параметра. Для улучшения производительности вашего веб сервера, рекомендуется индексные страницы используемые на вашем сервере по умолчанию поместить в этом списке на первом месте.

Include conf/mmap.conf
Опция "Include" определяет расположение другого файла, который вы можете включить в ваш серверный конфигурационный файл (httpd.conf). В нашем случае, мы включаем файл "mmap.conf" находящийся в каталоге "/etc/httpd/conf". Этот файл ("mmap.conf") отображает файлы в памяти для более быстрого их предоставления. Смотрите секцию "Оптимизация Apache" для большей информации.

HostnameLookups Off
Опция "HostnameLookups", если установлена в "Off", определяет, что DNS lookups отключен. Рекомендуется устанавливать эту опцию в "Off" для сокращения времени сетевого трафика и улучшения производительности веб сервера Apache.

Конфигурация файла "/etc/logrotate.d/apache"

Сконфигурируем файл "/etc/logrotate.d/apache" для автоматической ротации файлов регистрации Apache каждую неделю.
Создайте файл apache (touch /etc/logrotate.d/apache) и добавьте в него:

/var/log/httpd/access_log {
  missingok
  postrotate
  /usr/bin/killall -HUP httpd
  endscript
}

/var/log/httpd/error_log {
  missingok
  postrotate 
  /usr/bin/killall -HUP httpd
  endscript
}

/var/log/httpd/ssl_request_log {
  missingok
  postrotate
  /usr/bin/killall -HUP httpd
  endscript
}

/var/log/httpd/ssl_engine_log {
  missingok
  postrotate
  /usr/bin/killall -HUP httpd
  endscript
}

ЗАМЕЧАНИЕ. Строки для автоматической ротации файлов регистрации SSL "ssl_request_log" и "ssl_engine_log" включены в этот файл. Если вы решили запускать Apache без поддержки SSL, вы должны удалить их.

Конфигурация скрипта "/etc/rc.d/init.d/httpd".

Настроим ваш скрипт "/etc/rc.d/init.d/httpd", который предназначен для запуска и остановки веб сервера Apache.
Создайте файл httpd (touch /etc/rc.d/init.d/httpd) и добавьте в него:

#!/bin/sh
#
# Скрипт для запуска веб сервера Apache
#
# chkconfig: 345 85 15
# описание: Apache - это World Wide Web сервер. Он используется для
# предоставления HTML файлов и CGI.
# имя процесса: httpd
# pid файл: /var/run/httpd.pid
# конфигурационный файл: /etc/httpd/conf/httpd.conf
# Библиотека исходных функций.
. /etc/rc.d/init.d/functions
# Смотрите как мы вызываем.
case "$1" in
 start)
   echo -n "Starting httpd: "
   daemon httpd -DSSL
   echo
   touch /var/lock/subsys/httpd
   ;;
 stop)
   echo -n "Shutting down http: "
   killproc httpd
   echo
   rm -f /var/lock/subsys/httpd
   rm -f /var/run/httpd.pid
   ;;
 status)
   status httpd
   ;;
 restart)
   $0 stop
   $0 start
   ;;
 reload)
   echo -n "Reloading httpd: "
   killproc httpd -HUP
   echo
   ;;
 *)
   echo "Usage: $0 {start|stop|restart|reload|status}"
   exit 1
esac

exit 0

Сейчас, сделайте этот скрипт исполняемым и измените права доступа:
[root@deep /]# chmod 700 /etc/rc.d/init.d/httpd

Создайте символические rc.d ссылки для Apache:
[root@deep /]# chkconfig --add httpd

Запустите ваш новый сервер Apache вручную:

[root@deep /]# /etc/rc.d/init.d/httpd start
Starting httpd:            [ OK ]

ЗАМЕЧАНИЕ. Опция "-DSSL" будет запускать Apache в режиме SSL. Если вы хотите запустить Apache в нормальном режиме, то удалите "-DSSL" ближайшую к строке, которая читается "daemon httpd".

Глава 19 Серверное программное обеспечение (Веб сервис) (Часть 2) В этой главе Linux MM - библиотека совместно используемой памяти Веб-сервер Apache Конфигурации PHP4 - язык скриптов со стороны сервера Perl библиотека - CGI.pm Организация защиты Apache Запуск Apache с использованием chroot. Оптимизация Apache

PHP4

Если вы планируете использовать PHP4 с вашим веб сервером Apache не забудьте включить в ваш файл "/etc/httpd/conf/httpd.conf" следующие строки, включающие эту возможность:

Редактируйте файл httpd.conf file (vi /etc/httpd/conf/httpd.conf) и добавьте следующие строки между тэгами секции <IfModule mod_mime.c> и </IfModule>:

Вы должны перезапустить веб сервер Apache, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/httpd restart
Shutting down http:           [ OK ]
Starting httpd:               [ OK ]

После того, как вышеприведенные строки были включены в файл "httpd.conf", вы должны тестировать новую возможность PHP4. Мы создадим небольшой PHP файл с именем "php.php" в нашем DocumentRoot, и затем попробуем загрузить этот документ в наш броузер, чтобы убедиться, что PHP4 работает на сервере.

Создайте файл php.php в DocumentRoot (touch /home/httpd/ona/php.php) и внесите в него следующие строки:

  <body bgcolor="#FFFFFF">
    <?php phpinfo()?>
  </body>

ЗАМЕЧАНИЕ. Эти строки будут информировать программу PHP4 вывести различные части информации о конфигурации нашего Linux сервера.

Сейчас, в броузере введите следующий адрес: http://my-web-server/php.php Где <my-web-server> это адрес вашего веб сервера Apache, а <php.php> - это имя PHP документа, который мы создали.

Если все выглядит примерно как на рисунке, то поздарвляем! Ваш модуль PHP работает.

Perl модуль Devel::Symdump

Если вы планируете использовать модуль mod_perl с вашим сервером Apache, вы можете захотеть установить небольшой perl модуль "Devel::Symdump". Этот модуль, разработанный третьими лицами, позволит вам проверять таблицу идентификаторов perl и иерархии классов в запускаемых программах. Чтобы создать и инсталлировать его выполните следующие шаги.

Пакеты.
Домашняя страница: http://www.perl.com/CPAN/modules/by-module/Devel/
Вы должны скачать: Devel-Symdump-2_00_tar.gz
Devel-Symdump версия 2.00

Перейдите в новый каталог Devel-Symdump и введите следующие команды для компиляции и инсталляции модуля на ваш Linux сервер:

Как только модуль проинсталлирован на вашей системе, вы должны включить в ваш файл "/etc/httpd/conf/httpd.conf" следующие строки, чтобы просмотреть статус различных модулей Perl на вашем сервере:

Редактируйте файл httpd.conf (vi /etc/httpd/conf/httpd.conf) и добавьте следующие строки:

<Location /perl-status>
   SetHandler perl-script
   PerlHandler Apache::Status
   Order deny,allow
   Deny from all
   Allow from 192.168.1.0/24
</Location>

Перезапустите веб сервер Apache, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/httpd restart

Shutting down http:       [ OK ]
Starting httpd:           [ OK ]

В заключении, мы должны тестировать новый модуль Devel-Symdump, чтобы убедиться, что мы можем смотреть статус разных модулей Perl. Для этого введите в окне броузера следующий адрес: http://my-web-server/perl-status/. Где <my-web-server> - это адрес веб сервера.

Очистка после работы
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf Devel-Symdump.version/ Devel-Symdump-version.tar.gz

> /usr/lib/perl5/man/man3/Devel::Symdump.3
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Devel
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Devel/Symdump
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Devel/Symdump/.packlist
> /usr/lib/perl5/site_perl/5.005/Devel
> /usr/lib/perl5/site_perl/5.005/Devel/Symdump
> /usr/lib/perl5/site_perl/5.005/Devel/Symdump/Export.pm
> /usr/lib/perl5/site_perl/5.005/Devel/Symdump.pm

Perl библиотека CGI.pm

CGI.pm - это Perl5 библиотека, написанная для использования в CGI скриптах. Старая версия этой программы существует по умолчанию на вашей системе, но она имеет ряд ошибок. Поэтому рекомендуется обновить вашу копию до версии 2.56 и новее. Для обновления этого модуля выполните следующие шаги.

Пакеты
Домашняя страница CGI.pm:
http://stein.cshl.org/WWW/software/CGI/cgi_docs.html
Вы должны скачать: CGI_pm_tar.gz
CGI.pm версия 2.56
[root@deep /]# cp CGI_pm_tar.gz /var/tmp/
[root@deep /]# cd /var/tmp/
[root@deep tmp]# tar xzpf CGI_pm_tar.gz

Первое, в должны проверить версию CGI.pm инсталлированной на вашей системе. Для этого используйте следющую команду:

Перейдите в каталог CGI.pm и введите следующие команды на вашем терминале для компиляции и инсталляции обновленной библиотеки на вашем Linux сервере:

Очистка после работы
[root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf CGI.pm-version/ CGI_pm_tar.gz

> /usr/lib/perl5/5.00503/CGI/Pretty.pm
> /usr/lib/perl5/5.00503/i386-linux/auto/CGI
> /usr/lib/perl5/5.00503/i386-linux/auto/CGI/.packlist
> /usr/lib/perl5/man/man3/CGI::Pretty.3

Организация защиты Apache

Когда вы инсталлируете Apache на вашем сервере, некоторые файлы и каталоги имеют слишком много прав установленных по умолчанию. Двоичная программа "httpd" может быть установлена в режим только для чтения пользователю "root", и исполнения для владельца, группы и других пользователей. Каталоги "/etc/httpd/conf" и "/var/log/httpd" не должны быть открыты для чтения, записи и исполнения для других людей.

Если вы включили автоматическую индексацию каталогов в вашем конфигурационном файле, (IndexOptions в httpd.conf), тогда вы имеете проблему в безопасности, так как любой запрос к каталогу, не имеющему индексного файла, вызовет создания индекса всего того, что находится в каталоге. Во многих случаях, вы можете хотеть, чтобы пользователи смотрели файлы, которые вы специально создали для этого. Для отключения этой возможности, вам нужно удалить право на чтение из каталога DocumentRoot (но не файлов внутри него).

Сейчас, после этой модификации, любой запрос к защищенному каталогу должен получить сообщение об ошибке:

ЗАМЕЧАНИЕ. "ona" - это DocumentRoot (каталог в котором вы храните ваши документы).

Этот шаг необходим если вы планируете использовать аутентификацию пользователей для доступа к файлам на вашем веб сервере. В Apache существует много опций для защиты вашего сайта именами и паролями.

Утилита "dbmmanage" из Apache может быть использована для создания и обновления имен и паролей HTTP пользователей. Этот метод использует DBM формат файла, который представляет из себя наиболее быстрый механизм, когда необходимо управлять тысячью пользователями в файле с паролями. Первое, необходимо изменить права доступа к этой программе на (0750/-rwxr-x- --), запись только для "root", чтение и исполнение для группы и ничего для других пользователей.

Для изменнеия прав доступа используйте следующую команду:

Для создания имени пользователя и пароля используйте команду:

где </etc/httpd> это месторасположение файла с паролями, <.dbmpasswd> - имя файла с паролями и <username> имя пользователя, которое мы хотим добавить в ".dbmpasswd".

Если вы используете утилиту "dbmmanage" для создания паролей и имен пользователей, не забудьте включить в ваш конфигурационный файл "/etc/httpd/conf/httpd.conf" информацию о части вашего веб сервера, которую вы хотите защитить аутентификацией пользователей по паролю:

Редактируйте файл httpd.conf (vi /etc/httpd/conf/httpd.conf) и добавьте следующие строки для защиты "приватного" каталога вашего веб сервера "ona":

<Directory "/home/httpd/ona/private">
  Options None
  AllowOverride AuthConfig
  AuthName "restricted stuff"
  AuthType Basic
  AuthDBUserFile /etc/httpd/.dbmpasswd
  require valid-user
</Directory>

Путь </home/httpd/ona/private> определяет защищаемый каталог, а </etc/httpd/.dbmpasswd> определяет месторасположение файла с паролями. ЗАМЕЧАНИЕ. Модуль аутентификации по DB файлам с паролями вы должны включить во время конфигурирования вашего веб сервера Apache, использовав параметр "--add-module=src/modules/standard/mod_auth_db.c". Смотрите документацию на Apache для большей информации.

Вы должны перезагрузить веб сервер, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/httpd restart
Shutting down http:         [ OK ]
Starting httpd:             [ OK ]

В заключение, мы должны тестировать новый защищаемый каталог (private). Для проверки введите в окне броузера следующий адрес: http://my-web- server/private/. <my-web-server> - адрес вашего веб сервера, </private/> - это каталог, который вы защищаете.

Как мы уже знаем, бит "постоянства" может быть использован для предотвращения удаления, переписывания или создания символической ссылки к файлу. Так как ваш файл "httpd.conf" уже настроен, то его можно защитить подобным битом:

Глава 19 Серверное программное обеспечение (Веб сервис) (Часть 3) В этой главе Linux MM - библиотека совместно используемой памяти Веб-сервер Apache Конфигурации PHP4 - язык скриптов со стороны сервера Perl библиотека - CGI.pm Организация защиты Apache Запуск Apache с использованием chroot. Оптимизация Apache

Запуск Apache в chroot окружении

Эта часть фокусируется на предотвращении использования Apache как точку взлома системы. Apache по умолчанию запускается как не root пользователь, ограничивая тем самым любые разрушения, действиями, котрые может выполнить обычный пользователь с локальным shell. Конечно, в большинстве случаев такой защиты достаточно, но можно сделать еще один дополнительный шаг - запуск Apache в chroot окружении.

Основная выгода от использования chroot - это ограничение части файловой системы, которую демон может видеть как корневой каталог. Дополнительно, так как эта часть файловой системы нужна только для поддержки Apache, то количество программ доступное на ней чрезвычайно ограничено. Наиболее важно то, что здесь не нужно иметь setuid-root программ, которые можно использовать для получения root доступа и взлома chroot ограничений.

Chrooting apache - это не простая задача. Перед ее решением мы рассмотрим некоторые "за" и "против", чтобы вы решили нужно ли вам это.

За:

1. Если apache будет взломан, то атакующий не получит доступ к элементам файловой системы.
2. Плохо написанные CGI скрипты, которые могут позволить кому-нибудь получить доступ к вашему серверу не будут работать.

Против:

1. Существуют дополнительные библиотеки, которые вы должны иметь в chroot окружении, чтобы Apache работал корректно.
2. Если вы используете любые Perl/CGI возможности в Apache, вам нужно будетскопировать необходимые двоичные файлы, Perl библиотеки и файлы в предназначенное место chroot пространства. Тоже самое относится и к SSL, PHP, LDAP, PostgresSQL и другим программам третьих лиц.

chroot конфигурация приведенная ниже полагает, что вы компилировали ваш сервер Apache со внешней программой mod_ssl. Различия в том, что вы компилировали с вашим веб сервером Apache постоянно находится в библиотеках и двоичных файлах, которые вы должны копировать в chroot каталог.

Помните, что если вы компилировали Apache с поддержкой mod_perl, вы должны скопировать все связанные двоичные файлы и Perl библиотеки в chroot каталог. Perl находится в "/usr/lib/perl5" и в случае использования возможностей Perl, копируйте каталог Perl в "/chroot/httpd/usr/lib/perl5/". Не забудьте перед копированием создать каталог "/chroot/httpd/usr/lib/perl5" в вашей chroot структуре.

Ниже приводятся все необходимые шаги для запуска веб сервера Apache в chroot окружении:

Мы должны определить разделяемые библиотеки от которых зависит httpd. Их надо будет позже скопировать в chroot каталог.
Для поиска разделяемых библиотек от которых зависит httpd выполните следующую команду:

Сделайте заметки об этих файлах; они потребуются нам позже.

Создайте новый UID и GID, если этой же не сделано, необходимые для запуска Apache httpd. Это важно, потому что запуск из под root ликвидирует преимущества chroot окружения, а использование UID, которые уже существуют на системе (например, nobody) может дать доступ сервису к другим ресурсам. Представьте себе, что веб сервер запущен из под пользователя nobody, или любого другого используемого UID/GID и был взломан. Взломщик получит доступ из chroot к любым другим процессам запущенным как. Здесь приведены типичные UID и GID. Проверьте файлы "/etc/passwd" и "/etc/group" файлы на наличие свободных UID/GID. В нашей конфигурации мы используем значение "80" и UID/GID "www".

Вышеприведенная команда создаст группу "www" с числовым GID равном 80, и пользователя "www" с числовым номером UID равном 80.

Установим chroot окружение. Первое, мы должны создать chroot структуру для Apache. Мы используем "/chroot/httpd" как chroot каталог для Apache. "/chroot/httpd" - это только каталог на отдельном разделе, где мы решили разместить apache для большей безопасности.

Shutting down http:                 [ OK ]

[root@deep /]# mkdir /chroot/httpd

Далее мы создаем остальные каталоги:

Копируйте основной конфигурационный каталог, конфигурационные файлы, каталог cgi-bin, root каталог и программу httpd в chroot окружение:

Нам нужны каталоги "/chroot/httpd/etc", "/chroot/httpd/dev", "/chroot/httpd/lib", "/chroot/httpd/usr/sbin", "/chroot/httpd/var/run", "/chroot/httpd/home/httpd" и "/chroot/httpd/var/log/httpd", потому что "/" считается от точки chroot.

Если вы скомпилировали Apache с поддержкой SSL, вы должны скопировать элементы каталога "/etc/ssl", который содержит все приватные и публичные ключи в chroot окружение.

Так как мы компилировали apache с использованием разделяемых библиотек, нам нужно инсталлировать их в структуру chroot каталога. Используйте ldd /chroot/httpd/usr/sbin/httpd для поиска требуемых библиотек. Вывод этой команды будет выглядеть примерно так:

Копируйте разделяемые библиотеки определенные выше:

Вам также нужны следующие дополнительные библиотеки для некоторых сетевых функций, подобных резолвингу:

Мы должны скопировать passwd и group файлы в "/chroot/httpd/etc". Концепция их использования такая же как и в ftpd. Затем, мы удаляем все элементы из этих файлов, за исключением пользователя и группы под которыми запускается apache.

Редактируйте файл passwd (vi /chroot/httpd/etc/passwd) и удалите все элементы, кроме пользователя под которым мы запускаем apache (в нашем случае это "www"):

Редактируйте файл group (vi /chroot/httpd/etc/group) и удалите все элементы, кроме группы под которой запускается apache (в нашем случае это "www"):

Вам потребуются файлы "/etc/resolv.conf", "/etc/nsswitch.conf" и "/etc/hosts" в вашем chroot окружении.

Сейчас на некоторые файлы в chroot окружении мы установим бит "постоянства" для лучшей безопасности.
Установите бит "постоянства" на файл "passwd":

Установите бит "постоянства" на файл "group":

Установите бит "постоянства" на файл "httpd.conf":

Установите бит "постоянства" на файл "resolv.conf":

Установите бит "постоянства" на файл "hosts":

Установите бит "постоянства" на файл "nsswitch.conf":

Копируйте файл "localtime" в chroot так, чтобы регистрационные входы были правильно откорректированы для вашей локальной timezone:

Удалите не нужные Apache файлы и каталоги:

Мы можем спокойно удалить все вышеназванные файлы и каталоги , так как они сейчас находятся в нашем chroot каталоге.

Сказать syslogd о новом chroot сервисе. Нормально, процессы обращаются к syslogd через "/dev/log". В chroot окружении это невозможно, поэтому syslogd должен слушать "/chroot/httpd/dev/log". Чтобы сделать это, редактируйте скрипт запуска syslog для определения дополнительного места, которое необходимо слушать.

Редактируйте скрипт syslog (vi /etc/rc.d/init.d/syslog) и измените строку:

daemon syslogd -m 0
на:
daemon syslogd -m 0 -a /chroot/httpd/dev/log

По умолчанию скрипт httpd запускает демон "httpd" вне chroot окружения. Мы должны изменить это, для этого редактируйте скрипт httpd (vi /etc/rc.d/init.d/httpd) и измените следующие строки:

daemon httpd
на:
/usr/sbin/chroot /chroot/httpd/ /usr/sbin/httpd -DSSL

rm -f /var/run/httpd.pid
на:
rm -f /chroot/httpd/var/run/httpd.pid

В заключении, вы должны проверить новую chroot конфигурацию вашего веб сервера Apache.

Первое, перезагрузите демон syslogd:

[root@deep /]# /etc/rc.d/init.d/syslog restart
Shutting down kernel logger:         [ OK ]
Shutting down system logger:         [ OK ]
Starting system logger:              [ OK ]
Starting kernel logger:              [ OK ]

Затем, запустите Apache в chroot окружении:

[root@deep /]# /etc/rc.d/init.d/httpd start
Starting httpd:                      [ OK ]

Если вы не получили каких-либо ошибок дайте команду:

Если это так, то проверьте действительно процесс сменил корень (chroot):

где 14373 PID одного из процессов httpd.
Поздравляем!

Так же как описано выше, если вы используете Perl, вам нужно скопировать или создать жесткие ссылки любых системных библиотек, perl библиотек "/usr/lib/perl5" и двоичных файлов в chroot структуре. Также надо действовать для SSL, PHP, LDAP, PostgreSQL и других программ.

Конфигурация файла "/etc/logrotate.d/apache"

Сейчас, файлы регистраций Apache находятся в каталоге "/chroot/var/log/httpd" вместо "/var/log/httpd", и из-за этого нам надо модифицировать файл "/etc/logrotate.d/httpd". Также, мы скомпилировали Apache с mod_ssl, поэтому должны добавить строки, разрешающие программе logrotate ротировать файлы "ssl_request_log" и "ssl_engine_log". Сконфигурируем файл "/etc/logrotate.d/apache" на автоматическую ротацию файлов регистрации каждую неделю.

Создайте файл apache (touch /etc/logrotate.d/apache) и добавьте в него:

/chroot/httpd/var/log/httpd/access_log {
   missingok
   postrotate
     /usr/bin/killall -HUP /chroot/httpd/usr/sbin/httpd
   endscript
}

/chroot/httpd/var/log/httpd/error_log {
   missingok
   postrotate
     /usr/bin/killall -HUP /chroot/httpd/usr/sbin/httpd
   endscript
}

/chroot/httpd/var/log/httpd/ssl_request_log {
   missingok
   postrotate
     /usr/bin/killall -HUP /chroot/httpd/usr/sbin/httpd
   endscript
}

/chroot/httpd/var/log/httpd/ssl_engine_log {
   missingok
   postrotate
     /usr/bin/killall -HUP /chroot/httpd/usr/sbin/httpd
   endscript
}

Оптимизация Apache

Существует специальный модуль, поставляемый с дистрибутивом Apache, называемый "mod_mmap_static", который может быть использован для улучшения производительности вашего веб сервера. Этот модуль работает, отображая статически настроенный список часто запрашиваемых, но редко модифицируемых файлов из RootDirectory. Так, если файл выводимый Apache часто не изменяется, вы можете использовать этот модуль для отображения в памяти статического документа и увеличения скорости работы вашего веб сервера Apache.

Важно заметить, что модуль mod_mmap_static должен быть включен на этапе конфигурации и компиляции Apache. Если вы следовали за нашим описанием процесса конфигурации и компиляции, то это уже сделано в Apache (--add- module-../mod_mmap_static.c).

Для отображения статических документов в памяти используйте следующую команду:

</home/httpd/ona> - это RootDirectory, или если быть более точным каталог из которого вы будете предоставлять ваши документы, а </etc/httpd/conf/mmap.conf> - это месторасположение файла "mmap.conf", который содержит статическое отображение в памяти всех документов из вашего RootDirectory.

После того, как файл "mmap.conf" был создан в месте, которое мы отвели для хранения этого файла, мы должны включить его в файл "httpd.conf", чтобы использовать его возможности на сервере.

Редактируйте файл httpd.conf (vi /etc/httpd/conf/httpd.conf) и добавьте в него строки:

ЗАМЕЧАНИЕ. Смотрите документацию на Apache для большей инофрмации об использовании mod_mmap_static. Помните, что эта возможность должна использоваться, когда предоставляемые документы часто не изменяются.

Перезагрузите веб сервер Apache, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/httpd restart
Shutting down http:             [ OK ]
Starting httpd:                 [ OK ]

Атрибуты atime и noatime могут быть использованы для небольшого увеличения производительности Apache. Смотрите главу 4 в этой книге, "Общая системная оптимизация " для большей информации по этом вопросу.

Инсталлированные файлы для веб сервера Apache

> /etc/rc.d/init.d/httpd
> /etc/rc.d/rc0.d/K15httpd
> /etc/rc.d/rc1.d/K15httpd
> /etc/rc.d/rc2.d/K15httpd
> /etc/rc.d/rc3.d/S85httpd
> /etc/rc.d/rc4.d/S85httpd
> /etc/rc.d/rc5.d/S85httpd
> /etc/rc.d/rc6.d/K15httpd
> /etc/logrotate.d/apache
> /etc/httpd
> /etc/httpd/conf
> /etc/httpd/conf/httpd.conf.default
> /etc/httpd/conf/httpd.conf
> /etc/httpd/conf/mime.types.default
> /etc/httpd/conf/mime.types
> /etc/httpd/conf/magic.default
> /etc/httpd/conf/magic
> /etc/httpd/php.ini
> /home/httpd
> /home/httpd/cgi-bin
> /home/httpd/cgi-bin/printenv
> /home/httpd/cgi-bin/test-cgi
> /usr/bin/htpasswd
> /usr/bin/htdigest
> /usr/bin/dbmmanage
> /usr/include/apache
> /usr/include/apache/xml
> /usr/include/apache/xml/asciitab.h
> /usr/include/apache/xml/hashtable.h
> /usr/include/apache/xml/iasciitab.h
> /usr/include/apache/xml/latin1tab.h
> /usr/include/apache/xml/nametab.h
> /usr/include/apache/xml/utf8tab.h
> /usr/include/apache/xml/xmldef.h
> /usr/include/apache/xml/xmlparse.h
> /usr/include/apache/xml/xmlrole.h
> /usr/include/apache/xml/xmltok.h
> /usr/include/apache/xml/xmltok_impl.h
> /usr/include/apache/alloc.h
> /usr/include/apache/ap.h
> /usr/include/apache/ap_compat.h
> /usr/include/apache/ap_config.h
> /usr/include/apache/ap_config_auto.h
> /usr/include/apache/ap_ctx.h
> /usr/include/apache/ap_ctype.h
> /usr/include/apache/ap_hook.h
> /usr/include/apache/ap_md5.h
> /usr/include/apache/ap_mm.h
> /usr/include/apache/ap_mmn.h
> /usr/include/apache/ap_sha1.h
> /usr/include/apache/buff.h
> /usr/include/apache/compat.h
> /usr/include/apache/conf.h
> /usr/include/apache/explain.h
> /usr/include/apache/fnmatch.h
> /usr/include/apache/hsregex.h
> /usr/include/apache/http_conf_globals.h
> /usr/include/apache/http_config.h
> /usr/include/apache/http_core.h
> /usr/include/apache/http_log.h
> /usr/include/apache/http_main.h
> /usr/include/apache/http_protocol.h
> /usr/include/apache/http_request.h
> /usr/include/apache/http_vhost.h
> /usr/include/apache/httpd.h
> /usr/include/apache/multithread.h
> /usr/include/apache/rfc1413.h
> /usr/include/apache/scoreboard.h
> /usr/include/apache/util_date.h
> /usr/include/apache/util_md5.h
> /usr/include/apache/util_script.h
> /usr/include/apache/util_uri.h
> /usr/include/apache/os.h
> /usr/include/apache/os-inline.c
> /usr/lib/apache
> /usr/man/man1/htpasswd.1
> /usr/man/man1/htdigest.1
> /usr/man/man1/dbmmanage.1
> /usr/man/man8/ab.8
> /usr/man/man8/httpd.8
> /usr/man/man8/logresolve.8
> /usr/man/man8/rotatelogs.8
> /usr/man/man8/apxs.8
> /usr/sbin/httpd
> /usr/sbin/ab
> /usr/sbin/logresolve
> /usr/sbin/rotatelogs
> /usr/sbin/apxs
> /var/log/httpd
> /var/cache
> /var/cache/httpd

> /usr/bin/phpize
> /usr/bin/php-config
> /usr/include/php
> /usr/include/php/Zend
> /usr/include/php/Zend/FlexLexer.h
> /usr/include/php/Zend/acconfig.h
> /usr/include/php/Zend/modules.h
> /usr/include/php/Zend/zend-parser.h
> /usr/include/php/Zend/zend-scanner.h
> /usr/include/php/Zend/zend.h
> /usr/include/php/Zend/zend_API.h
> /usr/include/php/Zend/zend_alloc.h
> /usr/include/php/Zend/zend_builtin_functions.h
> /usr/include/php/Zend/zend_compile.h
> /usr/include/php/Zend/zend_config.h
> /usr/include/php/Zend/zend_config.w32.h
> /usr/include/php/Zend/zend_constants.h
> /usr/include/php/Zend/zend_dynamic_array.h
> /usr/include/php/Zend/zend_errors.h
> /usr/include/php/Zend/zend_execute.h
> /usr/include/php/Zend/zend_execute_locks.h
> /usr/include/php/Zend/zend_extensions.h
> /usr/include/php/Zend/zend_fast_cache.h
> /usr/include/php/Zend/zend_globals.h
> /usr/include/php/Zend/zend_globals_macros.h
> /usr/include/php/Zend/zend_hash.h
> /usr/include/php/Zend/zend_highlight.h
> /usr/include/php/Zend/zend_indent.h
> /usr/include/php/Zend/zend_list.h
> /usr/include/php/Zend/zend_llist.h
> /usr/include/php/Zend/zend_operators.h
> /usr/include/php/Zend/zend_ptr_stack.h
> /usr/include/php/Zend/zend_stack.h
> /usr/include/php/Zend/zend_variables.h
> /usr/include/php/TSRM
> /usr/include/php/TSRM/TSRM.h
> /usr/include/php/ext
> /usr/include/php/ext/standard
> /usr/include/php/ext/standard/base64.h
> /usr/include/php/ext/standard/basic_functions.h
> /usr/include/php/ext/standard/cyr_convert.h
> /usr/include/php/ext/standard/datetime.h
> /usr/include/php/ext/standard/dl.h
> /usr/include/php/ext/standard/dns.h
> /usr/include/php/ext/standard/exec.h
> /usr/include/php/ext/standard/file.h
> /usr/include/php/ext/standard/flock_compat.h
> /usr/include/php/ext/standard/fsock.h
> /usr/include/php/ext/standard/global.h
> /usr/include/php/ext/standard/head.h
> /usr/include/php/ext/standard/html.h
> /usr/include/php/ext/standard/info.h
> /usr/include/php/ext/standard/md5.h
> /usr/include/php/ext/standard/microtime.h
> /usr/include/php/ext/standard/pack.h
> /usr/include/php/ext/standard/pageinfo.h
> /usr/include/php/ext/standard/php_array.h
> /usr/include/php/ext/standard/php_assert.h
> /usr/include/php/ext/standard/php_browscap.h
> /usr/include/php/ext/standard/php_crypt.h
> /usr/include/php/ext/standard/php_dir.h
> /usr/include/php/ext/standard/php_filestat.h
> /usr/include/php/ext/standard/php_image.h
> /usr/include/php/ext/standard/php_iptc.h
> /usr/include/php/ext/standard/php_lcg.h
> /usr/include/php/ext/standard/php_link.h
> /usr/include/php/ext/standard/php_mail.h
> /usr/include/php/ext/standard/php_metaphone.h
> /usr/include/php/ext/standard/php_output.h
> /usr/include/php/ext/standard/php_rand.h
> /usr/include/php/ext/standard/php_standard.h
> /usr/include/php/ext/standard/php_string.h
> /usr/include/php/ext/standard/php_syslog.h
> /usr/include/php/ext/standard/php_var.h
> /usr/include/php/ext/standard/phpdir.h
> /usr/include/php/ext/standard/phpmath.h
> /usr/include/php/ext/standard/quot_print.h
> /usr/include/php/ext/standard/reg.h
> /usr/include/php/ext/standard/type.h
> /usr/include/php/ext/standard/uniqid.h
> /usr/include/php/ext/standard/url.h
> /usr/include/php/ext/standard/url_scanner.h
> /usr/include/php/regex
> /usr/include/php/regex/regex.h
> /usr/include/php/regex/regex_extra.h
> /usr/include/php/php.h
> /usr/include/php/php_regex.h
> /usr/include/php/php3_compat.h
> /usr/include/php/safe_mode.h
> /usr/include/php/fopen-wrappers.h
> /usr/include/php/php_version.h
> /usr/include/php/php_globals.h
> /usr/include/php/php_reentrancy.h
> /usr/include/php/php_ini.h
> /usr/include/php/SAPI.h
> /usr/include/php/php_config.h
> /usr/include/php/zend_config.h
> /usr/include/php/build-defs.h
> /usr/lib/php
> /usr/lib/php/DB
> /usr/lib/php/DB/common.php
> /usr/lib/php/DB/odbc.php
> /usr/lib/php/DB/mysql.php
> /usr/lib/php/DB/pgsql.php
> /usr/lib/php/DB/storage.php
> /usr/lib/php/build
> /usr/lib/php/build/pear.m4
> /usr/lib/php/build/fastgen.sh
> /usr/lib/php/build/library.mk
> /usr/lib/php/build/ltlib.mk
> /usr/lib/php/build/program.mk
> /usr/lib/php/build/rules.mk
> /usr/lib/php/build/rules_pear.mk
> /usr/lib/php/build/shtool
> /usr/lib/php/build/acinclude.m4
> /usr/lib/php/DB.php

> /usr/lib/perl5/5.00503/i386-linux/perllocal.pod
> /usr/lib/perl5/man/man3/Apache.3
> /usr/lib/perl5/man/man3/Apache::Constants.3
> /usr/lib/perl5/man/man3/Apache::Leak.3
> /usr/lib/perl5/man/man3/Apache::Log.3
> /usr/lib/perl5/man/man3/Apache::PerlRunXS.3
> /usr/lib/perl5/man/man3/Apache::Symbol.3
> /usr/lib/perl5/man/man3/Apache::Table.3
> /usr/lib/perl5/man/man3/Apache::URI.3
> /usr/lib/perl5/man/man3/Apache::Util.3
> /usr/lib/perl5/man/man3/Apache::FakeRequest.3
> /usr/lib/perl5/man/man3/mod_perl.3
> /usr/lib/perl5/man/man3/Apache::ExtUtils.3
> /usr/lib/perl5/man/man3/Apache::SIG.3
> /usr/lib/perl5/man/man3/Apache::Status.3
> /usr/lib/perl5/man/man3/Apache::Include.3
> /usr/lib/perl5/man/man3/Apache::Debug.3
> /usr/lib/perl5/man/man3/Apache::Resource.3
> /usr/lib/perl5/man/man3/Apache::src.3
> /usr/lib/perl5/man/man3/Apache::PerlRun.3
> /usr/lib/perl5/man/man3/Apache::httpd_conf.3
> /usr/lib/perl5/man/man3/mod_perl_traps.3
> /usr/lib/perl5/man/man3/Apache::Options.3
> /usr/lib/perl5/man/man3/mod_perl_cvs.3
> /usr/lib/perl5/man/man3/Apache::Symdump.3
> /usr/lib/perl5/man/man3/Apache::RegistryLoader.3
> /usr/lib/perl5/man/man3/mod_perl_method_handlers.3
> /usr/lib/perl5/man/man3/mod_perl_tuning.3
> /usr/lib/perl5/man/man3/cgi_to_mod_perl.3
> /usr/lib/perl5/man/man3/Apache::StatINC.3
> /usr/lib/perl5/man/man3/Apache::Registry.3
> /usr/lib/perl5/man/man3/Bundle::Apache.3
> /usr/lib/perl5/man/man3/Apache::SizeLimit.3
> /usr/lib/perl5/man/man3/Apache::PerlSections.3
> /usr/lib/perl5/man/man3/Apache::RedirectLogFix.3
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/buff.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/multithread.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/httpd.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_config.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/alloc.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_md5.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_ctx.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/util_md5.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/rfc1413.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/conf.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/util_uri.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/explain.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_compat.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_config.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_sha1.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/scoreboard.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/compat.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_request.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_core.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_mm.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_protocol.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/util_date.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_hook.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_main.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_conf_globals.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/util_script.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_vhost.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_ctype.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/hsregex.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_mmn.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/ap_config_auto.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/http_log.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/include/fnmatch.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware/getopt.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware/test_char.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware/uri_delims.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/netware/precomp.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/bs2000
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/bs2000/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/bs2000/ebcdic.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/bs2000/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/tpf
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/tpf/ebcdic.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/tpf/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/tpf/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/service.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/getopt.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/registry.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/resource.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/installer
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/installer/installdll
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/installer/installdll/test
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/installer/installdll/test/test.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/installer/installdll/test/resource.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/passwd.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/win32/readdir.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/unix
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/unix/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/unix/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os390
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os390/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os390/ebcdic.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os390/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/mpeix
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/mpeix/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/mpeix/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os2
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os2/os.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/os/os2/os-inline.c
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/ssl_expr.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/ssl_util_table.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/ssl_util_ssl.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/ssl_expr_parse.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/mod_ssl.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/ssl/ssl_util_sdbm.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/perl
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/perl/mod_perl.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/perl/mod_perl_version.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/perl/perl_PL.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/perl/mod_perl_xs.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/php4
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/php4/mod_php4.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/proxy
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/proxy/mod_proxy.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/standard
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/modules/standard/mod_rewrite.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/support
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/support/suexec.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/iasciitab.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/latin1tab.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/xmldef.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/xmlparse.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/xmltok.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/xmlrole.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/hashtable.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/nametab.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/xmltok_impl.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/utf8tab.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/lib/expat-lite/asciitab.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/regex
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/regex/utils.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/regex/regex2.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/regex/cclass.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/include/regex/cname.h
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/typemap
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Leak
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Leak/Leak.so
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Leak/Leak.bs
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Symbol
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Symbol/Symbol.so
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/Symbol/Symbol.bs
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/mod_perl
> /usr/lib/perl5/site_perl/5.005/i386-linux/auto/mod_perl/.packlist
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/Bundle
> /usr/lib/perl5/site_perl/5.005/i386-linux/Bundle/Apache.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/test.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Debug.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Resource.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/src.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/httpd_conf.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Symdump.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/RegistryLoader.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Registry.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/SizeLimit.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/RedirectLogFix.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/MyConfig.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Constants
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Constants/Exports.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/SIG.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/StatINC.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Opcode.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/PerlSections.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/FakeRequest.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/ExtUtils.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Include.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Status.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/PerlRun.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Options.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/RegistryNG.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/RegistryBB.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Connection.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Constants.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/File.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Leak.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Log.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/ModuleConfig.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/PerlRunXS.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Server.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Symbol.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Table.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/URI.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache/Util.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_hooks.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_hooks.pm.PL
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_tuning.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_cvs.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_method_handlers.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl.pm
> /usr/lib/perl5/site_perl/5.005/i386-linux/mod_perl_traps.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/cgi_to_mod_perl.pod
> /usr/lib/perl5/site_perl/5.005/i386-linux/Apache.pm

Глава 2 Инсталляция вашего Linux сервера (Часть1)

В этой главе Определите ваше аппаратное обеспечение Создайте загрузочный и корневой диски Классы и методы инсталляции Разбиение диска (Disk Druid) Компоненты инсталляции (Выбор пакетов для инсталляции) Выбор индивидуальных пакетов Описания программ, которые должны быть деинсталлированы из соображений безопасности Как использовать команды RPM Запуск и остановка демонов Описание программы, которые должны быть удалены после инсталляции сервера Программы, которые должны быть установлены после инсталляции сервера Программы установленные на вашем сервере Добавьте цветов на ваш терминал Обновление программ до их последних версий

Мы подготовили эту главу следуя за процедурой инсталляции. Каждый раздел ниже будет проводить вас через различные экраны, которые будут возникать в процессе установки сервера.

Время от времени Red Hat обновляет свою операционную систему на новые версии и добавляет, удаляет и модифицирует некоторые пакеты, изменяет их месторасположения, содержимое и возможности. Недавно Red Hat выпустила версию 6.2 своей операционной системы, которая представляет собой незначительное обновление 6.1. В этой главе мы пытаемся рассмотреть вопросы инсталляции как версии 6.1 так и 6.2. Все разделы в этой секции которые относятся к Red Hat 6.1 будут обозначаться (6.1), разделы относящиеся к Red Hat 6.2 (6.2), а общие для обеих версиях - (All).

Понимание того, какое аппаратное обеспечение у вас установлено является важнейшей составляющей успешной инсталляции Red Hat Linux. Поэтому сейчас вы должны прекратить чтение и прояснить для себя этот вопрос. Будьте готовы ответить на следующие вопросы:

1. Сколько у вас установлено жестких дисков?
2. Каков объем каждого из них?
3. Если у вас несколько жестких дисков, то какой из них первичный?
4. Какого типа диски у вас установлены (IDE, SCSI)?
5. Сколько оперативной памяти установлено у вас?
6. Имеете ли вы SCSI адаптеры? Если есть, то кто их производитель и какой они модели?
7. Есть ли у вас RAID система? Если есть, то кто ее производитель и какой она модели?
8. Мышь какого типа у вас установлена (Microsoft, Logitech, PS/2)?
9. Как много в ней кнопок (2/3)?
10. Если у вас "серийная" мышь, то к какому порту она подключена (COM1)?
11. Кто производитель и какая модель у вашего видеоадаптера? Как много в нем видеопамяти?
12. Какой у вас монитор (производитель и модель)?
13. Будете ли вы подключены к сети. Если да, то выясните следующее:
    1. Ваш IP
    2. Какова сетевая маска.
    3. Адрес "шлюза по умолчанию"
    4. IP адрес DNS сервера
    5. Ваше доменное имя
    6. Имя вашего компьютера
    7. Какие сетевые карты у вас установлены (производитель и модель)

(All) Первое о чем надо подумать это создание инсталляционной дискеты, известной также как загрузочная. Если вы купили официальный Red Hat Linux CD-ROM, то вы найдете ее в коробке и вам не нужно ее создавать. Она называется "Boot Diskette". Время от времени можно столкнуться с проблемой, что ваша инсталляция начатая со стандартной дискеты завершается ошибкой, тогда вам потребуется специальная загрузочная дискета. Образ который можно найти на CD-ROM и на веб-странице Red Hat Linux Errata (http://www.redhat.com/errata).

Перед тем как сделать загрузочный диск вставьте Official Red Hat Linux CD- ROM часть1 в ваш дисковод. Когда программа спросит имя файла - ответьте boot.img. Чтобы сделать загрузочный диск под MSDOS вам нужно ввести следующие команды (принимаем, что CDROM это диск D:, и в него вставлен Official Red Hat Linux CD-ROM).

Программа rawrite.exe запрашивает имя образа. Введите boot.img и вставьте дискету в дисковод. Затем программа спрашивает на какой диск записать образ. Ответьте a:. После завершения процедуры подпишите дискету, например "Red Hat boot disk".

Если мы запускаем инсталляцию не напрямую с CD-ROM, то загружайтесь с дискеты. Вставьте дискету, которую вы создали, в дисковод A:, на компьютере, где вы собираетесь установить Linux и перезагрузите его. После появления приглашения к загрузке нажмите Enter для продолжения и выполните три следующих действия:

1. Выберите язык
2. Выберите тип клавиатуры
3. Выберите тип мыши

Red Hat Linux 6.1 и 6.2 включает четыре предопределенных типа инсталляции:

• рабочая станция с GNOME
• рабочая станция с KDE
• Сервер
• Пользовательская

Идея состоит в том, чтобы проинсталлировать минимальное количество пакетов. Меньшее количество программного обеспечение, уменьшает количество потенциальных проблем с безопасностью. Выберите "Custom" и нажмите Next.

(All) Мы принимаем, что вы устанавливаете Linux на новый диск, на котором нет никаких файловых или операционных систем. Хорошая стратегия разбития диска, это разделение его на отдельные разделы для каждой важной файловой системы.

Разбиение дика на несколько разделов дает следующие преимущества:

1. Защита от DoS (Denial of Service) атак
2. Защита от SUID программ
3. Более быстрая загрузка
4. Облегчение процедуры резервного копирования и обновления
5. Улучшенный контроль над смонтированными файловыми системами
6. Ограничение для каждой файловой системы возможности роста

Внимание. Если на вашем компьютере есть файловые системы, мы настоятельно рекомендуем сделать резервную копию вашей системы перед разбиением диска.

Исходя из соображений стабильности и безопасности мы рекомендуем разбить диск согласно принципам описанным ниже. Мы исходили из того, что у вас есть SCSI диск объемом 3.2 GB. Конечно, вы можете изменить размеры разделов, исходя из размеров вашего диска и личных нужд.

Разделы которые необходимо создать на вашем диске.

Мы создаем два специальных раздела /chroot и /cache. /chroot - для программ умеющий менять корневую файловую систему (chroot). К ним относятся DNS- сервер, Apache веб-сервер и ряд других программ. Раздел /cache предназначен для кэширующего прокси сервера Squid. Если вы не хотите использовать Squid, то вы можете не создавать его.

Расположите /tmp и /home на отдельных разделах, особенно если пользователи вашего сервера имеют shell-доступ к нему. Также хорошей идеей будет разместить на независимых разделах /var и /usr. Отделение /var защитит ваш корневой раздел от переполнения.

В нашей конфигурации мы зарезервировали 256 MB под /chroot. Это связано с тем, что на нем будут располагаться файлы из Apache DocumentRoot и другие исполняемые файлы, связанные с Apache. Заметим, что размер каталога Apache на /chroot зависит от общего объема занимаемого файлами из "DocumentRoot". Если вы не планируете использовать Apache, то можете уменьшить размер этого раздела до 10 MB. Этого должно хватить для DNS-сервера.

Ниже приведены минимальные размеры разделов при которых система корректно функционирует. Это действительно самые минимальные цифры. Они взяты исходя из размеров старых жестких дисков - 512 MB.

Disk Druid - это утилита, которая облегчает процедуру разбиения диска на разделы. Выберите "Add" для создания нового раздела, "Edit" для редактирования раздела, "Delete" для удаления раздела и "Reset" сбросить последние изменения в исходное состояние. Когда вы создаете новый раздел перед вами появляется новый экран, в котором вы должны определить ряд параметров.

Точка монтирования (Mount Point): место в файловой системе куда будет монтироваться данный раздел.
Size (Megs): размер нового раздела в мегабайтах.
Partition Type: Тип раздела: Linux native для файловой системы Linux и Swap для Linux Swap раздела.
Если у вас SCSI диск, то устройство называется "/dev/sda", а если IDE диск, то "/dev/hda". Если вы стремитесь к высокой производительности и стабильности, то используйте SCSI диски.
Для описания дисков в Linux используется комбинация из букв и цифр.
Первые две буквы - первые две буквы из названия устройства. Например, "hd" (для IDE дисков) или "sd" (для SCSI дисков).
Следующая буква - Эта буква показывает порядок подключения устройств к интерфейсу.Например, "/dev/hda" (первый IDE диск) и "/dev/hdb" (второй IDE диск).

Swap раздел используется для поддержки виртуальной памяти. Если ваш компьютер имеет 16 MB памяти или меньше, то swap раздел вам просто необходим. Если памяти у вас много больше, то его все равно рекомендуется создавать. Минимальный размер swap-раздела должен быть равен объему RAM, но не меньше 16 MB. Наибольший его размер 1 GB (столько поддерживает ядра серии 2.2). Вы можете создать и использовать более одного swap-раздела. Swap-раздел лучше располагать в начале диска. Физически начало диска находится на внешней части цилиндра, поэтому головка за один оборот охватывает большую поверхность.

Ниже приведен пример разбиения диска при помощи утилиты Disk Druid:

Add
Mount Point: /boot - ваш /boot каталог.
Size (Megs): 5
Partition Type: Linux Native
Ok
Add
Mount Point: /usr - ваш /usr каталог.
Size (Megs): 512
Partition Type: Linux Native
Ok
Add
Mount Point: /home - ваш /home каталог.
Size (Megs): 1146
Partition Type: Linux Native
Ok
Add
Mount Point: /chroot - ваш /chroot каталог.
Size (Megs): 256
Partition Type: Linux Native
Ok
Add
Mount Point: /cache - ваш /cache каталог.
Size (Megs): 256
Partition Type: Linux Native
Ok
Add
Mount Point: /var - ваш /var каталог.
Size (Megs): 256
Partition Type: Linux Native
Ok
Add
Mount Point: - ваш /Swap раздел (не имеет точки монтирования на вашей файловой системе).
Size (Megs): 128
Partition Type: Linux Swap
Ok
Add
Mount Point: /tmp - ваш /tmp каталог.
Size (Megs): 256
Partition Type: Linux Native
Ok
Add
Mount Point: - ваш корневой каталог.
Size (Megs): 256
Partition Type: Linux Native
Ok

По окончании процедуры разбиения диска у вас должна получиться следующее:

Сейчас, когда вы разбили диск и определили точки монтирования для разделов, нажмите Next для продолжения. После того, как новые разделы созданы, вам будет предложено отформатировать их. Выберите раздел для инициализации, поставьте "галочку" напротив "проверить диски на плохие блоки" и нажмите Next. Раздел будет отформатирован и станет доступен для использования под Linux.

На следующем экране вам будет предложено выбрать конфигурацию LILO, где вы сможете выбрать куда вы ее хотите проинсталлировать.

1. В Master Boot Record (MBR)
2. В первый сектор загрузочного раздела.

Обычно, если Linux будет единственной ОС на вашей машине, то LILO устанавливают в MBR. После этого вам будет предложено настроить сеть и часы. Когда часы будут установлены, нужно выбрать пароль пользователя root и определить конфигурацию идентификации. Для нее не забудьте выбрать:

1. Включить MD5 пароли
2. Включить теневые пароли

Включать NIS не надо, так как мы не будем настраивать NIS сервис на нашем сервере.

(All) После того, как вы разбили диск и отформатировали разделы наступает пора выбирать пакеты для инсталляции. По умолчанию, Linux является полнофункциональной системой с большим количеством запущенных сервисов. Большинство из них не нужны и могут нанести вред безопасности сервера. Идеально, когда каждый из сервисов работает на отдельной машине. Многие дистрибутивы Linux сконфигурированы по умолчанию на обслуживание широкого спектра сервисов, так что вам надо сконфигурировать сервер так, чтобы отключить ненужные службы. Предложение использовать важнейшие сервисы на отдельных компьютерах улучшает сетевую безопасность по следующим причинам:

1. нет других служб, которые можно использовать для атаки
2. различные сервисы могут обслуживать разные администраторы. Разнесение их по отдельным машинам сократит количество конфликтных ситуаций между администраторами.
3. Отдельная машина может быть лучше сконфигурирована для выполнения определенных задач. Разные сервисы требуют разное аппаратное обеспечение и программную конфигурацию.
4. При уменьшении количество сервисов уменьшается количество сообщений в лог файлах, которые следует исследовать на предмет нестандартных ситуаций.

Правильная инсталляция Linux - первый шаг к стабильной и безопасной системе. Сначала выберите какие компоненты системы вы хотите проинсталлировать, а затем войдите в каждый из компонентов, чтобы отметить какие пакеты надо устанавливать, а какие нет (Select individual packages). Так как мы инсталлируем сервер, мы не будем устанавливать графический интерфейс (Xfree86). Он на сервере не нужен, меньше процессов, меньше загрузка процессора, меньше загрузка памяти, меньше риск нарушить безопасность системы и т.д. Графический интерфейс обычно используется на рабочих станциях. Выберите следующие компоненты для инсталляции.

• Networked Workstation
• Network Management Workstation
• Utilities

Теперь можете выбрать пакеты внутри каждого компонента.

Замечание: Выбрать эту опцию (Select individual packages) очень важно до продолжения процедуры инсталляции.

Инсталляционная программа представит список доступных групп с пакетами, выберите необходимую группу для проверки. Пакеты перечисленные ниже должны быть удалены из соображений безопасности, оптимизации и ряда других причин.

(6.1)

Applications/File:	git
Applications/Internet	finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet
Applications/Publishing	ghostscript, ghostscript-fonts, mpage, rhs- printfilters
Applications/System	arpwatch, bind-utils, knfsd-clients, procinfo, rdate, rdist, screen, ucd-snmp-utils
Documentation	indexhtml
System Environment/Base	chkfontpath, yp-tools
System Environment/Daemons	XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind
System Environment/Libraries	XFree86-libs, libpng
User Interface/X	XFree86-75dpi-fonts, urw-fonts

(6.2)

Applications/File:	git
Applications/Internet	finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet
Applications/Publishing	ghostscript, ghostscript-fonts, groff-perl, pnm2ppa, mpage, rhs-printfilters
Applications/System	arpwatch, bind-utils, rdate, rdist, screen, ucd-snmp-utils
Documentation	indexhtml
System Environment/Base	chkfontpath, yp-tools
System Environment/Daemons	XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind, finger-server, nfs-utils, pidentd, portmap, rsh- server, rusers-server, rwall-server, talk-server, telnet-server, tftp-server, ypserv
System Environment/Libraries	XFree86-libs, libpng
User Interface/X	urw-fonts

Далее мы приведем описание каждой программы которые мы хотим деинсталлировать. Кто-нибудь может спросить, почему мы удаляем finger, ftp, fwhois и telnet на сервере? Первое, это то, что все эти программы по своей сути небезопасны. Представьте, что хакер имеет доступ на ваш новый сервер, тогда он сможет использовать finger, ftp, fwhois и telnet для доступа к другим компьютерам в вашей сети. Если этих программ нет на сервере, то ему придется использовать их в другом месте или попытаться проинсталлировать их у вас, а это легко можно отследить, например, при помощи Tripwire. Хотя такие сервисы как telnet, finger, talk, rsh, rusers, rwall и tftp в Red Hat 6.2 разделены на серверные и клиентские пакеты, мы все равно рекомендуем деинсталлировать их из соображений повышения безопасности.

Глава 2 Инсталляция вашего Linux сервера (Часть 2)