OpenSUSE Linux

Linux - co to je
Instalace systému OpenSuSe Linux
Instalace programu v Linuxu
Užitečné programy
Aktualizace systému

 
Linuxový server pro síť:
Dálková správa Linuxu přes WWW rozhraní  
Připojení Linuxu k Windows
Skript
Squid proxy server
SquidGuard rodičovská kontrola
OpenVPN
Odkazy
 

Linux

je plnohodnotný operační systém (podobně jako Windows, Mac OS …) který lze mít na počítači např. místo Windows.
Linux umožňuje (velmi podobně, jako Windows):

Linux může plnit i úlohu serveru pro síť - např.:

Existuje mnoho typů (tzv. distribucí) Linuxu: Open SuSe, Mandriva, Debian, Ubuntu, Fedora…

Linux je ZDARMA a je méně zranitelný, než Windows.

Instalace systému OpenSuSe Linux

Stažení DVD na software.opensuse.org (verze Leap - je stabilnější)

Pro server nastav po instalaci:

Instalace programu v Linuxu

  1. Instalace (automatická) z webu či DVD:
       Yast->Software ->Správa softwaru, vyhledej balíček podle zadané části názvu.
  2. Instalace z RPM balíčku (staženého souboru):
      Zypper in [jméno balíčku]

Instalace ze zdrojových kódů - z nich vytvoření RPM balíčku - 1, 2.

Užitečné programy

Aktualizace systému

Yast->Software->On-line aktualizace


LINUXOVÝ SERVER PRO SÍŤ

OpenSuSe počítač může být síť lokálních počítačů ochrana (firewall) a poskytovatel přístupu k internetu (brána, příp. proxy server).
Kvůli menšímu zatížení se mu neinstaluje grafické rozhraní (běží v textovém módu).
Příkazy se zadávají na černé obrazovce (bílá písmena) - nazýváme ji příkazová řádka či konzole.
Příkazy např: reboot = restart systému, poweroff = vypnutí systému…

Pro správu serveru přes síť (pomocí konzole) je vhodný ssh klient (např. putty)

Dálková správa Linuxu přes WWW rozhraní

Modul Webmin umožní spravovat systém na dálku přes www rozhraní na adrese http://[IP_adresa_stroje]:10000/.
Instalace na konzoli:

  1. zypper install [adresa_balíčku]
    Adresu balíčku RPM zjistíme zkopírováním příslušného odkazu v sekci download
    zypper install http://prdownloads.sourceforge.net/webadmin/webmin-1.820-1.noarch.rpm
  2. Otevři ve firewallu (YASTem) port 10000 (Povolené služby->Pokročilé)
    (čísla na konzoli lze psát jen na horním řádku klávesnice)
  3. Spusť webmin /etc/webmin/start
    (je-li port 10000 obsazen, v /etc/webmin/miniserv.conf změň port na 10001. Povol port 10001 a spusť webmin)
  4. V prohlížeči internetu (stroje lokální sítě) napiš do adresy IP adresu linuxového serveru:10000
    - potvrď výjimku pro certifikát
    - Webmin->Change language->Česky + zvol Personal choice

Vhodné je doinstalovat SSL (Webmin->Konfigurace Webminu->SSL kryptování) např. z webmin.com->Net::SSLeay.

Další moduly pro Webmin lze doinstalovat automaticky Webmin->Konfigurace Webminu->Moduly Webminu
(standardní moduly či moduly třetích stran)
POZOR: Webmin verze 1.570 mi nepracoval korektně s nastavením pro: Firewall, Samba

Připojení Linuxu k Windows

Na konzoli (příkazovém řádku) napiš příkaz:
mount -t cifs //192.168.0.245/1/linux /media/pcwin -o username=hrodek
(sdílená složka Windows bude připojena jako existující složka "pcwin" Linuxu, ke stanici Windows se připojí jako uživatel "hrodek")

Totéž lze napsat do skriptu "pripojPCWIN":

#!/bin/bash
mount -t cifs //192.168.0.245/1/linux /media/pcwin -o username=hrodek

(spouštěj jen jménem skriptu, nastav skriptu oprávnění ke spouštění)

Skript

je obyčejný textový soubor s vlastnostmi:

Spuštění skriptu:

Linuxový server jako brána

Počítač s Linuxem má jednu síťovou kartu připojenu k internetu (vnější karta), druhou do lokální sítě (vnitřní karta).
Nastav:

  1. Yast–>Síťová zařízení–>Síť–>Směrování–>[x] Povolit IP forwarding
  2. Yast–>Bezpečnost a uživatelé–>Firewall->Maškaráda–>[x] Maškarádovat sítě

Stanicím v LAN nastav bránu – IP vnitřní síťové karty linuxového serveru a servery DNS.
POZOR! Stanice tak získají nehlídaný přístup do internetu na serverem povolených portech (omezeno pouze firewallem).
Použití proxy tak vynutíme pouze v některých programech (ručním nastavením spojení s proxy – prohlížeče internetu …)

Firewall pro síť

Linuxový server uzavře na zvolené (vnější) kartě všechny porty kromě povolených. Nastav v:
Yast–>Bezpečnost a uživatelé–>Firewall->Povolené služby:

Volbou Pokročilé lze nastavit:

    pro poštovní program (Mozilla Thunderbird)  
     správa serveru Webminem    POP3         SMTP   zabezpečený přenos https
   TCP   10000 110 143 25 443
    pro poštovní program (Mozilla Thunderbird)    
     management VPN     POP3        
   UDP   1194 110 143    
       
   RPC        
       
  IP          

POZOR: Povoluj opatrně, tato povolení jsou pro VŠECHNY stanice v síti.

Squid proxy server

 …

SquidGuard rodičovská kontrola obsahu

(doplním časem …)

OpenVPN

Instalace není třeba (v OpenSuSe již balík je).
Vše komfortně nastavíme Webminem:
  1. do Webminu doinstaluj modul OpenVPN (moduly třetích stran)
  2. Webmin->Servery->OpenVPN + CA-> vyplň údaje certifikační autority = své organizace (jméno autority malými bez mezer, stát CZ)
    (několik minut pak běží vytváření certifikátů a spuštění OpenVPN)
  3. Vytvoř Webminem certifikáty pro server a klienta:
    OpenVPN->Certification Authority List->[autorita]->Keys list->(klíč jménem [autorita]-server vytvoř pro server)
    (stejně vytvoř klíč-certifikát [autorita]-klient1, [autorita]-klient2 … pro klienty)
    Tyto klíče jsou NUTNÉ pro navázání VPN spojení.
  4. Vytvoř VPN:
    OpenVPN->VPN list->New VPN server  (jméno bez diakritiky a mezer, 1194, udp, tun, management Yes, 7505, klíč - serveru, Net IP assigns: 10.8.0.0, 255.255.255.0, persist-Yes, client-to-client-Yes, AES-256-CBC 256 bit)
  5. Vytvořené VPN ještě zpřístupni LAN za serverem:
    [nováVPN](klikni)->Additional Configurations: push "route 192.168.0.0 255.255.255.0"
  6. Povol routing VPN<–>LAN - vytvoř skripty:
    vpn-povol.sh
    #!/bin/bash
    iptables -t filter -I FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    iptables -t filter -I FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

    vpn-povol-ne.sh
    #!/bin/bash
    iptables -t filter -D FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j ACCEPT
    iptables -t filter -D FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT
    iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

    Skripty umísti např. do /etc/openvpn/skripty
    Po startu VPN spusť "vpn-povol.sh", po ukončení pak "vpn-povol-ne.sh".
  7. V ccd konfiguraci klienta povol inverzní routing klienta do VPN:
    vytvoř textový soubor /etc/openvpn/servers/[jménoVPN]/ccd/[jménklienta1] s obsahem:
    iroute 192.168.0.0 255.255.255.0
    (IP rozsah adres u klienta). Souboru nastav atributy "spouštět".
  8. ve firewallu serveru otevři port 1194 pro VPN!

POZN: Automatické povolení routingu po startu dané VPN lze nastavit např. Webminem (za cenu mírného oslabení zabezpečení serveru) - vložením výše uvedeného textu s úplnou cestou:

/usr/sbin/iptables  -t filter -I FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -t filter -I FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j ACCEPT
/usr/sbin/iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

do sekce up (script execute after VPN up) v nastavení dané VPN (Webmin jej uloží do /etc/openvpn/servers/[jméno_VPN]/bin/[jméno_VPN].up).
Aby při startu dané VPN dané příkazy proběhly, je nutno ještě doplnit do /etc/init.d/openvpn zvýrazněný řádek:


--writepid "$pidfile" \

--script-security 2 \
--config "$conf" \

Tím se povolí spouštění uživatelských skriptů (mírně se tím oslabí zabezpečení serveru).

Odkazy k získání SW

Open SuSE - instalační DVD
Webmin - www rozhraní pro dálkovou správu systému
OpenVPN - klient pro připojení vzdálené stanice k serveru  a jeho síti