OpenSUSE Linux
je plnohodnotný operační systém (podobně jako Windows, Mac OS …) který lze
mít na počítači např. místo Windows.
Linux umožňuje (velmi podobně, jako Windows):
- prohlížení webových stránek (obsahuje prohlížeč Firefox)
- psaní dokumentů podobně jako Word, Excel (obsahuje kancelářský
balík Open Office, obdobu Libre Office)
- práci se soubory
- práci s obrázky
- hraní her určených pro Linux
Linux může plnit i úlohu serveru pro síť - např.:
- souborový server
- proxy server (zabezpečí a zprostředkuje lokálním počítačům přístup k
internetu)
- poštovní server
Existuje mnoho typů (tzv. distribucí) Linuxu: Open SuSe, Mandriva, Debian,
Ubuntu, Fedora…
Linux je ZDARMA a je méně zranitelný, než Windows.
Stažení DVD na software.opensuse.org
(verze Leap - je stabilnější)
- úvodní obrazovka - F2 -> Český jazyk, zvol Instalace
- k připojení k internetu je nutné vyplnit IP adresu, masku, bránu a DNS
servery
- depozitáře netřeba přidávat
- Navržené rozdělení (disku…) lze ponechat
- Čas a časové pásmo lze ponechat
- prostředí KDE desktop (instaluješ-li server
pouze s textovým módem, zvol: Ostatní->Výběr minimalistického serveru
(textový režim))
- jméno, login a heslo uživatele (totéž heslo bude mít administrátor root)
- Instalační nastavení:
Je dobré povolit firewall, pro server otevřít přístup přes ssh a
povolit službu ssh: -> Firewall a SSH ->
- Firewall povolit
- Port ssh - otevřít
- Služba SSH - povolit
Pro server nastav po instalaci:
- Yast->systém->Jazyk->Detaily->Ano, zruš užití UTF-8 (konzole pak mluví
česky, Yast i MC v ní korektně zobrazují rámečky)
Čeština funguje až po restartu systému.
- Firewall -> povolené služby ->ssh
- Firewall -> povolené služby ->Pokročilé ->TCP 80 (www) 10000 (Webmin), UDP
1194 (openVPN)
(čísla na konzoli lze psát jen na horním řádku
klávesnice)
- Instalace (automatická) z webu či DVD:
Yast->Software ->Správa softwaru, vyhledej
balíček podle zadané části názvu.
- Instalace z RPM balíčku (staženého souboru):
Zypper in [jméno balíčku]
Instalace ze zdrojových kódů - z nich vytvoření RPM balíčku -
1,
2.
- Midnight Commander (také MC)- DOSový manažer souborů (pro konzoli)
- Krusader - manažer souborů pro grafické rozhraní (pracuje i na nejvyšších
právech roota)
Yast->Software->On-line aktualizace
LINUXOVÝ SERVER PRO SÍŤ
OpenSuSe počítač může být síť lokálních počítačů ochrana (firewall) a
poskytovatel přístupu k internetu (brána, příp. proxy server).
Kvůli menšímu zatížení se mu neinstaluje grafické rozhraní (běží v textovém
módu).
Příkazy se zadávají na černé obrazovce (bílá písmena) - nazýváme ji příkazová
řádka či konzole.
Příkazy např: reboot = restart systému, poweroff = vypnutí systému…
Pro správu serveru přes síť (pomocí konzole) je vhodný ssh klient (např.
putty)
Modul
Webmin umožní spravovat systém na
dálku přes www rozhraní na adrese
http://[IP_adresa_stroje]:10000/.
Instalace na konzoli:
- zypper install [adresa_balíčku]
Adresu balíčku RPM zjistíme zkopírováním příslušného odkazu v sekci
download
zypper install
http://prdownloads.sourceforge.net/webadmin/webmin-1.820-1.noarch.rpm
- Otevři ve firewallu (YASTem) port 10000 (Povolené služby->Pokročilé)
(čísla na konzoli lze psát jen na horním řádku
klávesnice)
- Spusť webmin /etc/webmin/start
(je-li port 10000 obsazen, v /etc/webmin/miniserv.conf
změň port na 10001. Povol port 10001 a spusť webmin)
- V prohlížeči internetu (stroje lokální sítě) napiš do adresy IP adresu
linuxového serveru:10000
- potvrď výjimku pro certifikát
- Webmin->Change language->Česky + zvol Personal choice
Vhodné je doinstalovat SSL (Webmin->Konfigurace Webminu->SSL kryptování)
např. z webmin.com->Net::SSLeay.
Další moduly pro Webmin lze doinstalovat automaticky Webmin->Konfigurace
Webminu->Moduly Webminu
(standardní moduly či moduly třetích stran)
POZOR: Webmin verze 1.570 mi nepracoval korektně s nastavením pro: Firewall,
Samba
Na konzoli (příkazovém řádku) napiš příkaz:
mount -t cifs //192.168.0.245/1/linux
/media/pcwin -o username=hrodek
(sdílená složka Windows bude připojena jako
existující složka "pcwin" Linuxu, ke
stanici Windows se připojí jako
uživatel "hrodek")
Totéž lze napsat do skriptu "pripojPCWIN":
#!/bin/bash
mount -t cifs //192.168.0.245/1/linux /media/pcwin -o username=hrodek |
(spouštěj jen jménem skriptu, nastav skriptu oprávnění ke spouštění)
je obyčejný textový soubor s vlastnostmi:
- jeho 1. řádek označuje shell, kterým bude skript proveden - např. "#!/bin/bash"
- skript musí mít nastaveno oprávnění "spouštět" vlastníkem, skupinou
i ostatními
(nastav např. Midnight Commanderem->Soubor->Změna práv)
- další řádky obsahují příkazy psané jako na příkazovém řádku
(POZOR na konce řádků z Windows - způsobují chyby. Oprav editací v Linuxu nebo
pro přípravu skriptu použij ve Windows třeba
PSPad)
Spuštění skriptu:
- z příkazového řádku zápisem absolutní cesty ("/media/pripojPCWIN")
- z aktuální složky relativní cestou ("./pripojPCWIN")
- vzdáleně pomocí Webmin->Ostatní->Uživatelské příkazy
Linuxový server jako brána
Počítač s Linuxem má jednu síťovou kartu připojenu k internetu (vnější
karta), druhou do lokální sítě (vnitřní karta).
Nastav:
- Yast–>Síťová zařízení–>Síť–>Směrování–>[x] Povolit IP forwarding
- Yast–>Bezpečnost a uživatelé–>Firewall->Maškaráda–>[x]
Maškarádovat sítě
Stanicím v LAN nastav bránu – IP vnitřní síťové karty linuxového serveru a servery
DNS.
POZOR! Stanice tak získají nehlídaný přístup do internetu na serverem povolených
portech (omezeno pouze firewallem).
Použití proxy tak vynutíme pouze v některých programech (ručním nastavením
spojení s proxy – prohlížeče internetu …)
Firewall pro síť
Linuxový server uzavře na zvolené (vnější) kartě všechny porty kromě
povolených. Nastav v:
Yast–>Bezpečnost a uživatelé–>Firewall->Povolené služby:
Volbou Pokročilé lze nastavit:
|
|
pro poštovní
program (Mozilla Thunderbird) |
|
|
správa serveru
Webminem
|
POP3
|
|
SMTP
|
zabezpečený přenos https |
TCP |
10000 |
110 |
143 |
25 |
443 |
|
|
pro poštovní
program (Mozilla Thunderbird) |
|
|
|
management VPN
|
POP3
|
|
|
|
UDP |
1194 |
110 |
143 |
|
|
POZOR: Povoluj opatrně, tato povolení jsou pro VŠECHNY stanice v síti.
Squid proxy server
…
SquidGuard rodičovská kontrola obsahu
(doplním časem …)
Instalace není třeba (v OpenSuSe již balík je).
Vše komfortně nastavíme Webminem:
- do Webminu doinstaluj modul OpenVPN (moduly třetích stran)
- Webmin->Servery->OpenVPN + CA-> vyplň údaje certifikační autority
= své organizace (jméno autority malými bez mezer, stát CZ)
(několik minut pak běží vytváření certifikátů a spuštění OpenVPN)
- Vytvoř Webminem certifikáty pro server a klienta:
OpenVPN->Certification Authority
List->[autorita]->Keys list->(klíč jménem [autorita]-server
vytvoř pro server)
(stejně vytvoř klíč-certifikát [autorita]-klient1, [autorita]-klient2 …
pro klienty)
Tyto klíče jsou NUTNÉ pro navázání VPN spojení.
- Vytvoř VPN:
OpenVPN->VPN list->New VPN server (jméno bez diakritiky
a mezer, 1194, udp, tun, management Yes, 7505, klíč - serveru, Net IP assigns:
10.8.0.0, 255.255.255.0, persist-Yes, client-to-client-Yes, AES-256-CBC 256 bit) -
Vytvořené VPN ještě zpřístupni LAN za serverem:
[nováVPN](klikni)->Additional Configurations: push "route 192.168.0.0 255.255.255.0" -
Povol routing VPN<–>LAN - vytvoř skripty:
vpn-povol.sh
#!/bin/bash
iptables -t filter -I FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j
ACCEPT
iptables -t filter -I FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j
ACCEPT
iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
vpn-povol-ne.sh
#!/bin/bash
iptables -t filter -D FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j
ACCEPT
iptables -t filter -D FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j
ACCEPT
iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
Skripty umísti např. do /etc/openvpn/skripty
Po startu VPN spusť "vpn-povol.sh", po ukončení pak "vpn-povol-ne.sh". - V ccd konfiguraci klienta povol inverzní routing klienta do VPN:
vytvoř textový soubor /etc/openvpn/servers/[jménoVPN]/ccd/[jménklienta1]
s obsahem:
iroute 192.168.0.0
255.255.255.0
(IP rozsah adres u klienta).
Souboru nastav atributy "spouštět". - ve
firewallu serveru otevři port 1194 pro VPN!
POZN: Automatické povolení routingu po startu dané VPN lze nastavit např.
Webminem (za cenu mírného oslabení zabezpečení serveru) - vložením výše
uvedeného textu s úplnou cestou:
/usr/sbin/iptables -t filter -I FORWARD -i tun0 -s 10.8.0.0/24 -d 192.168.0.0/24 -j
ACCEPT
/usr/sbin/iptables -t filter -I FORWARD -i eth1 -s 192.168.0.0/24 -d 10.8.0.0/24 -j
ACCEPT
/usr/sbin/iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
do sekce up (script execute after VPN up) v nastavení dané VPN (Webmin
jej uloží
do /etc/openvpn/servers/[jméno_VPN]/bin/[jméno_VPN].up).
Aby při startu dané VPN dané příkazy proběhly, je nutno ještě doplnit do /etc/init.d/openvpn
zvýrazněný řádek:
…
--writepid "$pidfile" \
--script-security 2 \
--config "$conf" \
…
Tím se povolí spouštění uživatelských skriptů (mírně se tím oslabí
zabezpečení serveru).
Open SuSE -
instalační DVD
Webmin - www rozhraní pro dálkovou správu
systému
OpenVPN - klient pro připojení vzdálené stanice k serveru a jeho
síti |
|