Introduzione e installazione di Linux
|
Introduzione all'arte sistemistica |
|
Raccolta informazioni. Scelta dell'hardware. Definizione degli obiettivi. Opzioni di installazione. |
Pratica: Analizzare hardware e software del proprio sistema
Tipo Infobox: PRACTICE - Skill Level: 2- JUNIOR - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2006-04-04 12:36:35
1- MESSAGGI DI BOOT
Per vedere i messaggi del kernel dopo un boot (e quindi i dispositivi hardware riconosciuti):
# dmesg
Oppure i log (a seconda della distribuzione):
# less /var/log/boot.log
# less /var/log/messages
# less /var/log/boot.msg
2- HARDWARE
Per vedere i dispositivi PCI connessi:
# lspci
Per info sulla ram:
# free
# less /proc/meminfo
Per info sul processore
# less /proc/cpuinfo
# less /proc/cpufreq
Info sugli interrupts:
# less /proc/interrupts
Per info sui dischi fissi, lo spazio libero e le partizioni disponibili:
# fdisk -l
# df
# mount
Per dischi ide (ad esempio /dev/hda):
# ide_info /dev/hda
# hdparm -i /dev/hda
(oppure, più verboso, hdparm -I /dev/hda
)
3- SOFTWARE
Versione del kernel corrente:
# uname -a
Tempo di uptime (da quanto il sistema è acceso)
# uptime
File di configurazione del kernel (dove disponibile)
# less /boot/config-versione-kernel
Elenco dei programmi installati (su sistema basato su rpm)
# rpm -qa
(Sistemi RPM based)
# dpkg -l
(Sistemi DEB based)
Moduli del kernel disponibili:
# modprobe -l
Moduli del kernel caricati in memoria:
# lsmod
# less /proc/modules
|
Documentation, examples and use of Cobbler Linux Provisioning System |
Assegnazione di IP e nomi in una LAN
|
Protocollo, installazione, configurazione ed uso di un server DHCP (ISC) |
Pratica: Installazione e configurazione di un server DHCP
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-05-31 15:24:52
Operazioni necessarie
1- Installare il server dhcp (di default su Fedora2 l'rpm è dhcp-3.0.1rc12-4.i386.rpm)
2- Assicurarsi che nel file di configurazione siano presenti le seguenti righe:
default-lease-time 3600;
max-lease-time 18000;
subnet 10.42.42.0 netmask 255.255.255.0 {
option domain-name-servers 10.42.42.1;
option routers 10.42.42.1;
range 10.42.42.200 10.42.42.210;
}
3- Far partire il servizio con /etc/init.d/dhcpd restart
. Verificare che il processo sia in esecuzione con ps -adef | grep -i dhcp
, dovrebbe esserci una riga tipo /usr/sbin/dhcpd
.
Da un client è possibile richiedere l'assegnazione dell'indirizzo via dhcp con il comando dhclient
(oppure riavviare il sottosistema di rete avendo impostato nei file di configurazione l'uso di un server dhcp). Le lease concesse dal server sono visualizzabili nel file /var/lib/dhcp/dhcpd.leases
, le operazioni di assegnazione dovrebbero comunque essere loggate in /var/log/messages
4- /etc/init.d/dhcpd stop
per fermare il servizio, chkconfig --level 345 dhcpd off
per disattivarne l'avvio al boot.
|
Installazione di BIND tramite RPM e sorgenti, file installati e posizioni. Gestione del servizio. |
|
Configurazione di BIND - In particolare la versione 9.x |
Pratica: Configurazione di bind come caching nameserver
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-05-31 15:13:14
Operazioni da svolgere
1- rpm -i bind...rpm
. Editare /etc/resolv.conf
e assicurarsi che esista la riga nameserver 10.42.42.x
dove X è il proprio indirizzo email.
2- Editare /etc/named.conf
, assicurarsi che esistano almeno le seguenti righe:
options {
directory "/var/named/";
pid-file "/var/run/named/named.pid"; (E' importante che questo file sia scrivibile dall'utente owner del processo named)
};
zone "." {
type hint;
file "named.ca";
};
Assicurarsi di avere il file /var/named/named.ca
con un elenco aggiornato dei root servers a cui il proprio server si rivolgerà per le sue query.
Per testare con dig il funzionamento del server provare a digitare: dig @10.42.42.X www.go.com
3- Aggiungere a named.conf
nella sezione options
la riga:
allow-query { 10.42.42.0/24; }; Permette query solo dagli indirizzi indicati
4- Aggiungere a named.conf
nella sezione options
la riga:
forwarders { 10.42.42.1; }; Inoltra tutte le sue query a 10.42.42.1
Condivisione dell'accesso ad Internet
|
Overview, gestione, utilizzo di iptables su Linux per packet filtering |
Pratica: Configurazione di un personal firewall con iptables
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-05-18 21:47:21
Comandi necessari
1- iptables -L -n -v
Visualizza in modo verboso e senza risolvere gli indirizzi IP l'elenco delle regole in uso
2- iptables -F
Ripulisce tutte le regole. iptables -Z
Azzera tutti i contatori.
3- iptables -P INPUT DROP
, iptables -F FORWARD DROP
Imposta come default il DENY sui pacchetti in entrata e in transito.
4- iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
, iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 23 -j ACCEPT
, iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
Accetta connessioni dalla rete locale (in questo caso 192.168.0.0/24) alle porte tcp 22 (ssh), 23 (telnet) e 80 (http)
5- iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Accetta tutti i pacchetti correlati a connessioni già stabilite e aperte da locale.
6- iptables -A INPUT -j LOG
Tutti i pacchetti che non vengono matchati dalle precedenti regole (ACCEPT su un DROP di default) vengono loggati.
|
Utilizzo di iptables per natting, masquerading e mangling di pacchetti. |
Pratica: Configurare iptables per fare di Linux il firewall/gateway di una rete interna
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-05-31 17:43:41
Operazioni necessarie
1- iptables -L ; iptables -t nat -L
2- iptables -F
Se esistono catene con pacchetti droppati di default modificarlo. es: iptables -P INPUT ACCEPT
3- iptables -P INPUT DROP ; iptables -P FORWARD DROP
4- iptables -A INPUT -s 10.42.42.0/24 -j ACCEPT
5- iptables -A FORWARD -s 10.42.42.0/24 -i eth0 -j ACCEPT ; iptables -t nat -s 10.42.42.0/24 -o eth1 -j MASQUERADE
6- echo 1 > /proc/sys/net/ipv4/ip_forward
oppure sysctl -w net.ipv4.ip_forward=1
7- iptables -I INPUT -i lo -j ACCEPT ; iptables -I OUTPUT -o lo -j ACCEPT
8- Per salvare lo stato corrente: iptables-save > /etc/sysconfig/iptables
Per assicurarsi che il firewall sia impostato all'avvio: chkconfig --level 345 iptables on
Per abilitare l'IP forwarding all'avvio editare /etc/sysctl.conf
e assicurarsi che sia presente la riga: net.ipv4.ip_forward = 1
|
Installazione e configurazione del proxy server Squid |
Pratica: Configurare Squid
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-06-01 00:43:33
Comandi necessari
1- rpm -i squid...rpm
per installare, rpm -ql squid
per elencare i file forniti dal pacchetto squid.
2- /etc/init.d/squid start
per avviare il servizio. Impostando sul browser il localhost come server proxy la navigazione dovrebbe funzionare, impostando l'IP della scheda ethernet si accede a Squid con un IP che di default non è ammesso dalle acl di squid.conf
3- Assicurarsi che in squid.conf esista e sia scommentata la riga: http_port 8080
4- Assicurarsi che in squid.conf esistano delle righe del tipo: acl all lab42 10.42.42.0/255.255.255.0
(definisce l'acl chiamata lab42) e http_access allow lab42
(permette l'accesso agli IP definiti nella acl lab42).
5- /etc/init.d/squid restart
per riavviare Squid. /var/spool/squid
contiene le directory di cache. /var/log/squid/
contiene i vari file di log.
|
Tools per il monitoraggio del traffico IP |
Pratica: Installare ed utilizzare NTOP
Tipo Infobox: PRACTICE - Skill Level: 2- JUNIOR - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-06-01 22:37:30
Operazioni necessarie
1- rpm -i ntop...rpm
2- /etc/init.d/ntop start
. Aprire un browser e puntare a http://10.42.42.X:3000
3- La limitazione dell'accesso a dati indirizzi IP può essere fatta tramite iptables
Mail server in una rete locale
|
Simple Mail Transfer Protocol: sintassi base |
|
Installazione di Sendmail tramite RPM e sorgenti, file installati e posizioni. Gestione del servizio |
Pratica: Installare e avviare Sendmail
Tipo Infobox: PRACTICE - Skill Level: 2- JUNIOR - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-06-02 13:19:20
Operazioni necessarie
1- rpm -i sendmail...rpm ; rpm sendmail-cf...rpm
2- /etc/init.d/sendmail start
avvia Sendmail. netstat -punta | grep sendmail
e ps -adef | grep sendmail
visualizzano se il programma è in esecuzione e su quali porte ascolta.
3- tail -f /var/log/messages
e tail -f /var/log/maillog
(Abituarsi a tenere costantemente monitorati questi log, su shell separate)
4- sendmail root@localhost
. Scrivere il testo del messaggio
5- sendmail -d root@localhost
.
|
File di configurazione e settaggio dei parametri di Sendmail |
Pratica: Configurare Sendmail su un server di posta interno
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-06-03 20:58:47
Operazioni necessarie
1- Scommentare in /etc/mail/sendmail.mc
la riga DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl
facendola diventare dnl # DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')
.
Per modificare la configurazione: m4 /etc/mail/sendmail.m4 > /etc/mail/sendmail.cf
Per riavviare il servizio con le nuove impostazioni /etc/init.d/sendmail restart
2- Aggiungere al file /etc/mail/local-host-names
una riga contenente il nome del proprio dominio. Riavviare il servizio per rendere la modifica operativa.
3- Aggiungere al file /etc/mail/access
una riga tipo 10.42.42 RELAY
4- Aggiungere al file /etc/aliases
una riga tipo mario.rossi: mrossi
5- Aggiungere al file /etc/aliases
una riga tipo vendite: mrossi, cverdi, gbianchi
|
Installazione, configurazione, gestione |
|
Rassegna delle soluzioni antivirus server based |
Pratica: Installare ClamAV Milter su SendMail
Tipo Infobox: PRACTICE - Skill Level: 3- INTERMEDIATE - Autore: Alessandro 'al' Franceschi - Ultimo Aggiornamento: 2004-06-03 22:10:24
Operazioni Necessarie
1- Se si usano pacchetti RPM installare clamd clamav clamav-db clamav-milter
. Se si parte dai sorgenti usare ./configure --sysconfdir=/etc --enable-milter ; make ; make install
2- In sendmail.mc
aggiungere le righe:
INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clmilter.sock,F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')
In /etc/clamav.conf
assicurarsi che siano presenti le seguenti righe:
LocalSocket /var/run/clamd.sock
ScanMail
StreamSaveToDisk
Assicurarsi che clamav-milter venga eseguito con le seguenti opzioni --config-file=/etc/clamav.conf -obl local:/var/clamav/clmilter.socket
3- Verificare che sia schedulata l'esecuzione di freshclam
|
Verifica relay e implementazione di sistemi anti-spam |
|
Overview e approfondimenti su fetchmail |
Usare Samba
|
Visione d'insieme sul file sharing in LAN e le alternative possibili |
|
Common Internet File System / Server Message Block |
|
Installazione di Samba tramite RPM e sorgenti, file installati e posizioni - Gestione del servizio |
|
Manuali, libri, documentazione online, risorse e tool grafici di configurazione su Samba |
|
File di configurazione e settaggio dei parametri base e avanzati. |
|
Utilizzo dei log, del debug e di altri strumenti di diagnosi. |
|
La stampa su Linux e la condivisione delle stampanti in rete. |
|
Casi e situazioni comuni con rete miste Windows-Linux - WINS - PDC. |
|
Breve rassegna della security history, problematiche attuali |