Kuutõrvaja - Kasutaja kaastöö [et]

Apache ssl

2019-10-01T07:01:08Z

Jim: Lisatud lingid

===Sissejuhatus===

Alustame siiski eesmärgist: miks seda üldse hea teha on?

Nagu öeldud on see seotud krüpteerimisega. Täpsemine, liiklus veebiserveri ja teine browseri vahel saab olema krüpteeritud. Antud juhul on selle tegemiseks vaja vähemalt veebiserveril omada public ja private keyd. Antud kontekstis nimetatakse serveri public key'd ka serveri sertifikaadiks. Niisiis, kui firefox külstab seda serverit, siis

*antakse talle serveri avalik võti (mille sisu pole põhimõtteliselt kellegile saladus)
*seejärel loob browser ilmselt midagi session key sarnast ning saadab servery public key'ga krüpteeritult session key serverile
*seda saadetist ei saa keegi peale vastava private key lahti võtta - st .ainult server

Tulemusena on mõlemad pooled kokku leppinud sümmeetrilise võtme millega edaspidi andmevahetust krüpteeritakse.

Sertifikaatide juures on kaks võimalust. Üks on luua isesigneeritud ehk self-signed
sertifikaat. Sellisel juhul tekitab kasutaja ise nii sertifikaadi taotluse kui ka signeerib
selle ise.

Teine võimalus on tekitada sertifikaadi taotlus ja lasta see allkirjastada mõnel tunnustatud teenusepakkujal. Sedalaadi sertifikaate nimetatakse ka popup-free sertifikaatideks, seda kuna browserid ei kuva nende sertifikaatide juures hoiatavaid tekste enne veebile sisenemist, nii nagu
nad teevad seda self-signed sertidega.

Ühe sellise 'instansi'ina tegutseb näiteks organisatsioon Verysign. Haridus, teadus ja kultuuriasutused saavad lasta enda taotlusi signeerida EENetil http://www.eenet.ee/EENet/tcs_juhend juhendi alusel.

Lisaks on ametlike sertifikaatide puhul kaks plussi

*klient saab olla kindel, et server mida ta külastab on ikka see mis ta paistab olevat (nt. www.eyp.ee)
*server saab olla kindel, et klient on see kes ta ütleb end olevat

NB! Installitud peaks eelnevalt olema uusim openssl vesioon

===Sertifikaatide tüübid ja väljastamise tingimused===

Alates 1. veebruarist 2013 on kasutusel järgmised sertifikaatide tüübid ja nende väljastamise tingimused.

'''OV - Organization Validated Server Sertificate'''
Enne sertifikaadi väljastamist kontrollitakse asutuse õigust (äri)nime kasutada - asutuse nimi peab olema kontrollitav avalikest ja piisavalt autoriteetsetest allikatest. Taotleva asutuse nimi sertifikaaditaotluses peab olema asutuse ametlik nimi, selle ingliskeelne tõlge või nime transkriptsioon 7-bit ASCII kodeeringus.

Kontrollitakse ka õigust domeeninime kasutada (vt. altpoolt).

'''DV - Domain Validated Server Sertificate'''
NB! DV sertifikaat ei sisalda asutuse nime.

Kontrollitakse taotluses oleva(te) domeeninime(de) kasutamisõigust. Domeeni valideerimine (DCV - Domain Control Verification) toimub ühel järgnevatest meetoditest:

*E-kiri Comodo serfitiseerimiskeskuse poolt aktsepteeritud aadressidele
*HTTP CSR räsi meetod (CSR kirje lisamine veebi räsisse)
*DNS CNAME räsi meetod (CNAME kirje lisamine nimeserverisse)

'''OV''' sertifikaadid on vajalikud kui asutuse nimi sertifikaadis on oluline (rahalised toimingud, teenuse kõrgem turvalisustase, vmt). Muudel juhtudel soovitaks kasutada '''DV''' sertifikaate.

===Sertifikaadi taotlemine===

Enne kuslil sertifikaaditeenuse pakkuja juures vormi täitmist tuleb oma arvutis genereerida avaliku/salajase võtme paar ja taotlus.
Vältda tasub lühikeste võtmepikkustega (vähem kui 128 bitti) šifreid. Võtme pikkus peab olema vähemalt 2048 bitti.

$ '''openssl genrsa -out server.key 2048'''
Generating RSA private key, 2048 bit long modulus
...................................+++
......................................+++
e is 65537 (0x10001)

Taotluse genereerimine

$ openssl req -new -sha256 -key server.key -out server.csr

Taotluse loomise käigus küsitakse kasutajalt mitmeid küsimusi. Näiteks Country Name ja Locality name, milledel
pikemalt ei peatuks ning seletaks ehk rohkem segadust tekitada võivaid välju.

'''Mis on CN?'''
Väljale Common Name tuleb sisestada domeeninimi, millele sertifikaati taotletakse.

'''Mis on Subject Alternative Name?'''

Seda laiendust on soovitav kasutada juhul kui ühte sertifikaati on tarvis kasutada mitme domeeni jaoks. Ühele sertifikaadile saab taotlusvormi täitmisel lisada mitu domeeninime. (sertifikaaditaotlus genereerida ühele domeeninimele, ent taotluse esitamisel lisada juurde täiendavad domeeninimed)

PS: Kui sisestad challenge passwordi küsiakse seda iga kord kui apache stardib või server teeb reboodi.

'''Kas taotleda tasub ka wildcard sertifikaate?'''

wildcard (*.domeen) SSL sertifikaate saab taotleda, kuid enne taotlemist tuleks kindlasti läbi kaaluda tekkida võivad turvariskid - privaatne võti peab sellisel juhul asuma ainult ühes masinas, aga kui see häkkerite kätte satub, saab võltsida kõiki selle domeeniga seotud sertifikaate. wildcard SSL sertifikaatide kohta on kirjutatud näiteks siin: http://helpdesk.wisc.edu/page.php?id=18924
Juhul kui on mingi teadaolev hulk domeeninimesid, millele ühte sertifikaati vaja on, võib kasutada Subject Alternative Name laiendust

Olles sertifikaadi taotluse edukalt loonud võime selle edastada enda teenusepakkujale, kes edasi juba tekitab selle
alusel seritifikaadi. Või siis allkirjastame taotluse ise ja tekitame nn self-signed sertifikaadi.

===Self-signed serfitikaadi loomine===

Juhul kui me kas rahalistel või isiklikel põhjustel ei soovi endale ametlikku sertifikaati
vaid soovime lihtsalt nt enda isikliku serveri ja lauaarvuti vahelist liiklust selleabil krüoteerida vms saame loodud taotluse ka ise signeerida.

Võtame juba ülal äratoodud käskudega loodud taotluse ja allkirjastame selle ise ära

$ openssl x509 -req -days 300 -in server.csr -signkey server.key -out server.crt
$ openssl rsa -in server.key -out server.key

Võimalus on luua ka päris oma isiklik sertifitseerimiskeskus sellest pikemalt http://kuutorvaja.eenet.ee/wiki/Sertifikaadid

===Apache seadistus===

Apache peab olema eelnevalt kompileeritud SSL toega. Näites on kasutatud versiooni apache 2.x versioonil 1.3 kasutamisel võib olla erinevusi.

Seadistame esmalt sertifikaadi õigused paika, seda tuleb teha sõltumata operatsioonisüsteemist.

$ chmod 0400 server.key
$ chmod 0400 server.crt

'''FreeBSD'''

Paigaldame apache

# cd /usr/ports/www/apache22 && make install clean

Lisame FreeBSD's faili '''/etc/rc.conf''' rea

apache22_enable="YES"

Käivitame apache

# /usr/local/etc/rc.d/apache22.sh start

Kontrollime käsuga sockstat, kas apache kuulab 443 pordil?

# sockstat | grep 443
www httpd 20720 4 tcp46 *:443 *:*
www httpd 20709 4 tcp46 *:443 *:*
www httpd 20020 4 tcp46 *:443 *:*
www httpd 20019 4 tcp46 *:443 *:*

kuulab :]

'''Gentoo'''

Failis '''/etc/conf.d/apache2'''

Lisame APACHE2_OPTS= reale lisaks -D SSL

näiteks nii

APACHE2_OPTS="-D PHP5 -D SSL

Käivitamiseks piisab

# /etc/init.d/apache2 start

selleks et peale rebooti automaatselt stardiks

# rc-update add apache2 default

'''httpd.conf'''

Kasutage kõige uuemat tarkvara, s.h. OpenSSL ja Apache viimaseid turvalisi versioone.
Ebaturvalist SSLv2 protokolli tuleks vältida, samuti lühikeste võtmepikkustega (vähem kui 128 bitti)
šifreid.

Apache '''httpd.conf''' võib luua sarnaselt. Näidiskonfiguratsioon Apache veebiserverile:
Siin toodud seadistus on täiesti universaalne ja operatsioonisüsteemist sõltumatu

Turvalisuse tõstmiseks saab alates Apache 2.2.24 versioonist välja lülitada ka SSL pakkimise: SSLCompression Off.
Ebaturvalist SSLv2 on mõistlik samuti vältida.

Listen 443
NameVirtualHost ip-aadress:443

<VirtualHost ip-aadress:443>
ServerName www.nimi.ee
DocumentRoot /home/nimi

SSLEngine on
SSLSessionCache shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLProtocol All -SSLv2
SSLCipherSuite <<ciphers>>
SSLCertificateFile /kataloog/arvuti.nimi.crt
SSLCertificateKeyFile /kataloog/arvuti.nimi.key
# Apache ver 2.2.0+:
SSLHonorCipherOrder On
# Apache ver 2.2.24+:
SSLCompression Off
</VirtualHost>

Siin tuleb <<ciphers>> asendada šifriloeteluga, mis annab antud serverile vajaliku turvataseme. Soovitusi selleks leiab näiteks Mozilla veebilehelt https://wiki.mozilla.org/Security/Server_Side_TLS

NB! pkcs formaadis sert tuleb enne kasutama hakkamist ümber konvertida

$ openssl pkcs7 -print_certs -in servver.crt -outform DER -out serveruus.crt

===Lingid===

https://www.ssllabs.com/ssltest/analyze.html?d=zoo.tartu.ee Testida saab nt tulemust siit lingilt

https://wiki.mozilla.org/Security/Server_Side_TLS Tänapäevase SSL/TLS kasutamise soovitused

https://ssl-config.mozilla.org/ Ja siin on suisa generaator, mis väidetavalt teeb parima konfi

Sertifikaadid

2019-10-01T06:57:58Z

Jim: Kustutatud lõigud, mis peaksid kuuluma kas SSH või veebiserveri pala juurde

Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".

Juhendi kasutamiseks on vajalik [http://www.openssl.org/ OpenSSL] ver 1.1.1 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

===CA, ehk sertifitseerimiskeskuse tekitamine===

Tekita CA võtmed

$ openssl genrsa -des3 -out ca.key 4096

Allkirjasta CA sertifikaat iseendaga

$ openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -addext "keyUsage=critical,cRLSign,keyCertSign"
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

===Kasutaja sertifikaadi tegemine===

Tekita kasutaja võtmed

$ openssl genrsa -out kasutaja.key 2048

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le

$ openssl req -new -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA uurib päringut ja allkirjastab sertifikaadi

$ openssl req -text -noout -in kasutaja.csr
...
$ openssl x509 -req -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

===Kui masinal on mitu nime===

Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le

$ cat cext.txt
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE

CA allkirjastab sertifikaadi ja lisab laiendused

$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

===Sertifikaadi sisu vaatamine===

$ openssl x509 -noout -text -in kasutaja.crt

===Sertifikaadi tühistamine===

Vaja on tühistada üks kasutajasertifikaat

$ openssl ca -config ca.conf -revoke taotlused/kasutaja.crt

Mis tekitab index.txt faili kirje (seal on näha R tähte õige rea ees, mis tähendab revoked)

$ openssl ca -gencrl -out "crl.pem" -config ca.conf

Mis tekitab crl.pem faili mida meil vaja. Configuratsioonifail ca.conf ise võiks olla järgnev

[ ca ]
default_ca = CA_default # The default ca section

[ CA_default ]
dir = ./ # top dir
database = index.txt # index file.
new_certs_dir = newcerts # new certs dir

certificate = ca.crt # The CA cert
private_key = ca.key # CA private key

default_days = 1024 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # md to use

policy = policy_any # default policy
email_in_dn = no # Don't add the email into cert DN

name_opt = ca_default # Subject name display option
cert_opt = ca_default # Certificate display option
copy_extensions = none # Don't copy extensions from request

[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

Näiteks OpenVPNi puhul tuleb tekkinud crl.pem lisada configuratsiooni järgnevalt

crl-verfiy crl.pem

Selle faili sisu vaatamiseks on käsk

$ openssl crl -in crl.pem -noout -text

===Iseallkirjastatud sertifikaat===

Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'')

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt

Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch

===Krüpteerida või mittekrüpteerida võtit?===

Krüpteeritud võti tähendab põhimõtteliselt seda, kas kasutades enda privaatset võtit küsitakse täiendavat parooli või ei. Tavaliselt küsib openssl võtme genereerimise ajal parooli
ning kui selle sisestamise asemel enterit vajutada jäetakse krüpteerimine tegemata.

Üldiselt on soovitatav jätta serverite võtmed ilma täiendava krüpteerimiseta ning kasutaja sertifikaadid (nt VPN jms jaoks) krüpteerida, kuna kasutajate võtmed võivad kergemini kompromiteeruda. Serverite puhul on vaja aga sageli teenuseid automaatselt või kaugelt restartida ning sel juhul pole võimalik pidevalt võtit sisestada.

Sertifikaadid

2019-10-01T06:53:24Z

Jim: CA-l 4096 bit võti ja keyUsage laiendus

Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".

Juhendi kasutamiseks on vajalik [http://www.openssl.org/ OpenSSL] ver 1.1.1 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

===CA, ehk sertifitseerimiskeskuse tekitamine===

Tekita CA võtmed

$ openssl genrsa -des3 -out ca.key 4096

Allkirjasta CA sertifikaat iseendaga

$ openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -addext "keyUsage=critical,cRLSign,keyCertSign"
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

===Kasutaja sertifikaadi tegemine===

Tekita kasutaja võtmed

$ openssl genrsa -out kasutaja.key 2048

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le

$ openssl req -new -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA uurib päringut ja allkirjastab sertifikaadi

$ openssl req -text -noout -in kasutaja.csr
...
$ openssl x509 -req -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

===Kui masinal on mitu nime===

Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le

$ cat cext.txt
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE

CA allkirjastab sertifikaadi ja lisab laiendused

$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

===Sertifikaadi sisu vaatamine===

$ openssl x509 -noout -text -in kasutaja.crt

===Sertifikaadi tühistamine===

Vaja on tühistada üks kasutajasertifikaat

$ openssl ca -config ca.conf -revoke taotlused/kasutaja.crt

Mis tekitab index.txt faili kirje (seal on näha R tähte õige rea ees, mis tähendab revoked)

$ openssl ca -gencrl -out "crl.pem" -config ca.conf

Mis tekitab crl.pem faili mida meil vaja. Configuratsioonifail ca.conf ise võiks olla järgnev

[ ca ]
default_ca = CA_default # The default ca section

[ CA_default ]
dir = ./ # top dir
database = index.txt # index file.
new_certs_dir = newcerts # new certs dir

certificate = ca.crt # The CA cert
private_key = ca.key # CA private key

default_days = 1024 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # md to use

policy = policy_any # default policy
email_in_dn = no # Don't add the email into cert DN

name_opt = ca_default # Subject name display option
cert_opt = ca_default # Certificate display option
copy_extensions = none # Don't copy extensions from request

[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

Näiteks OpenVPNi puhul tuleb tekkinud crl.pem lisada configuratsiooni järgnevalt

crl-verfiy crl.pem

Selle faili sisu vaatamiseks on käsk

$ openssl crl -in crl.pem -noout -text

===Iseallkirjastatud sertifikaat===

Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'')

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt

Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch

===Krüpteerida või mittekrüpteerida võtit?===

Krüpteeritud võti tähendab põhimõtteliselt seda, kas kasutades enda privaatset võtit küsitakse täiendavat parooli või ei. Tavaliselt küsib openssl võtme genereerimise ajal parooli
ning kui selle sisestamise asemel enterit vajutada jäetakse krüpteerimine tegemata.

Üldiselt on soovitatav jätta serverite võtmed ilma täiendava krüpteerimiseta ning kasutaja sertifikaadid (nt VPN) jms jaoks krüpteerida, kuna
kasutajate võtmed võivad kergemini kompromiteeruda, nt varastadakse läpakas ära vms. Serverite puhul on vaja aga sageli teenuseid automaatselt või kaugelt restartida ning sel juhul pole võimalik pidevalt
võtit sisestada. Et kontrollida, kas võtmel on kood (näitab ka õiguste probleemid, kui neid on)

# ssh-keygen -y -f kasutaja.key

-f annad siis faili ette, ilma selleta võtab kodukaustast .ssh/id_dsa või id_rsa, mis saadaval on.

Kui kood on/ei ole/tahad muuta

# ssh-keygen -p -f kasutaja.key

===Lingid===

https://wiki.mozilla.org/Security/Server_Side_TLS Moodsaima SSL Cipher Listi leiab

https://mozilla.github.io/server-side-tls/ssl-config-generator/ Ja siin on suisa generaator, mis väidetavalt teeb parima konfi

https://www.ssllabs.com/ssltest/analyze.html?d=zoo.tartu.ee Testida saab nt tulemust siit lingilt

Sertifikaadid

2018-06-23T10:58:39Z

Jim:

Kõnekeeli öeldakse sertifikaadi kohta mugavalt "sert" ehk mitmuses "serdid".

Juhendi kasutamiseks on vajalik [http://www.openssl.org/ OpenSSL] ver 0.9.7 või uuem.

Oletame, et meil on 2 asutust: sertifitseerimiskeskuse rollis "AS AgentuurC" ja teine asutus "OÜ Kasutaja", kes tahab oma veebi- või postiserverile sertifikaati.

===CA, ehk sertifitseerimiskeskuse tekitamine===

Tekita CA võtmed (2011 seisuga on soovituslik kasutada 2048-bitist RSA võtit)

$ openssl genrsa -des3 -out ca.key 2048

Allkirjasta CA sertifikaat iseendaga

$ openssl req -new -x509 -sha256 -days 1095 -key ca.key -out ca.crt
EE
.
Tallinn
AS AgentuurC
.
AgentuurC Test Root CA
helpdesk@agentuurc.ee

===Kasutaja sertifikaadi tegemine===

Tekita kasutaja võtmed

$ openssl genrsa -out kasutaja.key 2048

Tekita sertifikaadi allakirjutamise päring ja saada see (.csr fail) CA-le

$ openssl req -new -sha256 -key kasutaja.key -out kasutaja.csr
EE
.
Tartu
OÜ Kasutaja
Müügiosakond
www.oukasutaja.ee
info@oukasutaja.ee

CA uurib päringut ja allkirjastab sertifikaadi

$ openssl req -text -noout -in kasutaja.csr
...
$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr

===Kui masinal on mitu nime===

Tekita sertifikaadi laiendusfail cext.txt ja saada ta koos .csr failiga CA-le

$ cat cext.txt
subjectAltName = DNS:www.oukasutaja.ee,DNS:mail.oukasutaja.ee
basicConstraints = critical,CA:FALSE

CA allkirjastab sertifikaadi ja lisab laiendused

$ openssl x509 -req -sha256 -days 1095 -CA ca.crt -CAkey ca.key -CAcreateserial \
-out kasutaja.crt -in kasutaja.csr -extfile cext.txt

===Sertifikaadi sisu vaatamine===

$ openssl x509 -noout -text -in kasutaja.crt

===Sertifikaadi tühistamine===

Vaja on tühistada üks kasutajasertifikaat

$ openssl ca -config ca.conf -revoke taotlused/kasutaja.crt

Mis tekitab index.txt faili kirje (seal on näha R tähte õige rea ees, mis tähendab revoked)

$ openssl ca -gencrl -out "crl.pem" -config ca.conf

Mis tekitab crl.pem faili mida meil vaja. Configuratsioonifail ca.conf ise võiks olla järgnev

[ ca ]
default_ca = CA_default # The default ca section

[ CA_default ]
dir = ./ # top dir
database = index.txt # index file.
new_certs_dir = newcerts # new certs dir

certificate = ca.crt # The CA cert
private_key = ca.key # CA private key

default_days = 1024 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # md to use

policy = policy_any # default policy
email_in_dn = no # Don't add the email into cert DN

name_opt = ca_default # Subject name display option
cert_opt = ca_default # Certificate display option
copy_extensions = none # Don't copy extensions from request

[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

Näiteks OpenVPNi puhul tuleb tekkinud crl.pem lisada configuratsiooni järgnevalt

crl-verfiy crl.pem

Selle faili sisu vaatamiseks on käsk

$ openssl crl -in crl.pem -noout -text

===Iseallkirjastatud sertifikaat===

Lihtsamal juhul võib pruukida iseallkirjastatud sertifikaati (i.k. ''self-signed certificate'')

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt

Kui skriptimisel on vaja vältida konsoolilt pärimist, saab parameetrid kõik käsureal anda

$ openssl req -x509 -sha256 -nodes -days 3650 -newkey rsa:2048 -keyout kasutaja.key -out kasutaja.crt -subj "/C=EE/ST=/L=Tartu/O=Kasutaja/CN=www.oukasutaja.ee" -batch

===Krüpteerida või mittekrüpteerida võtit?===

Krüpteeritud võti tähendab põhimõtteliselt seda, kas kasutades enda privaatset võtit küsitakse täiendavat parooli või ei. Tavaliselt küsib openssl võtme genereerimise ajal parooli
ning kui selle sisestamise asemel enterit vajutada jäetakse krüpteerimine tegemata.

Üldiselt on soovitatav jätta serverite võtmed ilma täiendava krüpteerimiseta ning kasutaja sertifikaadid (nt VPN) jms jaoks krüpteerida, kuna
kasutajate võtmed võivad kergemini kompromiteeruda, nt varastadakse läpakas ära vms. Serverite puhul on vaja aga sageli teenuseid automaatselt või kaugelt restartida ning sel juhul pole võimalik pidevalt
võtit sisestada. Et kontrollida, kas võtmel on kood (näitab ka õiguste probleemid, kui neid on)

# ssh-keygen -y -f kasutaja.key

-f annad siis faili ette, ilma selleta võtab kodukaustast .ssh/id_dsa või id_rsa, mis saadaval on.

Kui kood on/ei ole/tahad muuta

# ssh-keygen -p -f kasutaja.key

LizardFS

2015-01-15T13:45:47Z

Jim:

LizardFS on MooseFSi fork, mis tekkis peale Moose kommertsiks minemist. Arendatud on mõlemad tarkvarad Poolas. Üldiselt on tegemist vägagi sarnaste tarkvaradega. Hetkeseisuga tundus peamine erinevus olevas selles, et LizardFSil toimis koormuse jagamise algoritm paremini. Samas suutis MooseFS jällegi automaatselt ümberlülitada metadata serverite Master-Slave olekuid.

Põhimõtteliselt koosneb LisardFS kahest suurest komponendist: Metadata ja chunk server. Metadata hoiab endas inodesid kaustasid jms. Korraga saab seejuures olla vaid üks metadata server master seisus, aga ta saab omada tervet hulka slave servereid mis temalt infot sünkroniseerivad. Metadata servereid on lisaks kahte sorti, master ja shadow master, viimaseid võib olla mitu. Kolmas asi on metalogger (mille logidest on võimalik samuti taastada metadata serverit). Chunk server sisaldab deemonit ja kõvakettaid kuhu paigaldatakse reaalsed andmeblokid.

Olles startinud ühe metadata serveri saab kliendis juba failisüsteemi külge haakida ja sinna nii faile kui kaustu tekitada, ainult failid ei saa enne
chunk serverite külgehaakimist olla suuremad kui 0 baidi pikkusega.

Failisüsteem ise on mounditav üle fuse. Eraldi jaotisi (ingliskeeles pool) failisüsteemis pole aga küll saab faili-kataloogi baasil määrata replikatsiooni tasemeid ning üle fuse
saab külge haakida ka alamkaustu. Failisüsteemis on olemas na nn "prügikast" ehk ühtegi faili ei kustutata kohe vaid esmalt märgitakse see metadata serveris ära ning kustutatakse teatud invervalliga. Lisaks
on võimalik teha snapshotte ja määrata paroole.

[[Pilt:Lizard-skeem.png]]

Tasub ilmselt veel ära märkida, et lisaks Linuxile töötab LizardFS ka FreeBSD10 peal.

===Paigaldamine===

Järgnev buildimine, installimine ning kasutaja loomine tuleb viia läbi nii metadata ja chunk serveritel kui klientidel. Buildimiseks on vajalik cmake ja kliendi (mfsmount) ehitamiseks ka fuse lib.

tar xf lizardfs-2.5.4.tar.gz
cd lizardfs-2.5.4
./configure
make
make install

Tekitame grupi ning kasutaja

groupadd -g 900 mfs
useradd -g mfs -M -u 900 mfs

Seadistame metadata serveri asukoha, see tuleb teha nii chunck serverite kui klientidel

echo "10.7.0.1 mfsmaster" >> /etc/hosts

'''Metadata serveri seadistus'''

Nimetame mõned dist konfid ümber, kusjuures vaikekonfid tunduvad minimaalsete täiendamisega igati kasutamiseks sobivat.

cd /etc/mfs
cp mfsexports.cfg.dist mfsexports.cfg
cp mfsmaster.cfg.dist mfsmaster.cfg

Teeme kausta metadata hoiustamiseks, seadistame õigusi jne

mkdir /srv/mfs
cp /var/lib/mfs/metadata.mfs.empty /srv/mfs/metadata.mfs
chown -R mfs:mfs /srv/mfs

Lisame metadata asukohta konfiguratsiooni

echo "DATA_PATH = /srv/mfs" >> mfsmaster.cfg

Käivitame metadata serveri

mfsmaster

Käivitame dashboardi veebiserveri

mfscgiserv

Tegemist on veebiliidesega, milleni pääseb http://mfsmaster/ urliga ning kus näeb LizardFS hetkeseisu graafikuid, statistikaid jms.

'''Data nodede(de) seadistus'''

Esiteks tuleb kõigile nodes asuvatele kettaseadmetele tekitada failisüsteem, kettad külge haakida ning '''/etc/mfs/mfshdd.cfg''' konfifaili defineerida mountpoindid. Näiteks nelja ketta korral:

/srv/mfs1
/srv/mfs2
/srv/mfs3
/srv/mfs4

Chunkserveri startimiseks tuleb anda käsk

# mfschunkserver

'''Klient'''

Kliendis failisüsteemi haakimiseks tuleb anda käsk

# mfsmount /srv

Kui kõik läks hästi siis peaks tulemust nägema df käsuga

mfs#mfsmaster:9421 51T 2.1G 51T 1% /srv

===Haldamine===

Koopiate määramiseks on kliendi arvutis utiliit mfssetgoal, näiteks

# mfssetgoal 2 /srv

või

# mfssetgoal 2 /srv/fail/suva

Uutele failidele kehtib kataloogile määratud replikatsioonide poliitika. Kui kataloogi replikatsioonide poliitikat muuta, jäävad vanad failid endise tasemega. Poliitika vaatamiseks on käsk

# mfsgetgoal /srv/fail

===Fuse kliendi häälestamine===

Fuse kliendi osas, millega failisüsteem külge haagitakse, tundub, et palju aega kulub context switchidele (ehk kernel-userspace vahelisele sõelumisele), mida
paistab saab pisut parandada kui kinnistada fuse protsess taskset utiliidi abil kindlale tuumale mistõttu saab fuse kasutada ühe ja sama protsessori cachet ja see tundus
testimisel vähendavat üleüldist protsessori koormust ning parandavat jõudlust.

Käsk ise võiks olla selline

# taskset 01 mfsmount /srv

Sertifikaadid

2014-09-09T07:15:32Z

Jim: SHA1 tuleb välistada

Sertifikaadid

2014-06-27T13:05:10Z

Jim:

Sertifikaadid

2014-06-27T13:03:16Z

Jim:

Apache ssl

2014-04-21T12:06:03Z

Jim:

===Sissejuhatus===

Alustame siiski eesmärgist: miks seda üldse hea teha on?

Nagu öeldud on see seotud krüpteerimisega. Täpsemine, liiklus veebiserveri ja teine browseri vahel saab olema krüpteeritud. Antud juhul on selle tegemiseks vaja vähemalt veebiserveril omada public ja private keyd. Antud kontekstis nimetatakse serveri public key'd ka serveri sertifikaadiks. Niisiis, kui firefox külstab seda serverit, siis

*antakse talle serveri avalik võti (mille sisu pole põhimõtteliselt kellegile saladus)
*seejärel loob browser ilmselt midagi session key sarnast ning saadab servery public key'ga krüpteeritult session key serverile
*seda saadetist ei saa keegi peale vastava private key lahti võtta - st .ainult server

Tulemusena on mõlemad pooled kokku leppinud sümmeetrilise võtme millega edaspidi andmevahetust krüpteeritakse.

Sertifikaatide juures on kaks võimalust. Üks on luua isesigneeritud ehk self-signed
sertifikaat. Sellisel juhul tekitab kasutaja ise nii sertifikaadi taotluse kui ka signeerib
selle ise.

Teine võimalus on tekitada sertifikaadi taotlus ja lasta see allkirjastada mõnel tunnustatud teenusepakkujal. Sedalaadi sertifikaate nimetatakse ka popup-free sertifikaatideks, seda kuna browserid ei kuva nende sertifikaatide juures hoiatavaid tekste enne veebile sisenemist, nii nagu
nad teevad seda self-signed sertidega.

Ühe sellise 'instansi'ina tegutseb näiteks organisatsioon Verysign. Haridus, teadus ja kultuuriasutused saavad lasta enda taotlusi signeerida EENetil http://www.eenet.ee/EENet/tcs_juhend juhendi alusel.

Lisaks on ametlike sertifikaatide puhul kaks plussi

*klient saab olla kindel, et server mida ta külastab on ikka see mis ta paistab olevat (nt. www.eyp.ee)
*server saab olla kindel, et klient on see kes ta ütleb end olevat

NB! Installitud peaks eelnevalt olema uusim openssl vesioon

===Sertifikaatide tüübid ja väljastamise tingimused===

Alates 1. veebruarist 2013 on kasutusel järgmised sertifikaatide tüübid ja nende väljastamise tingimused.

'''OV - Organization Validated Server Sertificate'''
Enne sertifikaadi väljastamist kontrollitakse asutuse õigust (äri)nime kasutada - asutuse nimi peab olema kontrollitav avalikest ja piisavalt autoriteetsetest allikatest. Taotleva asutuse nimi sertifikaaditaotluses peab olema asutuse ametlik nimi, selle ingliskeelne tõlge või nime transkriptsioon 7-bit ASCII kodeeringus.

Kontrollitakse ka õigust domeeninime kasutada (vt. altpoolt).

'''DV - Domain Validated Server Sertificate'''
NB! DV sertifikaat ei sisalda asutuse nime.

Kontrollitakse taotluses oleva(te) domeeninime(de) kasutamisõigust. Domeeni valideerimine (DCV - Domain Control Verification) toimub ühel järgnevatest meetoditest:

*E-kiri Comodo serfitiseerimiskeskuse poolt aktsepteeritud aadressidele
*HTTP CSR räsi meetod (CSR kirje lisamine veebi räsisse)
*DNS CNAME räsi meetod (CNAME kirje lisamine nimeserverisse)

'''OV''' sertifikaadid on vajalikud kui asutuse nimi sertifikaadis on oluline (rahalised toimingud, teenuse kõrgem turvalisustase, vmt). Muudel juhtudel soovitaks kasutada '''DV''' sertifikaate.

===Sertifikaadi taotlemine===

Enne kuslil sertifikaaditeenuse pakkuja juures vormi täitmist tuleb oma arvutis genereerida avaliku/salajase võtme paar ja taotlus.
Vältda tasub lühikeste võtmepikkustega (vähem kui 128 bitti) šifreid. Võtme pikkus peab olema vähemalt 2048 bitti.

$ '''openssl genrsa -out XYZ.key 2048'''
Generating RSA private key, 2048 bit long modulus
...................................+++
......................................+++
e is 65537 (0x10001)

Taotluse genereerimine

$ openssl req -new -key XYZ.key -out XYZ.csr

Taotluse loomise käigus küsitakse kasutajalt mitmeid küsimusi. Näiteks Country Name ja Locality name, milledel
pikemalt ei peatuks ning seletaks ehk rohkem segadust tekitada võivaid välju.

'''Mis on CN?'''
Väljale Common Name tuleb sisestada domeeninimi, millele sertifikaati taotletakse.

'''Mis on Subject Alternative Name?'''

Seda laiendust on soovitav kasutada juhul kui ühte sertifikaati on tarvis kasutada mitme domeeni jaoks. Ühele sertifikaadile saab taotlusvormi täitmisel lisada mitu domeeninime. (sertifikaaditaotlus genereerida ühele domeeninimele, ent taotluse esitamisel lisada juurde täiendavad domeeninimed)

PS: Kui sisestad challenge passwordi küsiakse seda iga kord kui apache stardib või server teeb reboodi.

'''Kas taotleda tasub ka wildcard sertifikaate?'''

wildcard (*.domeen) SSL sertifikaate saab taotleda, kuid enne taotlemist tuleks kindlasti läbi kaaluda tekkida võivad turvariskid - privaatne võti peab sellisel juhul asuma ainult ühes masinas, aga kui see häkkerite kätte satub, saab võltsida kõiki selle domeeniga seotud sertifikaate. wildcard SSL sertifikaatide kohta on kirjutatud näiteks siin: http://helpdesk.wisc.edu/page.php?id=18924
Juhul kui on mingi teadaolev hulk domeeninimesid, millele ühte sertifikaati vaja on, võib kasutada Subject Alternative Name laiendust

Olles sertifikaadi taotluse edukalt loonud võime selle edastada enda teenusepakkujale, kes edasi juba tekitab selle
alusel seritifikaadi. Või siis allkirjastame taotluse ise ja tekitame nn self-signed sertifikaadi.

===Self-signed serfitikaadi loomine===

Juhul kui me kas rahalistel või isiklikel põhjustel ei soovi endale ametlikku sertifikaati
vaid soovime lihtsalt nt enda isikliku serveri ja lauaarvuti vahelist liiklust selleabil krüoteerida vms saame loodud taotluse ka ise signeerida.

Võtame juba ülal äratoodud käskudega loodud taotluse ja allkirjastame selle ise ära

$ openssl x509 -req -days 300 -in server.csr -signkey server.key -out server.crt
$ openssl rsa -in server.key -out server.key

Võimalus on luua ka päris oma isiklik sertifitseerimiskeskus sellest pikemalt http://kuutorvaja.eenet.ee/wiki/Sertifikaadid

===Apache seadistus===

Apache peab olema eelnevalt kompileeritud SSL toega. Näites on kasutatud versiooni apache 2.x versioonil 1.3 kasutamisel võib olla erinevusi.

Seadistame esmalt sertifikaadi õigused paika, seda tuleb teha sõltumata operatsioonisüsteemist.

$ chmod 0400 server.key
$ chmod 0400 server.crt

'''FreeBSD'''

Paigaldame apache

# cd /usr/ports/www/apache22 && make install clean

Lisame FreeBSD's faili '''/etc/rc.conf''' rea

apache22_enable="YES"

Käivitame apache

# /usr/local/etc/rc.d/apache22.sh start

Kontrollime käsuga sockstat, kas apache kuulab 443 pordil?

# sockstat | grep 443
www httpd 20720 4 tcp46 *:443 *:*
www httpd 20709 4 tcp46 *:443 *:*
www httpd 20020 4 tcp46 *:443 *:*
www httpd 20019 4 tcp46 *:443 *:*

kuulab :]

'''Gentoo'''

Failis '''/etc/conf.d/apache2'''

Lisame APACHE2_OPTS= reale lisaks -D SSL

näiteks nii

APACHE2_OPTS="-D PHP5 -D SSL

Käivitamiseks piisab

# /etc/init.d/apache2 start

selleks et peale rebooti automaatselt stardiks

# rc-update add apache2 default

'''httpd.conf'''

Kasutage kõige uuemat tarkvara, s.h. OpenSSL ja Apache viimaseid turvalisi versioone.
Ebaturvalist SSLv2 protokolli tuleks vältida, samuti lühikeste võtmepikkustega (vähem kui 128 bitti)
šifreid.

Apache '''httpd.conf''' võib luua sarnaselt. Näidiskonfiguratsioon Apache veebiserverile:
Siin toodud seadistus on täiesti universaalne ja operatsioonisüsteemist sõltumatu

Turvalisuse tõstmiseks saab alates Apache 2.2.24 versioonist välja lülitada ka SSL pakkimise: SSLCompression Off.
Ebaturvalist SSLv2 on mõistlik samuti vältida.

Listen 443
NameVirtualHost ip-aadress:443

<VirtualHost ip-aadress:443>
ServerName www.nimi.ee
DocumentRoot /home/nimi

SSLSessionCache shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLProtocol All -SSLv2
SSLCipherSuite <<ciphers>>
SSLCertificateFile /kataloog/arvuti.nimi.crt
SSLCertificateKeyFile /kataloog/arvuti.nimi.key
# Apache ver 2.2.0+:
SSLHonorCipherOrder On
# Apache ver 2.2.24+:
SSLCompression Off
</VirtualHost>

Siin tuleb <<ciphers>> asendada šifriloeteluga, mis annab antud serverile vajaliku turvataseme. Soovitusi selleks leiab näiteks Mozilla veebilehelt https://wiki.mozilla.org/Security/Server_Side_TLS

NB! pkcs formaadis sert tuleb enne kasutama hakkamist ümber konvertida

$ openssl pkcs7 -print_certs -in servver.crt -outform DER -out serveruus.crt

FreeBSD ja SSD ketas

2012-09-19T11:30:19Z

Jim:

Kuigi tänapäevastel SSD kõvaketastel on kirjutamislimiit piisavalt suur, on opsüsteemi paigaldamisel siiski kasulik mõningaid põhitõdesid jälgida, et sälitada ketta maksimaalne tööiga ja -kiirus.

Juhend on kirjutatud FreeBSD 9 (või uuema) kasutajatele.

==Failisüsteemid SSD kettal==

Failisüsteemidel lubada ''soft updates'', kuid keelata ''soft updates journaling''. Kindlasti lülitada sisse ''TRIM'', vastasel juhul võib ketas mõne aja möödudes aeglaseks jääda.

# tunefs -n enable -j disable -t enable /dev/ada0p2
# ...

Mountimisel võtta kindlasti kasutusele ''noatime'' lipuke. (Kesse sõge selle ''atime'' üldse välja mõtles?!?)

# cat /etc/fstab
# Device Mountpoint FStype Options Dump Pass#
/dev/ada0p2 / ufs rw,noatime 1 1
/dev/ada0p3 /home ufs rw,noatime 2 2

==Mäluketas==

/var on teatud juhtudel mõttekas hoida mälukettal, õnneks pakub FreeBSD 9 selleks mugava võimaluse.

# cat /etc/rc.conf
...
varmfs="YES"
varsize="768m"

''varsize'' valida selle järgi, et kõik ajutine kraam mälukettale ära mahuks. 500M-st tuli portsude kompileerimisel pisut puudu, kuid võib panna algul rohkem ja pärast stabiilselt töötaval süsteemil jälle langetada.

Paraku on /var failisüsteemis mõned kataloogid, mis peavad säilima pärast rebooti. Need tuleb ilmselt tagasi SSD kettale suunata. Kasutajate postkastid, paigaldatud portsud, crontab, näiteks ka mysql baasid on siin pandud /home/_/ alamkataloogidesse (mis tuleb käsitsi tekitada ja neile vajalikud õigused panna):

# cat /etc/rc.local
for d in mail db/pkg cron/tabs db/mysql ; do
rm -rf /var/$d && ln -s /home/_/var/$d /var/$d
done

Kui kasutada postfixi ja postgrey-d, siis need vajavad /var/spool all oma kataloogipuud, mis tuleb buutimisel tekitada:

# cat /etc/rc.local
...
install -d /var/spool/postfix
/usr/local/sbin/postfix check
install -d -o postgrey -g postgrey /var/db/postgrey

Kõik logid mälukettal tuleb roteeruma panna, säilitades neist nii vähe kui hädapärast vaja. Näiteks apache jaoks:

# cat /etc/newsyslog.conf
...
/var/log/httpd-access.log www:www 644 3 1000 * J /var/run/httpd.pid 30
/var/log/httpd-error.log www:www 644 3 1000 * J /var/run/httpd.pid 30

==/tmp==

/tmp võib suunata ka mälukettale ja sealsamas hoida portsude kompileerimisel tekkivaid ajutisi faile.

# rm -rf /tmp && ln -s var/tmp /tmp
# cat /etc/make.conf
WRKDIRPREFIX=/var/tmp/

Kindlasti sisse lülitada /tmp igaöine puhastamine, et mäluketas aja jooksul üle serva ei hakkaks ajama.

# cat /etc/periodic.conf
daily_clean_tmps_enable="YES"
daily_clean_tmps_dirs="/var/tmp"

FreeBSD ja SSD ketas

2012-06-01T09:51:12Z

Jim:

Kuigi tänapäevastel SSD kõvaketastel on kirjutamislimiit piisavalt suur, on opsüsteemi paigaldamisel siiski kasulik mõningaid põhitõdesid jälgida, et sälitada ketta maksimaalne tööiga ja -kiirus.

==Failisüsteemid SSD kettal==

Failisüsteemidel lubada ''soft updates'', kuid keelata ''soft updates journaling''. Kindlasti lülitada sisse ''TRIM'', vastasel juhul võib ketas mõne aja möödudes aeglaseks jääda.

# tunefs -n enable -j disable -t enable /dev/ada0p2
# ...

Mountimisel võtta kindlasti kasutusele ''noatime'' lipuke. (Kesse sõge selle ''atime'' üldse välja mõtles?!?)

# cat /etc/fstab
# Device Mountpoint FStype Options Dump Pass#
/dev/ada0p2 / ufs rw,noatime 1 1
/dev/ada0p3 /home ufs rw,noatime 2 2

==Mäluketas==

/var on teatud juhtudel mõttekas hoida mälukettal, õnneks pakub FreeBSD 9 selleks mugava võimaluse.

# cat /etc/rc.conf
...
varmfs="YES"
varsize="768m"

''varsize'' valida selle järgi, et kõik ajutine kraam mälukettale ära mahuks. 500M-st tuli portsude kompileerimisel pisut puudu, kuid võib panna algul rohkem ja pärast stabiilselt töötaval süsteemil jälle langetada.

Paraku on /var failisüsteemis mõned kataloogid, mis peavad säilima pärast rebooti. Need tuleb ilmselt tagasi SSD kettale suunata. Kasutajate postkastid, paigaldatud portsud, crontab, näiteks ka mysql baasid on siin pandud /home/_/ alamkataloogidesse (mis tuleb käsitsi tekitada ja neile vajalikud õigused panna):

# cat /etc/rc.local
for d in mail db/pkg cron/tabs db/mysql ; do
rm -rf /var/$d && ln -s /home/_/var/$d /var/$d
done

Kui kasutada postfixi ja postgrey-d, siis need vajavad /var/spool all oma kataloogipuud, mis tuleb buutimisel tekitada:

# cat /etc/rc.local
...
install -d /var/spool/postfix
/usr/local/sbin/postfix check
install -d -o postgrey -g postgrey /var/db/postgrey

Kõik logid mälukettal tuleb roteeruma panna, säilitades neist nii vähe kui hädapärast vaja. Näiteks apache jaoks:

# cat /etc/newsyslog.conf
...
/var/log/httpd-access.log www:www 644 3 1000 * J /var/run/httpd.pid 30
/var/log/httpd-error.log www:www 644 3 1000 * J /var/run/httpd.pid 30

==/tmp==

/tmp võib suunata ka mälukettale ja sealsamas hoida portsude kompileerimisel tekkivaid ajutisi faile.

# rm -rf /tmp && ln -s var/tmp /tmp
# cat /etc/make.conf
WRKDIRPREFIX=/var/tmp/

Kindlasti sisse lülitada /tmp igaöine puhastamine, et mäluketas aja jooksul üle serva ei hakkaks ajama.

# cat /etc/periodic.conf
daily_clean_tmps_enable="YES"
daily_clean_tmps_dirs="/var/tmp"

FreeBSD ja SSD ketas

2012-06-01T09:01:46Z

Jim: Uus lehekülg: '{{Täienda}} Kuigi tänapäevastel SSD kõvaketastel on kirjutamislimiit piisavalt suur, on opsüsteemi paigaldamisel siiski kasulik mõningaid põhitõdesid jälgida, et sälitada...'

{{Täienda}}

Kuigi tänapäevastel SSD kõvaketastel on kirjutamislimiit piisavalt suur, on opsüsteemi paigaldamisel siiski kasulik mõningaid põhitõdesid jälgida, et sälitada ketta maksimaalne tööiga ja -kiirus.

==Failisüsteemid==

Failisüsteemidel lubada ''soft updates'', kuid keelata ''soft updates journaling''. Kindlasti lülitada sisse ''TRIM'', vastasel juhul võib ketas mõne aja möödudes aeglaseks jääda.

# tunefs -n enable -j disable -t enable /dev/ada0p2
# ...

Mountimisel võtta kindlasti kasutusele ''noatime'' lipuke. (Kesse sõge selle ''atime'' üldse välja mõtles?!?)

# cat /etc/fstab
# Device Mountpoint FStype Options Dump Pass#
/dev/ada0p2 / ufs rw,noatime 1 1
/dev/ada0p3 /home ufs rw,noatime 2 2

==Mäluketas==

/var on teatud juhtudel mõttekas hoida mälukettal, õnneks pakub FreeBSD 9 selleks mugava võimaluse.

# cat /etc/rc.conf
...
varmfs="YES"
varsize="768m"

varsize valida siis selle järgi, et kõik ajutine kraam mälukettale ära mahuks. 500M-st tuli portsude kompileerimisel pisut puudu, kuid võib panna algul rohkem ja pärast stabiilselt töötaval süsteemil jälle langetada.

/tmp võib suunata ka mälukettale ja sealsamas hoida portsude kompileerimisel tekkivaid ajutisi faile.

# rm -rf /tmp && ln -s var/tmp /tmp
# cat /etc/make.conf
WRKDIRPREFIX=/var/tmp/

Kindlasti sisse lülitada /tmp igaöine puhastamine, et mäluketas aja jooksul üle serva ei hakkaks ajama.

# cat /etc/periodic.conf
daily_clean_tmps_enable="YES"
daily_clean_tmps_dirs="/var/tmp"

Paraku on /var failisüsteemis mõned kataloogid, mis peavad säilima pärast rebooti. Need tuleb ilmselt tagasi SSD kettale suunata. Paigaldatud portsud, crontab, näiteks ka mysql baasid on siin näites pandud /home/_/ alamkataloogidesse (mis tuleb käsitsi tekitada ja neile vajalikud õigused panna):

# cat /etc/rc.local
for d in mail db/pkg db/mysql cron/tabs ; do
rm -rf /var/$d && ln -s /home/_/var/$d /var/$d
done

Sertifikaadid

2011-08-29T14:54:47Z

Jim: Tekst ilusamaks, mikrotüpod välja

Sertifikaadid

2011-02-21T08:51:23Z

Jim: /* Kasutaja sertifikaadi tegemine */

Sertifikaadid

2011-02-21T08:45:23Z

Jim:

Kuidas akadeemiline asutus saab liituda Eduroam projektiga

2009-10-07T14:13:09Z

Jim:

==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada==

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja
# Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
# Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt ''Documents'' ⇒ ''Eduroam Cookbook'' (edaspidi '''CB''').

===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===

# Tuleb käivitada oma inimeste autentimine radius-serverilt
# Häälestada asutuse wifi ligipääsupunktid (AP)
# Liituda eduroami võrguga
# Informeerida kasutajaid

Täpsemalt:

#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
#* Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
#* Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
# Võrguga liitumiseks tuleb kontakteeruda EENetiga aadressil eenet@eenet.ee. Lisainfot: Eesti eduroami veebi leiab aadressilt http://eduroam.ee/ ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
# Oma asutuse kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

===Radius serveri seadistus===

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP

TODO

Kuidas akadeemiline asutus saab liituda Eduroam projektiga

2009-10-07T14:09:44Z

Jim:

==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada==

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja
# Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile.
# Akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt ''Documents'' ⇒ ''Eduroam Cookbook'' (edaspidi '''CB''').

===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===

# Tuleb käivitada oma inimeste autentimine radius-serverilt
# Häälestada asutuse wifi ligipääsupunktid (AP)
# Liituda eduroami võrguga
# Informeerida kasutajaid

Täpsemalt:

#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel ('''CB''' ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks vaid TTLS-PAP. Kui paroolid on säilitatud NT-hash'ina, saab kasutada ka PEAP-MSCHAPv2 autentimist. Erinevus on kasutamisel m.h. selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt '''CB''' appendix A)
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt '''CB''' 2.2.5, 3.2.6).
#* Pole oluline kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
#* Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned efektiivsed rünnakud leitud.
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks odavad Linksysi purgid DD-WRT tarkvaraga. Ühe SSID-i võib jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui vajadus sunnib jagatud võtmega autentimist alles jätma.
# Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593. Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.
# Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam

===Radius serveri seadistus===

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP

TODO

Kuidas akadeemiline asutus saab liituda Eduroam projektiga

2009-10-07T13:44:19Z

Jim:

==Sissejuhatus ja mõned punktid mida Eduroam võrguga liitudes tuleb silmas pidada==

eduroam ehk Education Roaming (rändlus akadeemilistes võrkudes) on projekt, mis võimaldab akadeemiliste võrkude kasutajatele vaba juurdepääsu internetile kõigis projektiga ühinenud asutustes.

Eduroami globaalse võrguga liitumine annab kaks head asja
# Wifi't saab kasutada kõikjal, kus eduroami võrk olemas. Näiteks Amsterdami Ülikoolis külas olev Tartu Ülikooli teadlane saab seal oma tavalise kasutajanime ja parooliga internetti just tänu eduroamile. (http://eduroam.ee/)
# akadeemilised külalised saavad kasutada internetti ilma oma läptoppi ümberhäälestamata.

Eduroami põhjalik kirjeldus ja õpetused on veebis http://www.eduroam.org/ ja sealt Documents ⇒ Eduroam Cookbook (CB).

===Mis siis on vaja teha, et asutus osaleks eduroam võrgus?===

# Tuleb käivitada oma inimeste autentimine radius-serverilt
# Häälestada asutuse wifi ligipääsupunktid (AP)
# Liituda eduroami võrguga
# Informeerida kasutajaid

Täpsemalt:

#* Radius serveri püstipanemisel on vaja valida autentimise protokollid ja tarkvara. Sõltuvalt sellest, mis kujul paroole hoitakse, saab valida EAP-PEAP-MSCHAPv2 või EAP-TTLS-PAP autentimiste vahel (CB ptk 3.2.3.5 ). Näiteks kui paroolid asuvad unixi passwd failis siis sobib autentimiseks TTLS-PAP, Mõnel pool on paroolid säilitatud NT-hash'ina ja valitud PEAP-MSCHAPv2. Erinevus on ka selles, et TTLS-PAP vajab kliendi windowsi arvutisse lisatarkvara, PEAP ei vaja.
#* Radiator on tasuline tarkvara, kuid paljud eduroami kasutajad välismaal hindavad just seda. Freeradius on tasuta ja töötab EENeti kogemuste järgi väga hästi. (Vt CB appendix A)
#* LDAPi kasutamise kohta on CB-s mõned lõigud.
# Wifi AP-d tuleb häälestada autentima oma asutuse radiuse serverilt (802.1X, vt CB 2.2.5, 3.2.6).
#* Pole oluline, kui server on teises Eesti nurgas - teda vajatakse ainult lühikeseks hetkeks, et otsustada, kas klient võrku lubada.
#* Eduroami võrgustikus on kokkuleppeliselt wifide SSID "eduroam".
#* Soovitatav on kasutada kõikjal WPA2/AES, sest WPA/TKIP vastu on juba mõned effektiivsed rünnakud leitud.
#* Paljud AP-d toetavad mitut SSID-i ja VLANi, näiteks sobivad hästi odavad Linksysi purgid DD-WRT tarkvaraga. Siis saab ühe SSID-i jätta näiteks WPA2-PSK ja teise konfida eduroami peale, kui peaks vaja olema.
# Eesti eduroam veebi leiab aadressilt http://eduroam.ee/et.html ja liitumise tingimused http://www.eenet.ee/EENet/eduroam
# Oma kasutajatele on vaja juhendid teha, näiteks stiilis http://www.ut.ee/168593 Kui on käigus TTLS autentimine, oleks hea ka windows arvutitele allalaadimiseks tarkvara pakkuda.

===Radius serveri seadistus===

Vaatleme juhust kui paroolid asuvad unixi passwd failis ja autentimiseks TTLS-PAP

TODO

WRT-ruuteri häkkimine

2009-09-26T14:27:47Z

Jim: /* Digitemp programm */

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter,
4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point.
Kaks antennipistikut koos antennidega.

Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM.
Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD-WRT ja mitmed teised.

Milleks: rohkem funktsioone ja arenduskeskkond.

==== Wärkvara täiustamine ====
* Täisväärtusliku jadaliidese tegemine. Kuigi protsessoril on serial-port olemas, pole selle tarbeks pistikut pandud. Pistiku panekust ja pingenivoode muutmisest.
* Digitemp. Ühejuhtme-liidesega (i-button) termomeeter. Kasutab serial-liidest.
* Püsimälu laiendamine SD mälukaardi lisamise teel.

==== Digitemp programm ====
Tutvume: http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/

Sellelt lehelt saame DD-WRT jaoks valmis programmi digitemp_DS9097-dd:
http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd
wget http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd

Paneme käima ja loeme abiteksti
# digitemp

GNU Public License v2.0 - http://www.brianlane.com
Compiled for DS9097

Usage: digitemp [-s -i -U -l -r -v -t -a -d -n -o -c]
-i Initalize .digitemprc file
-w Walk the full device tree
-s /dev/ttyS0 Set serial port
...

Konfifaili tegemine
# ./digitemp -s /dev/tts/1 -i
DigiTemp v3.3.2 Copyright 1996-2004 by Brian C. Lane
GNU Public License v2.0 - http://www.brianlane.com
Turning off all DS2409 Couplers
.
Searching the 1-Wire LAN
1089818800080032 : DS1820/DS18S20/DS1920 Temperature Sensor
ROM #0 : 1089818800080032
Wrote .digitemprc

Nagu näha, leidis ta ühe anduri ja saadud infi alusel koostas .digitemprc faili
# cat .digitemprc
TTY /dev/tts/1
READ_TIME 1000
LOG_TYPE 1
LOG_FORMAT "Sensor %s: %.4C"
CNT_FORMAT "%b %d %H:%M:%S Sensor %s #%n %C"
HUM_FORMAT "%b %d %H:%M:%S Sensor %s C: %.2C F: %.2F H: %h%%"
SENSORS 1
ROM 0 0x10 0x89 0x81 0x88 0x00 0x08 0x00 0x32

Seda faili võib/saab vajaduse järgi muuta.

Võtame lugemi:
# ./digitemp -q -t 0
Sensor 0: 22.5625

Kui konfifaili ei ole (ei leita), antakse veateade "Error, you don't have +rw permission to access".

Tegelikuks kasutamiseks peaks digitemp olema salvestatud flash-mällu, algkäivituse ajal kusagilt laetama või olema firmware'sse kompileeritud.

=== Digitemp WRT flash-mälus ===
Installeerime WRT54GL flash-mällu DD-WRT mini firmware. Peale jffs-failisüsteemi käivitamist (veebiliidesest valime: Administration ⇒ Management ⇒ JFFS2 ⇒ Enable) jääb masinasse ca 750 kB vaba ruumi. digitemp programmile piisab 150 kB mälust.

Kusagil serveris on kataloog digitemp ja seal failid digitemp, digitemp.conf ja Readme.txt . Selle kataloogi kopeerime WRT-sse :

/jffs/digitemp # scp -r keegi@server.example.com:digitemp /jffs/
/jffs/digitemp # ls -l
-rw-r--r-- 1 root root 493 Mar 5 14:37 Readme.txt
-rwxr-xr-x 1 root root 143848 Feb 15 00:26 digitemp
-rw-r--r-- 1 root root 280 Mar 1 13:41 digitemp.conf
/jffs/digitemp #

DD-WRT graafilise halduslehe aknasse (Administration ⇒ Commands) sisestame:

echo '*/5 * * * * root /jffs/digitemp/digitemp -c /jffs/digitemp/digitemp.conf -a | /usr/bin/nc -w 10 server.example.ee 23' > /tmp/crontab

See rida konfib cron'i nii, et igal viiendal minutil võetakse temperatuurilugem ja saadetakse logiserveri porti 23.

Salvestame: Save Startup

=== Võrgust laadimine ===

Kui meie ruuteris aga piisavalt vaba mälu ei ole ja mingil põhjusel digitempi firmwaresse ei taha kompileerida, siis tuleb nvram-mi kirjutada laadimis- ja käivitmiskäsud. Umbes nii:
wget ''failid'' # (digitemp, digitemp.conf)
sh ''skriptifail'' # (digitemp.sh)
Selline lahendus nõuab võrgust kättesaadava failiserveri olemasolu.

=== Mis-on-mis ===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : muidu nagu rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel.

=== Lingid ===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535
* http://www.hoppie.nl/tempsens/ - Monitor temperatures with Linux, Nagios, and DS1820
* http://openwrt.bumpclub.ee/
* http://linux.ee/linksys_wrt54g

WRT-ruuteri häkkimine

2009-09-25T15:39:07Z

Jim: /* Digitemp WRT flash-mälus */

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter,
4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point.
Kaks antennipistikut koos antennidega.

Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM.
Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD-WRT ja mitmed teised.

Milleks: rohkem funktsioone ja arenduskeskkond.

==== Wärkvara täiustamine ====
* Täisväärtusliku jadaliidese tegemine. Kuigi protsessoril on serial-port olemas, pole selle tarbeks pistikut pandud. Pistiku panekust ja pingenivoode muutmisest.
* Digitemp. Ühejuhtme-liidesega (i-button) termomeeter. Kasutab serial-liidest.
* Püsimälu laiendamine SD mälukaardi lisamise teel.

==== Digitemp programm ====
Tutvume: http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/

Sellelt lehelt saame DD-WRT jaoks valmis programmi digitemp_DS9097-dd:
http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd
wget http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd

paneme ka"ima ja loeme abiteksti
# digitemp

GNU Public License v2.0 - http://www.brianlane.com
Compiled for DS9097

Usage: digitemp [-s -i -U -l -r -v -t -a -d -n -o -c]
-i Initalize .digitemprc file
-w Walk the full device tree
-s /dev/ttyS0 Set serial port
...

konfifaili tegemine
# ./digitemp -s /dev/tts/1 -i
DigiTemp v3.3.2 Copyright 1996-2004 by Brian C. Lane
GNU Public License v2.0 - http://www.brianlane.com
Turning off all DS2409 Couplers
.
Searching the 1-Wire LAN
1089818800080032 : DS1820/DS18S20/DS1920 Temperature Sensor
ROM #0 : 1089818800080032
Wrote .digitemprc

Nagu na"ha, leidis ta u"he anduri ja saadud infi alusel koostas .digitemprc faili
# cat .digitemprc
TTY /dev/tts/1
READ_TIME 1000
LOG_TYPE 1
LOG_FORMAT "Sensor %s: %.4C"
CNT_FORMAT "%b %d %H:%M:%S Sensor %s #%n %C"
HUM_FORMAT "%b %d %H:%M:%S Sensor %s C: %.2C F: %.2F H: %h%%"
SENSORS 1
ROM 0 0x10 0x89 0x81 0x88 0x00 0x08 0x00 0x32

Seda faili vo~ib/saab vajaduse ja"rgi muuta.

Vo~tame lugemi:
# ./digitemp -q -t 0
Sensor 0: 22.5625

Kui konfifaili ei ole (ei leita), antakse veateade "Error, you don't have +rw permission to access".

Tegelikuks kasutamiseks peaks digitemp olema salvestatud flash-mallu, algka"ivituse ajal kusagilt laetama voi olema firmware'sse kompileeritud.

=== Digitemp WRT flash-mälus ===
Installeerime WRT54GL flash-mällu DD-WRT mini firmware. Peale jffs-failisüsteemi käivitamist (veebiliidesest valime: Administration ⇒ Management ⇒ JFFS2 ⇒ Enable) jääb masinasse ca 750 kB vaba ruumi. digitemp programmile piisab 150 kB mälust.

Kusagil serveris on kataloog digitemp ja seal failid digitemp, digitemp.conf ja Readme.txt . Selle kataloogi kopeerime WRT-sse :

/jffs/digitemp # scp -r keegi@server.example.com:digitemp /jffs/
/jffs/digitemp # ls -l
-rw-r--r-- 1 root root 493 Mar 5 14:37 Readme.txt
-rwxr-xr-x 1 root root 143848 Feb 15 00:26 digitemp
-rw-r--r-- 1 root root 280 Mar 1 13:41 digitemp.conf
/jffs/digitemp #

DD-WRT graafilise halduslehe aknasse (Administration ⇒ Commands) sisestame:

echo '*/5 * * * * root /jffs/digitemp/digitemp -c /jffs/digitemp/digitemp.conf -a | /usr/bin/nc -w 10 server.example.ee 23' > /tmp/crontab

See rida konfib cron'i nii, et igal viiendal minutil võetakse temperatuurilugem ja saadetakse logiserveri porti 23.

Salvestame: Save Startup

=== Võrgust laadimine ===

Kui meie ruuteris aga piisavalt vaba mälu ei ole ja mingil põhjusel digitempi firmwaresse ei taha kompileerida, siis tuleb nvram-mi kirjutada laadimis- ja käivitmiskäsud. Umbes nii:
wget ''failid'' # (digitemp, digitemp.conf)
sh ''skriptifail'' # (digitemp.sh)
Selline lahendus nõuab võrgust kättesaadava failiserveri olemasolu.

=== Mis-on-mis ===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : muidu nagu rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel.

=== Lingid ===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535
* http://www.hoppie.nl/tempsens/ - Monitor temperatures with Linux, Nagios, and DS1820
* http://openwrt.bumpclub.ee/
* http://linux.ee/linksys_wrt54g

WRT-ruuteri häkkimine

2009-09-23T10:59:49Z

Jim: /* Digitemp WRT flash-mälus */

==Linksys WRT54GL==
===Wärkvara===
WRT54GL on väike, ühel plaadil on kokku pandud interneti ruuter,
4-pordiline 10/100 switch ja 54Mbps Wireless-G (802.11g) Access Point.
Kaks antennipistikut koos antennidega.

Mootoriks on 200MHz Broadcom 5352 protsessor, 4MB Flash-mälu ja 16MB RAM.
Serial interface: UART otsad on trükkplaadil olemas.

Opsüsteemiks on Linux. Haldamine käib veebiliidese kaudu.

===Modimine===
====Firmware vahetamine====
OpenWRT, DD-WRT ja mitmed teised.

Milleks: rohkem funktsioone ja arenduskeskkond.

==== Wärkvara täiustamine ====
* Täisväärtusliku jadaliidese tegemine. Kuigi protsessoril on serial-port olemas, pole selle tarbeks pistikut pandud. Pistiku panekust ja pingenivoode muutmisest.
* Digitemp. Ühejuhtme-liidesega (i-button) termomeeter. Kasutab serial-liidest.
* Püsimälu laiendamine SD mälukaardi lisamise teel.

==== Digitemp programm ====
Tutvume: http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/

Sellelt lehelt saame DD-WRT jaoks valmis programmi digitemp_DS9097-dd:
http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd
wget http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/digitemp_DS9097-dd

paneme ka"ima ja loeme abiteksti
# digitemp

GNU Public License v2.0 - http://www.brianlane.com
Compiled for DS9097

Usage: digitemp [-s -i -U -l -r -v -t -a -d -n -o -c]
-i Initalize .digitemprc file
-w Walk the full device tree
-s /dev/ttyS0 Set serial port
...

konfifaili tegemine
# ./digitemp -s /dev/tts/1 -i
DigiTemp v3.3.2 Copyright 1996-2004 by Brian C. Lane
GNU Public License v2.0 - http://www.brianlane.com
Turning off all DS2409 Couplers
.
Searching the 1-Wire LAN
1089818800080032 : DS1820/DS18S20/DS1920 Temperature Sensor
ROM #0 : 1089818800080032
Wrote .digitemprc

Nagu na"ha, leidis ta u"he anduri ja saadud infi alusel koostas .digitemprc faili
# cat .digitemprc
TTY /dev/tts/1
READ_TIME 1000
LOG_TYPE 1
LOG_FORMAT "Sensor %s: %.4C"
CNT_FORMAT "%b %d %H:%M:%S Sensor %s #%n %C"
HUM_FORMAT "%b %d %H:%M:%S Sensor %s C: %.2C F: %.2F H: %h%%"
SENSORS 1
ROM 0 0x10 0x89 0x81 0x88 0x00 0x08 0x00 0x32

Seda faili vo~ib/saab vajaduse ja"rgi muuta.

Vo~tame lugemi:
# ./digitemp -q -t 0
Sensor 0: 22.5625

Kui konfifaili ei ole (ei leita), antakse veateade "Error, you don't have +rw permission to access".

Tegelikuks kasutamiseks peaks digitemp olema salvestatud flash-mallu, algka"ivituse ajal kusagilt laetama voi olema firmware'sse kompileeritud.

=== Digitemp WRT flash-mälus ===
Installeerime WT54-GL flash-mällu dd-wrt mini firmware.
Peale jffs-failisüsteemi installeerimist jääb masinasse ca 900 kB vaba ruumi. digitemp programmile piisab 150kB mälust

Kusagil serveris on kataloog digitemp ja seal failid digitemp, digitemp.conf ja Readme.txt . Selle kataloogi kopeerime WRT-sse :

/jffs/digitemp # scp -r keegi@server.example.com:digitemp /jffs/
/jffs/digitemp # ls -l
-rw-r--r-- 1 root root 493 Mar 5 14:37 Readme.txt
-rwxr-xr-x 1 root root 143848 Feb 15 00:26 digitemp
-rw-r--r-- 1 root root 280 Mar 1 13:41 digitemp.conf
/jffs/digitemp #

dd-wrt graafilise halduslehe Administration -> Commands -> Edit aknasse sisestame:

echo '*/5 * * * * root /jffs/digitemp/digitemp -c /jffs/digitemp/digitemp.conf -a | /usr/bin/nc -w 10 server.example.ee 23' > /tmp/cron.d/digitemp
stopservice cron && startservice cron

Need kaks rida konfivad cron'i nii, et igal viiendal minutil võetakse temperatuurilugem ja see saadetakse logiserveri porti 23.

Salvestame: Save Startup

=== Võrgust laadimine ===

Kui meie ruuteris aga piisavalt vaba mälu ei ole ja mingil põhjusel digitempi firmwaresse ei taha kompileerida, siis tuleb nvram-mi kirjutada laadimis- ja käivitmiskäsud. Umbes nii:
wget ''failid'' # (digitemp, digitemp.conf)
sh ''skriptifail'' # (digitemp.sh)
Selline lahendus nõuab võrgust kättesaadava failiserveri olemasolu.

=== Mis-on-mis ===
; rs232 port : rs232 standardile vastav jadaliides (serial port).
; 3,5V serial port : muidu nagu rs232 port aga signaalitasemed on 0V ja 3,5V -10V ja +10V asemel.

=== Lingid ===
* [http://www.dd-wrt.com/wiki/index.php/ DD-WRT koduka wiki]
* [http://wiki.openwrt.org/ OpenWRT kodukas]
* [http://www.lecad.uni-lj.si/~leon/other/wlan/wrt54ow/ rs-liidese variant]
* [http://www.brianlane.com/digitemp.php Digitemp programmid]
* http://www.linksysinfo.org/
* http://www.linksys.com/
* http://www.linksysinfo.org/forums/showthread.php?t=47535
* http://www.hoppie.nl/tempsens/ - Monitor temperatures with Linux, Nagios, and DS1820
* http://openwrt.bumpclub.ee/
* http://linux.ee/linksys_wrt54g

Operatsioonisüsteemid

2009-09-15T11:37:23Z

Jim: /* FreeBSD */

===Sissejuhatus===

Käesoleval lehel olevaid viiteid järgides jõuate materjalideni, mis on spetsiifilised mõnelele OS'ile. Näiteks kuidas operatsioonisüsteemi installeerida, kasutajaid administreerida, tarkvara lisada või eemaldada, seadmeid installeerida või tuuma kompileerida.

----

===FreeBSD===

FreeBSD põhineb operatsioonisüsteemil 4.4BSD-Lite2 ning on tänapäeval üks arvestatvamaid i386 arhitektuuril töötavaid UNIXilisi operatsioonisüsteeme. Sobib kasutamiseks nii serverina kui ka töökohal. Graafiku BSD arengu kohta leiab siit [http://unaopciolliure.files.wordpress.com/2007/08/bsd-family-tree.gif lingilt] FreeBSD operatsioonisüsteemist on pikemalt juttu MTÜ BSD [http://bsd.ee/dwiki/doku.php?id=bsd:freebsd wikis]

* [[FreeBSD Installeerimine]] Operatsioonisüsteemi FreeBSD installeerimine i386 arhitektuurile

* [[Esmane konfigureerimine]] Kuidas vastinstalleeritud süsteemi kõige silmatorkavamaid omadusi muuta.

* [[FreeBSD pakihaldus]] Täiendava tarkvara lisamine ja eemaldamine.

* [[Tuum ja Baas]] Kuidas töötavale süsteemile uut tuuma ja baassüsteemi kompileerimida ning paigaldada.

* [[Süsteemi uuendamine freebsd-update abil]] - Kuidas enda release't uuendada binaarsete patchidega ilma tuuma-baasi re-kompileerimata

* [[Kasutajate administreerimine]] Juhised kasutajate ja gruppide lisamiseks ja eemaldamiseks. hiljem login.conf'ist pikemalt .piirangud!

* [[Kõvaketta kasutamine]] Nõuanded täindava kõvaketta lisamiseks töötavasse süsteemi.

* [[E-posti]] klient Juhised koduse e-postinduse korraldamiseks.

* [[Heli]] Kuidas kasutada helikaarti.

* [[Põimitud kettad]] Kirjeldus mitme kõvaketta kombineeritud kasutamisest.

* [[Failisüsteemid]] Kuidas pääseda ligi teistes failisüsteemides olevatele andmetele, näiteks DOSi pehmekettale ja CD-plaadile. (vajab toimetamist)

* [[FreeBSD jail]] FreeBSD virtuaalsed serverid

* [[geli]] Ketaste krüpteerimine BSD operatsioonisüsteemis

* [[jakarta-tomcat]] FreeBSD'l java serveri startimine

* [[Nagios]] Teenuste ja serverite korrasoleku monitooring

* [[FreeBSD bootcd]] kuidas luua ise endale sobilik custom bootcd freebsd

* [[Postfix + courier + mysql]] FreeBSD postfix mailisüsteem koos mysql'is olevate kasutajate ning veebihaldusliidesega paigaldusõpetus

* [[FreeBSD GPT]] FreeBSD install mitmeterabaidistele kettale kasutades GPT partisioneerimist

* [[FreeBSD ZFS]]

* [[FreeBSD Glassfish]]

'''Võrk'''

* [[Ethernet]] Kuidas kasutada võrguseadmeid. vaja veel muuta!

* [[PPP-klient]] Kuidas modemi abil tekitada Internetiühendus.

* [[pppoe freebsd]] Kuidas ADSL modemi abil kasutada internetti

* [[IPFW]] - IP Firewall Kuidas kontrollida läbi masina võrguseadmete toimuvat IP pakettide liiklust programmiga IPFW.

* [[IP Filter]] Kuidas tarvitada programmi IP Filter IP pakettide filtreerimiseks ja NATiks.

* [[Packet Filter]] - OpenBSD tulemüüritarkvara PF tutvustus ja kasutamine

* [[:freebsd traffic shaping]] pf ja altq abil (poolik pala)

* [[:FreeBSD iSCSI]] Üle TCP/IP võrgu block device jagamine FreeBSD's ühelt masinalt teisele

* [[:Nfsen]] Cisco netflow kogumine ning graafiline analüüsimine ja flowde genereerimine FreeBSD packet filteriga

* [[:FreeBSD wifi ap]] - FreeBSD põhine pc wifi ruuter

----

===OpenBSD===

* [[:OpenBSD paigaldamine]]

* [[:OpenBSD seadistamine]]

* [[:Linux 2 OpenBSD howto]]

* [[:OpenBSD tulemüür]]

* [[:OpenBSD tulemüür vana]]

* [[:OpenBSD aktiivne/passiivne tulemüürilahendus]]

* [[:OpenBSD tulemüüri kasutamise koolitus]]

* [[:IPsec VPN]]

* [[:Populaarsete teenuste pidamine OpenBSD abil]]

* [[:Operatsioonisüsteemi uuendamine]]

* [[:Diskless OpenBSD]]

* [[:OpenBSD ja Wifi]]

* [[:Multiboot i386 ja amd64 platvormil]]

* [[:OpenBSD tulemüüri netflow kasutamine]]

* [[:OpenBSD abil võrguliikluse analüüs]]

* [[:OpenBSD kasutamine Sparc64 platvormil]]

* [[:OpenBSD tarkvara kompileerimine]]

* [[:OpenBSD spamd tarkvara kasutamine]]

* [[:OpenBSD relayd vahendaja kasutamine]]

* [[:OpenVPN serveri kasutamine OpenBSD'ga]]

* [[:OpenVPN kliendi kasutamine OpenBSD'ga]]

* [[:OpenBSD toimimise jälgimine symon abil]]

* [[Tentakel]]

* [[OpenBSD Nagiose NRPE agendi kasutamine]]

* [[:OpenOSPFD kasutamine OpenBSDga]]

* [[:OpenBGPD kasutamine OpenBSDga]]

* [[:Bluetooth kasutamine OpenBSDga]]
----

===Solaris===

* [[:Solarise kasutamine]]

* [[:Solaris Live Upgrade]]

* [[:Solarise tsoon]]

* [[:Kõvaketaste kasutamine operatsioonisüsteemiga Solaris Sun-SPARC riistvaral]]

* [[:Solaris Volume Manager]]

* [[:Solarise paketihaldus]]

* [[:Linux 2 Solaris howto]]

* [[:Case study: Solaris operatsioonisüsteemi migreerimine ühelt arvutilt teisele]]

* [[:Case study: Solaris operatsioonisüsteemi migreerimine ühelt arvutilt teisele - sparc]]

* [[solarise install]]

* [[peale install tarkvara install ja seadistus]]

* [[RSC (Remote System Control) kasutamine]]

* [[:Case study: Solaris operatatsioonisüsteemi liigutamine füüsilise ja peegeldatud seadme vahel]]

* [[:PostgreSQL tarkvara kasutamine Solarisega]]

* [[:Nagiose NRPE agendi kasutamine]]

* [[:ZFS failisüsteemi kasutamine operatsioonisüsteemiga Solaris]]

----

===Gentoo Linux ===

* [[Gentoost]]

* [[Gentoo install]]

* [[OpenVZ]] linux virtual server gentoos

* [[cyrus]] -Cyrus mailitarkvara paigaldamine koos postfixi ja mysqliga Gentoole

----

===Debian GNU/Linux===

* [[:Operatsioonisüsteemi Debian GNU/Linux kasutamine]]
* [[:NFS-Root arvuti tekitamine]]
* [[:apt]]
* [[:Virtualiseerimine tarkvaraga Xen]]
* [[:Tuuma kasutamine]]
* [[:Postfix'i kasutamine Debianiga]]
* [[:Virtualiseerimine tarkvaraga VMware Server]]
* [[:PgAdmin3]]
* [[:WalMgr kasutamine]]
* [[:IPSec kasutamine Debianiga]]
* [[:Eesti ID-kaardi kasutamine Debianiga]]
* [[:Arvuti ühendamine üle bluetooth'i mobiiltelefoniga internetti]]
* [[:Virtualiseerimine tarkvaraga KVM]]
* [[:Salvestusseadmete kasutamine]]
* [[:Alglaadija GRUB]]
* [[:VNC kasutamine]]
* [[:UTF8 kodeeringu kasutamine]]
* [[:HTTP vahendaja ja koormusjaotur Pound]]
* [[:Debiani NRPE agendi kasutamine]]
* [[:TinyCA kasutamine]]
* [[:SSH kasutajate chrootimine libpam-chroot mooduli abil Debian Etch'ga]]
* [[:ATA over Ethernet kasutamine Debianiga]]
* [[:JBoss Portal]]
* [[:DM-Multipath]]
* [[:Lähtetekstist kompileeritud PostgreSQL kasutamine Debianiga]]
* [[:Paketihaldusest paigaldatud PostgreSQL kasutamine Debianiga]]
* [[:Debiani alglaadimine]]
* [[:OpenLDAP kasutamine Debianiga]]
* [[:PAM kasutamine Debianiga]]
* [[:FAI kasutamine Debianiga]]
* [[:Puppet kasutamine Debianiga]]
* [[:GnuPG kasutamine Debianiga]]
* [[:Kasutajakeskkond Debianis]]
* [[:Quagga kasutamine Debianiga]]
* [[:OCFS2 failisüsteemi kasutamine Debianiga]]
* [[:iSCSI kasutamine Debianiga]]
* [[:DRBD kasutamine Debianiga]]
* [[:Cacti kasutamine Debianiga]]
* [[:Linux-HA Debianiga]]
* [[:OpenVPN kliendi kasutamine Debianiga]]
* [[:Subversioni kasutamine Debianiga]]
* [[:GlusterFS kasutamine Debianiga]]
* [[:Xen kasutamine Debian Lenniga]]
* [[:Amavis kasutamine Debian Lenniga]]
* [[:Diskless Debian]]
* [[:vsftpd kasutamine Debian Lennyga]]
* [[:Squirrelmaili kasutamine Debian Lennyga]]
* [[:ATI proprietary fglrx draiverite install Debianis]]
* [[:Avahi kasutamine Debian Lennyga]]
* [[:Liferay kasutamine Glassfish keskkonnas Debian Lennyga]]
* [[:Bluetooth kasutamine Debian Lennyga]]
* [[:Mobiiltelefoni kasutamine Debian Lennyga]]
* [[:Mantis kasutamine PostgreSQL andmebaasiga Debian Lenny keskkonnas]]
* [[:SOCKS proxy kasutamine Debian Lennyga]]

===Ubuntu===

* [[:Ubuntu kasutamine]]

===PCBSD===

* [[:PCBSD]]
* [[:PCBSD ning Xorgi seadistamine]]

===Redhat===

* [[:Redhati kasutamine]]

===Suse===

* [[:Suse kasutamine]]

===Varia===

* [[Veel operatsioonisüsteeme]]

Arutelu:Tarkvara

2009-09-15T11:36:21Z

Jim: Lehekülg "Arutelu:Tarkvara" teisaldatud pealkirja "Arutelu:FreeBSD pakihaldus" alla

#suuna [[Arutelu:FreeBSD pakihaldus]]

Arutelu:FreeBSD pakihaldus

2009-09-15T11:36:21Z

Jim: Lehekülg "Arutelu:Tarkvara" teisaldatud pealkirja "Arutelu:FreeBSD pakihaldus" alla

Sisu järgi peaks selle artikli nimeks olema kas "FreeBSD tarkvara" või "FreeBSD pakihaldus"

FreeBSD pakihaldus

2009-09-15T11:36:21Z

Jim: Lehekülg "Tarkvara" teisaldatud pealkirja "FreeBSD pakihaldus" alla

===Sissejuhatus===

FreeBSD süsteemile saab tarkvara lisada kolmel erineval moel

* prekompileeritud paketid - neid pakette sisaldub omajagu näiteks FreeBSD CD-plaadil, samuti saab neid Internetist FreeBSD serveritest kopeerida. Sel juhul harutatakse programmid teie süsteemi sobivatesse kataloogidesse lahti kusjuures kontrollitakse ka sõltuvusi ja vajadusel installeeritakse vastavad muud programmid.
* FreeBSD portsud - see on eelistatud tarkvara lisamise moodus. Portse kasutades kopeeritakse Insternetist vajalikud programmid ning kompileeritakse kohapeal; lisaks installeeritavale tarkvarale kontrollitakse sõltuvusi, so et olemas oleks ka kõik paketid, mida see konkreetne tarkvara kasutab.
* iseseisvatest lähtetekstid - kui kuskil tarkvara kirjutatakse, siis on võimalik, et autorid näevad ette, et seda võidakse soovida ka kompileerida FreeBSD platvormil. Näiteks on lähtetekstidega kaasas configure skript mis moodustab sobiva Makefile.

===Prekompileeritud paketid===

Prekompileeritud pakettidest tarkvara lisamine on kõige lihtsam, sest sisuliselt harutakse arhiiv sobivatesse kataloogidesse lahti ja tekitatakse vajalikud lingid. Seda moodust sobib kasutada näiteks FreeBSD CD-plaadil olevate iseseisvate programmide installeerimiseks, mida vaikimisi ei installeerita või mis unusid süsteemi installeerimise ajal näidata, näiteks Bash koorik, Joe tekstiredaktor, Less pager.

See toimub käsude pkg_add, fetch, pkg_delete abil. Näiteks installeerime Bash kooriku

bash# pkg_add /cdrom/packages/All/bash-2.03.tgz

Soovides näha pakettidest lisatud programmide nimesid, kasutage käsku pkg_info ilma arumendita; soovides näha konkreetse paketi kohta enam, kasutage paketi nime argumendina, näiteks

bash# pkg_info joe-2.8

Prekompileeritud pakette on aga võimalik installeerida ka kasutades FreeBSD süsteemi konfiguratsiooniprogrammi /stand/sysinstall -> Configuration -> Packages. Seejuures saate installeerida samadel meediumitelt nagu süsteemi ennastki so FTP, NFS, CD-plaat jne.

===FreeBSD portsud===

Reeglina eeldab portsude kasutamine kompileerimisvahendite ja võrguühenduse olemasolu ning seda, et Portsude Kogumik (ingl. k. Ports Collection) on installeeritud.

Kogumik ise võtab ca 100 MB ruumi ning sisaldab andmeid praktiliselt kõigi vabalt kasutada olevate FreeBSD programmide kohta. Portsude Kogumik asub vaikimisi kataloogis /usr/ports moodustades teemadeks jaotatud kataloogistruktuuri. Igale programmile vastab üks kataloog infot millistest teistest pakettidest kõnealune programm sõltub ning kust veebi või FTP serverist Internetist seda programmi kopeerida. Portsude Kogumik ei sisalda programmide lähtetekste, vaid ainult viiteid Interneti serveritele kust vajaduselt tarkvara lähtetekstid kopeeritakse ning seejärel teie masinas kompileeritakse ja ära installeeritakse.

cvs'ist portide kogumiku paigaldamine ja uuendamine on FreeBSDs korraldatud portsnap vahendiga. Esimenekord käivitamisel
tasuks anda käsk

portsnap fetch extract

Mis tõmbab viimase portside snapshoti ja pakib selle /usr/ports alla lahti
Edaspidi kui on vaja uuendada portse piisab kui anda käsk

portsnap fetch update

Portsudest süsteemi tarkvara lisamine toimub praktiliselt selliselt, et valite Kogumikus sobiva programmi välja, sisenete vastavasse kataloogi ning annate korralduse

bash# make install

Seejärel kontrollitakse kas süsteemis leiduvad muud programmid, mille olemasolu installeeritav programm eeldab. Vajadusel kopeeritakse Internetist esmalt nende lähtetekstid ning nad kompileeritakse ja installeeritaks. Seejärel kopeeritakse installeeritava programmi lähtetekstid ning tarkvara kopileeritakse ja installeeritakse.

Seesugune asjakorraldus teeb tarkvara lisamise ja sõltuvuste lahendamise kasutaja jaoks põhimõtteliselt väga mugavaks. Kuivõrd programmide lähtetekste kopeeritakse otse võrgust, siis on lihtne tarkvara arendajatel teha kasutajale kättesaadavaks värsked versioonid.

Portsudest installeeritud tarkvara eemaldamiseks sisnege taas Kogumiku vastavasse kataloogi ning andke korraldus

bash# make deinstall

Kuna programmide lähtetekstid kopeeritakse võrgust veebi või FTP serveritest, siis on mõistlik näidata keskkonnamuutujale HTTP_PROXY sobiv väärtus, sarnaselt

bash# export HTTP_PROXY="cache.zoo.tartu.ee:3128"

Võimalik on see lisada ka järgneval kujul faili make.conf

FETCH_ENV=HTTP_PROXY=http://cache.zoo.tartu.ee:3128

Võimalik on kasutada ka mirroreid ,et kiirendada tarkvara tõmbamist
või võimaldades saada tarkvara kätte ka siis kui selle originaalne allikas on kättesaamatu. Näiteks ,et kasutada EENet'i mirrorit tuleb lisada /etc/make.conf faili rida

MASTER_SITE_OVERRIDE?=http://ftp.eenet.ee/pub/FreeBSD/distfiles/${DIST_SUBDIR}/

Mille puhul pöördutakse alati kui pordist mingit tarkvara kompileeritakse
antud softi algkoodi otsima '''ftp.eenet.ee''' nimelise masina poole.

Iseseisvatest lähtetekstidest kompileerimine

Soovides oma FreeBSD tundmise ja programmeerimise oskust proovile panna, või kuid teid huvita programmi portsu ega paketti pole, siis ei jää muud üle kui asuda otse lähtetekste kompileerima.

Näiteks kopeerige lähtetekstid kataloogi /usr/src ja pakkige lahti. Seejärel talitage tarkvaraga kaasas olevate juhiste kohtaselt.

Lähtetekstidest paigaldatud tarkvara eemaldamiseks ei paku süsteem automaatseid mooduseid. Võimalik, et tarkvaraga on ühes sellised vahendid või tuleb teha seda tõepoolest käsitsi.

===Portide abivahendid===

Kaks mõistlikumat vahendit oleksid portupgrade ja portaudit mida süsteemis
esmasena kasutada

'''portupgrade'''

Tegemist automaatse pordi uuendamise vahendiga.

cd /usr/ports/ports-mgmt/portupgrade && make install

Kasutamine

portupgrade pordinim

Selleks ,et vaadata mis pordid omavad uuemaid versioone sobib lihtne käsk

pkg_version -v | grep "<"

Üldiselt ei tasu uisapäisa tormata kõiki porte uuendama
sest sageli võib näiteks portupgrade -a lõppeda mitme
mittetöötava tarkvara vaid uuendada mõistlikult vastavalt vajadusele
ja juhul kui tarkvaras on avastatud ohtlik viga. Vigade avastaiseks
on järgnev soft

'''portaudit'''

Portaudit kontrollib kõiki installitud tarkvara versioone
vastu keskset andmebaasifaili mille ta igal käivitamisel allatõmbab
ning teatab antud tarkvaras asuvaid turvavigu

cd /usr/ports/ports-mgmt/portaudit && make install

kasutamine

portaudit -F -a

===Lingid===

Põhjalik tekst bsd.ee wikis tarkvara uuendamisest ja installimisest

http://bsd.ee/dwiki/doku.php?id=bsdeesti:securefest.workshop

Arutelu:FreeBSD pakihaldus

2009-09-15T10:19:17Z

Jim: Uus lehekülg: 'Sisu järgi peaks selle artikli nimeks olema kas "FreeBSD tarkvara" või "FreeBSD pakihaldus"'

Sisu järgi peaks selle artikli nimeks olema kas "FreeBSD tarkvara" või "FreeBSD pakihaldus"

Kasutaja:Jim

2009-09-15T10:07:37Z

Jim:

==OS==
Millal on palades vaja OSi mainida:
# Paketihaldus (tavaliselt tarkvara paigaldamine)
# Kataloogistruktuur
# Tarkvara konffimise erisused
# OSis sisalduv baastarkvara, mida teistel pole või on vaja eraldi paigaldada

===Millised võiks olla uued palad===
# (Ülevaate)pala erinevate OSide pakihalduste kohta - tarkvara install, uninstall ja otsimine, vähemalt.
# Pakid - .deb, .rpm, tarball, ...
# Pala kataloogistruktuuri erisuste kohta - sysV, BSD, (/usr/local)/etc, ...

===Kuidas kirjutada OSist vähesõltuvat pala===

====Üks rida====
Kas märkida OS rea sisse, ette või tabelisse?

=====Rea alguses=====
Gentoo: /etc/init.d/syslog-ng restart
FreeBSD: /usr/local/etc/rc.d/syslog-ng restart

=====Lõigu ees=====
Gentoo: 
/etc/init.d/syslog-ng restart
FreeBSD:
/usr/local/etc/rc.d/syslog-ng restart
(Näeb kohmakas välja.)

=====Tabelis=====
{|
|Gentoo:
|
/etc/init.d/syslog-ng restart
|-
|FreeBSD:
|
/usr/local/etc/rc.d/syslog-ng restart
|}
(Ilus, aga tülikas kirjutada.)

Kasutaja:Jim

2009-09-15T09:47:48Z

Jim:

Kasutaja:Jim

2009-09-15T09:18:13Z

Jim: Uus lehekülg: '==OS== Millal on palades vaja OSi mainida: # Paketihaldus (tavaliselt tarkvara paigaldamine) # Kataloogistruktuur # Tarkvara konffimise erisused # OSis sisalduv baastarkvara, mida t…'

Vahendid kettatestiks

2009-09-14T11:38:59Z

Jim: /* dd */

===dd===

Alustuseks kõige lihtsam lugemise ja kirjutuskiiruse testimise utiliit

# dd if=/dev/sda of=/dev/null bs=1024k count=1000

1000+0 records in
1000+0 records out
1048576000 bytes (1.0 GB) copied, 17.0656 s, 61.4 MB/s

===Linux hdparm===

# hdparm -tT /dev/sda

/dev/sda:
Timing cached reads: 8688 MB in 2.00 seconds = 4349.14 MB/sec
Timing buffered disk reads: 174 MB in 3.00 seconds = 57.91 MB/sec

===Bonnie===

Kirjutus ja lugemistestid

# /usr/local/bin/bonnie
File './Bonnie.81484', size: 104857600
Writing with putc()...done
Rewriting...done
Writing intelligently...done
Reading with getc()...done
Reading intelligently...done
Seeker 1...Seeker 2...Seeker 3...start 'em...done...done...done...
-------Sequential Output-------- ---Sequential Input-- --Random--
-Per Char- --Block--- -Rewrite-- -Per Char- --Block--- --Seeks---
Machine MB K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU /sec %CPU
100 163734 81.9 280862 22.1 384488 57.6 127538 97.3 2539304 98.2 214041.1 253.4

Vahendid kettatestiks

2009-09-14T11:37:59Z

Jim:

Kuutõrvaja

2009-06-10T13:17:09Z

Jim:

Kuutõrvaja kaudu pakub EENet eestikeelseid materjale tarkvara (eelkõige Linuxi ja muu vaba tarkvara) ning Interneti kohta. Soovime, et Kuutõrvaja oleks tõhus abimees nii arvuti tavakasutajale kui spetsialistiks pürgijale.

* [[:Operatsioonisüsteemid]]
* [[:Unix keskkonna administreerimine]]
* [[:Unixi keskkonna kasutamine]]
* [[:Võrgu administreerimine]]
* [[:Programmeerimine]]
* [[Interneti domeeninimede süsteem]]
* [[Riistvara]]

----

* [[:Viited]]
* [[:Arhiiv]] vanemad staatilised materjalid
* [[:Toored palad]] ( must materjal ehk poolvalmis kirjatööd! )

----

Viimati lisandunud tekstid

* 20090610 - [[:Eduroam]] Eduroami häälestamine Linuxiga sülearvutil
* 20090511 - [[:FAI kasutamine Debianiga]]
* 20090425 - [[:OpenLDAP kasutamine Debianiga]]
* 20090424 - [[:FreeBSD GPT]] FreeBSD install mitmeterabaidistele kettale kasutades GPT partitsioneerimist
* 20090424 - [[:isc-dhcpd server]] DHCP serveri seadistus
* 20090424 - [[:Postfix + courier + mysql]] FreeBSD postfix mailisüsteem koos mysql'is olevate kasutajate ning veebihaldusliidesega paigaldusõpetus
* 20090424 - [[:cyrus]] -Cyrus mailitarkvara paigaldamine koos postfixi ja mysqliga Gentoole
* 20090424 - [[:logi]] Syslog, Syslog-ng tarkvarade seadistus ja logiserveri ehitamine
* 20090406 - [[:Debiani_alglaadimine|Debiani alglaadimine]]
* 20090321 - [[:DM-Multipath]]
* 20090308 - [[:Eesti_ID-kaardi_kasutamine_Debianiga|Eesti ID-kaardi kasutamine Debianiga]]
* 20090226 - [[:php]] Populaarne programmeerimiskeel, mida kasutatakse peamiselt serveripoolsetes lahendustes dünaamiliste veebilehtede valmistamiseks
* 20090202 - [[:rsync]] Vabavaraline failide ja kaustade sünkroniseerimise ja backupimise vahend
* 20081224 - [[:Plokkseadme_LUKS_formaadis_kr%C3%BCptimine|Plokkseadme LUKS formaadis krüptimine]]
* 20081209 - [http://kuutorvaja.eenet.ee/wiki/Virtualiseerimine_tarkvaraga_Xen#domU_liigutamine_erinevate_dom0_arvutite_vahel Xen domU liigutamine erinevate dom0 arvutite vahel]
* 20081130 - [[:ATA_over_Ethernet_kasutamine_Debianiga|ATA over Ethernet kasutamine Debianiga]]
* 20081117 - [[Logrotate]] Kuidas logisid pakkida ja hallata automaagiliselt.
* 20081025 - [[:mailman]] Populaarne ja võimalusterohke maililistide haldustarkvara
* 20081025 - [[:postgresql]] Vabavaralise andmebaasiserveri installeerimine ja kasutamine
* 20081017 - [[:IPMI]] Operatsioonisüsteemist sõltumatut arvutisüsteemi kaughaldamise liides
* 20081016 - [[:RT]] Request Tracker, vahend ühistöö hõlbustamiseks ja ühiskasutuses mailiaadressite kasutuse tõhustamiseks. (installiõpetus hetkel vaid FreeBSD jaoks)
* 20080827 - [[:Mod_rails]] Ruby on railsi apache moodulina toimima seadistamine
* 20080827 - [[:Nfsen]] Cisco netflow kogumine ning graafiline analüüsimine ja flowde genereerimine FreeBSD packet filteriga
* 20080804 - [[:Nagios]] Teenuste ja serverite korrasoleku monitooring FreeBSD serveriga
* 20080803 - [[:Arvuti ühendamine üle bluetooth'i mobiiltelefoniga internetti]]
* 20080727 - [[:OpenVPN - OpenBSD server ja Debian GNU/Linux klient]]

----

'''Kontakt'''

[[Image:Eenet_sinimustvalge_suur.gif]] 
Eesti Hariduse ja Teaduse Andmesidevõrk (EENet) 
Raekoja plats 14, Tartu 51004 
Tel: +372 730 2110 
eenet@eenet.ee

Unix keskkonna administreerimine

2009-06-10T13:08:07Z

Jim:

===Samba===

Kuidas programmide-komplekti Samba abil seada samas alamvõrgus tööle UNIXi ja Windowsi masinad nii, et saab vastastikku kasutada faili-ja printimisteenuseid, so:
Windowsist saab kasutada UNIXi failisüsteemi ja printerit
UNIXist saab kasutada Windowsi failisüsteemi ja printerit

Samuti selgitatakse kuidas seada Samba server tööle Windowsi domeenikontrollerina.

* [[Windowsi võrk]]

* [[Samba installeerimine]]

* [[Samba server ja paroolikontroll]]

* [[Samba kasutamine]]

* [[Samba server jaosrezhiimis]]

* [[Samba server kasutajarezhiimis]]

* [[Samba server Windowsi domeenikontrollerina]]

* [[Samba logi]]

* [[Smbclient - Samba Windowsi teenuste klientprogramm]]

* [[Graafiline Samba konfigureerimisliides SWAT]]

----

===Epost===

Interneti üks esimesi ja jätkuvalt suurele hulgale kasutajatele väga oluline teenus on epost (ingl. k. email). Järgnevad palad käsitlevad postiserverite omavahelist koostööd, paigaldamist ja seadistamist ning on seetõttu eelkõige mõeldud neile, kelle ülesandeks on teha oma kasutajatele eposti teenus kättesaadavaks. Samas võivad kõik huvilised siit edasi lugedes aimu saada, kuidas eposti võrgus liigub.

* [[:Email]] Mis on eposti aadress, ekiri ja postivahetusprotokoll.

* [[:Sendmail]] Kuidas seadistada käima epostisüsteem kasutades Sendmaili.

* [[:spam]] Lühidalt rämpsposti tõrjumise viisidest

* [[:RT]] Request Tracker, vahend ühistöö hõlbustamiseks ja ühiskasutuses mailiaadressite kasutuse tõhustamiseks. (installiõpetus hetkel vaid FreeBSD jaoks)

* [[:mailman]] Populaarne ja võimalusterohke maililistide haldustarkvara

----
===Veeb===

* [[:Apache'i veebiserver]] Populaarseima vabavaralise veebiserveri õpetus

* [[:Nginx]] Alternatiivne veebiserver

* [[:Squid]] Interneti http liikluse vahendusserver

* [[Apache mod_chroot]] Apachele turvalise vahekihi loomine

* [[JMeter]] Veebiserveri koormustestimise tarkvara
----

===Andmebaas===

* [[:Oracle 10g andmebaas]]

* [[:Oracle 10g andmebaasi klienprogramm SQL Developer]]

* [[:Case study: Oracle 10g andmebaasi paigaldamine Debian GNU/Linux AMD64 Etch platvormile]]

* [[:mysql server]] - Levinuima vabavaralise andmebaasiserveri installeerimine ja kasutamine

* [[:Mysql cluster]] Mysql clustri ehitus töökindluse ja jõudluse suurendamiseks

* [[:Mysql Replication]] Mysql replikeerimine ja multimaster replikeerimine töökindluse suurendamiseks väiksemates süsteemides

* [[:Oracle 10g Application Server]]

* [[:postgresql]] Vabavaralise andmebaasiserveri installeerimine ja kasutamine

----

===Autentimine===

* [[:Kerberos]] Ühe klassikalise UNIXi autentimissüsteemi kirjeldus

* [[:Su ja Sudo Programmi]] käivitamine teise kasutaja õigustes

* [[:PAM]] Kuidas programmile autentimist korraldada

* [[:ldap klient ja server]] keskse autentimise korraldamine (FreeBSD-Gentoo süsteemile orienteeritud tekst)

* [[:SSH kasutajate chrootimine Debian GNU/Linux näitel]]

* [[sshd mysql]] Mysql ja pam abil sshd autentimise korraldamine

* [[:Openssh chroot]] Kasutaja chrootimine openssh patchi kasutades kodukataloogi

----

===Võrk===

* [[:PPP üle SSH kanali]] Kuidas 'koduste vahenditega' VPNi tekitada

* [[:Linux ATM]] Linuxis ATM seadmetega võrgu loomine

* [[VPN ja SSH]] Lihtne VPN tunnel PPP ja SSH abil

* [[firehol]] Iptablesi mugav konfigureerimisliides tulemüüride loomiseks

* [[:IPMI]] Operatsioonisüsteemist sõltumatut arvutisüsteemi kaughaldamise liides

* [[:isc-dhcpd server]] DHCP serveri seadistus

* [[:Eduroam]] Eduroami häälestamine sülearvutil

----

===Storage===

* [[:iSCSI kasutamine]] Üle TCP/IP võrgu block device jagamine masinatele

* [[:LVM]] Kiht failisüsteemile

* [[:Tarkvaraline RAID - mdadm]] softraid tehnika linux'is

* [[:Mount]] Kettaseadmete külgehaakimine

* [[:rsync]] Vabavaraline failide ja kaustade sünkroniseerimise ja backupimise vahend
----

===Monitooring===

* [[:net-snmp]] Masina jooksva info võrgust kättesaadavaks tegemine

* [[:Munin]] Serverite infost graafikute joonistamine

----
===Misc===

* [[:Printimine]] Juhised BSD-stiilis printimise korraldamiseks

* [[:Arvuti kellaaeg]] Kuidas tagada, et arvuti aeg oleks võimalikult lähedane 'õigele' ajale. Pooolik!

* [[:Stunnel]] Tarkvara krüptilise toe lisamiseks programmidele

* [[:Integrit]] Failisüsteemis toimuvate muudatuste jälgimine

* [[:Saal]] Saali (ing. k. swap) konfigureerimine.

* [[:Sertifikaadid]] Sertifitseerimiskeskuse loomine ja sertifikaadi kinnitamine

* [[:Linuxi tuum]] Linux tuuma install ja paigaldus

* [[Logrotate]] Kuidas logisid pakkida ja hallata automaagiliselt.

* [[logi]] Syslog, Syslog-ng tarkvarade seadistus ja logiserveri ehitamine

OpenVPN

2008-12-19T20:13:57Z

Jim:

===Sissejuhatus===

Kasutades avalikku ebaturvalist võrku võimaldab virtuaalne privaatvõrk (ingl. k. Virtual Private Network, VPN) korraldada osaliste arvutite ja alamvõrkude vahel turvalist andmevahetust. Reeglina osaleb VPN lahenduses enam kui kaks osapoolt või vähemalt tehnoloogiliselt see on võimalik. Virtuaalne privaatvõrk esineb kas etherneti (layer 2) või ip kihis (layer 3), mis tähendab, et virtuaalses privaatvõrgus omavahel suhtlevate rakenduste jaoks on põhimõtteliselt VPN olemasolu läbipaistev. VPN'i eeliseks muude turvalist suhtlemist võimaldavate lahenduste (nt tcp ühenduse tasemel toimuv ssh abil tehtav pordi suunamine) ees on, et rakendusi ei tule kuidagi spetsiifiliselt ette valmistada või seadistada ning andmevahetuse aluseks saab kasutada nn tavalist avalikku võrku ehk internetti, mille kasutamine on iseenesest suhteliselt odav. VPN ühendusega kaasnevat kanalit üle avaliku võrgu kahe otspunkti vahel nimetatakse tunneliks.

Võrreldes muude VPN lahendustega on OpenVPN tarkvarale iseloomulik

* turvaline - kasutab SSL/TLS vahendeid ja töötab nö user-space'is erinevalt IPSec'ist, mis töötab kernel-space'is
* lihtne kasutada - toetab rohkelt erinevaid platvorme (Linux, BSD, Windows, MacOSX) ning on reeglina olemas paketihalduses
* funktsionaalne - nt võimaldab moodustada VPN lahendust etherneti ja ip kihis, praktiliselt sisaldab IPSec'iga samaväärseid võimalusi
* paindlik - kuna OpenVPN kasutab andmevahetuseks UDP protokolli, siis ei ole probleemiks nt NAT seadmete läbimine
* vaba tarkvara - arendus toimub James Yonan'i eestvedamisel, http://openvpn.org/

Käesolevas tekstis kesendutakse OpenVPN kasutamisele eesmärgiga seada käima turvaline ühendus ühe keskse OpenBSD arvuti ja ühe või mitme Debian arvuti vahel. Antud palas kirjeldatud asjakorraldust võiks ette kujutada selliselt, et OpenBSD juures töötab OpenVPN server režiimis ning Debianil klient režiimis, kusjuures klient saab ligi OpenBSD külge ühendatud võrkudele sh avalikule võrgule. Samas, käesolev tekst peaks andma piisavalt üldise ja samas detailse käsitluse, mida saab kasutaja varieerida omale sobiva lahenduse moodustamiseks.

Kuna andmevahetuse krüptimisel kasutatakse sertifikaate, siis OpenVPN tarkvaraga koos jagatakse ka pisikest CA tarkvara, mis lihtsustab sertifikaatide haldust.

OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.

===Ruuditud ja sillatud ühendused===

OpenVPN kasutab OpenBSD poolel tun seadet ning Linuxi poolel analoogilist tun/tap seadet. Need on virtuaalsed võrguseadmed, mis tähendab, et nad on realiseeritud tarkvaraliselt võimaldades neid kasutaval programmil saata andmeid operatsioonisüsteemi võrgu pinnu (ingl. k. networking stack) ning vastupidi, võtta sealt andmeid vastu.

tun/tap seade võib töötada kahes kihis võimaldades kahte erinevat OpenVPN kasutusjuhtu

* ruuditud ühendus - tun/tap seade töötab ip kihis (layer 3), Linuxi puhul tun seade; andmevahetuses osalevate arvutite ip aadressid on jaotatud erinevatesse ip subnettide vahel
* sillatud ühendus - tun/tap seade töötab etherneti kihis (layer 2), Linuxi puhul tap seade; andmevahetuses osalevad arvutid asuvad samas ip subnetis

====Ruuditud ühendust kirjeldab selline skeem====

-------|-------- wire - 192.168.3.0/24 -----
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | | tulemüür, tun0: 10.8.0.1 <--- P2P ---> 10.8.0.2
|_____|
| fxp0 172.16.2.1/28
|

internet

|
| 172.16.5.15/30
__|__
| |
KALAKE | | nö üksik arvuti
|_____|
tun0: 10.8.0.2 <--- P2P ---> 10.8.0.1

OpenVPN tulemusena moodustub mõlemasse arvutisse ruutivas režiimis tun seade (st point-to-point), mille ühest otsast saab pöörduda teise otsa poole. Lisaks saab läbi selliselt moodustatud ühenduse ruutida ka alamvõrke, näiteks

* Kui Kalake OpenVPN klienida lisab oma ruutingutableisse, et 192.168.3.0/24 võrgu lüüsiks on 10.8.0.1, siis saab ta suhelda Tuvikese taga olevate arvutitega üle OpenVPN ühenduse.
* Samuti on võimalik korraldada, et Kalake ruudib lisaks muid võrke sh avalikust internetist 10.8.0.1 peale, siis toimub ka nendega suhtlemine läbi OpenVPN ühenduse; põhimõtteliselt võib Kalake seada ka oma vaikelüüsiks 10.8.0.1, kuid siis peab kalake jätma oma ruutingutabelisse mõne erandi, et see ühendus üle avaliku interneti punktide 172.16.5.15 ja 172.16.2.1 vahel üle mille käib OpenVPN tunnel ise alles jääks.

Ruuditud ühenduse puhul paistab Tuvikesele ja sealtkaudu ligipääsetavatele arvutitele Kalakese ip aadressiks 10.8.0.2.

====Sillatud ühendust kirjeldab selline skeem====

-------|-------- wire - 192.168.3.0/24 -----
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | | tulemüür, bridge0: ip aadressi ei ole, tun0 ja em0 on sillaga kokku ühendatud
|_____|
| fxp0 172.16.2.1/28
|

internet

|
| 172.16.5.15/30
__|__
| |
KALAKE | | nö üksik arvuti
|_____|
tap0: Tuvikese OpenVPN serveri poolt omistatud mac aadress ja ip aadress

Sillatud režiimi puhul omistab Tuvikeses töötav OpenVPN Kalakese tun seadmele genereeritud mac aadressi ning 192.168.3.0/24 võrgust IP aadressi. Kalakese tap0 seade on üle tuvikese tun0 ja em0 seadmetest moodustatud silla ühendatud 192.168.3.0/24 võrku.

Seda kui palju Kalakesest väljuvat liiklust käib otse avalikku võrku läbi füüsilise seadme ja kui palju liigub läbi tunneli saab korraldada Kalakese ruutingutabli abil. Näiteks, et 10.0.100.0/24 võrgu suhtlemine toimuks läbi Tuvikese tuleb öelda Kalakeses

# route add -net 10.0.100.0 netmask 255.255.255.0 gw 192.168.3.254

===OpenVPN tarkvara paigaldamine===

Käesolevas tekstis kirjeldatakse OpenVPN tarkvara versioon 2.0 kasutamist.

Debianile tuleb paigaldada pakett openvpn

# apt-get install openvpn

Käesoleva punkti edasine jutt puudutab OpenBSD poolt, mis on OpenVPN serveriks, seal moodustatakse kasutatavad sertifikaadid ja jaotatakse OpenVPN klientidele laiali.

OpenBSD arvutil paigaldada pakett openvpn

# pkg_add openvpn

===OpenVPN ruuditud ühenduse katsetamine===

Selleks, et veenduda, et arvutitesse on OpenVPN tarkvara paigaldamine õnnestunud sh virtuaalsete seadmete jaoks on olemas vajalikud tuumamoodulid ning osaliste versioonid omavahel sobivad.

====Krüptimata ühendus====

Lihtsamal juhul, kus andmevahetust ei krüptita pole vaja midagi ettevalmistada, vajalikud parameetrid näidatakse käsureal öeldes Tuvikeses

tuvike-openbsd# '''openvpn --remote 172.16.5.15 --dev tun0 --ifconfig 10.8.0.1 10.8.0.2 --verb 3'''
Sat Jul 26 12:43:33 2008 OpenVPN 2.0.9 i386-unknown-openbsd4.3 [SSL] [LZO] built on Mar 13 2008
Sat Jul 26 12:43:33 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2. 0-beta16 and earlier used 5000 as the default port.
Sat Jul 26 12:43:33 2008 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 destroy
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 create
Sat Jul 26 12:43:33 2008 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 10.8.0.2 10.8.0.1 mtu 1500 netmask 255.255.255.255 up
Sat Jul 26 12:43:33 2008 TUN/TAP device /dev/tun0 opened
Sat Jul 26 12:43:33 2008 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Sat Jul 26 12:43:33 2008 Local Options hash (VER=V4): '08b6a7d0'
Sat Jul 26 12:43:33 2008 Expected Remote Options hash (VER=V4): '7d01953d'
Sat Jul 26 12:43:33 2008 UDPv4 link local (bound): [undef]:1194
Sat Jul 26 12:43:33 2008 UDPv4 link remote: 172.16.5.15:1194
Sat Jul 26 12:43:43 2008 Peer Connection Initiated with 172.16.5.15:1194
Sat Jul 26 12:43:44 2008 Initialization Sequence Completed

ning öeldes Kalakeses

kalake-debian# '''openvpn --remote 172.16.2.1 --dev tun0 --ifconfig 10.8.0.2 10.8.0.1 --verb 3'''
Sat Jul 26 12:44:34 2008 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 16 2008
Sat Jul 26 12:44:34 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jul 26 12:44:34 2008 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Sat Jul 26 12:44:34 2008 TUN/TAP device tun0 opened
Sat Jul 26 12:44:34 2008 TUN/TAP TX queue length set to 100
Sat Jul 26 12:44:34 2008 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sat Jul 26 12:44:34 2008 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Sat Jul 26 12:44:34 2008 Local Options hash (VER=V4): '7d01953d'
Sat Jul 26 12:44:34 2008 Expected Remote Options hash (VER=V4): '08b6a7d0'
Sat Jul 26 12:44:34 2008 Socket Buffers: R=[109568->131072] S=[109568->131072]
Sat Jul 26 12:44:34 2008 UDPv4 link local (bound): [undef]:1194
Sat Jul 26 12:44:34 2008 UDPv4 link remote: 172.16.2.1:1194
Sat Jul 26 12:44:40 2008 Peer Connection Initiated with 172.16.2.1:1194
Sat Jul 26 12:44:40 2008 Initialization Sequence Completed

Kummassegi arvutiss moodustatakse automaatselt tun seade ning seadistatakse vastavalt käsureal näidatud parameetritele, OpenBSD poolel

tuvike-openbsd# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff

ning Debiani poolel

kalake-debian# ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.2 P-t-P:10.8.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:31 errors:0 dropped:0 overruns:0 frame:0
TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4604 (4.4 KiB) TX bytes:5508 (5.3 KiB)

Ühenduse kontrollimisel peab saama teise arvutisse üle võrgu ligi, nt pingida või ssh abil sisse logida pöördudes tunneli teise otsa aadressiga. Millegipärast OpenBSD poolel ei saa nö omapoolse otsa poole pöörduda, aga praktiliselt ei ole see ka oluline.

====Staatilise võtmega krüptitud ühendus====

Sarnane eelmisele, kuid ühenduse krüptimiseks kasutavad osalised ühist saladust staatilise võtme kujul. Esmalt tuleb moodustada saladus öeldes

# cd /etc/openvpn
# openvpn --genkey --secret saladus.key

Seejärel kopeerida teisele osalisele ning öelda

tuvike-openbsd# openvpn --remote 172.16.5.15 --dev tun0 --ifconfig 10.8.0.1 10.8.0.2 --verb 3 --secret saladus.key
kalake-debian# openvpn --remote 172.16.2.1 --dev tun0 --ifconfig 10.8.0.2 10.8.0.1 --verb 3 --secret saladus.key

===Sertifikaatide ettevalmistamine===

Lisaks krüptimita ja staatilise võtmega krüptitud ühendusele saab OpenVPNi seadistada kasutama avaliku võtme sertifikaate ja seda tulekski OpenVPNi nö tootmises kasutamisel eelistada. OpenVPN pakett sisaldab avaliku võtmega krüptimisel vajalike sertifikaatide halduseks pisikest CA programmide kompleti. Käesolevas punktis kirjeldatakse selle CA kasutamist OpenBSD platvormil, eesmärgiks on moodustada sertifikaadid ning need seejärel osa neist klientidesse kopeerida.

Esmalt tuleb moodustada mõned kataloogid ja failid

# mkdir /etc/openvpn /etc/openvpn/keys
# touch /etc/openvpn/keys/index.txt
# echo 01 > /etc/openvpn/keys/serial
# cp /usr/local/share/examples/openvpn/easy-rsa/openssl.cnf /etc/openvpn

Seada sobivab keskkonnamuutujad

# . /usr/local/share/examples/openvpn/easy-rsa/vars

Seejärel tuleb genereerida sertifikaadid

* Süsteemi CA sertifikaat

# /usr/local/share/examples/openvpn/easy-rsa/build-ca

Oluline on, et CA ja järgneval serveri sertifikaadil oleks sama organisatsiooni nimi, sisestage mõistlikud andmed, näiteks

...
Country Name (2 letter code) [KG]:EE
State or Province Name (full name) [NA]:Tartu
Locality Name (eg, city) [BISHKEK]:Tartu
Organization Name (eg, company) [OpenVPN-TEST]:LOOMAAED
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:ca.loomaaed.tartu.ee
Email Address [me@myhost.mydomain]: ca@ca.loomaaed.tartu.ee
..

Tekivad failid

/etc/openvpn/keys/ca.key
/etc/openvpn/keys/ca.crt

* OpenVPN serveri sertifikaat

# /usr/local/share/examples/openvpn/easy-rsa/build-key-server server
...
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'EE'
stateOrProvinceName :PRINTABLE:'Tartu'
localityName :PRINTABLE:'Tartu'
organizationName :PRINTABLE:'LOOMAAED'
commonName :PRINTABLE:'tuvike.loomaaed.tartu.ee'
emailAddress :IA5STRING:'ca@ca.loomaaed.tartu.ee'
Certificate is to be certified until Jul 23 18:03:58 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
..

Tekivad failid

/etc/openvpn/keys/server.key
/etc/openvpn/keys/server.crt

* OpenVPN kliendi sertifikaat, erinevatel klientidel peavad olema erinevad commonName'id

# /usr/local/share/examples/openvpn/easy-rsa/build-key kalake
..
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'EE'
stateOrProvinceName :PRINTABLE:'Tartu'
localityName :PRINTABLE:'Tartu'
organizationName :PRINTABLE:'LOOMAAED'
commonName :PRINTABLE:'kalake.loomaaed.tartu.ee'
emailAddress :IA5STRING:'ca@ca.loomaaed.tartu.ee'
Certificate is to be certified until Jul 23 18:11:25 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
..

Tekivad failid

/etc/openvpn/keys/kalake.key
/etc/openvpn/keys/kalake.crt

Süsteemi CA sertifikaat ning kliendi sertifikaat ning salajane võti tuleb kopeerida kliendi arvutisse kasutades mõnda turvalist vahendit, nt SSH

# scp /etc/openvpn/keys/kalake.crt /etc/openvpn/keys/kalake.key /etc/openvpn/keys/ca.crt root@kalake:/etc/openvpn/keys

* Diffie-Hellmani asjad

# /usr/local/share/examples/openvpn/easy-rsa/build-dh

Tekib fail

/etc/openvpn/keys/dh1024.pem

===OpenVPN ruuditud lahenduse seadistamine===

Seadistame käima ruuditud ühenduse vastavalt ülaltoodud skeemile, peale käivitamist maksab vaadata üle kliendi ruutingutabel, et andmevahetus käiks soovitud moel.

====OpenBSD poole seadistamine====

Serveri poolel sobib kasutada sellist seadistusfaili ruuditud režiimis

# cat /etc/openvpn/openvpn.conf
local 172.16.2.1
port 1194
proto udp
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /tmp/ipp.txt
push "redirect-gateway local def1"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

====Debiani poole seadistamine====

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti nii nagu sertifikaatide punktis on öeldud.

Kliendi poolel sobib ruuditud režiimis kasutada sellist seadistusfaili

client
dev tun
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/kalake.crt
key keys/kalake.key
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

===OpenVPN sillatud lahenduse seadistamine===

Seadistame käima sillatud ühenduse vastavalt ülaltoodud skeemile, peale käivitamist maksab vaadata üle kliendi ruutingutabel, et andmevahetus käiks soovitud moel.

====OpenBSD serveri seadistamine====

Vajalik on moodustada sild füüsilise ja tun seadme vahele, kusjuures link0 lipuga määratakse, et tun seade töötab layer 2 kihis

# ifconfig bridge0 create
# ifconfig tun0 link0 up
# brconfig bridge0 add em0 add tun0
# ifconfig bridge0 up

Serveri poolel sobib kasutada sellist seadistusfaili sillatud režiimis

# cat /etc/openvpn/openvpn.conf
local 172.16.2.1
port 1194
proto udp
dev-type tap
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server-bridge 192.168.3.254 255.255.255.0 192.168.3.210 192.168.3.220
ifconfig-pool-persist /tmp/ipp.txt
push "redirect-gateway local def1"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

====FreeBSD serveri seadistamine====

FreeBSDl on sillatud ühenduse jaoks tap seade. Kõigepealt lükkame vajalikud moodulid kernelisse

kldload if_bridge
kldload if_tap

Edasi teeme silla ja ühendame virtuaalse seadme (tap0) füüsilise seadmega (em0)

ifconfig tap0 create up
ifconfig bridge0 create
ifconfig bridge0 addm tap0 addm em0 up

Serveri konfiks kirjutame näiteks lühidalt (pärast saab täiendada kui asi juba töötab)

# cat /usr/local/etc/openvpn/openvpn.conf
dev tap0
server-bridge 192.168.3.254 255.255.255.0 192.168.3.210 192.168.3.220
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
verb 3

Kui miskipärast ei tööta, siis kontrolli igaksjuhuks, kas tap0 ja bridge0 seadmed on ikka püsti (UP).

====Debiani kliendi poole seadistamine====

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti, nii nagu kirjeldatud sertifikaatide punktis.

Kliendi poolel sobib sillatud režiimis kasutada sellist seadistusfaili

# cat /etc/openvpn/openvpn.conf
client
dev tap
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/kalake.crt
key keys/kalake.key
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

===Windows kliendi kasutamine===

Kliendi sertifikaadid tuleb genereerida sarnaselt Debiani kliendi juhtumiga. Windowsi jaoks ettevalmistatud OpenVPN tarkvara saab kopeerida OpenVPN kodulehelt ning käivitades installeri paigaldatakse vaikimisi tarkvara kataloogi C:\Program Files\OpenVPN. Seejärel tuleb kopeerida sertifikaat, privaatne võti ning ca sertifikaat kataloogi C:\Program Files\OpenVPN\config. Moodustada seadistusfail, nt sellise sisuga

client
dev tap
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca kalake-ca.crt
cert kalake-xp.crt
key kalake-xp.key
comp-lzo
verb 3

OpenVPN käivitamine toimub valides parema hiire klõpsuga avanevast seadistusfaili hüpikmenüüst 'Start OpenVPN on this config file'.

===Paketifiltri seadistamine===

Kuna tun võrguseade käitub operatsioonisüsteemi suhtes tavalise võrguseadmena, siis tuleb paketifiltri seadistamisel arvestada asjaolusid ning kirjutada reeglid tavalisel moel. Tun seadmel on liiklus kürptimata st sobiv koht debugimiseks.

===Märkused===

* Kui on vajalik pidada OpenVPN serveri Debiani peal, siis CA pidamiseks sobib kasutada kataloogis /usr/share/doc/openvpn/examples/easy-rsa/2.0 asuvaid programme.
* Deemon režiimis käivitamiseks tuleb kasutada --daemon võtit.
* kui OpenVPN server suunab ümber kliendi vaikelüüsi üle tunneli (push "redirect-gateway local def1"), siis peab arvestama, et kõik liiklus hakkab selle kliendi jaoks käima läbi OpenVPN serveri, st kliendi internetiühenduse kiirus on piiratud OpenVPN serveri internetiühenduse kiirusega

===Kasulikud materjalid===

* http://www.openvpn.org/
* http://blog.innerewut.de/2005/07/04/openvpn-2-0-on-openbsd

OpenVPN - OpenBSD server ja Debian GNU/Linux klient

2008-12-19T19:54:27Z

Jim: Lehekülg "OpenVPN - OpenBSD server ja Debian GNU/Linux klient" teisaldatud pealkirja "OpenVPN" alla: Opsüsteeme on siin rohkem - OpenBSD, Linux/Debian, Windows ja FreeBSD

#redirect [[OpenVPN]]

OpenVPN

2008-12-19T19:54:27Z

Jim: Lehekülg "OpenVPN - OpenBSD server ja Debian GNU/Linux klient" teisaldatud pealkirja "OpenVPN" alla: Opsüsteeme on siin rohkem - OpenBSD, Linux/Debian, Windows ja FreeBSD

===Sissejuhatus===

Kasutades avalikku ebaturvalist võrku võimaldab virtuaalne privaatvõrk (ingl. k. Virtual Private Network, VPN) korraldada osaliste arvutite ja alamvõrkude vahel turvalist andmevahetust. Reeglina osaleb VPN lahenduses enam kui kaks osapoolt või vähemalt tehnoloogiliselt see on võimalik. Virtuaalne privaatvõrk esineb kas etherneti (layer 2) või ip kihis (layer 3), mis tähendab, et virtuaalses privaatvõrgus omavahel suhtlevate rakenduste jaoks on põhimõtteliselt VPN olemasolu läbipaistev. VPN'i eeliseks muude turvalist suhtlemist võimaldavate lahenduste (nt tcp ühenduse tasemel toimuv ssh abil tehtav pordi suunamine) ees on, et rakendusi ei tule kuidagi spetsiifiliselt ette valmistada või seadistada ning andmevahetuse aluseks saab kasutada nn tavalist avalikku võrku ehk internetti, mille kasutamine on iseenesest suhteliselt odav. VPN ühendusega kaasnevat kanalit üle avaliku võrgu kahe otspunkti vahel nimetatakse tunneliks.

Võrreldes muude VPN lahendustega on OpenVPN tarkvarale iseloomulik

* turvaline - kasutab SSL/TLS vahendeid ja töötab nö user-space'is erinevalt IPSec'ist, mis töötab kernel-space'is
* lihtne kasutada - toetab rohkelt erinevaid platvorme (Linux, BSD, Windows, MacOSX) ning on reeglina olemas paketihalduses
* funktsionaalne - nt võimaldab moodustada VPN lahendust etherneti ja ip kihis, praktiliselt sisaldab IPSec'iga samaväärseid võimalusi
* paindlik - kuna OpenVPN kasutab andmevahetuseks UDP protokolli, siis ei ole probleemiks nt NAT seadmete läbimine
* vaba tarkvara - arendus toimub James Yonan'i eestvedamisel, http://openvpn.org/

Käesolevas tekstis kesendutakse OpenVPN kasutamisele eesmärgiga seada käima turvaline ühendus ühe keskse OpenBSD arvuti ja ühe või mitme Debian arvuti vahel. Antud palas kirjeldatud asjakorraldust võiks ette kujutada selliselt, et OpenBSD juures töötab OpenVPN server režiimis ning Debianil klient režiimis, kusjuures klient saab ligi OpenBSD külge ühendatud võrkudele sh avalikule võrgule. Samas, käesolev tekst peaks andma piisavalt üldise ja samas detailse käsitluse, mida saab kasutaja varieerida omale sobiva lahenduse moodustamiseks.

Kuna andmevahetuse krüptimisel kasutatakse sertifikaate, siis OpenVPN tarkvaraga koos jagatakse ka pisikest CA tarkvara, mis lihtsustab sertifikaatide haldust.

OpenVPN kasutamisel on oluline, et osalevate arvutite kellaajad oleksid õiged, alates sertifikaatide moodustamisest.

===Ruuditud ja sillatud ühendused===

OpenVPN kasutab OpenBSD poolel tun seadet ning Linuxi poolel analoogilist tun/tap seadet. Need on virtuaalsed võrguseadmed, mis tähendab, et nad on realiseeritud tarkvaraliselt võimaldades neid kasutaval programmil saata andmeid operatsioonisüsteemi võrgu pinnu (ingl. k. networking stack) ning vastupidi, võtta sealt andmeid vastu.

tun/tap seade võib töötada kahes kihis võimaldades kahte erinevat OpenVPN kasutusjuhtu

* ruuditud ühendus - tun/tap seade töötab ip kihis (layer 3), Linuxi puhul tun seade; andmevahetuses osalevate arvutite ip aadressid on jaotatud erinevatesse ip subnettide vahel
* sillatud ühendus - tun/tap seade töötab etherneti kihis (layer 2), Linuxi puhul tap seade; andmevahetuses osalevad arvutid asuvad samas ip subnetis

====Ruuditud ühendust kirjeldab selline skeem====

-------|-------- wire - 192.168.3.0/24 -----
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | | tulemüür, tun0: 10.8.0.1 <--- P2P ---> 10.8.0.2
|_____|
| fxp0 172.16.2.1/28
|

internet

|
| 172.16.5.15/30
__|__
| |
KALAKE | | nö üksik arvuti
|_____|
tun0: 10.8.0.2 <--- P2P ---> 10.8.0.1

OpenVPN tulemusena moodustub mõlemasse arvutisse ruutivas režiimis tun seade (st point-to-point), mille ühest otsast saab pöörduda teise otsa poole. Lisaks saab läbi selliselt moodustatud ühenduse ruutida ka alamvõrke, näiteks

* Kui Kalake OpenVPN klienida lisab oma ruutingutableisse, et 192.168.3.0/24 võrgu lüüsiks on 10.8.0.1, siis saab ta suhelda Tuvikese taga olevate arvutitega üle OpenVPN ühenduse.
* Samuti on võimalik korraldada, et Kalake ruudib lisaks muid võrke sh avalikust internetist 10.8.0.1 peale, siis toimub ka nendega suhtlemine läbi OpenVPN ühenduse; põhimõtteliselt võib Kalake seada ka oma vaikelüüsiks 10.8.0.1, kuid siis peab kalake jätma oma ruutingutabelisse mõne erandi, et see ühendus üle avaliku interneti punktide 172.16.5.15 ja 172.16.2.1 vahel üle mille käib OpenVPN tunnel ise alles jääks.

Ruuditud ühenduse puhul paistab Tuvikesele ja sealtkaudu ligipääsetavatele arvutitele Kalakese ip aadressiks 10.8.0.2.

====Sillatud ühendust kirjeldab selline skeem====

-------|-------- wire - 192.168.3.0/24 -----
|
|
__|__ em0 192.168.3.254/24
| |
TUVIKE | | tulemüür, bridge0: ip aadressi ei ole, tun0 ja em0 on sillaga kokku ühendatud
|_____|
| fxp0 172.16.2.1/28
|

internet

|
| 172.16.5.15/30
__|__
| |
KALAKE | | nö üksik arvuti
|_____|
tap0: Tuvikese OpenVPN serveri poolt omistatud mac aadress ja ip aadress

Sillatud režiimi puhul omistab Tuvikeses töötav OpenVPN Kalakese tun seadmele genereeritud mac aadressi ning 192.168.3.0/24 võrgust IP aadressi. Kalakese tap0 seade on üle tuvikese tun0 ja em0 seadmetest moodustatud silla ühendatud 192.168.3.0/24 võrku.

Seda kui palju Kalakesest väljuvat liiklust käib otse avalikku võrku läbi füüsilise seadme ja kui palju liigub läbi tunneli saab korraldada Kalakese ruutingutabli abil. Näiteks, et 10.0.100.0/24 võrgu suhtlemine toimuks läbi Tuvikese tuleb öelda Kalakeses

# route add -net 10.0.100.0 netmask 255.255.255.0 gw 192.168.3.254

===OpenVPN tarkvara paigaldamine===

Käesolevas tekstis kirjeldatakse OpenVPN tarkvara versioon 2.0 kasutamist.

Debianile tuleb paigaldada pakett openvpn

# apt-get install openvpn

Käesoleva punkti edasine jutt puudutab OpenBSD poolt, mis on OpenVPN serveriks, seal moodustatakse kasutatavad sertifikaadid ja jaotatakse OpenVPN klientidele laiali.

OpenBSD arvutil paigaldada pakett openvpn

# pkg_add openvpn

===OpenVPN ruuditud ühenduse katsetamine===

Selleks, et veenduda, et arvutitesse on OpenVPN tarkvara paigaldamine õnnestunud sh virtuaalsete seadmete jaoks on olemas vajalikud tuumamoodulid ning osaliste versioonid omavahel sobivad.

====Krüptimata ühendus====

Lihtsamal juhul, kus andmevahetust ei krüptita pole vaja midagi ettevalmistada, vajalikud parameetrid näidatakse käsureal öeldes Tuvikeses

tuvike-openbsd# '''openvpn --remote 172.16.5.15 --dev tun0 --ifconfig 10.8.0.1 10.8.0.2 --verb 3'''
Sat Jul 26 12:43:33 2008 OpenVPN 2.0.9 i386-unknown-openbsd4.3 [SSL] [LZO] built on Mar 13 2008
Sat Jul 26 12:43:33 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2. 0-beta16 and earlier used 5000 as the default port.
Sat Jul 26 12:43:33 2008 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 destroy
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 create
Sat Jul 26 12:43:33 2008 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Sat Jul 26 12:43:33 2008 /sbin/ifconfig tun0 10.8.0.2 10.8.0.1 mtu 1500 netmask 255.255.255.255 up
Sat Jul 26 12:43:33 2008 TUN/TAP device /dev/tun0 opened
Sat Jul 26 12:43:33 2008 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Sat Jul 26 12:43:33 2008 Local Options hash (VER=V4): '08b6a7d0'
Sat Jul 26 12:43:33 2008 Expected Remote Options hash (VER=V4): '7d01953d'
Sat Jul 26 12:43:33 2008 UDPv4 link local (bound): [undef]:1194
Sat Jul 26 12:43:33 2008 UDPv4 link remote: 172.16.5.15:1194
Sat Jul 26 12:43:43 2008 Peer Connection Initiated with 172.16.5.15:1194
Sat Jul 26 12:43:44 2008 Initialization Sequence Completed

ning öeldes Kalakeses

kalake-debian# '''openvpn --remote 172.16.2.1 --dev tun0 --ifconfig 10.8.0.2 10.8.0.1 --verb 3'''
Sat Jul 26 12:44:34 2008 OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 16 2008
Sat Jul 26 12:44:34 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jul 26 12:44:34 2008 ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Sat Jul 26 12:44:34 2008 TUN/TAP device tun0 opened
Sat Jul 26 12:44:34 2008 TUN/TAP TX queue length set to 100
Sat Jul 26 12:44:34 2008 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sat Jul 26 12:44:34 2008 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Sat Jul 26 12:44:34 2008 Local Options hash (VER=V4): '7d01953d'
Sat Jul 26 12:44:34 2008 Expected Remote Options hash (VER=V4): '08b6a7d0'
Sat Jul 26 12:44:34 2008 Socket Buffers: R=[109568->131072] S=[109568->131072]
Sat Jul 26 12:44:34 2008 UDPv4 link local (bound): [undef]:1194
Sat Jul 26 12:44:34 2008 UDPv4 link remote: 172.16.2.1:1194
Sat Jul 26 12:44:40 2008 Peer Connection Initiated with 172.16.2.1:1194
Sat Jul 26 12:44:40 2008 Initialization Sequence Completed

Kummassegi arvutiss moodustatakse automaatselt tun seade ning seadistatakse vastavalt käsureal näidatud parameetritele, OpenBSD poolel

tuvike-openbsd# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff

ning Debiani poolel

kalake-debian# ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.2 P-t-P:10.8.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:31 errors:0 dropped:0 overruns:0 frame:0
TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4604 (4.4 KiB) TX bytes:5508 (5.3 KiB)

Ühenduse kontrollimisel peab saama teise arvutisse üle võrgu ligi, nt pingida või ssh abil sisse logida pöördudes tunneli teise otsa aadressiga. Millegipärast OpenBSD poolel ei saa nö omapoolse otsa poole pöörduda, aga praktiliselt ei ole see ka oluline.

====Staatilise võtmega krüptitud ühendus====

Sarnane eelmisele, kuid ühenduse krüptimiseks kasutavad osalised ühist saladust staatilise võtme kujul. Esmalt tuleb moodustada saladus öeldes

# cd /etc/openvpn
# openvpn --genkey --secret saladus.key

Seejärel kopeerida teisele osalisele ning öelda

tuvike-openbsd# openvpn --remote 172.16.5.15 --dev tun0 --ifconfig 10.8.0.1 10.8.0.2 --verb 3 --secret saladus.key
kalake-debian# openvpn --remote 172.16.2.1 --dev tun0 --ifconfig 10.8.0.2 10.8.0.1 --verb 3 --secret saladus.key

===Sertifikaatide ettevalmistamine===

Lisaks krüptimita ja staatilise võtmega krüptitud ühendusele saab OpenVPNi seadistada kasutama avaliku võtme sertifikaate ja seda tulekski OpenVPNi nö tootmises kasutamisel eelistada. OpenVPN pakett sisaldab avaliku võtmega krüptimisel vajalike sertifikaatide halduseks pisikest CA programmide kompleti. Käesolevas punktis kirjeldatakse selle CA kasutamist OpenBSD platvormil, eesmärgiks on moodustada sertifikaadid ning need seejärel osa neist klientidesse kopeerida.

Esmalt tuleb moodustada mõned kataloogid ja failid

# mkdir /etc/openvpn /etc/openvpn/keys
# touch /etc/openvpn/keys/index.txt
# echo 01 > /etc/openvpn/keys/serial
# cp /usr/local/share/examples/openvpn/easy-rsa/openssl.cnf /etc/openvpn

Seada sobivab keskkonnamuutujad

# . /usr/local/share/examples/openvpn/easy-rsa/vars

Seejärel tuleb genereerida sertifikaadid

* Süsteemi CA sertifikaat

# /usr/local/share/examples/openvpn/easy-rsa/build-ca

Oluline on, et CA ja järgneval serveri sertifikaadil oleks sama organisatsiooni nimi, sisestage mõistlikud andmed, näiteks

...
Country Name (2 letter code) [KG]:EE
State or Province Name (full name) [NA]:Tartu
Locality Name (eg, city) [BISHKEK]:Tartu
Organization Name (eg, company) [OpenVPN-TEST]:LOOMAAED
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:ca.loomaaed.tartu.ee
Email Address [me@myhost.mydomain]: ca@ca.loomaaed.tartu.ee
..

Tekivad failid

/etc/openvpn/keys/ca.key
/etc/openvpn/keys/ca.crt

* OpenVPN serveri sertifikaat

# /usr/local/share/examples/openvpn/easy-rsa/build-key-server server
...
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'EE'
stateOrProvinceName :PRINTABLE:'Tartu'
localityName :PRINTABLE:'Tartu'
organizationName :PRINTABLE:'LOOMAAED'
commonName :PRINTABLE:'tuvike.loomaaed.tartu.ee'
emailAddress :IA5STRING:'ca@ca.loomaaed.tartu.ee'
Certificate is to be certified until Jul 23 18:03:58 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
..

Tekivad failid

/etc/openvpn/keys/server.key
/etc/openvpn/keys/server.crt

* OpenVPN kliendi sertifikaat, erinevatel klientidel peavad olema erinevad commonName'id

# /usr/local/share/examples/openvpn/easy-rsa/build-key kalake
..
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'EE'
stateOrProvinceName :PRINTABLE:'Tartu'
localityName :PRINTABLE:'Tartu'
organizationName :PRINTABLE:'LOOMAAED'
commonName :PRINTABLE:'kalake.loomaaed.tartu.ee'
emailAddress :IA5STRING:'ca@ca.loomaaed.tartu.ee'
Certificate is to be certified until Jul 23 18:11:25 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
..

Tekivad failid

/etc/openvpn/keys/kalake.key
/etc/openvpn/keys/kalake.crt

Süsteemi CA sertifikaat ning kliendi sertifikaat ning salajane võti tuleb kopeerida kliendi arvutisse kasutades mõnda turvalist vahendit, nt SSH

# scp /etc/openvpn/keys/kalake.crt /etc/openvpn/keys/kalake.key /etc/openvpn/keys/ca.crt root@kalake:/etc/openvpn/keys

* Diffie-Hellmani asjad

# /usr/local/share/examples/openvpn/easy-rsa/build-dh

Tekib fail

/etc/openvpn/keys/dh1024.pem

===OpenVPN ruuditud lahenduse seadistamine===

Seadistame käima ruuditud ühenduse vastavalt ülaltoodud skeemile, peale käivitamist maksab vaadata üle kliendi ruutingutabel, et andmevahetus käiks soovitud moel.

====OpenBSD poole seadistamine====

Serveri poolel sobib kasutada sellist seadistusfaili ruuditud režiimis

# cat /etc/openvpn/openvpn.conf
local 172.16.2.1
port 1194
proto udp
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /tmp/ipp.txt
push "redirect-gateway local def1"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

====Debiani poole seadistamine====

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti nii nagu sertifikaatide punktis on öeldud.

Kliendi poolel sobib ruuditud režiimis kasutada sellist seadistusfaili

client
dev tun
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/kalake.crt
key keys/kalake.key
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

===OpenVPN sillatud lahenduse seadistamine===

Seadistame käima sillatud ühenduse vastavalt ülaltoodud skeemile, peale käivitamist maksab vaadata üle kliendi ruutingutabel, et andmevahetus käiks soovitud moel.

====OpenBSD poole seadistamine====

Vajalik on moodustada sild füüsilise ja tun seadme vahele, kusjuures link0 lipuga määratakse, et tun seade töötab layer 2 kihis

# ifconfig bridge0 create
# ifconfig tun0 link0 up
# brconfig bridge0 add em0 add tun0
# ifconfig bridge0 up

Serveri poolel sobib kasutada sellist seadistusfaili sillatud režiimis

# cat /etc/openvpn/openvpn.conf
local 172.16.2.1
port 1194
proto udp
dev-type tap
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server-bridge 192.168.3.254 255.255.255.0 192.168.3.210 192.168.3.220
ifconfig-pool-persist /tmp/ipp.txt
push "redirect-gateway local def1"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

====Debiani poole seadistamine====

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti, nii nagu kirjeldatud sertifikaatide punktis.

Kliendi poolel sobib sillatud režiimis kasutada sellist seadistusfaili

# cat /etc/openvpn/openvpn.conf
client
dev tap
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/kalake.crt
key keys/kalake.key
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

===Windows kliendi kasutamine===

Kliendi sertifikaadid tuleb genereerida sarnaselt Debiani kliendi juhtumiga. Windowsi jaoks ettevalmistatud OpenVPN tarkvara saab kopeerida OpenVPN kodulehelt ning käivitades installeri paigaldatakse vaikimisi tarkvara kataloogi C:\Program Files\OpenVPN. Seejärel tuleb kopeerida sertifikaat, privaatne võti ning ca sertifikaat kataloogi C:\Program Files\OpenVPN\config. Moodustada seadistusfail, nt sellise sisuga

client
dev tap
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca kalake-ca.crt
cert kalake-xp.crt
key kalake-xp.key
comp-lzo
verb 3

OpenVPN käivitamine toimub valides parema hiire klõpsuga avanevast seadistusfaili hüpikmenüüst 'Start OpenVPN on this config file'.

===Paketifiltri seadistamine===

Kuna tun võrguseade käitub operatsioonisüsteemi suhtes tavalise võrguseadmena, siis tuleb paketifiltri seadistamisel arvestada asjaolusid ning kirjutada reeglid tavalisel moel. Tun seadmel on liiklus kürptimata st sobiv koht debugimiseks.

===Märkused===

* Kui on vajalik pidada OpenVPN serveri Debiani peal, siis CA pidamiseks sobib kasutada kataloogis /usr/share/doc/openvpn/examples/easy-rsa/2.0 asuvaid programme.
* Deemon režiimis käivitamiseks tuleb kasutada --daemon võtit.
* kui OpenVPN server suunab ümber kliendi vaikelüüsi üle tunneli (push "redirect-gateway local def1"), siis peab arvestama, et kõik liiklus hakkab selle kliendi jaoks käima läbi OpenVPN serveri, st kliendi internetiühenduse kiirus on piiratud OpenVPN serveri internetiühenduse kiirusega

===Kasulikud materjalid===

* http://www.openvpn.org/
* http://blog.innerewut.de/2005/07/04/openvpn-2-0-on-openbsd

Arutelu:Operatsioonisüsteemi uuendamine

2008-11-04T13:30:19Z

Jim:

Võibolla nimetada artikkel ümber - "OpenBSD uuendamine"?
Sest isegi kui on plaanis kirjutada teiste OS-ide uuendamisest, vääriksid nad igaüks omaette artiklit.
-- [[Kasutaja:Jim|Jim]] 4. november 2008, kell 13:30 (UTC)

Arutelu:Operatsioonisüsteemi uuendamine

2008-11-04T13:26:57Z

Jim: Uus lehekülg: Võibolla nimetada artikkel ümber - "OpenBSD uuendamine"? Isegi kui on plaanis kirjutada ka teiste OS-ide uuendamisest, vääriksid nad igaüks ise artiklit.

Võibolla nimetada artikkel ümber - "OpenBSD uuendamine"?
Isegi kui on plaanis kirjutada ka teiste OS-ide uuendamisest, vääriksid nad igaüks ise artiklit.

OpenSSH kasutamine

2008-10-01T21:59:47Z

Jim: Väljanägemise korrigeerimine, mõned sõna- ja täheparandused

'''SSH''' (Secure Shell - e. k. kindel koorik) on programmide komplekt, mis on mõeldud r-korralduste (rsh, rcp ja rlogin'i) asendamiseks funktsionaalsuselt sarnaste, kuid pealtkuulamise ja IP-aadressi võltsimise suhtes turvalisemate vahenditega.

SSH võimaldab üle mitteturvalise liini turvaliselt
* logida teise masinasse ja seal toimetada,
* anda käske teises masinas,
* kopeerida faile masinate vahel,
* porte ümber suunata (ingl. k. port forwarding), nt. Fetchmaili ja FTP kasutamisel,
* Xi rakendusi üle võrgu "vedada",
* luua turvalisi kanaleid (ingl. k. secure tunnel) teiste protokollide jaoks, näiteks PPP.

Kõik need juhud eeldavad, et teil on kasutajatunnus ka teises masinas. SSH põhineb klient-server mudelil kusjuures ühenduse algatab alati SSH klient. Edaspidises kasutatakse väljendit SSH server, mille all mõeldakse teist masinat ning millel on SSH kliendiga suhtlemiseks sobiv tarkvara.

SSH on protokoll, mille versioonile 1 ja samuti selle baasil loodub programmide komplektile viidatakse kui SSH1. SSH1 on vabalt kasutatav, olles samas ebaturvalisem kui SSH2 protokollil põhinev tarkvara. Tänapäeval pole SSH1 kasutamine soovitatav. SSH kasutab avaliku võtmega krüptimist, mis toetub RSA algoritmile.

=== Teise masinasse sisselogimine ja ühenduse lõpetamine ===

Kirjeldame lihtsustatult, kuidas toimub SSHga teise masinasse sisselogimine.

Logimisel on kolm etappi:

Protokollide kontroll. Seansi algus ei ole krüptitud. Selle käigus teevad osapooled kindlaks, et nad kasutavad omavahel sobivaid SSH versioone.
Klient veendub serveri ehtsuses. Serveril on kaks RSA võtit: salajane ja avalik. Et klient saaks veenduda, serveri ehtsuses peab ta eelnevalt teadma serveri avalikku võtit. Teatavasti on avaliku võtme krüptograafia kõige nõrgemaks kohaks avaliku võtme edastamine selle kasutajale. Selle võib klient saada, nt disketil, serveri administraatori käest isiklikult, kuid levinum on riskantsem viis. Nimelt esmakordsel ühendusevõtmisel usaldab klient serverit. Saades serveri avaliku võtme ning kliendi so kasutaja nõusoleku, lisatakse see faili ~/.ssh/known_hosts. Kui edaspidi võetakse ühendust sama serveriga, siis on võimalik juba kasutada standardset avaliku võtme krüptograafiat:

Server genereerib ja krüptib juhusliku järgnevuse (ingl. k. challenge) oma salajase võtmega ja saadab selle kliendile.
Klient püüab saadetist lahti krüptida tema käsutuses oleva vastava avaliku võtmega.
Kui see õnnestub, on server ehtne; kui mitte, siis on server võlts või on ta vahepeal endale uud võtmed tekitanud.
Klient saadab serverile tagasi ühe võtmega krüptimise shifri nime (DES, 3DES, IDEA) ja serveri avaliku võtmega küpteeritud sessioonivõtme. Saadetis on avatav ainult vastava salajase võtmega, mis on eeldatavasti vaid õigel serveril.
Edasine infovahetus serveri ja kliendi vahel toimub üle krüptitud kanali, kusjuures mõlemad pooled kasutavad kokkulepitud shifrit ja sessioonivõtit.

Server veendub kliendi ehtsuses. Esmalt püütakse kasutajat autentida automatiseeritud viisil. Kui see ei õnnestu, kontrollitakse kasutaja UNIXi parooli, kasutades loodud turvalist kanalit.

Praktiliselt algatab klient serveriga ühenduse käsuga ssh, näiteks

gnoom~$ ssh -l priit reptilus.zoo.tartu.ee
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host 'reptilus.zoo.tartu.ee' added to the list of known hosts.
Creating random seed file ~/.ssh/random_seed. This may take a while.
priit@reptilus.zoo.tartu.ee's password:
reptilus~$

Seejuures:
* tekitatakse kliendile kataloog ~/.ssh milles sisalduvad SSHle olulised failid,
* serveri avalik võti lisatakse faili ~/.ssh/known_hosts,
* tekitatakse SSH sisemisteks vajadusteks juhuslikku alget sisaldav fail ~/.ssh/random_seed,
* küsitakse kasutaja UNIXi parooli, kuna kasutaja RSA võtmetega automaatne autentimine ebaõnnestus.

Tulemusena saadi äsjases näites ette teise masina viip ja võiks hakata seal toimetama. Sarnase tulemuse oleksite võinud saada telnetiga, kuid SSH abil tekitatud ühendust krüptitakse.

Seansi lõpetamine toimub tavalisel moel välja-logimisega
reptilus~$ logout
gnoom~$

Niisiis,
SSH klient teeb SSH serveri avaliku võtme abil kindlaks SSH serveri ehtsuse ja
seejärel SSH server autendib kasutaja.

'''Märkus:''' Kujutleme olukorda, kus teil on harjumus külastada SSHga mõnda masinat ning te ühtäkki märkate sisselogimisel, et server vastab teile hoiatava veateatega, öeldes, et serveri avalik võti ei klapi, pakkudes aga teile võimalust jätkata sisselogimist. Sama toimub ka igal järgmisel korral. Sel juhul on kaks võimalust:
# Te suhtlete võltsserveriga ning ei tohiks sisselogimist jätkata. Tuleks muude vahenditega kindlaks teha, mis täpselt toimub.
# Server on õige, kuid ta kasutab uusi RSA võtmeid. Sel juhul peab kasutaja oma ~/.ssh/known_hosts failist vastava serveri avaliku võtme rea käepärase tekstiredaktori abil kustutama. Järgmisel külastusel kirjutatakse sinna faili uus serveri avalik võti.

=== Kasututaja autentimine tema RSA võtmetega ===

Teatavasti pakuvad r-korraldused suhteliselt automaatset, kuid ebaturvalist autentimist. Näitame, kuidas eelmises punktis kirjeldatud sisselogimisele ja seansi krüptimisele lisaks korraldada SSH abil automaatset kasutaja autentimist.

Autentimine toimub kasutaja enda moodustatud RSA võtmepaari abil. Rääkides seonduvalt SSHga RSA võtmetest, tuleb teha vahet, millal kõneldakse SSH serveri RSA võtmepaarist ja kunas kasutaja RSA võtmepaarist.

==== RSA võtmete moodustamine ====

Esmalt moodustab kasutaja, näiteks priit@gnoom.zoo.tartu.ee endale RSA võtmepaari käsuga ssh-keygen

gnoom~$ ssh-keygen
Initializing random number generator...
Generating p: .......++ (distance 70)
Generating q: ......................................................++(distance 1384)
Computing the keys...
Testing the keys...
Key generation complete.
Enter file in which to save the key (/home/priit/.ssh/identity):
Enter passphrase:
Enter the same passphrase again:
Your identification has been saved in /home/priit/.ssh/identity.
Your public key is:
1024 37 1554333789793729191862682592260847771258286098468
3921789960662859786586472264373484080228833114457
1626804981901211908429466336667815885184594091461
2569249444672372054586982118977562103987797501424
8271032932681521591906275426044563577193997222784
0241263568911729625907267037780774925882883690450
530158923098373 priit@gnoom.zoo.tartu.ee
Your public key has been saved in /home/priit/.ssh/identity.pub
gnoom~$

Moodustamisel päritakse kasutajalt RSA salajase võtme parooli; selle peab ta sisestama iga kord enne oma salajase võtme kasutamist.

Tulemusena tekitatakse kaks võtit:
kasutaja RSA avalik võti: ~/.ssh/identity.pub
kasutaja RSA salajane võti: ~/.ssh/identity

Pange tähele, et avaliku võtme lõpus on kirjas, kellele see kuulub. Salajane võti on küll parooliga kaitstud, kuid võti peaks siiski olema vaid kasutajale endale loetav.

==== RSA avaliku võtme paigutamine SSH serverisse ====

Oma avaliku võtme peate te lisama külastatava (so. SSH serveri, nt reptilus.zoo.tartu.ee) masina faili ~/.ssh/authorized_keys ja salajase võtme jätma sinna, kuhu ta tekitati. Kuna ~/.ssh/authorized_keys faili sisu on kõigile loetav, pole avaliku võtme edastamisel vaja võtta tarvitusele erilisi ettevaatusabinõusid: peaasi, et võtme sisu jääks muutumatuks. Failis ~/.ssh/authorized_keys võivad sisalduda mitmed avalikud võtmed, igaüks eraldi real ning fail on ASCII kujul. Nii on võimalik külastada SSH serverit erinevatest klient-masinatest. Kõige lihtsam on teha ~/.ssh/identity.pub failist koopia ning see ftp abil SSH serverisse toimetada. Seal andke selle faili lugemis- ja kirjutamisõigus ainult endale

reptilus~$ chmod 600 ~/.ssh/authorized_keys

Kui te nüüd külastate ssh'ga seda SSH serverit, siis esmalt klient autendib serveri varemkirjeldatud tavapärasel moel. Aga server autendib kliendi selliselt:
server genereerib juhusliku järgnevuse baite ja krüptib need talle teadaoleva kasutaja avaliku võtmega
klient kasutab ainult tal olemasolevat vasatavat sajalast võtit ja krüptib saadetise lahti; tulemus saadetakse serverile tagasi
server võrdleb esialgset järgnevust kliendi poolt lahti krüpituga ja nende identsuse korral loeb autentimise õnnestunuks ning kasutajale antakse ette viip.

==== RSA võtmete kasutamine ====

Näide automaatsest kasutaja RSA võtmetega autentimisest

gnoom~$ ssh -l priit reptilus.zoo.tartu.ee
Enter passphrase for RSA key 'priit@gnoom.zoo.tartu.ee':
Last login: Thu Nov 11 11:16:09 1999 from mammal.zoo.tartu.ee
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of University of California. All rights reserved.
reptilus~$

Kuna kasutaja autentimisel läheb tarvis tema salajast võtit, siis küsitakse salajase võtme parooli; '-l kasutajanimi' on vajalik, kui kasutajal on teises masinas erinev kasutajanimi. Siiski, kui ka kasutajal on erinevad kasutajanimed erinevates 'teistes masinates', siis ei pruugi ta '-l' võtit kasutada. Selle asemel võib ta kasutajanime ja vastava teise masina nime ära näidata failis ~/.ssh/config; võib kirjeldada mitmeid SSH servereid:

Host reptilus.zoo.tartu.ee
User priidu
Host mammal.zoo.tartu.ee
User priidik

Näites autenditakse gnoomi kasutajat 'priit' masinas reptilus kasutajana 'priidu'; ja masinas mammal kasutajana 'priidik'. Niisiis, et gnoomist logida sisse mammalisse kasutajana 'priidik' piisab kirjeldatud konfiguratsioonifaili olemasolul anda käsk

gnoom~$ ssh mammal.zoo.tartu.ee

Niisiis, standardne UNIXi paroolikontroll on asendatud SSH vahenditega. Hoiatuseks märgime, et juhul, kui teine masin võimaldab vaid SSHga sisselogimist ja te olete oma authorized_keys faili seal moodustanud ning te eksite, nt. ei mäleta oma salajase võtme parooli, siis peate kuidagi eemaldama authorized_keys faili; või vähemalt sellele masinale vastava sissekande, kust te SSH serverit ebaõnnestunult külastada püüate. Loodetavasti on seda võimalik FTPga teha. Kui ei, peate paluma SSH serveri administraatorit.

==== Võtmete mälus hoidmine ====

Eelmises punktis nägime, kuidas korraldada kasutaja (enda) autentimist. Seejuures võib tunduda ebamugavana vajadus iga kord oma salajase võtme parooli sisestada. Tõsi, tehniliselt võite võtmete moodustamisel ka parooli panemata jätta (vajutades Enterit), kuid see oleks turvaline seni, kuni teie salajane võti kindlalt ainult teie valduses on. Tõsi, reeglina see nii ka on. SSH pakub võimaluse salajasi võtmeid kliendi masina mälus hoida kuigi ka see pole väga turvaline, kuid enamasti piisav praktiliseks kasutamiseks.

Selleks käivitatakse võtmete mälus hoidmise agendi abil programm, millele (ja millest käivitatud uutele programmidele) saab teha kasutaja salajase võtme kättesaadavaks. Näiteks koorik

gnoom~$ ssh-agent bash

Eeldades, et te hoiate oma salajasi võtmeid failis ~/.ssh/indentity, saate nad mällu laadida korraldusega ssh-add

gnoom~$ ssh-add
Need passphrase for /home/priit/.ssh/identity (priit@gnoom.zoo.tartu.ee)
Enter passphrase:
Identity added: /home/priit/.ssh/identity (priit@gnoom.zoo.tartu.ee)

Nüüd saavad kõik uuest koorikust järgnevalt käivitatud programmid, näiteks ssh ja cvs, vajadusel kasutada mällu laaditud SSH RSA sajalasi võtmeid.

Mälus olevate salajaste võtmete vaatamiseks on korraldus

gnoom~$ ssh-add -l

Salajaste võtmete mälust eemaldamiseks on korraldus
bash~$ ssh-add -D

=== Korralduste täitmine teises masinas ===

SSH võimaldab lasta korraldusi täita teises masinas, kasutades järgmist süntaksit
ssh -l kasutaja2 teise.masina.nimi käsk käsu-võtmed

kasutaja2 on kasutajanimi teises masinas, kelle õigustes seal tegutsetakse.

Sõltuvalt korralduse iseloomust võib väljund esituda ekraanil. Korralduse täitmisele eelneb varemkirjeldatud autentimine.

Anname näiteks teises masinas korralduse 'hostname -f'

gnoom~$ ssh -l kasutaja2 reptilus.zoo.tartu.ee hostname -f
reptilus.zoo.tartu.ee
gnoom~$

või korralduse 'w'
gnoom~$ ssh kasutaja2@reptilus.zoo.tartu.ee w
12:10PM up 9 days, 21:18, 8 users, load averages: 0.02, 0.03, 0.00
USER TTY FROM LOGIN@ IDLE WHAT
mart tty2 mammal 11:09AM 0:05 bash
gnoom~$

Paralleelselt on lubatud kasutada ka konstruktsiooni kasutajanimi@masina.nimi.

Mõned programmid, nagu näiteks mc eeldavad, et neile eraldatakse kauges masinas terminal, seda peab näitama võtmega -t
gnoom~$ ssh -t kasutaja2@reptilus.zoo.tartu.ee mc

=== Failide kopeerimine ===

SSH võimaldab masinate vahel käsuga scp faile kopeerida järgmise süntaksi kohaselt
scp võti kasutaja1@masin1.nimi:/kataloog1/failinimi1 kasutaja2@masin2.nimi:./kataloog2/failinimi2

Mõlemad argumendid koosnevad kahest osast, mida eraldab koolon (:)
* masina nimi
* failinimi

Kui failinimi algab punktiga (.), siis näitab see faili asukohta vastava masina kasutaja kodukataloogi suhtes; muidu on tegu absoluutse nimega.

Esimeseks argumendiks on kopeeritava faili nimi ja teiseks nimi, millega ta teises masinas salvestatakse.

Programm scp näitab kopeerimise ajal progressi. Kasutades võtit -A seda ei tehta.

Korralduse täitmisele eelneb eelkirjeldatud autentimine, kusjuures kehtivad võimalused võtmeid mälus hoida. Näiteks kopeerib kasutaja priit faili priidupilt.jpg teisest masinast kohalikku
gnoom~$ scp priidu@reptilus.zoo.tartu.ee:./public_html/priidupilt.jpg priidupilt.jpg
priidupilt.jpg | 6600 KB | 179.7 kB/s | ETA: 00:03:00 | 83%

Võimalik on kopeerida faile ka nö teise ja kolmanda masina vahel, see tähendab, et ei see, kust fail võetakse ega see, kuhu ta pannakse, pole masin, mille viip teil ees on
gnoom~$ scp priidu@reptilus.zoo.tartu.ee:./pilt.jpg priidik@mammal.zoo.tartu.ee:./pildid/pingu.jpg

Failide kopeerimisel saab kasutada ka IOga manipuleerimist, näiteks kasutaja arhiveerib kataloogi ~/public_html sisu, pakib andmed ning saadab SSH abil üle võrgu teise masinasse; seal sisenetakse kodukataloogi ning harutatakse arhiiv lahti
gnoom~$ tar cf - ~/public_html | gzip | ssh reptilus.zoo.tartu.ee 'cd ~ && cat - > priidu.koduleht.tgz'

=== Oma RSA salajase võtme parooli muutmine ===

Oma salajase võtme parooli muutmiseks kasutage käsku ssh-keygen võtmega -p
gnoom~$ ssh-keygen -p
Enter file key is in (/home/priit/.ssh/identity):
Enter old passphrase:
Key has comment 'priit@gnoom.zoo.tartu.ee'
Enter new passphrase:
Enter the same passphrase again:
Your identification has been saved with the new passphrase.

Parooli muutmiseks on vaja vana parooli teada. Kui see on unustatud, tuleb genereerida uus RSA võtmepaar ning seda kasutama asuda.

=== Pordi edasisuunamine ===

Mitmetel põhjustel, näiteks turvalisus või kasutusmugavus võib olla abiks selle asemel, et pöörduda otse teenuse poole üle interneti aadress:port, pöörduda aadressile localhost:port.

Eemal asuva serveri pordi suunamine kohaliku masina localhost porti toimub käsuga

bash$ ssh priit@gnoom.zoo.tartu.ee -L 6565:localhost:5432

Selle tulemusena saab pöörduda localhost:6565 poole ning kasutada eemal asuva masina pordil localhost:5432 olevat teenust. Näiteks võiks sellest olla kasu kui gnoom.zoo.tartu.ee asub otse avalikus võrgus, aga seal töötav PostgreSQL andmebaas kuulab localhostil ning soovite andmebaasi kasutada kohalikus masinas töötava PgAdmin klientprogrammiga.

Kohaliku masin pordi 192.168.1.3:3306 suunamine eemal asuva arvuti gnoom.zoo.tartu.ee porti localhost:6565 toimub käsuga

bash$ ssh priit@gnoom.zoo.tartu.ee -R 6565:192.168.1.3:3306

Selle tulemusena saab eemal oleva masina kasutaja pöörduda enda arvuti localhost:6565 poole ning kasutaja teie kohaliku arvuti pordil 192.168.1.3:3306 töötavat teenust. Näiteks võiks sellest kasu olla kui teie töökohaarvutil ei ole avalikku ip aadressi ning te soovite kellelegi tutvustada mõnda oma arvutis töötavat programmi.

Uuemad SSH versioonid võimaldavad lisaks localhostile seostada nii suunatud porte ka muude võrguliidestega.

=== Xi rakenduste kasutamine üle võrgu ===

Teatavasti on Xi akende so programmide üle võrgu vedamine ebaturvaline, lisaks ka ebamugav, kuna peab paika sättima DISPLAY keskonnamuutujat või näitama selle ära käsureal, näiteks
gnoom~$ gimp -display reptilus.zoo.tartu.ee:0

Peale selle on vaja Xserveris ära näidata käsuga xhost, milline kasutaja ja millisest masinast võib seal aknaid avada.

SSH teeb asja turvalisemaks ja lihtsamaks. Näiteks käivitame teise masina programmi xterm nii, et programm avaneb kohalikus Xserveris aknana:
retpilus~$ ssh gnoom.zoo.tartu.ee /usr/X11R6/bin/xterm

Ning kui avanenud xterm'ist käivitada järgnevalt programme, toimub andmete liikumine samuti üle üle SSH kanali ning aknad avatakse selles Xserveris, kus see xtermi aken asub.

=== Kasulikud lisamaterjalid ===

* [[Fetchmail]]
* SSH üle PPP kanali
* [[PGP]]

Nimeserveri tööleseadmine

2007-06-11T10:35:28Z

Jim: Dubleerivad TTL-id kustutatud, SOA MNAME korrigeeritud

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. IN NS kalake.zoo.tartu.ee.
localhost. IN A 127.0.0.1

===Tsooni localhost. pöördteisenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. IN A 192.168.1.0
tiik.aed. IN A 192.168.1.1
kala.tiik.aed. IN A 192.168.1.1
kahv.tiik.aed. IN A 192.168.1.2
vesi.tiik.aed. IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID

Nimeserveri tööleseadmine

2007-06-11T10:30:25Z

Jim: dubleerivad TTL-id kirjetel kustutatud

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. IN NS kalake.zoo.tartu.ee.
localhost. IN A 127.0.0.1

===Tsooni localhost. pöördteisenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ 1D IN SOA kala.tiik.aed. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. 1D IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. 1D IN A 192.168.1.0
tiik.aed. 1D IN A 192.168.1.1
kala.tiik.aed. 1D IN A 192.168.1.1
kahv.tiik.aed. 1D IN A 192.168.1.2
vesi.tiik.aed. 1D IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID

Nimeserveri tööleseadmine

2007-06-11T10:28:59Z

Jim: vigane 'owner' NS-kirjes ja dubleerivad TTL-id kirjete juures kustutatud

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
localhost. 1D IN A 127.0.0.1

===Tsooni localhost. pöördteisenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ 1D IN SOA kala.tiik.aed. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. 1D IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. 1D IN A 192.168.1.0
tiik.aed. 1D IN A 192.168.1.1
kala.tiik.aed. 1D IN A 192.168.1.1
kahv.tiik.aed. 1D IN A 192.168.1.2
vesi.tiik.aed. 1D IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID

Firmware

2007-03-07T16:27:36Z

Jim:

Riistvara tootjad jagavad oma veebisaitidel uuemaid [http://en.wikipedia.org/wiki/BIOS ''BIOS''-i] ja [http://en.wikipedia.org/wiki/Firmware ''firmware''] versioone, nii emaplaatidele, kontrolleritele, kui mitmele muule arvutikomponendile. Tüüpiliselt käib ''firmware''-ga kaasas mingi DOS-i programm, mis oskab bitid-baidid ''flash''-mällu kõrvetada. Õnnetuseks ei ole aga kõigil arvuteil tänapäeval enam floppy-ketast, kust DOS-i startida saaks.

== Kuidas kõrvetada firmware CDROM-ilt ==

Vaja on kahte CDR (CDRW?) ketast.

# Tõmba alla FLASHCD kettakujutis, paki lahti ja kirjuta .iso esimesele kettale. [http://www.bootdisk.com/mexico/flashcd.zip]
# Tõmba alla oma riistvara ''firmware'', paki lahti ja kirjuta teisele kettale.
# Arvuti tuleb startida esimeselt kettalt, oodata kannatlikult kuni ilmub prompt. Korraks tonksa "any key" kui küsitakse.
# Võta esimene ketas välja ja sisesta teine.
# Firmware uuendamiseks vajalikud asjad on nähtavad R-kettal:
A:\> '''r:''' <enter>
R:\> '''dir''' <enter>
...

== Lingid ==

* http://www.bootdisk.com/
* [http://www.cdburnerxp.se/ CDBurnerXP Pro]

Toored palad

2007-03-07T16:20:06Z

Jim:

valmis palad

* [[:ldap klient ja server]]
* [[:FreeBSD jail]]
* [[:rrdool]] snmp ja süsteemse info alusel graafikute joonistamine
* [[:FreeBSD wifi ap]]
* [[:NetBSD wifi ap]]
* [[:Linux ATM]]
* [[:net-snmp]]
* [[:apache suexec php freebsd]]
* [[:sqlitel]]
* [[:apache ssl]]
* [[:pppoe freebsd]]
* [[:crontab]]
* [[:talk]]
* [[:Packet Filter]]
* [[:32bit PNG veebis]]

poolvalmis palad

* [[:Pisikesed asjad]]
* [[:NFS-Root arvuti tekitamine]]
* [[:iSCSI kasutamine]]
* [[:Virtualiseerimine tarkvaraga Xen]]
* [[:Oracle RAC]]
* [[:Nginx]]
* [[:Arvuti kasutamine]]
* [[:Apache mongrel rails]]
* [[:Haldustarkvara]]
* [[:Nagios]] FreeBSD
* [[:Load balancing ja failover]]
* [[:PgAdmin]]
* [[:Bookmark Sync and Sort - Firefoxi bookmarkide sünkroniseerimine]]
* [[:rsync backup]]
* [[:vinum gvinum ja geom]]
* [[:freebsd traffic shaping]] ipfw ja dummynet'ist pf ja altq'ni
* [[:subversion]]
* [[:jakarta-tomcat]] FreeBSD
* [[:isc-dhcpd server]]
* [[:pptpvpn]] mpd ja poptop sissehelistamisvpn serverid
* [[:postfix & spam]] FreeBSD näitel
* [[:terminal server]] FreeBSD näitel
* [[:procmail vacation]] migreerida procmaili tekstile!
* [[:Integrit]]
* [[:Solarise GNU tarkvara arhiivi kasutamine]]
* [[:Stunnel]]
* [[:mysql server]] FreeBSD
* [[:Squid]]
* [[:mailman]] poolik!
* [[:SysRq]]
* [[:Tarkvaraline RAID - mdadm]]
* [[:LVM]]
* [[:Linux 2 Solaris howto]]

* [[:jj sodinurk testimiseks ja kiireteks ideedeks]]

* [[:WRT-ruuteri häkkimine]]
* [[:Puppy Linux]]
* [[:Firmware]]

Firmware

2007-03-07T16:08:21Z

Jim: New page: Tootjad jagavad tavaliselt oma veebisaitidel lahkelt uuemaid ''BIOS''-i ja ''firmware'' versioone, nii emaplaatidele, kontrolleritele, kui mitmele muule arvutikomponendile. Tüüpiliselt k...

Tootjad jagavad tavaliselt oma veebisaitidel lahkelt uuemaid ''BIOS''-i ja ''firmware'' versioone, nii emaplaatidele, kontrolleritele, kui mitmele muule arvutikomponendile. Tüüpiliselt käib ''firmware''-ga kaasas mingi DOS-i programm, mis oskab bitid-baidid ''flash''-mällu kõrvetada. Õnnetuseks ei ole aga kõigil arvuteil tänapäeval enam floppy-ketast, kust DOS-i startida saaks.

== Kuidas kõrvetada firmware CDROM-ilt ==

Vaja on kahte CDR (CDRW?) ketast.

# Tõmba alla FLASHCD kettakujutis, paki lahti ja kirjuta esimesele kettale. http://www.bootdisk.com/mexico/flashcd.zip
# Tõmba alla oma riistvara ''firmware'', paki lahti ja kirjuta teisele kettale.
# Arvuti tuleb startida esimeselt kettalt, oodata kannatlikult kuni ilmub prompt. Vahepeal vajuta korraks "any key" nimelist klahvi.
# Võtta esimene ketas välja ja sisestada teine.
# Firmware uuendamiseks vajalikud asjad on nähtavad R-kettal:
A:\> '''r:''' <enter>
R:\> '''dir''' <enter>
...

== Lingid ==

* http://www.bootdisk.com/
* [http://www.cdburnerxp.se/ CDBurnerXP Pro]

Arutelu:Kuutõrvaja

2007-02-27T14:08:06Z

Jim:

=== Mis tegemist vajab ===

Installime nw-sse php5-e. Joel. 20070300

Mediawiki upgrade. Eesti nahk. Enok / Joel. 20070300,1

Avaleht ära kõpitseda. Enok.

Kuutõrvaja lehtede kirjutamise reeglid on puudu - konventsioonid, markup, ...
Joel / Imre. 20070306

Kuutõrvaja kaastöö tegemise juhend. Enok. 20070306

Uus / vana logo? Anne / Laas.

Vana veeb tõsta teise URLi peale.

Avalikustamine. 20070308

Kes hakkab QT toimetajaks / korrektoriks? webmaster@eenet.ee

==== Tekstid mis kohendamist vajavad ====

DNS sõnastik korda teha. Enok.

Tigu lahkamas üles riputada.

Poolvalmis palad jagada teemade alla ära ja igaühele märge juurde, et on poolik. Imre / Joel. 2008

20070227 Jim

Arutelu:Kuutõrvaja

2007-02-27T14:03:29Z

Jim:

=== Mis tegemist vajab ===

Installime nw-sse php5-e. Joel. 20070300

Mediawiki upgrade. Eesti nahk. Enok / Joel. 20070300,1

Avaleht ära kõpitseda. Enok.

Kuutõrvaja lehtede kirjutamise reeglid on puudu - konventsioonid, markup, ...
Joel / Imre. 20070306

Kuutõrvaja kaastöö tegemise juhend. Enok. 20070306

Uus / vana logo? Anne / Laas.

Vana veeb tõsta teise URLi peale.

Avalikustamine. 20070308

Kes hakkab QT toimetajaks / korrektoriks?

==== Tekstid mis kohendamist vajavad ====

DNS sõnastik korda teha. Enok.

Tigu lahkamas üles riputada.

Poolvalmis palad jagada teemade alla ära ja igaühele märge juurde, et on poolik. Imre / Joel. 2008

20070227 Jim

How-To palad

2007-02-27T13:48:51Z

Jim: How-To palad moved to Toored palad: Pealkiri oli eksitav

#REDIRECT [[Toored palad]]

Toored palad

2007-02-27T13:48:51Z

Jim: How-To palad moved to Toored palad: Pealkiri oli eksitav

valmis palad

* [[:ldap klient ja server]]
* [[:FreeBSD jail]]
* [[:rrdool]] snmp ja süsteemse info alusel graafikute joonistamine
* [[:FreeBSD wifi ap]]
* [[:NetBSD wifi ap]]
* [[:Linux ATM]]
* [[:net-snmp]]
* [[:apache suexec php freebsd]]
* [[:sqlitel]]
* [[:apache ssl]]
* [[:pppoe freebsd]]
* [[:crontab]]
* [[:talk]]
* [[:Packet Filter]]

poolvalmis palad

* [[:Pisikesed asjad]]
* [[:NFS-Root arvuti tekitamine]]
* [[:iSCSI kasutamine]]
* [[:Virtualiseerimine tarkvaraga Xen]]
* [[:Oracle RAC]]
* [[:Arvuti kasutamine]]
* [[:Apache mongrel rails]]
* [[:Nagios]] FreeBSD
* [[:Load balancing ja failover]]
* [[:PgAdmin]]
* [[:Bookmark Sync and Sort - Firefoxi bookmarkide sünkroniseerimine]]
* [[:rsync backup]]
* [[:vinum gvinum ja geom]]
* [[:freebsd traffic shaping]] ipfw ja dummynet'ist pf ja altq'ni
* [[:subversion]]
* [[:jakarta-tomcat]] FreeBSD
* [[:isc-dhcpd server]]
* [[:pptpvpn]] mpd ja poptop sissehelistamisvpn serverid
* [[:postfix & spam]] FreeBSD näitel
* [[:terminal server]] FreeBSD näitel
* [[:procmail vacation]] migreerida procmaili tekstile!
* [[:Integrit]]
* [[:Solarise GNU tarkvara arhiivi kasutamine]]
* [[:Stunnel]]
* [[:mysql server]] FreeBSD
* [[:Squid]]
* [[:mailman]] poolik!
* [[:SysRq]]
* [[:Tarkvaraline RAID - mdadm]]
* [[:LVM]]
* [[:Linux 2 Solaris howto]]

* [[:jj sodinurk testimiseks ja kiireteks ideedeks]]

* [[:WRT-ruuteri häkkimine]]
* [[:Puppy Linux]]

Main Page

2007-01-31T09:15:35Z

Jim: Main Page moved to Kuutõrvaja: Maakeelne nimi QT avalehele

#REDIRECT [[Kuutõrvaja]]