Erinevus lehekülje "OpenBSD seadistamine" redaktsioonide vahel

Sissejuhatus

Omajagu olulisi operatsioonisüsteemi seadistusi puudutavaid valikud tehakse ära operatsioonisüsteemi paigaldamise käigus, nt mis puudutavad kõvakettakasutust. Samuti antakse arvutile nimi, ip aadress, õeldakse, kas bootimise järgselt sshd server käivitada. Kõvakettaseadistuse osas tehtud valikut on töötava süsteemi tingimustes suhteliselt raske muuta, samas ip aadressi või seda kas sshd server bootimisel käivitatakse, on suhteliselt lihtne muuta.

Käesolevas palas selgitatakse, kuidas kõige sagedamini muutmist vajavaid arvuti tööd mõjutavaid parameetreid kontrollida.

Võrguseadmete seadistamine

Reeglina ei ole kombeks OpenBSD kasutamisel operatsioonisüsteemi tuuma ümber kompileerida eesmärgiga lülitada sisse vajalike võrgukaardi mudelite tuge - OpenBSD poolt toetatud seadmete tugi on olemas ning riistvara tuntakse automaatselt ära või siis parasjagu kasutada olevate seadmete tugi puudub ja tõenäoliselt on sel juhul lihtsam leida riistvara, mis on toetatud.

Võrguseadmed esinevad tootjale iseloomulike nimedega, täpsemat infot saab vastavast võrguseadme draiveri manuaalist, nt 'man em'

• em - Inteli Gbit kaardid
• bge - Broadcomi Gbit kaardid
• fxp - Inteli 100 Mbit kaardid
• xl - 3Com 100 Mbit kaardid

Võrguseadme seadistamiseks tuleb öelda

# ifconfig em0 172.16.1.17 netmask 255.255.255.252

Soovides, et bootimise järgselt omandaks seade samad väärtused, tuleb tekitada fail /etc/hostname.em0 sisuga

inet 172.16.1.17 255.255.255.252 NONE

Võrguseadmele aadresside lisamiseks tuleb öelda

# ifconfig em0 inet alias 172.16.1.18 netmask 255.255.255.255

Soovides, et bootimise järgselt oleks alias olemas tuleb lisada /etc/hostname.em0 faili rida

inet alias 172.16.1.18 255.255.255.255

Aliase eemaldamiseks tuleb öelda

# ifconfig em0 inet delete 172.16.1.18 netmask 255.255.255.255

Liikluse ruutimine

Selleks, et OpenBSD hakkas liiklust ruutima tuleb tulemüüri võrguseadmed sobivalt seadistada, ühendada kaablid teiste arvutitega ning öelda

# sysctl -w net.inet.ip.forwarding=1

Selleks, et bootimse järgselt omandaks see tuuma parameeter sama väärtused, tuleb redigeerida faili /etc/sysctl.conf.

Tavaliselt on lisaks võrguseadmete seadistamisele vajalik öelda ka vaikelüüsi aadress

# route add default 172.16.1.18

Selleks, et bootimise järgselt seadistataks see vaikelüüsi aadress, tuleb kirjutada faili /etc/mygate

172.16.1.18

IPv4 ruutingutabelit näeb öeldes

# route -n show -inet

Kontrollimaks, et ruutimine iseenesest toimib tasub vajadusel paketifilter välja lülitada käsuga 'pfctl -d' ning nt pingimise abil veenduda, et liiklus tulimüüri läbib.

Võrgule ruutingu lisamiseks tuleb öelda

# route add 192.168.15.0/24 192.168.1.3
add net 192.168.15.0/24: gateway 192.168.1.3

Selleks, et staatiline ruuting kehtestuks bootimise käigus, tuleb lisada vastava võrguseadme /etc/interface.if-name faili juurde rida

 !route add 192.168.15.0/24 192.168.1.3

ning selle ruutingu eemaldamiseks

# route delete 192.168.15.0/24
delete net 192.168.15.0/24

Alglaadimise järgselt automaatselt käivitatavad programmid

Failide /etc/rc.conf ning /etc/rc.conf.local sisu määrab, millised programmid käivitatakse peale OpenBSD alglaadimist. /etc/rc.conf faili tuleks käsitleda template'ina ja muudatusi teha vaid failis /etc/rc.conf.local. Näiteks selleks, et nimeserver automaatselt käivitus peab sisaldub /etc/rc.conf.local failis rida

named_flags=""

kusjuures, vaikimisi st /etc/rc.conf failis on vastav rida

named_flags="NO"

Lisaks programmide käivitamisele saab /etc/rc.conf.local faili abil lülitada automaatselt sisse PF paketifiltri reaga

pf="YES"

Tuuma parameetrite vaikeväärtuste muutmiseks tuleb redigeerida faili /etc/sysctl.conf, näiteks võrguliikluse ruutimiseks peab seal sisalduma rida

net.inet.ip.forwarding=1

Paketihalduse vahenditega või nt niisama lähetetekstist lisatud programmide käivitamist tuleks teha failist /etc/rc.local, nt Squid puhul lisada sektsioon

   if [ -x /usr/local/sbin/squid ]; then
       echo -n ' squid';       /usr/local/sbin/squid
   fi

Kõvaketta seadistamine

Kõvaketta disklabeli sisu vaatamiseks tuleb öelda

# disklabel /dev/wd0c                                                                                                                      
# Inside MBR partition 3: type A6 start 63 size 39871377
# /dev/wd0c:
type: ESDI
disk: ESDI/IDE disk
label: IC35L020AVER07-0
flags:
bytes/sector: 512
sectors/track: 63
tracks/cylinder: 16
sectors/cylinder: 1008
cylinders: 16383
total sectors: 39876480
rpm: 3600
interleave: 1
trackskew: 0
cylinderskew: 0
headswitch: 0           # microseconds
track-to-track seek: 0  # microseconds
drivedata: 0 

16 partitions:
#             size        offset  fstype [fsize bsize  cpg]
 a:      30000000            63  4.2BSD   2048 16384  328 # Cyl     0*- 29761*
 b:       2687361      30000063    swap                   # Cyl 29761*- 32427 
 c:      39876480             0  unused      0     0      # Cyl     0 - 39559

Kasutaja keskkonna seadistamine

Selleks, et hakkaks kogunema shelli history tuleb lisada faili ~/.profile read

export HISTSIZE=1024
export HISTFILE=~/.ksh_history

VLAN seadmete kasutamine

VLAN (Virtual Local Area Network) tehnika võimaldab ühel füüsilisel infrastruktuuril moodustada mitmeid loogilisi etherneti segmente pakkudes selliseid võimalusi

• lokaliseerida liiklust (on vaieldav kas tegu on ranges mõttes turvalisuse lahendusega, nt VLAN Hopping)
• lahendada topoloogilisi küsimusi ISO level 2 kihis, st kiht allpool ruuterid

VLANilises andmevahetuses osalevatel ethernet frame'idel on lisaks juures spetsiaalne 'tag', mis sisaldab andmeid selle kohta, millisesse VLANi frame kuulub. Nende tag'ide abil kontrollivad võrgus osalevad seadmed kõnealuse frame'i liikumist.

Tavaliselt kõneldaks VLAN võimest seoses switchidega, kahes tähenduses

• mode access - ühe füüsilise switchi igale pordile on öeldud, millisesse VLANi ta kuulub ning ühendades selliselt seadistatud switchi portidesse arvutid nö näevad üksteist ethernetis ainult samasse VLANi kuuluvad arvutid. Tavaliselt kasutatakse erinevates VLANides töötavatel seadmetel erinevaid ip aadresse ja kui isegi sellise asjakorralduse puhul seadistada ühe VLANi arvutil teise VLANi ip aadress, siis ikkaga ühendust pole kuna ethernet frame'ide tasemel (ISO level 2) on ühendused blokeeritud. Sellisel juhul omistab switch peale etherneti frame'i porti sisenemist talle VLAN tagi ning peale pordist väljumist VLAN tag eemaldatakse.
• mode trunk - selleks, et mode access režiimis saaks kasutada sama VLANi nii, et see ulatub üle mitme switchi peab olema VLAN tagidega frame'idel võimalus liikuda switchide vahel. Kui näiteks ühte VLANi peab kuuluma porte ühe ja teise switchi küljest, siis piisab need kaks switchi ühendada omavahel kokku tavalise võrgukaabliga ning seadista vastavad pordid mode trunk'is, mis tähendab, et selliste portide läbimisel ethernet frame'idelt VLAN tag'e ei eemaldata.

OpenBSD võrgu saab seadistada käima nii, et OpenBSD lisab ise väljuvatele andmetele vlan tag'id. Selleks tuleb esmalt moodustada vlan seade seostades ta sobiva füüsilise seadmega

 ifconfig vlan5 vlan 5 vlandev em3

ning seejärel omistada loogilisele seadme võrk, näiteks

 ifconfig vlan5 inet 192.168.5.1 netmask 255.255.255.0

Lisaks peab olema võrguseade ühendatud sarnaselt seadistatud teise võrguseadmega, nt Cisco switchi puhul peab olema vastav port olema nn 'mode trunk' režiimis

 conf t
 interface GigabitEthernet0/10
 no shutdown
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 5,6,7
 switchport mode trunk
 ^z
 write