OpenBSD seadistamine

Sissejuhatus

Omajagu olulisi operatsioonisüsteemi seadistusi puudutavaid valikud tehakse ära operatsioonisüsteemi paigaldamise käigus, nt mis puudutavad kõvakettakasutust. Samuti antakse arvutile nimi, ip aadress, õeldakse, kas bootimise järgselt sshd server käivitada. Kõvakettaseadistuse osas tehtud valikut on töötava süsteemi tingimustes suhteliselt raske muuta, samas ip aadressi või seda kas sshd server bootimisel käivitatakse, on suhteliselt lihtne muuta.

Käesolevas palas selgitatakse, kuidas kõige sagedamini muutmist vajavaid arvuti tööd mõjutavaid parameetreid kontrollida.

Võrguseadmete seadistamine

Reeglina ei ole kombeks OpenBSD kasutamisel operatsioonisüsteemi tuuma ümber kompileerida eesmärgiga lülitada sisse vajalike võrgukaardi mudelite tuge - OpenBSD poolt toetatud seadmete tugi on olemas ning riistvara tuntakse automaatselt ära või siis parasjagu kasutada olevate seadmete tugi puudub ja tõenäoliselt on sel juhul lihtsam leida riistvara, mis on toetatud.

Võrguseadmed esinevad tootjale iseloomulike nimedega, täpsemat infot saab vastavast võrguseadme draiveri manuaalist, nt 'man em'

• em - Inteli Gbit kaardid
• bge - Broadcomi Gbit kaardid
• fxp - Inteli 100 Mbit kaardid
• xl - 3Com 100 Mbit kaardid

Võrguseadme seadistamiseks tuleb öelda

# ifconfig em0 172.16.1.17 netmask 255.255.255.252

Soovides, et bootimise järgselt omandaks seade samad väärtused, tuleb tekitada fail /etc/hostname.em0 sisuga

inet 172.16.1.17 255.255.255.252 NONE

Võrguseadmele aadresside lisamiseks tuleb öelda

# ifconfig em0 inet alias 172.16.1.18 netmask 255.255.255.255

Soovides, et bootimise järgselt oleks alias olemas tuleb lisada /etc/hostname.em0 faili rida

inet alias 172.16.1.18 255.255.255.255

Aliase eemaldamiseks tuleb öelda

# ifconfig em0 inet delete 172.16.1.18 netmask 255.255.255.255

Liikluse ruutimine

Selleks, et OpenBSD hakkas liiklust ruutima tuleb tulemüüri võrguseadmed sobivalt seadistada, ühendada kaablid teiste arvutitega ning öelda

# sysctl -w net.inet.ip.forwarding=1

Selleks, et bootimse järgselt omandaks see tuuma parameeter sama väärtused, tuleb redigeerida faili /etc/sysctl.conf.

Tavaliselt on lisaks võrguseadmete seadistamisele vajalik öelda ka vaikelüüsi aadress

# route add default 172.16.1.18

Selleks, et bootimise järgselt seadistataks see vaikelüüsi aadress, tuleb kirjutada faili /etc/mygate

172.16.1.18

IPv4 ruutingutabelit näeb öeldes

# route -n show -inet

Kontrollimaks, et ruutimine iseenesest toimib tasub vajadusel paketifilter välja lülitada käsuga 'pfctl -d' ning nt pingimise abil veenduda, et liiklus tulimüüri läbib.

Võrgule ruutingu lisamiseks tuleb öelda

# route add 192.168.15.0/24 192.168.1.3
add net 192.168.15.0/24: gateway 192.168.1.3

Selleks, et staatiline ruuting kehtestuks bootimise käigus, tuleb lisada vastava võrguseadme /etc/interface.if-name faili juurde rida

 !route add 192.168.15.0/24 192.168.1.3

ning selle ruutingu eemaldamiseks

# route delete 192.168.15.0/24
delete net 192.168.15.0/24

Alglaadimise järgselt automaatselt käivitatavad programmid

Failide /etc/rc.conf ning /etc/rc.conf.local sisu määrab, millised programmid käivitatakse peale OpenBSD alglaadimist. /etc/rc.conf faili tuleks käsitleda template'ina ja muudatusi teha vaid failis /etc/rc.conf.local. Näiteks selleks, et nimeserver automaatselt käivitus peab sisaldub /etc/rc.conf.local failis rida

named_flags=""

kusjuures, vaikimisi st /etc/rc.conf failis on vastav rida

named_flags="NO"

Lisaks programmide käivitamisele saab /etc/rc.conf.local faili abil lülitada automaatselt sisse PF paketifiltri reaga

pf="YES"

Tuuma parameetrite vaikeväärtuste muutmiseks tuleb redigeerida faili /etc/sysctl.conf, näiteks võrguliikluse ruutimiseks peab seal sisalduma rida

net.inet.ip.forwarding=1

Paketihalduse vahenditega või nt niisama lähetetekstist lisatud programmide käivitamist tuleks teha failist /etc/rc.local, nt Squid puhul lisada sektsioon

   if [ -x /usr/local/sbin/squid ]; then
       echo -n ' squid';       /usr/local/sbin/squid
   fi

Kõvaketta seadistamine

Kõvaketta disklabeli sisu vaatamiseks tuleb öelda

# disklabel /dev/wd0c                                                                                                                      
# Inside MBR partition 3: type A6 start 63 size 39871377
# /dev/wd0c:
type: ESDI
disk: ESDI/IDE disk
label: IC35L020AVER07-0
flags:
bytes/sector: 512
sectors/track: 63
tracks/cylinder: 16
sectors/cylinder: 1008
cylinders: 16383
total sectors: 39876480
rpm: 3600
interleave: 1
trackskew: 0
cylinderskew: 0
headswitch: 0           # microseconds
track-to-track seek: 0  # microseconds
drivedata: 0 

16 partitions:
#             size        offset  fstype [fsize bsize  cpg]
 a:      30000000            63  4.2BSD   2048 16384  328 # Cyl     0*- 29761*
 b:       2687361      30000063    swap                   # Cyl 29761*- 32427 
 c:      39876480             0  unused      0     0      # Cyl     0 - 39559

Kasutaja keskkonna seadistamine

Selleks, et hakkaks kogunema shelli history tuleb lisada faili ~/.profile read

export HISTSIZE=1024
export HISTFILE=~/.ksh_history

VLAN seadmete kasutamine

VLAN (Virtual Local Area Network) tehnika võimaldab ühel füüsilisel infrastruktuuril moodustada mitmeid loogilisi etherneti segmente pakkudes selliseid võimalusi

• lokaliseerida liiklust (on vaieldav kas tegu on ranges mõttes turvalisuse lahendusega, nt VLAN Hopping)
• lahendada topoloogilisi küsimusi ISO level 2 kihis, st kiht allpool ruuterid

VLANilises andmevahetuses osalevatel ethernet frame'idel on lisaks juures spetsiaalne 'tag', mis sisaldab andmeid selle kohta, millisesse VLANi frame kuulub. Nende tag'ide abil saavad võrgus osalevad seadmed kontrollida kõnealuse frame'i liikumist. Kasutaja jaoks esinevad VLAN tagid positiivsete täisarvude kujul, mida nimetatakse VLAN ID'deks.

Tavaliselt kõneldaks VLAN võimest seoses switchidega, kahes tähenduses

• mode access - füüsilise switchi igale pordile on öeldud, millisesse VLANi ta kuulub ning ühendades selliselt seadistatud switchi portidesse arvutid nö näevad üksteist ethernetis ainult samasse VLANi kuuluvad arvutid. Tavaliselt kasutatakse erinevates VLANides töötavatel seadmetel erinevaid ip subnet aadresse ja kui sellise asjakorralduse puhul ka seadistada ühe VLANi arvutile aadress teise VLANi ip subnetist, siis ikkaga ühendust teine VLANi arvutitega ei teki kuna ethernet frame'ide tasemel (ISO level 2) on selline liiklus blokeeritud. Sellisel juhul omistab switch peale etherneti frame'i porti sisenemist talle VLAN tagi ning peale pordist väljumist VLAN tag eemaldatakse. Selliselt seadistatud switchi porte kasutavad arvutid iseenesest ei tea midagi VLANidest.
• mode trunk - selleks, et mode access režiimis saaks kasutada sama VLANi nii, et see ulatub üle mitme switchi peab olema VLAN tagidega frame'idel võimalus liikuda switchide vahel nii, et need tagid säilivad. Kui näiteks ühte VLANi peab kuuluma porte ühe ja teise switchi küljest, siis piisab need kaks switchi ühendada omavahel kokku tavalise võrgukaabliga ning seadista vastavad pordid mode trunk'is, mis tähendab, et selliste portide läbimisel ethernet frame'idelt VLAN tag'e ei eemaldata. Seadistades switchi pordi mode trunk režiimi tuleb öelda, milliste VLAN ID'dega ethernet frame'id pordist läbi saavad.

Cisco switch

Cisco switchi puhul toimub mode access seadistamine näiteks selliselt

 conf t
 interface GigabitEthernet0/9
 no shutdown
 switchport access vlan 5
 switchport mode access
 ^z
 write

Kui mõni muu port veel selliselt seadistada ja neisse portidesse ühendada arvutid ning seadistada neile sama ip subneti aadressid, siis nad saavad omavahel võrgus suhelda.

Cisco switchi puhul toimub mode trunk seadistamine näiteks selliselt

 conf t
 interface GigabitEthernet0/10
 no shutdown
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 5,6,7
 switchport mode trunk
 ^z
 write

Kui teise switchi mõni port seadistada sarnaselt ja nad ühendada mööda kõnealuseid porte kaabliga, ning seadistada kummagi switchi muid porte mode access režiimis VLAN ID väärtusega 5, siis saavad neisse portidesse ühendatud arvuti kõik omavahel suhelda. Seejuures peab arvestama, et kahe switchi vahel on andmevahetuse kiirus piiratud trunk režiimis oleva ühenduse kiirusega.

OpenBSD kasutamine mode trunk režiimis

Lisaks sellele, et OpenBSD töötab tavalise mode access režiimis seadistatud switch pordi külge ühendatud arvutina saab OpenBSD seadistada käima ka selliselt, et ta VLANi tag'idega tegelemise mõttes nagu switch. St OpenBSD ise kontrollib andmevahetust VLAN tagide alusel sh moodustab neid tag'e. Selline asjakorraldus võimaldab lülitada arvuti samaaegselt erinevatesse VLANidesse kuigi tal on vaid üks füüsiline võrgukaart.

Selleks tuleb esmalt moodustada vlan seade seostades ta sobiva füüsilise seadmega, nt em3

 ifconfig vlan5 vlan 5 vlandev em3

ning seejärel omistada loogilisele seadme võrk, näiteks

 ifconfig vlan5 inet 192.168.5.1 netmask 255.255.255.0

Kusjuures neid käske võib korrata seostades ühe füüsilise seadmega mitu erinevat VLANi, nt

 # ifconfig -A
 ..
 xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       lladdr 00:60:97:2a:4b:4c
       media: Ethernet 10baseT (10baseT half-duplex)
       status: active
       inet6 fe80::260:97ff:fe2a:4b4c%xl0 prefixlen 64 scopeid 0x3
 ..
 vlan5: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
         lladdr 00:60:97:2a:4b:4c
         vlan: 5 priority: 0 parent interface: xl0
         groups: vlan
         inet6 fe80::260:97ff:fe2a:4b4c%vlan5 prefixlen 64 scopeid 0xb
 vlan6: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
         lladdr 00:60:97:2a:4b:4c
         vlan: 6 priority: 0 parent interface: xl0
         groups: vlan
         inet6 fe80::260:97ff:fe2a:4b4c%vlan6 prefixlen 64 scopeid 0xc
 vlan7: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
         lladdr 00:60:97:2a:4b:4c
         vlan: 7 priority: 0 parent interface: xl0
         groups: vlan
         inet6 fe80::260:97ff:fe2a:4b4c%vlan7 prefixlen 64 scopeid 0xd