jónás zsolt - linux alapú weboldal létrehozása (2006, 57 oldal)
TRANSCRIPT
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
1/57
Tartalomjegyzk
1. Bevezet..................................................................................................................................3
1.1. Megvalstand feladat...................................................................................................3
2. Feladat rszletes ismertetse...................................................................................................5
3. Felhasznlt komponensek.......................................................................................................7
3.1. Opercis rendszer..........................................................................................................7
3.1.1. Debian GNU/Linux.................................................................................................7
3.2. Fejleszti krnyezet.........................................................................................................7
3.2.1. VIM..........................................................................................................................8
3.3. Programozsi nyelvek.....................................................................................................8
3.3.1. Perl...........................................................................................................................8
3.3.2. HTML......................................................................................................................93.3.3. CSS........................................................................................................................10
3.4. Szerver programok........................................................................................................10
3.4.1. Apache...................................................................................................................10
3.4.2. BIND9....................................................................................................................10
3.4.3. DHCP3...................................................................................................................11
3.4.4. Samba.....................................................................................................................11
3.5. Adatbzis programok.....................................................................................................12
3.5.1. MySQL..................................................................................................................12
3.5.2. OpenLDAP............................................................................................................13
3.6. Levelezshez hasznlt programok.................................................................................13
3.6.1. Postfix....................................................................................................................14
3.6.2. AMaViSd-new.......................................................................................................14
3.6.3. ClamAV.................................................................................................................14
3.6.4. SpamAssassin........................................................................................................15
3.6.5. Courier Mail Server...............................................................................................153.6.6. SquirrelMail...........................................................................................................16
3.7. Egyb.............................................................................................................................16
3.7.1. OpenSSH...............................................................................................................16
3.7.2. NetFilter / IPTables................................................................................................16
3.7.3. Shaperd..................................................................................................................17
4. Megvalsts ismertetse......................................................................................................18
4.1. Hardver..........................................................................................................................184.1.1. Szerver-gpek........................................................................................................18
4.1.2. Aktv eszkzk......................................................................................................19
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
2/57
4.1.3. IP-cm tartomnyokrl...........................................................................................19
4.1.4. Kialaktott hlzati topolgia................................................................................20
4.2. Szoftver belltsok szerver oldalon..............................................................................23
4.2.1. Jelsz nlkli felhasznl-azonosts kulcsok segtsgvel SSH esetn...............23
4.2.2. DHCP-kiszolgl...................................................................................................244.2.3. BIND9....................................................................................................................25
4.2.4. Apache...................................................................................................................26
4.2.5. Samba....................................................................................................................26
4.2.6. LDAP ltrehozsa s a hozz kapcsold programok belltsa...........................29
4.2.7. MySQL..................................................................................................................32
4.2.8. Postfix....................................................................................................................33
4.2.9. AMaViSd-new.......................................................................................................35
4.2.10. ClamAV...............................................................................................................37
4.2.11. SpamAssassin......................................................................................................38
4.2.12. Courier Mail Server.............................................................................................39
4.2.13. SquirrelMail.........................................................................................................39
4.2.14. Shaperd................................................................................................................40
4.3. Szoftver belltsok kliens oldalon................................................................................41
4.3.1. Windows XP..........................................................................................................41
4.3.2. Debian GNU/Linux...............................................................................................424.4. Honlap hasznlata, mkdsi folyamatai......................................................................44
4.4.1. Szobai Internet-elrs ignyls..............................................................................44
4.4.2. Kabinetes Internet-elrs ignyls.........................................................................45
4.4.3. Nyomtats a HK-s nyomtatval........................................................................46
4.5. Perl szkriptek.................................................................................................................46
5. Tervezi dntsek sszefoglalsa..........................................................................................53
5.1. Kivitelezs elemzse, lehetsges alternatv megoldsok bemutatsa............................53
5.1.1. Exim, Postfix, Qmail vagy Sendmail?...................................................................53
5.1.2. Perl vagy PHP?......................................................................................................54
5.1.3. Mi az SNMP?........................................................................................................54
5.1.4. MySQL vagy PostgreSQL?....................................................................................55
5.2. Vgkvetkeztets...........................................................................................................56
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
3/57
1. Bevezet 3
1. Bevezet
1972-ben a Xerox Corporation1 gy dnttt, hogy egy olyan szmtgpet llt el, amelyet
kutatsi clokra lehet majd felhasznlni. A tervezs s munka eredmnyeknt megszletett az
Alto nvre hallgat szmtgp, amely a nevt a Xerox Palo Alto Research Center2-rl kapta,
ahol is kifejlesztsre kerlt. Az Alto Ed McCreight, Chuck Thacker, Butler Lampson, Bob
Sproull, s Dave Boggs sszefogsnak eredmnyeknt szletett meg. Az elkpzels az volt,
hogy egy olyan gpet kell alkotni amely knyelmesen elfr egy irodban, de mgis elegenden
ers ahhoz, hogy sok funkcis opercis rendszert s grafikus felletet tudjon futtatni.
1978-ban a Xerox tven Alto-t adomnyozott a Stanford Egyetemnek, a Carnegie-Mellon-nak,
s az MIT-nak (Massachusetts Institute of Technology). Ezek a gpek nagyon gyorsan
asszimilldtak a kutatsi kzssgben s nagyon hamar szabvnny vltak ebben akzegben. [1] A sors fintora, hogy br az Alto-nak kt genercijt is elksztettek a '70-es
vek sorn, s mg egy prototpus is teleptsre kerlt belle a Fehr Hzban, a Xerox
kereskedelmileg sosem hasznostotta a modern szemlyi szmtgpek s grafikus felletek
snek szmt csodlatos rendszert. [2]
Manapsg egy grafikus fellet nem jdonsg, desktop krnyezetben a gyors s hatkony
munkavgzs alapfelttele. 10-15 vvel ezeltt mg szokatlan volt, ha egy vllalat elindtottasajt honlapjt/portljt. Mra eljutottunk oda, hogy ha hatkonyan akar mkdni egy vllalat,
akkor rendelkeznie kell egy IT rszleggel, amely ltrehozza, zemelteti s fejleszti a vllalat
szmtgpes infrastruktrjt. St, pr vvel ezeltt elkezddtt a vllalatok webestse.
Manapsg alig tallni olyan vllalatot, amelynek ne lenne bels vllalati webes fellete.
1.1. Megvalstand feladat
A mai trendet szem eltt tartva, rendszergazdaknt egy olyan bels elrs weboldal
ltrehozsa volt a feladatom a Szent Lszl Katolikus Szakkollgiumban, amelyen keresztl a
kollgiumba bekltztt lakk internet-elrst ignyelhetnek. Csatlakoztatjk a
szmtgpket a szmtgpes hlzatra a falicsatlakozn keresztl, a weboldalon ignyelnek
maguknak IP-cmet, majd a krs feldolgozsa utn a kollgium tzfal szervere lehetv teszi
az internet elrst.
1. http://www.xerox.com2. http://www.parc.xerox.com
rrs: http://www.doksi.hu
http://www.xerox.com/http://www.parc.xerox.com/http://www.parc.xerox.com/http://www.xerox.com/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
4/57
1. Bevezet 4
Ezen fell meg kellett valstani egy nyomtat szervert is, amelyen keresztl a kollgium
laki tvolrl, a sajt szobjukbl nyomtathatnak. Termszetesen a rendszernek figyelnie kell
a nyomtatsokat: ki, mikor s mennyit nyomtat. Az eltrolt adatok alapjn minden hnap
vgn email-ben jelentst kell kldenie a nyomtatsrt felels szemlynek, hogy a nyomtatsidjak beszedhetek legyenek.
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
5/57
2. Feladat rszletes ismertetse 5
2. Feladat rszletes ismertetse
A Szent Lszl Katolikus Szakkollgiumban laktam mr egy ve, amely sorn flvkor
tvettem a rendszergazdai feladatok elltst, br akkor mg nem hivatalosan. Az v vgn
elismervn munkmat megbztak azzal, hogy lssam el a kvetkez v sorn a
rendszergazdai teendket, valamint tltsem be a frissen megalaptott Informatikai Tancs
elnki posztjt. Ennek keretn bell felkrtek a szakdolgozatomnak is vlasztott feladatra.
Adott volt egy teljesen res terem, amelyben ki
kellett alaktanom egy szmtgpes kabinetet,
amelyben a Szchenyi Istvn Egyetemtl kapott
10 szmtgpet kellett elhelyeznem rktve aszmtgpes hlzatra1, valamint ugyan ebben a
teremben (2.1.bra: Kabinet terem) kellett elrhetv
tennem a Hallgat nkormnyzat (HK)
nyomtatjt, hogy a bels hlzaton keresztl
brki nyomtathasson.
zembe kellett lltanom egy DHCP-kiszolglt, hogy az internet belltsa nagysgrendekkelegyszerbb legyen felhasznli oldalrl, valamint a rendszer esetleges talaktsa is
egyszeren, zkkenmentesen megtrtnhessen, gy hogy a felhasznlk maximum egy kis
internet-sznetet tapasztaljanak. A DHCP-rendszer ldsos hatst meg is tapasztalta a
kollgium, amikor bels IP-cmes hlzatrl tlltunk egy egyetemi IP-cm tartomnyra. A
vlts utn a felhasznlk szmtgpei mr az j IP-cm tartomnybl kaptak IP-cmet, gy a
felhasznlk semmilyen vltozst nem tapasztaltak, egy kis kellemetlensget2 leszmtva.
Egy DHCP-kiszolgl segtsgvel rendszeradminisztrtori oldalrl llthatjuk a kliensek
hlzati belltsait s ez magval hozza azt a tnyt, hogy a felhasznlknak nem kell tudniuk
az adott hlzatra vonatkoz IP- s DNS cmeket, netmask rtkeket, stb. Azonban van igny
arra, hogy mindezek ellenre tudjanak kapcsoldni egyms gpeihez, amihez tudni kellene a
msik felhasznl IP-cmt. E problma megoldsaknt ssze kellett lltanom egy
DNS-szervert, gy a felhasznlnak a csatlakozshoz csak a msik fl DNS-nevt kell
1. A szmtgpes kabinet kivitelezse nem kpezi rszt a szakdolgozatomnak, mert annak ltrehozsrl islehetne rni egy kln szakdolgozatot.
2. A tlls utn a DHCP msik IP-cmet kld a felhasznlnak, akinek a gpe tll az j IP-cmre, gy az sszesmegnyitott kapcsolata megszakad, de az j cmmel kezdemnyezett kapcsolatok mr ltrejnnek. Az tllssorn trtn megnyitott kapcsolatok megszakadsa elkerlhetetlen.
2.1. bra: Kabinet terem
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
6/57
2. Feladat rszletes ismertetse 6
tudnia. Minden felhasznl sajt maga adhatja meg a DNS-nevt, amikor internet-elrst
ignyel.
Ezen fell meg kellett alkotnom egy kzpontostott felhasznlazonostsi rendszert (LDAP),
amelyben az internet-hozzfrst (szobai vagy kabinetes) ignyelt felhasznlkat kell trolni
(MySQL). Ezen azonostsi adatbzis rvn megoldhat az, hogy brki nyomtathasson a
hlzaton keresztl (Samba-LDAP) a HK nyomtatjval gy, hogy nyomon kvethet
legyen a folyamat, s a hnap vgn beszedhet legyen a nyomtats ellenrtke.
A feladat megvalstsban teljesen szabad kezet kaptam, egyetlen megkts volt, miszerint
pnzt nem tudnak ldozni a feladat kivitelezsre a kollgium rszrl, csak az InformatikaiTancs keretben kltekezhettnk. Szerencsre, szoftveres oldalrl nem volt semmilyen
megkts, gy azokat a programokat hasznlhattam, amelyeket jl ismertem, vagy pp meg
akartam ismerni, mert a feladatra az a legalkalmasabb. A kvetkez fejezetben rszletesen
bemutatom a vlasztott programokat.
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
7/57
3. Felhasznlt komponensek 7
3. Felhasznlt komponensek
Tbb tnyez is befolysolt, amikor a felhasznlt komponenseket kivlasztottam. Kt
alapvet tnyez azonban jelentsen leszktette a felhasznlhat programok krt. Az els
ilyen tnyez volt a nylt forrskd programok hasznlata, a msik pedig a minl kisebb
hardver kvetelmny. Ennek tkrben rviden bemutatom a feladat megvalstshoz
felhasznlt sszetevket olyan sorrendben, ahogy a hasznlatuk egymsra pl.
3.1. Opercis rendszer
Mivel fontos tnyez volt a nylt forrskd programok hasznlata, ezrt vagy valamelyik
*BSD1 vagy GNU/Linux opercis rendszer kzl volt clszer vlasztani. Mivel nemismerem mlyebben a *BSD rendszereket, ezrt maradtak a GNU/Linux-ok.
3.1.1. Debian GNU/Linux
http://www.debian.org
Vlasztsom a Debian GNU/Linux opercis rendszerre esett. Kiforrott csomagkezel
rendszere miatt knnyedn telepthet s frissthetk a mr felteleptett programok.
Elsdlegesen szerver disztribcinak sznjk, de knnyen varzsolhat belle desktoprendszer is. A Debian ksztinek elsdleges szempontja a terjeszts sszelltsnl a
stabilits s hibamentessg. Ez rezhet is a 1,5-2 ves kiadsi peridusokbl. Szerverre
teleptett programoknl nem elsdleges szempont az j funkcik implementlsa, sokkal
fontosabb, hogy stabilan, megbzhatan mkdjn.
A ltrehozott rendszerben hrom Debian-t futtat szerver mkdik egytt, hogy a klnbz
szolgltatsokat a felhasznlk brmikor zavartalanul hasznlhassk.
3.2. Fejleszti krnyezet
Egy jl megvlasztott fejleszti krnyezet a megvalstand feladattl, mrettl fggen
akr napokkal, hnapokkal is lervidtheti a fejlesztsi idt.
1. FreeBSD, OpenBSD, NetBSD, stb.
rrs: http://www.doksi.hu
http://www.debian.org/http://www.debian.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
8/57
3. Felhasznlt komponensek 8
3.2.1. VIM1
http://www.vim.org
A sor-orientlt szvegszerkesztk fnykornak vghez jelentsen hozzjrult az els,
kperny-orientlt szvegszerkesztk program, ami nem volt ms, mint a vi (visual editor). A
Vim a vi szerkesztbl szletett, mint a neve is mutatja: Vi Improved. [3] [4]
Az eredeti unix-os szvegszerkeszt az ed volt, amely egy sor-orientlt szvegszerkeszt,
azaz hasznlatakor csak az aktulisan szerkesztett sor volt lthat. Bill Joy 1976 krnykn
kezdte el fejleszteni a vi programot. Ez volt az els kperny-orientlt szvegszerkeszt. A
tervezsekor szem eltt tartottk a lass hlzati kapcsolatokat, gy frgn dolgozhatunk vele
nagy fjlok esetn is akr egy modemes kapcsolatot hasznlva. [5]
Bram Moolenaar 1988-ban kezdte el fejleszteni a Vim programot, akkor mg Amign.
1991-ben jelent meg a Vim els vltozata. 1992-ben portoltk Unix al s elrte a vi szintjt,
ez volt az a pont, amikor a Vim tnylegesen Vi Improved lett (Vim 2.0). 1994
augusztusban jelent meg a Vim 3.0, amely mr tmogatta a tbbszrs bufferelst s az
ablakokat2. 1996 mjusban a Vim kiadsnak legnagyobb jdonsga a megjelent GUI volt,
amelyet Robert Webb fejlesztett. Syntax coloring/highlighting az 1998 februrjbanmegjelent Vim 5.0-ban jelent meg3. A Folding4 kpessg a legfigyelemremltbb lehetsg a
2000 jliusban megjelent Vim 6.0a-ban. [6]
3.3. Programozsi nyelvek
Honlap elksztshez elengedhetetlen, hogy ismerjk azokat a programozsi nyelveket,
amellyel weboldalt hozhatunk ltre, ezrt bemutatom a felhasznlt hrom nyelvet.
3.3.1. Perl
http://www.perl.org
A programnyelveknek fontos rszei a szkript nyelvek. Az egyre gyorsabb vl
szmtgpeken egyre jobb teljestmnnyel futnak a szkript nyelveken rt programok.
1. A fejleszts sorn egyik legsrbben alkalmazott eszkze volt szmomra s fontosnak tartom a bemutatst,mert sajnos mltatlanul kezelik ltalban az emberek. Igaz, hogy elriaszt lehet egy karakteresszvegszerkeszt, de a megtanulsba fektetett idt tbbszrsen meghllja.
2. Ne felejtsk el, hogy a Vim egy karakteres program, gy az ablak fogalma is karakteres kpernyn rtend.3. Nagy segtsg programozs s GNU/Linux vagy Unix rendszer konfigurlsa esetn.4. Jelentse: sszehajt, sszecsuk. Ezzel a kpessggel a megrt fggvnyeinket sszecsukhatjuk egy sorr. A
rendszer fejlesztsekor nagy segtsg volt szmomra.
rrs: http://www.doksi.hu
http://www.vim.org/http://www.perl.org/http://www.vim.org/http://www.perl.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
9/57
3. Felhasznlt komponensek 9
Manapsg nem csak a rendszergazdai feladatok automatizlsra hasznlatosak, hanem
hasznos, fontos feladatokat ellt programokat is rnak ltaluk. GNU/Linux opercis
rendszeren az egyik legnpszerbb kretlenlevl-szr programot Perl nyelvben rjk.
Valamint az Internet s Web programozs kapcsn is nagy npszersgre tett szert.
Mondhatjuk, hogy a CGI (Common Gateway Interface) programok dnt tbbsgt Perl
vagy PHP nyelven rjk. [7]
Larry Wall az Egyeslt llamok nyugati partjn egy cg rendszergazdjaknt dolgozott,
amikor ltrehozta a Perl programnyelvet, amelynek elszr nem Perl volt a neve. Larry
hosszas keresgls utn a Pearl ( Practical Extraction And Report Language) nevet
vlasztotta, azonban ilyen nev grafikai programnyelv mr ltezett, gy alakult ki a Perl nv.
A Perl els verzii mr ismertk a fjlkezelst, a skalrokat, a jelentsformtumokat s a
mintaillesztst, azonban nem ismerte az asszociatv tmbket (hash) s csak csekly szm
fggvnyt hasznlt. A programnyelv mkdsi krnek bvlse jelentsen fokozdott,
miutn Larry felrakta az Internetre. A Perl nyelv figyelemre mlt tulajdonsga a
(knyvtr)modulok kezelse. Nagyon sok fggetlen programoz kszt programmodulokat,
amelyek ppen olyan hasznosak, mint maga a nyelv. rdemes megltogatni valamelyikCPAN(A Comprehensive Perl Archive Network Szleskr Perl Archvum-hlzat) webhelyet. A
CPAN oldalak hirdetmnyek, tmaismertetk, terjesztsek, dokumentcik, portok s szkriptek
szerint rendezik . Tbb mint 70 CPAN Web helyet tartanak szmon, amelyek felptse
szabvnyostott. [3]
3.3.2. HTML
http://w3c.org/MarkUpA HTML ( Hyper Text Markup Language) fejlesztsekor egy bngszfggetlen nyelv
kifejlesztse volt a cl. A parancsokat jelek kz kell zrni (rtsd:
). A bngszpiac ersdsnek kvetkeztben a szabvnyosts sokszor
nem tudta kvetni a klnbz bngszkben megjelent j lehetsgeket. Ennek
kvetkeztben sok olyan oldal volt / van, amit csak kizrlag az egyik bngszkszt cg
programjval lehet megnzni. Ez tbblet kltsget r a ksztkre, mert a a megjelent
programkdot el kell kszteni mindegyik bngszre. 1997-be alkotta meg a World Wide
Web Consortium (W3C) a 4.0-s HTML szabvnyt, amely az eddigi legutols. Kiszmolhat,
rrs: http://www.doksi.hu
http://w3c.org/MarkUphttp://w3c.org/MarkUp -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
10/57
3. Felhasznlt komponensek 10
hogy ht ves szabvny, de mg mindig tartalmaz olyan parancsokat, amiket nem tmogat
mindegyik bngsz... [8]
3.3.3. CSS
http://w3c.org/Style/CSS
A CSS-t (Cascading Stylesheet lpcszetes stluslapozs) rviden csakstluslapozsnak
nevezzk. Hasznlatval definilhatunk klnbz stlusokat, a HTML fjlban pedig csak
hivatkoznunk kell az adott elemnl, hogy melyik stlus tartozik hozz. Ezltal rvidebb
forrskd alakulhat ki, ugyanis minden stlust csak egyszer kell definilni, s utn csak
hivatkozunk r (rvidebb forrskd kisebb svszlessgigny kisebb kltsgek s
kisebb erforrsigny). A megjelents minden apr porcikjt befolysolhatjuk, ezltalpontosabban szerkeszthetnk meg egy weboldalt. A CSS szintn szabvnyostott, azonban ne
feledkezznk meg rla, hogy itt is rvnyes az a megllapts, hogy nem elg a szabvny
puszta lte, a bngszknek aszerint is kell mkdnik, azonban ez nem mindig van gy. [8]
3.4. Szerver programok
A kliens gpek fell rkez krsekre a szerver kld vlaszt, azonban ezeket a vlaszokat
elszr el kell lltani, erre valk a szerver-programok (kiszolglk).
3.4.1. Apache
http://apache.org
A megalkotott honlapot elrhetv is kell tenni, erre nincs alkalmasabb, mint egy webszerver.
Vlasztsom a mltn npszer Apache programra esett. A felmrst vgz szervezettl
fggen, de a klnbz statisztikkat tlagolva elmondhat, hogy az Apache fut a
webszerverek durvn 50%-n. Ez az arny bizonytja, hogy igen is van ltjogosultsga a nylt
forrskd programoknak. Sok egyb knyelmi szolgltatsa mellett kezeli a virtulis
host-okat, valamint kpes SSL kapcsolatra ltrehozsra is.
3.4.2. BIND9
http://www.isc.org/sw/bind
Nvszerverek kzl a vlasztsom a BIND9 (Berkeley Internet Name Domain v9) programra
esett, amely az egyik legelterjedtebb nvfelold-szerver. Azrt vlasztottam ezt, mert a nhnyDNS-szerverprogram kzl ezt ismerem egyedl. Jl konfigurlhat s a belltfjljai
rrs: http://www.doksi.hu
http://w3c.org/Style/CSShttp://apache.org/http://www.isc.org/sw/bindhttp://w3c.org/Style/CSShttp://apache.org/http://www.isc.org/sw/bind -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
11/57
3. Felhasznlt komponensek 11
knnyen elllthatk akrmelyik szkript nyelvvel is, ezrt nem is kerestem msikat. Ez a
szerverprogram vgzi el a nvfeloldst s a fordtott nvfeloldst is.
3.4.3. DHCP3
http://www.isc.org/sw/dhcp
Az egyszerbb s knyelmesebb hasznlat rdekben DHCP (Dynamic Host Configuration
Protocol Dinamikus llomskonfigurcis protokoll) osztja ki az IP-cmeket a lakk
szmtgpeinek. Ezltal a bekltzs sorn nem kell klnbz misztikusnak tn szmokat
megtanulniuk, hanem csak rdugjk a szmtgpket a hlzatra. Minden hlzati krtynak
van egy egyedi MAC (Medium Access Control) azonostja, amit a rendszer nyilvntart a
hozzrendelt IP-cmmel egytt. Ezltal, ha valamelyik lak bekapcsolja a szmtgpt, akkoraz opercis rendszere kapcsolatba lp a DHCP-kiszolglval, ami vlaszul visszaadja a
kliens szmra fenntartott IP-cmet.
3.4.4. Samba
http://samba.org
Az LDAP-kiszolgl elvgzi a felhasznl azonostst, azonban szksg vagy egy
fjl-szerverre, ami trolja a felhasznlk fjljait. Ezen fell a Samba-kiszolgl vgzi a
nyomtat-megosztst is. GNU/Linux rendszeren az egyetlen teljes rtk1,2 fjl-szerver a
Samba, amelyet eredetileg Andrew Trigdell kezdett el fejleszteni. Az SMB (Server Message
Block) protokoll hasznlatval a Samba az opercis rendszerek bmulatos sokasga kztt
teszi lehetv az erforrsok megosztst.
A Samba a NetBIOS-bl fejldtt ki, br a NetBIOS nem annyira protokoll, mint inkbb
hlzati programok rshoz ptkveket szolgltat programozsi fellet (API). Br a
legtbben gy tekintenek a Samba-ra, mint amivel egy NT-kiszolglt kivlthatunk egy
linux-os gppel, azonban a Samba kpes fjlmegosztsi szolgltatst biztostani Windows
95/98/NT/2000/XP, OS/2, VMS, AIX, HP-UX, Linux s mg sok ms rendszer kztt. [9]
A Samba kt legfontosabb dmonja az nmbd s az smbd. Az els egy NetBIOS
nvkiszolglknt mkdik, az utbbi pedig az SMB kiszolgl feladatait ltja el. Kpes
tallzsvezrlknt (local master) s tartomnygazdaknt (domain master) is mkdni,
valamint nyjthat WINS szolgltatst is.
1. Elssorban nylt forrskd programra rtem.2. Tbbek kztt ltezik az NFS is, de a Samba sokkal tbb szolgltatst nyjt.
rrs: http://www.doksi.hu
http://www.isc.org/sw/dhcphttp://samba.org/http://www.isc.org/sw/dhcphttp://samba.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
12/57
3. Felhasznlt komponensek 12
3.5. Adatbzis programok
Kzpontostott felhasznl-kezelst megvalstani csak adatbzisok hasznlatval lehet. A
feladat kivitelezsnl kt adatbzist is hasznltam.
3.5.1. MySQL
http://dev.mysql.com
Adatbzis-kezelsrl ltalban akkor beszlnk, amikor a feldolgozand, kezelend adatok
mennyisge olyan nagy, hogy azok mr semmikppen nem frnek el a szmtgp operatv
memrijban, gy a httrtron kell elvgeznnk a munkt. Mivel a szmtgp memrija
nagysgrendekkel gyorsabb, mint brmely httrtr, az adatbzis-kezels a kezdetek ta
specilis problmkat vetett fel.
A Unix rendszerek ltal biztostott szrprogramok (sort, grep, awk, stb.) ha nem
szksges, nem olvassk be a bemen adatokat egyszerre a memriba, gy kpesek igen nagy
adatmennyisget feldolgozni. Ennek ellenre az adatbzis-kezels kifejezsen nem ezeket
az eszkzket rtjk, hanem klnleges, kimondottan nagy adatmennyisg feldolgozsra
kszlt programokat.
Napjaink relcis adatbzisainak kezelsre adatbzis-kiszolglkat hasznlunk. Az
adatbzis-kiszolgl olyan programrendszer, amely tbb felhasznl ltal kezelt
adatbzisokon vgez mveleteket. ltalban megengedett, hogy egy adatbzist egy idben
tbb felhasznl is hasznlhasson, az ebbl add problmk kezelst ugyanis szintn az
adatbzis-kiszolgln fut programok vgzik.
GNU/Linux rendszereken igen elterjedt mind a MySQL s mind a PostgreSQL adatbzis-
kiszolgl. Diplomamunkm megvalstshoz a MySQL programot vlasztottam.
Adatbzisban jelenleg csak 56 felhasznl adatt kell trolni, de ha minden lak szeretne
internet-elrst, akkor is maximum 106 f adatt kellene trolni. Ilyen mennyisg esetn
szinte mindegy, hogy melyik adatbzis-kiszolgl programot hasznlja az ember. A
PostgreSQL inkbb hatalmas adatbzisok esetn mutatja meg az erejt. Az adatok
mennyisge s felhasznlsa alapjn a vlasztsom a MySQL programra esett, mert csak
egyszer (select, insert, update, delete, stb.) mveleteket kell vgrehajtani az
adatbzis-tblkon, s ilyen mveletek esetn a MySQL kiemelkeden gyorsan dolgozik. [10]
rrs: http://www.doksi.hu
http://dev.mysql.com/http://dev.mysql.com/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
13/57
3. Felhasznlt komponensek 13
3.5.2. OpenLDAP
http://www.openldap.org
Minl tbb szolgltatst s programot hasznlnak egy vllalaton bell, minl tbb helyen
hasznlunk felhasznl-azonostst, annl nehezebb rendszergazdaknt kzben tartani a
felhasznlk azonostst. Nagy segtsget jelent egy kzpontostott azonostsi rendszer.
Egy kzponti adatbzis hasznlatval a biztonsg is nagymrtkben nvelhet. Azonban
gondot jelenthet, ha ez a kzponti adatbzis valami oknl fogva elrhetetlenn vlik, ezrt
clszer hibatr telepet hasznlni. Azonban szakdolgozatom sorn nem volt szksg HA
(high availability magas rendelkezsre lls) gptelepre.
A feladat kivitelezshez egy LDAP-kiszolgl (Lightweight Directory Acces Protocol
Pehelysly knyvtrhozzfrsi / cmtrhozzfrsi protokoll) vgzi el a kzpontostott
felhasznl-azonostst, amire az OpenLDAP kiszolgl-programot hasznltam fel. Azonban
j, ha tudjuk, hogy lteznek ms programok is, amelyek megvalstjk az LDAP-t. Ilyen
pldul a Netscape Directory Server, a Sun ONE Directory Server s korltokkal ugyan, de a
Microsoft Active Directory is a Windows 2000 szerverben. Megjegyzem, hogy a Novell NDS
rendszerben alkalmazhatunk LDAP-illeszt interface-t, gy ez a rendszer is megfelelhet
szksg esetn egy LDAP-kiszolglnak.
Az LDAP v3 protokoll, amelynek tmogatsa az OpenLDAP 2.0-s vltozatban jelent meg,
kpes a TLS (Transport Layer Security Szlltsi rtegbeli biztonsg) alap vdelemre ezt
a megoldst a bngszk s a levelezprogramok is hasznljk. A TLS az SSL (Secure Sockets
Layer) utdja.
3.6. Levelezshez hasznlt programok
Igyekeztem egy biztonsgos levl-szervert sszelltani, amelybe termszetesen beletartozik a
vruskeress s a SPAM szrse is.
3.6.1. Postfix
http://www.postfix.org
A Postfix egy MTA (Mail Transfer Agent), mely szabadon elrhet az IBM Public Licensealatt. Eredetileg Wietse Venema kezdte el fejleszteni az IBM tmogatsval Vmailer nv alatt,
rrs: http://www.doksi.hu
http://www.openldap.org/http://www.postfix.org/http://www.openldap.org/http://www.postfix.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
14/57
3. Felhasznlt komponensek 14
de ksbb nevet kellett vltoztatni, mivel az emltett nevet mr ms termk hasznlta, gy
szletett a Postfix nv. Mltn hres teljestmnyrl, biztonsgossgrl, s igen szles
kr konfigurlsi lehetsgeirl, idertve pl. akr LDAP alap lookup-okat, s klnbz
SPAM/UCE szrsi lehetsgeket is. A Postfix fejlesztsnl f szempont tovbb a "szp"
kd, s a kompatibilits ms MTA-kal, mely jelenti az RFC-k pontos betartst, vagy akr a
sendmail-bl, illetve qmail-bl (pl: Maildir tmogats) ismert adminisztrlsi megoldsokkal
val kompatibilitst, lehetv tve a knny tllst Postfix-re.
3.6.2. AMaViSd-new
http://www.amavis.org
Az AMaViSd-new egy olyan szkript, ami interfszt biztost a levlkld gynk (MTA) s aklnbz vruskeresk s tartalomszrk (pldul SPAM) kztt. Tmogatja az sszes
levlkld gynkt (MTA) az ltalnos SMTP szr (filter) mdon keresztl (idelis a
Postfix-hez s az Exim-hez). Gyorsabb s biztonsgosabb az SMTP filter mdot hasznlni,
mint az AMaViS cs (pipe) klienst.
3.6.3. ClamAV
http://www.clamav.netA Clam AntiVirus egy GPL license-sz vruskeres program UNIX rendszerekhez. Fleg
mail-szerverbe integrlva hasznljk, elssorban a csatolsok (attachment) tvizsglsra. A
keres tartalmaz egy flexibilis, stabil s tbb-szlas mkdst is tmogat motort, valamint
kpes automatikusan frissteni a vrus-adatbzist az Interneten keresztl.
A vruskeres fbb jellemzi:
parancssoros keressi
milter interfsz a sendmail szmra
adatbzis frissts digitlis alrs tmogatsval
vals idej keress (Linux s FreeBSD rendszeren)
tbb mind 20000 vrus, freg s trjai program detektlsa
beptett tmogats: RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet files, MS
CHM (Tmrtett HTML), MS SZDD
beptett tmogats: mbox, Maildir s raw postafikokhoz
rrs: http://www.doksi.hu
http://www.amavis.org/http://www.clamav.net/http://www.amavis.org/http://www.clamav.net/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
15/57
3. Felhasznlt komponensek 15
3.6.4. SpamAssassin
http://spamassassin.org
A SpamAssassin (SA) egy gynevezett "pontozsos" rendszerben mkd levlszemt
szr. Hasznlathoz t kell rajta hajtani a berkez leveleket, s a SA klnbz szempontok
(trgr szavak, csupa nagybet a trgyban, nem azonosthat kld, s egyb SPAM-ra utal
jelek) alapjn pontozza a levl tartalmt, fejlct, stb.
Milyen technika alapjn szr?
fejlc elemzs
szveg elemzs
feketelistk (mail-abuse.org, ordb.org, stb.)
Razor SPAM-adatbzisa (http://razor.sourceforge.net)
Ha a levl egy elre belltott pontszmot elr, akkor SPAM-nak minsl, s innentl kezdve
eldnthetjk, hogy mit szeretnnk vele kezdeni. A SA kombinlhat vruskeresvel is, gy
hatkony vdelmet adhat a vrusok, frgek (worm) s egyb elektronikus krtevk ellen. A SA
tanthat is, azaz a berkezett SPAM-okbl kpes bvteni a felismershez hasznlt
adatbzist.
3.6.5. Courier Mail Server
http://www.courier-mta.org
A Courier levl-tviteli gynk (MTA) egy integrlt levelezs/csoportmunka kiszolgl, olyan
open commodity(?) protokollokon alakul, mint pldul az ESMTP, IMAP, POP3, LDAP, SSL
s HTTP. A Courier ESMTP-t, IMAP-ot, POP3-at, webmail-t s levelezlista szolgltatsokat
biztost egyetlen konzisztens keretrendszerben. Egyedi komponensek ki- s bekapcsolhatak
tetszs szerint. A Courier-ben most implementlsra kerlt alap web-alap naptr s
hatridnapl szolgltatsok, a webmail modulba integrlva. Tovbbfejlesztett csoportmunka-
naptr szolgltatsok is jnnek hamarosan
3.6.6. SquirrelMail
http://www.squirrelmail.org
SquirrelMail egy alapszint webmail csomag, amit tiszta PHP4 nyelven rtak, belertve a
tiszta PHP nyelv tmogatst az IMAP s az SMTP protokollhoz. Az sszes ltala ellltott
oldal tiszta HTML 4.0 (JavaScript igny nlkl) nyelven kszl a teljes bngszfggetlen
rrs: http://www.doksi.hu
http://spamassassin.org/http://razor.sourceforge.net/http://www.courier-mta.org/http://www.squirrelmail.org/http://spamassassin.org/http://razor.sourceforge.net/http://www.courier-mta.org/http://www.squirrelmail.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
16/57
3. Felhasznlt komponensek 16
megjelents rdekben. Kevs kvetelmnyt tmaszt a futtatshoz, ezen fell knny
telepteni s belltani. A SquirrelMail minden funkcit kpes megvalstani, amit egy
tlagos levelez program is tud: MIME tmogats, cmjegyzk, mappa mveletek, stb.
3.7. Egyb
Az egsz rendszer kialaktshoz s biztonsgos zemeltetshez felhasznltam mg az albbi
programokat.
3.7.1. OpenSSH
http://openssh.orgAz SSH a Secure Shell rvidtse. Segtsgvel bejelentkezhetnk egy msik gpre. A
telnet-tel ellenttben az SSH titkostja az adattvitelt, ami cskkenti az adattviteli
sebessget s jobban terheli az erforrsokat, azonban a biztonsg rdekben vllaljuk ezt a
tbblet terhet.
A Berkeley egyetem ltal megvalstott rsh, rcp, rlogin (az gynevezett r*) parancsok
levltsra hoztk ltre, ugyanis egyre fontosabb szerepet kapott a biztonsg. Atelnet
,FTP
s az r* parancsok az adatokat titkostatlan formban kldzgetik, gy knnyen ellophatk az
adatok, jelszavak. Az SSH ugyan azokat a funkcikat biztostja, mint az r* parancsok, csak
hasznlhatk klnbz kdknyvtrak s azonost mdszerek.
3.7.2. NetFilter / IPTables
http://netfilter.org
A netfilter egy beptett blokkol keretrendszer a 2.4.x-es s 2.6.x-es Linux kernel-ekben.
A keretrendszer kpes csomagokat szrni, hlzatcmet s portszmot fordtani (NAT/NAPT),
valamint kpes egyb csomagmanipulcikra. jratervezett s nagymrtkben javtott utdja a
Linux 2.2.x ipchains s a Linux 2.0.x ipfwadm rendszernek.
Az iptables egy ltalnos tblastruktra szablyrendszerek definilsra. Minden IP
tblzaton belli szably tbb osztlyozt (iptables matches) tartalmaz s egy hozz
kapcsold esemnyt (iptables target). A netfilter, iptables s a kapcsolat kvets,
valamint a NAT alrendszer egyttesen kpzik a keretrendszert.
rrs: http://www.doksi.hu
http://openssh.org/http://netfilter.org/http://openssh.org/http://netfilter.org/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
17/57
3. Felhasznlt komponensek 17
Fbb tulajdonsgok
nem llapottart (stateless) csomagszrs (IPv4 s IPv6)
llapottart (stateful) csomagszrs (IPv4)
hlzatcm s portszm fordts (NAT/NAPT)
flexibilis s bvthet kialakts
tbbrteg API fellet a kls fejlesztk szmra
hatalmas plugin s module gyjtemny 'patch-o-matic' csomagban
Mire hasznlhat a netfilter / iptables?
pthet stateless s stateful csomagszr tzfal
a NAT s a MASQUERADE hasznlatval internet megoszts hozhat ltre, ha nincs
elg publikus IP-cm
NAT hasznlatval ltrehozhatk tltsz (transparent) proxy-k
egyb csomagmanipulcik (mangle), gymint TOS/DSCP/ECN bit-ek vltoztatsa az
IP csomagok fejlcben
3.7.3. Shaperd
http://webs.sinectis.com.ar/lesanti/shaperdFelhasznl-mdban fut svszlessg-korltoz program TCP/IP hlzatokban. A Shaperd
a httrben fut, mint egy norml daemon program, azonban szksge van valamilyen
csomagtovbbt mechanizmusra, ami tadja neki a csomagokat. Jl egyttmkdik a Linux
2.4 netfilter / itptables rendszervel.
rrs: http://www.doksi.hu
http://webs.sinectis.com.ar/lesanti/shaperdhttp://webs.sinectis.com.ar/lesanti/shaperd -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
18/57
4. Megvalsts ismertetse 18
4. Megvalsts ismertetse
A felhasznlt komponensek s a rszletes feladatlers ismertetse utn felvzolom a
megolds menett rviden, majd az egyes rszfeladatok teljes megvalstst. A feladat kt
rszre bonthat: hardver s szoftver. Az albbiakban ismertetem mindkett fel tmasztott
ignyeket s kvetelmnyeket, valamint a feladat kivitelezst.
4.1. Hardver
A feladat kivitelezse eltt egy szmtgp vgezte a tzfal, web-szerver s tbb-kevsb a
DNS feladatt. A vezetsg szmtgpparkjban trtnt fejlesztsek sorn a leselejtezett
gpekbl kaptunk kt darabot, gy a hrom szmtgpbl lehetsgem nylt ltrehozni egyolyan szerverfarmot, amelyben logikailag s fizikailag is elszeparlhat szolgltatsokat kln
szervergpre tudtam helyezni.
4.1.1. Szerver-gpek
Az albbi listban bemutatom a rendelkezsemre ll szmtgpeket. Lthat, hogy
mindegyik szerver gpben Celeron processzor dolgozik. Azonban, mint kztudott, a
Celeron processzorokat kzel sem szerverekbe sznjk, nem arra terveztk ket, hogy napi 24rban dolgozzanak. A trseknek s az elrsoknak nem megfelel Pentium tpus
processzorokbl lettek a Celeron-ok. Ennek tudatban prbltam a szolgltatsokat elosztani,
kikapcsolni a titkostsokat, ahol nem ltkrds, azaz minimalizltam a szerverek terhelst.
WOTAN szerver:
Celeron@333MHz, 384MB RAM, 4GB IDE HDD
IP-cmei: 192.168.1.1, 192.168.21.1, 193.225.151.18
ADSL kapcsolat biztostsa a vezetsgi gpeknek
(igazgati, gazdasgi, lelkszsgi)
DNS, DHCP, Postfix s Apache (http://sztlkk.hu)
ZEUS szerver:
Celeron@333MHz, 64MB RAM, 3GB IDE HDD
IP-cmei: 192.168.33.4, 192.168.21.2, 192.168.100.1, 193.225.151.17
tzfal s svszlessg-korltozs elltsa
rrs: http://www.doksi.hu
http://sztlkk.hu/http://sztlkk.hu/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
19/57
4. Megvalsts ismertetse 19
SUN szerver:
Celeron@300MHz, 92MB RAM, 3GB IDE HDD
IP-cme: 192.168.21.200/32
Samba, MySQL, LDAP s Apache (http://it.sztlkk.hu csak bels hlrl)
4.1.2. Aktv eszkzk
Egy hlzat tereszt kpessge jelentsen fgg az aktv eszkzk minsgtl s
tulajdonsgaitl, valamint a megfelelen kialaktott fggleges s vzszintes kbelezstl.
Az albbi aktv eszkzk lltak rendelkezsemre a feladat kivitelezsekor:
1 db Nortel Networks Baystack 350-24T Switch (Nortel switch)
1 db HP ProCurve Switch 2524 J4813A (HP switch)
1 db Cisco System FastHub 400 Series (Cisco FastHub)
2 db Series Mikro Networks Ethernet HUB-16+ (HUB#1 s HUB#2)
Nem aktv eszkzk, de logikailag ide tartoznak a patch-panelek:
RiT SMART UTO 24 ISO/IEC 11801 CATEGORY 5
RiT SMART UTO 48 ISO/IEC 11801 CATEGORY 5
EMInet System CAT5E-16 Unshielded (kabinet terem)
4.1.3. IP-cm tartomnyokrl
Ngyfle IP-cm tartomnyt hasznl a rendszer a mkdse sorn, a kvetkezkben ezeket az
IP-cm tartomnyokat mutatom be, hogy melyiket mely gpek hasznljk s mikor.
192.168.1.0/24
A vezetsgi gpek ebbl az IP-cm tartomnybl kapnak IP-cmet. Ebbl a hlzatbl nem
lthat a kollgium laki szmra fenntartott hlzat.
192.168.100.0/24
A kollgiumba bekltz hallgatk IP-cm ignylshez hasznlatos hlzat. A rendszer ltal
ismeretlen szmtgpek ebbl a hlzatbl kapnak IP-cmet, hogy elrjk az IT honlapjt1 s
tudjanak ignyelni maguknak rendes IP-cmet, amivel tudnak internetezni.
1. De mst nem.
rrs: http://www.doksi.hu
http://it.sztlkk.hu/http://it.sztlkk.hu/ -
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
20/57
4. Megvalsts ismertetse 20
192.168.21.0/24
A kollgium laki szmra fenntartott hlzat. Ez egy egyetemi bels hlzatos cmtartomny,
de csak a mi kollgiumunk hasznlhatja. Ennek ksznheten a tzfalunk nem vgez
cmfordtst, hanem csak szri a rajta tmen csomagokat a portok s cmek alapjn, valamint
megvalstja a svszlessg-korltozst. A NAT-olst az egyetem f router gpe vgzi.
193.225.151.16/28
Szintn az egyetemtl kapott cmtartomny, kls IP-cmes alhlzat, amibl 14 IP-cm
hasznlhat. A hasznlatbl ered veszlyek miatt csak kivteles lakk kaphatnak innen
IP-cmet.
192.168.33.0/24
A kt rdis eszkz, az egyetem s a kollgium router-e (ZEUS) tartozik csak bele. Azrt
hoztuk ltre az Szchenyi Istvn Egyetem rendszergazdjval, hogy az egyetem fell rkez
broadcast zeneteket mg az egyetem oldaln megfogja, valamint a mi broadcast zeneteinket
se enged t az egyetem fel. Ezzel jelentsen tudtuk nvelni az teresztkpessget, jelentsen
kevesebb csomag vesz el ezutn.
4.1.4. Kialaktott hlzati topolgia
Kt Internet csatlakozssal rendelkezik a kollgium. Ez lehetsget adott arra, hogy a
vezetsgi gpek Internet elltst teljesen elszeparljam a kollgium laki ltal hasznlttl.
A vezetsgi gpek a HUB#2 eszkzre csatlakoznak, amire csatlakozik a WOTAN szerver is,
biztostva szmukra az Internet-megosztst, DHCP-, DNS-, SMTP- s POP3-szolgltatsokat,
valamint a tzfal szerept is tlti be erre a hlzatra. Ez a hlzat a 192.168.1.0/24-es cm.
A Nortel s HP switch-eket egy szlon (trunk-ls nlkl) ktttem ssze, hogy minl tbb
hely maradjon rajtuk a szobai gpek szmra, de sajnlatos mdon gy sem elg e kett
kapacitsa, fel kellett hasznlnom mg egy 16 portos hub-ot is (HUN#1). Figyeltem r, hogy a
kialaktott hlzat tereszt kpessge a lehet legjobb legyen, ezrt a ZEUS s a WOTAN
szerver is a logikailag kzpen elhelyezked HP switch-re kerlt, gy nem fordulhat el az,
hogy valakinek kt switch-en keresztl kell mennie a szerverig s onnan tovbb az Internetre.
Mszakilag megoldhat lenne, hogy tbb szlon legyenek sszektve (trnk) az aktv
eszkzk, azonban nem ll rendelkezsre megfelel szm switch a kivitelezshez. Aswitch-ek virtulis ramkrket hoznak ltre az aktv portjaik kztt, gy egy 10/100-as
switch-en keresztl egyszerre tbb szlon is lehet tlteni 100Mbit-es sebessggel. Dediklt
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
21/57
4. Megvalsts ismertetse 21
svszlessget biztost a virtulis ramkrrel sszekttt kt portnak, azonban, ha kt
switch-et ktnk ssze, ott, azon az egy kbelen keresztl maximlisan 100Mbit-es sebessget
rhetnk el. Azaz, ha egyszerre 2 szlon tltnk t adatot a kt switch kztt, akkor a kt szl
sszesen is csak 100Mbit-es sebessget ad, teht 1 szl tviteli sebessge egybl a felrecskken. A switch-ek 24 portosak, gy knnyen belthat, hogy az egy kbeles sszekttets
kevs, de sajnlatos mdon nincs lehetsg tbb szlas sszekttetsre (trunk-lsre), mert
akkor nem frne r minden szoba a hrom aktv eszkzre. Megolds lenne mg, ha vennnk
gigs uplink-et a kt switch-be, azonban a beltethet csatlakozk darabonknti 70.000,0
HUF nett rtke tl sok szmunkra jelen pillanatban. Erre a hlzatra rkttt szmtgpek
vagy a 192.168.21.0/24-es (bels IP-cmes) vagy a 193.225.151.16/28-as (kls IP-cmes)
hlzatbl kapnak IP-cmet. Termszetesen a kt hlzat szmtgpei elrik egymstmindenfle cmfordts nlkl, gymond transparent mdon (tltsz) kti ssze a ZEUS
szerver a kt hlzati tartomnyt. A rendszer ltal mg nem ismert gpek a
192.168.100.0/24-es hlzatbl kapnak IP-cmet, azonban ebbl a hlzatbl csak a SUN
szerver lthat, hogy elvgezhet legyen az IP-cm ignyls, de az ignylsi folyamatrl majd
ksbb.
Ezen fell a kabinet terem szmtgpei szmra is kellett Internet-elrst biztostanom. A
kabinet teremben foglal helyet a Cisco FastHub, ami szintn a logikailag kzpen
elhelyezked HP switch-re csatlakozik, amire ktttem r a 10 kabinetes szmtgpet s a
SUN szervert. Br a kabinet terem kialaktsnak megtervezst s kivitelezst is n
vgeztem, azonban ez nem kpezi rszt a szakdolgozatomnak, gy a kabinet terem fizikai
(kbelcsatornzs, kbelbeltets, stb.) kivitelezst nem rszletezem.
Az egsz rendszer topolgiai kialaktsa a 4.1.1.bra: Hlzati topolgia brn lthat. Mind a
fggleges, mint a vzszintes kbelezs CAT5-s UTP kbelezssel megvalstottk meg mg5 vvel ezeltt, gy az elrhet legnagyobb elmleti tviteli sebessg 100Mbit/sec. A hub
eszkzre kttt szobk tviteli sebessgt sajnos maga a hub bekorltozza 10Mbit/sec
sebessgre, valamint tovbb rontjk a hub felptsbl s mkdsbl add gyakori
tkzsek, de ez a lassuls csak a kollgium bels hlzatn rezhet, mivel az internet-elrs
sebessge csak 11Mbit, amit az egyetemtl kapunk egy 802.11b-s rdis eszkzn
keresztl.
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
22/57
4. Megvalsts ismertetse 22
4.1.1. bra: Hlzati topolgia
HUB#1
HPswitch
Nortelswitch
HUB#2
felhasznl
k
gpei
felhasznlk
gpei
felhasznlk
gpei
Ciscofasthub
kabinetterem
gpei
SU
N
szerver
H
K
nyomtatja
Rdisinternet
csatlakozs
ZEUS
szerver
WOTAN
szerver
gazdasgi
gp i
gazgati
gp
l
elkszsgi
gp
ADSLintern
et
csatlakozs
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
23/57
4. Megvalsts ismertetse 23
4.2. Szoftver belltsok szerver oldalon
A biztonsgos mkdshez rdemes finomhangolni egy-kt szolgltatst. Ebben az
alfejezetben vgigveszem az egyes programok belltst, amelyek nlkl nem mkdhetne
biztonsgosan a kialaktott rendszer.
4.2.1. Jelsz nlkli felhasznl-azonosts kulcsok segtsgvel SSH esetn
Egyik legfontosabb biztonsgi bellts, ugyanis a SUN szerver ltal ellltott DHCP, DNS s
IPTables belltfjlokat el kell juttatni a megfelel szervernek s az adott szolgltatst jra is
kell indtani. A jelszt nem rhatjuk be a szkript programban (biztonsgi okokbl), ezrt
biztonsgos jelsz nlkli azonostst kell alkalmazni.
Els s egyben elengedhetetlen lps, hogy sajt kulcsprt ksztsnk az ssh-keygen
programmal. Kt vlasztsi lehetsgnk van: vagy RSA- vagy DSA-kulcsokat hasznlunk.
Az RSA-szabadalom lejrt 2000 szeptemberben, azonban az SSH Protocol v.2 DSA
rendszer kulcsokat hasznl alapesetben, valamint a DSA-kulcsok szabadon hasznlhatak,
nylt szabvnyknt lett kifejlesztve.
DSA-kulcsok ltrehozsaBash$ ssh-keygen -t dsa...Your identification has been saved in /home/jonci/.ssh/id_dsa.Your public key has been saved in /home/jonci/.ssh/id_dsa.pub....Bash$
A -t dsa paramter megadsval krhetjk (1. sor) a DSA-kulcspr generlst. Az
alaprtelmezett kulcshossz 1024 bit. Az 512 bites RSA/DSA-kulcsok nyers er (brute force)
mdszervel knnyen feltrhetk. A 2048 bites kulcsok nem sokkal biztonsgosabbak a 1024
bites kulcsoknl, azonban jelentsen lasstjk a kdolsi folyamatot. A kulcspr ltrehozsa
sorn kt kulcsfjl jn ltre. Az egyik a titkos (3. sor), a msik a nyilvnos (4. sor) kulcsunkat
tartalmazza.
A nyilvnos kulcsot el kell juttatni a tvoli gpen a $HOME/.ssh/ knyvtrunkba s hozz
kell fznnk az authorized_keys fjlhoz1. A paranoinktl fggen vlaszthatunk tbb
klnbz mdszer kztt az tvitelre. Az interneten keresztli adattvitelre az ssh nyjtja a
1. Szerver belltstl fggen addhat gy is, hogy az authorized_keys2 fjlt kell hasznlni.
123456
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
24/57
4. Megvalsts ismertetse 24
legbiztonsgosabb kzeget, azonban ez is kijtszhat, gy az ajnlott mdszer az, ha
valamilyen adathordozt (floppy, CD, Pendrive, stb.) vlasztunk a kulcs tvitelre. A kulcs
tvitele utn az ssh parancs kiadsakor az ssh szerver jelsz nlkl
beenged minket, ugyanis a generlt DSA-kulcsprunkkal azonostjuk magunkat.
/etc/ssh/sshd_config rszlet
PasswordAuthentication noPermitRootLogin yesPermitEmptyPasswords no
Ha az azonosts nem sikerlt, akkor a nv/jelsz mdszerrel mg mindig azonosthatjukmagunkat, azonban ez utbbit rdemes letiltani az sshd_config fjlban, ha biztosra akarunk
menni (1. sor). Abban az esetben, ha nem akarjuk tiltani a nv/jelsz azonostst, legalbb
tiltsuk meg a bejelentkezst a root felhasznl szmra (2. sor), valamint ne engedlyezzk
az res jelszt (3. sor).
Tvoli parancsvgrehajts ssh-val
Bash$ ssh
ssh $SZERVER_WOTAN 'sh /etc/init.d/dhcp3-server restart 2>&1 > /dev/null'
Tvoli gpen trtn parancsvgrehajtsra szintn az ssh programot hasznlhatjuk. A parancs
szintaktikjt az 1. sorban lthatjuk. A DHCP-kiszolgl jraindtst a szabalyok_dhcp
perl szkriptben a 2. sorban lthat mdon oldottam meg. E megolds az egyik
legegyszerbb egy tvoli gpen fut daemon program jraindtsra.
4.2.2. DHCP-kiszolgl
A vezetsgi szmtgpek szmra is a WOTAN szerver biztostja az IP-cm kiosztst
DHCP-vel. Ebben semmi klnleges belltsi opci nincs, ellenben a szobai IP-cmek
kiosztsval. Ugyanis egy fizikai kbelezsen hrom IP-cm tartomnyt hasznlunk:
192.168.100.0/24, 192.168.21.0/24, 193.225.151.16/28. Ezen okbl
kifolylagshared-network belltst kell alkalmazni. Ennek a belltst (3-17. sor) lehet
ltni dhcp.conf fjlban:
123
1
2
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
25/57
4. Megvalsts ismertetse 25
/etc/dhcp3/dhcp.conf rszlet
default-lease-time 3600;max-lease-time 7200;shared-network 192.168.100-192.168.21-193.225.151 {
subnet 192.168.100.0 netmask 255.255.255.0 {
# dns, domain, router, broadcast cmek megadsadefault-lease-time 60;max-lease-time 120;
}subnet 192.168.21.0 netmask 255.255.255.0 {
# dns, domain, router, broadcast cmek megadsa# ismert kliens IP-cmnek hozzrendelse a MAC-cmhez
}subnet 193.225.151.16 netmask 255.255.255.0 {
# dns, domain, router, broadcast cmek megadsa# ismert kliens IP-cmnek hozzrendelse a MAC-cmhez
}}
A 192.168.100.0/24-es hlzat IP-cm ignylsre szolgl csak, azrt az alap lejrati id 60, a
maximum lejrati idt 120 msodpercnek (6-7. sor) lltottam be, ugyanis a rendszer kt
percenknt ellenriz1, hogy jra kell-e indtania valamelyik szolgltatst (DHCP, DNS, tzfal).
A MAC-cmhez rendelt IP-cmeket nem rtam be a kezdeti fjlba, ugyanis azt a
szabalyok_dhcp (lsd ksbb) perl szkript generlja a felhasznli adatbzisbl.
4.2.3. BIND9
A WOTAN biztostja az egsz kollgium szmra a nvfeloldst, valamint a kls IP-cmesek
nvfeloldst az Internet fel is. A program alapbelltsa megfelel, csak a znabejegyzseket
hoztam ltre:
/etc/bind/named.conf rszlet
zone sztlkk.hu {
type master;file sztlkk.hu;
};
zone 21.168.192.in-addr. {type master;file sztlkk.hu.rev;
};
zone sztlkk.sze.hu {type master;file sztlkk.sze.hu;
};
zone 16/28.225.193.in-addr. {type master;
1. Indoklsa a Perl szkriptek / szabalyok_ervenyesitese alfejezetben.
1234
56789
1011121314151617
1
234
5678
9101112
1314
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
26/57
4. Megvalsts ismertetse 26
file sztlkk.sze.hu.rev;};
Az 1-8. sorig szerepel a bels IP-cmek znafjljainak megadsa: DNS (1-4. sor) s reverse
DNS (5-8. sor). Az 9-16. sorig pedig a kls IP-cmek znafjljainak megadsa szerepel: DNS
(9-12. sor) s reverse DNS (13-16. sor). A megadott znafjlokat teljes egszben a
szabalyok_dns (lsd ksbb) perl szkript generlja.
4.2.4. Apache
Termszetesen SSL titkosts tmogatsval felteleptettem, hogy titkostott csatornn
keresztl trtnjen a bejelentkezs a honlapra. Az SSL tmogats belltsa DebianGNU/Linux rendszeren nagyon knnyen elvgezhet nhny dialgus ablak
megvlaszolsval, ezrt csak a virtulis host ltrehozst mutatom be:
/etc/apache/httpd.conf rszlet
NameVirtualHost 192.168.21.200
serveradmin [email protected] /var/www/itservername it.sztlkk.hu
ErrorLog /var/log/apache/it/error.logCustomLog /var/log/apache/it/access.log common
Az it.sztlkk.hu nvfeloldst a WOTAN gp vgzi. Azrt kellett virtulis host-ot
ltrehozni, mert a SUN szerver f honlapja msra van fenntartva, meg azrt is, mert a SUN
gp cme igazbl: sun.sztlkk.hu. A 2-8. sorig tart az it.sztlkk.hu virtulis szerver
definilsa s ez egyb loklis paramterek belltsa.
4.2.5. Samba
A Samba valstja meg a fjl-szerver funkcit (trolja a felhasznlk profil knyvtrt) s
vgzi el a felhasznl hitelestst szksg esetn. A legszebb a Samba-ban, hogy kpes akr
egyszerre is egyttmkdni az sszes Windows vltozattal ms opercis rendszerek mellett.
/etc/samba/smb.conf rszlet: a [global] rsz
[global]netbios name = sunworkgroup = KABINETcomment = LDAP es NYOMTATO server
1516
12345
678
1234
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
27/57
4. Megvalsts ismertetse 27
server string = %h server (Samba %v with LDAP)client code page = 852character set = ISO8859-2valid chars = 0x8B:0x8A 0xFB:0xEBtime server = yes
case sensitive = no
null passwords = noencrypt passwords = truepassword level = 10password server = sunsecurity = userdomain master = yeslocal master = yespreferred master = yesos level = 99domain logons = yeslogon path = \\%L\profiles\%ulogon home = \\%L\%Ulogon drive = X:
logon script = login.bat
passdb backend = ldapsam:ldap://localhost:389/ldap ssl = offldap admin dn = "cn=admin,dc=sztlkk,dc=hu"ldap suffix = "dc=sztlkk,dc=hu"ldap user suffix = "ou=Users"ldap machine suffix = "ou=Computers"ldap group suffix = "ou=Groups"ldap delete dn = noldap passwd sync = no
load printers = yesprintcap name= /etc/printcap.cups
printing = bsd
A 2-5. sorig ltalnos belltsokat tartalmaz, gpnv munkacsoport/tartomny, stb., valamint
a 6-7. sorig belltjuk, hogy helyesen kezelje a magyar karaktereket. A 8. sor megadsval
rhetjk el, hogy brmelyik magyar Windowstl rkez fjlnvben szerepl karakter
helyesen troldjanak.
A 11-13. sorig terjeden nveljk kicsit a biztonsgot, majd 16-20. sorig belltjuk, hogy aSamba szervernk legyen a domain master, valamint ha tbb domain master lenne a
hlzatban, akkor versenyezzen az elsbbsgrt. A 15. sorban user a belltott rtk, mert a
Samba szerver vgzi el a hitelestst felhasznlknt az LDAP adatbzis felhasznlsval,
nem pedig magt a bejelentkezett szmtgpt akarjuk hitelesteni.
A 21-24. sorig hatrozzuk meg, hogy a belptets sorn a kliens gp honnan vegye a
felhasznl profil knyvtrt, valamint belltdik mg pr hlzati bellts.
56789
10
11121314151617181920212223
24
252627282930313233
3435
36
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
28/57
4. Megvalsts ismertetse 28
Az igazi lnyeg a 25-33. sorig tallhat meg. Itt adjuk meg a Samba-nak, hogy jelszadatbzis
merre tallhat (LDAP), valamint az LDAP-adatbzisra vonatkoz gynevezett suffix-eket
(uttag, rag, toldalk): magra az adatbzisra, valamint a felhasznlk s a szmtgpek
bejegyzseihez. A 34-36. sorig pedig a nyomtat belltsa tallhat.
/etc/samba/smb.conf rszlet: a [netlogon] rsz
[netlogon]comment = Network Logon Servicepath = /var/lib/samba/netlogonbrowseable = no
A 24. sorban megadottlogin
szkript program knyvtrt is meg kell osztani, hogy a kliens
gpek hozzfrhessenek a bejelentkezs alkalmval. Termszetesen, nem kell tallzhatnak
lennie (40. sor) mivel megadtuk a szkript nevt (24. sor), nem kell tudnia a felhasznlnak,
hogy milyen ms szkriptek tallhatk itt mg meg, ugyanis lehet szemlyre szabott szkripteket
is kszteni.
/etc/samba/smb.conf rszlet: a [profiles] rsz
[profiles]
comment = Network Profiles Servicepath = /var/lib/samba/profiles/%uread only = nocreate mask = 0600directory mask = 0700writable = yesguest ok = noroot preexec = PROFILE=/var/lib/samba/profiles/%u;if [ ! -e $PROFILE ]
; then mkdir -pm700 $PROFILE; chown %u.%g $PROFILE;fi; /usr/lib/cgi-bin/kabinetgepekfoglaltsaga pre %m %u
root postexec = /usr/lib/cgi-bin/kabinetgepekfoglaltsaga post %m %u
A felhasznl sajt profil knyvtrnak megosztst vgezzk el a 43. sorban, aminek a vgnszerepl %u helyre a felhasznl login neve helyettestdik be, gy minden felhasznl
szmra egyedi profiles nev megoszts jn ltre, ami a sajt windows-os profil knyvtrt
tartalmazza. Tovbb megadtam egyb biztonsgi belltsokat, gy mint: ltrehozott fjl
jogai (45. sor), ltrehozott knyvtr jogai (46. sor), vendg felhasznl ne frjen hozz (48.
sor). A 49-51. sor tartalmazza a lefuttatand parancsot a hitelestett felhasznl bejelentkezse
eltt (bejegyeztetem, hogy melyik felhasznl mikor melyik gphez lt le), valamint a 52.
sorban megadom, hogy melyik programot kell lefuttatni, amikor a kapcsolat megsznik a
szerver s a felhasznl kztt.
37383940
414243444546474849505152
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
29/57
4. Megvalsts ismertetse 29
/etc/samba/smb.conf rszlet: a [printers] rsz
[printers]browseable = nopath = /tmpprintable = yes
guest ok = nopublic = nowriteable = nocreate mode = 0777print command = /usr/lib/cgi-bin/nyomtatas %u /tmp/%s
A HK birtokol egy nyomtatt, amit szvesen tadott a szmunkra, hogy csinljunk belle egy
a szmtgpes hlzaton keresztl mindenki szmra elrhet nyomtatt. A legjobb
megolds, hogy a nyomtatst is a hitelestst vgz szerver vgezze 1. Az 55. sorban adtam
meg, hogy a nyomtatand dokumentum ideiglenesen hova kerljn a nyomtatsig. A 61.sorban adtam meg, hogy a nyomtatand dokumentumot melyik program nyomtatja ki sikeres
hitelests esetn. Termszetesen a megadott szkriptet2 is n rtam, hogy a kinyomtatand
oldalszmot s annak rrtkt is elmenthessem a MySQL adatbzisba.
4.2.6. LDAP ltrehozsa s a hozz kapcsold programok belltsa
Mint a legtbb hlzati szolgltats, kpes egyszerre tbb kiszolgln futni:
adatbzis-tbbszrzssel (replication) vagy tirnytssal (referral). Az n esetemben ilyenlehetsgekre nem volt szksg a felhasznlk relatv alacsony szma miatt. Ezrt az
OpenLDAP libraries config llomnyt az albbi mdon lltottam be (ldap.conf):
/etc/ldap/ldap.conf rszlet
BASE dc=sztlkk, dc=huURI ldap://localhost:389ssl nopam_password crypt
Az alapvet belltsokat adhatjuk meg az adatbzis-kezel library-knek, miszerint milyen
nvtrhez (namespace) tartozik az adatbzis (1. sor), merre tallhat meg (2. sor),
hasznljunk-e SSL titkostst vagy sem (3. sor), valamint a jelszavak trolsnak mdjt (4.
sor). SSL titkostst azrt nem hasznlok, mert csak a mr emltett kabinet teremben lv
gpek lphetnek be a tartomnyba. E gpek egy switch-en keresztl csatlakoznak a Samba-t s
1. A legjobb megolds az lenne, ha a MySQL s az LDAP is kln-kln szerveren lenne, de az IT anyagihelyzete ezt nem teszi lehetv.
2. Ismertetse a Perl szkriptek / nyomtatas alfejezetben.
53545556
5758596061
1234
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
30/57
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
31/57
4. Megvalsts ismertetse 31
rootpw legenerlsa xxx jelszval:
Bash$ slappasswd -h {SSHA}New password:Re-enter new password:{SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7
Legfels szint ltrehozsa az LDAP-adatbzisban
Az albbi bejegyzs hozzadsval kell kezdeni, kell egy kzs gykr, ahonnan ered majd az
egsz LDAP-fa:
toplevel.ldif fjl:
dn: dc=sztlkk,dc=hu
objectClass: topobjectClass: dcObjectobjectClass: organizationo: SzTLKKdc: sztlkk
Azonban ezt a csomagtelept automatikusan megteszi a slapd csomag teleptsekor.
Admin felhasznl hozzadsa az LDAP-adatbzishoz
Kell az adatbzisba egy olyan felhasznl, akinek joga lesz minden tovbbi mdostst
elvgeznie: samba tartomny (domain), szmtgp, csoport, felhasznl hozzadsa s
elvtele. Ez a felhasznl az admin, akit a kvetkez bejegyzs hozzadsval hozhatunk
ltre:
admin.ldif fjl:
dn: cn=admin,dc=sztlkk,dc=huobjectClass: simpleSecurityObject
objectClass: organizationalRolecn: admindescription: LDAP administratoruserPassword: {crypt}$adminpass
A csomagtelept ezt is automatikusan megteszi a slapd csomag teleptsekor. A legfels
szint s az admin felhasznl hozzadshoz szksges aslapd.conf10-11. sora. A telepts
befejezse utn azt a kt sort trljk ki. Szksg esetn brmikor visszarhatjuk, de normlis
hasznlat mellett tbb nem lesz r szksg.
1234
1
23456
12
3456
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
32/57
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
33/57
4. Megvalsts ismertetse 33
A mysqld (mysql daemon) belltsnak rsze a kiemelt hrom bellts, az 2. sorban lltjuk
be, hogy a MySQL szerver csak loklis krsekre feleljen, azaz a hlzatrl rkez krseket
dobja el. Mivel a honlap ugyanazon a gpen helyezkedik el, mint amelyiken a
MySQL-adatbzis is helyett foglal, gy nyugodtan bellthatjuk ezt, csak a biztonsgot
nveljk vele. A 3. sorban vltoztathatjuk meg az adatbzisok fjlrendszer szint helyt. A 4.
sorban pedig a kommunikcis portot lltottam be, amin keresztl a kliens program krseket
intzhet a szerver programhoz.
4.2.8. Postfix
Habr a Debian GNU/Linux opercis rendszer alaprtelmezett mail-kiszolglja az Exim,
azonban n lecserltem ezt a Postfix nev kiszolglra. Jobban, rszletesebbenkonfigurlhat, valamint jobban is integrlhat az LDAP-bl trtn hitelests a programba.
/etc/postfix/main.cf rszlet
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)delay_warning_time = 4hmyhostname = sztlkk.hualias_maps = hash:/etc/aliases, ldap:/etc/postfix/ldap-aliases.cfalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = sztlkk.hu, sztlkk.sze.hu, localhost
mynetworks = 127.0.0.0/8 192.168.21.0/24 193.225.151.16/28mailbox_size_limit = 0home_mailbox = Maildir/content_filter = smtp-amavis:[127.0.0.1]:10024
local_transport = virtualvirtual_mailbox_base = /var/mail/virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cfvirtual_uid_maps = static:vmailvirtual_gid_maps = static:vmailvirtual_minimum_uid = 1000virtual_mailbox_limit = 0ldapvirtual_server_host = ldap.sztlkk.huldapvirtual_server_port = 389
ldapvirtual_bind = yesldapvirtual_bind_dn = cn=admin,dc=sztlkk,dc=huldapvirtual_bind_pw = {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7ldapvirtual_search_base = dc=sztlkk,dc=huldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(
(AccountStatus=active)(accountStatus=shared)))ldapvirtual_result_attribute = mailMessageStore
ldapalias_server_host = ldap.sztlkk.huldapalias_server_port = 389ldapalias_bind = yesldapalias_bind_dn = cn=admin,dc=sztlkk,dc=huldapalias_bind_pw = {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7ldapalias_search_base = dc=sztlkk,dc=huldapalias_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|
(AccountStatus=active)(AccountStatus=shared)))ldapalias_result_attribute = mail
1234567
89
1011
121314151617181920
21222324252627
28293031323334
3536
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
34/57
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
35/57
4. Megvalsts ismertetse 35
A Postfix programnak van egy msik bellt fjlja is, ami szintn mdostsra szorul a
rendszer (vruskeress, SPAM szrs) helyes mkdse rdekben.
/etc/postfix/master.cf rszlet
smtp-amavis unix - - y - 2 smtp-o smtp_data_done_timeout=1200-o disable_dns_lookups=yes
127.0.0.1:10025 inet n - n - - smtpd-o content_filter=-o local_recipient_maps=-o relay_recipient_maps=-o smtpd_restriction_classes=-o smtpd_client_restrictions=-o smtpd_helo_restrictions=-o smtpd_sender_restrictions=-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8-o strict_rfc821_envelopes=yes
smtp inet n - y - - smtpd-o content_filter=smtp-amavis:[127.0.0.1]:10024
A lthat 16. sort egyszeren be kell illeszteni a master.cffjlba. A sorok rszletes ismertetst
itt most kihagyom, mert tllgna ezen szakdolgozat keretein. Rviden, ez a rsz rja el, hogy
melyik porton kell tadni a berkez levelet az AMaViSd-new programnak, ami lefuttatja a
vruskeresst, SPAM-szrst, majd az melyik porton adja vissza az eredeti vagy a
figyelmeztet (tallat esetn) levelet.
4.2.9. AMaViSd-new
A levelek vruskeressben elengedhetetlen lncszem. Ez a program kti ssze az MTA-t s a
vruskerest, ezrt ennek a j belltsa szintn elengedhetetlen a vrusos levelek elfogsban.
Nagyon sok vruskerest tmogat, azonban n csak a ClamAV-t hasznlom, mert ez az egy
ingyenes1.
/etc/amavis/amavisd.conf rszlet
# @bypass_virus_checks_acl = qw( . );# @bypass_spam_checks_acl = qw( . );
$inet_socket_port = 10024;
$final_virus_destiny = D_DISCARD;$final_banned_destiny = D_DISCARD;$final_spam_destiny = D_DISCARD;$final_bad_header_destiny = D_PASS;
$warnvirusrecip = 1
1. Az F-Prot is ingyenes, de csak magn felhasznlk szmra, azonban a kollgium nem minsl annak.
123456789
101112
13141516
12
3
4567
8
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
36/57
4. Megvalsts ismertetse 36
$sa_local_tests_only = 0; # (default: false)
$first_infected_stops_scan = 1;@av_scanners = (['Clam Antivirus-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],qr/\bOK$/, qr/\bFOUND$/,qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);
@av_scanners_backup = (['Clam Antivirus - clamscan', 'clamscan',"--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], [1],qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);
Az els kt sor kikommentezett, azaz nem rvnyesl a belltsuk, azonban gy j. Azrt
mutatom be, mert az rvnyestskkel lehet kikapcsolni a vruskeresst (1. sor) s a
SPAM-szrst (2. sor). Teht azzal kapcsoljuk be ezt a kt funkcit, hogy a kt sort
kikommenteztk. A 3. sorban hatrozhatjuk meg a hasznlt socket portjt, alaprtelmezetten
a 10024-es portot hasznlja. Ha megvltoztatjuk, akkor figyeljk r, hogy a Postfix
master.cf fjljban is rjuk t a portot, mert klnben a Postfix nem tudja majd tadni a
levelet az AMaViSd-new-nak. A 4-7. sorig terjed belltsokban adhatjuk meg, hogy a
berkez vrusos, tiltott, SPAM vagy hibs fejlc levelekkel mi trtnjen. Alapesetben a
kld rtestse van belltva az els hrom esetben, a negyedikben pedig a tovbbengeds.Azonban nem tartom jnak a felad rtestst, mert a vrusos s a SPAM levelek terjedse
mr gy is jelents mrtket lttt, ezrt a sok ilyen jelleg levelekre trtn vlaszlevl
kldse csak tovbb rontja a hlzatok tereszt kpessgt. Ennek fnyben, az ilyen jelleg
leveleket eldobatom, csak a cmzett felhasznl kap egy rtestst (8. sor). A 9. sorban azt
lltottam be, hogy ne csak helyi tesztelsen essenek t a levelek, azaz, ha szksges, akkor
hasznlja az internet-elrst a tesztels sorn a SpamAssassin. Mint rtam mr, az
AmaViSd-new tbb vruskerest is tmogat egyszerre, amelyeket ha belltottuk, akkorhasznl is, egyms utn futtatja le ket a levlen. Azonban bellthat, hogy amint valamelyik
keres vrust tall, akkor fejezdjn be a keress, ne futtassa le a sorban kvetkez
vruskeresket. n ezt bekapcsoltam a 10. sorban, br nincs jelentsge, mert amgy is csak
egy vruskeres van belltva. A 11-20. sorig pedig a ClamAV vruskeres hasznlatnak
belltsa lthat.
4.2.10. ClamAV
A mai helyzetben szinte megengedhetetlen, hogy az ember gpn ne legyen vruskeres. A
GNU/Linux rendszerekre szinte emltsre sem mlt szm vrus, frget rtak, de azrt
9
101112
13141516
1718192021
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
37/57
4. Megvalsts ismertetse 37
akadnak. Azonban elssorban a GNU/Linux rendszereken elhelyezett vruskeresk egyb
rendszerek vdelmre szolglnak, mert ha nem vdennk ket, akkor a svszlessg pazarlsa
(vrusok terjedse) a tiszta rendszereket is htrnyosan rinten. Ezrt rdemes tartani egy
jl belltott vruskerest a levlvrusok ellen is.
/etc/clamav/clamd.conf rszlet
User amavisScanArchiveArchiveMaxRecursion 5ArchiveMaxFiles 1000ArchiveMaxFileSize 10MDatabaseDirectory /var/lib/clamav/ScanOLE2ScanPE
DetectBrokenExecutablesScanHTML
Az 1. sor egy nagyon fontos belltst tartalmaz. Mivel a ClamAV-t levelek ellenrzsre
hasznljuk, s az AMaViSd-new-t hasznljuk az MTA s a vruskeres sszekapcsolsra, gy
a vruskeresnek is az AMaViSd-new felhasznljnak nevben kell futnia, hogy hozzfrjen
az tadott fjlokhoz. A 2. sorban belltottam, hogy a csatolt archv fjlokban is keressen, amit
5 szint mlysgig hajt vgre (3. sor). sszesen csak 1000 fjlt nz t egy levlben maximum
(4. sor), s egy levl mrete nem haladhatja meg a 10MByte-ot (5. sor). A 6. sorban az
vrusadatbzis knyvtrt adhatjuk meg. A 7. sorban megadtam, hogy a Microsoft Office
fjlokat is vizsglja t (macro vrusok). A 8. sorban belltottam a Portable Executable fjlok
ellenrzst, ez egy futtathat fjlformtum a 32-bites Windows rendszereken. A 9. sorban
bekapcsoltam a hibs futtathat fjlok ellenrzst. A 10. sorban pedig a HTML fjlok
tvizsglst rtam el (JavaScript, VisualBasic script, stb.).
Azonban mit rne egy jl belltott vruskeressi rendszer, ha a vrus-adatbzis nemnapraksz. A ClamAV rendelkezik egy daemon programmal, amivel naprakszen tarthatjuk a
vruskeres vrus-adatbzist.
/etc/clamav/freshclam.conf rszlet
DatabaseOwner amavisChecks 24DatabaseMirror db.hu.clamav.netDatabaseMirror database.clamav.netDatabaseDirectory /var/lib/clamav/
12345678
910
12345
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
38/57
4. Megvalsts ismertetse 38
Itt is belltjuk, hogy az amavis felhasznl nevben tevkenykedjen (1. sor). A 2. sorban a
napi frisstsek kezdemnyezsnek szmt adtam meg. A 3. s 4. sorban azokat a szerver
cmeket adtam meg, ahonnan frisstheti a vrus-adatbzist. Az 5. sorban pedig megadtam neki,
hogy melyik knyvtrban tallhat a vrus-adatbzis.
4.2.11. SpamAssassin
A kretlen levelek szrsre a SpamAssassin programot hasznlom, ami alapbelltsokkal
is nagyon jl mkdik, de azrt rendelkezik pr hasznos llthat opcival:
/etc/spamassassin/local.cf rszlet
auto_whitelist_path /etc/spamassassin/auto-whitelistrewrite_subject 1
report_safe 1bayes_path /var/lib/amavis/.spamassassin/bayes
A 1. sorban megadhatjuk a whitelist1 tvonalt. A 2. sorban llthatjuk be azt, hogy a
SpamAssassin szksg esetn a trgy sorban megjellje a levelet, hogy SPAM. A 3. sorban
belltottam, hogy mindenkppen tegyen jelentst a levl fejlcben, ha nem SPAM, akkor is.
Egy kis ideig figyelve a levelek tartalmt s az ltaluk elrt pontszmot, biztosabbanmegllapthat az a pontrtk, aminek elrse esetn a levl SPAM-nek minsljn. Vgl, a
4. sorban a SPAM adatbzis trolsi knyvtrt adtam meg, ugyanis a sa-learn programmal
lehet tantani a SpamAssassin-t s a megtanult szablyokat az itt megadott knyvtrban
trolja.
rdemes egy pillantst vetni a SpamAssassin egy msik bellt fjljra is. Tipikus hiba
szokott lenni, hogy ezt a fjlt nem mdostjk:
/etc/default/spamassassin rszlet
enable=1OPTIONS="-d -m 10 -a"
Ugyanis, alaprtelmezetten a SpamAssassin futsa ki van kapcsolva. A futsnak
engedlyezst az 1. sorban ltottak szerint lehet. A 2. sorba megadhatunk pr opcit a futs
mikntjhez. A -d jelentse, hogy daemon programknt, a httrben fusson. A -m 10
1. Fehr-lista, az ezen szerepl email-cmek automatikusan tiszta (clean) llapotak, nem ellenrzi ket.
12
34
12
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
39/57
4. Megvalsts ismertetse 39
jelentse, hogy egyszerre 10 gyerek-processzt hozhat ltre. A -a opcival pedig a
auto-whitelists hasznlatt engedlyeztem.
4.2.12. Courier Mail Server
A levelek leszedshez (POP3) vagy megtekintshez (IMAP) is szksges hitelests, ezrt
itt is be kell lltani az LDAP-szerver elrst:
/etc/courier/authldaprc rszlet
LDAP_SERVER ldap.sztlkk.huLDAP_PORT 389LDAP_BASEDN dc=sztlkk,dc=huLDAP_BINDDN cn=admin,dc=sztlkk,dc=hu
LDAP_BINDPW {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7LDAP_TIMEOUT 15LDAP_AUTHBIND 1LDAP_MAIL uidLDAP_FILTER (AccountStatus=active)LDAP_GLOB_UID vmailLDAP_GLOB_GID vmailLDAP_HOMEDIR mailMessageStoreLDAP_MAILDIR mailMessageStoreLDAP_FULLNAME cnLDAP_CRYPTPW userPasswordLDAP_DEREF neverLDAP_TLS 0
Itt mr rszletezni sem kell a belltsokat, ugyan azokat kell belltani, mint a tbbi
szolgltatsnl.
4.2.13. SquirrelMail
Alapesetben is jl belltott webmail-t kapunk a teleptse utn, azonban rdemes itt is
belenylni kicsit a belltsokba:
/etc/squirrelmail/config.php rszlet
$squirrelmail_default_language = 'hu_HU';$default_charset = 'iso-8859-2';
Az fentebb lthat kt sorban megadtam, hogy magyar nyelv felletet mutasson (1. sor),
valamint helyesen jelenjenek meg az kezetes karakterek (2. sor).
1234
56789
1011121314151617
12
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
40/57
4. Megvalsts ismertetse 40
4.2.14. Shaperd
A klnbz fjlmegoszts programok nagyban terhelik a svszlessgnket, ami amgy sem
tl nagy, gy szksges volt bezemelni egy svszlessg-korltoz programot a
fjlmegoszts1 programok lasstsra2:
/etc/shaperd/shaperd.conf
class BelsoIP-kifele {bandwidth = 25.0 kbyte/sipv4 classifier saddr=192.168.21.0/255.255.255.0queue limits = 0 kb 200 packetsborrow from KulsoIP-kifele
}class BelsoIP-befele {
bandwidth = 100.0 kbyte/s
ipv4 classifier daddr=192.168.21.0/255.255.255.0queue limits = 0 kb 200 packetsborrow from KulsoIP-befele
}class KulsoIP-kifele {
bandwidth = 25.0 kbyte/sipv4 classifier saddr=193.225.151.16/255.255.255.240queue limits = 0 kb 200 packetsborrow from BelsoIP-kifele
}class KulsoIP-befele {
bandwidth = 100.0 kbyte/sipv4 classifier daddr=193.225.151.16/255.255.255.240queue limits = 0 kb 200 packetsborrow from BelsoIP-befele
}
Lehet ltni, hogy mind kifel mind befel mkdik a korltozs. Befel 200kbyte/sec, kifel
50kbyte/sec sebessget enged maximum. Mivel kt IP-cm tartomny van, ezrt kell ennyi
bejegyzs, viszont a svszlessg-korltozs esetn egy hlzatknt akartam kezelni ezeket,
azrt adtam meg az 5., 11., 17. s 23. sorban a borrow from opcit, amivel azt lehet jelezni,
hogy melyik msik rszbl vehet t svszlessget, ha ott ppen van felesleges, ki nem
hasznlt svszlessg.
4.3. Szoftver belltsok kliens oldalon
A szakdolgozatom tmakre a szerverek belltsa, azonban a munkm rsze volt a kabinet
terem kiptse s az ott elhelyezett szmtgpek zembe helyezse is (Windows XP s
Debian GNU/Linux opercis rendszerek teleptse, belltsa), ezrt rviden lerom a kt
rendszer belltst.
1. Direct Connect, Gnutella, WinMX, Kazaa, stb.2. Ltezik iptables-hez egy p2p modul, ami kpes detektlni ha egy csomag valamelyik fjlmegoszts
programhoz tartozik, gy ezeket a csomagokat t tudom adatni a svszlessg-korltoz programnak.
12345678
91011121314151617181920212223
24
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
41/57
4. Megvalsts ismertetse 41
4.3.1. Windows XP
Kt alapvet belltst eszkzlni kell, hogy egyltaln szba jhessen a hlzatrl trtn
felhasznl-hitelests. Elszr a biztonsg fokozsnak rdekben a Vezrlpult /
Felhasznli fikok / A felhasznlk be- s kijelentkezsi mdjnak megvltoztatsa alatt
kapcsoljuk ki Az dvzlkperny hasznlata menpontot, gy nem lehet ltni, hogy milyen
felhasznlk lteznek a rendszerben, minden felhasznlnak be kell rnia a sajt azonostjt
s jelszavt, majd ki kell vlasztania, hogy tartomnyba akar belpni, vgl pedig
kezdemnyezni a bejelentkezsi folyamatot az OK gomb lenyomsval.
Ezutn a rendszert be kell lptetni a megfelel tartomnyba: Vezrlpult / Rendszer /
Szmtgpnv / Mdosts alatt vltsunk t a Munkacsoportrl Tartomnyra, atartomny neve pedig legyen: KABINET (lsd fentebb: /etc/samba/smb.conf rszlet: a
[global] rsz 3. sora). A tartomnyba lpshez meg kell adni a root felhasznlt1 s
jelszavt.
A sikeres hitelestst kveten a felhasznl sajt profil knyvtrt t kell tlteni a
fjl-szerverrl az opercis rendszernek. Ezt a Windows XP automatikusan megteszi, azonban
pr belltott alaprtket meg kell vltoztatni:
A regedit programmal eszkzlt vltozsok:
/ Sajtgp / HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services /
Netlogon / Parameters /
"RequireSignOrSeal"=dword:00000000
"SignSecureChannel"=dword:00000000
A gpedit.msc programmal eszkzlt vltozsok:
/ Szmtgp konfigurcija / Felgyeleti sablonok / Rendszer / Felhasznli profilok /
Kzponti profilok gyorsttrba helyezett pldnyainak trlse: ENGEDLYEZVE
Felhasznl kilptetse, ha hinyoznak a kzponti profilok: ENGEDLYEZVE
A kzponti profilban vgzett mdostsoknak a kiszolglhoz val tovbbtsnak
megakadlyozsa: TILTVA
1. Arrl a root felhasznlrl van sz, amelyiket a root felhasznl hozzadsa az LDAP-adatbzishozrsznl hoztunk ltre.
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
42/57
4. Megvalsts ismertetse 42
Az emltett vltoztatsok utn jraindtjuk az opercis rendszert s mris elrhetv vlik a
hlzatrl trtn felhasznl-azonosts.
4.3.2. Debian GNU/Linux
A nvszolgltats alrendszer konfigurlsa
Az NSS (Name Service Subsystem) feladata elvgezni a felhasznli nevek s az uidNumber
egymshoz rendelst, ezrt rakjuk fel ezt a csomagot s lltsuk is be:
apt-get install libnss-ldap
Nyissuk meg a/etc/nsswitch.conf fjlt, s mdostsunk nhny sort, hogy az NSS a loklis
fjlokban, majd az LDAP-ban keresse meg a lekpezshez szksges informcit:
/etc/nsswitch.conf rszlet
passwd: files ldapgroup: files ldapshadow: files ldap
Ezutn az imnt felteleptett lib szmra adjuk meg az LDAP szervernk elrhetsgt:
/etc/libnss-ldap.conf rszlet
host ldap.sztlkk.hubase dc=sztlkk,dc=hu
A hitelests belltsa
A PAM (Pluggable Authenticaion Module) clja az, hogy az egyes hitelestst vgz modulok
knnyen cserlhetek legyenek egy szoftver alatt, s ne okozzon nagy problmt pl. az, ha
loklis hitelestsrl t szeretnnk trni LDAP hitelestsre. A Debian a Potato ta PAM-ot
hasznl. A hitelestshez fel kell tenni az LDAP-os PAM csomagot:
apt-get install libpam-ldap
1
123
12
1
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
43/57
4. Megvalsts ismertetse 43
Majd a konfigurcija sorn meg kell adni az LDAP szerver elrhetsgt. Ha minden jl
megy, akkor a fjlhoz nem kell hozznylni, mert a csomag teleptse sorn feltett krdsekre
vlaszolva a megfelel fjl legenerldik:
/etc/pam_ldap.conf rszlet
host ldap.sztlkk.hubase dc=sztlkk,dc=hurootbinddn cn=admin,dc=sztlkk,dc=hupam_password crypt
Minden szolgltats (service, program), ami hasznl PAM-ot kln konfigurcis fjllal
rendelkezik a/etc/pam.dknyvtrban. Minden egyes szolgltatst kln be kell konfigurlni
arra az estre, ha szeretnnk, hogy az a szolgltats hasznlja az LDAP szervert a
hitelestshez.
A login szolgltats belltsa:
/etc/pam.d/login rszlet
auth sufficient pam_unix.so nullok
auth sufficient pam_ldap.so use_first_passauth required pam_deny.so
account sufficient pam_unix.soaccount sufficient pam_ldap.so
password sufficient pam_unix.so nullok obscure min=4 max=8 md5password sufficient pam_ldap.so
Apasswdszolgltats belltsa:
/etc/pam.d/passwd rszlet
password sufficient pam_unix.so nullok obscure min=4 max=8 md5password sufficient pam_ldap.so
Mivel a feladat minden ms szolgltats (tbbek kztt pldul: ssh, sudo, kdm, stb.)
esetben is ugyan, ezrt nem rszletezem tovbb.
1234
1
23
45
67
12
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
44/57
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
45/57
4. Megvalsts ismertetse 45
szmljra s bemutatni valamelyik IT tagnak, aki bejegyzi a honlapon. Ugyanis az
internet_feleves_tilto perl szkript lefut a trelmi idszak lejrta utn s letiltja azokat
a felhasznlkat, akik nem fizettk be a hasznlati djat.
Akik a trelmi id lejrta utn ignyelnek Internet-elrst, azok az ignyls leadsa utn
bekerlnek ugyan az adatbzisba, de mg nem tudnak internetezni. Ha befizetik s a
befizetsrl szl csekket be is mutatjk valamelyik IT tagnak, akkor a csekk bemutatsnak
bejegyzse s a felhasznl engedlyezse utn ezen felhasznlk Internet-elrse is
engedlyezett vlik.
Az ignyls sorn meg kell adni tbbek kztt egy felhasznli nevet s egy jelszt, ami kell anyomtatshoz, a kabinet teremben a gpekre trtn bejelentkezshez, egyszval mindenhez
amihez a hitelests az LDAP-adatbzisbl trtnik meg, valamint az IT honlapra. Ezen fell
meg kell adni a szmtgp MAC-cmt1 s a kvnt DNS-nevet.
4.4.2. Kabinetes Internet-elrs ignyls
A kabinetes Internet-elrs ignylsnek esetn is ugyanazok a szablyok rvnyesek, mint
szobai Internet-elrs ignylsekor, csak itt nem kell megadni MAC-cmet s DNS-nevet.
Ebben az esetben a lak nem tud a szobjbl internetezni, csak a kabinet teremben lev
szmtgpeket hasznlhatja, amire bejelentkezni csak az ignylskor megadott felhasznli
nevet s jelszavat hasznlva tud. A szmtgpre trtn bejelentkezs utn hasznlhatja a
felteleptett programokat (szvegszerkeszt, tblzatkezel, kpszerkeszt, zenelejtsz, stb.),
internetezhet, nyomtathat.
4.4.3. Nyomtats a HK-s nyomtatval
A nyomtatshoz azonostanunk kell magunkat. A kabinet gpek esetn az opercis
rendszerbe trtn bejelentkezs alkalmval megtrtnik a hitelests. Ezutn brmelyik
programban csak r kell nyomni a nyomtats ikonra, ennek hatsra a nyomtatand
dokumentum tkerl a Samba-szerverre, ahol a nyomtatas szkript megnzi, hogy hny oldal
a nyomtatand dokumentum. Az tvizsgls utn a lapszm s az rrtke bekerl a
MySQL-adatbzisba, majd elkezddik a nyomtats. A nyomtatsi folyamat a 4.4.1.bra:
Nyomtatsi folyamat brn lthat:
1. Segtsgkppen a honlap az ignylsi oldalon elre kitlti a MAC-cmet, amit a httrben az oldal sajt magatvolrl megtudakol az ignyl szmtgptl.
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
46/57
4. Megvalsts ismertetse 46
4.4.1. bra: Nyomtatsi folyamat
4.5. Perl szkriptek
A weben keresztl vezrelhet felgyeleti rendszer lelkt adjk ezek a szkriptek: ellltjk az
IT honlapjt, karbantartjk a MySQL- s LDAP-adatbzist, vezrlik a msik kett szervert,
elvgzik a nyomtatst, stb. A tovbbiakban ezeket a szkripteket1 mutatom be.
it.cgi
sorok szma: 4118A IT weblapjt elllt perl szkript. Az egsz rendszer magjt kpezi, irnytja a
folyamatokat, futtatja le a kls szkripteket, kezeli a felhasznlkat s az adatbzisokat. Sok
fggvnyt hoztam ltre benne, de csak a fontosabbakat mutatom be funkcijuk szerint:
1. Tbb mint 5000 sor egyttvve az sszes szkript, gy a forrskdokat csak CD-n mellkeltem.
nyomtatand
Felhasznl gpe
nyomtat
MySQL
LDAP
authe
ntik
ci
adatokelmentse
SAMBA
nyomta
ts
elkldse
rrs: http://www.doksi.hu
-
8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)
47/57
4. Megvalsts ismertetse 47
it.cgi::Admin_jelszovalto
sorok szma: 341
Kezdetben tnyleges csak az admin felhasznlk1 jelszavnak megvltoztatsra volt.
Azonban a honlap fejldse kzben ide kerlt be az A rendszer finomhangolsa menpontis, amiben a rendszert lehet tlltani: pldul a trelmi idszak vagy a nyomtatsi kltsgek
megvltoztatsa, stb.
it.cgi::Felhasznalo_bekijelentkezes
sorok szma: 98
Az rendszerbe felvett felhasznlk a weboldalra is be tudnak jelentkezni, meg tudjk nzni
sajt adataikat (IP-cm, nyomtatsi kltsg, stb.). A bejelentkezsi folyamatot vgzi el ez afggvny.
it.cgi::Felhasznalo_informaciosoldal
sorok szma: 444
A felhasznl a weboldalra bejelentkezve, megnzheti a rendszerben trol adatait: domain
nv, IP-cm, MAC-cm, nyomtatott oldalak szma s kltsge, stb. Ezen fell lehetsge van
megvltoztatni a jelszavt, valamint a MAC-cmt. A MAC-cm megvltoztatsnak
lehetsgt azrt tartottam fontosak, mert ha vesz valamelyik felhasz