jónás zsolt - linux alapú weboldal létrehozása (2006, 57 oldal)

8/3/2019 Jns Zsolt - Linux alap weboldal ltrehozsa (2006, 57 oldal)

1/57

Tartalomjegyzk

1. Bevezet..................................................................................................................................3

1.1. Megvalstand feladat...................................................................................................3

2. Feladat rszletes ismertetse...................................................................................................5

3. Felhasznlt komponensek.......................................................................................................7

3.1. Opercis rendszer..........................................................................................................7

3.1.1. Debian GNU/Linux.................................................................................................7

3.2. Fejleszti krnyezet.........................................................................................................7

3.2.1. VIM..........................................................................................................................8

3.3. Programozsi nyelvek.....................................................................................................8

3.3.1. Perl...........................................................................................................................8

3.3.2. HTML......................................................................................................................93.3.3. CSS........................................................................................................................10

3.4. Szerver programok........................................................................................................10

3.4.1. Apache...................................................................................................................10

3.4.2. BIND9....................................................................................................................10

3.4.3. DHCP3...................................................................................................................11

3.4.4. Samba.....................................................................................................................11

3.5. Adatbzis programok.....................................................................................................12

3.5.1. MySQL..................................................................................................................12

3.5.2. OpenLDAP............................................................................................................13

3.6. Levelezshez hasznlt programok.................................................................................13

3.6.1. Postfix....................................................................................................................14

3.6.2. AMaViSd-new.......................................................................................................14

3.6.3. ClamAV.................................................................................................................14

3.6.4. SpamAssassin........................................................................................................15

3.6.5. Courier Mail Server...............................................................................................153.6.6. SquirrelMail...........................................................................................................16

3.7. Egyb.............................................................................................................................16

3.7.1. OpenSSH...............................................................................................................16

3.7.2. NetFilter / IPTables................................................................................................16

3.7.3. Shaperd..................................................................................................................17

4. Megvalsts ismertetse......................................................................................................18

4.1. Hardver..........................................................................................................................184.1.1. Szerver-gpek........................................................................................................18

4.1.2. Aktv eszkzk......................................................................................................19

rrs: http://www.doksi.hu


2/57

4.1.3. IP-cm tartomnyokrl...........................................................................................19

4.1.4. Kialaktott hlzati topolgia................................................................................20

4.2. Szoftver belltsok szerver oldalon..............................................................................23

4.2.1. Jelsz nlkli felhasznl-azonosts kulcsok segtsgvel SSH esetn...............23

4.2.2. DHCP-kiszolgl...................................................................................................244.2.3. BIND9....................................................................................................................25

4.2.4. Apache...................................................................................................................26

4.2.5. Samba....................................................................................................................26

4.2.6. LDAP ltrehozsa s a hozz kapcsold programok belltsa...........................29

4.2.7. MySQL..................................................................................................................32

4.2.8. Postfix....................................................................................................................33

4.2.9. AMaViSd-new.......................................................................................................35

4.2.10. ClamAV...............................................................................................................37

4.2.11. SpamAssassin......................................................................................................38

4.2.12. Courier Mail Server.............................................................................................39

4.2.13. SquirrelMail.........................................................................................................39

4.2.14. Shaperd................................................................................................................40

4.3. Szoftver belltsok kliens oldalon................................................................................41

4.3.1. Windows XP..........................................................................................................41

4.3.2. Debian GNU/Linux...............................................................................................424.4. Honlap hasznlata, mkdsi folyamatai......................................................................44

4.4.1. Szobai Internet-elrs ignyls..............................................................................44

4.4.2. Kabinetes Internet-elrs ignyls.........................................................................45

4.4.3. Nyomtats a HK-s nyomtatval........................................................................46

4.5. Perl szkriptek.................................................................................................................46

5. Tervezi dntsek sszefoglalsa..........................................................................................53

5.1. Kivitelezs elemzse, lehetsges alternatv megoldsok bemutatsa............................53

5.1.1. Exim, Postfix, Qmail vagy Sendmail?...................................................................53

5.1.2. Perl vagy PHP?......................................................................................................54

5.1.3. Mi az SNMP?........................................................................................................54

5.1.4. MySQL vagy PostgreSQL?....................................................................................55

5.2. Vgkvetkeztets...........................................................................................................56



3/57

1. Bevezet 3

1. Bevezet

1972-ben a Xerox Corporation1 gy dnttt, hogy egy olyan szmtgpet llt el, amelyet

kutatsi clokra lehet majd felhasznlni. A tervezs s munka eredmnyeknt megszletett az

Alto nvre hallgat szmtgp, amely a nevt a Xerox Palo Alto Research Center2-rl kapta,

ahol is kifejlesztsre kerlt. Az Alto Ed McCreight, Chuck Thacker, Butler Lampson, Bob

Sproull, s Dave Boggs sszefogsnak eredmnyeknt szletett meg. Az elkpzels az volt,

hogy egy olyan gpet kell alkotni amely knyelmesen elfr egy irodban, de mgis elegenden

ers ahhoz, hogy sok funkcis opercis rendszert s grafikus felletet tudjon futtatni.

1978-ban a Xerox tven Alto-t adomnyozott a Stanford Egyetemnek, a Carnegie-Mellon-nak,

s az MIT-nak (Massachusetts Institute of Technology). Ezek a gpek nagyon gyorsan

asszimilldtak a kutatsi kzssgben s nagyon hamar szabvnny vltak ebben akzegben. [1] A sors fintora, hogy br az Alto-nak kt genercijt is elksztettek a '70-es

vek sorn, s mg egy prototpus is teleptsre kerlt belle a Fehr Hzban, a Xerox

kereskedelmileg sosem hasznostotta a modern szemlyi szmtgpek s grafikus felletek

snek szmt csodlatos rendszert. [2]

Manapsg egy grafikus fellet nem jdonsg, desktop krnyezetben a gyors s hatkony

munkavgzs alapfelttele. 10-15 vvel ezeltt mg szokatlan volt, ha egy vllalat elindtottasajt honlapjt/portljt. Mra eljutottunk oda, hogy ha hatkonyan akar mkdni egy vllalat,

akkor rendelkeznie kell egy IT rszleggel, amely ltrehozza, zemelteti s fejleszti a vllalat

szmtgpes infrastruktrjt. St, pr vvel ezeltt elkezddtt a vllalatok webestse.

Manapsg alig tallni olyan vllalatot, amelynek ne lenne bels vllalati webes fellete.

1.1. Megvalstand feladat

A mai trendet szem eltt tartva, rendszergazdaknt egy olyan bels elrs weboldal

ltrehozsa volt a feladatom a Szent Lszl Katolikus Szakkollgiumban, amelyen keresztl a

kollgiumba bekltztt lakk internet-elrst ignyelhetnek. Csatlakoztatjk a

szmtgpket a szmtgpes hlzatra a falicsatlakozn keresztl, a weboldalon ignyelnek

maguknak IP-cmet, majd a krs feldolgozsa utn a kollgium tzfal szervere lehetv teszi

az internet elrst.

1. http://www.xerox.com2. http://www.parc.xerox.com

http://www.xerox.com/http://www.parc.xerox.com/http://www.parc.xerox.com/http://www.xerox.com/


4/57

1. Bevezet 4

Ezen fell meg kellett valstani egy nyomtat szervert is, amelyen keresztl a kollgium

laki tvolrl, a sajt szobjukbl nyomtathatnak. Termszetesen a rendszernek figyelnie kell

a nyomtatsokat: ki, mikor s mennyit nyomtat. Az eltrolt adatok alapjn minden hnap

vgn email-ben jelentst kell kldenie a nyomtatsrt felels szemlynek, hogy a nyomtatsidjak beszedhetek legyenek.



5/57

2. Feladat rszletes ismertetse 5

2. Feladat rszletes ismertetse

A Szent Lszl Katolikus Szakkollgiumban laktam mr egy ve, amely sorn flvkor

tvettem a rendszergazdai feladatok elltst, br akkor mg nem hivatalosan. Az v vgn

elismervn munkmat megbztak azzal, hogy lssam el a kvetkez v sorn a

rendszergazdai teendket, valamint tltsem be a frissen megalaptott Informatikai Tancs

elnki posztjt. Ennek keretn bell felkrtek a szakdolgozatomnak is vlasztott feladatra.

Adott volt egy teljesen res terem, amelyben ki

kellett alaktanom egy szmtgpes kabinetet,

amelyben a Szchenyi Istvn Egyetemtl kapott

10 szmtgpet kellett elhelyeznem rktve aszmtgpes hlzatra1, valamint ugyan ebben a

teremben (2.1.bra: Kabinet terem) kellett elrhetv

tennem a Hallgat nkormnyzat (HK)

nyomtatjt, hogy a bels hlzaton keresztl

brki nyomtathasson.

zembe kellett lltanom egy DHCP-kiszolglt, hogy az internet belltsa nagysgrendekkelegyszerbb legyen felhasznli oldalrl, valamint a rendszer esetleges talaktsa is

egyszeren, zkkenmentesen megtrtnhessen, gy hogy a felhasznlk maximum egy kis

internet-sznetet tapasztaljanak. A DHCP-rendszer ldsos hatst meg is tapasztalta a

kollgium, amikor bels IP-cmes hlzatrl tlltunk egy egyetemi IP-cm tartomnyra. A

vlts utn a felhasznlk szmtgpei mr az j IP-cm tartomnybl kaptak IP-cmet, gy a

felhasznlk semmilyen vltozst nem tapasztaltak, egy kis kellemetlensget2 leszmtva.

Egy DHCP-kiszolgl segtsgvel rendszeradminisztrtori oldalrl llthatjuk a kliensek

hlzati belltsait s ez magval hozza azt a tnyt, hogy a felhasznlknak nem kell tudniuk

az adott hlzatra vonatkoz IP- s DNS cmeket, netmask rtkeket, stb. Azonban van igny

arra, hogy mindezek ellenre tudjanak kapcsoldni egyms gpeihez, amihez tudni kellene a

msik felhasznl IP-cmt. E problma megoldsaknt ssze kellett lltanom egy

DNS-szervert, gy a felhasznlnak a csatlakozshoz csak a msik fl DNS-nevt kell

1. A szmtgpes kabinet kivitelezse nem kpezi rszt a szakdolgozatomnak, mert annak ltrehozsrl islehetne rni egy kln szakdolgozatot.

2. A tlls utn a DHCP msik IP-cmet kld a felhasznlnak, akinek a gpe tll az j IP-cmre, gy az sszesmegnyitott kapcsolata megszakad, de az j cmmel kezdemnyezett kapcsolatok mr ltrejnnek. Az tllssorn trtn megnyitott kapcsolatok megszakadsa elkerlhetetlen.

2.1. bra: Kabinet terem



6/57

2. Feladat rszletes ismertetse 6

tudnia. Minden felhasznl sajt maga adhatja meg a DNS-nevt, amikor internet-elrst

ignyel.

Ezen fell meg kellett alkotnom egy kzpontostott felhasznlazonostsi rendszert (LDAP),

amelyben az internet-hozzfrst (szobai vagy kabinetes) ignyelt felhasznlkat kell trolni

(MySQL). Ezen azonostsi adatbzis rvn megoldhat az, hogy brki nyomtathasson a

hlzaton keresztl (Samba-LDAP) a HK nyomtatjval gy, hogy nyomon kvethet

legyen a folyamat, s a hnap vgn beszedhet legyen a nyomtats ellenrtke.

A feladat megvalstsban teljesen szabad kezet kaptam, egyetlen megkts volt, miszerint

pnzt nem tudnak ldozni a feladat kivitelezsre a kollgium rszrl, csak az InformatikaiTancs keretben kltekezhettnk. Szerencsre, szoftveres oldalrl nem volt semmilyen

megkts, gy azokat a programokat hasznlhattam, amelyeket jl ismertem, vagy pp meg

akartam ismerni, mert a feladatra az a legalkalmasabb. A kvetkez fejezetben rszletesen

bemutatom a vlasztott programokat.



7/57

3. Felhasznlt komponensek 7

3. Felhasznlt komponensek

Tbb tnyez is befolysolt, amikor a felhasznlt komponenseket kivlasztottam. Kt

alapvet tnyez azonban jelentsen leszktette a felhasznlhat programok krt. Az els

ilyen tnyez volt a nylt forrskd programok hasznlata, a msik pedig a minl kisebb

hardver kvetelmny. Ennek tkrben rviden bemutatom a feladat megvalstshoz

felhasznlt sszetevket olyan sorrendben, ahogy a hasznlatuk egymsra pl.

3.1. Opercis rendszer

Mivel fontos tnyez volt a nylt forrskd programok hasznlata, ezrt vagy valamelyik

*BSD1 vagy GNU/Linux opercis rendszer kzl volt clszer vlasztani. Mivel nemismerem mlyebben a *BSD rendszereket, ezrt maradtak a GNU/Linux-ok.

3.1.1. Debian GNU/Linux

http://www.debian.org

Vlasztsom a Debian GNU/Linux opercis rendszerre esett. Kiforrott csomagkezel

rendszere miatt knnyedn telepthet s frissthetk a mr felteleptett programok.

Elsdlegesen szerver disztribcinak sznjk, de knnyen varzsolhat belle desktoprendszer is. A Debian ksztinek elsdleges szempontja a terjeszts sszelltsnl a

stabilits s hibamentessg. Ez rezhet is a 1,5-2 ves kiadsi peridusokbl. Szerverre

teleptett programoknl nem elsdleges szempont az j funkcik implementlsa, sokkal

fontosabb, hogy stabilan, megbzhatan mkdjn.

A ltrehozott rendszerben hrom Debian-t futtat szerver mkdik egytt, hogy a klnbz

szolgltatsokat a felhasznlk brmikor zavartalanul hasznlhassk.

3.2. Fejleszti krnyezet

Egy jl megvlasztott fejleszti krnyezet a megvalstand feladattl, mrettl fggen

akr napokkal, hnapokkal is lervidtheti a fejlesztsi idt.

1. FreeBSD, OpenBSD, NetBSD, stb.

http://www.debian.org/http://www.debian.org/


8/57


3.2.1. VIM1

http://www.vim.org

A sor-orientlt szvegszerkesztk fnykornak vghez jelentsen hozzjrult az els,

kperny-orientlt szvegszerkesztk program, ami nem volt ms, mint a vi (visual editor). A

Vim a vi szerkesztbl szletett, mint a neve is mutatja: Vi Improved. [3] [4]

Az eredeti unix-os szvegszerkeszt az ed volt, amely egy sor-orientlt szvegszerkeszt,

azaz hasznlatakor csak az aktulisan szerkesztett sor volt lthat. Bill Joy 1976 krnykn

kezdte el fejleszteni a vi programot. Ez volt az els kperny-orientlt szvegszerkeszt. A

tervezsekor szem eltt tartottk a lass hlzati kapcsolatokat, gy frgn dolgozhatunk vele

nagy fjlok esetn is akr egy modemes kapcsolatot hasznlva. [5]

Bram Moolenaar 1988-ban kezdte el fejleszteni a Vim programot, akkor mg Amign.

1991-ben jelent meg a Vim els vltozata. 1992-ben portoltk Unix al s elrte a vi szintjt,

ez volt az a pont, amikor a Vim tnylegesen Vi Improved lett (Vim 2.0). 1994

augusztusban jelent meg a Vim 3.0, amely mr tmogatta a tbbszrs bufferelst s az

ablakokat2. 1996 mjusban a Vim kiadsnak legnagyobb jdonsga a megjelent GUI volt,

amelyet Robert Webb fejlesztett. Syntax coloring/highlighting az 1998 februrjbanmegjelent Vim 5.0-ban jelent meg3. A Folding4 kpessg a legfigyelemremltbb lehetsg a

2000 jliusban megjelent Vim 6.0a-ban. [6]

3.3. Programozsi nyelvek

Honlap elksztshez elengedhetetlen, hogy ismerjk azokat a programozsi nyelveket,

amellyel weboldalt hozhatunk ltre, ezrt bemutatom a felhasznlt hrom nyelvet.

3.3.1. Perl

http://www.perl.org

A programnyelveknek fontos rszei a szkript nyelvek. Az egyre gyorsabb vl

szmtgpeken egyre jobb teljestmnnyel futnak a szkript nyelveken rt programok.

1. A fejleszts sorn egyik legsrbben alkalmazott eszkze volt szmomra s fontosnak tartom a bemutatst,mert sajnos mltatlanul kezelik ltalban az emberek. Igaz, hogy elriaszt lehet egy karakteresszvegszerkeszt, de a megtanulsba fektetett idt tbbszrsen meghllja.

2. Ne felejtsk el, hogy a Vim egy karakteres program, gy az ablak fogalma is karakteres kpernyn rtend.3. Nagy segtsg programozs s GNU/Linux vagy Unix rendszer konfigurlsa esetn.4. Jelentse: sszehajt, sszecsuk. Ezzel a kpessggel a megrt fggvnyeinket sszecsukhatjuk egy sorr. A

rendszer fejlesztsekor nagy segtsg volt szmomra.

http://www.vim.org/http://www.perl.org/http://www.vim.org/http://www.perl.org/


9/57


Manapsg nem csak a rendszergazdai feladatok automatizlsra hasznlatosak, hanem

hasznos, fontos feladatokat ellt programokat is rnak ltaluk. GNU/Linux opercis

rendszeren az egyik legnpszerbb kretlenlevl-szr programot Perl nyelvben rjk.

Valamint az Internet s Web programozs kapcsn is nagy npszersgre tett szert.

Mondhatjuk, hogy a CGI (Common Gateway Interface) programok dnt tbbsgt Perl

vagy PHP nyelven rjk. [7]

Larry Wall az Egyeslt llamok nyugati partjn egy cg rendszergazdjaknt dolgozott,

amikor ltrehozta a Perl programnyelvet, amelynek elszr nem Perl volt a neve. Larry

hosszas keresgls utn a Pearl ( Practical Extraction And Report Language) nevet

vlasztotta, azonban ilyen nev grafikai programnyelv mr ltezett, gy alakult ki a Perl nv.

A Perl els verzii mr ismertk a fjlkezelst, a skalrokat, a jelentsformtumokat s a

mintaillesztst, azonban nem ismerte az asszociatv tmbket (hash) s csak csekly szm

fggvnyt hasznlt. A programnyelv mkdsi krnek bvlse jelentsen fokozdott,

miutn Larry felrakta az Internetre. A Perl nyelv figyelemre mlt tulajdonsga a

(knyvtr)modulok kezelse. Nagyon sok fggetlen programoz kszt programmodulokat,

amelyek ppen olyan hasznosak, mint maga a nyelv. rdemes megltogatni valamelyikCPAN(A Comprehensive Perl Archive Network Szleskr Perl Archvum-hlzat) webhelyet. A

CPAN oldalak hirdetmnyek, tmaismertetk, terjesztsek, dokumentcik, portok s szkriptek

szerint rendezik . Tbb mint 70 CPAN Web helyet tartanak szmon, amelyek felptse

szabvnyostott. [3]

3.3.2. HTML

http://w3c.org/MarkUpA HTML ( Hyper Text Markup Language) fejlesztsekor egy bngszfggetlen nyelv

kifejlesztse volt a cl. A parancsokat jelek kz kell zrni (rtsd:

). A bngszpiac ersdsnek kvetkeztben a szabvnyosts sokszor

nem tudta kvetni a klnbz bngszkben megjelent j lehetsgeket. Ennek

kvetkeztben sok olyan oldal volt / van, amit csak kizrlag az egyik bngszkszt cg

programjval lehet megnzni. Ez tbblet kltsget r a ksztkre, mert a a megjelent

programkdot el kell kszteni mindegyik bngszre. 1997-be alkotta meg a World Wide

Web Consortium (W3C) a 4.0-s HTML szabvnyt, amely az eddigi legutols. Kiszmolhat,

http://w3c.org/MarkUphttp://w3c.org/MarkUp


10/57


hogy ht ves szabvny, de mg mindig tartalmaz olyan parancsokat, amiket nem tmogat

mindegyik bngsz... [8]

3.3.3. CSS

http://w3c.org/Style/CSS

A CSS-t (Cascading Stylesheet lpcszetes stluslapozs) rviden csakstluslapozsnak

nevezzk. Hasznlatval definilhatunk klnbz stlusokat, a HTML fjlban pedig csak

hivatkoznunk kell az adott elemnl, hogy melyik stlus tartozik hozz. Ezltal rvidebb

forrskd alakulhat ki, ugyanis minden stlust csak egyszer kell definilni, s utn csak

hivatkozunk r (rvidebb forrskd kisebb svszlessgigny kisebb kltsgek s

kisebb erforrsigny). A megjelents minden apr porcikjt befolysolhatjuk, ezltalpontosabban szerkeszthetnk meg egy weboldalt. A CSS szintn szabvnyostott, azonban ne

feledkezznk meg rla, hogy itt is rvnyes az a megllapts, hogy nem elg a szabvny

puszta lte, a bngszknek aszerint is kell mkdnik, azonban ez nem mindig van gy. [8]

3.4. Szerver programok

A kliens gpek fell rkez krsekre a szerver kld vlaszt, azonban ezeket a vlaszokat

elszr el kell lltani, erre valk a szerver-programok (kiszolglk).

3.4.1. Apache

http://apache.org

A megalkotott honlapot elrhetv is kell tenni, erre nincs alkalmasabb, mint egy webszerver.

Vlasztsom a mltn npszer Apache programra esett. A felmrst vgz szervezettl

fggen, de a klnbz statisztikkat tlagolva elmondhat, hogy az Apache fut a

webszerverek durvn 50%-n. Ez az arny bizonytja, hogy igen is van ltjogosultsga a nylt

forrskd programoknak. Sok egyb knyelmi szolgltatsa mellett kezeli a virtulis

host-okat, valamint kpes SSL kapcsolatra ltrehozsra is.

3.4.2. BIND9

http://www.isc.org/sw/bind

Nvszerverek kzl a vlasztsom a BIND9 (Berkeley Internet Name Domain v9) programra

esett, amely az egyik legelterjedtebb nvfelold-szerver. Azrt vlasztottam ezt, mert a nhnyDNS-szerverprogram kzl ezt ismerem egyedl. Jl konfigurlhat s a belltfjljai

http://w3c.org/Style/CSShttp://apache.org/http://www.isc.org/sw/bindhttp://w3c.org/Style/CSShttp://apache.org/http://www.isc.org/sw/bind


11/57


knnyen elllthatk akrmelyik szkript nyelvvel is, ezrt nem is kerestem msikat. Ez a

szerverprogram vgzi el a nvfeloldst s a fordtott nvfeloldst is.

3.4.3. DHCP3

http://www.isc.org/sw/dhcp

Az egyszerbb s knyelmesebb hasznlat rdekben DHCP (Dynamic Host Configuration

Protocol Dinamikus llomskonfigurcis protokoll) osztja ki az IP-cmeket a lakk

szmtgpeinek. Ezltal a bekltzs sorn nem kell klnbz misztikusnak tn szmokat

megtanulniuk, hanem csak rdugjk a szmtgpket a hlzatra. Minden hlzati krtynak

van egy egyedi MAC (Medium Access Control) azonostja, amit a rendszer nyilvntart a

hozzrendelt IP-cmmel egytt. Ezltal, ha valamelyik lak bekapcsolja a szmtgpt, akkoraz opercis rendszere kapcsolatba lp a DHCP-kiszolglval, ami vlaszul visszaadja a

kliens szmra fenntartott IP-cmet.

3.4.4. Samba

http://samba.org

Az LDAP-kiszolgl elvgzi a felhasznl azonostst, azonban szksg vagy egy

fjl-szerverre, ami trolja a felhasznlk fjljait. Ezen fell a Samba-kiszolgl vgzi a

nyomtat-megosztst is. GNU/Linux rendszeren az egyetlen teljes rtk1,2 fjl-szerver a

Samba, amelyet eredetileg Andrew Trigdell kezdett el fejleszteni. Az SMB (Server Message

Block) protokoll hasznlatval a Samba az opercis rendszerek bmulatos sokasga kztt

teszi lehetv az erforrsok megosztst.

A Samba a NetBIOS-bl fejldtt ki, br a NetBIOS nem annyira protokoll, mint inkbb

hlzati programok rshoz ptkveket szolgltat programozsi fellet (API). Br a

legtbben gy tekintenek a Samba-ra, mint amivel egy NT-kiszolglt kivlthatunk egy

linux-os gppel, azonban a Samba kpes fjlmegosztsi szolgltatst biztostani Windows

95/98/NT/2000/XP, OS/2, VMS, AIX, HP-UX, Linux s mg sok ms rendszer kztt. [9]

A Samba kt legfontosabb dmonja az nmbd s az smbd. Az els egy NetBIOS

nvkiszolglknt mkdik, az utbbi pedig az SMB kiszolgl feladatait ltja el. Kpes

tallzsvezrlknt (local master) s tartomnygazdaknt (domain master) is mkdni,

valamint nyjthat WINS szolgltatst is.

1. Elssorban nylt forrskd programra rtem.2. Tbbek kztt ltezik az NFS is, de a Samba sokkal tbb szolgltatst nyjt.

http://www.isc.org/sw/dhcphttp://samba.org/http://www.isc.org/sw/dhcphttp://samba.org/


12/57


3.5. Adatbzis programok

Kzpontostott felhasznl-kezelst megvalstani csak adatbzisok hasznlatval lehet. A

feladat kivitelezsnl kt adatbzist is hasznltam.

3.5.1. MySQL

http://dev.mysql.com

Adatbzis-kezelsrl ltalban akkor beszlnk, amikor a feldolgozand, kezelend adatok

mennyisge olyan nagy, hogy azok mr semmikppen nem frnek el a szmtgp operatv

memrijban, gy a httrtron kell elvgeznnk a munkt. Mivel a szmtgp memrija

nagysgrendekkel gyorsabb, mint brmely httrtr, az adatbzis-kezels a kezdetek ta

specilis problmkat vetett fel.

A Unix rendszerek ltal biztostott szrprogramok (sort, grep, awk, stb.) ha nem

szksges, nem olvassk be a bemen adatokat egyszerre a memriba, gy kpesek igen nagy

adatmennyisget feldolgozni. Ennek ellenre az adatbzis-kezels kifejezsen nem ezeket

az eszkzket rtjk, hanem klnleges, kimondottan nagy adatmennyisg feldolgozsra

kszlt programokat.

Napjaink relcis adatbzisainak kezelsre adatbzis-kiszolglkat hasznlunk. Az

adatbzis-kiszolgl olyan programrendszer, amely tbb felhasznl ltal kezelt

adatbzisokon vgez mveleteket. ltalban megengedett, hogy egy adatbzist egy idben

tbb felhasznl is hasznlhasson, az ebbl add problmk kezelst ugyanis szintn az

adatbzis-kiszolgln fut programok vgzik.

GNU/Linux rendszereken igen elterjedt mind a MySQL s mind a PostgreSQL adatbzis-

kiszolgl. Diplomamunkm megvalstshoz a MySQL programot vlasztottam.

Adatbzisban jelenleg csak 56 felhasznl adatt kell trolni, de ha minden lak szeretne

internet-elrst, akkor is maximum 106 f adatt kellene trolni. Ilyen mennyisg esetn

szinte mindegy, hogy melyik adatbzis-kiszolgl programot hasznlja az ember. A

PostgreSQL inkbb hatalmas adatbzisok esetn mutatja meg az erejt. Az adatok

mennyisge s felhasznlsa alapjn a vlasztsom a MySQL programra esett, mert csak

egyszer (select, insert, update, delete, stb.) mveleteket kell vgrehajtani az

adatbzis-tblkon, s ilyen mveletek esetn a MySQL kiemelkeden gyorsan dolgozik. [10]

http://dev.mysql.com/http://dev.mysql.com/


13/57


3.5.2. OpenLDAP

http://www.openldap.org

Minl tbb szolgltatst s programot hasznlnak egy vllalaton bell, minl tbb helyen

hasznlunk felhasznl-azonostst, annl nehezebb rendszergazdaknt kzben tartani a

felhasznlk azonostst. Nagy segtsget jelent egy kzpontostott azonostsi rendszer.

Egy kzponti adatbzis hasznlatval a biztonsg is nagymrtkben nvelhet. Azonban

gondot jelenthet, ha ez a kzponti adatbzis valami oknl fogva elrhetetlenn vlik, ezrt

clszer hibatr telepet hasznlni. Azonban szakdolgozatom sorn nem volt szksg HA

(high availability magas rendelkezsre lls) gptelepre.

A feladat kivitelezshez egy LDAP-kiszolgl (Lightweight Directory Acces Protocol

Pehelysly knyvtrhozzfrsi / cmtrhozzfrsi protokoll) vgzi el a kzpontostott

felhasznl-azonostst, amire az OpenLDAP kiszolgl-programot hasznltam fel. Azonban

j, ha tudjuk, hogy lteznek ms programok is, amelyek megvalstjk az LDAP-t. Ilyen

pldul a Netscape Directory Server, a Sun ONE Directory Server s korltokkal ugyan, de a

Microsoft Active Directory is a Windows 2000 szerverben. Megjegyzem, hogy a Novell NDS

rendszerben alkalmazhatunk LDAP-illeszt interface-t, gy ez a rendszer is megfelelhet

szksg esetn egy LDAP-kiszolglnak.

Az LDAP v3 protokoll, amelynek tmogatsa az OpenLDAP 2.0-s vltozatban jelent meg,

kpes a TLS (Transport Layer Security Szlltsi rtegbeli biztonsg) alap vdelemre ezt

a megoldst a bngszk s a levelezprogramok is hasznljk. A TLS az SSL (Secure Sockets

Layer) utdja.

3.6. Levelezshez hasznlt programok

Igyekeztem egy biztonsgos levl-szervert sszelltani, amelybe termszetesen beletartozik a

vruskeress s a SPAM szrse is.

3.6.1. Postfix

http://www.postfix.org

A Postfix egy MTA (Mail Transfer Agent), mely szabadon elrhet az IBM Public Licensealatt. Eredetileg Wietse Venema kezdte el fejleszteni az IBM tmogatsval Vmailer nv alatt,

http://www.openldap.org/http://www.postfix.org/http://www.openldap.org/http://www.postfix.org/


14/57


de ksbb nevet kellett vltoztatni, mivel az emltett nevet mr ms termk hasznlta, gy

szletett a Postfix nv. Mltn hres teljestmnyrl, biztonsgossgrl, s igen szles

kr konfigurlsi lehetsgeirl, idertve pl. akr LDAP alap lookup-okat, s klnbz

SPAM/UCE szrsi lehetsgeket is. A Postfix fejlesztsnl f szempont tovbb a "szp"

kd, s a kompatibilits ms MTA-kal, mely jelenti az RFC-k pontos betartst, vagy akr a

sendmail-bl, illetve qmail-bl (pl: Maildir tmogats) ismert adminisztrlsi megoldsokkal

val kompatibilitst, lehetv tve a knny tllst Postfix-re.

3.6.2. AMaViSd-new

http://www.amavis.org

Az AMaViSd-new egy olyan szkript, ami interfszt biztost a levlkld gynk (MTA) s aklnbz vruskeresk s tartalomszrk (pldul SPAM) kztt. Tmogatja az sszes

levlkld gynkt (MTA) az ltalnos SMTP szr (filter) mdon keresztl (idelis a

Postfix-hez s az Exim-hez). Gyorsabb s biztonsgosabb az SMTP filter mdot hasznlni,

mint az AMaViS cs (pipe) klienst.

3.6.3. ClamAV

http://www.clamav.netA Clam AntiVirus egy GPL license-sz vruskeres program UNIX rendszerekhez. Fleg

mail-szerverbe integrlva hasznljk, elssorban a csatolsok (attachment) tvizsglsra. A

keres tartalmaz egy flexibilis, stabil s tbb-szlas mkdst is tmogat motort, valamint

kpes automatikusan frissteni a vrus-adatbzist az Interneten keresztl.

A vruskeres fbb jellemzi:

parancssoros keressi

milter interfsz a sendmail szmra

adatbzis frissts digitlis alrs tmogatsval

vals idej keress (Linux s FreeBSD rendszeren)

tbb mind 20000 vrus, freg s trjai program detektlsa

beptett tmogats: RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet files, MS

CHM (Tmrtett HTML), MS SZDD

beptett tmogats: mbox, Maildir s raw postafikokhoz

http://www.amavis.org/http://www.clamav.net/http://www.amavis.org/http://www.clamav.net/


15/57


3.6.4. SpamAssassin

http://spamassassin.org

A SpamAssassin (SA) egy gynevezett "pontozsos" rendszerben mkd levlszemt

szr. Hasznlathoz t kell rajta hajtani a berkez leveleket, s a SA klnbz szempontok

(trgr szavak, csupa nagybet a trgyban, nem azonosthat kld, s egyb SPAM-ra utal

jelek) alapjn pontozza a levl tartalmt, fejlct, stb.

Milyen technika alapjn szr?

fejlc elemzs

szveg elemzs

feketelistk (mail-abuse.org, ordb.org, stb.)

Razor SPAM-adatbzisa (http://razor.sourceforge.net)

Ha a levl egy elre belltott pontszmot elr, akkor SPAM-nak minsl, s innentl kezdve

eldnthetjk, hogy mit szeretnnk vele kezdeni. A SA kombinlhat vruskeresvel is, gy

hatkony vdelmet adhat a vrusok, frgek (worm) s egyb elektronikus krtevk ellen. A SA

tanthat is, azaz a berkezett SPAM-okbl kpes bvteni a felismershez hasznlt

adatbzist.

3.6.5. Courier Mail Server

http://www.courier-mta.org

A Courier levl-tviteli gynk (MTA) egy integrlt levelezs/csoportmunka kiszolgl, olyan

open commodity(?) protokollokon alakul, mint pldul az ESMTP, IMAP, POP3, LDAP, SSL

s HTTP. A Courier ESMTP-t, IMAP-ot, POP3-at, webmail-t s levelezlista szolgltatsokat

biztost egyetlen konzisztens keretrendszerben. Egyedi komponensek ki- s bekapcsolhatak

tetszs szerint. A Courier-ben most implementlsra kerlt alap web-alap naptr s

hatridnapl szolgltatsok, a webmail modulba integrlva. Tovbbfejlesztett csoportmunka-

naptr szolgltatsok is jnnek hamarosan

3.6.6. SquirrelMail

http://www.squirrelmail.org

SquirrelMail egy alapszint webmail csomag, amit tiszta PHP4 nyelven rtak, belertve a

tiszta PHP nyelv tmogatst az IMAP s az SMTP protokollhoz. Az sszes ltala ellltott

oldal tiszta HTML 4.0 (JavaScript igny nlkl) nyelven kszl a teljes bngszfggetlen

http://spamassassin.org/http://razor.sourceforge.net/http://www.courier-mta.org/http://www.squirrelmail.org/http://spamassassin.org/http://razor.sourceforge.net/http://www.courier-mta.org/http://www.squirrelmail.org/


16/57


megjelents rdekben. Kevs kvetelmnyt tmaszt a futtatshoz, ezen fell knny

telepteni s belltani. A SquirrelMail minden funkcit kpes megvalstani, amit egy

tlagos levelez program is tud: MIME tmogats, cmjegyzk, mappa mveletek, stb.

3.7. Egyb

Az egsz rendszer kialaktshoz s biztonsgos zemeltetshez felhasznltam mg az albbi

programokat.

3.7.1. OpenSSH

http://openssh.orgAz SSH a Secure Shell rvidtse. Segtsgvel bejelentkezhetnk egy msik gpre. A

telnet-tel ellenttben az SSH titkostja az adattvitelt, ami cskkenti az adattviteli

sebessget s jobban terheli az erforrsokat, azonban a biztonsg rdekben vllaljuk ezt a

tbblet terhet.

A Berkeley egyetem ltal megvalstott rsh, rcp, rlogin (az gynevezett r*) parancsok

levltsra hoztk ltre, ugyanis egyre fontosabb szerepet kapott a biztonsg. Atelnet

,FTP

s az r* parancsok az adatokat titkostatlan formban kldzgetik, gy knnyen ellophatk az

adatok, jelszavak. Az SSH ugyan azokat a funkcikat biztostja, mint az r* parancsok, csak

hasznlhatk klnbz kdknyvtrak s azonost mdszerek.

3.7.2. NetFilter / IPTables

http://netfilter.org

A netfilter egy beptett blokkol keretrendszer a 2.4.x-es s 2.6.x-es Linux kernel-ekben.

A keretrendszer kpes csomagokat szrni, hlzatcmet s portszmot fordtani (NAT/NAPT),

valamint kpes egyb csomagmanipulcikra. jratervezett s nagymrtkben javtott utdja a

Linux 2.2.x ipchains s a Linux 2.0.x ipfwadm rendszernek.

Az iptables egy ltalnos tblastruktra szablyrendszerek definilsra. Minden IP

tblzaton belli szably tbb osztlyozt (iptables matches) tartalmaz s egy hozz

kapcsold esemnyt (iptables target). A netfilter, iptables s a kapcsolat kvets,

valamint a NAT alrendszer egyttesen kpzik a keretrendszert.

http://openssh.org/http://netfilter.org/http://openssh.org/http://netfilter.org/


17/57


Fbb tulajdonsgok

nem llapottart (stateless) csomagszrs (IPv4 s IPv6)

llapottart (stateful) csomagszrs (IPv4)

hlzatcm s portszm fordts (NAT/NAPT)

flexibilis s bvthet kialakts

tbbrteg API fellet a kls fejlesztk szmra

hatalmas plugin s module gyjtemny 'patch-o-matic' csomagban

Mire hasznlhat a netfilter / iptables?

pthet stateless s stateful csomagszr tzfal

a NAT s a MASQUERADE hasznlatval internet megoszts hozhat ltre, ha nincs

elg publikus IP-cm

NAT hasznlatval ltrehozhatk tltsz (transparent) proxy-k

egyb csomagmanipulcik (mangle), gymint TOS/DSCP/ECN bit-ek vltoztatsa az

IP csomagok fejlcben

3.7.3. Shaperd

http://webs.sinectis.com.ar/lesanti/shaperdFelhasznl-mdban fut svszlessg-korltoz program TCP/IP hlzatokban. A Shaperd

a httrben fut, mint egy norml daemon program, azonban szksge van valamilyen

csomagtovbbt mechanizmusra, ami tadja neki a csomagokat. Jl egyttmkdik a Linux

2.4 netfilter / itptables rendszervel.

http://webs.sinectis.com.ar/lesanti/shaperdhttp://webs.sinectis.com.ar/lesanti/shaperd


18/57

4. Megvalsts ismertetse 18

4. Megvalsts ismertetse

A felhasznlt komponensek s a rszletes feladatlers ismertetse utn felvzolom a

megolds menett rviden, majd az egyes rszfeladatok teljes megvalstst. A feladat kt

rszre bonthat: hardver s szoftver. Az albbiakban ismertetem mindkett fel tmasztott

ignyeket s kvetelmnyeket, valamint a feladat kivitelezst.

4.1. Hardver

A feladat kivitelezse eltt egy szmtgp vgezte a tzfal, web-szerver s tbb-kevsb a

DNS feladatt. A vezetsg szmtgpparkjban trtnt fejlesztsek sorn a leselejtezett

gpekbl kaptunk kt darabot, gy a hrom szmtgpbl lehetsgem nylt ltrehozni egyolyan szerverfarmot, amelyben logikailag s fizikailag is elszeparlhat szolgltatsokat kln

szervergpre tudtam helyezni.

4.1.1. Szerver-gpek

Az albbi listban bemutatom a rendelkezsemre ll szmtgpeket. Lthat, hogy

mindegyik szerver gpben Celeron processzor dolgozik. Azonban, mint kztudott, a

Celeron processzorokat kzel sem szerverekbe sznjk, nem arra terveztk ket, hogy napi 24rban dolgozzanak. A trseknek s az elrsoknak nem megfelel Pentium tpus

processzorokbl lettek a Celeron-ok. Ennek tudatban prbltam a szolgltatsokat elosztani,

kikapcsolni a titkostsokat, ahol nem ltkrds, azaz minimalizltam a szerverek terhelst.

WOTAN szerver:

Celeron@333MHz, 384MB RAM, 4GB IDE HDD

IP-cmei: 192.168.1.1, 192.168.21.1, 193.225.151.18

ADSL kapcsolat biztostsa a vezetsgi gpeknek

(igazgati, gazdasgi, lelkszsgi)

DNS, DHCP, Postfix s Apache (http://sztlkk.hu)

ZEUS szerver:


IP-cmei: 192.168.33.4, 192.168.21.2, 192.168.100.1, 193.225.151.17

tzfal s svszlessg-korltozs elltsa

http://sztlkk.hu/http://sztlkk.hu/


19/57


SUN szerver:


IP-cme: 192.168.21.200/32

Samba, MySQL, LDAP s Apache (http://it.sztlkk.hu csak bels hlrl)

4.1.2. Aktv eszkzk

Egy hlzat tereszt kpessge jelentsen fgg az aktv eszkzk minsgtl s

tulajdonsgaitl, valamint a megfelelen kialaktott fggleges s vzszintes kbelezstl.

Az albbi aktv eszkzk lltak rendelkezsemre a feladat kivitelezsekor:

1 db Nortel Networks Baystack 350-24T Switch (Nortel switch)

1 db HP ProCurve Switch 2524 J4813A (HP switch)

1 db Cisco System FastHub 400 Series (Cisco FastHub)

2 db Series Mikro Networks Ethernet HUB-16+ (HUB#1 s HUB#2)

Nem aktv eszkzk, de logikailag ide tartoznak a patch-panelek:

RiT SMART UTO 24 ISO/IEC 11801 CATEGORY 5

RiT SMART UTO 48 ISO/IEC 11801 CATEGORY 5

EMInet System CAT5E-16 Unshielded (kabinet terem)

4.1.3. IP-cm tartomnyokrl

Ngyfle IP-cm tartomnyt hasznl a rendszer a mkdse sorn, a kvetkezkben ezeket az

IP-cm tartomnyokat mutatom be, hogy melyiket mely gpek hasznljk s mikor.

192.168.1.0/24

A vezetsgi gpek ebbl az IP-cm tartomnybl kapnak IP-cmet. Ebbl a hlzatbl nem

lthat a kollgium laki szmra fenntartott hlzat.

192.168.100.0/24

A kollgiumba bekltz hallgatk IP-cm ignylshez hasznlatos hlzat. A rendszer ltal

ismeretlen szmtgpek ebbl a hlzatbl kapnak IP-cmet, hogy elrjk az IT honlapjt1 s

tudjanak ignyelni maguknak rendes IP-cmet, amivel tudnak internetezni.

1. De mst nem.

http://it.sztlkk.hu/http://it.sztlkk.hu/


20/57


192.168.21.0/24

A kollgium laki szmra fenntartott hlzat. Ez egy egyetemi bels hlzatos cmtartomny,

de csak a mi kollgiumunk hasznlhatja. Ennek ksznheten a tzfalunk nem vgez

cmfordtst, hanem csak szri a rajta tmen csomagokat a portok s cmek alapjn, valamint

megvalstja a svszlessg-korltozst. A NAT-olst az egyetem f router gpe vgzi.

193.225.151.16/28

Szintn az egyetemtl kapott cmtartomny, kls IP-cmes alhlzat, amibl 14 IP-cm

hasznlhat. A hasznlatbl ered veszlyek miatt csak kivteles lakk kaphatnak innen

IP-cmet.

192.168.33.0/24

A kt rdis eszkz, az egyetem s a kollgium router-e (ZEUS) tartozik csak bele. Azrt

hoztuk ltre az Szchenyi Istvn Egyetem rendszergazdjval, hogy az egyetem fell rkez

broadcast zeneteket mg az egyetem oldaln megfogja, valamint a mi broadcast zeneteinket

se enged t az egyetem fel. Ezzel jelentsen tudtuk nvelni az teresztkpessget, jelentsen

kevesebb csomag vesz el ezutn.

4.1.4. Kialaktott hlzati topolgia

Kt Internet csatlakozssal rendelkezik a kollgium. Ez lehetsget adott arra, hogy a

vezetsgi gpek Internet elltst teljesen elszeparljam a kollgium laki ltal hasznlttl.

A vezetsgi gpek a HUB#2 eszkzre csatlakoznak, amire csatlakozik a WOTAN szerver is,

biztostva szmukra az Internet-megosztst, DHCP-, DNS-, SMTP- s POP3-szolgltatsokat,

valamint a tzfal szerept is tlti be erre a hlzatra. Ez a hlzat a 192.168.1.0/24-es cm.

A Nortel s HP switch-eket egy szlon (trunk-ls nlkl) ktttem ssze, hogy minl tbb

hely maradjon rajtuk a szobai gpek szmra, de sajnlatos mdon gy sem elg e kett

kapacitsa, fel kellett hasznlnom mg egy 16 portos hub-ot is (HUN#1). Figyeltem r, hogy a

kialaktott hlzat tereszt kpessge a lehet legjobb legyen, ezrt a ZEUS s a WOTAN

szerver is a logikailag kzpen elhelyezked HP switch-re kerlt, gy nem fordulhat el az,

hogy valakinek kt switch-en keresztl kell mennie a szerverig s onnan tovbb az Internetre.

Mszakilag megoldhat lenne, hogy tbb szlon legyenek sszektve (trnk) az aktv

eszkzk, azonban nem ll rendelkezsre megfelel szm switch a kivitelezshez. Aswitch-ek virtulis ramkrket hoznak ltre az aktv portjaik kztt, gy egy 10/100-as

switch-en keresztl egyszerre tbb szlon is lehet tlteni 100Mbit-es sebessggel. Dediklt



21/57


svszlessget biztost a virtulis ramkrrel sszekttt kt portnak, azonban, ha kt

switch-et ktnk ssze, ott, azon az egy kbelen keresztl maximlisan 100Mbit-es sebessget

rhetnk el. Azaz, ha egyszerre 2 szlon tltnk t adatot a kt switch kztt, akkor a kt szl

sszesen is csak 100Mbit-es sebessget ad, teht 1 szl tviteli sebessge egybl a felrecskken. A switch-ek 24 portosak, gy knnyen belthat, hogy az egy kbeles sszekttets

kevs, de sajnlatos mdon nincs lehetsg tbb szlas sszekttetsre (trunk-lsre), mert

akkor nem frne r minden szoba a hrom aktv eszkzre. Megolds lenne mg, ha vennnk

gigs uplink-et a kt switch-be, azonban a beltethet csatlakozk darabonknti 70.000,0

HUF nett rtke tl sok szmunkra jelen pillanatban. Erre a hlzatra rkttt szmtgpek

vagy a 192.168.21.0/24-es (bels IP-cmes) vagy a 193.225.151.16/28-as (kls IP-cmes)

hlzatbl kapnak IP-cmet. Termszetesen a kt hlzat szmtgpei elrik egymstmindenfle cmfordts nlkl, gymond transparent mdon (tltsz) kti ssze a ZEUS

szerver a kt hlzati tartomnyt. A rendszer ltal mg nem ismert gpek a

192.168.100.0/24-es hlzatbl kapnak IP-cmet, azonban ebbl a hlzatbl csak a SUN

szerver lthat, hogy elvgezhet legyen az IP-cm ignyls, de az ignylsi folyamatrl majd

ksbb.

Ezen fell a kabinet terem szmtgpei szmra is kellett Internet-elrst biztostanom. A

kabinet teremben foglal helyet a Cisco FastHub, ami szintn a logikailag kzpen

elhelyezked HP switch-re csatlakozik, amire ktttem r a 10 kabinetes szmtgpet s a

SUN szervert. Br a kabinet terem kialaktsnak megtervezst s kivitelezst is n

vgeztem, azonban ez nem kpezi rszt a szakdolgozatomnak, gy a kabinet terem fizikai

(kbelcsatornzs, kbelbeltets, stb.) kivitelezst nem rszletezem.

Az egsz rendszer topolgiai kialaktsa a 4.1.1.bra: Hlzati topolgia brn lthat. Mind a

fggleges, mint a vzszintes kbelezs CAT5-s UTP kbelezssel megvalstottk meg mg5 vvel ezeltt, gy az elrhet legnagyobb elmleti tviteli sebessg 100Mbit/sec. A hub

eszkzre kttt szobk tviteli sebessgt sajnos maga a hub bekorltozza 10Mbit/sec

sebessgre, valamint tovbb rontjk a hub felptsbl s mkdsbl add gyakori

tkzsek, de ez a lassuls csak a kollgium bels hlzatn rezhet, mivel az internet-elrs

sebessge csak 11Mbit, amit az egyetemtl kapunk egy 802.11b-s rdis eszkzn

keresztl.



22/57


4.1.1. bra: Hlzati topolgia

HUB#1

HPswitch

Nortelswitch

HUB#2

felhasznl

k

gpei

felhasznlk

gpei

felhasznlk

gpei

Ciscofasthub

kabinetterem

gpei

SU

N

szerver

H

K

nyomtatja

Rdisinternet

csatlakozs

ZEUS

szerver

WOTAN

szerver

gazdasgi

gp i

gazgati

gp

l

elkszsgi

gp

ADSLintern

et

csatlakozs



23/57


4.2. Szoftver belltsok szerver oldalon

A biztonsgos mkdshez rdemes finomhangolni egy-kt szolgltatst. Ebben az

alfejezetben vgigveszem az egyes programok belltst, amelyek nlkl nem mkdhetne

biztonsgosan a kialaktott rendszer.

4.2.1. Jelsz nlkli felhasznl-azonosts kulcsok segtsgvel SSH esetn

Egyik legfontosabb biztonsgi bellts, ugyanis a SUN szerver ltal ellltott DHCP, DNS s

IPTables belltfjlokat el kell juttatni a megfelel szervernek s az adott szolgltatst jra is

kell indtani. A jelszt nem rhatjuk be a szkript programban (biztonsgi okokbl), ezrt

biztonsgos jelsz nlkli azonostst kell alkalmazni.

Els s egyben elengedhetetlen lps, hogy sajt kulcsprt ksztsnk az ssh-keygen

programmal. Kt vlasztsi lehetsgnk van: vagy RSA- vagy DSA-kulcsokat hasznlunk.

Az RSA-szabadalom lejrt 2000 szeptemberben, azonban az SSH Protocol v.2 DSA

rendszer kulcsokat hasznl alapesetben, valamint a DSA-kulcsok szabadon hasznlhatak,

nylt szabvnyknt lett kifejlesztve.

DSA-kulcsok ltrehozsaBash$ ssh-keygen -t dsa...Your identification has been saved in /home/jonci/.ssh/id_dsa.Your public key has been saved in /home/jonci/.ssh/id_dsa.pub....Bash$

A -t dsa paramter megadsval krhetjk (1. sor) a DSA-kulcspr generlst. Az

alaprtelmezett kulcshossz 1024 bit. Az 512 bites RSA/DSA-kulcsok nyers er (brute force)

mdszervel knnyen feltrhetk. A 2048 bites kulcsok nem sokkal biztonsgosabbak a 1024

bites kulcsoknl, azonban jelentsen lasstjk a kdolsi folyamatot. A kulcspr ltrehozsa

sorn kt kulcsfjl jn ltre. Az egyik a titkos (3. sor), a msik a nyilvnos (4. sor) kulcsunkat

tartalmazza.

A nyilvnos kulcsot el kell juttatni a tvoli gpen a $HOME/.ssh/ knyvtrunkba s hozz

kell fznnk az authorized_keys fjlhoz1. A paranoinktl fggen vlaszthatunk tbb

klnbz mdszer kztt az tvitelre. Az interneten keresztli adattvitelre az ssh nyjtja a

1. Szerver belltstl fggen addhat gy is, hogy az authorized_keys2 fjlt kell hasznlni.

123456



24/57


legbiztonsgosabb kzeget, azonban ez is kijtszhat, gy az ajnlott mdszer az, ha

valamilyen adathordozt (floppy, CD, Pendrive, stb.) vlasztunk a kulcs tvitelre. A kulcs

tvitele utn az ssh parancs kiadsakor az ssh szerver jelsz nlkl

beenged minket, ugyanis a generlt DSA-kulcsprunkkal azonostjuk magunkat.

/etc/ssh/sshd_config rszlet

PasswordAuthentication noPermitRootLogin yesPermitEmptyPasswords no

Ha az azonosts nem sikerlt, akkor a nv/jelsz mdszerrel mg mindig azonosthatjukmagunkat, azonban ez utbbit rdemes letiltani az sshd_config fjlban, ha biztosra akarunk

menni (1. sor). Abban az esetben, ha nem akarjuk tiltani a nv/jelsz azonostst, legalbb

tiltsuk meg a bejelentkezst a root felhasznl szmra (2. sor), valamint ne engedlyezzk

az res jelszt (3. sor).

Tvoli parancsvgrehajts ssh-val

Bash$ ssh

ssh $SZERVER_WOTAN 'sh /etc/init.d/dhcp3-server restart 2>&1 > /dev/null'

Tvoli gpen trtn parancsvgrehajtsra szintn az ssh programot hasznlhatjuk. A parancs

szintaktikjt az 1. sorban lthatjuk. A DHCP-kiszolgl jraindtst a szabalyok_dhcp

perl szkriptben a 2. sorban lthat mdon oldottam meg. E megolds az egyik

legegyszerbb egy tvoli gpen fut daemon program jraindtsra.

4.2.2. DHCP-kiszolgl

A vezetsgi szmtgpek szmra is a WOTAN szerver biztostja az IP-cm kiosztst

DHCP-vel. Ebben semmi klnleges belltsi opci nincs, ellenben a szobai IP-cmek

kiosztsval. Ugyanis egy fizikai kbelezsen hrom IP-cm tartomnyt hasznlunk:

192.168.100.0/24, 192.168.21.0/24, 193.225.151.16/28. Ezen okbl

kifolylagshared-network belltst kell alkalmazni. Ennek a belltst (3-17. sor) lehet

ltni dhcp.conf fjlban:

123

1

2



25/57


/etc/dhcp3/dhcp.conf rszlet

default-lease-time 3600;max-lease-time 7200;shared-network 192.168.100-192.168.21-193.225.151 {

subnet 192.168.100.0 netmask 255.255.255.0 {

# dns, domain, router, broadcast cmek megadsadefault-lease-time 60;max-lease-time 120;

}subnet 192.168.21.0 netmask 255.255.255.0 {

# dns, domain, router, broadcast cmek megadsa# ismert kliens IP-cmnek hozzrendelse a MAC-cmhez

}subnet 193.225.151.16 netmask 255.255.255.0 {

# dns, domain, router, broadcast cmek megadsa# ismert kliens IP-cmnek hozzrendelse a MAC-cmhez

}}

A 192.168.100.0/24-es hlzat IP-cm ignylsre szolgl csak, azrt az alap lejrati id 60, a

maximum lejrati idt 120 msodpercnek (6-7. sor) lltottam be, ugyanis a rendszer kt

percenknt ellenriz1, hogy jra kell-e indtania valamelyik szolgltatst (DHCP, DNS, tzfal).

A MAC-cmhez rendelt IP-cmeket nem rtam be a kezdeti fjlba, ugyanis azt a

szabalyok_dhcp (lsd ksbb) perl szkript generlja a felhasznli adatbzisbl.

4.2.3. BIND9

A WOTAN biztostja az egsz kollgium szmra a nvfeloldst, valamint a kls IP-cmesek

nvfeloldst az Internet fel is. A program alapbelltsa megfelel, csak a znabejegyzseket

hoztam ltre:

/etc/bind/named.conf rszlet

zone sztlkk.hu {

type master;file sztlkk.hu;

};

zone 21.168.192.in-addr. {type master;file sztlkk.hu.rev;

};

zone sztlkk.sze.hu {type master;file sztlkk.sze.hu;

};

zone 16/28.225.193.in-addr. {type master;

1. Indoklsa a Perl szkriptek / szabalyok_ervenyesitese alfejezetben.

1234

56789

1011121314151617

1

234

5678

9101112

1314



26/57


file sztlkk.sze.hu.rev;};

Az 1-8. sorig szerepel a bels IP-cmek znafjljainak megadsa: DNS (1-4. sor) s reverse

DNS (5-8. sor). Az 9-16. sorig pedig a kls IP-cmek znafjljainak megadsa szerepel: DNS

(9-12. sor) s reverse DNS (13-16. sor). A megadott znafjlokat teljes egszben a

szabalyok_dns (lsd ksbb) perl szkript generlja.

4.2.4. Apache

Termszetesen SSL titkosts tmogatsval felteleptettem, hogy titkostott csatornn

keresztl trtnjen a bejelentkezs a honlapra. Az SSL tmogats belltsa DebianGNU/Linux rendszeren nagyon knnyen elvgezhet nhny dialgus ablak

megvlaszolsval, ezrt csak a virtulis host ltrehozst mutatom be:

/etc/apache/httpd.conf rszlet

NameVirtualHost 192.168.21.200

serveradmin [email protected] /var/www/itservername it.sztlkk.hu

ErrorLog /var/log/apache/it/error.logCustomLog /var/log/apache/it/access.log common

Az it.sztlkk.hu nvfeloldst a WOTAN gp vgzi. Azrt kellett virtulis host-ot

ltrehozni, mert a SUN szerver f honlapja msra van fenntartva, meg azrt is, mert a SUN

gp cme igazbl: sun.sztlkk.hu. A 2-8. sorig tart az it.sztlkk.hu virtulis szerver

definilsa s ez egyb loklis paramterek belltsa.

4.2.5. Samba

A Samba valstja meg a fjl-szerver funkcit (trolja a felhasznlk profil knyvtrt) s

vgzi el a felhasznl hitelestst szksg esetn. A legszebb a Samba-ban, hogy kpes akr

egyszerre is egyttmkdni az sszes Windows vltozattal ms opercis rendszerek mellett.

/etc/samba/smb.conf rszlet: a [global] rsz

[global]netbios name = sunworkgroup = KABINETcomment = LDAP es NYOMTATO server

1516

12345

678

1234



27/57


server string = %h server (Samba %v with LDAP)client code page = 852character set = ISO8859-2valid chars = 0x8B:0x8A 0xFB:0xEBtime server = yes

case sensitive = no

null passwords = noencrypt passwords = truepassword level = 10password server = sunsecurity = userdomain master = yeslocal master = yespreferred master = yesos level = 99domain logons = yeslogon path = \\%L\profiles\%ulogon home = \\%L\%Ulogon drive = X:

logon script = login.bat

passdb backend = ldapsam:ldap://localhost:389/ldap ssl = offldap admin dn = "cn=admin,dc=sztlkk,dc=hu"ldap suffix = "dc=sztlkk,dc=hu"ldap user suffix = "ou=Users"ldap machine suffix = "ou=Computers"ldap group suffix = "ou=Groups"ldap delete dn = noldap passwd sync = no

load printers = yesprintcap name= /etc/printcap.cups

printing = bsd

A 2-5. sorig ltalnos belltsokat tartalmaz, gpnv munkacsoport/tartomny, stb., valamint

a 6-7. sorig belltjuk, hogy helyesen kezelje a magyar karaktereket. A 8. sor megadsval

rhetjk el, hogy brmelyik magyar Windowstl rkez fjlnvben szerepl karakter

helyesen troldjanak.

A 11-13. sorig terjeden nveljk kicsit a biztonsgot, majd 16-20. sorig belltjuk, hogy aSamba szervernk legyen a domain master, valamint ha tbb domain master lenne a

hlzatban, akkor versenyezzen az elsbbsgrt. A 15. sorban user a belltott rtk, mert a

Samba szerver vgzi el a hitelestst felhasznlknt az LDAP adatbzis felhasznlsval,

nem pedig magt a bejelentkezett szmtgpt akarjuk hitelesteni.

A 21-24. sorig hatrozzuk meg, hogy a belptets sorn a kliens gp honnan vegye a

felhasznl profil knyvtrt, valamint belltdik mg pr hlzati bellts.

56789

10

11121314151617181920212223

24

252627282930313233

3435

36



28/57


Az igazi lnyeg a 25-33. sorig tallhat meg. Itt adjuk meg a Samba-nak, hogy jelszadatbzis

merre tallhat (LDAP), valamint az LDAP-adatbzisra vonatkoz gynevezett suffix-eket

(uttag, rag, toldalk): magra az adatbzisra, valamint a felhasznlk s a szmtgpek

bejegyzseihez. A 34-36. sorig pedig a nyomtat belltsa tallhat.

/etc/samba/smb.conf rszlet: a [netlogon] rsz

[netlogon]comment = Network Logon Servicepath = /var/lib/samba/netlogonbrowseable = no

A 24. sorban megadottlogin

szkript program knyvtrt is meg kell osztani, hogy a kliens

gpek hozzfrhessenek a bejelentkezs alkalmval. Termszetesen, nem kell tallzhatnak

lennie (40. sor) mivel megadtuk a szkript nevt (24. sor), nem kell tudnia a felhasznlnak,

hogy milyen ms szkriptek tallhatk itt mg meg, ugyanis lehet szemlyre szabott szkripteket

is kszteni.

/etc/samba/smb.conf rszlet: a [profiles] rsz

[profiles]

comment = Network Profiles Servicepath = /var/lib/samba/profiles/%uread only = nocreate mask = 0600directory mask = 0700writable = yesguest ok = noroot preexec = PROFILE=/var/lib/samba/profiles/%u;if [ ! -e $PROFILE ]

; then mkdir -pm700 $PROFILE; chown %u.%g $PROFILE;fi; /usr/lib/cgi-bin/kabinetgepekfoglaltsaga pre %m %u

root postexec = /usr/lib/cgi-bin/kabinetgepekfoglaltsaga post %m %u

A felhasznl sajt profil knyvtrnak megosztst vgezzk el a 43. sorban, aminek a vgnszerepl %u helyre a felhasznl login neve helyettestdik be, gy minden felhasznl

szmra egyedi profiles nev megoszts jn ltre, ami a sajt windows-os profil knyvtrt

tartalmazza. Tovbb megadtam egyb biztonsgi belltsokat, gy mint: ltrehozott fjl

jogai (45. sor), ltrehozott knyvtr jogai (46. sor), vendg felhasznl ne frjen hozz (48.

sor). A 49-51. sor tartalmazza a lefuttatand parancsot a hitelestett felhasznl bejelentkezse

eltt (bejegyeztetem, hogy melyik felhasznl mikor melyik gphez lt le), valamint a 52.

sorban megadom, hogy melyik programot kell lefuttatni, amikor a kapcsolat megsznik a

szerver s a felhasznl kztt.

37383940

414243444546474849505152



29/57


/etc/samba/smb.conf rszlet: a [printers] rsz

[printers]browseable = nopath = /tmpprintable = yes

guest ok = nopublic = nowriteable = nocreate mode = 0777print command = /usr/lib/cgi-bin/nyomtatas %u /tmp/%s

A HK birtokol egy nyomtatt, amit szvesen tadott a szmunkra, hogy csinljunk belle egy

a szmtgpes hlzaton keresztl mindenki szmra elrhet nyomtatt. A legjobb

megolds, hogy a nyomtatst is a hitelestst vgz szerver vgezze 1. Az 55. sorban adtam

meg, hogy a nyomtatand dokumentum ideiglenesen hova kerljn a nyomtatsig. A 61.sorban adtam meg, hogy a nyomtatand dokumentumot melyik program nyomtatja ki sikeres

hitelests esetn. Termszetesen a megadott szkriptet2 is n rtam, hogy a kinyomtatand

oldalszmot s annak rrtkt is elmenthessem a MySQL adatbzisba.

4.2.6. LDAP ltrehozsa s a hozz kapcsold programok belltsa

Mint a legtbb hlzati szolgltats, kpes egyszerre tbb kiszolgln futni:

adatbzis-tbbszrzssel (replication) vagy tirnytssal (referral). Az n esetemben ilyenlehetsgekre nem volt szksg a felhasznlk relatv alacsony szma miatt. Ezrt az

OpenLDAP libraries config llomnyt az albbi mdon lltottam be (ldap.conf):

/etc/ldap/ldap.conf rszlet

BASE dc=sztlkk, dc=huURI ldap://localhost:389ssl nopam_password crypt

Az alapvet belltsokat adhatjuk meg az adatbzis-kezel library-knek, miszerint milyen

nvtrhez (namespace) tartozik az adatbzis (1. sor), merre tallhat meg (2. sor),

hasznljunk-e SSL titkostst vagy sem (3. sor), valamint a jelszavak trolsnak mdjt (4.

sor). SSL titkostst azrt nem hasznlok, mert csak a mr emltett kabinet teremben lv

gpek lphetnek be a tartomnyba. E gpek egy switch-en keresztl csatlakoznak a Samba-t s

1. A legjobb megolds az lenne, ha a MySQL s az LDAP is kln-kln szerveren lenne, de az IT anyagihelyzete ezt nem teszi lehetv.

2. Ismertetse a Perl szkriptek / nyomtatas alfejezetben.

53545556

5758596061

1234



30/57


31/57


rootpw legenerlsa xxx jelszval:

Bash$ slappasswd -h {SSHA}New password:Re-enter new password:{SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7

Legfels szint ltrehozsa az LDAP-adatbzisban

Az albbi bejegyzs hozzadsval kell kezdeni, kell egy kzs gykr, ahonnan ered majd az

egsz LDAP-fa:

toplevel.ldif fjl:

dn: dc=sztlkk,dc=hu

objectClass: topobjectClass: dcObjectobjectClass: organizationo: SzTLKKdc: sztlkk

Azonban ezt a csomagtelept automatikusan megteszi a slapd csomag teleptsekor.

Admin felhasznl hozzadsa az LDAP-adatbzishoz

Kell az adatbzisba egy olyan felhasznl, akinek joga lesz minden tovbbi mdostst

elvgeznie: samba tartomny (domain), szmtgp, csoport, felhasznl hozzadsa s

elvtele. Ez a felhasznl az admin, akit a kvetkez bejegyzs hozzadsval hozhatunk

ltre:

admin.ldif fjl:

dn: cn=admin,dc=sztlkk,dc=huobjectClass: simpleSecurityObject

objectClass: organizationalRolecn: admindescription: LDAP administratoruserPassword: {crypt}$adminpass

A csomagtelept ezt is automatikusan megteszi a slapd csomag teleptsekor. A legfels

szint s az admin felhasznl hozzadshoz szksges aslapd.conf10-11. sora. A telepts

befejezse utn azt a kt sort trljk ki. Szksg esetn brmikor visszarhatjuk, de normlis

hasznlat mellett tbb nem lesz r szksg.

1234

1

23456

12

3456



32/57


33/57


A mysqld (mysql daemon) belltsnak rsze a kiemelt hrom bellts, az 2. sorban lltjuk

be, hogy a MySQL szerver csak loklis krsekre feleljen, azaz a hlzatrl rkez krseket

dobja el. Mivel a honlap ugyanazon a gpen helyezkedik el, mint amelyiken a

MySQL-adatbzis is helyett foglal, gy nyugodtan bellthatjuk ezt, csak a biztonsgot

nveljk vele. A 3. sorban vltoztathatjuk meg az adatbzisok fjlrendszer szint helyt. A 4.

sorban pedig a kommunikcis portot lltottam be, amin keresztl a kliens program krseket

intzhet a szerver programhoz.

4.2.8. Postfix

Habr a Debian GNU/Linux opercis rendszer alaprtelmezett mail-kiszolglja az Exim,

azonban n lecserltem ezt a Postfix nev kiszolglra. Jobban, rszletesebbenkonfigurlhat, valamint jobban is integrlhat az LDAP-bl trtn hitelests a programba.

/etc/postfix/main.cf rszlet

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)delay_warning_time = 4hmyhostname = sztlkk.hualias_maps = hash:/etc/aliases, ldap:/etc/postfix/ldap-aliases.cfalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = sztlkk.hu, sztlkk.sze.hu, localhost

mynetworks = 127.0.0.0/8 192.168.21.0/24 193.225.151.16/28mailbox_size_limit = 0home_mailbox = Maildir/content_filter = smtp-amavis:[127.0.0.1]:10024

local_transport = virtualvirtual_mailbox_base = /var/mail/virtual_mailbox_maps = ldap:/etc/postfix/ldap-aliases.cfvirtual_uid_maps = static:vmailvirtual_gid_maps = static:vmailvirtual_minimum_uid = 1000virtual_mailbox_limit = 0ldapvirtual_server_host = ldap.sztlkk.huldapvirtual_server_port = 389

ldapvirtual_bind = yesldapvirtual_bind_dn = cn=admin,dc=sztlkk,dc=huldapvirtual_bind_pw = {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7ldapvirtual_search_base = dc=sztlkk,dc=huldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(

(AccountStatus=active)(accountStatus=shared)))ldapvirtual_result_attribute = mailMessageStore

ldapalias_server_host = ldap.sztlkk.huldapalias_server_port = 389ldapalias_bind = yesldapalias_bind_dn = cn=admin,dc=sztlkk,dc=huldapalias_bind_pw = {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7ldapalias_search_base = dc=sztlkk,dc=huldapalias_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|

(AccountStatus=active)(AccountStatus=shared)))ldapalias_result_attribute = mail

1234567

89

1011

121314151617181920

21222324252627

28293031323334

3536



34/57


35/57


A Postfix programnak van egy msik bellt fjlja is, ami szintn mdostsra szorul a

rendszer (vruskeress, SPAM szrs) helyes mkdse rdekben.

/etc/postfix/master.cf rszlet

smtp-amavis unix - - y - 2 smtp-o smtp_data_done_timeout=1200-o disable_dns_lookups=yes

127.0.0.1:10025 inet n - n - - smtpd-o content_filter=-o local_recipient_maps=-o relay_recipient_maps=-o smtpd_restriction_classes=-o smtpd_client_restrictions=-o smtpd_helo_restrictions=-o smtpd_sender_restrictions=-o smtpd_recipient_restrictions=permit_mynetworks,reject

-o mynetworks=127.0.0.0/8-o strict_rfc821_envelopes=yes

smtp inet n - y - - smtpd-o content_filter=smtp-amavis:[127.0.0.1]:10024

A lthat 16. sort egyszeren be kell illeszteni a master.cffjlba. A sorok rszletes ismertetst

itt most kihagyom, mert tllgna ezen szakdolgozat keretein. Rviden, ez a rsz rja el, hogy

melyik porton kell tadni a berkez levelet az AMaViSd-new programnak, ami lefuttatja a

vruskeresst, SPAM-szrst, majd az melyik porton adja vissza az eredeti vagy a

figyelmeztet (tallat esetn) levelet.

4.2.9. AMaViSd-new

A levelek vruskeressben elengedhetetlen lncszem. Ez a program kti ssze az MTA-t s a

vruskerest, ezrt ennek a j belltsa szintn elengedhetetlen a vrusos levelek elfogsban.

Nagyon sok vruskerest tmogat, azonban n csak a ClamAV-t hasznlom, mert ez az egy

ingyenes1.

/etc/amavis/amavisd.conf rszlet

# @bypass_virus_checks_acl = qw( . );# @bypass_spam_checks_acl = qw( . );

$inet_socket_port = 10024;

$final_virus_destiny = D_DISCARD;$final_banned_destiny = D_DISCARD;$final_spam_destiny = D_DISCARD;$final_bad_header_destiny = D_PASS;

$warnvirusrecip = 1

1. Az F-Prot is ingyenes, de csak magn felhasznlk szmra, azonban a kollgium nem minsl annak.

123456789

101112

13141516

12

3

4567

8



36/57


$sa_local_tests_only = 0; # (default: false)

$first_infected_stops_scan = 1;@av_scanners = (['Clam Antivirus-clamd',

\&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"],qr/\bOK$/, qr/\bFOUND$/,qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

);

@av_scanners_backup = (['Clam Antivirus - clamscan', 'clamscan',"--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], [1],qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

);

Az els kt sor kikommentezett, azaz nem rvnyesl a belltsuk, azonban gy j. Azrt

mutatom be, mert az rvnyestskkel lehet kikapcsolni a vruskeresst (1. sor) s a

SPAM-szrst (2. sor). Teht azzal kapcsoljuk be ezt a kt funkcit, hogy a kt sort

kikommenteztk. A 3. sorban hatrozhatjuk meg a hasznlt socket portjt, alaprtelmezetten

a 10024-es portot hasznlja. Ha megvltoztatjuk, akkor figyeljk r, hogy a Postfix

master.cf fjljban is rjuk t a portot, mert klnben a Postfix nem tudja majd tadni a

levelet az AMaViSd-new-nak. A 4-7. sorig terjed belltsokban adhatjuk meg, hogy a

berkez vrusos, tiltott, SPAM vagy hibs fejlc levelekkel mi trtnjen. Alapesetben a

kld rtestse van belltva az els hrom esetben, a negyedikben pedig a tovbbengeds.Azonban nem tartom jnak a felad rtestst, mert a vrusos s a SPAM levelek terjedse

mr gy is jelents mrtket lttt, ezrt a sok ilyen jelleg levelekre trtn vlaszlevl

kldse csak tovbb rontja a hlzatok tereszt kpessgt. Ennek fnyben, az ilyen jelleg

leveleket eldobatom, csak a cmzett felhasznl kap egy rtestst (8. sor). A 9. sorban azt

lltottam be, hogy ne csak helyi tesztelsen essenek t a levelek, azaz, ha szksges, akkor

hasznlja az internet-elrst a tesztels sorn a SpamAssassin. Mint rtam mr, az

AmaViSd-new tbb vruskerest is tmogat egyszerre, amelyeket ha belltottuk, akkorhasznl is, egyms utn futtatja le ket a levlen. Azonban bellthat, hogy amint valamelyik

keres vrust tall, akkor fejezdjn be a keress, ne futtassa le a sorban kvetkez

vruskeresket. n ezt bekapcsoltam a 10. sorban, br nincs jelentsge, mert amgy is csak

egy vruskeres van belltva. A 11-20. sorig pedig a ClamAV vruskeres hasznlatnak

belltsa lthat.

4.2.10. ClamAV

A mai helyzetben szinte megengedhetetlen, hogy az ember gpn ne legyen vruskeres. A

GNU/Linux rendszerekre szinte emltsre sem mlt szm vrus, frget rtak, de azrt

9

101112

13141516

1718192021



37/57


akadnak. Azonban elssorban a GNU/Linux rendszereken elhelyezett vruskeresk egyb

rendszerek vdelmre szolglnak, mert ha nem vdennk ket, akkor a svszlessg pazarlsa

(vrusok terjedse) a tiszta rendszereket is htrnyosan rinten. Ezrt rdemes tartani egy

jl belltott vruskerest a levlvrusok ellen is.

/etc/clamav/clamd.conf rszlet

User amavisScanArchiveArchiveMaxRecursion 5ArchiveMaxFiles 1000ArchiveMaxFileSize 10MDatabaseDirectory /var/lib/clamav/ScanOLE2ScanPE

DetectBrokenExecutablesScanHTML

Az 1. sor egy nagyon fontos belltst tartalmaz. Mivel a ClamAV-t levelek ellenrzsre

hasznljuk, s az AMaViSd-new-t hasznljuk az MTA s a vruskeres sszekapcsolsra, gy

a vruskeresnek is az AMaViSd-new felhasznljnak nevben kell futnia, hogy hozzfrjen

az tadott fjlokhoz. A 2. sorban belltottam, hogy a csatolt archv fjlokban is keressen, amit

5 szint mlysgig hajt vgre (3. sor). sszesen csak 1000 fjlt nz t egy levlben maximum

(4. sor), s egy levl mrete nem haladhatja meg a 10MByte-ot (5. sor). A 6. sorban az

vrusadatbzis knyvtrt adhatjuk meg. A 7. sorban megadtam, hogy a Microsoft Office

fjlokat is vizsglja t (macro vrusok). A 8. sorban belltottam a Portable Executable fjlok

ellenrzst, ez egy futtathat fjlformtum a 32-bites Windows rendszereken. A 9. sorban

bekapcsoltam a hibs futtathat fjlok ellenrzst. A 10. sorban pedig a HTML fjlok

tvizsglst rtam el (JavaScript, VisualBasic script, stb.).

Azonban mit rne egy jl belltott vruskeressi rendszer, ha a vrus-adatbzis nemnapraksz. A ClamAV rendelkezik egy daemon programmal, amivel naprakszen tarthatjuk a

vruskeres vrus-adatbzist.

/etc/clamav/freshclam.conf rszlet

DatabaseOwner amavisChecks 24DatabaseMirror db.hu.clamav.netDatabaseMirror database.clamav.netDatabaseDirectory /var/lib/clamav/

12345678

910

12345



38/57


Itt is belltjuk, hogy az amavis felhasznl nevben tevkenykedjen (1. sor). A 2. sorban a

napi frisstsek kezdemnyezsnek szmt adtam meg. A 3. s 4. sorban azokat a szerver

cmeket adtam meg, ahonnan frisstheti a vrus-adatbzist. Az 5. sorban pedig megadtam neki,

hogy melyik knyvtrban tallhat a vrus-adatbzis.

4.2.11. SpamAssassin

A kretlen levelek szrsre a SpamAssassin programot hasznlom, ami alapbelltsokkal

is nagyon jl mkdik, de azrt rendelkezik pr hasznos llthat opcival:

/etc/spamassassin/local.cf rszlet

auto_whitelist_path /etc/spamassassin/auto-whitelistrewrite_subject 1

report_safe 1bayes_path /var/lib/amavis/.spamassassin/bayes

A 1. sorban megadhatjuk a whitelist1 tvonalt. A 2. sorban llthatjuk be azt, hogy a

SpamAssassin szksg esetn a trgy sorban megjellje a levelet, hogy SPAM. A 3. sorban

belltottam, hogy mindenkppen tegyen jelentst a levl fejlcben, ha nem SPAM, akkor is.

Egy kis ideig figyelve a levelek tartalmt s az ltaluk elrt pontszmot, biztosabbanmegllapthat az a pontrtk, aminek elrse esetn a levl SPAM-nek minsljn. Vgl, a

4. sorban a SPAM adatbzis trolsi knyvtrt adtam meg, ugyanis a sa-learn programmal

lehet tantani a SpamAssassin-t s a megtanult szablyokat az itt megadott knyvtrban

trolja.

rdemes egy pillantst vetni a SpamAssassin egy msik bellt fjljra is. Tipikus hiba

szokott lenni, hogy ezt a fjlt nem mdostjk:

/etc/default/spamassassin rszlet

enable=1OPTIONS="-d -m 10 -a"

Ugyanis, alaprtelmezetten a SpamAssassin futsa ki van kapcsolva. A futsnak

engedlyezst az 1. sorban ltottak szerint lehet. A 2. sorba megadhatunk pr opcit a futs

mikntjhez. A -d jelentse, hogy daemon programknt, a httrben fusson. A -m 10

1. Fehr-lista, az ezen szerepl email-cmek automatikusan tiszta (clean) llapotak, nem ellenrzi ket.

12

34

12



39/57


jelentse, hogy egyszerre 10 gyerek-processzt hozhat ltre. A -a opcival pedig a

auto-whitelists hasznlatt engedlyeztem.

4.2.12. Courier Mail Server

A levelek leszedshez (POP3) vagy megtekintshez (IMAP) is szksges hitelests, ezrt

itt is be kell lltani az LDAP-szerver elrst:

/etc/courier/authldaprc rszlet

LDAP_SERVER ldap.sztlkk.huLDAP_PORT 389LDAP_BASEDN dc=sztlkk,dc=huLDAP_BINDDN cn=admin,dc=sztlkk,dc=hu

LDAP_BINDPW {SSHA}I/58KBqXfByX6XW+9mAMxzLn3l5+95A7LDAP_TIMEOUT 15LDAP_AUTHBIND 1LDAP_MAIL uidLDAP_FILTER (AccountStatus=active)LDAP_GLOB_UID vmailLDAP_GLOB_GID vmailLDAP_HOMEDIR mailMessageStoreLDAP_MAILDIR mailMessageStoreLDAP_FULLNAME cnLDAP_CRYPTPW userPasswordLDAP_DEREF neverLDAP_TLS 0

Itt mr rszletezni sem kell a belltsokat, ugyan azokat kell belltani, mint a tbbi

szolgltatsnl.

4.2.13. SquirrelMail

Alapesetben is jl belltott webmail-t kapunk a teleptse utn, azonban rdemes itt is

belenylni kicsit a belltsokba:

/etc/squirrelmail/config.php rszlet

$squirrelmail_default_language = 'hu_HU';$default_charset = 'iso-8859-2';

Az fentebb lthat kt sorban megadtam, hogy magyar nyelv felletet mutasson (1. sor),

valamint helyesen jelenjenek meg az kezetes karakterek (2. sor).

1234

56789

1011121314151617

12



40/57


4.2.14. Shaperd

A klnbz fjlmegoszts programok nagyban terhelik a svszlessgnket, ami amgy sem

tl nagy, gy szksges volt bezemelni egy svszlessg-korltoz programot a

fjlmegoszts1 programok lasstsra2:

/etc/shaperd/shaperd.conf

class BelsoIP-kifele {bandwidth = 25.0 kbyte/sipv4 classifier saddr=192.168.21.0/255.255.255.0queue limits = 0 kb 200 packetsborrow from KulsoIP-kifele

}class BelsoIP-befele {

bandwidth = 100.0 kbyte/s

ipv4 classifier daddr=192.168.21.0/255.255.255.0queue limits = 0 kb 200 packetsborrow from KulsoIP-befele

}class KulsoIP-kifele {

bandwidth = 25.0 kbyte/sipv4 classifier saddr=193.225.151.16/255.255.255.240queue limits = 0 kb 200 packetsborrow from BelsoIP-kifele

}class KulsoIP-befele {

bandwidth = 100.0 kbyte/sipv4 classifier daddr=193.225.151.16/255.255.255.240queue limits = 0 kb 200 packetsborrow from BelsoIP-befele

}

Lehet ltni, hogy mind kifel mind befel mkdik a korltozs. Befel 200kbyte/sec, kifel

50kbyte/sec sebessget enged maximum. Mivel kt IP-cm tartomny van, ezrt kell ennyi

bejegyzs, viszont a svszlessg-korltozs esetn egy hlzatknt akartam kezelni ezeket,

azrt adtam meg az 5., 11., 17. s 23. sorban a borrow from opcit, amivel azt lehet jelezni,

hogy melyik msik rszbl vehet t svszlessget, ha ott ppen van felesleges, ki nem

hasznlt svszlessg.

4.3. Szoftver belltsok kliens oldalon

A szakdolgozatom tmakre a szerverek belltsa, azonban a munkm rsze volt a kabinet

terem kiptse s az ott elhelyezett szmtgpek zembe helyezse is (Windows XP s

Debian GNU/Linux opercis rendszerek teleptse, belltsa), ezrt rviden lerom a kt

rendszer belltst.

1. Direct Connect, Gnutella, WinMX, Kazaa, stb.2. Ltezik iptables-hez egy p2p modul, ami kpes detektlni ha egy csomag valamelyik fjlmegoszts

programhoz tartozik, gy ezeket a csomagokat t tudom adatni a svszlessg-korltoz programnak.

12345678

91011121314151617181920212223

24



41/57


4.3.1. Windows XP

Kt alapvet belltst eszkzlni kell, hogy egyltaln szba jhessen a hlzatrl trtn

felhasznl-hitelests. Elszr a biztonsg fokozsnak rdekben a Vezrlpult /

Felhasznli fikok / A felhasznlk be- s kijelentkezsi mdjnak megvltoztatsa alatt

kapcsoljuk ki Az dvzlkperny hasznlata menpontot, gy nem lehet ltni, hogy milyen

felhasznlk lteznek a rendszerben, minden felhasznlnak be kell rnia a sajt azonostjt

s jelszavt, majd ki kell vlasztania, hogy tartomnyba akar belpni, vgl pedig

kezdemnyezni a bejelentkezsi folyamatot az OK gomb lenyomsval.

Ezutn a rendszert be kell lptetni a megfelel tartomnyba: Vezrlpult / Rendszer /

Szmtgpnv / Mdosts alatt vltsunk t a Munkacsoportrl Tartomnyra, atartomny neve pedig legyen: KABINET (lsd fentebb: /etc/samba/smb.conf rszlet: a

[global] rsz 3. sora). A tartomnyba lpshez meg kell adni a root felhasznlt1 s

jelszavt.

A sikeres hitelestst kveten a felhasznl sajt profil knyvtrt t kell tlteni a

fjl-szerverrl az opercis rendszernek. Ezt a Windows XP automatikusan megteszi, azonban

pr belltott alaprtket meg kell vltoztatni:

A regedit programmal eszkzlt vltozsok:

/ Sajtgp / HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services /

Netlogon / Parameters /

"RequireSignOrSeal"=dword:00000000

"SignSecureChannel"=dword:00000000

A gpedit.msc programmal eszkzlt vltozsok:

/ Szmtgp konfigurcija / Felgyeleti sablonok / Rendszer / Felhasznli profilok /

Kzponti profilok gyorsttrba helyezett pldnyainak trlse: ENGEDLYEZVE

Felhasznl kilptetse, ha hinyoznak a kzponti profilok: ENGEDLYEZVE

A kzponti profilban vgzett mdostsoknak a kiszolglhoz val tovbbtsnak

megakadlyozsa: TILTVA

1. Arrl a root felhasznlrl van sz, amelyiket a root felhasznl hozzadsa az LDAP-adatbzishozrsznl hoztunk ltre.



42/57


Az emltett vltoztatsok utn jraindtjuk az opercis rendszert s mris elrhetv vlik a

hlzatrl trtn felhasznl-azonosts.

4.3.2. Debian GNU/Linux

A nvszolgltats alrendszer konfigurlsa

Az NSS (Name Service Subsystem) feladata elvgezni a felhasznli nevek s az uidNumber

egymshoz rendelst, ezrt rakjuk fel ezt a csomagot s lltsuk is be:

apt-get install libnss-ldap

Nyissuk meg a/etc/nsswitch.conf fjlt, s mdostsunk nhny sort, hogy az NSS a loklis

fjlokban, majd az LDAP-ban keresse meg a lekpezshez szksges informcit:

/etc/nsswitch.conf rszlet

passwd: files ldapgroup: files ldapshadow: files ldap

Ezutn az imnt felteleptett lib szmra adjuk meg az LDAP szervernk elrhetsgt:

/etc/libnss-ldap.conf rszlet

host ldap.sztlkk.hubase dc=sztlkk,dc=hu

A hitelests belltsa

A PAM (Pluggable Authenticaion Module) clja az, hogy az egyes hitelestst vgz modulok

knnyen cserlhetek legyenek egy szoftver alatt, s ne okozzon nagy problmt pl. az, ha

loklis hitelestsrl t szeretnnk trni LDAP hitelestsre. A Debian a Potato ta PAM-ot

hasznl. A hitelestshez fel kell tenni az LDAP-os PAM csomagot:

apt-get install libpam-ldap

1

123

12

1



43/57


Majd a konfigurcija sorn meg kell adni az LDAP szerver elrhetsgt. Ha minden jl

megy, akkor a fjlhoz nem kell hozznylni, mert a csomag teleptse sorn feltett krdsekre

vlaszolva a megfelel fjl legenerldik:

/etc/pam_ldap.conf rszlet

host ldap.sztlkk.hubase dc=sztlkk,dc=hurootbinddn cn=admin,dc=sztlkk,dc=hupam_password crypt

Minden szolgltats (service, program), ami hasznl PAM-ot kln konfigurcis fjllal

rendelkezik a/etc/pam.dknyvtrban. Minden egyes szolgltatst kln be kell konfigurlni

arra az estre, ha szeretnnk, hogy az a szolgltats hasznlja az LDAP szervert a

hitelestshez.

A login szolgltats belltsa:

/etc/pam.d/login rszlet

auth sufficient pam_unix.so nullok

auth sufficient pam_ldap.so use_first_passauth required pam_deny.so

account sufficient pam_unix.soaccount sufficient pam_ldap.so

password sufficient pam_unix.so nullok obscure min=4 max=8 md5password sufficient pam_ldap.so

Apasswdszolgltats belltsa:

/etc/pam.d/passwd rszlet

password sufficient pam_unix.so nullok obscure min=4 max=8 md5password sufficient pam_ldap.so

Mivel a feladat minden ms szolgltats (tbbek kztt pldul: ssh, sudo, kdm, stb.)

esetben is ugyan, ezrt nem rszletezem tovbb.

1234

1

23

45

67

12



44/57


45/57


szmljra s bemutatni valamelyik IT tagnak, aki bejegyzi a honlapon. Ugyanis az

internet_feleves_tilto perl szkript lefut a trelmi idszak lejrta utn s letiltja azokat

a felhasznlkat, akik nem fizettk be a hasznlati djat.

Akik a trelmi id lejrta utn ignyelnek Internet-elrst, azok az ignyls leadsa utn

bekerlnek ugyan az adatbzisba, de mg nem tudnak internetezni. Ha befizetik s a

befizetsrl szl csekket be is mutatjk valamelyik IT tagnak, akkor a csekk bemutatsnak

bejegyzse s a felhasznl engedlyezse utn ezen felhasznlk Internet-elrse is

engedlyezett vlik.

Az ignyls sorn meg kell adni tbbek kztt egy felhasznli nevet s egy jelszt, ami kell anyomtatshoz, a kabinet teremben a gpekre trtn bejelentkezshez, egyszval mindenhez

amihez a hitelests az LDAP-adatbzisbl trtnik meg, valamint az IT honlapra. Ezen fell

meg kell adni a szmtgp MAC-cmt1 s a kvnt DNS-nevet.

4.4.2. Kabinetes Internet-elrs ignyls

A kabinetes Internet-elrs ignylsnek esetn is ugyanazok a szablyok rvnyesek, mint

szobai Internet-elrs ignylsekor, csak itt nem kell megadni MAC-cmet s DNS-nevet.

Ebben az esetben a lak nem tud a szobjbl internetezni, csak a kabinet teremben lev

szmtgpeket hasznlhatja, amire bejelentkezni csak az ignylskor megadott felhasznli

nevet s jelszavat hasznlva tud. A szmtgpre trtn bejelentkezs utn hasznlhatja a

felteleptett programokat (szvegszerkeszt, tblzatkezel, kpszerkeszt, zenelejtsz, stb.),

internetezhet, nyomtathat.

4.4.3. Nyomtats a HK-s nyomtatval

A nyomtatshoz azonostanunk kell magunkat. A kabinet gpek esetn az opercis

rendszerbe trtn bejelentkezs alkalmval megtrtnik a hitelests. Ezutn brmelyik

programban csak r kell nyomni a nyomtats ikonra, ennek hatsra a nyomtatand

dokumentum tkerl a Samba-szerverre, ahol a nyomtatas szkript megnzi, hogy hny oldal

a nyomtatand dokumentum. Az tvizsgls utn a lapszm s az rrtke bekerl a

MySQL-adatbzisba, majd elkezddik a nyomtats. A nyomtatsi folyamat a 4.4.1.bra:

Nyomtatsi folyamat brn lthat:

1. Segtsgkppen a honlap az ignylsi oldalon elre kitlti a MAC-cmet, amit a httrben az oldal sajt magatvolrl megtudakol az ignyl szmtgptl.



46/57


4.4.1. bra: Nyomtatsi folyamat

4.5. Perl szkriptek

A weben keresztl vezrelhet felgyeleti rendszer lelkt adjk ezek a szkriptek: ellltjk az

IT honlapjt, karbantartjk a MySQL- s LDAP-adatbzist, vezrlik a msik kett szervert,

elvgzik a nyomtatst, stb. A tovbbiakban ezeket a szkripteket1 mutatom be.

it.cgi

sorok szma: 4118A IT weblapjt elllt perl szkript. Az egsz rendszer magjt kpezi, irnytja a

folyamatokat, futtatja le a kls szkripteket, kezeli a felhasznlkat s az adatbzisokat. Sok

fggvnyt hoztam ltre benne, de csak a fontosabbakat mutatom be funkcijuk szerint:

1. Tbb mint 5000 sor egyttvve az sszes szkript, gy a forrskdokat csak CD-n mellkeltem.

nyomtatand

Felhasznl gpe

nyomtat

MySQL

LDAP

authe

ntik

ci

adatokelmentse

SAMBA

nyomta

ts

elkldse



47/57


it.cgi::Admin_jelszovalto

sorok szma: 341

Kezdetben tnyleges csak az admin felhasznlk1 jelszavnak megvltoztatsra volt.

Azonban a honlap fejldse kzben ide kerlt be az A rendszer finomhangolsa menpontis, amiben a rendszert lehet tlltani: pldul a trelmi idszak vagy a nyomtatsi kltsgek

megvltoztatsa, stb.

it.cgi::Felhasznalo_bekijelentkezes

sorok szma: 98

Az rendszerbe felvett felhasznlk a weboldalra is be tudnak jelentkezni, meg tudjk nzni

sajt adataikat (IP-cm, nyomtatsi kltsg, stb.). A bejelentkezsi folyamatot vgzi el ez afggvny.

it.cgi::Felhasznalo_informaciosoldal

sorok szma: 444

A felhasznl a weboldalra bejelentkezve, megnzheti a rendszerben trol adatait: domain

nv, IP-cm, MAC-cm, nyomtatott oldalak szma s kltsge, stb. Ezen fell lehetsge van

megvltoztatni a jelszavt, valamint a MAC-cmt. A MAC-cm megvltoztatsnak

lehetsgt azrt tartottam fontosak, mert ha vesz valamelyik felhasz

jónás zsolt - linux alapú weboldal létrehozása (2006, 57 oldal)

Documents