Nasazení bezdiskových pracovních stanic

Nasazen´ı bezdiskových pracovn´ıch stanic s OS Linux v s´ıti FAI UTB Implementation of diskless workstations running OS Linux in FAI UTB network

Petr Kohout

Bakaláˇrská práce 2008

UTB ve Zl´ınˇ e, Fakulta aplikovan´ e informatiky, 2008

4

ABSTRAKT Tato bakaláˇrská práce popisuje zaveden´ı operaˇcn´ıho systému Linux na pracovn´ı stanice v poˇc´ıtaˇcových uˇcebnách FAI UTB tak, aby nebylo nijak naruˇseno souˇcasné nastaven´ı tˇechto stanic. V teoretické ˇcásti jsou zm´ınˇeny principy, výhody a nevýhody ˇreˇsen´ı, kdy je celý koˇrenový souborový systém pˇr´ıstupný pouze na s´ıti. Praktická ˇcást ukazuje nasazen´ı tohoto ˇreˇsen´ı pˇr´ımo do nˇekterých uˇceben, vˇcetnˇe konkrétn´ıch ukázek nastaven´ı s´ıtˇe a výstavby linuxového operaˇcn´ıho systému. Kl´ıˇcová slova: Linux, PXE, DHCP, NFS

ABSTRACT This bachelor work describes running of operating system Linux on workstations in computer rooms of FAI UTB without any changing of current settings of these workstations. Theoretical part contains principes, advantages and disadvantages of such solution, where the root filesystem is available only on network. Practical part shows implementation of this solution directly in some computer rooms and includes network configuration and instructions of building of proper Linux-based operating system. Keywords: Linux, PXE, DHCP, NFS


5

Dˇekuji správci s´ıtˇe ing. Petru Vojtkovi za moˇznost nahlédnout do konfigurace souˇcasné s´ıtˇe UTB a moˇznost pod´ılet se na jej´ım vývoji a také dˇekuji vedouc´ımu bakaláˇrské práce ing. Martinu Syslovi, PhD. za cenné námˇety a pˇripom´ınky.

Prohlaˇsuji, ˇze jsem na bakaláˇrské práci pracoval samostatnˇe a pouˇzitou literaturu jsem citoval. V pˇr´ıpadˇe publikace výsledk˚ u, je-li to uvolnˇeno na základˇe licenˇcn´ı smlouvy, budu uveden jako spoluautor.

V Uherském Hradiˇsti, 15. kvˇetna 2008

........................................................ Podpis diplomanta


6

Obsah I II

´ UVOD

9

´ C ˇ AST ´ TEORETICKA

10

1 Struˇ cn´ y popis ˇ reˇ sen´ı 1.1 Popis s´ıtˇe a um´ıstˇen´ı s´ıt’ových sluˇzeb . 1.2 Logická a fyzická topologie s´ıtˇe . . . . 1.3 Postup bootován´ı pracovn´ı stanice . . . 1.3.1 Nastaven´ı BIOSu . . . . . . . . 1.3.2 Bootován´ı po s´ıti pomoc´ı PXE . 1.3.3 Zavádˇen´ı OS Linux . . . . . . . 1.4 Výhody a nevýhody . . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

11 11 11 13 13 14 14 15

2 Nastaven´ı s´ıtˇ e 2.1 DHCP . . . . . . . . . . . . . . . . . . . . 2.1.1 Zabezpeˇcen´ı DHCP . . . . . . . . . 2.2 TFTP . . . . . . . . . . . . . . . . . . . . 2.2.1 Bezpeˇcnostn´ı rizika TFTP . . . . . 2.3 NFS . . . . . . . . . . . . . . . . . . . . . 2.3.1 NFS a bezpeˇcnost . . . . . . . . . . 2.4 Bezpeˇcnost . . . . . . . . . . . . . . . . . 2.4.1 Zabezpeˇcen´ı smˇerovaˇce a pˇrep´ınaˇc˚ u 2.4.2 Ochrana serveru . . . . . . . . . . . 2.4.3 Kontrola paket˚ u v s´ıti . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

. . . . . . . . . .

17 17 17 18 18 18 19 19 19 20 20

3 Pracovn´ı stanice 3.1 Nastaven´ı BIOSu 3.2 PXE menu . . . . 3.3 Linuxové jádro . 3.4 Bˇeh OS Linux . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

21 21 21 21 21

III

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

´ C ˇ AST ´ PRAKTICKA

4 Konfigurace s´ıt’ov´ ych prvk˚ u 4.1 Pˇr´ıstupové pˇrep´ınaˇce Cisco 2950 . . . . . . . . . . 4.1.1 D˚ uleˇzité globáln´ı nastaven´ı a zabezpeˇcen´ı . 4.1.2 Nastaven´ı pˇr´ıstupových port˚ u . . . . . . . 4.1.3 Nastaven´ı uplinku . . . . . . . . . . . . . . 4.2 Smˇerovaˇc Cisco 3550 . . . . . . . . . . . . . . . .

22 . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

23 23 23 23 24 24

UTB ve Zl´ınˇ e, Fakulta aplikovan´ e informatiky, 2008 4.2.1 4.2.2 4.2.3

7

Zabezpeˇcen´ı pˇr´ıstupu . . . . . . . . . . . . . . . . . . . . . . . . . . Smˇerován´ı . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 Konfigurace PXE 5.1 Zabezpeˇcen´ı a timeouty . . . . 5.2 Nastaven´ı menu . . . . . . . . 5.3 Poloˇzky v menu . . . . . . . . 5.4 Parametry pro linuxové jádro

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

6 Centr´ aln´ı linuxov´ y server 6.1 Ramdisk . . . . . . . . . . . . . . . . . . . . . . . 6.2 TFTP server . . . . . . . . . . . . . . . . . . . . 6.2.1 Spouˇstˇen´ı pˇres xinetd . . . . . . . . . . . . 6.2.2 Spouˇstˇen´ı jako standalone server . . . . . 6.2.3 Parametry pro tftpd . . . . . . . . . . . . 6.2.4 Obsah adresáˇre pro TFTP . . . . . . . . . 6.3 NFS server . . . . . . . . . . . . . . . . . . . . . . 6.3.1 Spouˇstˇen´ı NFS serveru . . . . . . . . . . . 6.3.2 Nastaven´ı adresáˇr˚ u pˇr´ıstupných pˇres NFS 6.4 Lokáln´ı firewall . . . . . . . . . . . . . . . . . . . 6.5 Kompilace linuxového jádra pro pracovn´ı stanice . 6.5.1 Nutné vlastnosti jádra . . . . . . . . . . . 6.5.2 D˚ uleˇzité parametry linuxového jádra . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

25 25 25

. . . .

27 27 27 28 28

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

29 29 29 29 30 30 31 31 31 31 32 32 32 33

7 Linuxov´ a distribuce pro pracovn´ı stanice 7.1 Hlavn´ı oˇcekávané problémy . . . . . . . . . . . . . . . . . . . . 7.2 Instalace a konfigurace OS Debian 4.0 . . . . . . . . . . . . . . . 7.2.1 Instalace OS na pracovn´ı stanici a jeho kop´ırován´ı . . . . ´ 7.2.2 Uprava soubor˚ u /etc/fstab a /etc/mtab . . . . . . . . . . 7.2.3 Obsah ramdisk˚ u a jejich pˇripojován´ı . . . . . . . . . . . 7.2.4 Drobné u ´ pravy nˇekterých startovac´ıch skript˚ u . . . . . . 7.2.5 Nastaven´ı s´ıtˇe . . . . . . . . . . . . . . . . . . . . . . . . 7.2.6 Práce s CD/DVD mechanikou . . . . . . . . . . . . . . . 7.2.7 Pˇripojován´ı USB flash disk˚ u . . . . . . . . . . . . . . . . 7.2.8 Pouˇz´ıván´ı autofs pro pˇripojován´ı USB disk˚ u a CD/DVD 7.2.9 Konfigurace X Window . . . . . . . . . . . . . . . . . . . 7.2.10 Ovˇeˇrován´ı uˇzivatel˚ u protokolem LDAP . . . . . . . . . . 7.2.11 Spuˇstˇen´ı a nastaven´ı vlastn´ıho LDAP serveru . . . . . . 7.2.12 Domovské adresáˇre pro uˇzivatele . . . . . . . . . . . . . 7.2.13 Pouˇz´ıván´ı pracovn´ı stanice z pohledu uˇzivatele . . . . . . 7.3 Tvorba samostatné linuxové minidistribuce . . . . . . . . . . . . 7.3.1 Pˇr´ıprava adresáˇrové struktury . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

36 36 37 37 38 38 40 40 41 42 43 44 46 47 49 51 52 52

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .


7.4

7.3.2 Výbˇer soubor˚ u pro adresáˇr /bin . . . . . 7.3.3 Kop´ırován´ı knihoven do /lib a /usr/lib . 7.3.4 Kop´ırován´ı speciáln´ıch soubor˚ u do /dev 7.3.5 Obsah adresáˇre /sbin . . . . . . . . . . . 7.3.6 Ramdisk na adresáˇri /var . . . . . . . . 7.3.7 Obsah adresáˇre /etc . . . . . . . . . . . 7.3.8 Ostatn´ı adresáˇre . . . . . . . . . . . . . 7.3.9 Program syslogd . . . . . . . . . . . . . Správa a zálohy jednotlivých distribuc´ı . . . . . 7.4.1 Hesla lokáln´ıch uˇzivatel˚ u . . . . . . . . .

8 Ekonomick´ e aspekty 8.1 Instalace nové pracovn´ı stanice . . . . . . . . . 8.2 Instalace nového softwaru na pracovn´ı stanici . 8.3 Opravy operaˇcn´ıho systému na pracovn´ı stanici 8.4 Odstranˇen´ı pevného disku ze stanic . . . . . . . 8.5 Zkvalitnˇen´ı výuky OS Linux . . . . . . . . . . .

IV V VI VII

. . . . . . . . . . . . . . .

´ ER ˇ ZAV ˇ E ´ LITERATURY SEZNAM POUZIT ´ ˚ SEZNAM OBRAZK U ˇ YCH ´ SEZNAM POUZIT ZKRATEK

8 . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . .

52 53 54 54 55 55 58 58 59 59

. . . . .

61 61 61 62 62 63

64 66 68 69


9

ˇ ast I C´

´ UVOD C´ılem této práce je nasazen´ı operaˇcn´ıho systému Linux na pracovn´ı stanice v poˇc´ıtaˇcových uˇcebnách v budovˇe U5 UTB tak, aby nebyla nijak mˇenˇena jejich souˇcasná konfigurace a aby byly náklady na výstavbu a u ´ drˇzbu takového systému co nejniˇzˇs´ı. Souˇcasný stav pracovn´ıch stanic je takový, ˇze na bˇeˇzných pracovn´ıch PC stanic´ıch je nainstalován operaˇcn´ı systém Microsoft Windows. Kaˇzdá stanice má pˇridˇelenou vlastn´ı IP adresu a v pˇr´ıpadˇe poˇskozen´ı disku nebo operaˇcn´ıho systému technik obnov´ı p˚ uvodn´ı stav pomoc´ı bootovac´ıho CD disku, kdy na pevný disk nahraje obraz jiˇz hotového pˇredinstalovaného operaˇcn´ıho systému a dále jen minimálnˇe uprav´ı identifikaci poˇc´ıtaˇce v s´ıti. Vzhledem k nutnosti zachovat stávaj´ıc´ı ˇreˇsen´ı správy poˇc´ıtaˇc˚ u s operaˇcn´ım systémem Microsoft Windows a potˇrebˇe dostupnosti jiného operaˇcn´ıho systému (konkrétnˇe OS Linux) byla zvolena moˇznost zaveden´ı OS Linux z ethernetové s´ıtˇe, která je pro kaˇzdé PC k dispozici. Kaˇzdé PC bude nastaveno tak, aby primárnˇe bootovalo nikoliv z pevného disku, ale pomoc´ı protokolu PXE ze s´ıtˇe. PXE dá uˇzivateli moˇznost si vybrat, zda chce dále pokraˇcovat ve standardn´ım bootovac´ım procesu (tedy nahrán´ı Microsoft Windows z pevného disku) nebo zda se má nahrát OS Linux ze s´ıtˇe. V pˇr´ıpadˇe zvolen´ı bootován´ı z OS Linux dojde k tomu, ˇze do pamˇeti poˇc´ıtaˇce se protokolem TFTP nahraje linuxové jádro, které dále pokraˇcuje ve startován´ı operaˇcn´ıho systému. Koˇrenový adresáˇr celého operaˇcn´ıho systému se pak bˇehem startovac´ıho procesu pˇripoj´ı protokolem NFS. T´ım dojde de facto k tomu, ˇze na stanici pobˇeˇz´ı v pamˇeti OS Linux a celý koˇrenový souborový systém bude fyzicky uloˇzen na vzdáleném serveru - PC bude m´ıt k tomuto souborovému systému pˇr´ıstup pouze pro ˇcten´ı.


ˇ ast II C´

´ C ˇ AST ´ TEORETICKA

10


1

11

Struˇ cn´ y popis ˇ reˇsen´ı

1.1

Popis s´ıtˇ e a um´ıstˇ en´ı s´ıt’ov´ ych sluˇ zeb

Nezbytným pˇredpokladem k provozován´ı jakýchkoliv bezdiskových stanic, které bootouj´ı ze s´ıtˇe, je správné fungován´ı vlastn´ı s´ıtˇe a nastaven´ı s´ıt’ových sluˇzeb. S´ıt’ je navrˇzena tak, ˇze kaˇzdé uˇcebnˇe je pˇriˇrazen jeden adresn´ı prostor, který bude vyuˇz´ıván dynamicky (to zajist´ı s´ıt’ová sluˇzba DHCP ), vˇsechny tyto s´ıtˇe pak jsou zakonˇceny na jednom páteˇrn´ım prvku (smˇ erovaˇ ci), který zajiˇst’uje tyto sluˇzby: • DHCP - smˇerovaˇc si spravuje pˇridˇelován´ı IP adres jednotlivým stanic´ım ve vˇsech s´ıt´ıch v uˇcebnách • routing - správné smˇerován´ı paket˚ u mezi jednotlivými uˇcebnami, dalˇs´ımi lokáln´ımi s´ıtˇemi, Internetem a s´ıt´ı s hlavn´ım serverem • firewall - na smˇerovaˇci jsou základn´ı omezen´ı provozu pro zvýˇsen´ı bezpeˇcnosti smˇerovaˇce a jednotlivých s´ıt´ı Smˇerovaˇc bude tedy spojovat fyzickou i logickou strukturu s´ıtˇe a bude stanic´ım poskytovat pˇr´ıpojen´ı k Internetu. Kromˇe toho bude ke smˇerovaˇci pˇripojen centr´ aln´ı server, který bude poskytovat dalˇs´ı nezbytné sluˇzby: • TFTP - poskytuje stanic´ım nastaven´ı PXE bootován´ı a obrazy linuxového jádra • NFS - poskytuje celý souborový systém pro OS Linux

1.2

Logick´ a a fyzick´ a topologie s´ıtˇ e

Ze souˇcasných s´ıt’ových prvk˚ u na FAI UTB jsou pouˇzity prvky Cisco 2950 jako pˇr´ıstupové pˇrep´ınaˇce pro uˇcebny a L3 pˇrep´ınaˇc 1 Cisco 3550 jako smˇerovaˇc. Server je poˇc´ıtaˇc s operaˇcn´ım systémem Linux.

1

pˇrep´ınaˇc, kter´ y um´ı smˇerovat pakety mezi r˚ uzn´ ymi s´ıtˇemi a tedy funguje i na 3. vrstvˇe modelu OSI


12

Obrázek 1: Fyzická topologie s´ıtˇe Na obrázku je vidˇet hierarchická struktura s´ıtˇe. Hlavn´ı páteˇrn´ı zaˇr´ızen´ı (smˇerovaˇc Cisco 3550) je propojeno s pˇr´ıstupovými pˇrep´ınaˇci (Cisco 2950), do kterých jsou pak dále pˇripojena koncová zaˇr´ızen´ı (pracovn´ı stanice, servery).


13

Obrázek 2: Logická topologie s´ıtˇe Implementac´ı virtuáln´ıch s´ıt´ı (VLAN ) jsou vytvoˇreny logické skupiny zaˇr´ızen´ı, která k sobˇe patˇr´ı, tedy poˇc´ıtaˇce v kaˇzdé uˇcebnˇe tvoˇr´ı samostatnou s´ıt’, server je také v samostatné s´ıti. Takové rozdˇelen´ı umoˇzn ˇ uje snadnou manipulaci s uˇcebnou jako s jedn´ım objektem, zvýˇsen´ı bezpeˇcnosti serveru a sn´ıˇzen´ı nechtˇeného provozu na s´ıti.

1.3 1.3.1

Postup bootov´ an´ı pracovn´ı stanice Nastaven´ı BIOSu

Nastaven´ı BIOSu se nijak neliˇs´ı od bˇeˇzného nastaven´ı pracovn´ı stanice, jediná nutná zmˇena je seznam zaˇr´ızen´ı, ze kterých se má poˇc´ıtaˇc nabootovat. Souˇcasné nastaven´ı umoˇzn ˇ uje nabootován´ı pouze z pevného disku (z bezpeˇcnostn´ıch d˚ uvod˚ u nen´ı pro bˇeˇzné uˇzivatele moˇzné nabootovat pomoc´ı CD-ROM nebo USB flash disku). Aby bylo umoˇznˇeno bootován´ı ze s´ıtˇe, mus´ı být tedy jako prvn´ı zaˇr´ızen´ı nastaveno právˇe bootován´ı pomoc´ı PXE (v pˇr´ıpadˇe s´ıt’ové karty pˇr´ımo na základn´ı desce mus´ı být samozˇrejmˇe tato s´ıt’ová karta v BIOSu zapnuta) a bootován´ı z pevného disku je nastaveno aˇz jako druhá moˇznost. Stejnˇe jako dosud nebude umoˇznˇeno bootován´ı z jiného zaˇr´ızen´ı.


14

Uˇzivatel samozˇrejmˇe nemá do nastaven´ı BIOSu pˇr´ıstup (aby nemohl nastaven´ı mˇenit), ten je chránˇen heslem, které je známé pouze správc˚ um poˇc´ıtaˇc˚ u. 1.3.2

Bootov´ an´ı po s´ıti pomoc´ı PXE

Po startu poˇc´ıtaˇce a ukonˇcen´ı POST 2 pˇreb´ırá bˇeh poˇc´ıtaˇce PXE (program, který je instalován výrobcem pˇr´ımo v chipsetu s´ıt’ové karty): • pomoc´ı protokolu DHCP nejprve zjist´ı IP adresu a masku s´ıtˇe, IP adresu bránu, IP adresu TFTP serveru a název hlavn´ıho zavádˇec´ıho souboru • po nastaven´ı parametr˚ u s´ıtˇe se protokolem TFTP stáhne a zavede hlavn´ı soubor pro PXE • uˇzivatel u pracovn´ı stanice má nyn´ı na výbˇer, zda si vybere zaveden´ı OS Linux nebo bude pokraˇcovat v bootován´ı z pevného disku, kde je nainstalován OS Microsoft Windows Celý tento postup ovˇsem závis´ı na tom, zda je funkˇcn´ı s´ıt’ a vˇsechny nutné s´ıt’ové sluˇzby. V pˇr´ıpadˇe, ˇze s´ıt’ nen´ı dostupná v˚ ubec (napˇr. do poˇc´ıtaˇce nen´ı zapojen s´ıt’ový kabel nebo nen´ı funkˇcn´ı pˇr´ıstupový pˇrep´ınaˇc) nebo na s´ıt’ovém segmentu nefunguje sluˇzba DHCP, dojde k vyprˇsen´ı ˇcasového limitu odeslané DHCP ˇzádosti. Program PXE tedy oznám´ı BIOSu, ˇze nen´ı schopen do poˇc´ıtaˇce zavést operaˇcn´ı systém a BIOS pak bootuje dál podle nastaveného poˇrad´ı, tedy spust´ı systém na pevném disku, kde je nainstalovaný systém Microsoft Windows. K problému m˚ uˇze také doj´ıt v pˇr´ıpadˇe, ˇze nen´ı dostupná sluˇzba TFTP - PXE si nem˚ uˇze stáhnout zavádˇec´ı soubor ani jeho nastaven´ı a opˇet dojde k pˇredán´ı ˇr´ızen´ı poˇc´ıtaˇce BIOSu. 1.3.3

Zav´ adˇ en´ı OS Linux

V pˇr´ıpadˇe volby OS Linux dojde ke staˇzen´ı linuxového jádra (opˇet ze serveru protokolem TFTP ) a jeho nahrán´ı do pamˇeti. PXE v tento moment konˇc´ı a pˇredává ˇr´ızen´ı poˇc´ıtaˇce linuxovému jádru. Jádro nejprve provád´ı standardn´ı vˇeci jako testy procesoru, pamˇeti a existence dalˇs´ıho hardwaru, poté si pomoc´ı protokolu DHPC zjist´ı nastaven´ı s´ıtˇe (vlastn´ı IP adresu, masku s´ıtˇe, IP adresu brány) a pomoc´ı protokolu NFS si na koˇrenový adresáˇr souborováho systému pˇripoj´ı pˇr´ısluˇsný adresáˇr obsahuj´ıc´ı celý souborvý systém. Hlavn´ı adresáˇre (napˇr. /etc, /lib) jsou tedy fyzicky uloˇzeny na serveru, stanic´ım jsou pˇr´ıstpupné pouze pro ˇcten´ı protokolem NFS. 2 Power-on Self-test, samotestovac´ı pogram prob´ıhaj´ıc´ı na poˇc´ıtaˇci pˇri startu pˇred bootován´ım operaˇcnho systému


15

Jádro po zaveden´ı a pˇripojen´ı koˇrenového adresáˇre pak pˇredá ˇr´ızen´ı programu init, který dále provád´ı spouˇstˇen´ı startova´ıch skript˚ u na stanici a umoˇzn ˇ uje obsluhu poˇc´ıtaˇce uˇzivateli. V tomto postupu jsou dva kritické body: stahován´ı linuxového jádra protokolem TFTP a pˇripojován´ı souborového systému protokolem NFS. V pˇr´ıpadˇe chybného staˇzen´ı linuxového jádra (chybˇej´ıc´ı soubor na TFTP serveru, pád TFTP serveru, poˇskozen´ı souboru bˇehem pˇrenosu po s´ıti atd.) se PXE vrac´ı do hlavn´ıho menu, kdy dává uˇzivateli moˇznost volby operaˇcn´ıho systému. V pˇr´ıpadˇe, ˇze se linuxové jádro stáhne, pˇreb´ırá ˇr´ızen´ı poˇc´ıtaˇce jiˇz jádro a program PXE je ukonˇcen - celý bootovac´ı proces je tedy zavrˇsen a v pˇr´ıpadˇe chyby Linuxu se jiˇz poˇc´ıtaˇc nem˚ uˇze vrátit do BIOSu a zavádˇet jiný operaˇcn´ı systém. Stejnˇe tak je to u druhého kritického bodu, tedy pˇripojován´ı souborového systému protokolem NFS - v pˇr´ıpadˇe nefunˇcnosti NFS serveru (nebo jakékoliv jiné kritické chyby nutné pro chod OS Linux) linuxové jádro jednoduˇse zahlás´ı kritickou chybu ”Kernel panic” a sv˚ uj bˇeh zastav´ı. V takovém okamˇziku jiˇz nen´ı moˇzné s poˇc´ıtaˇcem cokoliv dˇelat a poˇc´ıtaˇc se mus´ı restartovat.

1.4

V´ yhody a nev´ yhody

Mezi hlavn´ı výhody tohoto ˇreˇsen´ı patˇr´ı snadná udrˇzovatelnost celého operaˇcn´ıho systému: • správce systému si spravuje celý souborový systém na serveru, soubory jsou po s´ıti pˇr´ıstupné pouze v reˇzimu pouze pro ˇcten´ı, takˇze nehroz´ı poˇskozen´ı souborového systému ze strany uˇzivatele • souborový systému je snadné zálohovat nebo kop´ırovat, coˇz umoˇzn ˇ uje dˇelat r˚ uzné pokusy s instalac´ı nových program˚ u • na serveru m˚ uˇze být samozˇrejmˇe v´ıce operaˇcn´ıch systém˚ u ve v´ıce verz´ıch, r˚ uzné operaˇcn´ı systémy, r˚ uzné linuxové jádra atd. Snadné je i udrˇzován´ı pracovn´ı stanice. Vzhledem k tomu, ˇze poˇc´ıtaˇc pracuje v bezdiskovém reˇzimu, staˇc´ı pouze správnˇe nastavit bootován´ı a o vˇse ostatn´ı je postaráno, vˇse jiˇz má na starosti server. Správce tedy nemus´ı obcházet jednotlivé stanice s instalaˇcn´ım CD nebo na nˇe v˚ ubec nˇeco instalovat. Vyuˇzit´ım protokolu DHCP se také sn´ıˇz´ı nároˇcnost správy nastaven´ı s´ıtˇe jednotlivých stanic - pracovn´ı stanice si s´ıt’ nastav´ı jednoduˇse samy, IP adresa je jim pˇridˇelena dynamicky z pˇr´ısluˇsného rozsahu. Celé toto ˇreˇsen´ı vˇsak má i své nevýhody: vyˇsˇs´ı zátˇeˇz celé s´ıtˇe a také serveru. To se m˚ uˇze projevit pˇredevˇs´ım v okamˇziku nabootován´ı vˇetˇs´ıho poˇctu stanic najednou, napˇr. pˇri obnoven´ı funkˇcnosti elektrické s´ıtˇe po pˇredeˇslém výpadku. V takovém pˇr´ıpadˇe docház´ı ke zvýˇsen´ı poˇctu poˇzadavk˚ u na DHCP server, TFTP server i na NFS server.


16

Dalˇs´ım nedostatkem je zvýˇsen´ı provozu DHCP paket˚ u - pˇri kaˇzdém bootován´ı stanice do OS Linux vys´ılá stanice 3x poˇzadavek na DHCP: • PXE (potˇrebuje nastavit s´ıt’ovou kartu, aby v˚ ubec stanice mohla vzdálené bootován´ı provádˇet) • linuxové jádro pˇred pˇripojen´ım souborového systému (potˇrebuje znát nastaven´ı s´ıtˇe, aby mohlo pˇripojit souborový systém protokolem NFS ) • DHCP client - software bˇeˇz´ıc´ı po rozbˇehnut´ı OS Linux (udrˇzuje v bˇeˇz´ıc´ım systému informace o nastaven´ı s´ıtˇe, pravidelnˇe sleduje vyprˇsen´ı doby platnosti IP adresy atd.) Bohuˇzel mezi tˇemito tˇremi objekty nen´ı moˇzné informace o nastaven´ı s´ıtˇe pˇredávat, takˇze docház´ı k tomu, ˇze DHCP server mus´ı bˇehem pomˇernˇe krátké doby bootován´ı vyˇr´ıdit poˇzadavek od jedné stanice nˇekolikrát. Vysoké zátˇeˇzi je nav´ıc podroben centráln´ı NFS server. Pˇri pˇripojen´ı vˇetˇs´ıho mnoˇzstv´ı pracovn´ıch stanic a jejich moˇzným r˚ uznorodým poˇzadavk˚ um na jednotlivé soubory na nejr˚ uznˇejˇs´ıch m´ıstech souborového systému pˇredstavuje tento server kritický bod - konkrétnˇe zat´ıˇzen´ı disku by mohlo být vˇetˇs´ı neˇz u ´ nosná m´ıra. Aby byl pˇr´ıstup protokolem NFS maximálnˇe urychlen a t´ım nedoˇslo ke zpomalován´ı práce jednotlivých stanic, leˇz´ı celý poskytovaný souborový systém na ramdisku - v pamˇeti serveru je vyˇclenˇeno dostateˇcnˇe velké mnoˇzstv´ı pamˇeti, do které je souborový systém nakop´ırován. Pˇr´ıstup pracovn´ıch stanic k jednotlivým soubor˚ um je pak zpracováván pouze v pamˇeti, bez jakékoliv práce s disky na centráln´ım serveru. I toto d´ılˇc´ı zrychlen´ı má ovˇsem své nedostatky, které vyplývaj´ı z vlastnost´ı ramdisku: po rebootu serveru je pamˇet’ prázdná a je tˇreba zajistit, aby byl vytvoˇren a naformátován ramdisk a aby byl do nˇeho celý souborový systém nakop´ırován. To ovˇsem znamená zdrˇzen´ı. Dalˇs´ı nevýhodou ramdisku je poˇzadavek na vˇetˇs´ı velikost pamˇeti serveru, zvláˇst’ v pˇr´ıpadˇe, ˇze je k dispozici nekolik operaˇcn´ıch systém˚ u nebo jejich verz´ı. Posledn´ı velkou nevýhodou je mnoˇzstv´ı s´ıt’ových sluˇzeb, které mus´ı bezchybnˇe fungovat: DHCP, TFTP, NFS, smˇerován´ı, pˇrep´ınán´ı a firewally - u ´plná nefunkˇcnost nebo chybné fungován´ı kterékoliv z tˇechto sluˇzeb znamená nefunkˇcnost celého systému, proto je nutné dbát na správný chod vˇsech zaˇr´ızen´ı (týka se jak hardwaru, tak softwaru), které jsou do celého systému zapojeny. Vyjmenované nevýhody tohoto ˇreˇsen´ı spoˇc´ıvaj´ı pˇredevˇs´ım v nároˇcnosti na pouˇzitý hardware, s´ıt’ové zaˇr´ızen´ı a kvalitu s´ıtˇe v˚ ubec. Lze konstatovat, ˇze vˇsechna zaˇr´ızen´ı, která jsou ’ pouˇzita na s´ıt ové sluˇzby, jsou natolik kvalitn´ı, ˇze by vˇsechen bˇeˇzný provoz mˇela zvládnout bez pot´ıˇz´ı.


2

17

Nastaven´ı s´ıtˇ e

2.1

DHCP

DHCP je protokol umoˇzn ˇ uj´ıc´ı konfigurovat (nejen) s´ıt’ na r˚ uzných poˇc´ıtaˇc´ıch v s´ıti pouze z jednoho m´ısta. Protokol je typickou ukázkou vztahu klient-server, kdy v s´ıti existuje DHCP server a obvykle v´ıce klient˚ u. Pˇr´ıstup klientské stanice k s´ıti nen´ı nejprve v˚ ubec nijak nakonfigurován, ale v okamˇziku, kdy stanice potˇrebuje na s´ıti jakkoliv komunikovat, mus´ı vˇedˇet svoji IP adresu, masku s´ıtˇe a dalˇs´ı podrobnosti. Pˇri pouˇzit´ı protokolu DHCP vyˇsle klient ˇzádost, na kterou oˇcekává odpovˇed’. Je-li v s´ıti DHCP server, který poˇzadavek klienta zachyt´ı a zpracuje, poˇsle odpovˇed’ s veˇskerými informacemi, které klient potˇrebuje vˇedˇet. V tomto pˇr´ıpadˇe potˇrebuje znát pracovn´ı stanice tyto u ´ daje: • vlastn´ı IP adresu stanice • dobu platnosti IP adresy • masku s´ıtˇe • IP adresu brány • IP adresu TFTP serveru • název zavádˇec´ıho souboru pro PXE na TFTP serveru IP adresa TFTP serveru, stejnˇe jako název souboru pro PXE jsou ve vˇsech odpovˇed´ıch shodné, IP adresa stanice je pˇridˇelována dynamicky z pˇr´ısluˇsného rozsahu, stejnˇe tak IP adresa brány a maska s´ıtˇe. Doba platnosti IP adresy byla stanovena na 30 minut - pˇred uplynut´ım této doby mus´ı klient poˇzádat o obnovu IP adresy, pokud by se tak nestalo, m˚ uˇze být tato adresa poskytnuta jinému klientovi. Tato doba je rozumným kompromisem mezi zbyteˇcným zatˇeˇzován´ım s´ıtˇe ˇcastými DHCP dotazy a odpovˇed’mi a pˇr´ıliˇs dlouhou dobou blokován´ı adres, které mohou být pˇridˇeleny jiˇz odpojeným zaˇr´ızen´ım. 2.1.1

Zabezpeˇ cen´ı DHCP

Jsou-li na jednom segmentu s´ıtˇe dva (nebo v´ıce) DHCP servery, m˚ uˇze doj´ıt k tomu, ˇze klient obdrˇz´ı dvˇe odpovˇedi na sv˚ uj poˇzadavek o konfiguraci pomoc´ı DHCP. V takovém pˇr´ıpadˇe si klient m˚ uˇze vybrat, kterou odpovˇed´ı se bude ˇr´ıdit, dle svého vlastn´ıho uváˇzen´ı [1]. Potenciáln´ı u ´ toˇcn´ık by tedy mohl snadno do s´ıtˇe pˇripojit vlastn´ı poˇc´ıtaˇc s vlastn´ım DHCP serverem, ˇc´ımˇz by mohl z´ıskat naprostou kontrolu nad vˇsemi daty, které se po s´ıti pos´ılaj´ı [11].


18

Aby se takovému u ´ toku zamezilo, je na pˇr´ıstuponých pˇrep´ınaˇc´ıch implementován DHCP snooping [2], technologie, která umoˇzn ˇ uje tiˇse zahazovat (tedy dále nepos´ılat) DHCP odpovˇedi od zaˇr´ızen´ı, která nejsou povolena. Konkrétnˇe na kaˇzdém pˇrep´ınaˇci mus´ı být oznaˇcen fyzický ethernetový port, ze kterého m˚ uˇze do pˇrep´ınaˇce pˇrij´ıt DHCP odpovˇed - v tomto pˇr´ıpadˇe je to na kaˇzdém pˇr´ıstupovém pˇrep´ınaˇci pouze port, kterým je pˇrep´ınaˇc propojen se smˇerovaˇcem. Dojde-li pˇrep´ınaˇci na nepovoleném portu DHCP odpovˇed’, je u ´ plnˇe ignorována.

2.2

TFTP

Protokol TFTP slouˇz´ı k pˇrenáˇsen´ı soubor˚ u mezi poˇc´ıtaˇci bez jakékoliv autentizace pomoc´ı UDP paket˚ u. Na serveru jsou um´ıstˇeny soubory nutné k u ´ spˇeˇsnému zaveden´ı ovládac´ıch soubor˚ u pro PXE: • pxelinux.0 - hlavn´ı ovládac´ı soubor pro PXE • vesamenu.c32 - umoˇzn ˇ uje grafické menu v PXE • bg.jpg - pozad´ı v grafickém menu • pxelinux.cfg/default - nastaven´ı jednotlivých poloˇzek v menu Kromˇe soubor˚ u pro PXE jsou na TFTP serveru pˇr´ıstupné také linuxová jádra a samozˇrejmˇe mohou být pˇr´ıstupné i obrazy r˚ uzných operaˇcn´ıch systém˚ u. 2.2.1

Bezpeˇ cnostn´ı rizika TFTP

Protokol TFTP v sobˇe nemá ˇzádnou autentizaci, kaˇzdý, kdo se pˇripoj´ı k serveru, m˚ uˇze stahovat libovolný soubor, o jehoˇz existenci v´ı (nelze listovat soubory nebo adresáˇre). Rizikem m˚ uˇze být u ´ niku dat z TFTP serveru k u ´ toˇcn´ıkovi, ale obsah tˇechto dat (konfigurace PXE, obraz operaˇcn´ıch systému apod.) nejsou pˇr´ıliˇs citlivá data, takˇze toto hledisko lze pominout. Protokolem TFTP lze ovˇsem nejem ˇc´ıst data ze serveru, ale je j´ım moˇzné i soubory na serveru vytváˇret nebo pˇrepisovat, coˇz uˇz bezpeˇcnostn´ım rizikem rozhodnˇe je. Server je tedy nastaven tak, aby nové soubory nebylo moˇzné vytváˇret.

2.3

NFS

NFS je protokol pro sd´ılen´ı soubor˚ u a adresáˇr˚ u mezi jednotlivými poˇc´ıtaˇci na s´ıti, v proveden´ı klient-server. Server poskytuje ˇcást své adresáˇrové struktury klientovi, který si m˚ uˇze poskytovaná data pˇripojit do lokáln´ıho adresáˇre.


19

Linuxový server má v adresáˇri /mnt/sda7/disks adresáˇre s jednotlivými distribucemi, napˇr. /mnt/sda7/disks/suse-10.3-mini nebo /mnt/sda7/disks/debian-4.0. Celý adresáˇr s distribucemi je pak nasd´ılen ke ˇcten´ı poˇc´ıtaˇc˚ um v s´ıti. Klient, který chce pak pouˇz´ıvat nˇekterý operaˇcn´ı systém, si pak pˇr´ımo na sv˚ uj koˇrenový adresáˇr pˇripoj´ı adresáˇr ze serveru: client# mount -t nfs server:/mnt/sda7/disks/debian-4.0 / Adresáˇr, který je na serveru jako /mnt/sda7/disks/debian-4.0/etc je pak na stanici viditelný jako /etc. 2.3.1

NFS a bezpeˇ cnost

Protokol NFS umoˇzn ˇ uje sd´ılet adresáˇre i v reˇzimu read-write, coˇz je v tomto pˇr´ıpadˇe neprosto neˇzádouc´ı. Server tedy mus´ı být nastaven tak, aby umoˇzn ˇ oval pouze read-only pˇr´ıstup ke svým soubor˚ um. Soubory a adresáˇre jsou pˇr´ıstupné kaˇzdému, kdo se k NFS serveru pˇripoj´ı, nicménˇe je moˇzné tento pˇr´ıstup omezit pouze na urˇcitý seznam IP adres.

2.4 2.4.1

Bezpeˇ cnost Zabezpeˇ cen´ı smˇ erovaˇ ce a pˇ rep´ınaˇ c˚ u

Smˇerovaˇc je centráln´ım komunikaˇcn´ım prvkem mezi pracovn´ımi stanicemi a serverem nebude-li fungovat, nebudou fungovat ani stanice, protoˇze k jakékoliv akci, pˇri které by potˇrebovaly ˇc´ıst z disku, nyn´ı ˇctou pˇres s´ıt’ ze serveru. V pˇr´ıpadˇe nefunkˇcn´ıho smˇerovaˇce jsou vˇsichni uˇzivatele bezmocn´ı a proto je tˇreba se jeho zabezpeˇcen´ı dostateˇcnˇe vˇenovat. Hlavn´ı zabezpeˇcen´ı je omezen´ı pˇr´ıstupu k administraci s´ıt’ových prvk˚ u - konfigurovat je lze pouze pˇripojen´ım konzole na sériový port a zadán´ım hesla (to ovˇsem vyˇzaduje fyzický pˇr´ıstup do zamˇcené serverovny) nebo vzdáleným pˇr´ıstupem po s´ıti, ovˇsem pouze administraˇcn´ı virtuáln´ı s´ıti, kterou nemaj´ı stanice v uˇcebnách k dispozici. U pˇr´ıstupovách pˇrep´ınaˇc˚ u je pak tˇreba dbát na kontrolu dat, která pˇripojená koncová zaˇr´ızen´ı do s´ıtˇe pos´ılaj´ı, pˇredevˇs´ım je tˇreba se bránit proti u ´ tok˚ um na ARP tabulku pomoc´ı port-security [3]. Tato technologie zajist´ı vypnut´ı pˇr´ıstupového portu pˇrep´ınaˇce v pˇr´ıpadˇe, ˇze u ´ toˇcn´ık odes´ılá velké mnoˇzstv´ı rámc˚ u s r˚ uznými MAC adresami (t´ım m˚ uˇze doj´ıt k zaplnˇen´ı ARP tabulky na pˇrep´ınaˇci, ˇc´ımˇz je degradován na hub a u ´ toˇcn´ık se t´ım pádem dostane k veˇskerému provozu na s´ıti [11]).


20

Dalˇs´ı d˚ uleˇzitou ochranou pˇr´ıstupového bodu je puˇstˇen´ı BPDU guard [3], coˇze je funkce, která zabraˇ nuje pˇrij´ımán´ı BPDU rámc˚ u 3 na portech oznaˇcených jako port-fast (pˇredpoklad, ˇze pˇripojené zaˇr´ızen´ı do tohoto portu pˇrep´ınaˇce bude jiˇz koncová stanice a ne dalˇs´ı pˇrep´ınaˇc). V pˇr´ıpadˇe pˇrijet´ı takového rámce se jedná bud’ o nechtˇený zásah do páteˇrn´ı infrastruktury (coˇz m˚ uˇze vést teoreticky aˇz ke kolapsu celé s´ıtˇe) nebo o c´ılený u ´ tok (´ utoˇcn´ık by pak mohl nepozorovanˇe zachytávat u ´ plnˇe vˇsechen provoz na s´ıti [11]). 2.4.2

Ochrana serveru

Pˇr´ıstup k serveru je moˇzný pouze z klávesnice (opˇet je nutný fyzický pˇr´ıstup do serverovny) nebo vzdálenˇe ˇsifrovaným protokolem SSH, to vˇse se znalost´ı názvu uˇzivatele a hesla. Na serveru je nainstalován firewall, který zahazuje jakékoliv pakety, které nejsou explicitnˇe povoleny. Mezi povolený provoz patˇr´ı: • SSH (port 22/tcp) z omezeného mnoˇzstv´ı IP adres • TFTP (port 69/udp) pouze ze s´ıt´ı v uˇcebnách • NFS (port 777/udp) pouze ze s´ıt´ı v uˇcebnách I jednotlivé programy na serveru maj´ı dalˇs´ı vlastn´ı omezen´ı pˇrisp´ıvaj´ıc´ı ke zvýˇsen´ı bezpeˇcnosti, které se mohou uplatnit v pˇr´ıpadˇe nefunkˇcnosti lokáln´ıho firewallu: • TFTP server pracuje pouze v reˇzimu read-only • NFS server pracuje pouze v reˇzimu read-only • NFS server poskytuje data pouze klient˚ um ze s´ıt´ı v uˇcebnách 2.4.3

Kontrola paket˚ u v s´ıti

Kromˇe lokáln´ıho firewallu na serveru existuje jeˇstˇe firewall na smˇerovaˇci, který nepouˇst´ı k serveru jiné neˇz povolené pakety - de facto se jedná o obdobu serverového firewallu. Tento firewall lze do budoucna vyuˇz´ıt i ke kontrole nebo omezen´ı dat smˇeruj´ıc´ıch z uˇceben, do uˇceben nebo mezi jednotlivými uˇcebnami.

3

souˇca´st protokolu STP, kter´ y slouˇz´ı k zabraˇ nován´ı packet storm˚ u ve velk´ ych pˇrep´ınan´ ych s´ıt´ıch a urˇcován´ı tras na druhé vrstvˇe OSI


3 3.1

21

Pracovn´ı stanice Nastaven´ı BIOSu

V podstatˇe jediné nastaven´ı v BIOSu pracovn´ıch stanic je správné poˇrad´ı bootován´ı. Pracovn´ı stanice je nastavena tak, ˇze je povoleno pouze bootován´ı ze s´ıtˇe a z pevného disku (pro pˇr´ıpad, ˇze by z jakéhokoliv d˚ uvodu s´ıt’ nebyla k dispozici). Pˇr´ıstup k tomuto nastaven´ı je chránˇen heslem, aby ho mohli mˇenit pouze správci (pˇredevˇs´ım pˇri opravˇe lokáln´ı instalace OS Microsoft Windows na pevném disku, kdy je nutné bootovat z CD).

3.2

PXE menu

Pˇri bootován´ı ze s´ıtˇe si PXE stáhne konfiguraˇcn´ı soubor, ve kterém jsou obsaˇzeny jednotlivé poloˇzky menu. Implicitn´ı volba je pokraˇcován´ı v bootován´ı z pevného disku, tedy nabˇehnut´ı lokáln´ıho operaˇcn´ıho systému Microsoft Windows. Ostatn´ı volby jsou pˇredpˇripravené verze operaˇcn´ıho systému Linux um´ıstˇené na centráln´ım serveru. Od okamˇziku zobrazen´ı menu má pak uˇzivatel 4 sekundy ˇcas na to, aby si vybral jiný neˇz pˇredvolený operaˇcn´ı systém (ˇcas se zastav´ı stisknut´ım libovolné klávesy). Pak má dalˇs´ıch 30 sekund na to, aby si pomoc´ı ˇsipek vybral jinou poloˇzku v menu.

3.3

Linuxov´ e j´ adro

V pˇr´ıpadˇe výbˇeru OS Linux se pomoc´ı protokolu TFTP stáhne obraz linuxového jádra. Jádro pak pˇreb´ırá bˇeh poˇc´ıtaˇce - zaˇcne detekc´ı procesoru, pamˇet´ı, hardwaru atd. D˚ uleˇztou vˇec´ı nakonec je moˇznost pˇripojen´ı linuxového souborového systému pˇres s´ıt’ - jádro vyˇsle DHCP dotaz na nastaven´ı s´ıtˇe, pak nastav´ı s´ıt’ové rozhran´ı a nakonec pˇripoj´ı koˇrenový souborový systém a v nˇem pak standardnˇe spust´ı program init.

3.4

Bˇ eh OS Linux

Celý spuˇstˇený operaˇcn´ı systém se pak nadále chová jako bˇeˇzný nabootovaný OS Linux - init zajist´ı spuˇstˇen´ı základn´ıch startovac´ıch skript˚ u, spuˇstˇen´ı softwarových sluˇzeb a umoˇzn´ı uˇzivateli pˇrihláˇsen´ı a bˇeˇznou práci.


ˇ ast III C´

´ C ˇ AST ´ PRAKTICKA

22


23

Konfigurace s´ıt’ov´ ych prvk˚ u

4 4.1

Pˇ r´ıstupov´ e pˇ rep´ınaˇ ce Cisco 2950

Vˇsechny zde uvedené konfigurace pˇrep´ınaˇce Cisco 2950, vˇcetnˇe jejich popis˚ u, jsou k dispozici v manuálnu k tomuto zaˇr´ızen´ı [3]. 4.1.1

D˚ uleˇ zit´ e glob´ aln´ı nastaven´ı a zabezpeˇ cen´ı

Hlavn´ı zabezpeˇcovac´ı globáln´ı direktivy zajiˇst’uj´ı ˇsifrované uloˇzen´ı hesla 4 , omezen´ı pˇr´ıstupu pouze z konzole nebo z omezeného poˇctu IP adres 5 a pouˇzit´ı BPDU Guard [3] jako ochranu proti moˇznému ohroˇzen´ı nastaven´ı virtuáln´ıch s´ıt´ı. service password-encryption enable secret 5 $1$5UYo$wO7xFXanBb0e5XRvAfOmQ0 access-list 8 permit 10.0.5.1 aceess-list 8 permit 10.0.5.11 spanning-tree portfast bpduguard default line con 0 password 7 1314001719181D login line vty 0 15 access-class 8 in password 7 1314001719181D login Kromˇe tˇechto obvyklých zabezpeˇcovac´ıch metod je nutné také zapnout DHCP snooping [3], tedy zahazován´ı DHCP paket˚ u typu DHCPOFFER jiˇz na druhé vrstvˇe OSI, staˇc´ı pouze pro ty s´ıtˇe, které jsou na uˇcebnách a protokol DHCP je zde nutné pouˇz´ıvat. ip dhcp snooping vlan 781 782 783 no ip dhcp snooping vlan option 4.1.2

Nastaven´ı pˇ r´ıstupov´ ych port˚ u

Pˇr´ıstupové porty jsou ty porty na pˇrep´ınaˇci, do kter´ ych jsou jiˇz pˇripojena koncová zaˇr´ızen´ı (tedy pˇr´ımo jednotlivé poˇc´ıtaˇce na uˇcebnách). Podle toho, ve které uˇcebnˇe se poˇc´ıtaˇc fyzicky nacház´ı, je port nastaven pˇr´ımo v dané virtuáln´ı s´ıti.

4 5

v uvedeném pˇr´ıkladu je zaˇsifrované heslo qwerty seznam je uveden v access-listu ˇc. 8


24

V nastaven´ı portu lze vidˇet nˇekolik zabezpeˇcen´ı: • pˇriˇrazen´ı portu do konkrétn´ı virtuáln´ı s´ıtˇe • nastaven´ı port-security [3], tedy odraˇzen´ı u ´ toku, kdy je na pˇrep´ınaˇc pos´ıláno vˇetˇs´ıho mnoˇzstv´ı MAC adres [11] • oznaˇcen´ı portu jako port-fast [3], coˇz zabraˇ nuje u ´ toku na protokol STP v souvislosti s globáln´ım zapnut´ım BPDU guard • omezen´ı poˇctu vys´ılán´ı DHCP ˇzádost´ı interface FastEthernet0/3 description Workstations - 305/13 switchport access vlan 781 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity spanning-tree portfast ip dhcp snooping limit rate 16 ! 4.1.3

Nastaven´ı uplinku

Nastaven´ı portu pro uplink jiˇz neobsahuje tolik restrikc´ı, nicménˇe vzhledem k pouˇz´ıván´ı DHCP snoopingu je nutné na tomto portu povolit DHCP odpovˇedi (na tomto portu budou pˇricházet od DHCP serveru). Dalˇs´ım malým kr˚ uˇckem k vyˇsˇs´ı bezpeˇcnosti je vyjmenován´ı jednotlivých virtuáln´ıch s´ıt´ı, které na uplinku povolujeme. 6 interface FastEthernet0/24 description Uplink switchport trunk allowed vlan 50,781,782,783 switchport mode trunk ip dhcp snooping trust !

4.2

Smˇ erovaˇ c Cisco 3550

Páteˇrn´ı smˇerovaˇc slouˇz´ı jako spojovac´ı uzel mezi jednotlivými pˇr´ıstupovými pˇrep´ınaˇci a jako bod pˇripojen´ı k Internetu, proto funguje ve vˇsech virtuáln´ıch s´ıt´ıch (pro uˇcebny i server) jako brána. Vˇsechny zde uvedené konfigurace smˇerovaˇce Cisco 3550, vˇcetnˇe jejich popis˚ u, jsou k dispozici v manuálu k tomuto zaˇr´ızen´ı [4]. 6

VLAN ˇc. 50 je administrativn´ı virtu´ aln´ı s´ıt’

UTB ve Zl´ınˇ e, Fakulta aplikovan´ e informatiky, 2008 4.2.1

25

Zabezpeˇ cen´ı pˇ r´ıstupu

Zabezpeˇcen´ı pˇr´ıstupu je stejné jako u pˇr´ıstupových pˇrep´ınaˇc˚ u, BPDU guard ani DHCP Snooping zde nemá smysl, to je oˇsetˇreno jiˇz na pˇr´ıstupové vrstvˇe. 4.2.2

Smˇ erov´ an´ı

Smˇerovaˇc zajiˇst’uje pˇredevˇs´ım smˇerován´ı paket˚ u mezi jednotlivými s´ıtˇemi a zajiˇst’uje pˇripojen´ı s´ıt´ı k Internetu. Zde je ukázková konfigurace smˇerován´ı, kdy je vidˇet adresace jednotlivých virtuáln´ıch s´ıt´ı a nastaven´ı brány pro pˇr´ıstup k Internetu: interface Vlan50 description Internet ip address 10.5.0.3 255.255.255.0 ! interface Vlan780 description Server ip address 10.254.254.1 255.255.255.192 ! interface Vlan781 description Ucebna 1 ip address 10.254.254.65 255.255.255.192 ! interface Vlan782 description Ucebna 2 ip address 10.254.254.129 255.255.255.192 ! interface Vlan783 description Ucebna 3 ip address 10.254.254.193 255.255.255.192 ! ip default-gateway 10.5.0.1 Jak je vidˇet, kaˇzdá uˇcebna má pˇridˇelený rozsah o velikosti 64 IP adres, coˇz umoˇzn ˇ uje pˇripojit aˇz 61 koncových zaˇr´ızen´ı (prvn´ı adresa je ˇc´ıslo s´ıtˇe, druhá adresa je IP na virtuáln´ım rozhran´ı smˇerovaˇce - IP adresa brány pro pˇripojené poˇc´ıtaˇce, posledn´ı adresa je broadcast). 4.2.3

DHCP Server

Na tomto smˇerovaˇci je nutné nastavit také správný chod DHCP serveru [4]. V této ukázce je vidˇet nastaven´ı pro 3 uˇcebny. Prvn´ı 4 adresy z IP rozsahu server nebude pˇridˇelovat (mohou slouˇzit k administrativn´ım u ´ˇcel˚ um nebo jako rezerva). Jednotlivé rozsahy maj´ı nastavenu s´ıt’, bránu, IP adresu TFTP serveru, název hlavn´ıho souboru pro PXE na TFTP serveru a dobu platnosti IP adresy. 7 . 7

hodnoty 0 0 30 znamenaj´ı 0 dn´ı, 0 hodin a 30 minut


ip dhcp excluded-address 10.254.254.64 10.254.254.68 ip dhcp excluded-address 10.254.254.128 10.254.254.132 ip dhcp excluded-address 10.254.254.192 10.254.254.196 ip dhcp pool workstations-room-305 network 10.254.254.64 255.255.255.192 default-router 10.254.254.65 bootfile /pxelinux.0 next-server 10.254.254.2 lease 0 0 30 ! ip dhcp pool workstations-room-306 network 10.254.254.128 255.255.255.192 default-router 10.254.254.65 bootfile /pxelinux.0 next-server 10.254.254.2 lease 0 0 30 ! ip dhcp pool workstations-room-307 network 10.254.254.192 255.255.255.192 default-router 10.254.254.65 bootfile /pxelinux.0 next-server 10.254.254.2 lease 0 0 30 !

26


5

27

Konfigurace PXE

Celá konfigurace PXE je uloˇzena v jednom souboru, který je pro pracovn´ı stanici dostupný protokolem TFTP. Konfiguraˇcn´ı soubor pouˇzitý pro pracovn´ı stanice v uˇcebnách FAI UTB je souˇcást´ı pˇr´ılohy této práce, d˚ uleˇzité parametry jsou popsány v této kapitole.

5.1

Zabezpeˇ cen´ı a timeouty

Základn´ı zabezpeˇcen´ı PXE spoˇc´ıvá v tom, ˇze uˇzivatel m˚ uˇze pouze vyb´ırat z tˇech poloˇzek, které mu dá správce TFTP serveru k dispozici, tedy ˇze si nem˚ uˇze pˇridat vlastn´ı moˇznost a ani nesm´ı upravovat parametry nab´ızených poloˇzek. Toho se doc´ıl´ı nˇekolika parametry [5]: • noescape 1 - PXE nebude reagovat na tzv. escape klávesy, pomoc´ı kterých by mohl uˇzivatel u ´ plnˇe vyskoˇcit z menu • prompt 0 - neumoˇzn´ı zadat uˇzivateli vlastn´ı moˇznost jako alternativu k definovaným poloˇzkám v menu • allowoptions 0 - znemoˇzn´ı uˇzivateli mˇenit parametry jednotlivých poloˇzek v menu Timeouty jsou definovány, aby uˇzivatel v daném ˇcasovém u ´ seku musel provést nˇejakou akci, pokud ˇzádnou neprovede, spust´ı se v menu prvn´ı poloˇzka: • timeout 40 - uˇzivatel mus´ı do 4 sekund od zobrazen´ı menu stisknout jakoukoliv klávesu • totaltimeout 300 - uˇzivatel má do 30 sekund na to, aby si proˇcetl poloˇzky v menu (eventuelnˇe nápovˇedy k nim) a nˇekterou z nich si vybral

5.2

Nastaven´ı menu

PXE umoˇzn ˇ uje jak obyˇcejné textové rozhran´ı pro výbˇer poloˇzek v menu, tak grafické rozhran´ı. Grafické rozhran´ı umoˇzn ˇ uje práci s v´ıce barvami, posun menu tak, aby zapadlo do obrázku na pozad´ı a v˚ ubec p˚ usob´ı na uˇzivatele v´ıce pˇrátelsky. Z toho d˚ uvodu bude pouˇzito grafické menu [6]: • default vesamenu.c32 - PXE si pomoc´ı TFTP stáhne tento soubor, který grafické rozhran´ı umoˇzn ˇ uje • menu background bg.jpg - PXE si opˇet pomoc´ı TFTP stáhne soubor s obrázkem (mus´ı m´ıt rozmˇer 640x480 pixel˚ u, formát m˚ uˇze být JPG nebo PNG) Dalˇs´ı konfigurace v zhledu menu, upravuj´ı pozici a rozmˇery menu a nápovˇed, jsou vidˇet pˇr´ımo v souboru na DVD pˇriloˇzeným k této práci, v souboru tvoˇr´ı druhý odstavec a jsou uvozeny kl´ıˇcovým slovem menu.


5.3

28

Poloˇ zky v menu

Jednotlivé poloˇzky v menu jsou uvozeny kl´ıˇcovým slovem label a unikátn´ım identifikátorem poloˇzky. Aˇz do dalˇs´ı definice label se vˇsechna nastaven´ı týkaj´ı této poloˇzky. Kaˇzdá poloˇzka má nav´ıc tyto parametry [5]: • menu label - slovn´ı název poloˇzky, který se zobraz´ı v menu • text help, endtext - vˇsechny ˇrádky mezi tˇemito dvˇema parametry budou v menu zobrazeny jako nápovˇeda nebo popis k dané poloˇzce • kernel - jádro operaˇcn´ıho systému, které se má stáhnout pomoc´ı TFTP a spustit, v tomto projektu se jedná vˇzdy jen o zkompilované linuxové jádro nebo o soubor memdisk, který je souˇcást´ı bal´ıku pxelinux a který stáhne pomoc´ı TFTP celý obraz operaˇcn´ıho systému, který se má spustit, nahraje ho do pamˇeti a pokus´ı se ho nabootovat. Jako ukázka je na TFTP serveru uloˇzen obraz starého systému MS-DOS 6.2, který je dnes volnˇe pˇr´ıstupný na Internetu a kter´ y se dˇr´ıve bootoval z diskety. Operaˇcn´ı systém je velmi jednoduchý, kromˇe základn´ıch pˇr´ıkaz˚ u na práci s adresáˇri a soubory obsahuje pouze podporu pro CD-ROM. • append - parametry pro jádro operaˇcn´ıho systému, v pˇr´ıpadˇe linuxového jádra jde pˇr´ımo o parametry pro jádro, v pˇr´ıpadˇe pouˇzit´ı memdisku obsahuje název souboru pˇr´ıstupného pomoc´ı TFTP, který bude nahrán do pamˇeti a nabootován • localboot 0 - tento pˇr´ıkaz se pouˇzije v pˇr´ıpadˇe, ˇze se nebootuje po s´ıti, ale z lokáln´ıho disku (ˇc´ıslo udává, který disk se má pouˇz´ıt), v tomto pˇr´ıpadˇe se parametry kernel ani memdisk nepouˇzij´ı

5.4

Parametry pro linuxov´ e j´ adro

Linuxovému jádru mohou být pˇredány jakékoliv parametry, které potˇrebuje, nicménˇe pro konkrétn´ı nabootován´ı po s´ıti jsou nutné tyto [7]: • root=/dev/nfs - celý koˇrenový souborový systém bude pˇripojen protokolem NFS • ip=dhcp - jádro si mus´ı zjistit IP adresu s´ıt’ového rozhran´ı a dalˇs´ı nastaven´ı s´ıtˇe protokolem DHCP • nfsroot=IP:/path - cesta k souborovému systému, který je pˇr´ıstupný protokolem NFS, IP je IP adresa serveru a /path je celá cesta k souborovému systému na centráln´ım serveru, celé pˇresné nastaven´ı tedy m˚ uˇze vypadat napˇr. takto: nfsroot=10.254.254.2:/remote-linux/disks/debian-4.0


6

29

Centr´ aln´ı linuxov´ y server

Operaˇcn´ı systém na centráln´ım serveru je Linux, je lhostejné, o jakou se jedná distribuci, nutné ovˇsem je, aby server mˇel nainstalovaný vˇsechen potˇrebný software: • TFTP server • NFS server • podpora dostateˇcnˇe velkého ramdisku • kompilace linuxového jádra Vˇsechna data potˇrebná pro bˇeh pracovn´ıch stanic jsou um´ıstˇena na samostatném diskovém odd´ılu, který je pˇripojen do /mnt/sda7. Zde jsou tyto adresáˇre: • kernel - obsahuje rozbalená linuxová jádra (napˇr. kernel/linux-2.6.25) i jiˇz zkompilovaná jádra (napˇr. kernel/bzImage-2.6.25) • disks - obsahuje souborové systémy pro pracovn´ı stanice (napˇr. disks/debian-4.0) • tftp - obsahuje potˇrebné soubory pro TFTP

6.1

Ramdisk

Pro zvýˇsen´ı rychlosti odezvy serveru budou veˇskerá data potˇrebná pro pracovn´ı stanice um´ıstˇena na ramdisku, tedy v ˇcásti pamˇeti. Aby bylo nˇeco takového na serveru moˇzné, je nutné m´ıt v jádˇre podporu pro minimálnˇe jeden dostateˇcnˇe velký ramdisk. Po startu serveru je ovˇsem nutné zajistit jeho formátován´ı, pˇripojen´ı do adresáˇre /remote-linux a vytvoˇren´ı adresáˇrové struktury se soubory. Skript, který toto vˇsechno zajist´ı, je k vidˇen´ı na DVD pˇriloˇzeném k této práci.

6.2

TFTP server

TFTP server je moˇzné spouˇstˇet pomoc´ı obecného s´ıt’ového softwaru pro spouˇstˇen´ı sluˇzeb xinetd nebo jako tzv. standalone sluˇzbu. Pro zvýˇsen´ı bezpeˇcnosti se bude spouˇstˇet tftpd s právy uˇzivatele nobody, poskytované soubory budou uloˇzeny v adresáˇri /remote-linux/tftp. 6.2.1

Spouˇ stˇ en´ı pˇ res xinetd

V pˇr´ıpadˇe, ˇze tftpd má být spouˇstˇeno pomoc´ı xinetd, staˇc´ı upravit soubor /etc/xinetd.d/tftp, a to takto:


service tftp { socket_type protocol wait user server server_args disable }

= = = = = = =

30

dgram udp yes root /usr/sbin/in.tftpd -u nobody -s /remote-linux/tftp no

Nyn´ı jiˇz staˇc´ı zajistit spouˇstˇen´ı xinetd na serveru standardn´ı cestou. 6.2.2

Spouˇ stˇ en´ı jako standalone server

Pˇri absenci xinetd nebo z jakéhokoliv jiného d˚ uvodu je moˇzné spouˇstˇet tftpd i jako samostatnˇe bˇeˇz´ıc´ı server. Na to je tˇreba vytvoˇrit skript, který by pouˇstˇel sluˇzbu automaticky pˇri startu serveru (bohuˇzel nebývá souˇcást´ı standardn´ı instalace tftpd). Tento skript se m˚ uˇze nacházet mezi ostatn´ımi standardn´ım serverovými skripty v /etc/rc.d, popˇr. jinde, záleˇz´ı na konkrétn´ı distribuci. Ukázkový skript je uloˇzen na DVD, které je pˇriloˇzeno k této práci. 6.2.3

Parametry pro tftpd

V obou uvedených pˇr´ıpadech spouˇstˇen´ı jsou zadané následuj´ıc´ı parametry [8]: • -u nobody - zajist´ı, ˇze server pobˇeˇz´ı s právy uˇzivatele nobody a nikoliv uˇzivatele root, který server spouˇst´ı • -s /remote-linux/tftp - adresáˇr, ve kterém se nacház´ı soubory a adresáˇre pˇr´ıstupné pomoc´ı TFTP V pˇr´ıpadˇe spouˇstˇen´ı tftpd jako standalone serveru k tˇemto dvˇema parametr˚ um jeˇstˇe pˇribude -l, coˇz je instrukce pro tftpd, aby právˇe bˇeˇzel ve standalone módu a nikoliv jako jediný proces, který po obslouˇzen´ı pˇr´ıchoz´ı konexe bude samoˇcinnˇe ukonˇcen.


31

Obsah adres´ aˇ re pro TFTP

Obsahem adresáˇre /remote-linux/tftp je vˇsechno, co potˇrebuje pracovn´ı stanice pro uskuteˇcnˇen´ı bootován´ı pomoc´ı PXE: • bg.jpg - soubor v rozliˇsen´ı 800x600 bod˚ u, pouˇzije se na pozad´ı pˇri výbˇeru operaˇcn´ıho systému • images/bzImage-2.6.25 - zkompilované linuxové jádro • images/dosboot.img - obraz operaˇcn´ıho systému MS-DOS (slouˇz´ı jako ukázka, jak lze nabootovat i jiný neˇz linuxový operaˇcn´ı systém) • memdisk - soubor umoˇzn ˇ uj´ıc´ı pomoc´ı PXE stáhnout do pracovn´ı stanice obraz jakéhokoliv systému a následnˇe ho spustit • pxelinux.0 - hlavn´ı ovládac´ı soubor pro PXE • pxelinux.cfg/default - nastaven´ı menu pro PXE • vesamenu.c32 - podp˚ urný soubor pro PXE, umoˇzn ˇ uje grafické pozad´ı pˇri výbˇeru operaˇcn´ıho systému Výrobˇe linuxového jádra je vˇenována samostatná kapitola, soubor dosboot.img je obraz staˇzený z Internetu. Obrázek na pozad´ı je jednoduchý grafický výtvor.

6.3 6.3.1

NFS server Spouˇ stˇ en´ı NFS serveru

NFS server lze spouˇstˇet standardn´ı cestou, pouze je tˇreba zajistit, aby NFS server poslouchal na konkrétn´ım portu 8 , abychom mohli snadno kontrolovat pˇr´ıchoz´ı pakety. Toho se dosáhne t´ım, ˇze se ve startovac´ım skriptu pro NFS server zajist´ı, aby se proces rpc.mountd spouˇstˇel s parametrem -d následovaným ˇc´ıslem portu. Pro tento konkrétn´ı pˇr´ıpad byl vybrán port 777. 6.3.2

Nastaven´ı adres´ aˇ r˚ u pˇ r´ıstupn´ ych pˇ res NFS

Nastaven´ı NFS serveru se provád´ı editac´ı souboru /etc/exports. Nastaven´ı je v tomto pˇr´ıpadˇe pomˇernˇe jednoduché: /remote-linux/disks

10.254.254.0/255.255.255.0(ro)

T´ım bude obsah adresáˇre /remote-linux/disks pˇr´ıstupný pouze pro ˇcten´ı (d´ıky parametru ro) pro jakékoliv zaˇr´ızen´ı na s´ıti, jehoˇz IP adresa je v rozmez´ı 10.254.254.0 - 10.254.254.255. V tomto rozsahu jsou zahrnuty vˇsechny s´ıtˇe ve vˇsech ukázkových uˇcebnách. 8

nezad´ an´ım parametru pro konkrétn´ı port nastartuje NFS server na n´ ahodném volném portu


6.4

32

Lok´ aln´ı firewall

Lokáln´ı firewall je realizován pomoc´ı iptables a je koncipován tak, ˇze vˇsechny pakety jdouc´ı na server nebo ze serveru mus´ı m´ıt charakter povoleného provozu, jinak jsou zahozeny. Firewall je pouˇstˇen po startu poˇc´ıtaˇce pomoc´ı skriptu um´ıstˇeného v /etc/rc.d nebo podobném (opˇet záleˇzn´ı na konkrétn´ı distribuci). Ukázkový startovac´ı skript je moˇzné nalézt na DVD pˇriloˇzeným k této práci, stejnˇe jako soubor s pravidly. Pravidla je ovˇsem tˇreba trochu popsat: • povoleny jsou pouze takové pˇrij´ımané pakety, jejichˇz c´ılová IP adresa je adresou serveru, zároveˇ n jsou povoleny pouze takové odchoz´ı pakety, jejichˇz zdrojová IP adresa je IP adresa serveru • povolen je provoz na loopbacku • je zakázáno pˇrij´ımat fragmenty paket˚ u, nav´ıc kaˇzdá nová pˇr´ıchoz´ı TCP konexe mus´ı zaˇc´ınat korektn´ım paketem typu SYN • je povolen provoz protokolem ICMP, ovˇsem pouze takový provoz, který vzniknul na serveru • smˇerem ze serveru jsou povoleny pouze TCP konexe na c´ılové porty 20 a 21 (ftp), 22 (ssh), 25 (smtp), 80 (http) a 443 (https) • smˇerem ze serveru jsou povoleny pouze UDP konexe na c´ılové porty 53 (dns) a 123 (ntp) • pˇr´ıstup na sluˇzby LDAP, TFTP, NFS a SSH je povolen pouze z definovaných IP adres9

6.5 6.5.1

Kompilace linuxov´ eho j´ adra pro pracovn´ı stanice Nutn´ e vlastnosti j´ adra

Na linuxové jádro nen´ı kladeno pˇr´ıliˇs nárok˚ u, aby vˇsak pracovn´ı stanice fungovala tak, jak má, mus´ı být splnˇena tato kritéria: • jádro by mˇelo být nemodulárn´ı (tedy nebude m´ıt ˇzádnou podporu pro moduly), t´ım se usnadn´ı vazba jádra a jednotlivých distribuc´ı, protoˇze pak je moˇzné dosáhnout stavu, kdy s jedn´ım jádrem lze bez dalˇs´ı manipulace s jednotlivými moduly fungovat na r˚ uzných distribuc´ıch, tedy odpadá instalace modul˚ u do vˇsech pˇripravených distribuc´ı • podpora pro ty s´ıt’ové karty, které jsou v pracovn´ıch stanic´ıch 9

nutnost protokolu LDAP je diskutován v dalˇs´ıch kapitol´ ach


33

• podpora pro ramdisk (nˇekteré programy vyˇzaduj´ı moˇznost zápisu na disk, coˇz na pracovn´ı bezdiskové stanici nen´ı moˇzné) - postaˇc´ı podpora 4 ramdisk˚ u o velikosti 32 MiB • podpora protokolu NFS • moˇznost m´ıt koˇrenový souborový systém pˇripojený pomoc´ı NFS • ˇzádná podpora pro pevné IDE nebo SATA disky (t´ım je ochránˇen lokáln´ı disk v jednotlivých stanic´ıch proti chtˇenému nebo nechtˇenému ˇcten´ı a zápisu, nainstalovaný systém Microsoft Windows bˇehem práce v OS Linux bude nedotknutelný) Jádra jsou rozbalena na serveru v adresáˇri /mnt/sda7/kernel, tedy napˇr. v adresáˇri /mnt/sda7/kernel/linux-2.6.25. Konfigurace je standardnˇe v souboru .config. Jádro lze jednoduˇse konfigurovat pomoc´ı sekvence pˇr´ıkaz˚ u: • cd /mnt/sda7/kernel/linux-2.6.25 • make menuconfig - spust´ı konfiguraˇcn´ı program, který vyuˇz´ıvá hiearchický systém konfigurace • make bzImage - zkompiluje výsledný obraz jádra • cp arch/x86/boot/bzImage ../bzImage-2.6.25 - zkop´ıruje výsledný obraz jádra, aby nebyl pˇrepsán eventueln´ı rekompilac´ı a aby byl dostupný pro kop´ırován´ı na ramdisk do adresáˇre pro TFTP Protoˇze v budovˇe FAI UTB je nˇekolik poˇc´ıtaˇcových uˇceben, je zvolené jádro zkompilováno pokud moˇzno co nejv´ıce obecnˇe - podpora nˇekter´ ych konkrétn´ıch vˇec´ı ustupuje, naopak jádro obsahuje podporu pro obecné drivery. Výjimku tvoˇr´ı samozˇrejmˇe podpora s´ıt’ových karet. Souboru .config je uloˇzen na DVD pˇriloˇzeným k této práci. 6.5.2

D˚ uleˇ zit´ e parametry linuxov´ eho j´ adra

Pˇri výbˇeru konfigurace jádra byly zvoleny následuj´ıc´ı parametry (vybrány jsou zde jen d˚ uleˇzité): • General setup / Support for pagging of anonymous memory - vypnuto (ˇzádná podpora pro swap; u bezdiskových stanic nemá smysl) • Enable loadable module support - vypnuto (jádro nebude nijak pracovat s moduly) • Processor type and features – Processor family - zvoleno Pentium-III – Generic x86 support - vybráno


34

– High Memory Support - zvoleno 4GB (umoˇzn ˇ uje vyuˇzit´ı RAM v pracovn´ı stanici aˇz do 4 GiB) • Executable file formats - zvolena pouze podpora pro ELF binaries • Networking / Network options – IP: Kernel level autoconfiguration - zapnuto (umoˇzn ˇ uje pouˇz´ıván´ı protokol˚ u DHCP apod. bˇehem bootován´ı) – IP: DHCP support - zapnuto – The IPv6 protocol - vypnuto (IPv6 se v s´ıt´ı FAI UTB nepouˇz´ıvá) • Device drivers – Block devices / RAM block device support - zapnuto (podpora pro ramdisk) – Block devices / Default number of RAM disks - nastaveno 4 – Block devices / Default RAM disk size - nastaveno 32768 – ATA/ATAPI/MFM/RLL support / Include IDE/ATA-2 DISK support - vypnuto (systém v˚ ubec nebude pracovat s pevnými IDE disky) – ATA/ATAPI/MFM/RLL support / Include IDE/ATAPI CDROM support - zapnuto (naopak práce s CD-ROM by mˇela být umoˇznˇena) – SCSI device support / SCSI disk support - zapnuto (umoˇzn ˇ uje práci s SCSI disky takové disky v pracovn´ıch stanic´ıch sice nejsou, ale pˇredpokládá se práce s USB flash disky, s tˇemi se pracuje d´ıky emulaci SCSI) – SCSI device support / SCSI low-level drivers - vypnuto (podpora pro fyzické SCSI ˇradiˇce nen´ı potˇreba) – Serial ATA and Parallel ATA drivers - vypnuto (podpora SATA disk˚ u nen´ı u bezdiskové stanice tˇreba) – Network device support / Ethernet (10 or 100 Mbit) - zde byla vybrána podpora pro tyto s´ıt’ové karty: 3c590/3c900, EtherExpressPro/100, PCI NE2000, nForce, RealTek RTL-8129/8130/8139 – Graphics support ∗ /dev/agppart - zapnuta podpora tˇechto chipset˚ u: ATI, AMD, Intel, NVIDIA, VIA ∗ Direct Rendering manager - zapnuto – Sound card support - vypnuto (na pracovn´ıch stanic´ıch v uˇcebnách se nebude ˇzádné zvukové zaˇr´ızen´ı pouˇz´ıvat). – USB Support / USB Mass Storage Support - zapnuto (podpora pro USB disky, vˇcetnˇe obvyklých USB Flash pamˇet´ı)


35

• File systems – Second extended fs support - zapnuto – Ext3 journalling file system support - zapnuto – Kernel automounter support - zapnuto (usnadn´ı uˇzivatel˚ um práci s pˇripojen´ım CD-ROM nebo USB disk˚ u) – CD-ROM/DVD FIlesystems - zapnuta podpora pro ISO 9660, Microsoft Joliet Extension a UDF – DOS/FAT/NT Filesystems - zapnuta podpora pro MSDOS a VFAT – Network File Systems - zapnuta podpora pro NFSv3, Root file system on NFS, SMB, CIFS a NCP (pˇripojován´ı svazk˚ u pˇres ss´ıt’ typu Novell)


7

36

Linuxov´ a distribuce pro pracovn´ı stanice

Pˇripravená linuxová distribuce je jedn´ım z hlavn´ıch u ´kol˚ u této práce. Distribuce obsahuje kompletn´ı adresáˇrovou strukturu a soubory nutné pro standardn´ı bˇeh operaˇcn´ıho systému, aby bylo moˇzné s n´ım bˇeˇzným zp˚ usobem pracovat. K vytvoˇren´ı distribuce vhodné pro bˇeh v reˇzimu na s´ıti vedou dvˇe cesty. Distribuce se dá vytváˇret pˇr´ımo soubor po souboru, kdy na zaˇcátku je jen prázdný adresáˇr, ve kterém se vytváˇr´ı adresáˇrová struktura a do n´ı se postupnˇe nahrávaj´ı vˇsechny potˇrebné soubory, nebo lze na jednu vybranou pracovn´ı stanici nainstalovat OS Linux se vˇsemi potˇrebnými programy a vybaven´ım, celý nainstalovaný systém se pak zkop´ıruje na server a dále uprav´ı tak, aby byl pˇripraven na spouˇstˇen´ı pomoc´ı protokolu NFS. Jako ukázková distribuce, která bude nainstalována na pracovn´ı stanici a pak zkop´ırována na server, kde bude upravena, byla vybrána distribuce Debian verze 4.0 Etch. Jej´ı fináln´ı podobou by mˇel být plnˇe vyuˇzitelný pracovn´ı desktop (tedy bude obsahovat webový prohl´ıˇzeˇc, kanceláˇrský software apod.). Tento postup nen´ı univerzáln´ı, pˇri pouˇzit´ı jiné distribuce nebo dokonce i jiné verze distribuce Debian m˚ uˇze nastat situace, kdy bude potˇreba provést dalˇs´ı u ´ pravy, znemoˇznit spouˇstˇen´ı nˇekterých program˚ u nebo naopak nové programy nainstalovat. Distribuce, která bude vytvoˇrena od základ˚ u jako ukázková minidistribuce, bude m´ıt sv˚ uj základ v SuSE 10.3. Slouˇz´ı zde pouze jako ukázka tvorby velmi malé distribuce, která bude m´ıt pouze základn´ı sadu nástroj˚ u pro práci se soubory a adresáˇri a samozˇrejmˇe pro práci se s´ıt´ı. Popsaný postup je témˇeˇr univerzáln´ı a lze ho uplatnit i na jiné distribuce nebo jiné verze.

7.1

Hlavn´ı oˇ cek´ avan´ e probl´ emy

Nejvˇetˇs´ı problémy se spuˇstˇen´ım OS Linux po s´ıti budou s programy, které vyˇzaduj´ı nˇejaký zápis do soubor˚ u, a to pˇreváˇznˇe do adresáˇrové struktury /var, do adresáˇre pro doˇcasné soubory /tmp a do adresáˇre se soubory pro speciáln´ı zaˇr´ızen´ı /dev. Samozˇrejmˇe je moˇzné, ˇze r˚ uzné softwary budou vyˇzadovat zápis jeˇstˇe jinam, to se vˇsak bude muset ˇreˇsit individuálnˇe. Zápis do adresáˇr˚ u /var a /tmp lze vyˇreˇsit pomˇernˇe snadno: vytvoˇren´ım dvou ramdisk˚ ua jejich pˇripojen´ım na oba adresáˇre, nav´ıc v /var vytvoˇrit pˇr´ısluˇsnou adresáˇrovou strukturu. Celý tento postup bude muset probˇehnout pˇred startem dalˇs´ıch program˚ u. Dalˇs´ım oˇcekávaným problémem bude pˇripojován´ı souborových systém˚ u, protoˇze kaˇzdé pˇripojen´ı znamená zápis do souboru /etc/mtab, který je ale na pracovn´ı stanici k dispozici pouze pro ˇcten´ı a nikoliv pro zápis. Samotné pˇripojován´ı problém nen´ı, pˇr´ıkaz mount sice vyp´ıˇse varován´ı, ale souborový systém pˇresto pˇripoj´ı. Problém nastává aˇz


37

v okamˇziku spouˇstˇen´ı program˚ u, které z tohoto souboru ˇctou informace o pˇripojených souborových systémech, protoˇze tyto programy pak nemus´ı fungovat korektnˇe, napˇr. program pro zjiˇstˇen´ı volného m´ısta na disku df. Stejné informace jako /etc/mtab ovˇsem dává soubor /proc/mounts, ˇreˇsen´ım tedy pravdˇepodobnˇe bude neexistence souboru /etc/mtab a m´ısto nˇeho symbolický odkaz na /proc/mounts.

7.2 7.2.1

Instalace a konfigurace OS Debian 4.0 Instalace OS na pracovn´ı stanici a jeho kop´ırov´ an´ı

Instalace OS na pracovn´ı stanici prob´ıhá naprosto stejnˇe jako jakákoliv jiná instalace, výbˇer instalovaného softwaru je témˇeˇr libovolný. Jakmile je systém kompletnˇe nainstalován a nakonfigurován, je systém pˇripraven ke kop´ırován´ı. Kop´ırován´ı bˇeˇz´ıc´ıho systému ovˇsem s sebou nese rizika, nˇekteré programy mohou m´ıt na disku otevˇrené soubory, nelze kop´ırovat existuj´ıc´ı sockety apod. Zkop´ırovaný systém by tedy mohl m´ıt se spouˇstˇen´ım nˇekterých program˚ u pot´ıˇze. Systmém lze zkop´ırovat dvˇema zp˚ usoby. Bud’ lze zastavit vˇsechny moˇzné bˇeˇz´ıc´ı programy, kromˇe tˇech, které jsou nezbytné k vlastn´ımu kop´ırován´ı (zastavit lze napˇr. syslog, cron, sshd, acpid atd.) a pak vytvoˇrit jediný velký zkompriomvaný soubor: workstation# cd / workstation# tar -zc -f /debian-4.0.tar.gz bin boot dev etc home lib mnt opt root sbin tmp usr var Pˇr´ıkaz tar vytvoˇr´ı soubor, který bude obsahovat vˇsechny nutné soubory a adresáˇre v distibuci, nav´ıc zachová vˇschna pˇr´ıstupová práva nastavená na souborech a adresáˇr´ıch, stejnˇe jako u ´ daje o vlastn´ıkovi a skupinˇe. Adresáˇre jsou vyjmenovány, v seznamu chyb´ı adresáˇre /proc a /sys, které obsahuj´ı dynamicky generované systémy a jejich pˇrenos tedy nemá ˇzádný smysl. Vzniklý soubor /debian-4.0.tar.gz se m˚ uˇze pak nakop´ırovat pˇr´ımo na server pouˇzit´ım jakéhokoliv s´ıt’ového protokolu umoˇzn ˇ uj´ıc´ı pˇrenos soubor˚ u (SSH, NFS, SMB, FTP atd.) nebo na USB flash, CD nebo DVD atd. Soubor se pak na centráln´ım serveru rozbal´ı a distribuce se bude opravovat aˇz na serveru: server# server# server# server#

cd /mnt/sda7/disks mkdir debian-4.0 cd debian-4.0 tar -xz -f /debian-4.0.tar.gz

Druhý zp˚ usob znamená zastavit systém a rebootovat poˇc´ıtaˇc do jiného operaˇcn´ıho systému (lze pouˇz´ıt napˇr. live linuxovou distribuci spustitelnou z CD nebo se dá nabootovat do jiného operaˇcn´ıho systému na disku). Disk nebo ˇcást disku obsahuj´ıc´ı distibuci Debian se pak pˇripoj´ı do nˇejakého adresáˇre a zabal´ı do jednoho souboru:


workstation# workstation# workstation# workstation#

38

mkdir /mnt/debian mount /dev/hda4 /mnt/debian cd /mnt/debian tar -zc -f /debian-4.0.tar.gz bin boot dev etc home lib mnt opt root sbin tmp usr var

Pˇrenos a rozbalován´ı souboru /debian-4.0.tar.gz pak prob´ıhá stejným zp˚ usobem jako v prvn´ım pˇr´ıpadˇe. 7.2.2

´ Uprava soubor˚ u /etc/fstab a /etc/mtab

Základn´ı podm´ınkou pro u ´ spˇeˇsné nabootován´ı OS Linux pˇres s´ıt’ je u ´ prava souboru /etc/fstab. Ten obsahuje u ´ daje o tom, které souborové systémy se budou pˇripojovat pˇri startu operaˇcn´ıho systému, coˇz pˇri prvotn´ı instalaci na disk bude urˇcitˇe nˇekterá ˇcást na disku, napˇr. /dev/sda4. Tento disk ovˇsem nen´ı na pracovn´ı stanici k dispozici a bootovac´ı proces by se v tomto okamˇziku zastavil. Upravený soubor by mˇel vypadat takto: proc sysfs usbfs

/proc /sys /proc/bus/usb

proc sysfs usbfs

defaults defaults defaults

0 0 0 0 0 0

Pˇripojen´ı koˇrenového souborového systému jiˇz probˇehlo pomoc´ı protokolu NFS, takˇze zbývá pˇripojit virtuáln´ı souborové systému nutné pro chod serveru a dalˇs´ıch sluˇzeb. V souboru /etc/fstab nen´ı definován ˇzádný lokáln´ı disk ani jiné lokáln´ı zaˇr´ızen´ı. Oproti bˇeˇzným systém˚ um zde nen´ı ani swap 10 , jeho pouˇzit´ı u bezdiskových stanic nemá ˇzádný smysl. Soubor /etc/mtab by tedy mˇel být symbolický odkaz na /proc/mounts: server# cd /mnt/sda7/disks/debian-4.0/etc server# rm mtab server# ln -s ../proc/mounts mtab 7.2.3

Obsah ramdisk˚ u a jejich pˇ ripojov´ an´ı

Celkem budou pouˇzity 2 ramdisky: /dev/ram0 bude slouˇzit pro zápis do /tmp, /dev/ram1 bude slouˇzit program˚ um, které vyˇzaduj´ı zápis do /var. Celý existuj´ıc´ı adresáˇr /var ale zab´ırá pˇr´ıliˇs m´ısta (napˇr. /var/lib má v´ıce neˇz 100 MiB). Ramdisk tedy bude pˇripojen do adresáˇre /var/ram a pokud bude vyˇzadován zápis do nˇekterého z adresáˇr˚ u, bude se postupovat takto: 10

vyhrazené m´ısto na disku pro pˇr´ıpad, ˇze by doˇslo k zaplnˇen´ı celé operaˇcn´ı pamˇeti a bylo by tˇreba jej´ı ˇca´st doˇcasnˇe uvolnit tak, ˇze se uloˇz´ı na disk a v pˇr´ıpadˇe potˇreby se opˇet naˇcte


39

• obsah vˇsech vybraných adresáˇr˚ u se uloˇz´ı do bal´ıku /var/ram.tar • tyto vybrané adresáˇre se odstran´ı • m´ısto kaˇzdého takového adresáˇre se udˇelá symbolický odkaz do adresáˇrové struktury ve /var/ram • pˇri startu systému se vyvtoˇr´ı ramdisk a pˇripoj´ı se do /var/ram • do adresáˇre /var/ram se rozbal´ı pˇredpˇripravený bal´ık /var/ram.tar Vybrané adresáˇre, které mus´ı být z r˚ uzných d˚ uvod˚ u zapisovatelné, jsou: /var/lock, /var/run, /var/tmp, /var/log, /var/lib/urandom, /var/lib/exim4, /var/lib/gdm a /var/db. Adresáˇr /var/log nicménˇe obsahuje staré logové soubory jeˇstˇe z instalace, které na pracovn´ı stanici nemaj´ı ˇzádný smysl, takˇze pˇred vytvoˇren´ım bal´ıku /var/ram.tar se klidnˇe mohou odstranit. server# cd /mnt/sda7/disks/debian-4.0/var server# mkdir ram server# find log/ -type f -exec rm -f {} \; server# tar -cf ram.tar lock run log tmp lib/urandom lib/exim4 server# for DIR in in db lock run log tmp; do > rm -rf ${DIR} > ln -s ram/${DIR} ${DIR} > done server# for DIR in lib/urandom lib/exim4 lib/gdm; do > rm -rf ${DIR} > ln -s ../ram/${DIR} ${DIR} > done Pˇripojen´ı ramdisk˚ u mus´ı probˇehnout pˇred spouˇstˇen´ım dalˇs´ıch program˚ u. Toho se doc´ıl´ı vytvoˇren´ım speciáln´ıho startovac´ıho skriptu, kter´ y se bude spouˇstˇet jako prvn´ı. Jeho um´ıstˇen´ı je /etc/init.d/preinit, spouˇstˇen´ı se zajist´ı tˇemito pˇr´ıkazy: server# cd /mnt/sda7/disks/debian-4.0/etc/rcS.d/ server# ln -s ../init.d/preinit S00preinit


40

Práce programu preinit: • vytvoˇr´ı souborový systém na /dev/ram0 a pˇripoj´ı ho do /tmp • vytvoˇr´ı adresáˇrovou strukturu a nastav´ı správná pˇr´ıstupová práva do /tmp • vytvoˇr´ı souborový systém na /dev/ram1 a pˇripoj´ı ho do /var/ram • rozbal´ı bal´ık /var/ram.tar do adresáˇre /var/ram Program preinit bude provádˇet jeˇstˇe dalˇs´ı u ´ kony, které jsou popsány v dalˇs´ıch kapitolách. 7.2.4

Drobn´ eu ´pravy nˇ ekter´ ych startovac´ıch skript˚ u

Nˇekteré startovac´ı skripty bˇehem startu poˇc´ıtaˇce hlás´ı varován´ı, která ale nejsou nijak kritická. Uˇzivatele by to mohlo mást, proto je tˇreba upravit nˇekteré soubory: • /etc/init.d/discover - komentovat ˇrádku 177 (ˇcte soubor /proc/modules, ale tento soubor neexistuje, protoˇze podpora modul˚ u nen´ı do linuxového jádra pˇridána) • /etc/init.d/mountall.sh - skript se snaˇz´ı pˇripojit jiˇz pˇripojené systémy (napˇr. /proc), a proto vˇzdy skonˇc´ı s chybou, ˇreˇsen´ım je dodán´ı pˇr´ıkazu /bin/true na ˇrádku 27 7.2.5

Nastaven´ı s´ıtˇ e

Nastaven´ı s´ıtˇe, které je v OS Linux Debian, bohuˇzel kv˚ uli své robustnosti pˇr´ıliˇs nevyhovuje jednoduchému poˇzadavku, aby jediné s´ıt’ové rozhran´ı bylo ovládáno pomoc´ı programu dhclient, který zajiˇst’uje konfiguraci pomoc´ı protokolu DHCP. Z toho d˚ uvodu je veˇskeré nastavován´ı s´ıtˇe vypnuto a program dhclient je spouˇstˇený z programu preinit. Nepotˇrebné programy se daj´ı vypnout: server# chroot /mnt/sda7/disks/debian-4.0/ bash# update-rc.d -f ifupdown remove bash# update-rc.d -f networking remove bash# update-rc.d -f hostname.sh remove Jeˇstˇe je tˇreba odstranit nˇekteré soubory z adresáˇre /etc/init.d/dbus, které se také snaˇz´ı manipulovat se s´ıt´ı. Soubory se mohou nˇekam zazálohovat pro pˇr´ıpad pozdˇejˇs´ıho vyuˇzit´ı nebo u ´ plnˇe smazat: server# cd /mnt/sda7/disks/debian-4.0/etc/dbus/event.d server# rm 24dhcdbd 25NetworkManager 26NetworkManagerDispatcher


41

Nové u ´ kony v programu preinit jsou: • pˇripojen´ı souborového systému /proc (bez nˇej nem˚ uˇze program dhclient v˚ ubec fungovat) • spuˇstˇen´ı programu dhclient (nastavován´ı s´ıtˇe pomoc´ı DHCP ) • zjiˇstˇen´ı pˇridˇelené IP adresy a jej´ıho reverzn´ıho záznamu, z nˇeho pak odvodit a nastavit hostname 11 Nastaven´ı programu dhclient [9] (soubor /etc/dhcp3/dhclient.conf): send dhcp-lease-time 1800; request subnet-mask, routers; require subnet-mask, routers; timeout 24; select-timeout 5; backoff-cutoff 16; initial-interval 8; script "/bin/true"; Dále je tˇreba zmˇenit obsah konfiguraˇcn´ıho souboru pro program udev, který se snaˇz´ı pˇriˇradit názvy s´ıt’ových interfac˚ u podle jejich MAC adres (´ udaje v souboru jsou z doby instalace). Ze souboru /etc/udev/rules.d/z25 persistent-net.rules je tˇreba odstranit kaˇzdou ˇrádku, která zaˇc´ıná nastaven´ım promˇenné SUBSYSTEM: server# cd /mnt/sda7/disks/debian-4.0/etc/udev/rules.d server# grep -v ^SUBSYSTEM= z25_persistent-net.rules > tmpfile server# mv -f tmpfile z25_persistent-net.rules Posledn´ım krokem pro funkˇcn´ı nastaven´ı s´ıtˇe je korektn´ı nastaven´ı DNS serveru. Pro celou univerzitn´ı s´ıt’ se pouˇz´ıvá jeden DNS server, takˇze jeho IP adresa m˚ uˇze být nastavena pˇr´ımo v souboru /etc/resolv.conf: server# echo "nameserver 195.178.88.66" > /mnt/sda7/disks/debian-4.0/etc/resolv.conf 7.2.6

Pr´ ace s CD/DVD mechanikou

CD/DVD mechaniky bohuˇzel nejsou na vˇsech pracovn´ıch stanic´ıch FAI UTB stejné, dokonce nejsou ani vˇsude stejnˇe zapojené. Mechaniky typu IDE jsou na nˇekterých stanic´ıch jako zaˇr´ızen´ı ˇc. 1, jinde jako ˇc. 2 nebo ˇc. 3. Detekce tˇechto mechanik je tedy dalˇs´ı u ´ kol programu preinit, ten mus´ı zjistit, jaké zaˇr´ızen´ı je typu CD/DVD. 11

n´ azev pracovn´ı stanice


42

Program preinit se nejprve pokus´ı naj´ıt zaˇr´ızen´ı typu IDE. Procház´ı jednotlivá zaˇr´ızen´ı v adresáˇri /proc/ide a pro kaˇzdé z nich zkouˇs´ı obsah souboru media. Je-li jeho obsahem kl´ıˇcové slovo cdrom, jedná se o IDE CD/DVD mechaniku. Program tedy vytvoˇr´ı symbolický odkaz /var/ram/cd ukazuj´ıc´ı pˇr´ımo na speciáln´ı zaˇr´ızen´ı pro dané IDE zaˇr´ızen´ı v adresáˇri /dev, napˇr. /dev/hdd. Nenalezne-li program preinit CD/DVD mechaniku typu IDE, pokus´ı se jeˇstˇe nalézt zaˇr´ızen´ı typu SATA. K tomu pouˇzije pˇr´ıkaz lsscsi, který mu dodá vˇsechna dostupná SCSI zaˇr´ızen´ı 12 vˇcetnˇe jejich typu a speciáln´ıch soubor˚ u. Nen´ı-li ˇzádné takové zaˇr´ızen´ı nalezeno, symbolický odkaz /var/ram/cd nebude vytvoˇren. Pokud existuje v´ıce takových zaˇr´ızen´ı (na ˇzádné souˇcasné pracovn´ı stanici tomu tak nen´ı), vytvoˇr´ı se symbolický odkaz pouze na prvn´ı nalezené zaˇr´ızen´ı. Se symbolickým odkazem /var/ram/cd se m˚ uˇze pracovat stejnˇe jako se speciáln´ım souborem v adresáˇri /dev, napˇr. pˇripojován´ı souborového systému na CD/DVD m˚ uˇze vypadat takto: workstation# mkdir /tmp/cdrom workstation# mount -t auto /var/ram/cd /tmp/cdrom/ 7.2.7

Pˇ ripojov´ an´ı USB flash disk˚ u

Velmi populárn´ı zaˇr´ızen´ı na pˇrenos dat mezi poˇc´ıtaˇci jsou v dneˇsn´ı dobˇe USB flash disky. Jedná se o malá zaˇr´ızen´ı, jejichˇz rozmˇery nepˇresahuj´ı pár centimetr˚ u, do poˇc´ıtaˇce se pˇripojuj´ı pˇres USB rozhran´ı a funguj´ı tak jako pˇrenosná datová u ´ loˇziˇstˇe. USB flash disk je v systému pˇr´ıstupný d´ıky emulaci v jádru jako bˇeˇzný SCSI disk, na kterém je jen jeden odd´ıl 13 . Na tomto odd´ılu je obvykle souborový systém typu FAT (podpora pro tento souborový systém v jádˇre pro pracovn´ı stanice je). Prvn´ı pˇripojený USB flash disk bude v systému pˇr´ıstupný jako prvn´ı SCSI disk, tedy /dev/sda, s jediným pˇripojitelným odd´ılem /dev/sda1. Tento odd´ıl lze snadno pˇripojit do libovolného adresáˇre:

12

zaˇr´ızen´ı typu SATA systému jsou pˇr´ıstupné pˇrem emulaci SCSI pro ovˇeˇren´ı rozdˇelován´ı tˇechto zaˇr´ızen´ı na jednotlivé odd´ıly bylo otestováno 10 r˚ uzn´ ych USB flash disk˚ u nebo MP3 pˇrehrávaˇc˚ u o r˚ uzn´ ych velikostech a od r˚ uzn´ ych v´ yrobc˚ u, vˇsechny byly rozdˇeleny stejnˇe 13


43

workstation# fdisk -l /dev/sda Disk: /dev/sda: 262 MB, 262144000 bytes 16 heads, 32 sectors/track, 1000 cylinders Units = cylinders of 512 * 512 = 262144 bytes Device Boot /dev/sda1 *

Start 1

End 999

Blocks 255728

Id 6

System FAT16

workstation# mkdir /tmp/flash workstation# mount /dev/sda1 /tmp/flash Dalˇs´ı pˇripojený USB flash disk bude m´ıt data uloˇzená na /dev/sdb1, tˇret´ı pˇripojený disk na /dev/sdc1 atd. 7.2.8

Pouˇ z´ıv´ an´ı autofs pro pˇ ripojov´ an´ı USB disk˚ u a CD/DVD

Uvedený postup pro pˇripojován´ı souborových systém˚ u m˚ uˇze být pro uˇzivatele pˇr´ıliˇs nároˇcný a nav´ıc pro spouˇstˇen´ı pˇr´ıkaz˚ u mount (i umount) v této podobˇe vyˇzaduje pˇr´ıstupová práva uˇzivatele root, který ale nen´ı bˇeˇzným uˇzivatel˚ um k dispozici. Snadné ˇreˇsen´ı je pouˇzit´ı autofs, systému, který je souˇcást´ı linuxového jádra (podpora tohoto systému byla do jádra pro pracovn´ı stanice vloˇzena) a který um´ı pˇripojit souborový systém v okamˇziku, kdy se uˇzivatel nebo spuˇstˇený program pokus´ı ˇc´ıst nebo zapsat do pˇredem urˇceného adresáˇre. Program autofs se spouˇst´ı automaticky pˇri startu systému a jeho hlavn´ı nastaven´ı je v souboru /etc/auto.master: /mnt /flash

/etc/auto.mnt --timeout=60 /etc/auto.flash --timeout=5

Toto nastaven´ı znamená, ˇze program autofs bude sledovat pˇr´ıstupy do zat´ım prázdného adresáˇre /mnt a do adresáˇre /flash, ten je tˇreba ovˇsem vytvoˇrit: server# mkdir /mnt/sda7/disks/debian-4.0/flash Jednotlivé podadresáˇre uvnitˇr tˇechto dvou adresáˇr˚ u nejsou nijak vidˇet, dokud k nim nen´ı pˇristoupeno. Parametr --timeout udává poˇcet sekund, kdy je zaˇr´ızen´ı samoˇcinnˇe odpojeno, pokud k nˇemu nikdo nepˇristupuje. U USB flash systém˚ u, kde jsou uˇzivatelé vˇetˇsinou zvykl´ı odpojovat zaˇr´ızen´ı kdykoliv, je nastaveno málo sekund, u CD/DVD mechaniky je tento ˇcas delˇs´ı. Nastaven´ı souboru /etc/auto.mnt: cd

-fstype=auto,users,ro

:/var/ram/cd

T´ım je definován adresáˇr /mnt/cd, který zat´ım neexistuje. Pokud ovˇsem uˇzivatel provede pˇr´ıstup k tomuto adresáˇri (napˇr. pˇr´ıkazem $cd /mnt/cd), program autofs se pokus´ı pˇripojit zaˇr´ızen´ı /dev/cd do adresáˇre /mnt/cd a v pˇr´ıpadˇe u ´ spˇechu se pˇr´ıkaz cd u ´ spˇeˇsnˇe provede.


44

Parametry jsou na jediné ˇrádce souboru /etc/auto.mnt zapsány v tomto poˇrad´ı: podadresáˇr, parametry pro pˇr´ıkaz mount a zaˇr´ızen´ı, které se má pˇripojit. V tomto pˇr´ıpadˇe jsou parametry pro pˇr´ıkaz mount [12] tyto: • fstype=auto - automatické rozpoznáván´ı typu souborového systému • user - kterýkoliv uˇzivatel m˚ uˇze zaˇr´ızen´ı pˇripojit (nemus´ı m´ıt tedy pˇr´ıstupová prává uˇzivatele root) • ro - systém bude pˇripojen v reˇzimu pro read-only Nastaven´ı souboru /etc/auto.flash (pˇredpokládá se, ˇze v jedné pracovn´ı stanici budou zapojeny nejvýˇse 4 USB flash disky souˇcasnˇe, pokud by se ukázalo, ˇze tento poˇcet je malý, staˇc´ı pˇridat dalˇs´ı ˇrádky): 1 2 3 4

-fstype=auto,users,fmask=111,dmask=000,sync -fstype=auto,users,fmask=111,dmask=000,sync -fstype=auto,users,fmask=111,dmask=000,sync -fstype=auto,users,fmask=111,dmask=000,sync

:/dev/sda1 :/dev/sdb1 :/dev/sdc1 :/dev/sdd1

Pˇr´ıstup na jednotlivé pˇripojené USB flash disky tedy uˇzivatel z´ıská pˇr´ıstupem do adresáˇr˚ u /flash/1, /flash/2 atd. Oproti parametr˚ um pro pˇr´ıkaz mount ze souboru /etc/auto.mnt pˇribyly dalˇs´ı dva [12]: • fmask=111 - nastavuje pˇr´ıstupová práva na soubory v pˇripojeném souborovém systému, hodnota 111 znamená, ˇze u kaˇzdého souboru je povolen zápis a ˇcten´ı, jak pro vlastn´ıka, tak pro skupinu a ostatn´ı uˇzivatele, vlastn´ıkem sice bude vˇzdy uˇzivatel root, stejnˇe jako skupina, ale t´ımto parametrem je zajiˇstˇeno, ˇze uˇzivatelé mohou s daty na flash disku libovolnˇe nakládat • dmask=000 - nastavuje pˇr´ıstupová práva na adresáˇre v pˇripojeném souborovém systému, hodnota 000 znamená, ˇze vlastn´ık, skupina i ostatn´ı uˇzivatelé maj´ı pro kaˇzdý adresáˇr vˇsechna práva • sync - vˇsechna ˇcten´ı i zápisy na USB flash disk budou vykonávána okamˇzitˇe 7.2.9

Konfigurace X Window

Systém X Window je grafické prostˇred´ı v OS Linux. Jeho univerzáln´ı konfigurace zˇrejmˇe neexistuje, je pˇr´ıliˇs závislá na pouˇz´ıvaném hardwaru, od vstupn´ıch zaˇr´ızen´ı (myˇsi, klávesnice) aˇz po výstupn´ı (grafická karta, monitor). Výroba nˇejaké konfigurace, která by byla funkˇcn´ı v kaˇzdé pracovn´ı stanici ve vˇsech poˇc´ıtaˇcových uˇcebnách nen´ı moˇzná, protoˇze v r˚ uzných uˇcebnách jsou r˚ uzné druhy hardwaru.


45

Linuxové distribuce maj´ı obvykle nˇejaký nástroj na detekci hardwaru a následné vytváˇren´ı konfiguraˇcn´ıho souboru /etc/X11/xorg.conf, v distribuci Debian se tento nástroj spouˇst´ı t´ımto pˇr´ıkazem: # dpkg-reconfigure -f passthrough xserver-xorg Parametr -f passthough zajist´ı, ˇze program se nebude ptát uˇzivatele na ˇzádnou otázku (bez udán´ı tohoto parametru si nechává vˇsechny odhadnuté hodnoty potvrdit) a pˇredpokládá, ˇze uˇzivatel odpov´ıdá na kaˇzdou otázkou souhlasem. Výsledkem tohoto programu je nový soubor /etc/X11/xorg.conf. Adresáˇr /etc/X11 je ale pˇr´ıstupný pouze pro ˇcten´ı, takˇze podobnˇe jako v pˇr´ıpadˇe pˇr´ıpravy adresáˇrové struktury /var se nyn´ı obsah /etc/X11 zabal´ı, odstran´ı a na jeho m´ıstˇe se vytvoˇr´ı symbolický odkaz do /var/ram/X11: server# server# server# server#

cd /mnt/sda7/disks/debian-4.0/etc tar cf X11.tar X11 rm -rf X11 ln -s ../../var/ram/X11 X11

Do programu preinit je jeˇstˇe nutné dodat dalˇs´ı u ´ kon: po pˇripojen´ı ramdisku do /var/ram zde rozbalit obsah souboru /etc/X11.tar a spustit pˇr´ıkaz dpkg-reconfigure. Vytvoˇrený soubor xorg.conf ovˇsem obsahuje pouze minimáln´ı konfiguraci, tedy základn´ı nastaven´ı klávesnice (bez podpory ˇceˇstiny) a rozliˇsen´ı 800x600. To je tˇreba jeˇstˇe upravit, coˇz zajist´ı opˇet program preinit. Do sekce Monitor se mus´ı pˇridat následuj´ıc´ı ˇrádky: HorizSync 28-69 VertRefresh 43-75 Tyto hodnoty by mˇely plnˇe postaˇcovat pro bˇeˇzné rozliˇsen´ı, které je v souˇcasné dobˇe na pracovn´ıch stanic´ıch 1280x1024 nebo u starˇs´ıch monitor˚ u 1024x768, u stanic s ˇsiroko´ uhlým LCD monitorem pak 1200x800. Tato rozliˇsen´ı je nutné jeˇstˇe pˇridat do souboru xorg.conf do sekce Screen a vˇsech jejich subsekc´ı Display: Modes "1280x1024" "1200x800" "1024x768" Nastaven´ı ˇceské klávesnice pak vyˇzaduje u ´ pravy v sekci Keyboard. Uˇzivatel bude m´ıt na výbˇer mezi dvˇema rozloˇzen´ımi kláves: standardn´ı americké rozloˇzen´ı a ˇceské rozloˇzen´ı qwertz. Mezi jednotlivými rozloˇzen´ımi se dá pˇrep´ınat souˇcasným stiskem kláves ALT a SHIFT. Standardn´ı rozloˇzen´ı je ˇceské, v pˇr´ıpadˇe pˇrepnut´ı do amerického rozloˇzen´ı se nav´ıc rozsv´ıt´ı na klávesnici kontrolka ScrollLock. Option Option Option Option

"XkbModel" "XkbLayout" "XkbVariant" "XkbOptions"

"pc104" "cz,us" "qwertz" "grp:alt_ahift_toggle,grp_led:scroll"


46

Ovˇ eˇ rov´ an´ı uˇ zivatel˚ u protokolem LDAP

Pracovn´ı stanice mus´ı být schopná ovˇeˇrovat uˇzivatele jak z lokáln´ıch zdroj˚ u (soubor /etc/passwd), tak protokolem LDAP. K tomu je tˇreba modifikovat systémové soubory, které autentizaci uˇzivatel˚ u zajiˇst’uj´ı [14]. Soubor /etc/nsswitch.conf mus´ı kromˇe jiných obsahovat i tyto ˇrádky: passwd: group: shadow:

compat ldap compat ldap compat ldap

Soubor /etc/pam.d/common-auth auth auth

sufficient required

pam_ldap.so pam_unix.so nullok_secure use_first_pass

Soubor /etc/pam.d/common-account account account account

required sufficient required

pam_unix.so pam_ldap.so pam_unix.so try_first_pass

Soubor /etc/pam.d/common-password password password

sufficient required

pam_ldap.so pam_unix.so nullok obscure min=4 max=8 md5

Ovˇeˇrován´ı uˇzivatel˚ u proti univerzitn´ımu serveru ldap.utb.cz bohuˇzel nen´ı moˇzné. Datová struktura uˇzivatele pro u ´ spˇeˇsné pˇrihláˇsen´ı do OS Linux mus´ı m´ıt nˇekolik povinných poloˇzek [14], univerzitn´ı LDAP server ovˇsem neposkytuje ani jednu: • objectClass: account • objectClass: posixAccount • objectClass: shadowAccount • loginShell (obvyklá hodnota /bin/bash) • uidNumber (identifikaˇcn´ı ˇc´ıslo uˇzivatele, napˇr. 1012 ) • gidNumber (identifikaˇcn´ı ˇc´ıslo skupiny, napˇr. 1000 ) • homeDirectory (cesta k domovskému adresáˇri) • userPassword (zaˇsifrované heslo uˇzivatele)


47

V souˇcasné dobˇe se uvaˇzuje o reinstalaci univerzitn´ıho LDAP serveru a o pˇrechodu na jinou neˇz souˇcasnou platformu (nyn´ı se pouˇz´ıvá NDS od firmy Novell). Do té doby server nen´ı moˇzné pouˇz´ıvat. Prozat´ım bude tedy spuˇstˇen vlastn´ı LDAP server (na centráln´ım serveru), který bude m´ıt vlastn´ı databázi vlastn´ıch uˇzivatel˚ u. OS Debian tedy bude nakonfigurován tak, aby pouˇz´ıval centráln´ı linuxový server jako LDAP server pro autorizaci uˇzivatel˚ u. Opˇet je tedy nutné zmˇenit obsah nˇekterých soubor˚ u 14 : Soubor /etc/ldap/ldap.conf host base

10.254.254.2 ou=fake,o=utb

Soubor /etc/pam ldap.conf host 10.254.254.2 base ou=fake,o=utb ldap_version 3 ssl no pam_password crypt binddn cn=passwd,ou=fake,o=utb bindpw qwerty Soubor /etc/libnss-ldap.conf host 10.254.254.2 base ou=fake,o=utb ldap_version 3 ssl no pam_password crypt binddn cn=passwd,ou=fake,o=utb bindpw qwerty 7.2.11

Spuˇ stˇ en´ı a nastaven´ı vlastn´ıho LDAP serveru

Na centráln´ım linuxovém serveru je nainstalován openLDAP s vlastn´ı databáz´ı, protoˇze z´ıskáván´ı autorizaˇcn´ıch u ´ daj˚ u z univerzitn´ıho LDAP serveru ani nˇejaká synchronizace dat ve vˇetˇs´ım mˇeˇr´ıtku nen´ı moˇzná. Pro co nejlepˇs´ı simulaci datové struktury univerzitn´ıch LDAP u ´ daj˚ u byl zvolen základn´ı kontext ou=fake,o=utb (na univerzitn´ım LDAP serveru jsou hodnoty napˇr. ou=fai-st,o=utb pro studenty FAI nebo ou=fame,o=utb pro zamˇestnance FAME). 14

u ´ daje uvnitˇr tˇechto soubor˚ u jsou pops´ any v dalˇs´ı kapitole


48

Hlavn´ı konfiguraˇcn´ı soubor pro openLDAP je /etc/ldap/slapd.conf. Kromˇe standardn´ıch nastaven´ı je tˇreba definovat tyto hodnoty [14]: suffix rootdn rootpw index index

"ou=fake,o=utb" "cn=root,ou=fake,o=utb" qwerty objectClass eq uid eq

ˇ adky rootdn Definice suffix je hlavn´ı kontext, který se bude pˇri autorizaci pouˇz´ıvat. R´ ˇ adky index definuj´ı, podle jakých parametr˚ a rootpw ukazuj´ı administrátorský pˇr´ıstup, R´ u je pak moˇzné vyhledávat záznamy v LDAP databázi. Kromˇe tohoto nastaven´ı je jeˇstˇe tˇreba definovat pˇr´ıstupová práva: access to * attrs=userPassword by dn="passwd,ou=fake,o=utb" read by anonymous auth by self read by * none acces to * by * read Databáze uˇzivatel˚ u je tedy pˇr´ıstupná vˇsem pro ˇcten´ı, pouze atribut userPassword je pˇr´ıstupný pro uˇzivatele passwd. Tento uˇzivatel m˚ uˇze ˇc´ıst tento atribut u vˇsech ostatn´ıch uˇzivatel˚ u, jinak kaˇzdý uˇzivatel m˚ uˇze ˇc´ıst tento atribut pouze u svého vlastn´ıho záznamu, u jiných záznam˚ u nebude zobrazen. Nezbytným krokem ke správnému chodu LDAP serveru je definice obsahu databáze. Nejprve se definuje koˇrenový objekt a uˇzivatel passwd 15 : dn: ou=fake,o=utb objectclass: top objectclass: organizationalUnit ou: fake dn: cn=passwd,ou=fake,o=utb cn: passwd sn: Passwd objectclass: top objectclass: person objectclass: posixAccount uid: passwd 15

hodnota userpassword se z´ısk´ a pˇr´ıkazem slappasswd, v tomto pˇr´ıpadˇe je pouˇzito heslo qwerty


49

userpassword: {SSHA}VJEnCQY9S83bv+pHG5vXXLwbjh2dbjeM uidnumber: 99 gidnumber: 99 gecos: Passwd reader loginShell: /bin/false homeDirectory: /var/lib/nobody Následuje definice uˇzivatel˚ u. Zde je definice jednoho uˇzivatele, definice dalˇs´ıch uˇzivatel˚ u je podobná. Jedn´ım z nejd˚ uleˇzitˇejˇs´ıch atribut˚ u je uidNumber, identifikaˇcn´ı ˇc´ıslo uˇzivatele, které mus´ı být v rámci celé databáze unikátn´ı: dn: cn=john,ou=fake,o=utb cn: john sn: Doe objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount uid: john userPassword:: {SSHA}i3PFTcdbC4GszfOaMqVb2CG9/wh2G2G8 uidNumber: 103 gidNumber: 100 gecos: John Doe loginShell: /bin/bash shadowLastChange: 10877 shadowMin: 0 shadowMax: 999999 shadowWarning: 7 shadowInactive: -1 shadowExpire: -1 shadowFlag: 0 homeDirectory: /var/ram/home/john Za zm´ınku stoj´ı také atribut homeDirectory, který ukazuje pˇr´ımo do /var/ram. Domovské adresáˇre na pracovn´ı stanici se vytváˇr´ı aˇz pˇri pˇrihláˇsen´ı uˇzivatele, proto mus´ı být um´ıstˇeny na ramdisku, kde je moˇzné je vytváˇret. 7.2.12

Domovsk´ e adres´ aˇ re pro uˇ zivatele

Domovské adresáˇre pro vˇsechny uˇzvatele univerzitn´ıho LDAP serveru jsou k dispozici na ˇskoln´ım novellovém serveru nw-central. Ten je moˇzné pˇripojit i z OS Linux programem ncpmount (podpora s´ıt’ového souborového systému NCP je zabudovaná v jádˇre pro pracovn´ı stanice). Tento adresáˇr se mus´ı pˇripojit v okamˇziku pˇrihláˇsen´ı uˇzivatele do systému, nav´ıc


50

s uˇzivatelským heslem. To zajist´ı modul pam script [13], jehoˇz pouˇz´ıván´ı se zap´ıná v souboru /etc/pam.d/gdm 16 , do kterého je nunté pˇridat tuto ˇrádku session

required

pam_script.so expose=1

Modul pam script zajist´ı pˇri pˇrihláˇsen´ı uˇzivatele spuˇstˇen´ı skriptu uloˇzeného jako /etc/security/onsessionopen, parametr expose=1 nav´ıc skriptu pˇredá v podobnˇe environmentáln´ı promˇenné AUTHTOK uˇzivatelské heslo, které je nutné k autorizaci pˇri pˇripojován´ı novellového svazku. Skript /etc/security/onsessionopen pak vypadá takto: #!/bin/sh SERVER="nw-central" SERVER_IP="195.178.88.70" LDAP_HOST=‘grep host /etc/ldap/ldap.conf | awk ’{print $2}’‘ LDAP_DN=‘ldapsearch -x -h ${LDAP_HOST} ’(uid=‘${USER}‘) dn | grep ^dn‘ LDAP_USER="" LDAP_OU="" for TOK in ‘echo ${LDAP_DN#* } | sed -e ’s/,/ /g’; do case ${TOK} in ou=*) LDAP_OU=${TOK#*=} ;; esac if [ -z "${LDAP_CONTEXT}" ]; then LDAP_USER=${TOK#*=} else LDAP_USER="${LDAP_USER}.${TOK#*=}" fi done if [ -z "${LDAP_USER}" -o -z "${LDAP_OU}" ]; then exit 1; fi mkdir -p ${HOME} || exit 1 ncpmount -S ${SERVER} -C -U ${LDAP_USER} -u ‘id -u‘ -g ‘id -g‘ \ -V data/${LDAP_OU}/${USER} -A ${SERVER_IP} -P ’${AUTHTOK}’ ${HOME} Po odlogován´ı je jeˇstˇe tˇreba svazek odpojit, to zajist´ı skript /etc/security/onsessionclose: #!/bin/sh ncpumount ${HOME} Posledn´ı vˇec nutná pro funkˇcnost tohoto skriptu je existence adresáˇre /var/ram/home s takovými pˇr´ıstupovými právy, aby zde kaˇzdý uˇzivatel mohl vytváˇret adresáˇre, to zajist´ı opˇet program preinit. 16

pouˇz´ıv´ an´ı gdm je vysvˇetleno v dalˇs´ı kapitole


51

Celý tento princip je ovˇsem funkˇcn´ı pouze v souladu s autorizac´ı oproti univerzitn´ımu LDAP serveru, kde je správnˇe nastavený kontext uˇzivatele. 7.2.13

Pouˇ z´ıv´ an´ı pracovn´ı stanice z pohledu uˇ zivatele

Pˇri výbˇeru OS Debian bˇehem u ´ vodn´ıho menu pˇri startován´ı poˇc´ıtaˇce jsou nejprve vidˇet výstupy jádra, které detekuje hardware a poté spouˇst´ı jednotlivé programy. Na konci této sekvence je spouˇstˇen´ı programu gdm, tedy grafické konzole pro pˇrihláˇsen´ı uˇzivatele. Zde si uˇzivatel m˚ uˇze vybrat jazyk grafického prostˇred´ı nebo jeho vzhled. Po u ´ spˇeˇsném ovˇeˇren´ı a pˇrihláˇsen´ı má uˇzivatel k dispozici sv˚ uj domovský adresáˇr na univerzitn´ım novellovém serveru, webový prohl´ıˇzeˇc, kanceláˇrský software, nástroje pro práci na s´ıti, prostˇe kvalitn´ı linuxovou operaˇcn´ı stanici. M˚ uˇze pracovat s CD/DVD mechanikou (vˇcetnˇe vypalován´ı), m˚ uˇze pracovat s USB flash diky. Uˇzivatel má stále jen práva obyˇcejného uˇzivatele, pokud nezná heslo uˇzivatele root. I kdyby pˇresto jakýmkoliv chtˇeným nebo nechtˇeným zp˚ usobem z´ıskal superuˇzivatelská práva, v ˇzádném pˇr´ıpadˇe nem˚ uˇze doj´ıt k poˇskozen´ı souborového systému nebo celé distribuce, protoˇze vˇsechny soubory jsou poskytovány centráln´ım serverem, nav´ıc pouze v reˇzimu pro ˇcten´ı. Pracovn´ı stanice s t´ımto systémem lze tedy povaˇzovat za naprosto bezpeˇcné. V pˇr´ıpadˇe jakéhokoliv problému s operaˇcn´ım systémem jako takovým (zatuhnut´ı jádra, nefunkˇcn´ı s´ıt’ apod.) je moˇzné pracovn´ı stanici libovolným zp˚ usobem restartovat, nen´ı problém za bˇehu stisknout tlaˇc´ıtko reset, k ˇzádnému poˇskozen´ı niˇceho nedojde, uˇzivatel pouze ztrat´ı neuloˇzená data, se kterými pracuje.


7.3

52

Tvorba samostatn´ e linuxov´ e minidistribuce

Malý operaˇcn´ı systém se dá tvoˇrit jednoduˇse kop´ırován´ım pouze vybraných potˇrebných soubor˚ u z jiˇz beˇz´ıc´ıho systému [10]. Ten m˚ uˇze být nainstalován na pracovn´ı stanici, na serveru, témˇeˇr kdekoliv. V tomto pˇr´ıpadˇe byl pouˇzit operaˇcn´ı systém bˇeˇz´ıc´ı mé vlastn´ı na pracovn´ı linuxové stanici, distribuce SuSE verze 10.3, nicménˇe tento návod je témˇeˇr univerzáln´ı a dá se pouˇz´ıt na jakoukoliv jinou distribuci. C´ılem této minidistribuce je ukázat, jak se dá vytvoˇrit opravdu malá a jednoduchá linuxová distribuce, která bude snadno rozˇsiˇritelná o dalˇs´ı programy. Pro jednoduchost je zde pouze uˇzivatel root, nen´ı zde ˇzádná tˇeˇzká autorizace, bˇeˇz´ı jen nezbytnˇe nutné programy a k dispozici je dostatek program˚ u pro základn´ı práci se s´ıt´ı. Jako ukázka programu, který bˇeˇz´ı na pozad´ı a vykonává práci, je nainstalován syslogd, který zajiˇst’uje zapisován´ı informac´ı o systému nebo od bˇeˇz´ıc´ıch program˚ u do soubor˚ u. Tuto minidistribuci lze pak samozˇrejmˇe dál rozˇsiˇrovat postupnými instalacemi dalˇs´ıch program˚ u a jejich nastavován´ım, dalˇs´ım rozˇs´ıˇren´ım mohou být napˇr. programy cron, postfix, named atd. 7.3.1

Pˇ r´ıprava adres´ aˇ rov´ e struktury

Nejprve je tˇreba vytvoˇrit vlastn´ı adresáˇrovou strukturu: server# server# server# server#

mkdir /mnt/sda7/disks/suse-10.3-mini cd /mnt/sda7/disks/suse-10.3-mini mkdir -p bin dev/pts etc lib mnt proc root sbin usr/lib var ln -s var/tmp tmp

Oproti standardn´ı distribuci zde chyb´ı nˇekteré adresáˇre: • boot - jádro zde nen´ı tˇreba, je k dispozici na TFTP serveru • home - minidistribuce bude m´ıt pouze jediného uˇzivatele: root • opt - nepˇredpokládá se instalace nˇejakých nároˇcnách softwar˚ u Adresáˇr /tmp je pouze symbolický odkaz na /var/tmp, protoˇze do adresáˇre /var bude pˇripojen ramdisk a bude tedy zapisovatelný. 7.3.2

V´ ybˇ er soubor˚ u pro adres´ aˇ r /bin

Adresáˇr /bin obsahuje binárn´ı soubory, které umoˇzn ˇ uj´ı základn´ı práci se systémem, tedy napˇr. programy na kop´ırován´ı soubor˚ u, vytváˇren´ı adresáˇr˚ u apod. Pro základn´ı ukázku a funkˇcnost systému byly vybrány tyto soubory (uvedeno vˇcetnˇe um´ıstˇen´ı na nainstalovaném systému):


/sbin/agetty /sbin/arp /bin/awk /bin/basename /bin/bash /bin/cat /bin/chmod /bin/chown /bin/cp /usr/bin/cut /bin/date /bin/dd /bin/df /sbin/dhclient /usr/bin/dirname /usr/bin/du /bin/false /sbin/fdisk /sbin/fsck /sbin/fsck.ext2

/bin/fuser /bin/grep /bin/gzip /sbin/halt /usr/bin/head /usr/bin/host /bin/hostname /usr/bin/id /bin/ip /usr/bin/killall /sbin/killall5 /bin/ln /bin/ls /usr/bin/lsof /usr/bin/md5sum /bin/mkdir /sbin/mkfs.ext2 /bin/more /bin/mount /usr/sbin/mtr

/bin/mv /bin/netstat /usr/bin/nslookup /usr/sbin/ntpdate /bin/ping /bin/ps /sbin/reboot /bin/rm /bin/rmdir /usr/bin/scp /bin/sed /bin/sleep /bin/sort /bin/stty /bin/sync /sbin/syslogd /usr/bin/tac /usr/bin/tail /bin/tar /usr/sbin/tcpdump

53

/usr/bin/tee /usr/bin/telnet /usr/bin/top /bin/touch /usr/sbin/traceroute /bin/true /usr/bin/tty /sbin/tune2fs /bin/umount /bin/uname /usr/bin/uniq /usr/bin/uptime /bin/vi /usr/bin/w /usr/bin/who /usr/bin/whoami /usr/bin/wc /usr/bin/wget

Uvedené soubory lze snadno kop´ırovat pomoc´ı pˇr´ıkazu cp: server# cp /bin/agetty /mnt/sda7/disks/suse-10.3-mini/bin/ Kromˇe tˇechto binárn´ıch soubor˚ u se jeˇstˇe m˚ uˇze hodit symbolický odkaz /bin/sh: server# cd /mnt/sda7/disks/suse-10.3-mini/bin/ server# ln -s bash sh V seznamu soubor˚ u chyb´ı /bin/login. Tento soubor je v distribuci pevnˇe svázán s autorizaˇcn´ımi moduly pam, které ovˇsem v minidistribuci nejsou potˇreba. M´ısto nˇeho bude m´ıt distribuce vlastn´ı malý soubor, který pouze naˇcte heslo, zjist´ı jeho MD5 souˇcet a porovná ho se záznamem v /etc/passwd. Tento soubor je k dispozici na DVD pˇriloˇzeným k této práci. 7.3.3

Kop´ırov´ an´ı knihoven do /lib a /usr/lib

Ke spouˇstˇen´ı binárn´ıch soubor˚ u je ovˇsem nutné m´ıt knihovny, které tyto soubory vyuˇz´ıvaj´ı. Kromˇe tˇechto základn´ıch knihoven jsou tˇreba jeˇstˇe podp˚ urné knihovny z bal´ılku glibc: server# server# server# server> server> server> server# server> server> server>

cd /mnt/sda7/disks/suse-10.3-mini/bin/ mkdir -p lib usr/lib for FILE in ‘ldd * | grep "=>" | awk ’{print $3}’ | sort | uniq‘; do objcopy -S ${FILE} ..${FILE} chmod 755 ..${FILE} done for FILE in ld-linux libnss_compat libnss_dns libnss_files; do objcopy -S /lib/${FILE}.so.2 ../lib/${FILE}.so.2 chmod 755 ../lib/${FILE}.so.2 done


54

Uvedené pˇr´ıkazy zjist´ı seznam potˇrebných knihoven na bˇeˇz´ıc´ım operaˇcn´ım systému a nakop´ıruj´ı je do pˇr´ısluˇsných adresáˇr˚ u v minidistribuci. Uvedený seznam vyˇzadoval pouze existenci knihoven v adresáˇr´ıch /lib a /usr/lib, které jiˇz byly vytvoˇreny pˇredem. Pˇr´ıkaz objcopy vytváˇr´ı bohuˇzel soubory bez pˇr´ıstupových práv pro spouˇstˇen´ı (toto právo je ale nutné pˇri otev´ırán´ı knihovny binárn´ım souborem), proto se mus´ı toto pˇr´ıstupové právo nastavit pˇr´ıkazem chmod. 7.3.4

Kop´ırov´ an´ı speci´ aln´ıch soubor˚ u do /dev

Kop´ırován´ı soubor˚ u je velmi snadné, opˇet se pouˇzije pˇr´ıkaz cp: server# cd /dev/ server# cp -dpR console initctl kmem mem null ptmx ram[0123] random tty tty[01] urandom zero /mnt/sda7/disks/suse-10.3-mini/bin/ Kop´ıruj´ı se jen nejnutnˇejˇs´ı soubory nutné pro chod systému, nejsou zde tedy zm´ınˇeny (napˇr. hda1 umoˇzn ˇ uj´ıc´ı práci s IDE zaˇr´ızen´ım nebo ttyS0 pro práci se sériovým portem). V této minidistribuci se bude také spouˇstˇet program syslogd, který ale vytváˇri speciáln´ı soubor /dev/log, coˇz v tomto pˇr´ıpadˇe ale nen´ı moˇzné. Proto se vytvoˇr´ı pouze symbolický odkaz na soubor /tmp/dev-log a program syslogd se spust´ı s pˇr´ısluˇsným parametrem, aby nevytváˇrel speciáln´ı soubor /dev/log, ale aby m´ısto nˇej vytvoˇril na ramdisku soubor /tmp/dev-log: server# cd /mnt/sda7/disks/suse-10.3-mini/dev/ server# ln -s ../tmp/dev-log log 7.3.5

Obsah adres´ aˇ re /sbin

Adresáˇr /sbin obsahuje pouze 3 soubory: • init - základn´ı soubor spouˇstˇený jádrem • shutdown - slouˇz´ı ke korektn´ımu vypnut´ı poˇc´ıtaˇce (i kdyˇz vypnut´ı bezdiskové stanice tlaˇc´ıtkem reset nebo vypojen´ım napájen´ı nezp˚ usobuje v˚ ubec ˇzádné ˇskody) • rc - program spouˇstˇený z programu init, stará se o pˇripojován´ı souborových systém˚ u a spouˇstˇen´ı základn´ıch program˚ u


55

Programy init a shutdown se opˇet zkop´ıruj´ı: server# cp /sbin/{init,shutdown} /mnt/sda7/disks/suse-10.3-mini/bin/ S programem rc je to sloˇzitˇejˇs´ı, pro u ´ˇcely minidistribuce je nutné ho napsat, aby udˇelal pouze nutnou základn´ı práci: • pˇripoj´ı souborové systémy /proc a /dev/pts • vytvoˇr´ı ramdisk a pˇripoj´ı ho do /var • vytvoˇr´ı adresáˇrovou strukturu v /var • spust´ı program dhclient (obsluhuje DHCP) • nastav´ı hostname (´ udaj pro název souboru vezme z DNS) • nastav´ı správný ˇcas (název NTP serveru vezme z /etc/ntpserver) • spust´ı program syslogd • zap´ıˇse informace o startu do souboru /var/log/boot.log Celý tento skript je uloˇzen na DVD pˇriloˇzeným k této práci. 7.3.6

Ramdisk na adres´ aˇ ri /var

Do adresáˇre /var vyˇzaduj´ı zápis nˇekteré programy, proto mus´ı být na pracovn´ı stanici vytvoˇren ramdisk (o to se postará /sbin/rc). Do tohoto adresáˇre vyˇzaduj´ı zápis: • syslogd - zapisuje sv˚ uj PID

17

• dhclient - zapisuje informace z DHCP odpovˇed´ı do /var/lib/dhcpd/dhcpd.leases • /sbin/rc - zapisuje u ´ daje o spuˇstˇen´ı systému do /var/log/boot.date Dalˇs´ı výhodou je existence adresáˇre /var/tmp, na který se odkazuje pˇr´ımo /tmp - t´ım tedy adresáˇr /tmp funguje pro zápis pro kterýkoliv spuˇstˇený program. 7.3.7

Obsah adres´ aˇ re /etc

Adresáˇr /etc uchovává data o nastaven´ı témˇeˇr vˇseho, z toho d˚ uvodu m˚ uˇze být jeho popis velmi rozsáhlý. Nˇekteré soubory staˇc´ı zkop´ırovat, jiné se mus´ı upravit nebo v˚ ubec vytvoˇrit od zaˇcátku. 17

Process identification - ˇc´ıslo bˇeˇz´ıc´ıho procesu


56

Soubor inittab Soubor inittab urˇcuje, co má hlavn´ı startovac´ı soubor init v kterém reˇzimu spustit. V jednoduché minidistribuci vypadá takto: id:3:initdefault: si::sysinit:/sbin/rc ca::ctrlaltdel:/sbin/shutdown -r now 1:12345:respawn:/bin/agetty 38400 tty1 V prvn´ım ˇrádku se definuje tzv. runlevel, tedy jakýs´ı mód bˇehu (v r˚ uzných módech mohou být spuˇstˇeny r˚ uzné programy nebo sluˇzby), v tomto pˇr´ıpadˇe je hodnota 3. Druhý ˇrádek definuje soubor, který se má spustit pˇri startu systému (tedy /sbin/rc). Tˇret´ı ˇrádek definuje, co se má d´ıt pˇri stisku kláves CTRL-ALT-DEL (program /sbin/shutdown) a posledn´ı ˇrádek zajiˇst’uje spouˇstˇen´ı jedné konzole, kde se uˇzivatel m˚ uˇze pˇrihlásit do systému. Soubory pro pˇ rihl´ aˇ sen´ı uˇ zivatele Minidistribuce bude m´ıt jediného uˇzivatele, a to root, stejnˇe tak bude m´ıt pouze jednu uˇzivatelskou skupinu stejného jména. Protoˇze tato minidistribuce má slouˇzit pˇredevˇs´ım k demonstrativn´ım a výukovým u ´ˇcel˚ um, bude zde jednoduchá autorizace: heslo se snadno zaˇsifruje pomoc´ı pˇr´ıkazu md5sum a uloˇz´ı do souboru /etc/passwd (pro ukázku bylo zvoleno heslo qwerty): server# server# server# server#

cd /mnt/sda7/disks/suse-10.3-mini/etc PASSWD=‘echo qwerty | md5sum | cut -d \ -f 1‘ echo "root:${PASSWD}:0:0:root:/root:/bin/bash" > passwd echo "root:x:0:root" > group

Soubory pro pr´ aci na s´ıti Nˇekteré soubory nutné pro práci se s´ıt´ı lze zkop´ırovat: server# cd /etc server# cp host.conf nsswitch.conf protocols services /mnt/sda7/disks/suse-10.3-mini/bin/


57

Dalˇs´ı soubory je nutné vytvoˇrit: server# server# server# server#

cd /mnt/sda7/disks/suse-10.3-mini/etc echo -e "localhost\t127.0.0.1" > hosts echo "nameserver 195.178.88.66" > resolv.conf echo "tik.cesnet.cz" > ntpserver

Program dhclient potˇrebuje konfiguraˇcn´ı soubor dhclient.conf [9]: send dhcp-lease-time 1800; request subnet-mask, routers; require subnet-mask, routers; timeout 24; select-timeout 5; backoff-cutoff 16; initial-interval 8; script "/bin/true"; Soubory pro pr´ aci s knihovnami Soubor /etc/ld.so.conf mus´ı obsahovat seznam adresáˇr˚ u s knihovnami, seznam jednotlivých knihoven pak vytvoˇr´ı pˇr´ıkaz ldconfig. Tento pˇr´ıkaz se ale mus´ı pustit ve správném adresáˇri, coˇz zajist´ı parametr -r: server# cd /mnt/sda7/disks/suse-10.3-mini/ server# echo -e "/lib\n/usr/lib" > etc/ld.so.conf server# ldconfig -r . Výsledkem pˇr´ıkazu ldconfig je soubor /etc/ld.so.cache. Soubor /etc/mtab Soubor /etc/mtab je pouˇz´ıván r˚ uznými programy ke zjiˇstˇen´ı jiˇz pˇripojených souborových systém˚ u. Celý adresáˇr /etc je ovˇsem k dispozici pouze pro ˇcten´ı, tud´ıˇz pˇripojen´ı nebo odpojen´ı souborových systém˚ u se v nˇem nem˚ uˇze projevit. Stejnou informaci o pˇripojených souborových systémech ale dává dynamicky generovaný soubor /proc/mounts, takˇze staˇc´ı vyrobit symbolický odkaz: server# cd /mnt/sda7/disks/suse-10.3-mini/etc/ server# ln -s ../proc/mounts mtab


58

Soubor /etc/profile V souboru /etc/profile jsou základn´ı nastaven´ı pro pˇr´ıkazouvou ˇrádku, provád´ı se ihned po u ´ spˇeˇsném pˇrihláˇsen´ı uˇzivatele, obsah souboru je jednoduchý: export HOME=/root export PATH=/bin:/sbin export PS1="[\u@\h \W]# " export PS2=’> ’ alias ll=’ls -l’ cd $HOME echo 7.3.8

Ostatn´ı adres´ aˇ re

Ostatn´ı adresáˇre z˚ ustávaj´ı prázdné: • /root - domovský adresáˇr uˇzivatele root • /mnt - adresáˇr pro pˇripojen´ı dalˇs´ıch souborových systém˚ u • /proc - do tohoto adresáˇre se pˇripoj´ı souborový systém proc 7.3.9

Program syslogd

Spuˇstˇen´ı programu syslogd zajiˇst’uje soubor /sbin/rc pouˇstˇený pˇri startu poˇc´ıtaˇce. Jeho nastaven´ı je jednoduché, vˇsechny zprávy se budou zapisovat do souboru /var/log/messages. Nastaven´ı je uloˇzeno v souboru /etc/syslog.conf: *.*

/var/log/messages


7.4

59

Spr´ ava a z´ alohy jednotliv´ ych distribuc´ı

Správa jednotlivých distribuc´ı m˚ uˇze prob´ıhat pˇr´ımo na serveru. Pokud se má instalovat nový software nebo mˇenit konfigurace, nejsnadnˇejˇs´ı cesta vede pˇres program chroot. Ten zmˇen´ı koˇrenový adresáˇr bˇeˇz´ıc´ıho systému na jiný, zvolený. Napˇr. má-li být do distribuce Debian instalován nový bal´ık, staˇc´ı se na serveru pomoc´ı chroot pˇrepnout do adresáˇre s debianovskou distribuc´ı a instalovat: server# chroot /mnt/sda7/disks/debian-4.0 bash# apt-get balik ´ e stejný postup lze pouˇz´ıt napˇr. pro testován´ı nˇekterých pˇr´ıkaz˚ Uplnˇ u, upgrady jednotlivých bal´ık˚ u atd. Tyto zmˇeny lze provádˇet bud’ pˇr´ımo na serveru v ramdisku, který je pˇr´ıstupný protokolem NFS uˇzivatel˚ um na pracovn´ıch stanic´ıch, ˇc´ımˇz je moˇzné mˇenit systém na pracovn´ı stanici pˇr´ımo za bˇehu, nebo lze zmˇeny provádˇet pouze na pevném disku a jeho obsah aˇz po té znovu nahrát na ramdisk. Aby vˇsak nedocházelo k poˇskozen´ı nˇekteré plnˇe funkˇcn´ı distribuce, m˚ uˇze být nˇekdy vhodné celou distribuci zazálohovat. Nejsnadnˇejˇs´ı je udˇelat jeden soubor, který obsahuje celou distribuci, ten se pak dá dnadno zálohovat na CD/DVD, USB flash, pásku nebo poslat pˇres s´ıt’ na jiný server. server# cd /mnt/sda7/disks server# tar -c -f debian-4.0.tar debian-4.0/ server# tar -c -f suse-10.3-mini.tar suse-10.3-mini/ 7.4.1

Hesla lok´ aln´ıch uˇ zivatel˚ u

Pro dosaˇzen´ı maximáln´ı jednoduchosti minidistribuce a alespoˇ n nˇejakého stupnˇe zabezpeˇcen´ı je heslo pro uˇzivatele root zapsáno ve tvaru MD5 souˇctu pˇr´ımo v souboru /etc/passwd. Upravený soubor /bin/login pak vytvoˇr´ı ze zadaného hesla také MD5 souˇcet a porovná ho s t´ımto záznamem. Aby nebylo pˇr´ıliˇs pracné heslo mˇenit, byl do minidistribuce pˇridán jeˇstˇe soubor /bin/passwd, který je k vidˇen´ı na DVD pˇriloˇzeném k této práci. Program funguje jednoduˇse: naˇcte dvakrát heslo (bez zobrazován´ı znak˚ u na obrazovce), následnˇe porovná délku hesla s nastaveným minimem a zjist´ı, zda obˇe zadaná hesla jsou totoˇzná. Pokud vˇse probˇehlo v poˇrádku, vytvoˇr´ı opˇet MD5 souˇcet hesla a pˇrep´ıˇse soubor /etc/passwd. Tento postup ovˇsem nen´ı moˇzné provádˇet na pracovn´ı stanici, protoˇze do souboru /etc/passwd zde nen´ı moˇzné zapsat. Tento postup lze tedy uplatnit pouze na serveru, kde ovˇsem hroz´ı pˇrepsán´ı souboru /etc/passwd pˇr´ımo v systému celého serveru. Z toho d˚ uvodu je tˇreba nejprve zmˇenit koˇrenový adresáˇr a teprve poté mˇenit heslo:


60

server# chroot /mnt/sda7/disks/suse-10.3-mini bash# passwd Changing password for user root New password: noveheslo New password again: noveheslo Password changed Naprosto stejný postup pro zmˇenu hesla plat´ı i pro lokáln´ı uˇzivatele (jak root, tak i ostatn´ıch) ve vˇsech ostatn´ıch distribuc´ıch na serveru, zmˇenu lze provádˇet pouze v distribuci na serveru a pouze s pˇrepnutým koˇrenovým adresáˇrem, aby nedoˇslo ke zmˇenˇe hesla lokáln´ıho uˇzivatele serveru: server# chroot /mnt/sda7/disks/debian-4.0 bash# passwd nobody


8 8.1

61

Ekonomick´ e aspekty Instalace nov´ e pracovn´ı stanice

Souˇcasný systém instalace pracovn´ıch stanic pˇredstavuje pro administrátory velkou ˇcasovou zátˇeˇz. Instalace nové pracovn´ı stanice prob´ıhá tak, ˇze administrátor má pˇripravený obraz disku s operaˇcn´ım systémem Microsoft Windows, který nahraje na lokáln´ı disk dané stanice. Po u ´ spˇeˇsném proveden´ı takové akce jeˇstˇe následuje nastaven´ı s´ıtˇe na stanici (na kaˇzdé stanici se zadává pˇr´ımo IP adresa a ostatn´ı parametry). Pokud se zˇrizuje nová poˇc´ıtaˇcová uˇcebna, je tˇreba tento postup opakovat pro kaˇzdý poˇc´ıtaˇc zvláˇst’ a nav´ıc pˇri nastavován´ı jednotlivých stanic se nesm´ı udˇelat chyba. Zaˇrizuje-li se napˇr. poˇc´ıtaˇcová uˇcebna s 20 novými pracovn´ımi stanicemi, m˚ uˇze j´ıt o nˇekolikahodinovou nebo dokonce i o nˇekolikadenn´ı práci. Jiˇz zaveden´ı sluˇzby DHCP do s´ıtˇe pˇredstavuje usnadnˇen´ı této práce, administrátorovi by jiˇz mˇelo staˇcit pˇrednastavit si obraz operaˇcn´ıho systému tak, aby nastaven´ı s´ıtˇe bral protokolem DHCP a pak ho nebude muset nastavovat ruˇcnˇe. K instalaci nové stanice by tedy staˇcilo nahrát obraz operaˇcn´ıho systému na pevn´ y disk a korektnˇe nastavit BIOS. T´ım se samozˇrejmˇe sn´ıˇz´ı jak ˇcasová nároˇcnost instalace, tak chybovost administrátora, nav´ıc tuto práci zvládne i ménˇe kvalifikovaný pracovn´ık. Pˇri vyˇsˇs´ım poˇctu instalac´ı se dá nav´ıc pracovat s nˇekolika poˇc´ıtaˇci najednou: bˇehem kop´ırován´ı dat na disk se jiˇz m˚ uˇze pracovn´ık zabývat dalˇs´ı stanic´ı, jediným pˇredpokladem pro takovou práci je vˇetˇs´ı poˇcet instalaˇcn´ıch médi´ı. Oproti tomu je pouˇz´ıván´ı OS pˇres s´ıt’ velmi snadná záleˇzitost, staˇc´ı prostˇe nabootovat po s´ıti jiˇz existuj´ıc´ı distribuci, která je pˇr´ıstupná po s´ıti - ˇzádné kop´ırován´ı dat na disk, ˇzádné nastavován´ı s´ıtˇe. Jediná práce na pracovn´ı stanici v tomto pˇr´ıpadˇe je nastaven´ı BIOSu, aby umoˇzn ˇ oval bootován´ı po s´ıti.

8.2

Instalace nov´ eho softwaru na pracovn´ı stanici

Instalace nového softwaru, u ´ prava konfigurace jiˇz nainstalovaného softwaru, upgrade softwaru nebo v˚ ubec zásahy do operaˇcn´ıch systém˚ u na stanici pˇredstavuj´ı obrovský problém: bud’ se m˚ uˇze provádˇet na jednom poˇc´ıtaˇci za druhém nebo se m˚ uˇze opravit pˇredpˇripravený obraz operaˇcn´ıho systému (tj. stejný postup jako v pˇr´ıpadˇe instalace nové pracovn´ı stanice). Obˇe moˇznosti znamenaj´ı opˇet vysokou zátˇeˇz pro administrátora. ´ Uprava OS Linux ˇzádnou takovou zátˇeˇz nepˇredstavuje, protoˇze staˇc´ı upravit distribuci na centráln´ım serveru. Nˇekteré zásahy jako jsou updaty nˇekterých nenároˇcných uˇzivatelských program˚ u se dokonce daj´ı dˇelat za bˇehu. Velké updaty nároˇcných softwar˚ u jako napˇr. kanceláˇrského softwaru nebo webového prohl´ıˇzeˇce se mohou udˇelat veˇcer nebo ráno, kdy jsou uˇcebny nevyuˇzité. Administrátor pouze potˇrebuje m´ıt pˇr´ıstup k distribuci na centráln´ım serveru.


62

Jeˇstˇe snadnˇejˇs´ı je upgrade nebo oprava linuxového jádra. To staˇc´ı zkompilovat a dát na FTP server. Pˇri novém nabootován´ı pracovn´ı stanice se jiˇz nahraje nové jádro. Jediná práce pro administrátora znamená nahrán´ı souboru na FTP server.

8.3

Opravy operaˇ cn´ıho syst´ emu na pracovn´ı stanici

V souˇcasnosti obˇcas docház´ı k poˇskozen´ı operaˇcn´ıho systému Microsoft Windows samotnými uˇzivateli. Uˇzivatelé mohou zaplnit disk, nainstalovat virus nebo poˇskodit nainstalovaný software. OS je sice ˇcásteˇcnˇe zabezpeˇcen, aby k nˇekterým vˇecem mˇel pˇr´ıstup pouze administrátor a nikoliv bˇeˇzný uˇzivatel, pˇresto vˇsak k poˇskozen´ı docház´ı. Nepouˇzitelná stanice se opravuje tak, ˇze se jednoduˇse nainstaluje znovu. To samozˇrejmˇe znamená, ˇze administrátor mus´ı pˇrij´ıt a opakovat ˇcasovˇe nároˇcný postup na instalaci stanice. S OS Linux, který funguje pˇres s´ıt’, nic takového nehroz´ı. Celý souborový systém je pˇr´ıstupný v reˇzimu pouze pro ˇ cten´ı, coˇz je zajiˇstˇeno pˇr´ımo na serveru, takˇze uˇzivatel na pracovn´ı stanici ho nem˚ uˇze nijak poˇskodit nebo upravit. Jádro nav´ıc nemá podporu pevných disk˚ u, takˇze spolehlivˇe je ochránˇen i lokáln´ı OS Microsoft Windows. Celý problém s chtˇeným nebo nechtˇeným poˇskozen´ım instalovaných program˚ u nebo jádra nebo se zaplnˇeným diskem je tedy celkovˇe eliminován.

8.4

Odstranˇ en´ı pevn´ eho disku ze stanic

Z pˇredchoz´ıch odstavc˚ u jasnˇe vyplývá, ˇze práce s jednotlivými pracovn´ımi stanicemi je mnohem ménˇe výhodná neˇz práce s jedn´ım serverem. Bohuˇzel v souˇcasné dobˇe nen´ı na FAI UTB moˇzné bootovat operaˇcn´ı systém Microsoft Windows vzdálenˇe, tedy stejným nebo podobným zp˚ usobem jako OS Linux. Pokud by se naˇsel zp˚ usob, jak OS Microsoft Windows bootovat bez pouˇzit´ı pevného disku, daly by se tyto pevné disky ze stanic u ´ plnˇe odstranit. Takovým krokem by doˇslo k výraznému uˇsetˇren´ı penˇeˇzn´ıch náklad˚ u: • sn´ıˇzen´ı náklad˚ u na poˇr´ızen´ı pracovn´ı stanice (cena pevného disku je v souˇcasné dobˇe kolem 1 000 Kˇc, takˇze vybaven´ı jedné poˇc´ıtaˇcové uˇcebny o 20 poˇc´ıtaˇc´ıch za cenu 8 000 Kˇc znamená uˇsetˇren´ı 12.5%) • sn´ıˇzen´ı náklad˚ u na lidskou práci pˇri instalaci nov´ ych stanic (nyn´ı zabere instalace jednoho poˇc´ıtaˇce zhruba 30 minut, takˇze uˇcebna o 20 stanic´ıch znamená 10 pracovn´ıch hodin, v pˇr´ıpadˇe bezdiskových stanic by ˇslo pouze o nastaven´ı BIOSu, asi 2 minuty na jednu stanici, coˇz je celkem 40 minut - uˇsetˇren´ı 96%) • sn´ıˇzen´ı náklad˚ u na lidskou práci v pˇr´ıpadˇe uprgadu software nebo instalaci nového software (nyn´ı je tˇreba nový nebo upgradovaný software otestovat a pˇripravit a pak nainstalovat tolikrát, kolik je poˇc´ıtaˇc˚ u v uˇcebnách, v pˇr´ıpadˇe bezdiskových stanic by bylo tˇreba provést instalaci nebo upgrade softwaru pouze jednou - uˇsetˇren´ı ˇcasu potˇrebného na instalaci se zde limitnˇ e bl´ıˇ z´ı ke 100%)


63

• eliminace náklad˚ u na lidskou práci v pˇr´ıpadˇe poˇskozen´ı operaˇcn´ıho systému nebo softwaru uˇzivateli - uˇsetˇren´ı 100% Odstranˇen´ım pevných disk˚ u dojde také ke sn´ıˇzen´ı poruchovosti pracovn´ıch stanic pevný disk je jedna z nejporuchovˇejˇs´ıch ˇcást´ı a porucha pevného disku a následná reklamace nebo koupˇe nového disku znamená: • u ´ plnou nemoˇznost pouˇz´ıván´ı pracovn´ı stanice po celou dobu od poruchy do montáˇze nového nebo opraveného disku • pouˇzit´ı lidských zdroj˚ u na demontáˇz a montáˇz pevného disku a dalˇs´ı ˇcas vˇenovaný reklamaci nebo nákupu nového disku • v pˇr´ıpadˇe proˇslé záruky penˇeˇzn´ı náklady na nákup nového disku

8.5

Zkvalitnˇ en´ı v´ yuky OS Linux

Nemalým pˇr´ınosem pro FAI UTB je i zkvalitnˇen´ı výuky. V nˇekterých pˇredmˇetech se sice vyuˇcuje OS Linux, ale studenti k tomuto operaˇcn´ımu systému nemaj´ı na uˇcebnách pˇr´ıstup - pokud chtˇej´ı z´ıskat praktické dovednosti, mus´ı si ho instalovat sami na svých poˇc´ıtaˇc´ıch, coˇz nˇekteré studenty velmi odrazuje. Moˇznost nabootovat jiˇz existuj´ıc´ı OS Linux bez jakéhokoliv zásahu do pracovn´ı stanice, nemoˇznost rozbit´ı nainstalovaného systému a snadný pˇr´ıstup urˇcitˇe znamená zvýˇsen´ı znalost´ı student˚ u o tomto operaˇcn´ım systému. Nav´ıc vyuˇcuj´ıc´ı nemus´ı ukazovat práci s OS Linux jen teoreticky (na tabuli nebo na svém poˇc´ıtaˇci), do OS Linux mohou nabootovat vˇsichni na uˇcebnˇe.


64

ˇ ast IV C´

´ ER ˇ ZAV Tato práce obsahuje pˇredevˇs´ım návod na výrobu prostˇred´ı, ve kterém je moˇzné pracovat s bezdiskovými stanicemi, na kterých bˇeˇz´ı plnohodnotný operaˇcn´ı systém Linux, tedy nejde pouze o terminál nebo jinou podobu vzdálené pracovn´ı plochy, kdy vˇsechny spouˇstˇené programy obsluhuje centráln´ı server, ale je plnˇe vyuˇzita kapacita hardwaru pracovn´ı stanice. Centráln´ı server pouze poskytuje souborový systém pro pracovn´ı stanici pomoc´ı protokolu NFS a slouˇz´ı tedy sp´ıˇse jako náhraˇzka lokáln´ıho disku. Takovéto ˇreˇsen´ı ovˇsem nespoˇc´ıvá pouze v u ´ pravˇe linuxové distribuce a jej´ı zpˇr´ıstupnˇen´ı na s´ıti, vyˇzaduje souˇcinnost nˇekolika na sobˇe nezávislých hardwarových zaˇr´ızen´ı i softwarových sluˇzeb, bezchybné nastaven´ı s´ıtˇe a zabezpeˇcen´ı, která znemoˇzn ˇ uj´ı uˇzivatel˚ um chtˇená i nechtˇená poˇskozen´ı jednotlivých komponent. Pro zprovoznˇen´ı celého systému je tˇreba zaˇc´ıt nastaven´ım s´ıtˇe, tedy správným návrhem rozloˇzen´ı s´ıt´ı a jejich adresace a volbou správných hardwarových s´ıt’ových zaˇr´ızen´ıch, tedy smˇerovaˇc˚ u a pˇrep´ınaˇc˚ u. Tato zaˇr´ızen´ı na FAI UTB jiˇz jsou a plnˇe vyhovuj´ı nárok˚ um souˇcasným a pravdˇepodobnˇe i budouc´ım - nav´ıc v pˇr´ıpadˇe zjiˇstˇeného pˇret´ıˇzen´ı jednotlivých zaˇr´ızen´ı je moˇzný jejich upgrade s minimáln´ımi zmˇenami v konfiguraci. Dalˇs´ım krokem je zprovoznˇen´ı, nastaven´ı a zabezpeˇcen´ı centráln´ıho serveru. Zde je vˇetˇs´ı pravdˇepodobnost, ˇze v budoucnu m˚ uˇze doj´ıt k pˇretˇeˇzován´ı serveru, coˇz se dá ovˇsem ˇreˇsit zvýˇsen´ım poˇctu server˚ u nebo pos´ılen´ım hardwaru serveru. Posledn´ım krokem je pˇr´ıprava linuxové distribuce, která bude umˇet pracovat v s´ıt’ovém reˇzimu. Ta m˚ uˇze být pˇripravena bud’ z existuj´ıc´ıho nainstalovaného systému nebo m˚ uˇze být vytvoˇrena ruˇcnˇe. Distribuce jsou snadno udrˇzovatelné a spravovatelné. Na tuto práci je moˇzné navázat, a to v oblasti vzdáleného bootován´ı jiných operaˇcn´ıch systém˚ u neˇz je Linux. V souˇcasnosti se na pracovn´ıch stanic´ıch pouˇz´ıvá operaˇcn´ı systém Microsoft Windows, který je ovˇsem um´ıstˇen na kaˇzdé stanici na lokáln´ım pevném disku a správa vˇetˇs´ıho poˇctu takových pracovn´ıch stanic je pro správce sp´ıˇse noˇcn´ı m˚ urou. Zaveden´ım podobného ˇreˇsen´ı jako u OS Linux, tedy moˇznost bootován´ı Microsoft Windows po s´ıti by se velmi zjednoduˇsila práce pro správce a nav´ıc by se z pracovn´ıch stanic dal odstranit pevný disk, to by znamenalo pˇr´ınos pˇredevˇs´ım v uˇsetˇren´ı penˇeˇzn´ıch náklad˚ u na pracovn´ı stanice a také sn´ıˇzen´ı poruchovosti pracovn´ıch stanic. V pˇr´ıpadˇe u ´ spˇeˇsného nasazen´ı tohoto ˇreˇsen´ı v s´ıti FAI UTB m˚ uˇze doj´ıt ke zkvalitnˇen´ı výuky OS Linux, nebot’ tento systém by byl velmi snadno dostupný a spustitelný.


65

Conclusion This work contains mainly instructions for building an environment with the possibility of working with diskless stations with OS Linux with its full capabilities, i.e. not just terminal or remote desktop, where all processes run on central server, but in this case, all capabilities of all hardware included in the workstation are fully utilized. Central server is present just for providing the filesystem for workstations over the NFS protocol, that means it is here instead the local hard drive. Such solution lies not in modification of a linux distribution and sharing it over the network, the solution requires cooperation of some independent hardware equipment and software services, error-free network configuration and security arrangements which avoid users from doing wanted and unwanted damage to any component. To launch all the system it is neccessary to start with the network configuration: correct network design and addressing and choosing of good hardware equipment (switches and routers). Current equipment in FAI UTB fully corresponds with actual requirements and probably with future ones too. In case of rising of some overload, there is the possibility to easily upgrade to higher devices with a very few changes to running configuration. Next step is running, configuring and securing the central server. This is the most loaded device, so there can be some overload sooner as overload in network equipment. Simple solution is running more central servers together or upgrade proper part of hardware. Last step is preparation of linux distribution, which should be completely prepared for running in network environment. It can be prepared from a running distribution or can be made by hand. Distributions are easy maitainable and manageable. It is possible to extend this work, primarily in running other operating systems than Linux in the same environment. Currently the most used operating system on workstations is Microsoft Windows, which is located on every workstation on its harddrive - maintaining of high count of such workstation could be a real nightmare for administrator. If there was such a solution for this operationg system allowing diskless running of the operating system, the administrator would have much less work and the workstation could be really diskless. That would save financial expenses for workstations and the workstations would be less faulty. In case of successfull launching of this solution in the FAI UTB network, the quality of education of OS Linux can be increased, because this operating system would be very simple acciessible and executable.


66

ˇ ast V C´

ˇ E ´ LITERATURY SEZNAM POUZIT [1] DROMS, Ralph. RFC 2131 (rfc2131) - Dynamic Host Configuration Protocol [online]. Bucknell University, March 1997 [cit. 2008-05-01]. Text v angliˇctinˇe. Dostupný z WWW: . [2] DHCP snooping [online]. Wikimedia Foundation, Inc., 2008, last modified on 9 April 2008, at 03:02 [cit. 2008-04-15]. Text v angliˇctinˇe. Dostupný z WWW: . [3] Cisco Systems, Inc.. Catalyst 2950 Desktop Switch Software Configuration Guide : 12.1(9)EA1 [online]. c1992-2007, Sat May 05 09:48:18 PDT 2007 [cit. 2008-01-27]. Text v angliˇctinˇe. Dostupný z WWW: . [4] Cisco Systems, Inc.. Catalyst 3550 Multilayer Switch Software Configuration Guide : Release 12.1(20)EA2 [online]. c1992-2007, Sun Jul 01 05:16:48 PDT 2007 [cit. 200801-27]. Dostupný z WWW: . [5] ANVIN, H. Peter. SYSLINUX : Syslinux wiki [online]. 2008, last modified 23:51, 25 April 2008 [cit. 2008-05-25]. Text v angliˇctinˇe. Dostupný z WWW: . [6] ANVIN, H. Peter. PXELINUX : Syslinux wiki [online]. 2008, last modified 09:37, 28 April 2008 [cit. 2005-05-01]. Text v angliˇctinˇe. Dostupný z WWW: . ˇ Martin, SCHOTTELIUS, Nico. [7] KUHLMANN, Gero, MARES, Linux-2.6.17/Documentation/nfsroot.txt [online]. [2007] [cit. 2008-04-28]. Text v angliˇctinˇe. Dostupný z WWW: . [8] ANVIN, H. Peter. Tftpd(8) - Linux man page [online]. [2007] [cit. 2008-04-10]. Text v angliˇctinˇe. Dostupný z WWW: . [9] LEMON, Tom. Dhclient(8) - Linux man page [online]. Internet Systems Consortium,Inc., [2007] [cit. 2008-04-15]. Text v angliˇctinˇe. Dostupný z WWW: . [10] FAWCETT, Tom. The Linux Bootdisk HOWTO [online]. v4.5. c1995-2002, January 2002 [cit. 2008-04-02]. Text v angliˇctinˇe. Dostupný z WWW: .


67

[11] DUBEC, Michal. LAN bezpeˇcnost a ovˇeˇrován´ı identity [online]. [2007], Last-Modified: Thu, 16 Aug 2007 11:03:05 GMT [cit. 2008-02-05]. Dostupný z WWW: . [12] Mount(8) - mount file system : Linux man page [online]. [2008] [cit. 2008-05-03]. Dostupný z WWW: . [13] BON, Stef. HOWTO execute scripts at begin and end of a usersession using PAM with examples [online]. [1008] [cit. 2008-05-14]. Text v angliˇctinˇe. Dostupný z WWW: . [14] BIONDO, Giuseppe, VAN MEER, Roel. LDAP Implementation HOWTO [online]. v0.5. 2000-2001 [cit. 2005-05-14]. Text v angliˇctinˇe. Dostupný z WWW: . [15] ANVIN, H. Peter. PXELINUX - SYSLINUX for network boot [online]. c1994-2007 [cit. 2008-01-27]. Text v angliˇctinˇe. Dostupný z WWW: . [16] Internet Systems Consortium, Inc.. Dynamic Host Configuration Protocol (DHCP) [online]. c2007 , 2007-12-19 [cit. 2008-01-27]. Text v angliˇctinˇe. Dostupný z WWW: . [17] SMITH, Christopher M.. Linux NFS faq [online]. 2008 [cit. 2008-01-27]. Text v angliˇctinˇe. Dostupný z WWW: . [18] Linux Kernel Organization, Inc.. The Linux Kernel Archives [online]. [1994], 2008-0124 23:18 UTC [cit. 2008-01-27]. Dostupný z WWW: .


68

ˇ ast VI C´

´ ˚ SEZNAM OBRAZK U Obr´ azek 1: Fyzick´ a topologie s´ ıtˇ e ..................................... 12 Obr´ azek 2: Logick´ a topologie s´ ıtˇ e ..................................... 13


69


70

ˇ ast VII C´

ˇ YCH ´ SEZNAM POUZIT ZKRATEK BIOS

Basic Input/Output System - program um´ıstˇený v chipsetu základn´ı desky poˇc´ıtaˇce, má na starosti inicializaci a test jednotlivých zaˇr´ızen´ı jako jsou procesor, pamˇet’, s´ıt’ová karta atd. Spuˇstˇen´ım poˇc´ıtaˇce se spust´ı právˇe tento program.

IP

Internet Protocol - základn´ı soubor pravidel pro komunikaci poˇc´ıtaˇc˚ u po s´ıti Internet

PXE

Preboot Execution Environment - prostˇred´ı umoˇzn ˇ uj´ıc´ı zavést operaˇcn´ı systém do poˇc´ıtaˇce pomoc´ı s´ıtˇe, nezávisle na existenci nebo nastaven´ı pevných disk˚ u

OS

Operaˇcn´ı systém - sada program˚ u umoˇzn ˇ uj´ıc´ı uˇzivateli plnohodnotnou práci s poˇc´ıtaˇcem, má na starosti obsluhu hardwarových zaˇr´ızen´ı na základˇe pokyn˚ u uˇzivatele nebo bˇeˇz´ıc´ıch program˚ u

DHCP Dynamic Host Configuration Protocol - protokol, který umoˇzn ˇ uje poˇc´ıtaˇc˚ um v s´ıti z´ıskat nastaven´ı vlastn´ıho s´ıt’ového rozhran´ı na základˇe u ´ daj˚ u, které dostane od serveru TFTP

Trivial File Transfer Protocol - protokol, který umoˇzn ˇ uje jednoduchý pˇrenos soubor˚ u po s´ıti mezi klientem a serverem (obˇema smˇery), jednoduchost spoˇc´ıvá v pouˇz´ıvan´ı malých UDP paket˚ u pro pˇrenos a v neexistenci jakékoliv autorizace

NFS

Network File System - protokol umoˇzn ˇ uj´ıc´ı sd´ılen´ı soubor˚ u a adresáˇr˚ u na bázi server-klient, klientská stanice pak k soubor˚ um na NFS serveru pˇristupuje pˇres s´ıt’, jakoby pˇristupovala k soubor˚ um na lokáln´ım disku

USB

Universal Serial Bus - typ datové smˇernice v poˇc´ıtaˇci, umoˇzn ˇ uje pˇripojován´ı nejr˚ uznˇejˇs´ıch druh˚ u hardwarových zaˇr´ızen´ı vˇcetnˇe jejich napájen´ı, na jedné sbˇernici m˚ uˇze být aˇz nˇekolik des´ıtek takových zaˇr´ızen´ı

LDAP

Lightweight Directory Access Protocol - protokol pro centralizovanou správu uˇzivatel˚ u na bázi server-klient, na serveru je databáze s uˇzivateli a jejich vlastnostmi, klient se pak dotazuje serveru a t´ım provád´ı autorizaci uˇzivatel˚ u, protokol má nav´ıc moˇznost hierarchické struktury dat

IDE

Integrated Drive Electronics - starˇs´ı technologie umoˇzn ˇ uj´ıc´ı pˇripojen´ı datových hardwarových zaˇr´ızen´ı (napˇr. disk˚ u, CD-ROM) na základn´ı desku poˇc´ıtaˇce

SATA

Serial Advanced Technology Attachment - novˇejˇs´ı technologie umoˇzn ˇ uj´ıc´ı sériové pˇripojen´ı datových hardwarových zaˇr´ızen´ı (napˇr. disk˚ u, CD-ROM) na základn´ı desku poˇctaˇce

Nasazení bezdiskových pracovních stanic

Recommend Documents