szerkesztette: Iványi Péter March 8, 2010

Kiszolgálók u¨ zemeltetése szerkesztette: Iványi Péter March 8, 2010

2

Tartalomjegyzék 1 Bevezetés

7

2 Kezdeti beáll´ıtások

9

2.1

Gép neve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9

2.2 2.3

Root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hálózati beáll´ıtások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 9

2.3.1

9

DHCP konfigurálás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3 Ind´ıtás e´ s leáll´ıtás 3.1

3.2

3.3

11

Boot manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

3.1.1 3.1.2

MBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GRUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 11

3.1.3

LILO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

3.1.4

Bootloader megkerülése . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

3.1.5

Egyéb bootloader-ek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Bootolás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 initrd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16 16

3.2.2

Boot scriptek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

Leáll´ıtás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

3.3.1 3.3.2

Azonnali leáll´ıtás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Leáll´ıtás adott id˝oben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16 16

3.3.3

A leáll´ıtás visszavonása . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

4 Felhasználók e´ s csoportok

19

4.1

Alapok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.2

/etc/passwd file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

20

4.3

4.2.1 Az /etc/passwd file módos´ıtása . . . . . . . . . . . . . . . . . . . . . . . . . . /etc/shadow file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

21 21

4.4

/etc/group file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22

4.4.1

Els˝odleges csoport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23

4.5 4.6

/etc/gshadow file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Csoportok hozzáadása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23 24

4.7

Csoportok módos´ıtása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

4.8

Csoportok törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

3

19

4.9

Felhasználók létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25

4.9.1

useradd parancs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25

4.9.2

adduser parancs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

4.9.3

Amikor nincs seg´ıtség . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

4.10 Felhasználók törlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28

4.11 Felhasználók módos´ıtása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28

4.12 Felhasználó e´ s csoport adminisztráció . . . . . . . . . . . . . . . . . . . . . . . . . .

29

4.12.1 Szabványos felhasználók e´ s csoportok . . . . . . . . . . . . . . . . . . . . . .

29

4.12.2 Korlátozott felhasználói fiókok . . . . . . . . . . . . . . . . . . . . . . . . . .

30

4.13 Inicializáló file-ok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

4.13.1 Rendszerszint˝u inicializáló file-ok . . . . . . . . . . . . . . . . . . . . . . . .

31

4.14 login.defs file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

4.15 Jelszavak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

32

4.15.1 Jelszavak e´ s felhasználói fiókok . . . . . . . . . . . . . . . . . . . . . . . . .

33

4.15.2 Jelszó o¨ regedés, elavulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

4.16 Jelszavak kitalálása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

34

5 PAM rendszer 5.1

35

Konfiguráció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

5.1.1

Kontroll paraméterek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36

5.1.2

Modul visszatérési e´ rték . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

5.1.3

Példák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5.2

Az “other” konfigurációs file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

5.3

PAM modulok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

5.3.1

pam unix.so . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

Azonos´ıtás USB eszközzel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¨ Osszegz´ es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

5.4 5.5

42

6 Name Service Switch

43

7 FTP

45

8 MySQL adatbázis

47

8.1

Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47

8.2

MySQL architektúrája . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47

8.3

Alapfogalmak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

48

8.3.1

Zárolás, locking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

48

8.3.2

Tranzakciók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

48

8.4

Adatbázis t´ıpusok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

50

Tároló motor választás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

51

8.5

Manuális installálás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

51

8.6

Installálás csomagból . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

53

8.7

Beáll´ıtások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

53

8.8

Adatbázisok kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

54

8.4.1

4

8.9

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

55 55 56 56 63 64 64 64 65 65 66 67 67 67

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

69 69 69 69 70 70 71 71 71 71 72 72 73 73 74 74 74 74 75 77 77 78 78 79 79

10 DNS szolgáltatás 10.1 Domain nevek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 DNS adminisztráció alapjai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

81 81 82

8.10 8.11 8.12 8.13 8.14

Biztonsági kérdések . . . . . . . . . . . . . . . . 8.9.1 Kezdeti konfigurálás . . . . . . . . . . . ´ felhasználó hozzáadása egyszer˝uen . . 8.9.2 Uj 8.9.3 Hozzáférés kontroll . . . . . . . . . . . . 8.9.4 Felhasználó a´ ltal szolgáltatott adatok . . 8.9.5 Hálózati védelem . . . . . . . . . . . . . 8.9.6 root jelszó helyreáll´ıtása . . . . . . . . . 8.9.7 Néhány biztonsági kérdés o¨ sszefoglalása Adatbázis mentés e´ s visszaáll´ıtás . . . . . . . . . 8.10.1 mysqldump program . . . . . . . . . . . Loggolás . . . . . . . . . . . . . . . . . . . . . Replikáció . . . . . . . . . . . . . . . . . . . . . Kluszterezés . . . . . . . . . . . . . . . . . . . . Adatbázis optimalizálás . . . . . . . . . . . . . .

9 Apache web szerver 9.1 Bevezetés e´ s alapok . . . . . . . . . . . . . . 9.1.1 Mit csinál a web szerver? . . . . . . . 9.1.2 Mit csinál a web kliens? . . . . . . . 9.1.3 Miért az Apache? . . . . . . . . . . . 9.1.4 Az Apache web szerver . . . . . . . 9.2 Installálás . . . . . . . . . . . . . . . . . . . 9.3 Egyszer˝us´ıtett installálás forrásból . . . . . . 9.4 Manuális installálás forrásból . . . . . . . . . 9.4.1 Modulok kiválasztása . . . . . . . . . 9.4.2 Egyéb beáll´ıtások . . . . . . . . . . . 9.4.3 Ford´ıtási folyamat . . . . . . . . . . 9.5 Apache m˝uködtetésének alapjai . . . . . . . 9.5.1 Apache futtatása . . . . . . . . . . . 9.5.2 Apache leáll´ıtása . . . . . . . . . . . 9.5.3 A szervert futtató felhasználó . . . . 9.6 Apache beáll´ıtásai, konfigurációk . . . . . . . 9.6.1 Alap beáll´ıtások . . . . . . . . . . . 9.6.2 Blokk direkt´ıvák . . . . . . . . . . . 9.6.3 További opciók . . . . . . . . . . . . 9.7 Virtuális host-ok . . . . . . . . . . . . . . . . 9.7.1 Név alapú virtuális host-ok . . . . . . 9.7.2 IP c´ım alapú virtuális host-ok . . . . 9.7.3 Név e´ s IP c´ım alapú virtuális host-ok 9.7.4 Port alapú virtuális host-ok . . . . . .

5

. . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

10.3 Név feloldás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

82

11 NFS e´ s NIS szolgáltatások 11.1 NFS alapok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 NIS alapok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Problémák az NFS-es e´ s NIS-el . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

85 85 85 86

12 LDAP 12.1 C´ımtár szerkezete . . . . . . . . . . . . . . 12.1.1 Sémák . . . . . . . . . . . . . . . . 12.2 Szerver telep´ıtés e´ s beáll´ıtás . . . . . . . . 12.2.1 LDAP szerver beáll´ıtása . . . . . . 12.3 C´ımtár feltöltése . . . . . . . . . . . . . . . 12.3.1 Hozzáadó parancsok . . . . . . . . 12.3.2 Felhasználók a c´ımtárban . . . . . . 12.3.3 Egyéb parancsok . . . . . . . . . . 12.4 LDAP egyszer˝u használata . . . . . . . . . 12.4.1 Keresés a c´ımtárban . . . . . . . . 12.5 Felhasználó azonos´ıtás LDAP alapján . . . 12.5.1 LDAP kipróbálása . . . . . . . . . 12.5.2 PAM beáll´ıtása LDAP használatára 12.5.3 Debian specialitás . . . . . . . . . 12.6 Biztonságosabb LDAP azonos´ıtás . . . . . 12.7 phpldapadmin . . . . . . . . . . . . . . . .

87 88 88 88 89 91 92 92 92 93 93 94 95 95 96 97 97

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

A Felhasznált irodalom 99 Tárgymutató . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

6

1. Fejezet

Bevezetés Ez a könyv egy oktatási jegyzet e´ s a benne foglaltak több forrásból származnak. Igyekeztem minden olyan információt o¨ sszeszedni, amire egy rendszer adminisztrátornak szüksége lehet egy Linux rendszer esetén. A jegyzet f˝oleg Debian alapú Linux rendszerekkel foglalkozik. Remélem mindenki hasznosnak fogja találni.

Iványi Péter

7

8

2. Fejezet

Kezdeti beáll´ıtások 2.1 Gép neve 2.2 Root 2.3 Hálózati beáll´ıtások 2.3.1 DHCP konfigurálás A DHCP jelentése: Dynamic Host Control Protocol. A DHCP használatához a kliens gépeken a dhcp3-common e´ s dhcp3-client csomagot kell felinstallálni. A DHCP szerveren a dhcp3-server csomagot is fel kell installálni. Szerver konfigurálás A szerver gépnek egy statikus, fix IP c´ımmel kell rendelkeznie e´ s ez legyen m˝uköd˝o képes a´ llapotban. Például az /etc/network/interface file tartalma lehet: auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 Két fontos file-ban kell a beáll´ıtásokat elvégezni. El˝oször is meg kell adni, hogy melyik interfacen fog hallgatózni a DHCP szerver. Ezt az /etc/default/dhcp3-server file-ban lehet megtenni, például: INTERFACES="eth0" Itt természetesen több interface-t is megadhatunk SPACE-el elválasztva, például: "eth0 eth1". Ez a file lényegében egy rendszerváltozót definiál, amit majd az /etc/init.d/dhcp3-server ind´ıtó script használ. Az ind´ıtó script-b˝ol nézzük meg azt a részletet, amelyik használja ezt a változót: start-stop-daemon --start --quite --pidfile $DHCPDPID \ --exec /usr/sbin/dhcpd3 -- -q $INTERFACES

9

A másik konfigurációs file az /etc/dhcp3/dhcpd.conf, amiben azt kell megadni, hogy milyen c´ım tartományt szolgáltasson a klienseknek. Ebben a file-ban például megadhatjuk a következ˝ot: subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.2 192.168.1.254 } Kliens konfigurálás A DHCP-t használó kliens gépeken az /etc/network/interface file tartalma a következ˝o kell legyen: auto eth0 iface eth0 inet dhcp Ha el akarjuk “dobni” a szervert˝ol kapott IP c´ımet, akkor a következ˝o utas´ıtást kell használni: $ dhclient -r Internet Systems Consortium DHCP Client 3.1.1 Copyright 2004-2008 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ Listening on LPF/eth0/00:00:25:55:bb:b5 Sending on LPF/eth0/00:00:25:55:bb:b5 Sending on Socket/fallback DHCPRELEASE on eth0 to 192.168.1.2 port 67 ´ IP c´ım kérésekor a következ˝o utas´ıtás használható: Uj $ dhclient -n

10

3. Fejezet

Ind´ıtás e´ s leáll´ıtás 3.1 Boot manager A Linux elind´ıtásához szükség van egy bootloader-re. A bootloader ismerete szinte elengedhetetlen, f˝oleg akkor ha több operációs rendszert szeretnénk használni a szám´ıtógépünkön. Többféle bootloader is léterzik, de ezekb˝ol a két legelterjedtebb a LILO e´ s GRUB. Ha Linux-ot Macintosh gépen akarunk futtatni, akkor pedig a yaboot bootloadert lehet csak használni.

3.1.1 MBR Az MBR (Master Boot Record) 512 byte hosszú rész a merev lemez legelején (a legels˝o szektorban). Az MBR két részb˝ol a´ ll, egy 446 byte tartalmazza a “boot code”-ot e´ s a maradék 66 byte tartalmazza a part´ıciós táblát (egy 2 byte-os szignatúrával együtt). A lilo e´ s grub-install parancsok1 az els˝o 446 byte-ba ´ırnak, a particionáló programoka pedig a 66 byte-os területre. FIGYELEM: Amikor az MBR területére ´ırunk legyünk rendk´ıvül o´ vatosak. Egy hibás byte e´ s a teljes part´ıciót vagy merev lemezt is tönkretehetjük. Ha az MBR-t módos´ıtjuk, e´ rdemes elmenteni a teljes merev lemez a´ llapotát! Az MBR elmentésére a következ˝o parancsot lehet használni root-ként: # dd if=/dev/hda of=/root/hda.mbr bs=512 count=1 Az 512 byte-ot a hda.mbr nev˝u file mentjük el. Ha törölni akarjuk az MBR területét akkor a következ˝o parancsot használhatjuk: # dd if=/dev/zero of=/dev/hda bs=512 count=1 Mind a két esetben az els˝o merev lemezen található az MBR. A /dev/zero eszköz pedig arra való, hogy csupa nullát “bocsásson” ki magából e´ s ezzel ´ırjuk felül a területet. Amikor felül´ırjuk az MBRt akkor a lemezen található adatok többé nem e´ rhet˝ok el, ´ıgy a part´ıciók, az adatok e´ s az operációs rendszerek sem, de azért ne felejtsük el, hogy maga az adat a lemezen maradt. Így ha tényleg mindent törölni akarunk, akkor az adatokat is felül kell ´ırni.

3.1.2 GRUB A két bootloader közül (LILO2 e´ s GRUB3 ) kétségtelenül a GRUB bootloader a nagyobb tudású. (A legtöbb Linux disztribúció GRUB bootloader-el jelenik meg.) Például lehet˝oségünk van u´ j kernelt vagy 1 DOS

alatt a fdisk /mbr paranccsal lehet az MBR-t felül´ırni. LOader 3 GRand Unified Bootloader 2 LInux

11

paramétert megadni anélkül, hogy az MBR minden alkalommal friss´ıteni kellene. Bár a GRUB flexibilis e´ s nagy tudású bootloader, de azért e´ rdemes a boot szektort elmenteni, hogy katasztrófa esetén kés˝obb vissza lehessen a´ ll´ıtani. Ezt láttuk a 3.1.1. fejezetben. A GRUB bootloader beáll´ıtásait, konfigurálását, egy központi file-on keresztül lehet megtenni. Debian rendszeren a konfigurációs file a /boot/grub/menu.lst m´ıg egy Red Hat rendszeren: /etc/grub/grub.conf A file több bejegyzést is tartalmaz, amelyek megadják a kernel nevét, a root part´ıciót, hol van a kernel e´ s ha van akkor az initrd paramétereit is. Egy tipikus bejegyzés a file-ben a következ˝o lehet: title root kernel initrd

Ubuntu, kernel 2.6.8.1-2-386 (hd0,2) /vmlinuz-2.6.8.1-2-386 root=/dev/hda3 ro quiet splash /initrd.img-2.6.8.1-2-386

Fontos tudni, hogy a GRUB a merevlemez part´ıcióival dolgozik e´ s egy kicsit másképpen hivatkozik rájuk mint a Linux. Linux alatt az els˝o merev lemezre a /dev/hda-val lehet hivatkozni. Linux alatt bet˝u jelöli a lemezeket: “a”, “b”, “c” e´ s ´ıgy tovább. Ha konkrét part´ıcióra akarunk hivatkozni, akkor pedig még egy számot is használunk, például: /dev/hda3. Ezzel szemben GRUB alatt a merev lemezeknek számuk van, nullától indulva: “0”, “1”, “2” e´ s ´ıgy tovább. A part´ıciók száma is nullától kezd˝odik ezért ha a Linux part´ıciót a GRUB számára akarjuk megadni, akkor a bet˝ut számmal kell helyettes´ıteni e´ s a part´ıció számából egyet ki kell vonni. Például: a Linux part´ıció /dev/hda3 hd0,2 lesz GRUB alatt. A fenti példában ezért van kétféle megadási mód. A root kezdet˝u sor a GRUB-nak szól, m´ıg a kernel kezdet˝u sorban a root paraméter már a Linux kernelnek szól. Ha egy másik operációs rendszer is van a szám´ıtógépünkön akkor azt is hozzá kell adni a konfigurációs file-hoz, hogy el lehessen ind´ıtani. Például Windows esetén egy lehetséges beáll´ıtás a következ˝o lesz: title root makeactive chainloader

Windows 95/98/NT/2000 (hd0,0) +1

Amikor nem Linux jelleg˝u operációs rendszert kell betölteni, akkor a´ ltalában használni kell a makeactive opciót amivel az operációs rendszerhez tartozó opciót akt´ıvvá tesszük. A chainloader opcióval azt tesszük lehet˝ové, hogy a bootloader egy másik bootloader-t ind´ıtson el, például a Windows bootloadere´ t. Ha a szám´ıtógép indulásakor nem jelenik meg a bootloader menüje, az azért van mert a hiddenmenu opció szerepel a konfigurációs file-ban. Kommentezzük ki, ha szeretnénk a menüt látni. A menüben az alapesetként kijelölt operációs rendszert a default opcióval adhatjuk meg. A konfigurációs fileban szerepl˝o operációs rendszer defin´ıciókat a GRUB automatikusan beszámozza u´ gy, hogy az els˝ohöz a nullás szám van hozzárendelve. Így, ha az els˝o operációs rendszert akarjuk alapesetnek választani akkor a default

0

sort kell be´ırni a konfigurációs file-ba. A timeout opció pedig azt adja meg, hogy hány másodperc után automatikusan boot-oljon a kiválasztott operációs rendszer.

12

Grafikus kép boot-olás során A GRUB bootloader elég egyszer˝uen néz ki. Ugyanakkor lehet˝oségünk van egy háttérkép használatára, ami a menü mögött jelenik meg. A képnek teljes´ıteni kell három feltételt: • XPM formátumúnak kell lennie, • 640x480 pixel méret˝u kell legyen e´ s • nem tartalmazhat 14 sz´ınnél többet. Az XPM képet o¨ ssze kell tömör´ıteni: # gzip hatterkep.xpm majd be kell másolni a boot könyvtárba: # cp hatterkep.xpm.gz /boot/grub Végül a GRUB konfigurációs file-jába a következ˝o sort kell be´ırni: splashimage=(hd0,0)/boot/grub/hatterkep.xpm.gz feltételezve, hogy a boot part´ıció a /dev/hda1-nak felel meg.

3.1.3 LILO A LILO bootloader konfigurációs file-ja a´ ltalában a /etc/lilo.conf. Az alább bemutatott minta file esetén feltételezzük, hogy egy Windows rendszer található az els˝o part´ıción e´ s a Linux a második part´ıción van: boot=/dev/hda map=/boot/map install=/boot/boot.b compact prompt timeout=50 image=/boot/vmlinuz-2.0.36 label=linux root=/dev/hda2 read-only other=/dev/hda1 label=win boot=/dev/hda : A LILO bootloader az els˝o merev lemez master boot rekordjába lesz installálva map=/boot/map : A map file-t a LILO generálja. Ne nyúljunk hozzá! install=/boot/boot.b : Ez a sor mondja meg, hogy a LILO mit használjon u´ j boot szektorként. Ez a file tartalmazza azt a kódot, ami majd betölti az operációs rendszert. compact : Az opció megadásával a LILO gyorsabban fogja olvasni a merev lemezt. Néhány régebbi rendszer esetén nem m˝uködik. Ha a rendszer nem tud bebootolni, töröljük ezt a sort. prompt : Megadja, hogy egy menü jelenjen meg, amib˝ol operációs rendszert választhatunk illetve paramétert adhatunk meg.

13

timeout=50 : Ez az opció adja meg, hogy hány másodpercig várjon a LILO, ami után a bootloader az alap operációs rendszert tölti be. image : A kernel file nevét adja meg. Maximum 16 féle kernel adható meg. Az els˝o image szokott az alap beáll´ıtás lenni, hacsak más opciót nem adunk meg. Az utána következ˝o sorok a kernel paraméterei lesznek betöltéskor. label : Ez az opció adja meg, hogy mi jelenjen meg a menüben, illetve a bootloader parancssorában is ezt a nevet adhatjuk meg a kernel bootolásához. root=/dev/hda2 : Megadja, hogy hol található a root part´ıció. read-only : Az opció hatására a bootloader csak olvasható a´ llapotban tölti be a root file rendszert. Kés˝obb a bootolás során u´ jra betölt˝odik a root file rendszer. (Nem szabad megváltoztatni, hacsak nem tudod, hogy mit csinálsz!) other=/dev/hda1 : Ez opció olyan mint az image opció, csak ez azt adja meg, hogy nem Linux rendszert fogunk betölteni. A LILO egyszer˝uen az adott merev lemez boot rekordját fogja végrehajtani. Bármikor változtatást végzünk a lilo.conf file-ban, utáne le kell futtatni egy friss´ıtést: # /sbin/lilo Grafikus kép boot-olás során LILO bootloader is képes a grafikus kép megjelen´ıtésére a boot menü alatt. A grafikus kép megjelen´ıtéséhez a grafikus kártyának támogatnia kell azt a VESA módot, melyben 640x480 méret˝u 255 szin˝u képet tud megjelen´ıteni. (A kernelnek nem kell támogatnia frame buffer módot, mivel amikor a LILO megjelen´ıti ezt a képet, akkor még a kernel nincs betöltve ´ıgy a LILO nem támaszkodhat a kernelre.) A képben egy 255 elem˝u sz´ınpalettával kell megadni a sz´ıneket. (Angolul, a képnek “Indexed”-nek kell lennie.) A LILO bootloader konfigurációs file-jába (lilo.conf) a következ˝o sorokat be´ırva bekapcsoljuk a grafikus képek megjelen´ıtését illetve konfiguráljuk a megjelenést: install=bmp bitmap=/boot/lilo-boot-tux.bmp bmp-table=48p,15p,1,12 bmp-colors=250,,,255,, bmp-timer=300p,184p,250,, A bitmap kezdet˝u sorban lehet megadni, hogy a kép hol található. A bmp-table opció adja meg, hogy a képerny˝on hova kerül a boot menü. Az opció formátuma: bmp-table=<x>,,,<sorok> ahol az x e´ s y koordináták a menü bal fels˝o pontjának a pixel koordinátáit adja meg. A szám utáni “p” bet˝uvel jelöljük, hogy pixel koordinátákról van szó. Az opcióban megadható, hogy hány oszlop e´ s hány sorból a´ ll a menü. Például egy hat soros menü esetén: bmp-table=55,224,1,6 A bmp-timer opció adja meg, hogy a képerny˝on hova kerül a stopper (id˝oz´ıt˝o) ami a visszaszámlálást végzi. Az opció formátuma: ın> ek-sz´ arny´ ın>,<´ er-sz´ att´ ın>,,,<el}

14

Itt is a bal fels˝o pont koordinátáit kell megadni. Az id˝oz´ıt˝o sz´ınei a képb˝ol határozhatók meg. A grafikus kép sz´ınpalettája 255 sz´ınt tartalmazhat. Az opció utolsó három e´ rtékét u´ gy lehet meghatározni, hogy az a´ ltalunk választott sz´ın indexét kikeressük a palettából e´ s azt ´ırjuk be a sorba. Például ha a kép sz´ınpalettájában a 0 index˝u elem a fehér e´ s a 254 index˝u elem a fekete, illetve nem akarunk a´ rnyék sz´ınt megadni, akkor a következ˝o sort adhatjuk meg: bmp-timer=582p,455p,0,254, A bmp-colors opció a menü sz´ıneit adja meg. Az opció formátuma: bmp-colors=<el} o-sz´ ın>,,<´ arny´ ek-sz´ ın>,<sel-fg>,<sel-bg>,<sel-sh> ahol <sel-fg> a kiválasztott sor el˝otér-sz´ıne, a <sel-bg> a kiválasztott sor háttér-sz´ıne e´ s a <sel-sh> a kiválasztott sor a´ rnyék sz´ıne. A sz´ınek indexei itt is a kép sz´ınpalettájából származnak. Végül a boot rekord friss´ıtésére futtassuk le a következ˝o parancsot: # /sbin/lilo

¨ ese 3.1.4 Bootloader megkerul´ El˝ofordulhat, hogy az MBR-t tönkretettük, vagy valamiért megsérült e´ s mégis szeretnénk bebootol-ni egy operációs rendszert. Az is el˝ofordulhat, hogy egy u´ j kernelt akartunk használni, de nem m˝uködik e´ s a régi kernelt szintén töröltük. Minden esetre szeretnénk használhatóvá a szám´ıtógépünket. A legtöbb installációs CD használható a szám´ıtógépen lev˝o operációs rendszer megvizsgálására e´ s helyreáll´ıtására. Az installációs CD végrehajtása során a szám´ıtógépünk e´ rintetlen marad am´ıg el nem kezdjük particionálni a merev lemezt. Amikor aljutunk eddig a pontig, ne kezdjük el a particionálást, hanem próbáljuk ki a Ctrl-Alt-F(n) (például: Ctrl-Alt-F3) billenty˝u kombinációt. A billenty˝uk lenyomásával egy virtuális terminálra jutunk. (Lehet hogy néhányszor meg kell nyomni az Enter billenty˝ut, hogy “aktiválódjon”. Az installációs CD-ken a virtuális terminálokban egy kis méret˝u shell a´ ll rendelkezésre, BusyBox. A BusyBox shell egy szokványos shell csökkentett változatának felel meg, de minden szükséges parancsot tartalmaz. Miután a shell rendelkezésre a´ ll, be kell mount-olni a merev lemez azon part´ıcióját, ahol például a /boot könyvtár van. Például: # mkdir /bootmnt # mount /dev/hda1 /bootmnt Ha egyéb módos´ıtásra is szükség van, akkor a root part´ıciót is be kell mount-olni: # mkdir /rootmnt # mount /dev/hda3 /rootmnt A merev lemezen található root part´ıció betöltése után ezt kell aktuálissá tenni, hogy a merev lemezen lev˝o parancsok elérhet˝ok legyenek: # chroot /rootmnt

3.1.5 Egyéb bootloader-ek http://btmgr.sourceforge.net

15

3.2 Bootolás 3.2.1 initrd ´ aban ezek Tegyük fel, hogy olyan szám´ıtógépünk van amiben SCSI vezérlés˝u merev lemez van. Altal´ a merev lemezek speciális meghajtót igényelnek. A bootloader a BIOS megszak´ıtásokon keresztül hozzáfér a merev lemezhez e´ s be tudja tölteni a kernelt (rendszermagot). Ugyanakkor el˝ofordulhat, hogy a a kernelhez modulok tartoznak, vagyis bizonyos szolgáltatások csak küls˝o, de betölthet˝o modulként a´ llnak rendelkezésre. Például az SCSI vezérl˝o programja modulként is ford´ıtható a kernelhez. Ez egy csapda helyzethez vezethet. A bootolás során a kernel már a memóriában van, de nem tudja betölteni a root file rendszert mivel ahhoz az SCSI vezérl˝o modul kellene, ami viszont a root file rendszeren van. A probléma feloldására két megoldás is létezik: 1. Az els˝o esetben a kernelbe van ford´ıtva az SCSI támogatás e´ s ´ıgy a kernel hozzáfér az SCSI merev lemezhez. 2. A második esetben initrd file rendszert használunk, ami egy el˝ozete gyökér könyvtárnak felel meg. Az initrd az “Initial RAM Disk” rövid´ıtése. Ez egy kis file rendszer, amit a bootloader tölt be e´ s a kernel a velódi root file rendszer helyett tölt be. A kernel RAM lemezként tölti be a file rendszert, végrehajtja a /linuxrc file-t, majd felcsatolja a valódi root file rendszert.

3.2.2 Boot scriptek

3.3 Leáll´ıtás A rendszer leáll´ıtásához a shutdown parancsot használjuk. A parancs figyelmeztet minden felhasználót, mindent processzust, hogy a rendszer leáll, blokkolja az u´ j belépéseket e´ s “tisztán” leáll´ıtja a rendszert. (Ha csak kihúzzuk az elektromos kábelt a falból a rendszer “megfelel˝o” leáll´ıtása nélkül az kés˝obb problémákhoz e´ s adatvesztéshez vezethet. A rendszer teljes leáll´ıtásához a -h opciót használjuk, a rendszer u´ jraind´ıtásához a -r opciót kell használni.

3.3.1 Azonnali leáll´ıtás A leáll´ıtásnál azt is megadhatjuk, hogy mikor történjen meg. Például, ha azonnal szeretnénk leáll´ıtani a rendszert, akkor a now argumentumot is meg kell adni. Például, az azonnali leáll´ıtáshoz: # shutdown -h now parancsot kell megadni, m´ıg az azonnali u´ jraind´ıtéshoza a következ˝ot kell begépelni: # shutdown -r now A shutdown parancs azt is lehet˝ové teszi, hogy figyelmeztet˝o u¨ zenet jelenjen meg minden terminálon, ahol felhasználó be van jelentkezve: # shutdown -h now ’’A gep azonnal leall!’’

3.3.2 Leáll´ıtás adott id˝oben Adott id˝oben történ˝o leáll´ıtáshoz az id˝ot 24 o´ rás formátumban kell megadni. Például ha reggel 4:23-kor akarjuk leáll´ıtani a gépet a következ˝ot kell begépelni:

16

# shutdown -h 4:23 m´ıg az este 8 o´ rás leáll´ıtáshoz # shutdown -h 20:00 a fenti parancsot kell begépelni. A rendszer “x” perc múlva történ˝o leáll´ıtásához egy plusz jelet (‘+’) e´ s a percet kell megadni a parancs után. Például ha a rendszert leáll´ıtjuk 5 perc múlva a következ˝ot gepelhetjük be: # shutdown -h +5 Természetesen az u¨ zenet küldési argumentum ezeknél a prancsoknál is használható: # shutdown -h 00:00 ’’A gep leall ejfelkor karbantartas miatt!’’

3.3.3 A leáll´ıtás visszavonása El˝ofodulhat, hogy egy id˝oz´ıtett leáll´ıtást mégsem szeretnénk végrehajtani, vagyis szeretnénk visszavonni. Ehhez a shutdown parancsot ismételten le kell futtatni: # shutdown -c Ez minden már elind´ıtott leáll´ıtási folyamatot visszavon, “leáll´ıt”. Ebben az esetben is lehet u¨ zenetet küldeni a felhasználóknak: # shutdown -c ’’Bocsanat, rossz gombot nyomtam le!’’

17

18

4. Fejezet

Felhasználók e´ s csoportok A felhasználók vagy felhasználói fiókok (user account) e´ s csoportok (group) kezelése, illetve a felhasználók azonos´ıtása talán a legfontosabb feladat, amit a rendszergazdának el kell látnia. A felhasználói fiókokra azért van szükség, mivel ezeken keresztül férünk hozzá a rendszerhez, ezekkel bizony´ıtjuk hogy kik vagyunk e´ s hogy jogunk van-e hozzáférni az információkhoz e´ s az er˝oforrásokhoz a szám´ıtógépen. Így ez a fejezet több lépésben e´ s több szempontból foglalkozik a felhasználói fiókokkal.

4.1 Alapok A Unix e´ s ´ıgy a Linux is többfelhasználós operációs rendszer, vagyis egy id˝oben több felhasználó is dolgozhat a rendszeren. Az operációs rendszer szempontjából a felhasználó nem feltétlenül egyetlen ember. A felhasználó tulajdonképpen egy olyan “entitás” akinek/aminek joga van programokat futtatni a rendszeren, vagy file-okat birtokol a rendszeren. Például vannak olyan felhasználói fiókok, melyek csak azért léteznek, hogy egy szolgáltatáshoz tartozó programot lefuttassanak. Ezeket a felhasználói fiókokat “pszeudo felhasználóknak” nevezzük. Természetesen a legtöbb esetben a felhasználói fiók egy személyhez köthet˝ok. Minden felhasználónak van egy felhasználói neve (username) ami a rendszeren azonos´ıtja. Mint látni fogjuk, ennél fontosabb, hogy minden felhasználóhoz tartozik egy felhasználói azonos´ıtó szám: user identification number or UID. Valójában az operációs rendszerben ez a szám azonos´ıtja a felhasználót e´ s a felhasználói név csak hozzá van rendelve. Ezen k´ıvül minden felhasználó egy vagy több csoportba is tartozik. Egy csoportba olyan felhasználók tartoznak, akik azonos feladatot végeznek, esetleg azonos szervezetben dolgoznak vagy valami egyéb közös tulajdonságuk van. Ebben az esetben is egy csoport azonos´ıtó szám (group identification number, GID) jellemzi a csoportot az operációs rendszerben bels˝oleg, amihez a csoport neve csak hozzá van rendelve. Az UID e´ s GID számok közösen határozzák meg, hogy milyen jogaink vannak a rendszeren, milyen file-okhoz férünk hozzá. A Unix rendszereken a file-ok e´ s könyvtárak biztonsága olyan stratégiával valósul meg ami közvetlenül köthet˝o a felhasználói azonos´ıtókhoz e´ s csoport azonos´ıtókhoz! A felhasználói fiókok e´ s a csoportok adatait a következ˝o file-ok tárolják: • /etc/passwd : felhasználói fiókok defin´ıciója • /etc/shadow : kódolt jelszavak e´ s tulajdonságaik • /etc/group : csoportok defin´ıciója e´ s csoport tagok • /etc/gshadow : csoport jelszavak (csak Linux-on)

19

4.2 /etc/passwd file Az /etc/passwd file minden felhasználóról tartalmaz egy bejegyzést1 . Egy bejegyzés egy sorból a´ ll, melynek a´ ltalános szerkezete a következ˝o: username:x:UID:GID:gecos:home-dir:login-shell A bejegyzésben a mez˝oket a kett˝ospont választja el e´ s a SPACE karakter csak a gecos mez˝oben megengedett! A kis e´ s nagy bet˝uk különbsége fontos ebben a file-ban! A mez˝ok egyes jelentése: ´ aban 8 karakterben limitált, de username : Ez a mez˝o adja meg a szöveges felhasználói nevet. Altal´ bizonyos Unix rendszerek hosszabb nevet is megengednek. Ez az információ mindig nyilvános, mivel több program is használja. x : Hagyományosan a második mez˝o a kódolt jelszót tartalmazta, de a “shadow” jelszavak bevezetése o´ ta ez a mez˝o már csak az x karaktert tartalmazza. B˝ovebb magyarázat a 4.3. bekezdésben. UID : A “user identification number” vagy felhasználói azonos´ıtó szám. Minden felhasználónak egyedi száma van. A rendszer felhasználók (“system account”) azonos´ıtó száma a´ ltalában 100 alatti. (Linuxon manapság 500 alatti e´ s FreeBSD rendszeren az 1000 alatti azonos´ıtó számok tartozhatnak a rendszer felhasználókhoz.) Bizonyos rendszeradminisztrátorok valamilyen sémát alkalmaznák az azonos´ıtók felhasználókhoz történ˝o hozzárendelése során. Például: Informatika ´ ıt˝omérnöki tanszék: 500-599 e´ s ´ıgy tovább. tanszék: 200-299, Ep´ Fontos, hogy ha két felhasználónak ugyanaz az azonos´ıtó száma, akkor a rendszer szempontjából egy felhasználónak szám´ıtanak! Kerüljük ezt a t´ıpusú problémákat. GID : A felhasználó els˝odleges csoportjának az azonos´ıtó száma. A csoport azonos´ıtó számnak megfelel˝o csoportnevet a /etc/group file-ban találhatjuk meg. Az azonos csoportba tartozó felhasználók megoszthatnak file-okat egymás között ha a file csoport jogosultsága megfelel˝oen ´ aban itt is igaz, hogy a 100 alatti számok rendszer felhasználókhoz tartoznak. van beáll´ıtva. Altal´ gecos : Ez a mez˝o bármilyen információt tartalmazhat a felhasználóról, pl. a felhasználó teljes nevét, irodájának számát, stb. home-dir : A felhasználó home könyvtára, vagyis a belépés után a felhasználó ebbe a könyvtárba kerül, illetve ebben a könyvtárban tárolhatja a felhasználó a saját file-jait. login-shell : A belépés után az operációs rendszer egy parancs e´ rtelmez˝ot, vagy angol nevén “shell”-t ind´ıt el. Ez a bejegyzés adja meg, hogy melyik parancs e´ rtelmez˝o induljon el, mivel többféle is létezik: Bourne shell : /bin/sh C shell : /bin/csh Korn shell : /bin/ksh Bash shell : Lényegében egy Bourne shell, de több hasznos kiegész´ıtést tartalmaz. A Linux rendszereken szinte kizárólag ezt a shell-t használják. A legtöbb rendszeren az /etc/shells file tartalmazza a shell-ek listáját. Egy tipikus bejegyzés az /etc/passwd file-ban a következ˝o lehet: kovacs:x:222:120:Kovacs Istvan:/home/kovacs:/bin/sh 1 Ezt

a kijelentést kés˝obb még módos´ıtjuk

20

4.2.1 Az /etc/passwd file módos´ıtása Mivel az /etc/passwd file egy egyszer˝u ASCII file, ezért bármilyen szövegszerkeszt˝ovel módos´ıtható. Figyelem: Amikor az /etc/passwd file-t módos´ıtjuk legyünk o´ vatosak! Például el˝oször kész´ıtsünk biztonsági másolatot a file-ról. $ cd /etc $ cp passwd passwd.bak $ vi passwd Ennél biztonságosabb módszer, ha nem közvetleznül a /etc/passwd file-t módos´ıtjuk, hanem a másolatot majd miután végeztünk visszamásoljuk a /etc/passwd file helyére: $ cd $ cp $ vi ... $ cp

/etc passwd passwd.new passwd.new passwd.new passwd

Végül a legbiztonságosabb módszer a vipw program használata. A program kész´ıt egy másolatot az adott file-r˝ol, majd egy szövegszerkeszt˝o programot elind´ıtva lehet˝ové teszi a file biztonságos módos´ıtását. A másolat file egy zároló mechanizmusként is szolgál, mivel a vipw program nem indul el akkor ha a másolat file létezik. Ezzel a módszerrel kizárhatjuk, hogy egyszerre ketten szerkesszék ugyanazt a file-t. A vipw program azt a szövegszerszt˝ot választja, ami az EDITOR környezeti változóban van megadva. (Ha sem a VISUAL e´ s sem a EDITOR környezeti változó nincs megadva, akkor a vi szövegszert˝o indul el.) Miel˝ott a vipw program elmentené a file-t, néhány ellen˝orzést végez, majd ha nincs semmi probléma, akkor az eredeti file-t a´ tnevezi (Linuxon az u´ j file neve a´ ltalában /etc/passwd-) e´ s végül ki´ırja a módos´ıtott adatokat az eredeti file-ba. A vipw programnak megfelel˝oen van egy vigr program is, ami pedig az /etc/group file-t szerkeszti. Mindkét programnak meg lehet adni a -s opciót ami lehet˝ove teszi a “shadow” file-ok szerkesztését. A vipw -s program az /etc/shadow file-t, a vigr -s program az /etc/gshadow file-t tudja szerkeszteni.

4.3 /etc/shadow file A legtöbb Unix rendszer támogatja a “shadow” jelszó tárolási módszert. Miért kell ez? A Unix rendszereken az /etc/passwd file mindenki a´ ltal olvasható file-nak kell lennie, mivel bármilyen programnak vagy szolgáltatásnak szüksége lehet arra, hogy a felhasználói névb˝ol UID számot kapjunk e´ s ford´ıtva (UID számból felhasználói nevet). Ugyanakkor a mindenki a´ ltal olvasható file problémát jelent, mivel mindenki, még a “rossz” fiúk is másolatot kész´ıthetnek róla. Ez azt jelenti, hogy ha a jelszavak a file-ban vannak, akkor azok is olvashatók mindenki a´ ltal. Gondolhatnánk, hogy akkor elég lenne a kódolt jelszavakat tárolni a file-ben e´ s ez megoldja a problémát. A helyzet az, hogy ´ıgy egy kicsit biztonságosabbnak látszik a rendszer, de valójában nem az. A “rossz” fiúk jelszó tör˝o (crack) programot használhatnak. A crack program a jelszó nagyon sok variációját végigpróbálja, mindegyik jelszót kódolja e´ s megnézi, hogy a kódolás eredménye ugyanaz-e mint ami a jelszó file-ban van. Ezzel a módszerrel a 80-as e´ vekben sok jelszót sikerült felt˝orni e´ s a módszer angol neve “brute force” vagyis nyers er˝o módszer. (A módszer nem csak jelszavak megtalálásánál m˝uködik, hanem minden olyan esetben amikor az o¨ sszes variációt végig tudjuk próbálni.) A shadow file lényege, hogy az /etc/passwd file csak a szükséges adatokat tartalmazza, de a jelszó a´ tkerül a shadow file-ba. A shadow file-t csak a root felhasználó olvashatja e´ s ´ırhatja, ´ıgy a kódolt jelszó védve van az el˝obb le´ırt támadási módszerrel szemben. A shadow file a´ ltalános helye: /etc/shadow, e´ s a file formátuma abban hasonló az /etc/passwd file-hoz, hogy minden felhasználóhoz egy sor tartozik, aminek a következ˝o a szintakszisa:

21

alt ar:nem-haszn´ alt:minlife:maxlife:warn:inactive:lej´ o-v´ o:utols´ username:jelsz´

A username adja meg a felhasználói nevet (aminek a párja az /etc/passwd file-ban van) e´ s a jelsz´ o mez˝o tartalmazza a kódolt jelszót. A többi mez˝o a jelszó “öregedési” metódus paraméterei e´ s a 4.15.2. bekezdésben tárgyaljuk.

4.4 /etc/group file A felhasználói csoportokat lehet megadni az /etc/group file-ban. Az egy csoportba tartozó felhasználók file-okat e´ s rendszer er˝oforrásokat tudnak megosztani. Kétféle módon lehet megadni, hogy felhasználó melyik csoportba tartozik: 1. az /etc/passwd file negyedik mez˝oje GID-el adja meg, 2. az /etc/group file-ban adjuk meg explicit módon. A legtöbb Unix rendszeren egy felhasználó csak 16 csoportba tartozhat!2 Az /etc/group file minden sora külön bejegyzésnek szám´ıt, aminek a formátuma: n´ ev:*:GID:felhaszn´ al´ oi-nevek-list´ aja ahol az egyes mez˝ok jelentése: név : Ez a mez˝o adja meg a csoport nevét. * : Hagyományosan a második mez˝o tartalmazta a csoport jelszót, de ma már csak egy helyettes´ıt˝o karaktert tartalmaz, mivel a csoport jelszavak a /etc/gshadow file-ban találhatók. (Igazából, ma már csak Linux használja a csoport jelszavakat.) GID : A csoport azonos´ıtó szám. Itt is a´ ltalában igaz, hogy a 100 alatti e´ rtékek a rendszer csoportokhoz tartoznak. felhasználói-nevek-listája : Ez a bejegyzés a csoportba tartozó felhasználók listáját tartalmazza, ahol is a nevek vessz˝ovel vannak elválasztva. A csoportba nem csak azok a felhasználók tartoznak, akik itt fel vannak sorolva, hanem azok a felhasználók is akiknek a GID bejegyzése a /etc/passwd file-ban ennek a csoportnak az azonos´ıtójával egyenl˝o. A felsorolt felhasználói nevek megfelelnek az /etc/passwd file-ban található neveknek. Egy tipikus bejegyzés az /etc/group file-ban a következ˝o lehet: gazdasag:*:123:kiss,nemeth,kovacs oktatas:*:222:nagy,jozsa,kovacs it:*:120: Fontos megérteni, hogy ha a felhasználói név e´ s a csoport ugyanaz is, e´ s esetleg az UID e´ s a GID is azonos, attól még két teljesen kul¨ ¨ onböz˝o dologról van szó e´ s nincs semmi kapcsolat közöttuk! ¨ Az /etc/group file közvetlenül is módos´ıtható, de a vigr program is használható a biztonság kedvée´ rt. 2 Vannak olyan Unix rendszerek, amelyeken minden felhaszn´ aló egy olyan csoportba tartozik, melynek csak az az egy felhasználó a tagja: “user private group” vagy UPG. Ilyen rendszer a Red Hat Linux e´ s a Debian is ezt a stratégiát alkalmazza alap esetben.

22

4.4.1 Els˝odleges csoport A Unix rendszerek nem tesznek különbséget a két módszer között, ahogyan a felhasználókat csoportba soroljuk. A felhasználó egyszerre mindegyik csoportjába tartozik. Egy felhasználó csoportjainak ki´ıratására a groups parancs használható: $ groups gazdasag vezetes Egy adott felhasználó csoportjainak a ki´ıratására a parancsnak a felhasználói nevet is meg lehet adni: $ groups kovacs gazdasag oktatas it Mindezzel szemben van olyan eset, amikor fontos, hogy a felhasználónak mi az els˝odleges csoportja. Például, amikor nyilvántartást végzünk, hogy melyik kutatócsoport milyen mértékben használja az adott szám´ıtógépet, akkor fontos, hogy a megfelel˝o csoport legyen az els˝odleges csoport az adott felhasználónál. Az els˝odleges csoport kiválasztására a newgrp parancs használható: $ newgrp kemia A parancs egy u´ j shell-t nyit meg, amiben a felhasználó els˝odleges csoportja a parancs argumentumaként megadott e´ rték. Ha a parancsnak nem adunk meg argumentumot, akkor az /etc/passwd file-ban megadott, alapértéket a´ ll´ıtja be a rendszer. Az els˝odleges csoport azonos´ıtó lekérdezésére az id parancs alkalmas: $ id uid=222(kovacs) gid=120(it) groups=123(gazdasag),222(oktatas),120(it) A gid paraméter adja meg az els˝odleges csoportot.

4.5 /etc/gshadow file A Linux rendszereken egy extra file járul a hagyományosan ismert /etc/passwd, /etc/shadow e´ s /etc/group file-okhoz, mégpedig a /etc/gshadow file, ami a csoportok rejtett jelszavait tárolja. A file szintakszisa: o-lista al´ o:csop-admin:felhaszn´ odolt-jelsz´ ev:k´ csop-n´ A csop-admin a csoportot felügyel˝o felhasználó, akinek joga van a jelszót megváltoztatni. A felhaszn´ al´ o-lista ugyanazokat a felhasználókat tartalmazza mint ami a csoport bejegyzés mellett van az /etc/group file-ban. Nézzünk néhány példát: oktatas:xxxxxxxx:jack:joe,jim,anna vezetes:*:root:root,jack Fontos látni a fenti példából, hogy attól hogy egy felhasználó a csoport admin-ja, még nem lesz a csoport tagja. Ezt külön meg kell adni, ahogy ez a második sorban látható. A második mez˝oben a csillag karakter (‘*’) azt jelenti, hogy a csoport blokkolt, vagyis egyetlen felhasználó sem tudja az els˝odleges csoportját erre a csoportra a´ ll´ıtani.

23

4.6 Csoportok hozzáadása A csoportok lényege, hogy amikor a felhasználók bizonyos körének egy vagy több a´ llomány vagy alkalmazás felett azonos jogosultsággal kell rendelkeznie akkor ne kelljen a jogosultságokat minden felhasználóra külön-külön beáll´ıtani, hanem egyszerre végezhessük el a jogosultság kezelést a csoportba tartozó minden felhasználóra. Egy csoport létrehozása igen egyszer˝u, mert tulajdonképpen csak egy sor bejegyzést kell ´ırni az /etc/group file-ba, a fent tárgyalt szintakszis alapján. Ennél jobb megoldás a vigr program használata, de létezik külön parancs a csoportok létrehozására: groupadd. Példa egy csoport létrehozására: $ groupadd tanarok A parancs a sorban következ˝o, nem rendszergazdai csoport azonos´ıtó számot (GID) fogja hozzárendelni a tanarok csoporthoz. Ha explicit módon szeretnénk megadni a csoport azonos´ıtó számot, akkog a -g kapcsolót kell használni: $ groupadd -g 1256 tanarok A program figyel arra, hogy egyedi nevet e´ s GID-et adjunk meg a csoportok esetén. Ha valamelyik adat mégsem egyedi akkor a program hibával fog kilépni. A -o kapcsoló seg´ıtségével megengedhetjük a nem egyedi GID használatát. A rendszer csoportok létrehozásához a -r kapcsolót kell megadni, illetve csoport jelszó esetén a -p kapcsolóval a kódolt jelszót. Például: $ groupadd -r -p 2Isrg5623Gre tanarok A parancs m˝uködését befolyásolja a /etc/login.defs konfigurációs file-ben megadott néhány paraméter, például: • GID_MAX, GID_MIN : Ezek az e´ rtékek adják meg, hogy a nem rendszer szint˝u csoportok GID-je milyen tartományba essen. • SYS_GID_MAX, SYS_GID_MIN : Ezek az e´ rtékek adják meg, hogy a rendszer szint˝u csopor´ aban 0-1000 szokott lenni a két e´ rték. tok GID-je milyen tartományba essen. Altal´

4.7 Csoportok módos´ıtása A csoportok módos´ıtására a groupmod parancs alkalmas. Meg lehet változtatni a csoport nevét: $ groupadd -n oktatok tanarok ahol a tanarok helyett oktatok lesz a csoport neve. A csoport azonos´ıtó szám (GID) is megváltoztatható, de ebben az esetben manuálisan kell azokat a file-okat megváltoztatni, amelyeknek a csoport tulajdonosa a régi csoport volt. Ha ezt nem tesszük meg, a csoport tulajdonos esetén csak egy számot (a régi számot) fogja a rendszer kinyomtatni. Példát lásd a következ˝o bekezdésben.

4.8 Csoportok törlése A csoportok törlésére a groupdel parancs alkalmas. Például: $ groupdel nyugdijasok A csoportnak léteznie kell. A parancs csak a bejegyzéseket törli a file-okból, de a rendszeren található file-ok csoport tulajdonjogát nem változtatja meg.

24

$ groupadd testcsop $ touch file $ chgrp testcsop file $ ls -l file -rw-r--r-- 1 user testcsop 0 2009-10-1 12:00 file $ groupdel testcsop $ ls -l file -rw-r--r-- 1 user 61 0 2009-10-1 12:00 file A fenti példában az látható, hogy a csoport törlése után a file csoport tulajdonosa nem változott meg, csak a rendszer most már nem tudja feloldani, nem találja a 61-es GID-et a /etc/group file-ban.

4.9 Felhasználók létrehozása A legtöbb Linux rendszeren kétféle parancs is rendelkezésre a´ ll a felhasználók létrehozására: adduser e´ s useradd. A useradd az alacsonyabb szint˝u parancs ´ıgy igazából az adduser parancs használatát szokták javasolni.

4.9.1 useradd parancs A parancs legegyszer˝ubb formája: $ useradd kovacs aminek a hatására a parancs létrehozza az alapértékek alapján. Az alapértékek az /etc/default/useradd file-ban találhatók. A file lehetséges tartalma: GROUP=100 HOME=/home SKEL=/etc/skel SHELL=/bin/sh INACTIVE=-1 EXPIRE= A GROUP kulcsszó a felhasználók els˝odleges csoportját adja meg. Ugyanakkor több rendszer is azt a stratégiát használja, hogy minden felhasználót egy a felhasználói névvel megegyez˝o külön csoportba rak. (Lásd “user private group” a 4.4. bekezdésben.) A useradd parancs alapesetben ´ıgy m˝uködik, de ha ezt a viselkedést felül´ırjuk, akkor használja a parancs a GROUP e´ rtékét. A HOME kulcsszó adja meg, hogy melyik könyvtár alá kerüljenek a felhasználók könyvtárai. A SKEL opció adja meg annak a könyvtárnak a helyét ahol azok a file-ok e´ s könyvtárak (!) találhatók amiket egy u´ j felhasználó könyvtárába be kell másolni a felhasználói fiük léterhozása során. A SKEL kifejezés a “skeleton” vagyis váz angol szóból származik, ami azt jelöli, hogy ez a könyvtár adja meg a felhasználói könyvtárak vázát, mintáját. A SHELL opció határozza meg, mi lesz a felhasználó shell-je. Az INACTIVE határozza meg, hogy hány nap múlva jár le a jelszó, e´ s ´ıgy mikor kell lecserélni, illetve az EXPIRE adja meg, hogy mikor jár le a felhasználói fiók. A parancsnak számos kapcsolója ven, mellyel különböz˝o beáll´ıtásokat tehetünk: -c szoveg : Bármilyen szöveg ami a gecos mez˝obe kerül az /etc/passwd file-ban. -u UID : Ha saját magunk szeretnénk megadni a fehasználói azonos´ıtó számot, akkor ezt az opciót kell használni. A szám nem lehet negat´ıv e´ s egyedinek kell lennie (kivéve ha a -o opciót is használjuk, ami nem ajánlott!!).

25

-g GID : A felhasználó els˝odleges GID-je adható meg explicit módon. Ez a GID fog az /etc/passwd file-ba kerülni. A további csoportokat a -G csop1,csop2,... opcióval lehet megadni, amelyek csak az /etc/group file-ban jelennek meg. -m : A parancs alapesetben nem hozza létre a felhasználó könyvtárát. Ennek az opciónak a megadásával utas´ıthatjuk a parancsot, hogy hozza létre a könyvtárat. Példa a parancs használatára: $ $ $ $

groupadd -g 3333 vezetok groupadd -g 3334 oktatok groupadd -g 3335 gazdasag useradd -u 2222 -g 3333 -G 3334,3335 -m nagy

El˝oször a csoportokat hozzuk létre, majd az els˝o csoporthoz adjuk hozza a 2222 UID számú e´ s nagy nev˝u felhasználót, illetve a könyvtárát is létrehozzuk. A parancs hatására a felhasználó két további csoportba is bekerül. Ha egy másik felhasználó könyvtárát akarjuk mintaként használni egy u´ j felhasználó könyvtárához a következ˝o parancsot lehet kiadni: $ useradd -m -k /home/minta

nagy

ahol a minta felhasználó könyvtárában lev˝o file-okat e´ s könyvtárakat a´ tmasolja a nagy felhasználó könyvtárába, ugyanakkor az a´ tmásolt file-ok tulajdonosa már a nagy felhasználó lesz. Még egy trükköt e´ rdemes itt megeml´ıteni. Tegyük fel, hogy egy felhasználónak meg akarjuk engedni, hogy FTP-vel (lásd 7. fejezet) file-okat tudjon felmásolni illetve tudjon letölteni, de ugyanakkor azt akarjuk, hogy soha ne tudjon bejelentkezni egy shell-be. Ebben az esetben a felhasználónak léteznie kell a rendszeren e´ s e´ rvényes jelszavának is kell lennie. Ahhoz hogy ne tudjon shell-be bejelentkezni egy speciális shell-t kell definiálni a létrehozása során: $ useradd -s /bin/false ftp-user A /bin/false program nagyon speciális, mivel nem csinált semmit, de olyan kóddal tér vissza ami azt jelzi, hogy sikertelen volt a futása e´ s ´ıgy a rendszer nem fog shell-t adni a felhasználónak. Az /etc/passwd file-ban a bejegyzés valahogy ´ıgy nézne ki: ftp-user:x:1003:1003:Csak ftp:/home/ftp:/bin/false

Megjegyzések • FONTOS: A parancs alap esetben zárolt felhasználókat hoz létre. A jelszó vagy explicit módon megadható már kódolt formában a -p opcióval, vagy a passwd user paranccsal. • A létrehozandó felhasználó nem szereplhet NIS (lásd 11. fejezet) illetve LDAP (lásd 12. fejezet) adatbázisban sem. • A felhasználó neve lehet˝oség szerint csak kis bet˝ub˝ol, számokból, aláhúzás e´ s minusz karakterekb˝ol a´ lljon. A végén a´ llhat egy dollár jel. A felhasználói neveket le´ıró reguláris kifejezés a következ˝o lehetne: [a-z_][a-z0-9_-]*[$]

26

4.9.2 adduser parancs Ez a parancs, ha semmilyen paramétert nem adunk meg a felhasználóról, akkor a shell-ben kérdéseket tesz fel, amikre válaszolva adhatjuk meg a felhasználói fiók tulajdonságait, például: $ adduser proba5 Adding user ’proba5’ ... Adding new group ’proba5’ (1001) ... Adding new user ’proba5’ (1002) with group ’proba5’ ... Creating home directory ’/home/proba5’ ... Copying files from ’/etc/skel’ ... Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully Enter the new value, or press ENTER for the default Full Name []: 1 Room Number []: 2 Work Phone []: 3 Home Phone []: 4 Other []: 5 Is the information correct [Y/n]: y $ Az /etc/passwd file-ban létrehozott bejegyzés a következ˝o lesz: proba5:x:1002:1001:1,2,3,4,5:/home/proba5:/bin/bash amib˝ol az látható, hogy a megadott paraméterek ugyanúgy a gecos mez˝obe kerültek, csak vessz˝ovel elválasztva. Nézzük meg, hogy a finger parancs mit ´ırna ki ebben az esetben: $ finger proba5 Login: proba5 Directory: /home/proba5 Office: 2, 3 Never logged in. No mail. No plan.

Name: 1 Shell: /bin/bash Home Phone: 4

Ez a példa azt mutatja, hogy a gecos mez˝oben eltárolt adatokat vessz˝ovel e´ rdemes elválasztani, ha azt akarjuk, hogy a megfelel˝o információ a megfelel˝o helyen jelenjen meg.

4.9.3 Amikor nincs seg´ıtség Ebben a bekezdésben azzal módszerrel ismerkedünk meg, amikor semmilyen extra parancs nem a´ ll rendelkezésre a rendszeren e´ s mindent kézzel kell végrehajtani. A felhasználó létrehozásának a következ˝ok a lépései: • Az /etc/passwd file-ban a felhasználói név, UID, els˝odleges csoport e´ s nehány egyéb információ megadása. • A jelszó megadása az /etc/shadow file számára. • A home könyvtár létrehozása. • A kezdeti file-ok a´ tmásolása a home könyvtárba.

27

• A chown paranccsal a tulajdonjogok beáll´ıtása a home könyvtárra e´ s a benne lev˝o file-okra. • A felhasználó hozzáadása további alrendszerekhez, pl. quota. • Adjunk jogosultságot egyéb alrendszerekhez, pl. FTP. • Egyéb gép specifikus inicializálás • A felhasználói fiók kipróbálása. $ vi /etc/passwd ... user1:x:1005:1005:Teszt user:/home/user1:/bin/sh ... $ vi /etc/shadow ... user1:!:14518:0:99999:7::: ... $ passwd user1 Enter new Unix password: Retype new Unix password: $ vi /etc/group ... user1:x:1005: ... $ vi /etc/gshadow ... user1:!:: ... $ cd /home $ mkdir user1 $ cp -r /etc/skel/* /home/user1 $ chown -R user1:user1 /home/user1 $ chmod -R 755 /home/user1 További beáll´ıtások végezhet˝ok el az /etc/security/ könyvtárban található file-okban, például korlátozhatók

4.10 Felhasználók törlése Egy felhasználó törölhet˝o a userdel vagy deluser parancsok egyikével. Itt is az egyik alacsonyabb szint˝u mint a másik változat. A felhasználó törölhet˝o például a következ˝o módon: $ deluser user1 Figyelem, alap esetben a parancsok nem távol´ıtják el a home könyvtárat vagy például a csoportot. Ezt külön meg kell adni opciókkal: $ deluser --remove-home user1

4.11 Felhasználók módos´ıtása Egy felhasználói fiók blokkolható a passwd paranccsal:

28

$ passwd -l user1 A blokkolás egyébként nagyon egyszer˝u, mivel csak annyi történik, hogy az /etc/shadow file-ban a második mez˝obe belekerül egy csillag (‘*’) vagy felkiálltó jel (‘!’) karakter. A felhasználói fiók u´ jraaktiválásához elegend˝o a csillag vagy felkiálltó jel karaktert törölni az /etc/shadow file-ban a második mez˝ob˝ol vagy a passwd parancsot használni: $ passwd -u user1

4.12 Felhasználó e´ s csoport adminisztráció Az ebben a fejezetben bemutatott file-ok esetén elengedhetetlen, hogy a jogosultságok megfelel˝oen legyenek beáll´ıtva. Mindegyik file esetén a root legyen a tulajdonos e´ s csak root tudja ´ırni a fileokat. Például: -rw-r--r--rw-r--r--rw-r--r--rw-r--r--rw-------rw-------

1 1 1 1 1 1

root root root root root root

root root root root shadow shadow

564 531 985 894 1185 1085

Oct Oct Oct Oct Oct Oct

2 2 2 2 2 2

12:01 12:01 12:01 12:01 12:01 12:01

/etc/group /etc/group/etc/passwd /etc/passwd/etc/shadow /etc/shadow-

A fenti listában azok a file-ok amelyek végén egy minusz jel (‘-’) van “backup” file-ok, amik az adott file utolsó el˝otti a´ llapotát tárolja. Így ha valami hibát vétettünk, az el˝oz˝o a´ llapot mindig visszaáll´ıtható. Fontos: A “shadow” file-ok csak a root a´ ltal legyenek olvashatók e´ s ´ırhatók. Err˝ol mindig gy˝oz˝odjünk meg!

4.12.1 Szabványos felhasználók e´ s csoportok Minden Unix rendszeren vannak el˝ore definiált felhasználók e´ s csoportok. Ezekb˝ol a root-ot biztosan használjuk, a többi valósz´ın˝uleg pszeudo felhasználók e´ s jelszavakon keresztül blokkolt felhasználói fiókok. Gyakran el˝oforduló el˝ore definiált felhasználók: root : A szuperuser, a rendszeradminisztrátor. UID azonos´ıtója 0. Itt a fontos, hogy az UID zérus, a felhasználói név bármi lehet. bin, daemon, adm, lp, sync, shutdown, sys : Ezek a rendszer felhasználói fiókok e´ s különböz˝o rendszer file-ok tulajdonosai lehetnek vagy rendszer processzusokat futtatnak. Az igazság az, hogy a Unix rendszerek definiálják ezeket a felhasználókat, de nem igazán használják. mail, news, ppp : Szintén rendszer felhasználói fiókok, amelyek a rendszer valamelyik alrendszeréhez köt˝odnek, pl. levelezés. mysql, xfs : Opcionális rendszer komponensekhez szükséges felhasználói fiókok, pl. adatbázis, X Window font szerver. nobody : AZ NFS alrendszer e´ s néhány egyéb alrendszer a´ ltal definiált felhasználói fiók. UID e´ rtéke a´ ltalában a -2, de bizonyos rendszereken más is lehet, pl. System V rendszeren: 60001 Csoportok listája hasonló a fenti listához. A root csoport GID-je 0. Hasonlóan van bin, daemon, stb. az /etc/group file-ban. Ezeken k´ıv˝ul a 100-as GID a´ ltalában a users vagy staff csoporthoz tartozik.

29

4.12.2 Korlátozott felhasználói fiókok A 4.9.1. bekezdésben a /etc/false “shell” használatával már láttunk egy módszert, amivel a felhasználót korlátozni lehet abban hogy mit csinálhat a rendszeren. Ugyanakkor el˝ofordulhat az is, hogy többet akarunk engedni, de azért mindent mégsem, vagyis korlátozott “shell”-t (restricted shell) akarunk biztos´ıtani. Például egy adminisztrátornak csak egy feladatot ellátnia e´ s ´ıgy csak egy programot kell/szabad futtatnia. A korlátozott shell-en k´ıvül ´ıgy még a .profile file is szükséges mivel ezen keresztül ind´ıtjuk majd a szükséges alkalmazást. A korlátozott shell nem engedi a következ˝o m˝uveleteket: • Nem használható a cd parancs. • Nem lehet megváltoztatni a PATH, ENV e´ s SHELL rendszer változókat. • Nem lehet használni a “slash” (’/’) karakter parancsokban e´ s file nevekben, vagyis minden filenak az aktuális könyvtárban kell lennie.á • Nem lehet a´ tirány´ıtást használni (> e´ s >>). Fontos, hogy a korlátozott shell esetén a felhasználó ne a saját home könyvtárába kerüljön a belépés után. Ez u´ gy e´ rhet˝o el, hogy a .profile file a belépés után azonnal a´ thelyezi a felhasználót egy másik könyvtárba. Ha mégis a home könyvtárba kerülne a felhasználó a belépés után, akkor a felhasználó felül ´ırhatja a .profile file-t, ami lényegében kontrollálja a tevékenységét. A .profile file felül´ırásával másik programot is eltudna ind´ıtani a felhasználó. A másik korlátozás, hogy a PATH legyen minimális, illetve a felhasználó ne tudjon ´ırni a PATH-ban megadott egyik könyvtárba sem. Ezt azért kell elkerülni, mivel egy “okos” felhasználó ´ıgy felül´ırhat egy futtatható file-t a sajátjával e´ s kitörhet a korlátozásból! Ezekre a problémákra a´ ltalában azt a megoldást szokták választani, hogy a felhasználó home könyvtárában egy rbin könyvtárat hoznak létre amibe bemásolják az engedélyezett parancsokat e´ s a PATH csak erre könyvtárra mutat. Minden esetben legyünk nagyon o´ vatosak, hogy milyen parancsokat engedünk futtatni egy korlátozott környezetben. Bizonyos parancsok megengedik azt, hogy bármilyen shell parancsot futassunk le (shell escape). Például a vi programban: :!parancs módszer használható. Ugyan´ıgy az “ártatlannak” t˝un˝o more e´ s man programok is megengedik tetsz˝oleges shell parancs végrehajtását.

4.13 Inicializáló file-ok A felhasználói fiókok létrehozása során a felhasználó home könyvtárába a´ tmásolódnak a file-ok e´ s ´ aban a file-ok között vannak a shell inicializáló file-jai könyvtárak az /etc/skel könyvtárból. Altal´ is. Bourne shell : .profile C shell : .login, .logout, .cshrc Bourne again shell (bash) : .profile, .bash_profile, .bash_login, .bash_logout e´ s .bashrc A file-ok azért kezd˝odnek a pont karakterrel, mivel ezeket a file-okat az ls parancs speciális kezeli e´ s csak bizonyos (-a) kapcsoló megadásával nyomtatja ki. A file-ok shell scriptek. Minden belépés során

30

lefutnak a következ˝o file-ok: .profile, .login, .bash_profile, .bash_login. Minden u´ j shell elind´ıtása során a .cshrc e´ s .bashrc file-ok futnak le, illetve kilépéskor a .logout e´ s .bash_logout scriptek. Egy példa .profile file a következ˝o lehetne: umask 022 mesg y PATH=$PATH:/usr/local/bin:$HOME/bin:. EDITOR=vi MORE=-c PS1="‘hostname‘-\!> " export PATH EDITOR MORE PS1 A különböz˝o grafikus desktop alkalmazások is használnak inicializáló file-okat, melyek szintén a felhasználók home könyvtárába kerülnek. Az X Window rendszer inicializáló szokásos file-ja: .xinitrc, .xsession e´ s .Xauthority. A Common Desktop Environment (CDE) inicializáló file-ja a .dtprofile illetve a további file-okat tartalmazó könyvtár a ˜/.dt .

4.13.1 Rendszerszintu˝ inicializáló file-ok Az sh e´ s bash shell-ek esetén az /etc/profile file mint egy rendszerszint˝u inicializáló fileként szolgál, vagyis a felhasználó saját inicializáló file-ja el˝ott lefut. Ebben a file-ban szinte mindig definiálva van a PATH környezeti változó. Ha ezt a file-t szeretnénk módos´ıtani a legjobb módszer az, hogy egy másik file-t hozunk létre, például: /etc/profile.local, e´ s ezt a file-t futtatjuk le a /etc/profile-ban. Ezt azért e´ rdemes ilyen módon megoldani, mert egy kés˝obbi friss´ıtés az /etc/profile file-t felül´ırhatja, ´ıgy csak a hivatkozást vesz´ıtjük el, ami könnyen helyreáll´ıtható, de maguk a beáll´ıtások megvannak a /etc/profile.local file-ban.

4.14 login.defs file Az /etc/login.defs file tartalmaz olyan beáll´ıtásokat amelyek a´ ltalában a login folyamatra, a felhasználó belépésére vonatkoznak. A file-ban talán a következ˝ok a legfontosabb beáll´ıtások: • FAIL_DELAY 10 : várjon 10 szekundumot a bejelentkezés próbálkozások között. • LOGIN_RETRIES 5 : a bejelentkezési próbálkozások maximális száma • LOGIN_TIMEOUT 30 : hány másodpercig várjon a rendszer a jelszóra • FAILLOG_ENAB yes : rögz´ıtse a bejelentkezési próbálkozásokat a /var/log/faillog file-ba • LASTLOG_ENAB yes : rögz´ıtsen minden bejelentkezést a /var/log/lastlog file-ban • DEFAULT_HOME yes : engedje a bejelentkezést akkor is, ha a felhasználó home könyvtára nem elérhet˝o • UID_MIN 100, UID_MAX 20000 : az UID minimális e´ s maximális e´ rtéke • GID_MIN 100, GID_MAX 2000 : a GID minimális e´ s maximális e´ rtéke

31

4.15 Jelszavak Mivel a jelszavak kulcs fontosságúak az operációs rendszer biztonsága szempontjából, ezért nagyon fontos, hogy minden felhasználónak legyen jelszava. Ugyanakkor ez nem elegend˝o, mert arra is szükség van, hogy a jelszót ne lehessen kitalálni. Ezért ebben a fejezetben a jelszavakkal foglalkozunk egy kicsit részletesebben. A jó jelszóra könny˝u emlékezni, de nehéz kitalálni illetve feltörni. Sajnos az automatikan, véletlenszer˝uen generált jelszavak ellentmondanak a fenti elvnek, hogy könny˝u legyen rájuk emlékezni. A legtöbb felhasználó az ilyen jelszavakat könnyen elfelejti, ´ıgy a´ ltalában le szokták ´ırni, ami kifejezetten ellentmond a jelszó titkosságának. Az egyik módszer ennek a problémának az elkerülésére, hogy engedjük, hogy a felhasználó adja meg a jelszavát. Ugyanakkor a felhasználót fel kell kész´ıteni arra is, hogy milyen is egy “jó” jelszó. Például amit kerülni kellene, mivel könny˝u kitalálni: • A kereszt vagy vezetéknév használata, vagy családtag nevének használata. Az e´ desanya leánykori nevét elég könny˝u megszerezni, ´ıgy az sem jó. • A felhasználó jellegzetes számai sem jók: személyi szám, TB szám vagy adóazonos´ıtó, születési dátum, telefonszám, kocsi rendszámtáblája. • A felhasználónak fontos dolgok: kedvenc e´ tel, kedvenc e´ nekes, TV sz´ınész, sportoló, stb. A jelszónek a szám´ıtógépes feltörési k´ısérleteknek is ellen kell tudni a´ llni, ´ıgy szintén nem javasoltak a következ˝ok: • angol vagy egyéb nyelvben el˝oforduló szavak helyesen ´ırva, mivel ezek a különböz˝o on-line szótárakban megtalálhatók, • rövid´ıtett szavak, • h´ıres emberek, helyek, • az Interneten publikált példa jelszavak. A fenti szavak akkor sem jók, ha ford´ıtva ´ırjuk le o˝ ket, egy bet˝ut vagy számot hozzáf˝uz˝unk, esetleg a bet˝uk valami egyszer˝u permutációját használjuk. Például nem jó: john, john2, nhoj. Ez azért van ´ıgy, mivel a jelszó kitaláló, feltör˝o programok ezeket a kombinációkat nagyon könnyen kitalálják. A második listában felsorolt szavak bár o¨ nmagukban nem jók, de a következ˝o variációkkal biztonságosabb jelszót kaphatunk: • A szó közepébe egy vagy két speciális karakter beillesztése. Különösen jó, ha ez a karakter valamilyen speciális jel: kett˝ospont, felkiáltó jel, stb. • A szó helytelen ´ırásmóddal. • Szokatlan nagy e´ s kis bet˝u kombináció: staRTReK. Az nem jó, minden csupa kis vagy nagy bet˝u, vagy minden magánhangzó azonos, például rossz: sTARtREK, STARTREK, STaRTReK. • Kett˝o vagy több szó o¨ sszef˝uzve. • Egy szó beágyazása egy másik szóba, például: macskutyaa. • Két vagy több szó egymásba f˝uzése Egy másik módszer, hogy egy mondatban el˝oforduló szavak els˝o bet˝uinek o¨ sszef˝uzése is egy jó jelszót adhat, például: eny oltem´ en, meglepetes e k¨ eves lettem ´ et ´ Harminc k´

32

amib˝ol a jelszó: hkele,mek Minden esetre a lényeg, hogy a jelszót nehéz lehessen kitalálni.

4.15.1 Jelszavak e´ s felhasználói fiókok Néhány további tanács a jelszavakkal kapcsolatban: • Minden felhasználói fióknak legyen jelszava. • Amikor egy felhasználó nem használja többet a gépet, el˝oként mindig zárjuk le (lock) a felhasználói fiókot. ´ aban ez • A rendszeren határozzuk meg, hogy minimum hány karakterb˝ol a´ lljon a jelszó. Altal´ minimum 8 szokott lenni. • A jelszót mindig meg kell változtatni, ha: – A felhasználón k´ıv˝ul valaki más is ismeri a jelszót. – A felhasználó elmegy a cégt˝ol, minden a´ ltala ismert jelszót meg kell változtatni. – Amikor a rendszer adminisztrátor elmegy a cégt˝ol, a root jelszavát e´ s minden rendszer jelszót meg kell változtatni. Ha akarjuk a felhasználókat is kényszer´ıthetjük jelszó váltásra, mivel a root ismeri az o¨ sszes kódolt jelszót. – Amikor a rendszer adminisztrátort kirugják, minden jelszót meg kell változtatni, mivel a root ismeri az o¨ sszes kódolt jelszót! – Amikor azt sejtjük, hogy a shadow-t valaki más is el tudta olvasni. • A root jelszavát id˝or˝ol id˝ore e´ rdemes megváltoztatni. Természetesen nem kell minden rendszer adminisztrátornak naponta változtatni a jelszavát, de azért ha gyanakszunk valamire e´ rdemes megváltoztatni. • A felhasználók esetén e´ rdemes valamilyen stratégiát megfogalmazni. Például, h´ıvjuk fel a felhasználó figyelmét, hogy ezen a rendszeren ne ugyanazt a jelszót használja, mint más gépeken. Jelszóváltás kezdeményezése A Linux rendszereken a chage parancs használható a jelszóváltás kezdeményezésére. Ugyanakkor ez a parancs a jelszavak “öregedésével” kapcsolatos, amit pedig a shadow file-ban adhatunk meg. A parancs egyik lehetséges formája: $ chage -d 0 -M 999 user ahol a -d opcióval azt adjuk meg, hogy az utolsó jelszóváltás 1970 január 1-én volt (0 nap telt el) e´ s a -M opció pedig meghatározza, hogy a jelszó maximális e´ lettartama 999 nap. Figyelem ez az utóbbi kapcsoló felül´ırja a jelszó o¨ regedési paramétereket!

4.15.2 Jelszó o¨ regedés, elavulás Miel˝ott bekapcsolnánk a periódikus jelszóváltást, vagy a jelszavak o¨ regedését elavulását, fontoljuk meg, hogy mennyire akarunk szigorúak lenni. A felhasználókat s˝ur˝un arra kényszer´ıteni, hogy váltsanak jelszót eléggé felbosszanthatja o˝ ket. A jelszó elavulás paramétereit a shadow file-ban lehet megadni, mint korábban láttuk:

33

alt ar:nem-haszn´ alt:minlife:maxlife:warn:inactive:lej´ o-v´ o:utols´ username:jelsz´

A 3. mez˝o adja meg a jelszó utolsó megváltoztatása o´ ta eltelt napok számát (1970. január 1jét˝ol kezd˝od˝oen). Ha nullára a´ ll´ıtjuk e´ s a maxlife kisebb mint a 1970. január 1 o´ ta eltelt napok száma, akkor a következ˝o bejelentkezésnél a felhasználónak meg kell változtatnia a jelszavát. Ezután következik (minlife) azon napok száma, amiután legkorábban a felhasználó megváltoztathatja a jelszavát, amit azon napok száma (maxlife) követ, amin belül mindenképpen meg kell változtatni a jelszót. Ezt követik a figyelmeztetésre vonatkozó beáll´ıtások. A 6. mez˝oben (warn) a´ ll´ıthatjuk be, hogy a kötelez˝o jelszóváltás el˝ott hány nappal kapjon figyelmeztet˝o u¨ zenetet a felhasználó. A 7. mez˝o türelmi id˝ot határoz meg, vagyis a kötelez˝o jelzóváltás után még hány napig engedjük a felhasználónak a rendszert használni. Ha a felhasználó ez id˝o alatt sem végzi el a jelszóváltást, akkor let´ıltja a rendszer a hozzáférést. A 8. mez˝o mutatja a felhasználó let´ıltásának idejét (1970. január 1-jét˝ol kezd˝od˝oen). A -1 -es e´ rték egy mez˝oben azt jelenti, hogy “soha”. Az egyes paraméterek beáll´ıtására alkalmas parancsok: Minimum e´ lettartam : chage -m napok user Maximum e´ lettartam : chage -M napok user Figyelmeztetési id˝o : chage -w napok user Inactive periódus : chage -I napok user Expire periódus : chage -E napok user Utolsó jelszóváltás ideje : chage -d napok user Jelszó elavulási paraméterek ki´ırása : chage -l user Nézzük meg mit ´ır ki a rendszer a jelszó elavulásról: $ chage -l root Last password change: Password expires: Password inactive: Account expires: Minimum number of days between password change: Maximum number of days between password change: Number of days of warning before password expires:

Sep 26, 2009 never never never 0 99999 7

4.16 Jelszavak kitalálása John the Ripper e´ s Crack programok használhatók arra, hogy automatikusan próbáljuk megkeresni egy kódolt jelszónak megfelel˝o kódolatlan jelszót. A programok próbálgatást használ. A programok a szavakat szabályok alapján generálják vagy szótárakból veszik.

34

5. Fejezet

PAM rendszer Hagyományosan a Unix rendszereken az autentikáció vagy felhasználó azonos´ıtás csak egyszer történt meg, a bejelentkezés, a login, során. Ugyanakkor több olyan alkalmazás is van, amelyik ismételt felhasználó azonos´ıtást igényel, például a jelszó megváltoztatása. A korábbi Unix verziók ilyenkor az /etc/passwd file-t olvasták. Ez problémát jelentett, amikor valami változás volt a file formátumában, vagy u´ jabb autentikációs eljárást akartak integrálni a rendszerbe. Például shadow file bevezetése, integráció NIS rendszerekkel, MD5 titkos´ıtás, e´ s LDAP autentikáció. Minden ilyen változás esetén speciális módos´ıtást igényelt, e´ s minden kapcsolódó programot u´ jra kellett ford´ıtani. Erre a probléma jelentett megoldást a PAM rendszer bevezetése. A PAM jelentése: Pluggable Authentication Module. A PAM rendszer ma már szinte minden Unix alatt megtalálható: FreeBSD, HP-UX, Solaris e´ s Linux. A PAM rendszer célja egy flexibilis e´ s konfigurálható mechanizmus biztos´ıtása a felhasználók azonos´ıtására, függetlenül a különböz˝o programoktól. Így a programokat bármilyen autentikációtól, eljárástól függetlenül lehet fejleszteni, vagyis a programokban nem kell el˝ore meghatároznunk, hogy milyen felhasználói autentikációt akarunk majd használni. A rendszer u´ gy m˝uködik, hogy a futás során dinamikusan tölt˝odnek be a szükséges modulok. Ha szeretnénk megnézni, hogy egy program használja-e a PAM rendszert, akkor azt kell megvizsgálnunk, hogy a program használja-e a PAM rendszer fejleszt˝oi könyvtárát: $ ldd ‘which passwd‘ | grep pam libpam.so.0 => /lib/libpam.so.0 (0xb7f28000) ahol az ldd parancs kinyomtatja a megosztott (shared) könyvtárakat amiket egy program használ. A felhasználói azonos´ıtáson k´ıv˝ul a PAM rendszer képes más feladatok elvégzésére, például loggolásra vagy a napi u¨ zenet megjelen´ıtésére. Ezeken felül a PAM rendszer a beléptetés során nem csak a jelszót, hanem más feltételeket is képes ellen˝orizni, például az er˝oforrás rendelkezésre a´ ll-e, nincsennek-e túl sokan bejelentkezve.

5.1 Konfiguráció A PAM rendszert szöveges konfigurációs file-okon keresztül lehet beáll´ıtani. A file lényegében azon modulok listáját tartalmazza, amikre szükség van az autentikáció során. Ezt szokták stack-nek nevezni. Amikor egy programnak egy felhasználót azonos´ıtania kell, akkor a konfigurációs file-ban megadott sorrendben megh´ıvja a modulokat. Minden modul visszatér egy e´ rtékkel: engedélyezett (success) vagy tiltott (failure) státuszt jelezve. Ezeket kombinálja o¨ ssze a rendszer egy eredménnyé. Ezt a kom´ aban ha egy modul tiltja a hozzáférést, akkor a PAM binációt befolyásolja a kontroll paraméter. Altal´ rendszer e´ rtes´ıti az alkalmazást, hogy a hozzáférés megtagadva (access denied) az alkalmazás számára. Természetesen ez a m˝uködés felül´ırható, hiszen például ha az els˝oként végrehajtott LDAP azonos´ıtás nem sikerül, akkor még megpróbálhatjuk a helyi file-okból azonos´ıtani a felhasználót.

35

A konfigurációs file-ok a´ ltalában az /etc/pam.d könyvtárban találhatók. Ebben a könyvtárban a különböz˝o alkalmazásokhoz tartozóan különböz˝o file található. Például az su alkalmazás esetén az /etc/pam.d/su file tartalmazza a beáll´ıtásokat. Ha az alkalmazáshoz nincs file ebben a könyvtárban, akkor az other file tartalma vonatkozik rá. Biztonsági szempontból fontos, hogy létezzen ez a file e´ s például az alap stratégia az legyen, hogy megtagadja a hozzáférést. Ezeknek a konfigurációs fileoknak a seg´ıtségével tudjuk az alkalmazások hozzáférési policy-ját megadni, de ugyanakkor nem szabad elfelejteni, hogy egyéb mechanizmusok is befolyásolják a hozzáférést: file jogosultságok, TCP wrapper, ACL-ek, e´ s ´ıgy tovább. A PAM modulok a /lib/security könyvtárban találhatók meg. Minden modul egy dinamikusan betölthet˝o könyvtár, DLL, amelyek a PAM rendszer függvényeit h´ıvják meg. A PAM rendszer függvényei e´ s szolgáltatásai négy t´ıpusba, kontextusba sorolhatók: • account : Ezeket a modulokat akkor használja a rendszer amikor azt kell ellen˝orizni, hogy jogosult-e az adott szolgáltatást elérni a felhasználó. • auth : Ezeket a modulokat akkor használja a rendszer amikor azt kell ellen˝orizni, hogy a felhasználó tényleg az akinek mondja magát. • password : Ezeket a modulokat akkor használja a rendszer amikor az autentikációs mechanizmust friss´ıteni kell, például u´ j jelszót akarunk megadni. • session : Ezeket a modulokat akkor használja a rendszer miel˝ott az adott szolgáltatást elind´ıtaná, vagy leáll´ıtaná. Például loggolás, felhasználói könyvtár becsatolása. Egy konfigurációs file sorokból a´ ll e´ s minden sor négy részb˝ol a´ llhat: t´ ıpus

kontroll_param´ eter

modul

modul_param´ eterek

¨ Ures sorok e´ s megjegyzések megengedettek. A megjegyzés sorok a ’#’ karakterrel kezd˝odnek. Az els˝o bejegyzés a sorokban a t´ıpust adja meg, a második pedig a kontroll paraméter.

5.1.1 Kontroll paraméterek A kontroll paraméter lehetséges e´ rtékei: sufficient : Ha az adott modul engedélyezi a hozzáférést, akkor minden további modul a´ tugorható e´ s o¨ sszeségében is engedélyezzük a hozzáférést. Ezzel szemben, ha a modul nem engedélyezi a hozzáférést, az nem jelenti azt, hogy véglegesen tiltott a hozzáférés mivel ha egy kés˝obbi sufficient vagy required modul engedélyezi akkor o¨ sszeségében is engedélyezve lesz a hozzáférés. requisite : Ha az adott modul tiltja a hozzáférést, akkor minden további modul a´ tugorható e´ s o¨ sszeségében is tiltjuk a hozzáférést. required : Az adott modulnak engedélyeznie kell a hozzáférést, hogy o¨ sszeségében is engedélyezve legyen, de nem elegend˝o ez az egy engedélyezés. Vagy egy kés˝obbi sufficient modulnak engedélyeznie kell a hozzáférést vagy minden kés˝obbi required modulnak. Ha bármlyik required modul tiltással tér vissza attól még a többi required modul is lefut, ´ıgy a rosszindulatú emberek nem fogják tudni, hogy mely azonos´ıtási lépés nem sikerült. optional : Ennek a modulnak a visszatérési e´ rtékét csak akkor használja a rendszer, ha a többi modul alapján nem meghatározható az engedélyezés vagy tiltás. A modulok sorrendje is fontos! Ha egy required modul sikertelen e´ s egy kés˝obbi sufficient modul sikeres, attól még a hozzáférés sikertelen lesz! Például:

36

auth auth auth

required sufficient required

pam_moduleA pam_moduleB pam_moduleC

ez egy olyan stratégiát valós´ıt meg, hogy csak akkor engedélyezett a hozzáférés, ha: • pam_moduleA e´ s pam_moduleB is engedélyezi a hozzáférést vagy • pam_moduleA e´ s pam_moduleC is engedélyezi a hozzáférést. Mi történik ha felcseréljük az els˝o két sort? auth auth auth

sufficient required required

pam_moduleB pam_moduleA pam_moduleC

Ebben az esetben a hozzáférés akkor sikeres ha: • pam_moduleB engedélyezi a hozzáférést vagy • pam_moduleA e´ s pam_moduleC is engedélyezi a hozzáférést.

5.1.2 Modul visszatérési e´ rték Valójában a PAM rendszeren belüli modulok nem csak az engedélyezett e´ s tiltott e´ rtékekkel tudnak visszatérni, mivel paramétereken keresztül megadható más e´ rték is. A régebbi PAM rendszerek csak két e´ rtéket használtak, az u´ jabb rendszer már több mint 30 féle visszatérési e´ rtéket is tud kezelni. Az u´ j szintakszis: t´ ıpus

[´ ert´ ek=akci´ o ´ ert´ ek=akci´ o ...] modul opci´ ok

ahol az ´ ert´ ek a következ˝o lehet: • ABORT : kritikus hiba, azonnal véget e´ r • ACCT_EXPIRED : felhasználói fiók lejárt • AUTHINFO_UNAVAIL : autentikációs információ nem lekérhet˝o az autentikációs szolgáltatástól • AUTHTOK_DISABLE_AGING : autentikációs token elavulási módszer kikapcsolva • AUTHTOK_ERR : autentikációs token módos´ıtási hiba • AUTHTOK_EXPIRED : autentikációs token lejár • AUTHTOK_LOCK_BUSY : autentikációs token zárolás nem lehetséges • AUTHTOK_RECOVERY_ERR : autentikációs információt nem lehetett megszerezni • AUTH_ERR : autentikációs hiba • BUF_ERR : memória buffer hiba • CONV_ERR : kommunikációs hiba • CRED_ERR : • CRED_EXPIRED : • CRED_INSUFFICIENT :

37

• CRED_UNAVAIL : • IGNORE : ennek a modulnak a visszatérési e´ rtékét ne vegye figyelembe a PAM rendszer • INCOMPLETE : • MAXTRIES : az adott szolgáltatás felé történ˝o próbálkozások maximális számát meghaladtuk • MODULE_UNKNOWN : ismeretlen modul • NEW_AUTHTOK_REQD : autentikációs token többé már nem e´ rvényes, egy u´ jra van szükség • NO_MODULE_DATA : semmilyen modul specifikus adat nem a´ ll rendelkezésre • OPEN_ERR : nem sikerült betölteni a modult • PERM_DENIED : jogosultság megtagadva • SERVICE_ERR : hiba a szolgáltatás modulban • SESSION_ERR : nem lehet kész´ıteni vagy eltávol´ıtani a session-re vonatkozó bejegyzést • SUCCESS : sikeres visszatérés • SYMBOL_ERR : szimbólum nem található • SYSTEM_ERR : rendszer hiba • USER_UNKNOWN : a felhasználó nem ismert az autentikációs modul számára • default : minden visszatérési e´ rték ami nincs explicit módon felsorolva o néhány lehetséges e´ rtéke: Az akci´ • ok : Ha az eddig végrehajtott modulok visszatérési e´ rtékeinek kombinált e´ rtéke engedélyezést jelent akkor az aktuális modul visszatérési e´ rtéke felül´ırja ezt az e´ rtéket. (Ez lényegében a “required” kontroll paraméternek felel meg, amikor a modul engedélyezéssel tér vissza.) Ha az eddigi kombinált e´ rték tiltás, akkor ezt az e´ rtéket nem használja a rendszer. • done : Az ok akciónak felel meg, de azonnal befejezi a stack végrehajtását e´ s visszatér a h´ıvó alkalmazáshoz. (Ez lényegében a “sufficient” kontroll paraméternek felel meg.) • bad : Azt jelzi, hogy a stack visszatérési e´ rtéke a tiltás legyen. (Ez lényegében a “required” kontroll paraméternek felel meg, amikor a modul tiltással tér vissza.) • die : Tiltást jelent e´ s azonnal befejezi a stack végrehajtását. (Ez lényegében a “requisite” kontroll paraméternek felel meg.) • ignore : A modul visszatérési e´ rtéke nem szám´ıt bele az alkalmazásnak adott visszatérési e´ rtékbe. • reset : Törölje a stack eddigi végrehajtásából származó e´ rtékeket. • n : Ugorja a´ t a következ˝o n modult. A hagyományos kontroll paraméter e´ rtékeket, az u´ j formában, a következ˝oképpen lehet megadni: • required : [success=ok new_authtok_reqd=ok ignore=ignore default=bad]

38

• requisite : [success=ok new_authtok_reqd=ok ignore=ignore default=die]

• sufficient : [success=done new_authtok_reqd=done default=ignore]

• optional : [success=ok new_authtok_reqd=ok default=ignore]

5.1.3 Példák 1. Nézzünk meg egy képzeletbeli példa file-t: auth auth auth

sufficient sufficient required

pam_rootok.so pam_timestamp.so pam_unix.so shadow nullok

account

required

pam_permit.so

session

required

pam_permit.so

amit a következ˝oképpen lehet e´ rtelmezni: auth

sufficient

pam_rootok.so

ez azt jelenti, hogy ha a felhasználó root, az már o¨ nmagában is elegend˝o (sufficient) az autentikációhoz. Ha a felhasználó nem root, akkor a következ˝o sort is meg kell vizsgálni: auth

sufficient

pam_timestamp.so

Ez a modul azt biztos´ıtja, hogy az autentikálásokat egy cache-ben tárolja a rendszer e´ s ezeket u´ jra tudja hasznos´ıtani. Alap esetben az 5 percen belüli azonos´ıtást a rendszer elegend˝oen (sufficient) elfogadja. A harmadik sor auth

required

pam_unix.so shadow nullok

azt jelenti, hogy jelszót kérünk a felhasználótól. Ha jó jelszót adott meg a felhasználó, akkor engedélyezi a hozzáférést, egyébként tiltja. A shadow paraméter azt jelenti, hogy a rendszer használja a shadow file-t, m´ıg a nullok paraméter azt engedélyzi, hogy az u¨ res jelszó is elfogadott. Ha ezt a paramétert töröljük, akkor lényegében letiltjuk azokat a felhasználói fiókokat, amelyekhez nincs jelszó rendelve. A pam_permit.so modul nagyon egyszer˝u, mivel mindig engedélyezi a hozzáférést. Viszont az is látható, hogy a pam_permit.so modult az account e´ s session t´ıpusú soroknál is használtuk. Ez több modulra is jellemz˝o, hogy attól függ˝oen milyen t´ıpusú sorban használjuk, másképpen viselkedik. 2. Nézzünk egy valóságos példát:

39

auth auth auth auth account account password

requisite requisite sufficient required required required required

password required session required session optional

pam_securetty.so pam_nologin.so pam_rhosts_auth.so pam_unix.so pam_unix.so pam_time.so pam_cracklib.so retry=3 \ type=UNIX minlen=10 ocredit=2 \ dcredit=2 pam_unix.so use_authok shadow md5 pam_unix.so pam_motd.so motd=/etc/pmotd

Az els˝o sor megtagadja a hozzáférést, ha a felhasználó root e´ s olyan terminálon próbál bejelentkezni, amelyik nem biztonságos, vagyis nem szerepel a /etc/securetty file-ban. A második sorban megadott modul akkor nem enged hozzáférést ha létezik a /etc/nologin file. Ha létezik a file, akkor a tartalma megjelenik a képerny˝on e´ s a rendszer megtagadja a hozzáférést. A 3. sorban az pam_rhosts_auth.so modul azt vizsgálja meg, hogy a /etc/rhosts.equiv mechanizmus engedi-e a belépést. Végül a 4. sor bekéri a felhasználó jelszavát. Ha az autentikáció (auth) sikerült, akkor jön az account rész. El˝oször itt is a jelszó kerül ellen˝orzésre, például ellen˝orzi, hogy a felhasználói fiók nem járt le, a jelszót nem kell-e megváltoztatni. A pam_time.so modul ellen˝orzi a konfigurációs file-jában, hogy az adott felhasználónak szabade belépnie az adott id˝oben. Ebb˝ol a két modulból egyik sem tilthatja a hozzáférést, ha tényleg be akarunk lépni. A password rész ellen˝orzi az u´ j jelszót a crack program seg´ıtségével, majd MD5-ös kódolást használva a shadow file-ban tárolja el a jelszót. Végül az utolsó el˝otti sor egy bejegyzést tesz a log file-ba e´ s az utolsó sor ki´ırja a nap u¨ zenetét. ´ aban a PAM rendszer konfigurációs file-jai a´ ltalában lineárisak, például: “Azonos´ıtsuk a fel3. Altal´ használót LDAP-ból. Ha nem megy akkor a lokális file-okból.” De mi van akkor ha komplexebb dolgot szeretnénk megadni, például valamilyen feltételt szeretnénk beép´ıteni: “Ha a felhasználó guest, akkor használjuk a pam_dbus modult egyébként a pam_unix modult. A megoldás valami hasonló lenne: auth auth auth auth

[default=2 success=ignore] pam_succeed_if.so quiet user = guest [success=ok new_authtok_reqd=done ignore=ignore default=die] pam_dbus.so [default=1] pam_permit.so required pam_unix.so

ahol az els˝o sorban a pam_succeed_if.so ellen˝orzi, hogy a felhasználó guest-e e´ s ha igen, akkor ennek a modulnak az eredménye nem kell e´ s folytassuk a következ˝o sorban. Ha más a felhasználó, más e´ rtékkel tér vissza a modul, akkor ugorjunk a´ t 2 sort e´ s a 4. sorban folytassuk. A 2. sorban végezzük a hozzáférés ellen˝orzést a guest felhasználó esetén, majd a 3. sorban a´ tugorjuk a 4. sort! Lényegében egy if ... then ... else ... szerkezetet valós´ıtottunk meg a fenti példában. 4. Ez példa az el˝oz˝ohöz nagyon hasonló, de ebben a példában a guest felhasználó mindig be tud jelentkezni! auth auth auth auth

[default=2 success=ignore] pam_succeed_if.so quiet user = guest required pam_permit.so [default=1] pam_permit.so required pam_unix.so

Az 1. sor ellen˝orzi, hogy mi a felhasználó neve. A 2. sor engedélyezi a hozzáférést, m´ıg 3. sor egy ugró utas´ıtásnak felel meg. A 4. sor csak akkor fut le, ha az els˝o sor hamis volt.

40

5.2 Az “other” konfigurációs file A PAM rendszer azt is bitos´ıtja, hogy ha egy alkalmazáshoz nem tartozik konfigurációs file, akkor az ´ fogja figyelembe venni. A tipikus tartalma a következ˝o szokott /etc/pam.d/other file tartalmAt lenni: auth auth

required required

pam_warn.so pam_deny.so

Ennek hatására megjelenik egy figyelmeztet˝o u¨ zenet, hogy az alkalmazás nincs konfigurálva a PAM rendszerben e´ s megtagadja az autentikációt.

5.3 PAM modulok Sajnos a modulokkal azért o´ vatosnak kell lenni, mivel a különböz˝o Unix rendszereken a modulok egy “picit” másképpen m˝uködhetnek. Ezért mindig ellen˝orizzük a PAM rendszer dokumentációját az adott rendszeren. Azt is fontos tudni, hogy a modulok alap beáll´ıtásai nem mindig a legbiztonságosabbak. Az alábbi bekezdések csak a legfontosabb, illetve a leggyakrabban használt modulokat sorolja fel.

5.3.1 pam unix.so

5.4 Azonos´ıtás USB eszközzel Arra is lehet˝oség van, hogy egy USB eszközt használjunk felhasználó azonos´ıtásra. Ez azért lehet hasznos, mert ebben az esetben egy hardware eszköz azonos´ıtja a felhasználót, tehát akinék az eszköz van az a rendszer az adott felhasználót testes´ıti meg. Ebben az esetben az USB eszköz egyedi azonos´ıtója szolgál majd autentikációképpen. El˝oször is installáljunk fel két csomagot: $ apt-install install libpam-usb pamusb-tools Figyelem ezek a csomag X Window rendszert is installálnak, amiket ha nem akarjuk nem kell feltenni, mivel csak “ajánlott” csomagok. A rendszer konfigurálása igen egyszer˝u, csak a pamusb-conf parancsot kell használni: # pamusb-conf --add-device MyDevice Please select the device you wish to add. * Using "SanDisk Corp. Cruzer Titanium (SNDKXXXXXXXXXXXXXXXX)" (only option) Which volume would you like to use for storing data ? * Using "/dev/sda1 (UUID: <6F6B-42FC>)" (only option) Name : MyDevice Vendor : SanDisk Corp. Model : Cruzer Titanium Serial : SNDKXXXXXXXXXXXXXXXX Volume UUID : 6F6B-42FC (/dev/sda1) Save to /etc/pamusb.conf ? [Y/n] y Done. ahol a MyDevice név bármi lehet. Több eszköz is hozzáadható a rendszerhez. Az eszközhöz tartozó felhasználók ugyanilyen könnyen hozzáadhatók a rendszerhez:

41

# pamusb-conf --add-user root Which device would you like to use for authentication ? * Using "MyDevice" (only option) User : root Device : MyDevice Save to /etc/pamusb.conf ? [Y/n] y Done. Ha ellen˝orizni akarjuk, hogy minden rendben akkor a pamusb-check parancsot kell használni: # * * * * *

pamusb-check root Authentication request for user "root" (pamusb-check) Device "MyDevice" is connected (good). Performing one time pad verification... Verification match, updating one time pads... Access granted.

Végül magát a PAM rendszert kell beáll´ıtani, hogy használja az USB eszközöket is autentikációra. Az /etc/pam.d/common-auth file-ban keressük meg azt a sort amiben a pam_unix.so modul szerepel e´ s a felette lev˝o sorba helyezzük be a következ˝ot: auth auth

sufficient required

pam_usb.so pam_unix.so nullok_secure

Mindezek után, ha az eszköz csatlakoztatva van a szám´ıtógéphez, e´ s beléptünk egy felhasználóként, akkor próbáljunk meg root felhasználóra váltani: $ * * * * * *

su pam_usb v.SVN Authentication request for user "root" (su) Device "MyDevice" is connected (good). Performing one time pad verification... Verification match, updating one time pads... Access granted.

¨ 5.5 Osszegz´ es A PAM rendszer egy elég o¨ sszetett e´ s bonyolult rendszer, ezért fontos, hogy megértsük, hogyan lehet helyesen használni a biztonsági policy-k megadására. További információ a http://pamusb.org/ web oldalon található.

42

6. Fejezet

Name Service Switch Wikipédia alapján. Egyes C függvényeknek vagy Unix segédprogramoknak, szüksége lehet bizonyos adatokra a környezetb˝ol, hogy korrekten m˝uködhessenek (pl. jelszó, gépnév, ...). Korábban ezen adatok meghatározott fájlokban voltak eltárolva (pl. /etc/passwd) többnyire fixen meghatározott keresési helyen e´ s sorrendben. A GNU C programkönyvtár megoldása erre (a Solaris 2, C könyvtár mintájára), hogy a rendszer adatbázisokat különböz˝o modulokon keresztül lehet elérni. A lehetséges modulok megtalálhatók a /lib könyvtárban libnss_MODULN´ EV.so.X néven (compat, dns, files, ldap, nis, nisplus, wins, winbind). Az NSS a´ ltal, u´ j szolgáltatásokat lehet felvenni a C programkönyvtár módos´ıtása nélkül, minden szolgáltatás esetén külön be lehet a´ ll´ıtani (/etc/nsswitch.conf), hogy mely adatbázisokban keressen e´ s milyen sorrendben. NSS-b˝ol elérhet˝o adatbázisok: aliases, ethers, group, hosts, netgroup, networks, protocols, passwd, rpc, services, shadow, automount, bootparms, netmask, publickey.

43

44

7. Fejezet

FTP

45

46

8. Fejezet

MySQL adatbázis 8.1 Bevezetés A MySQL adatbázis kezel˝o rendszer az mSQL (mini SQL) rendszerb˝ol fejl˝odött ki e´ s az volt a f˝o cél, hogy legalább ugyanolyan gyors legyen. További célok voltak a robusztusság e´ s könny˝u használhatóság, ´ıgy egy több-szálas (multi-threaded) programot kész´ıtettek. A több szál lehet˝ové teszi, hogy egy szál egy kapcsolatot, lekérdezést szolgáljon ki vagy egyszerre többen olvassanak az adatbázisból. Ezzel módszerrel gyors´ıtani lehet az adatbázis olvasásokat, f˝oleg akkor ha több processzoros gépen futtatjuk az adatbáziskezel˝ot. Ugyanakkor, a tábla t´ıpusától függ˝oen az ´ırási m˝uveletek több kevesebb ideig feltartják a szálakat. Am´ıg egy szál ´ır egy táblába addig minden más szálnak várnia kell ha ugyanahhoz a táblához akar hozzáférni. Ez a zárolás. Milyen további el˝onyei vannak a MySQL adatbáziskezel˝onek: • nyilt forráskódú e´ s nyilt szabványokat támogat; • sok programozási nyelvben lehet fejleszteni hozzá alkalmazást: C, C++, Java, Perl, Python, PHP, stb. e´ s • különböz˝o karakterkészleteket támogat, ´ıgy mindenféle nyelv˝u szöveget képes eltárolni.

´ aja 8.2 MySQL architektur´ A MySQL architektúrája eltér más adatbáziskezel˝okt˝ol. A program architektúrája az 8.1. a´ brán látható. A legfels˝o szint nem egyedi, olyan mint más adatbázisrendszerben e´ s ez a szint kezeli a kapcsolatokat, autentikációt e´ s ´ıgy tovább. Talán abban egyedi ez a rész, hogy minden kérést egy külön szál szolgál ki. Ráadásul a szálak cache-elve vannak, ´ıgy nem kell o˝ ket létrehozni e´ s megszüntetni minden kapcsolat esetén. A középs˝o szint egyedi a MySQL-ben. A MySQL egy fa szerkezetet alak´ıt ki a beolvasott e´ s e´ rtelmezett (parse) kérésb˝ol, majd ezt többféle módon optimalizálja. Az optimalizálás jelentheti a kérés u´ jra´ırását, a táblák olvasási sorrendjének megváltoztatását vagy a megfelel˝o index kiválasztását. Ezt az optimalizációt különböz˝o “javaslatokkal” (hint) lehet befolyásolni. A tároló motorok (storage engine) befolyásolják az optimalizációt. Például az optimalizáló lekérdezi a tároló motor képességeit e´ s hogy melyik m˝uvelet mennyi ideig tart amiket fel tud használni az optimalizálás során. A MySQL miel˝ott bármit is csinálna egy kéréssel, megnézi, hogy nem szerepel-e a lekérdezés gyorstárban (query cache). A lekérdezés gyorstárban csak SELECT kérések e´ s eredményeik tárolódnak. Ha valaki egy olyan SELECT kérést ad ki, ami már szerepel a gyorstárban, tehát valaki már kiadta, akkor a szervernek nem kell semmit sem csinálnia, csak a gyorstárban tárolt eredményt kell visszaadni.

47

Kliensek

Kapcsolat és szál kezelés

Lekérdezés cache

Parser

Optimalizáló

Tároló motorok

8.1. a´ bra: MySQL architektúrája

8.3 Alapfogalmak 8.3.1 Zárolás, locking El˝ofordulhat, hogy egyszerre két kérés is befut az adatbázis szerverhez melyek egyid˝oben akarják ugyanazt az adatot vagy táblát módos´ıtani. Ezt a konkurrens hozzáférést ellen˝orizni kell, a´ ltalában valamilyen zárolást (lock) használnak. Két t´ıpusú zárolás van: shared lock e´ s exclusive lock. Az olvasás zárolás megosztott (shared) t´ıpusú vagyis több kliens is olvashat egyszerre az adatbázisból anélkül, hogy zavarnák egymást. Ugyanakkor a ´ırási zárolás exkluz´ıv vagy kizáró jelleg˝u, vagyis nem enged semmilyen más ´ırási vagy olvasási m˝uveletet végrehajtódni am´ıg az ´ırás be nem fejez˝odik. Az adatbázisok kezelése során nagyon sokszor használja a rendszer a zárolást. Minden alkalommal ellen˝orizni kell a zárolásokat, ha kell zárolja az adatokat, majd felszabad´ıtja. Ebb˝ol is látszik, hogy jelent˝os extra munkát jelent az adatbázis kezel˝o számára. Ezen felül az is seg´ıtene az adatbázis kezel˝o sebességén, hogy ha minnél kevesebb adatot zárolunk, illetve csak azt amelyiket ´ırjuk, ´ıgy lokalizálva, lesz˝uk´ıtve a zárolást. A legtöbb adatbázis kezel˝o csak sor szint˝u zárolást biztos´ıt, de a MySQL a tároló motorok seg´ıtségével többféle zárolási stratégiát képes megvalós´ıtani.

8.3.2 Tranzakciók Fontos kérdés szokott lenni a tranzakció kezelés kérdése. A tranzakciók fontosak az alkalmazások számára, ha az adatokat komplex szabályok alapján egyszerre kell friss´ıteni, ´ırni. Nem olyan túl rég o´ ta léteznek tranzakciók a MySQL-ben, de csak akkor használhatók ha külön megadjuk a táblák létrehozásánál. Miért csak mostanában adták hozzá a rendszerhez a tranzakciókat? A sebesség miatt. Amint tranzakciókat használunk az adatbázis kezelése lassabb lesz. A tranzakció tulajdonképpen nem más mint olyan SQL utas´ıtások csoportja, amiket egyben kell e´ s lehet végrehajtani. Ha sikerül az SQL utas´ıtás csoportot egyben végrehajtani, akkor az adatbázis ezt elfogadja, de ha bármelyik utas´ıtás nem tud lefutni, vagy hibát generál, akkor egyiket sem alkalmazza az adatbáziskezel˝o rendszer. Ez egy mindent vagy semmit rendszer. Vegyünk egy példát. Egy bank adatbázisában két f˝o tábla van a “checking” e´ s a “savings” számlák. Ha egy ember a “checking” számlájáról 200 Ft-ot szeretne a´ ttenni a “savings” számlára, akkor:

48

• el˝oször ellen˝orizni kell, hogy van-e több mint 200 Ft a számlán, • levonunk 200 Ft-ot a “checking” számláról e´ s • beteszünk 200 Ft-ot a “savings” számlára. SQL kifejezések formájában ez a következ˝oképpen néz ki: 1 2 3 4 5

START TRANSACTION; SELECT balance FROM checking WHERE customer_id = 103276; UPDATE checking SET balance = balance - 200.00 WHERE customer_id = 103276; UPDATE savings SET balance = balance + 200.00 WHERE customer_id = 103276; COMMIT;

A tranzakciók csak akkor m˝uködnek jól, ha teljes´ıtik az ACID tesztet. Az ACID négy szó els˝o bet˝ujéb˝ol a´ ll: Atomicity : A tranzakciónak atominak kell lennie, vagyis egy e´ s oszthatatlan egységnek. Ebben az esetben nincs részben végrehajtott tranzakció. Consistency : Az adatbázis egyik konzisztens a´ llapotból egy másik konzisztens a´ llapotba kerül. Ez például azt jelenti, hogy a fenti példában a 200 Ft nem tünhet el e´ s nem is keletkezhet ismeretlen forrásból. Isolation : Izoláció, vagyis egy tranzakció láthatatlan más tranzakciók számára addig am´ıg a tranzakció be nem fejez˝odik. Durability : Tartósság, vagyis ha egyszer egy tranzakció végrehajtódott akkor a változás végleges. Alkalmazásban elég nehéz ezeket a feltételeket biztos´ıtani e´ s a MySQL-nek is több komplikált m˝uveletet kell végrehajtania, hogy biztos´ıtsa az ACID feltételeket e´ s ez okozza a sebesség csökkenést. Holtpont Az adatbázisok esetén holtpont (deadlock) akkor alakul ki amikor kett˝o vagy több tranzakció már zárolt valamilyen adatot e´ s u´ jabb adatot akar zárolni, amit viszont egy másik tranzakció már zárolt. Például, tranzakció 1: START TRANSACTION; UPDATE StockPrice SET close = 45.50 WHERE stock_id = 4 and date = ’2002-05-01’; UPDATE StockPrice SET close = 19.80 WHERE stock_id = 3 and date = ’2002-05-02’; COMMIT; illetve tranzakció 2: START TRANSACTION; UPDATE StockPrice SET high = 20.12 WHERE stock_id = 3 and date = ’2002-05-02’; UPDATE StockPrice SET high = 47.20 WHERE stock_id = 4 and date = ’2002-05-01’; COMMIT; Tegyük fel, hogy mindkét tranzakció végrehajtja a 2. sort e´ s ezzel zárolnak egy-egy sort a táblában, de ezután olyan sort próbálnak módos´ıtani, amelyiket már a másik tranzakció zárolt. Mivel a sorok zárolva vannak, ezért várniuk kell, a végtelenségig e´ s ´ıgy alakult ki a holtpont, mivel a rendszer nem tud el˝ore lépni. A különböz˝o tároló motorok különböz˝oképpen oldják meg a holtpont kezelést. Egyes tároló motorok feladják a tranzakció végrehajtását, ha egy bizonyos id˝o eltelt a végrehajtása során. Ugyanakkor az InnoDB tároló motor e´ szreveszi a körkörös függ˝oségeket e´ s az egyik tranzakció hatását visszaáll´ıtja (roll back).

49

8.4 Adatbázis t´ıpusok A MySQL rendszer többféle tábla t´ıpust vagy tároló motort (storage engine) támogat. Minden létrehozott tábla defin´ıcióját a MySQL egy .frm kiterjesztés˝u file-ban tárol. Ha szeretnénk megállap´ıtani, hogy egy tábla mely tároló motorral lett létrehozva a következ˝o parancsot lehet kiadni: mysql> SHOW TABLE STATUS LIKE ’user’ \G *************************** 1. row *************************** Name: user Engine: MyISAM Row_format: Dynamic Rows: 6 Avg_row_length: 59 Data_length: 356 Max_data_length: 4294967295 Index_length: 2048 Data_free: 0 Auto_increment: NULL Create_time: 2002-01-24 18:07:17 Update_time: 2002-01-24 21:56:29 Check_time: NULL Collation: utf8_bin Checksum: NULL Create_options: Comment: Users and global privileges 1 row in set (0.00 sec) A fenti listában a user tábla tároló motorja a MyISAM. További tároló motorok listája: ISAM : Ez a tábla t´ıpus az 5.x MySQL változatban többé nem támogatott. Minden funkcionalitását a MyISAM tábla t´ıpus vette a´ t. Az ISAM esetén a maximális tároló kapacitás 4 GB volt e´ s nem volt hordozható. MyISAM : Ez az alapértelmezett tábla t´ıpus e´ s csak táblánkénti zárolást támogat. Nagyon gyors tároló motor, de nem támogatja a tranzakciókat. A táblák mérete függ az operációs rendszert˝ol de hordozhatóak rendszerr˝ol rendszerre. Maximum 64 kulcs lehet táblánként e´ s a maximális kulcs hossz 1024 byte lehet. Két file-t hoz létre, egy .MYD file-t ami az adatokat e´ s egy .MYI file-t ami pedig az indexet tartalmazza. Compressed MyISAM : Bizonyos esetekben elegend˝o olyan adatbázis amit csak olvasni kell e´ s nem kell módos´ıtani. Például az adatbázis egy CDROM-on vagy DVD-n található. Ebben az esetben jól használható ez a t´ıpus, mivel kisebb helyet foglal a tömör´ıtés miatt. Ha mégis módos´ıtani kell az adatokat, akkor el˝oször ki kell tömör´ıteni, majd módos´ıtani kell az adatot e´ s vissza tömör´ıteni. MyISAM Merge : Azért létezik ez a tábla t´ıpus, hogy több MyISAM táblát egyben lehessen kezelni, ezzel eltörölve a MyISAM táblák méretkorlátát. InnoDB : Biztonságosan valós´ıtja meg a tranzakciókat e´ s a soronkénti zárolást (lock) is támogatja. Idegen kulcsok is támogatottak. Egy InnoDB tábla több file-ban is tárolható ´ıgy a tábla méretét csak a merev kapacitása korlátozza. Ezek az adattáblák is hordozhatók rendszerr˝ol rendszerre. Egy hátránya ennek az adatbázisnak, hogy több helyet foglal mint az MyISAM tábla formátum. Memory : Régebben Heap t´ıpusnak nevezték. Ezek a táblák a memóriában tárolódnak, ´ıgy ez a leggyorsabb tábla t´ıpus, de a´ ramszünet esetén az adatok elvesznek. A táblák nem támogatják az AUTO INCREMENT tulajdonságot e´ s BLOB, TEXT adatt´ıpusokat.

50

Archive : Ez a tároló motor csak az INSERT e´ s SELECT utas´ıtásokat támogatja. Nincsennek indexek. Kevesebb lemez I/O m˝uveletet igányel mint a MyISAM motor. Minden SELECT m˝uveletnek a teljes táblát a´ t kell olvasnia, ´ıgy f˝oleg loggolásra, vagy mérési adatok tárolására alkalmas, mivel az anal´ızis során is a teljes táblát végig kell olvasni. Soronkénti zárolást használ e´ s speciális bufferelést használ, hogy az adatokot gyorsan lehessen beilleszteni. CSV : Ez motor CSV (Comma Separated Values) file-okat tud táblaként kezelni. Jól használható a táblázatkezel˝o programokkal együtt, hiszen azok file formátumát azonnal fel tudja dolgozni, be tudja tölteni. Federated : Ez a tároló motor minden adatot egy távoli szerveren tárol. Semmilyen adatot nem tárol lokálisan, mivel minden Federated tábla egy távoli MySQL táblára hivatkozik e´ s minden m˝uvelet során a távoli szerverhez kapcsolódik. Több furcsaság e´ s korlátozás jár ezzel a tároló motorral. Blackhole : Más néven fekete lyuk tároló motor. Ez a motor nem veszi figyelembe az INSERT utas´ıtásokat. Ugyanakkor minden m˝uveletet tárol a logokban e´ s ´ıgy az adatbázisok speciális replikációjában lehet hasznos. (Lásd 8.12. fejezet) NDB Cluster : Ezt a tároló motor a 2003-ban, a Sony-tól megvett technológiára e´ pül e´ s a kluszteres megoldásoknál játszhat szerepet. BerkeleyDB (BDB) : Hasonló az InnoDB t´ıpushoz e´ s támogatja a tranzakciókat. Támogatja a lap szint˝u zárolást de az adat file nem hordozható. A fent felsorolt tároló motorokon k´ıvül még vannak továbbiak, amiket itt most nem tárgyalunk. Ha valami speciális igény van akkor e´ rdemes azok használatát is megfontolni.

8.4.1 Tároló motor választás Amikor megtervezzük az alkalmazásunket, amelyik MySQL adatbázist fog használni, e´ rdemes megfontolni, hogy melyik tároló motort használja majd az alkalmazás. Ráadásul táblánként különböz˝ot lehet használni, ´ıgy erre is figyelni kell. Néhány szempont a választáshoz: Tranzakció : Ha az alkalmazásnak szüksége van tranzakciókra, akkor a legstabilabb e´ s legjobb tároló motor az InnoDB. Ha nem kellenek tranzakciók e´ s a´ ltalában SELECT e´ s INSERT utas´ıtásokat használunk, akkor a MyISAM egy jó választás. Konkurrencia : Ha csak egyszer˝u beillesztést e´ s kiválasztást akarunk használni, akkor a MyISAM t´ıpus elegend˝o. Komplexebb m˝uveletek keveréke esetén a sor zárolást használó táblák egyike jobb lehet. Hiba utáni helyreáll´ıtás : Ha sok adatunk van, akkor e´ rdemes azt is megfontolni, hogy mennyi ideig tartana az adatok helyreáll´ıtása. A MyISAM t´ıpus a´ ltalában könnyebben lesznek hibásak e´ s tovább tart a helyreáll´ıtás. Az InnoDB motor sokkal gyorsabban tudja az adatokat helyreáll´ıtani. ´ aban ez a f˝o ok, hogy az emberek miért az InnoDB motort választják még akkor is ha nincs Altal´ szükségük tranzakcióra. Speciális szolgáltatások : Ha kluszteres indexre van szükségünk akkor csak az InnoDB motort választhatjuk. Vagy csak a MyISAM motorral lehetséges a teljes adatbázisban a szöveges keresés.

8.5 Manuális installálás Ebben a fejezetben az kerül bemutatásra, hogyan lehet manuális módon telep´ıteni a MySQL adatbázis kezel˝ot egy szám´ıtógépre. Természetesen csomagból is telep´ıthet˝o a rendszer de ´ıgy talán jobb rálátásunk lesz a rendszerre. A programok leford´ıtásához a következ˝o csomagokra lesz szükség:

51

gcc g++ libncurses5 makefile Innent˝ol kezdve feltételezzük, hogy ezek a programok fel vannak telep´ıtve a Linux-ra e´ s m˝uköd˝oképesek. Ezután töltsük le például a mysql-5.1.39.tar.gz a´ llományt valamelyik tükör oldalról. A file egy tömör´ıtett tar arch´ıvum, ´ıgy csomagoljuk ki: $ tar zxvf mysql-5.1.39.tar.gz Ezután következik a program ford´ıtása a “szokásos” módon: $ cd mysql-5.1.39 $ ./configure --prefix=/opt/mysql --sysconfdir=/opt/etc --localstatedir=/opt/var/mysql --with-unix-socket-path=/opt/tmp/mysql.sock $ make $ make install Az els˝o sorban belépünk a forrást tartalmazó könyvtárba, majd a második sorban konfiguráljuk. A configure shell script a szabad forrású programoknál szokásos használni e´ s lényegében ez a script ellen˝orzi, hogy a rendszeren a szükséges könyvtárak, fejléc file-ok, programok jelen vannak-e. A --prefix opcióval azt adjuk meg, hogy az installálás során melyik könyvtárba másoljuk a file-okat. ´ aban Itt most kifejezetten egy olyan u´ tvonalat adtunk meg (/opt/mysql) ami nem szokványos. Altal´ a /usr könyvtár alá installálódik a MySQL rendszer. A MySQL rendszer konfigurációs file-ja az /etc/mysql könyvtárba kerül alap esetben, de a --sysconfdir kapcsolóval egy másik könyvtárat adhatunk meg. A --localstatedir kapcsoló az adatbázis helyét adja meg (ha nem az alap könyvtárat akarjuk használni) e´ s a --with-unix-socket-path kapcsoló pedig, hogy melyik filet használja majd a MySQL mint socket file. Alap esetben a socket file a /var/run/mysqld/mysqld.sock. Ezután hozzunk létre egy csoportot e´ s egy felhasználót, akihez a MySQL rendszer tartozni fog: $ groupadd mysql $ useradd -g mysql mysql Biztos´ıtani kell, hogy bizonyos file-ok is a felhasználó tulajdonába kerüljenek: $ chown -R mysql:mysql /opt/var/mysql A bináris, futtatható programok könyvtárát e´ rdemes hozzáadni az elérési u´ thoz: $ export PATH=$PATH:/opt/mysql/bin Egy alap adatbázist is létre kell hozni: $ mysql_install_db --user=mysql A fenti parancs azt adja meg, hogy a mysql felhasználó végezze a m˝uveleteket. A parancs létrehozza a szükséges alap adatbázist. Ezt majd egy kicsit kés˝obb nézzük meg. Konfigurációs file-t is létre kell hozni, hogy a daemon majd tudja, mit hol talál. A konfigurációs helye az /opt/etc/my.cnf. Egy ilyen file-t létre is hozhatunk vagy egy mintát is bemásolhatunk a tar file-ból:

52

$ mkdir -p /opt/etc $ cd upport-files $ cp mysql-5.1.39/support-files/my-medium.cnf /opt/etc/my.cnf A fenti példához kapcsolódó konfigurációs file néhány fontosabb sora a következ˝o lehet: [client] port = 3306 socket = /opt/tmp/mysql.sock [mysqld] port = 3306 socket = /opt/tmp/mysql.sock basedir = /usr/mysql datadir = /usr/mysql/data ledir = /usr/mysql/bin A konfigurációs file szekciókból a´ ll. Egy szekciót a szögletes zárójelbe zárt szöveg vezet be, ami megmondja milyen programra vonatkoznak a beáll´ıtások. A client rész az adatbázishoz kapcsolódó kliens programokra vonatkozik, például a mysql programra. A socket paraméter adja, meg hogy a kliens hol találja meg a socket-et amin keresztül kapcsolódni tud az adatbázis szerverhez. A port opció adja meg, hogy a MySQL daemon milyen port-hoz kapcsolódjon e´ s azon keresztül fogadja a kéréseket. A MySQL daemon ind´ıtása: /opt/mysql/bin/mysqld_safe --user=mysql &

8.6 Installálás csomagból $ apt-get install mysql-client $ apt-get install mysql-server

8.7 Beáll´ıtások Azért, hogy növeljük a biztonságot jelszót kell megadni a root felhasználónak. Ezt a jelszót nem a bejelentkezés (login) során, hanem az adatbázishoz való hozzáférés során kell megadni! /opt/mysql/bin/mysqladmin -u root password ’a-jelszo’ ahol a a-jelszo a konkrét jelszó. Ezután root felhasználó is csak jelszóval tud hozzáférni az adatbázishoz. Például a mysql kliens használata esetén: $ mysql -u root -p opciókat kell megadni, ahol a -u opció után a felhasználó nevet kell megadni e´ s a -p opció azt jelenti, hogy a kliens jelszót fog kérni a felhasználótól. A fenti mysqladmin parancsot SQL parancsokkal is helyettes´ıthetjük: mysql> USE mysql; mysql> UPDATE user SET Password=PASSWORD(’a-jelszo’) WHERE user=’root’; mysql> FLUSH PRIVILEGES;

53

8.8 Adatbázisok kezelése Ez a fejezet több lépésben mutatja be, hogy hogyan lehet használni a MySQL adatbázist parancssorból. Lépjünk kapcsolatba az adatbázis szerverrel a kliens seg´ıtségével: $ mysql -u root -p Nézzük meg a MySQL szerveren tárolt adatbázisok listáját: mysql> show databases; +---------------------+ | Database | +---------------------+ | information_schema | | mysql | | test | +---------------------+ Fontos, hogy a parancsok végére egy pontosvessz˝o (‘;’) kerulj¨ ¨ on! Hozzunk létre egy u´ j adatbázist: mysql> create database proba; Query OK, 1 row affected (0.00 sec) majd nézzük meg ismét az adatbázisok listáját: mysql> show databases; +---------------------+ | Database | +---------------------+ | information_schema | | mysql | | test | | proba | +---------------------+ Ezután jelöljük ki, hogy az u´ j (“proba”) adatbázist használjuk, majd adjunk hozzá egy táblát: mysql> use proba; mysql> create table dolgozok (Nev char(20), Osztaly char(20), Munka char(20)); Query OK, 0 rows affected (0.01 sec) A létrehozott tábla megtekintéséhez a következ˝o parancsot lehet kiadni: mysql> show tables; +-----------------+ | Tables_in_proba | +-----------------+ | dolgozok | +-----------------+ illetve ha a tábla tartalmát akarjuk megnézni: mysql> describe dolgozok; +----------+----------+------+-----+---------+-------+

54

| Field | Type | Null | Key | Default | Extra | +----------+----------+------+-----+---------+-------+ | Nev | char(20) | YES | | NULL | | | Osztaly | char(20) | YES | | NULL | | | Munka | char(20) | YES | | NULL | | +----------+----------+------+-----+---------+-------+ 3 rows in set (0.03 sec) A tabla szerkezetenek kiiratását másképpen is megadhatjuk: mysql> show columns from dolgozok; A táblában létrehozott oszlopok t´ıpusa (char(20)) egy szöveg. Más t´ıpust is meg lehet adni: • char(M) : Fix hosszúságú karaktersorozat, ahol M e´ rtéke 1 e´ s 255 között lehet • VARCHAR(M) : Változó hosszúságú karaktersorozat • INT : Egész szám. Az e´ rtelmezése tartomány: [0 - 4294967295] ha el˝ojel nélküli számról van szó e´ s [-2147483648 - 2147483647] ha el˝ojeles a szám. • FLOAT(m,n) : Valós szám, mely m számjegyb˝ol a´ ll amib˝ol n darab számjegy a tört rész. Például: FLOAT(4,2) esetén egy szám tárolt formája: 12.34 . • További lehetséges adatt´ıpusok: DATE, TEXT, BLOB e´ s ´ıgy tovább. Elemek beszúrása egy táblába SQL paranccsal történik, például a következ˝o módon: mysql> INSERT INTO dolgozok VALUES (’Joe Black’,’Adossag’,’Adoszedo’); mysql> INSERT INTO dolgozok VALUES (’Kovacs Istvan’,’Marketing’,’Bokszolo’); mysql> INSERT into dolgozok values (’Isaac Asimov’,’Marketing’,’Iro’); Kilépni a MySQL kliensb˝ol a következ˝o paranccsal lehet: mysql> quit Bye További SQL minta példákat a MySQL kézikönyv is tartalmaz!

8.9 Biztonsági kérdések 8.9.1 Kezdeti konfigurálás A MySQL rendszer installálása során egy példa adatbázis is installálásra kerül. Egy céges szerveren erre nincs szükség. Ugyan´ıgy nincs szükség arra, hogy alap esetben a root-on k´ıvül más is hozzáférjen az adatbázishoz. Ráadásul a root is csak a lokális gépr˝ol férjen hozzá a rendszerhez. Ennek eléréséhez a következ˝o parancsokat adhatjuk ki: mysql> mysql> mysql> mysql> mysql>

drop database test; use mysql; delete from db; delete from user where not (host="localhost" and user="root"); flush privileges;

55

´ felhasználó hozzáadása egyszeruen ˝ 8.9.2 Uj ´ felhasználót is hozzáadhatunk a MySQL adatbázis kezel˝o rendszerhez. Ebben az esetben ezt a Uj felhasználót használhatjuk arra, hogy bizonyos adatbázisokhoz, esetleg táblákhoz hozzáférjen. mysql> mysql> -> mysql> mysql> mysql>

USE mysql; INSERT INTO user (Host, User, Password, Select_priv) VALUES (’’, ’web-user’, password(’supertitkos’), ’Y’); FLUSH PRIVILEGES; GRANT ALL PRIVILEGES ON proba.* TO web-user; FLUSH PRIVILEGES;

A fenti parancs sorozatban a FLUSH PRIVILEGES; parancsok nagyon fontosak, mivel ezek biztos´ıtja, hogy a GRANT táblák valóban friss´ıtve legyenek. A fenti szintakszisra részletesebb magyarázat a következ˝o fejezetekben található.

8.9.3 Hozzáférés kontroll A MySQL adatbáziskezel˝oben a biztonságot e´ s az adatbázisokhoz való hozzáférést ACL-ek (Access Controll List) seg´ıtségével lehet kezelni. Nagyon fontos: A root felhasználó kivételével senkinek ne legyen joga a mysql adatbázisban a user táblához! Ugyanennyire fontos, hogy e´ rtsük meg a MySQL kontroll mechanizmusát e´ s esetleg a GRANT e´ s REVOKE parancsok használatát. A MySQL rendszerben 5 tábla játszik fontos szerepet a hozzáférés ellen˝orzésben: +-----------------+ | user | | db | | host | | tables_priv | | columns_priv | +-----------------+ Amikor egy felhasználó csatlakozni szeretne egy adatbázishoz egy adott szám´ıtógépr˝ol akkor a MySQL el˝oször a user táblát ellen˝orzi, hogy a felhasználó létezik a táblában, a táblában tárolt jelszó egyezik-e a megadott jelszóval e´ s az adott szám´ıtógépr˝ol csatlakozhat-e a felhasználó. Így nézzük meg a user tábla szerkezetét: +-----------------+---------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+---------------+------+-----+---------+-------+ | Host | char(60) | | PRI | | | | User | char(16) | | PRI | | | | Password | char(16) | | | | | | Select_priv | enum(’N’,’Y’) | | | N | | | Insert_priv | enum(’N’,’Y’) | | | N | | | Update_priv | enum(’N’,’Y’) | | | N | | | Delete_priv | enum(’N’,’Y’) | | | N | | | Create_priv | enum(’N’,’Y’) | | | N | | | Drop_priv | enum(’N’,’Y’) | | | N | | | Reload_priv | enum(’N’,’Y’) | | | N | | | Shutdown_priv | enum(’N’,’Y’) | | | N | | | Process_priv | enum(’N’,’Y’) | | | N | | | File_priv | enum(’N’,’Y’) | | | N | | | Grant_priv | enum(’N’,’Y’) | | | N | | | References_priv | enum(’N’,’Y’) | | | N | | | Index_priv | enum(’N’,’Y’) | | | N | |

56

| Alter_priv | enum(’N’,’Y’) | | | N | | +-----------------+---------------+------+-----+---------+-------+

A táblából a Host, User e´ s Password mez˝oket használja a rendszer a kezdeti kapcsolódásnál. Például: +--------------------+--------+----------+ | Host | User | Password | +--------------------+--------+----------+ | valami.domain.com | john | | +--------------------+--------+----------+ bejegyzés esetén a john felhasználó, jelszó nélkül (NULL) csatlakozhat az adatbázishoz a valami.domain.com szám´ıtógépr˝ol. Nem csak szám´ıtógép név, hanem domain is megadható. Ráadásul itt is lehet “wildcard” karaktert használni, ami a százalék karakter (‘%’). A karakter helyébe bármi behelyettes´ıthet˝o, például: +-------+--------+----------+ | Host | User | Password | +-------+--------+----------+ | % | john | | +-------+--------+----------+ ebben az esetben a john felhasználó bármelyik szám´ıtógépr˝ol csatlakozhat az adatbázishoz! Természetesen többféleképpen is használható a “wildcard” karakter, például: +---------------+--------+----------+ | Host | User | Password | +---------------+--------+----------+ | %.domain.com | john | | +---------------+--------+----------+ ebben az esetben a john felhasználó bármelyik szám´ıtógépr˝ol csatlakozhat a domain.com-ból az adatbázishoz. A szám´ıtógép vagy domain neve teljes nevvél e´ s IP számmal is megadható. Nézzünk néhány példát: • Teljes név vagy IP c´ım: www.pmmf.hu vagy 193.18.65.124 • Név “wildcard” karakterrel: %.pmmf.hu . A “wildcard” karakter bárhol szerepelhet, ´ıgy a www.pmmf.% jelentheti a www.pmmf.com, www.pmmf.net vagy akár a www.pmmf.hu c´ımet. • IP c´ım “wildcard” karakterrel: 193.18.65.% . Ez utóbbi egyenérték˝u a következ˝ovel: 144.155.166.0/255.255.255.0

Azt is fontos e´ szrevenni, hogy egy felhasználóra vonatkozóan több sor is lehet a user táblában. A sorokban a Host mez˝o e´ s esetleg a Password mez˝o is különböz˝o lehet ´ıgy biztos´ıtva pontos kontroll a hozzáférésben. Például nem kell engedélyezni a hozzáférést akárhonnan, ha esetleg két különböz˝o domain-b˝ol akarjuk elérni az adatbázis szervert. Ebben az esetben két sort szúrunk be a user adatbázisba. Ráadásul ezzel azt is biztos´ıtani tudjuk, hogy a jelszó különböz˝o legyen. Ezek után azt is fontos tudni, hogy a táblában milyen sorrendbe kerülnek a sorok. Például:

57

+------------------+--------+ | Host | User | +------------------+--------+ | %.domain.com | john | | host.domain.com | | +------------------+--------+ bár ez a tábla kinézete, de a MySQL ezt rendezni fogja olyan módon, hogy a specifikus gép nevek kerülnek el˝ore e´ s ´ıgy ez lesz a memóriabeli kinézete: +------------------+--------+ | Host | User | +------------------+--------+ | host.domain.com | | | %.domain.com | john | +------------------+--------+ Ez azt jelenti, hogy ha a john felhasználó a host.domain.com gépr˝ol csatlakozik a szerverhez, akkor az els˝o sor szerint történik a csatlakozás. Ez azért probléma, mert bár a john felhasználó nevet megadtuk, de mégis anonymous-ként fog csatlakozni a szerverhez, mivel az els˝o illeszkedést használja a szerver. Ha sikerül a kapcsolódás, de a kés˝obbi m˝uveleteknél nincsennek meg a szükséges privilégiumaink, akkor valósz´ın˝uleg nem a várt felhasználóként jelentkeztünk be. Ennek ellen˝orzésére a CURRENT_USER() függvényt e´ rdemes használni, például: mysql> SELECT CURRENT_USER(); +----------------+ | CURRENT_USER() | +----------------+ | @localhost | +----------------+ Ez azt jelenti, hogy felhasználói név nélkül jelentkeztünk be a lokális gépr˝ol. A CURRENT_USER() függvény formátuma mindig: felhasznalo@host A 8.9.1. fejezetben bemutatott lépésekhez hasonlóan például töröljük azokat a sorokat, amelyek problémásak lehetnek a biztonság szempontjából, ´ıgy a felhasználó nélküli sorokat: mysql> USE mysql; mysql> DELETE from user where User=’’ Miután a kapcsolat létrejött minden további kérés esetén - SELECT, DELETE, UPDATE e´ s ´ıgy tovább - ellen˝orzést végez a rendszer, hogy van-e az adott m˝uveletre jogosultság. El˝ofordulhat, hogy bizonyos felhasználók csak a SELECT m˝uveletet hajthatják végre, mások pedig módos´ıthatnak adatot is. Az alábbi lista tartalmazza a lehetséges privilégiumokat: • Select_priv : a SELECT SQL m˝uvelet engedélyezett • Insert_priv : az INSERT SQL m˝uvelet engedélyezett • Update_priv : az UPDATE SQL m˝uvelet engedélyezett • Delete_priv : a DELETE SQL m˝uvelet engedélyezett • Create_priv : a CREATE SQL m˝uvelet engedélyezett, adatbázisok e´ s táblák létrehozása engedélyezett

58

• Drop_priv : a DROP m˝uvelet engedélyezett adatbázis e´ s táblák esetén is • Reload_priv : a MySQL szerver friss´ıtése (refresh) e´ s u´ jratöltése (reload) engedélyezett • Shutdown_priv : egy futó MySQL szerver leáll´ıtása engedélyezett • Process_priv : a MySQL szerver aktivitásának követése engedélyezett • File_priv : file-ok olvasása e´ s ´ırása engedélyezett a szerveren • Grant_priv : a GRANT paranccsal más felhasználók privilégiumait a´ ll´ıthatja a felhasználó • Index_priv : index létrehozás, szerkesztés e´ s törlés engedélyezett • Alter_priv : az ALTER SQL m˝uvelet engedélyezett Ezek között a privilégiumok között vannak kevésbé e´ rzékenyek e´ s veszélyesek is, hiszen egy lekérdezés kevésbé veszélyes mint hogy az adatokat módos´ıthatja valaki. (Persze a lekérdezés is lehet veszélyes, ha az adatok titkosak.) A Grant_priv privilégiumot csak nagyon ritkán kell engedélyezni, mivel ezzel ´ egy felhasználó más felhasználók jogait változtathatja meg, növelheti. Erdekes figyelembe venni, hogy a File_priv privilégium nagyon veszélyes lehet e´ s ezért szintén nem szabad gyakran használni. Itt az a probléma, hogy ezen privilégium birtokában bármilyen file-t elolvashat a felhasználó. Legalább is azokat a file-okat amikhez a MySQL szerver daemon-nak jogosultsága van. Ha a daemon root-ként fut, akkor minden file olvasható lesz az adott felhasználónak. Fontos megjegyezni, hogy ezek a privilégiumok a user táblában globálisan minden adatbázisra e´ s táblára vonatkoznak! Ezért a´ ltalában a legtöbb adminisztrátor ebben a táblában minden privilégiumot ’N’-re a´ ll´ıt e´ s a finom hangolást a host e´ s db táblákban végzik el. Nézzük a db tábla szerkezetét: +-----------------+---------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+---------------+------+-----+---------+-------+ | Host | char(60) | | PRI | | | | Db | char(32) | | PRI | | | | User | char(16) | | PRI | | | | Select_priv | enum(’N’,’Y’) | | | N | | | Insert_priv | enum(’N’,’Y’) | | | N | | | Update_priv | enum(’N’,’Y’) | | | N | | | Delete_priv | enum(’N’,’Y’) | | | N | | | Create_priv | enum(’N’,’Y’) | | | N | | | Drop_priv | enum(’N’,’Y’) | | | N | | | Grant_priv | enum(’N’,’Y’) | | | N | | | References_priv | enum(’N’,’Y’) | | | N | | | Index_priv | enum(’N’,’Y’) | | | N | | | Alter_priv | enum(’N’,’Y’) | | | N | | +-----------------+---------------+------+-----+---------+-------+

Itt is az els˝o három mez˝o kontrollálja az adott adatbázishoz való hozzáférést, az adatbázis nevét, a felhasználót, e´ s az engedélyezett szám´ıtógépek nevét. Például: +------+------+---------+----------------+ | Host | User | Db | all_privileges | +------+------+---------+----------------+ | % | | test | Y | +------+------+---------+----------------+ esetén minden felhasználó, bármely szám´ıtógépr˝ol kapcsolódhat a test adatbázishoz. Ha a Host bejegyzés u¨ res a db táblában, akkor az engedélyezett szám´ıtógépeket a host táblából a´ llap´ıtja meg a rendszer:

59

+-----------------+---------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-----------------+---------------+------+-----+---------+-------+ | Host | char(60) | | PRI | | | | Db | char(32) | | PRI | | | | Select_priv | enum(’N’,’Y’) | | | N | | | Insert_priv | enum(’N’,’Y’) | | | N | | | Update_priv | enum(’N’,’Y’) | | | N | | | Delete_priv | enum(’N’,’Y’) | | | N | | | Create_priv | enum(’N’,’Y’) | | | N | | | Drop_priv | enum(’N’,’Y’) | | | N | | | Grant_priv | enum(’N’,’Y’) | | | N | | | References_priv | enum(’N’,’Y’) | | | N | | | Index_priv | enum(’N’,’Y’) | | | N | | | Alter_priv | enum(’N’,’Y’) | | | N | | +-----------------+---------------+------+-----+---------+-------+

Ez a tábla is tartalmaz privilégiumokat, mivel ezeken karesztül azt tudjuk kontrollálni, hogy egy adott szám´ıtógépr˝ol történ˝o kapcsolat esetén, mi engedélyezett. Nézzünk egy példát: mysql> SELECT Host, User, Password FROM user; +-----------+------+----------+ | Host | User | Password | +-----------+------+----------+ | | jim | h35472k | +-----------+------+----------+ mysql> SELECT Host, User, Db FROM db +------+------+-------+ | Host | User | Db | +------+------+-------+ | | jim | title | +------+------+-------+ mysql> SELECT Host, Db, Select_priv, Insert_priv FROM host +-------------------+-------+----------------+----------------+ | Host | Db | Select_priv | Insert_priv | +-------------------+-------+----------------+----------------+ | valami1.proba.com | title | Y | Y | +-------------------+-------+----------------+----------------+ | valami2.proba.net | title | Y | N | +-------------------+-------+----------------+----------------+ | tuzfall.proba.org | title | Y | Y | +-------------------+-------+----------------+----------------+ Ebben az esetben a jim nev˝u felhasználó csatlakozhat a title adatbázishoz minden olyan szám´ıtógépr˝ol, ami fel van sorolva a host táblában. A privilégiumoknak van egy harmadik szintjük is. Az els˝o ellen˝orzés a user tábla alapján történik. Ha ez nem ad megfelel˝o jogosultságot, akkor a db e´ s host táblákat ellen˝orzi a rendszer. Végül a tables_priv e´ s columns_priv táblákkal akár adott táblák adott oszlopaihoz való hozzáférést lehet kontrollálni. Az egyes táblák szerkezete: tables_priv: +-------------+---------------------------+ | Field | Type |

60

+-------------+---------------------------+ | Host | char(60) | | Db | char(60) | | User | char(16) | | Table_name | char(60) | | Grantor | char(77) | | Timestamp | timestamp(14) | | Table_priv | set(’Select’,’Insert’...) | | Column_priv | set(’Select’,’Insert’...) | +-------------+---------------------------+ columns_priv: +-------------+----------------------------------------------+ | Field | Type | +-------------+----------------------------------------------+ | Host | char(60) | | Db | char(60) | | User | char(16) | | Table_name | char(60) | | Column_name | char(60) | | Timestamp | timestamp(14) | | Column_priv | set(’Select’,’Insert’,’Update’,’References’) | +-------------+----------------------------------------------+

´ felhasználó hozzáadása ismét Uj Most hogy már e´ rtjük a hozzáférés mechanizmust MySQL alatt nézzük meg u´ jra a u´ j felhasználók hozzáadását a MySQL rendszerhez. Két lehet˝oségünk is van. Használhatunk egyszer˝u SQL parancsokat: INSERT, UPDATE e´ s DELETE, vagy használhatjuk a GRANT e´ s REVOKE parancs párost. A különbséget a következ˝o példával lehetne bemutatni: mysql> -> mysql> -> ->

INSERT INTO user (Host, User, Password) VALUES(’localhost’,’tom’,PASSWORD(’tommygun’)); INSERT INTO db (Host, Db, User, Select_priv, Insert_priv, Update_priv, Delete_priv, Create_priv, Drop_priv) VALUES (’localhost’,’recipes’,’tom’,’Y’,’Y’,’Y’,’Y’,’N’,’N’);

aminek megfelel a következ˝o GRANT parancs: mysql> GRANT SELECT, INSERT, UPDATE, DELETE, ON recipes.* TO tom@localhost -> IDENTIFIED BY ’tommygun’; Itt fontos megjegyezni, hogy a GRANT e´ s REVOKE parancsok hatására a jogosultságok azonnal aktiválódnak, m´ıg a hagyományos SQL parancsok esetén u´ jra kell tölteni (reload) a szervert. Az u´ jratöltést kétféleképpen hajthatjuk végre, a shell-ben: $ mysqladmin reload vagy a mysql kliensben: mysql> FLUSH PRIVILEGES; GRANT parancs Az aktuális privilégiumok kiiratására a következ˝o parancs használható:

61

$ SHOW GRANTS; ... GRANT ALL PRIVILEGES ON *.* TO ’root’@’localhost’ IDENTIFIED BY PASSWORD ’...’ WITH GRANT OPTION A GRANT parancs szintakszisa: mysql>GRANT priv_type [(column_list)] [, priv_type [(column_list)] ...] ON {tbl_name | * | *.* | db_name.*} TO user_name [IDENTIFIED BY ’password’] [, user_name [IDENTIFIED BY ’password’] ...] [WITH GRANT OPTION] Lehetséges privilégiumok (priv_type): • ALL PRIVILEGES : Szinte minden jogosultságot megad, kivéve a veszélyesebbeket: FILE, PROCESS, RELOAD, SHUTDOWN. Ezeket explicit módon meg kell adni a felhasználónak. • ALTER : Jogosultságot ad a táblák szerkezetének megváltoztatására, de csak addig am´ıg az nem e´ rinti az indexeket. Lényegében az ALTER SQL parancs végrehajtása engedélyezett ezzel a privilégiummal. • CREATE : Ez a jogosultság engedélyezi u´ j adatbázisok e´ s táblák létrehozását am´ıg az nem e´ rinti az indexeket. Lényegében a CREATE SQL parancs végrehajtása engedélyezett ezzel a privilégiummal. • DELETE : Ez a jogosultság engedélyezi sorok törlését táblákból, de nem engedi adatbázisok törlésée. • DROP : Ez a jogosultság engedélyezi adatbázisok törlését, de indexeket nem. • FILE : Ez a jogosultság engedélyezi, hogy a szám´ıtógépen file-okhoz férjen hozzá az adott felhasználó. • INDEX : Ez a jogosultság engedélyezi, hogy a felhasználó indexeket kezeljen, létrehozzon, töröljön, stb. • INSERT : Ez a jogosultság engedélyezi u´ j sorok beillesztését táblákba. Lényegében az INSERT SQL parancs végrehajtása engedélyezett ezzel a privilégiummal. • PROCESS : Jogosultságot ad a MySQL szálakhoz, beleértve azok leáll´ıtását. Például végrehajthatjuk a SHOW PROCESSLIST vagy KILL SQL parancsokat. • REFERENCES : Ennek nincs jelent˝osége MySQL alatt, csak az Oracle adatbáziskezel˝ovel való kompatibilitás miatt létezik. • RELOAD : Engedélyezi a felhasználónak, hogy a cache-ben tárolt adatokat u´ jraolvastassa az adatbázisból. • SELECT : A SELECT SQL parancs végrehajtása engedélyezett ezzel a privilégiummal. • SHUTDOWN : Engedélyezi a felhasználónak az adatbáziskezel˝o leáll´ıtását. • UPDATE : Az UPDATE SQL parancs végrehajtása engedélyezett ezzel a privilégiummal. Ugyanakkor a felhasználó nem adhat hozzá e´ s nem törölhet adatot. • USAGE : A felhasználó csak bejelentkezhet a MySQL szerverre de semmi mást nem csinálhat. A parancs megértésének egyik legjobb módszere a példák használata:

62

mysql>GRANT usage ON *.* TO widgetAdmin@localhost ->IDENTIFIED BY ’ilovewidgets’; Ez a widgetAdmin-nak biztos´ıtja, hogy a localhost-ról, magáról az adatbázis szerverr˝ol, kapcsolódjon az adatbázishoz e´ s a jelszó a ilovewidgets lesz. Ez az utas´ıtás csak a kapcsolódást (usage) teszi lehet˝ove, semmi mást. Ugyanakkor minden adatbázis minden táblájához kapcsolódhat: *.* Ezután ha azt szeretnénk, hogy ez a felhasználó a widgets adatbázis minden táblájához hozzáférjen e´ s végrehajthasson SELECT, INSERT, UPDATE e´ s DELETE m˝uveleteket, akkor a következ˝o utas´ıtást kell kiadni: mysql>GRANT SELECT, INSERT, UPDATE, DELETE ->ON widgets.* TO widgetAdmin@localhost; REVOKE parancs A jogosultságok visszavonására alkalmas parancs, a REVOKE szintakszisa: REVOKE priv_type [(column_list)] [, priv_type [(column_list)] ...] ON {tbl_name | * | *.* | db_name.*} FROM user_name [, user_name ...] Egy dolgot azért e´ rdemes fejben tartani, hogy bár a REVOKE parancs minden privilégiumot képes elvenni a felhasználótól, de magát a felhasználót nem törli a MySQL adatbázis rendszerb˝ol: mysql>REVOKE ALL PRIVILEGES ON widgets.* ->FROM widgetAdmin@localhost; A felhasználót explicit módon kell törölni: mysql>DELETE FROM user WHERE user = ’widgetAdmin’; Query OK, 1 row affected (0.00 sec) mysql>flush privileges;

8.9.4 Felhasználó a´ ltal szolgáltatott adatok Soha ne b´ızzunk a felhasználótól származó adatokban! Például tegyük fel, hogy egy Web formon keresztül egy azonos´ıtót adhat meg a felhasználó, amit a program beilleszt egy SQL lekérdezésbe: SELECT * FROM tblname WHERE ID=456 A fenti példában az azonos´ıtó a 456 volt. Ez teljesen jól m˝uködik, de mi van ha a felhasználó a következ˝ot gépelte be: 456 OR 1=1 Ez a kifejezés megváltoztatja a lekérdezést: SELECT * FROM tblname WHERE ID=456 OR 1=1 Mivel az 1=1 mindig igaz lesz e´ s a két feltétel között “vagy” kapcsolat van ezért ez a kifejezés a teljes táblát lekérdezi. Ez nem csak adatvédelmi problémákat vet fel, hiszen ´ıgy minden adat látható lesz, hanem egy ilyen lekérdezés DOS (Denial-Of-Service) támadásnak is megfelel, vagyis túl sokszor végrehajtva lass´ıthatja a szervert. A fenti problémára az egyik megoldás, hogy idéz˝ojelet teszünk a paraméter köré:

63

SELECT * FROM tblname WHERE ID=’456’ mert ebben az esetben a begépelt paraméter a szöveg része lesz e´ s nem pedig a kifejezés része: SELECT * FROM tblname WHERE ID=’456 OR 1=1’

8.9.5 Hálózati védelem A MySQL adatbáziskezel˝o alap esetben a 3306-os porthoz kapcsolódik, ezért mindenképpen e´ rdemes ezt a portot védeni a megfelel˝o t˝uzfal beáll´ıtásokkal!!! Például ellen˝orizhetjük, hogy a porthoz lehet-e kapcsolódni: $ telnet gep-neve 3306 Ha visszakapunk valamilyen karaktersorozatot, akkor kapcsolódni lehet a porthoz.

8.9.6 root jelszó helyreáll´ıtása $ $ $ $ $

/etc/init.d/mysql stop mysqld_safe --skip-grant-tables --skip-networking & mysqladmin -u root password uj-jelszo kill %1 /etc/init.d/mysql start

A fenti parancsok a --skip-grant-tables opcióval biztos´ıtjuk, hogy az adatbázis szerver ne vegye figyelembe az adatbázisban tárolt jogosultságokat. A --skip-networking opció pedig nem hálózatos módban ind´ıtja el a szervert, hiszen jogosultság kezelés nélkül a hálózaton az adatbázisunk nagy veszélyben lenne.

8.9.7 Néhány biztonsági kérdés o¨ sszefoglalása • A MySQL szerver daemon-t mindig mysql felhasználóként futtassuk e´ s ne root vagy nobody felhasználóként. • A MySQL adatbázisokat tartalmazó könyvtár jogai legyenek: drwx------

e´ s a tulajdonosa a mysql felhasználó legyen. • Ha lehet kerüljük a “wildcard” karakter használatát a szám´ıtógép nevekben. Amennyire csak lehet, használjunk specifikus e´ s pontos gép neveket. • Grant_priv e´ s File_priv privilégiumokat csak a root felhasználó birtokoljon. • A MySQL kliens ind´ıtásánál figyeljünk arra, hogy a jelszót ne a parancssorban adjuk meg. A rossz megoldas: $ mysql -u root -p valami

Ezzel az a probléma, hogy ebben az esetben a jelszó a parancssor része e´ s látható például a ps parancs számára vagy bekerül a .bash_history file-ba. A helyes ind´ıtás:

64

$ mysql -u root -p

• A felhasználókat igyekezzünk korlátozni egy-egy adatbázisra vagy táblára. • Végül csak a root felhasználó tudja olvasni e´ s módos´ıtani az hozzáférés kontrollra használt táblákat.

8.10 Adatbázis mentés e´ s visszaáll´ıtás Fontos lehet az adatbázisban tárolt adatok elmentése id˝oszakonként (backup) e´ s azok visszaáll´ıtása. Több módszer is létezik, ezekb˝ol tárgyalunk itt néhányat.

8.10.1 mysqldump program Ez az egyik legkényelmesebb módszer, bár valósz´ın˝uleg nem a legjobb. A program el tud menteni egy, vagy több adatbázist, illetve akár specifikusan egy-egy táblát. Nézzünk néhány variációt: • Egy adatbázis elmentése: $ mysqldump [options] db_name • Egy adatbázis több táblájának elmentése: $ mysqldump [options] db_name tabla1 tabla2 tabla3 ... • Több adatbázis elmentése: $ mysqldump [options] --databases [options] db_name1 db_name2 ... • Az o¨ sszes adatbázis elmentése: $ mysqldump [options] --all-databases [options] Az options opciók teljes listáját a --help kapcsoló seg´ıtségével lehet kilistázni, de nézzünk meg két nagyon fontos opciót: • --no-create-info : Ezt a kapcsolót akkor használjuk ha csak az adatbázis adatait akarjuk elmenteni, de az adatbázis szerkezetét nem. Vagyis olyan információra nincs szükség, amivel a táblákat létre lehetne hozni. • --no-data : Az el˝oz˝o opció ford´ıtottja, hogy csak az adatbázis szerkezetét akarjuk elmenteni, vagyos hogy hogyan kell az adattáblákat létrehozni e´ s magát az adatokat nem akarjuk elmenteni. Például: $ mysqldump -u root -p --no-create-info widgets > widgets-backup.sql vagy $ mysqldump -u root -p --no-data widgets > widgets-backup.sql Ha az adatokat azért akarjuk elmenteni, hogy egy másik MySQL adatbázisba beimportáljuk, akkor e´ rdemes a --opt kapcsolót használni, ami optimalizált módon ´ırja ki az adatokat e´ s ´ıgy gyorsabban lehet majd az adatokat visszaolvasni: $ mysqldump -u root -p --opt widgets > widgets-backup.sql

65

Adatbázis visszaáll´ıtás Az adatbázis visszaáll´ıtására a mysql kliens használható: $ mysql -u user-id -p < backup.sql

8.11 Loggolás A MySQL adatbáziskezel˝o rendszer az “eseményeket”, különböz˝o file-ba rögz´ıti, tárolja, loggolja: error : Az elind´ıtott mysqld_safe daemon szabványos hiba kimenete ebbe a file-ba kerül. A file neve mindig a gép neve e´ s az err kiterjesztés, pédlául: hostnev.err . A file szintén tartalmaz bejegyzéseket minden daemon ind´ıtásról e´ s leáll´ıtásról. bináris log : A bináris log minden olyan SQL parancsot tárol, amelyik adatot friss´ıt vagy megváltoztat. (Ha egy törl˝o parancs nem változtat meg semmit, akkor nem kerül be ebbe a file-ba.) A parancsokat a végrehajtás sorrendjében térolja. A bináris log file jól használható, mint egy biztonsági mentés. Például ha minden nap elmentjük az adatbázisunkat e´ s valamelyik nap közben megsérül az adatbázis, akkor csak helyre kell a´ ll´ıtani az el˝oz˝o napi a´ llapotot, majd az aznapi bináris log-ban található m˝uveleteket végrehajtani e´ s megkapjuk az utolsó “jó” a´ llapotát az adatbázisnak. Ha a szervert a --log-bin=file opcióval ind´ıtjuk el, akkor a file-ba ´ırja az eseményeket a rendszer. Valójában nem csak egy file-t használ az adatbáziskezel˝o rendszer hanem a file végéhez egy számot illesztve többet is, például: file.1 file.2 e´ s ´ıgy tovább. Azért kell több file, mert például ha túl nagy lenne a file mérete akkor egy u´ jabbat kell kezdeni. Az adatbáziskezel˝o ezen k´ıvül létrehoz egy index file-t ami az o¨ sszes bináris log file nevét tartalmazza. Az index file helyét az --log-bin-index=file opció adja meg. Például: $ ls -l /opt/var/mysql ... -rw-rw---- 1 mysql mysql -rw-rw---- 1 mysql mysql -rw-rw---- 1 mysql mysql -rw-rw---- 1 mysql mysql -rw-rw---- 1 mysql mysql ...

19060 736010 5000 125 125

2009-10-12 2009-10-12 2009-10-12 2009-10-12 2009-10-12

10:20 12:20 20:20 22:20 22:20

mysql-bin.000001 mysql-bin.000002 mysql-bin.000003 mysql-bin.000004 mysql-bin.index

A bináris log file-okat a mysqlbinlog paranccsal lehet megnézni, például: $ mysqlbinlog mysql-bin.000003 # at 4 #010805 17:06:00 server id 1 Start: binlog v 1, server 5.1.39-log created 091011 17:06:00

Illesszünk be adatot: $ mysql mysql> USE test; mysql> INSERT INTO test ( object_id, object_title ) VALUES (1, ’test’); Query OK, 1 row affected (0.02 sec) mysql> QUIT;

66

Bye $

e´ s nézzük meg a bináris log file-t $ mysqlbinlog mysql-bin.000003 # at 4 #010805 17:06:00 server id 1 Start: binlog v 1, server 5.1.39-log created 091011 17:06:00 #010805 17:39:38 server id 1 Query thread_id=2 exec_time=0 error_code=0 USE test; SET TIMESTAMP=1255306458; INSERT INTO test ( object_id, object_title ) VALUES (1, ’test’); $

Ha u´ j log file-t akarunk kezdeni, akkor a következ˝o parancsot használhatjuk: $ mysqladmin -u root -p flush-logs

Ha a bináris logból akarjuk u´ jra létrehozni az adatbázist, akkor a kliensnek a´ t kell adni a file tartalmát: $ mysqlbinlog mysql-bin.000003 | mysql

lassu´ lekérdezés log : (slow query log) Ez a file azokat az SQL parancsokat tartalmazza amelyek tovább tartanak mint a long_query_time paraméter a´ ltal megadott id˝o. Ez a log hasznos lehet arra, hogy azonos´ıtsuk az adatbázis azon részeit amelyek a lassú végrehajtást okozzák e´ s amelyeket tuningolni kellene. A log file létrehozását a --log-slow-queries=file opcióval lehet megadni.

8.12 Replikáció 8.13 Kluszterezés 8.14 Adatbázis optimalizálás

67

68

9. Fejezet

Apache web szerver 9.1 Bevezetés e´ s alapok 9.1.1 Mit csinál a web szerver? A web szerverek lényege, hogy egy URL-t filenévre transzformáljuk, majd a file tartalmát visszaküldjük a kliensnek az Interneten. Az URL-b˝ol nem csak file név lehet, hanem egy program neve is, ami majd generálja azt az adatot, amit visszaküld a szerver a kliensnek. Az URL jelentése: Uniform Resource Locator e´ s három részb˝ol a´ ll: <s´ ema>:///<´ utvonal> A web oldalak esetén a s´ ema a http. A HTTP jelentés: Hypertext Transfer Protocol. A host a gép neve, például: www.index.hu, de lehet IP c´ım is. Az path pedig az elérési u´ t a file-hoz vagy könyvtárhoz. Alap esetben ez csak a f˝okönyvtár: /.

9.1.2 Mit csinál a web kliens? A web kliensnek egyszer˝u dolga van, mert csak azt kell elküldenie, hogy melyik file-t, tartalmat akarja lekérdezni. Ennek formátuma: http://<user>:<jelsz´ o>@:<port>/<path> ´ aban csak a host-ot e´ s a Az RFC 1738-as dokumentum szerint ebb˝ol több rész is elhagyható. Altal´ path-t szoktuk megadni, példuál: http://www.index.hu/ Amikor web kliens megkapja a c´ımet, akkor els˝o lépésben meghatározza, hogy a www.index.hu c´ımnek milyen IP szám felel meg. (DNS-t használva.) Ezen az IP c´ımen lev˝o szám´ıtógépet szól´ıtja meg a kliens. Mivel a c´ım nem tartalmaz portra vonatkozó adatot ezért az alap e´ rtéket használja a kliens, a 80-as portot. Ezután a kliens TCP kapcsolatot nyit e´ s a következ˝o u¨ zenetet küldi: GET /vala/hol/index.html HTTP/1.0 A kérésre a web szerver elküldi a válasz tartalmat, majd lezárja a kapcsolatot. Próbáljuk ki: telnet www.apache.org 80 GET http://www.apache.com/index.html HTML/1.1

69

Trying 64.125.133.20... Connected to www.apache.org. Escape character is ’ˆ]’. HTTP/1.1 200 OK Date: Mon, 25 Feb 2002 15:03:19 GMT Server: Apache/2.0.32 (Unix) Cache-Control: max-age=86400 Expires: Tue, 26 Feb 2002 15:03:19 GMT Accept-Ranges: bytes Content-Length: 4946 Content-Type: text/html <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> ... ... Azért e´ rdemess a telnet programot használni, mert a port szám is megadható. Ugyanakkor bizonyos telnet programok nem ´ırják ki azt amit begépelünk, ´ıgy erre figyeljünk. A GET sor begépelése után egy sor adatot fogunk kapni.<br /> <br /> 9.1.3 Miért az Apache? Manapság az Apache a legeltejedtebb web szerver az Interneten. A piaci részesedése legalább kétszer akkor mint az utána következ˝o szoftveré. Ráadásul az Apache open-source software, vagyis a forrsákódot bárki megnézheti e´ s saját igényei szerint módos´ıthatja. Az Apache nagyon sokféle igényt ki tud elég´ıteni. Alkalmas olyan web oldal megjelen´ıtésére ami csak statikus részekb˝ol a´ ll, de dinamikus tartalom is megjelen´ıthet˝o.<br /> <br /> 9.1.4 Az Apache web szerver Az Apache Web szerver futtatható programja a httpd, ami a´ ltalában a háttérben fut. Minden web szerver egy adott könyvtárból szolgálja ki a file-okat. A web szervernek a´ ltalában négy f˝o könyvtára van: conf : A konfigurációs file-okat tartalmazó könyvtár. A file-okból a legfontosabb a httpd.conf file, ami “A konfigurációs file”. Például ez a file adja meg, hogy melyik könyvtárból szolgáljuk ki a web oldalakat. htdocs : Ez a könyvtár tartalmazza a HTML oldalakat. Természetesen a könyvtáron belül lehetnek alkönyvtárak is, amiben további HTML oldalak lehetnek. Mivel mindenki hozzáférhet ehhez részhez, ´ıgy különösen figyelni kell erre a részre biztonsági szempontból. logs : A log file-okat tartalmazza. File-ban rögz´ıtünk minden oldalhoz való hozzáférést. cgi-bin : A CGI szkripteket tartalmazza ez a könyvtár. A szkripteket a web szerver hajtja végre e´ s az eredményt küldi vissza a kliensnek. Szintén különös odafigyelést igényel biztonsági szempontból.<br /> <br /> 70<br /> <br /> 9.2 Installálás Kétféle módon lehet az Apache web szervert felinstallálni. Az egyik a “fél manuális” a másik az “egyszer˝us´ıtett” (Out of the box) módszer. Mind a két módszer során shell scriptek futnak le e´ s Makefile-okat hoznak létre. Ezeket a Makefile-okat használja a make parancs, hogy leford´ıtsa a rendszert.<br /> <br /> ˝ ıtett installálás forrásból 9.3 Egyszerus´ Miután letöltöttük a forrás kódot e´ s kitömör´ıtettük egy könyvtárba, a program ford´ıtása három sorban megoldható. Ugyanakkor fontos, hogy a ford´ıtást root felhasználóként végezzük el, mivel ha egyszer˝u felhasználóként végezzük a szám´ıtást akkor a web szerver a 8080 porton fog kommunikálni. Ráadásul ebben az esetben a web szerver a 80-as port használatát kifejezetten nem engedi! A rendszer ford´ıtásához szükséges három sor: $ ./configure $ make $ make install Ha minden jól ment akkor a /usr/local/bin könyvtárban megtaláljuk a web szerver programot: httpd. Az installálás után megnézhetjük, hogy milyen könyvtárakba másoltunk, installáltunk file-okat a következ˝o módon: $ ./configure --show-layout > elrendezes A leford´ıtott modulok listáját a httpd -l paranccsal kaphatjuk meg.<br /> <br /> 9.4 Manuális installálás forrásból El˝oször is olvassuk el a forrás könyvtárban a README file-t e´ s e´ s a src könyvtárban az INSTALL file-t. A két file tartalmazza a részletes instrukciókat a web szerver leford´ıtásához. Következ˝o lépés, hogy a src/Configuration.tmpl file-t másoljuk a´ t Configuration file-ba. Ezt a file-t kell szerkeszteni, hogy a ford´ıtáshoz mindent beáll´ıtsunk. A Configuration file-ban o¨ t dolog található: 1. A megjegyzések a # karakterrel kezd˝odnek. 2. A szabályok, amik a Rule szóval kezd˝odnek. 3. A parancsok, amiket majd be kell illeszteni a Makefile file-ba. Ezek a sorok semmilyen speciális karakterrel nem kezd˝odnek. 4. Modul választás. Ezek a sorok a AddModule kulcsszóval kezd˝odnek e´ s azt adják meg, hogy mely modulokat kell bekapcsolni e´ s leford´ıtani. 5. Az opcionális modulok esetén a sor a %Module szóval kezd˝odik. Ezeket a modulokat le kell ford´ıtani, de nem kell bekapcsolni, majd csak kés˝obb.<br /> <br /> 9.4.1 Modulok kiválasztása A következ˝o lista felsorol néhány az alap esetben bekapcsolt modulokból. Ezeket a sorokat ki kell kommentezni a Configuration file-ban.<br /> <br /> 71<br /> <br /> AddModule modules/standard/mod env.o Ez a modul beáll´ıtja azokat a környezeti változókat amelyeket a CGI scripteknek ad a´ t a rendszer. AddModule modules/standard/mod log config.o Ez a modul meghatározza e´ s konfigurálja a loggolást. AddModule modules/standard/mod mime magic.o Ez a modul határozza meg a file-ok t´ıpusát. AddModule modules/standard/mod mime.o Ez a modul adja meg, hogy melyik file kiterjesztéshez milyen file tartalom tartozik. AddModule modules/standard/mod cgi.o Ez a modul hajtja végre a CGI scripteket. AddModule modules/standard/mod imap.o Ez a modul hajtja végre a kép térképeket (imagemap). AddModule modules/standard/mod alias.o Ez a modul biztos´ıtja az URL ford´ıtás e´ s a´ tirány´ıtás lehet˝oségét. AddModule modules/standard/mod rewrite.o Ez a modul biztos´ıtja az URL u´ jra´ırást. AddModule modules/standard/mod access.o Ez a modul teszi lehet˝ové az egyes web oldalak hozzáférés védelmét. AddModule modules/standard/mod auth.o Ez a modul biztos´ıtja az authentikáció lehet˝oségét. Kés˝obb amikor a konfigurációs file-okat kész´ıtjük, figyelembe lehet venni, hogy az adott modul része-e a rendszernek, például: ... <IfModule mod_log_config.c> LogFormat "host %h, user %u, time %t, request %r, status %s" </IfModule> ... Ezek a konfigurációs file-ok ´ıgy rendszerr˝ol rendszerre másolhatók, mivel a file figyelembe veszi a modul létezését vagy hiányát.<br /> <br /> 9.4.2 Egyéb beáll´ıtások Ha a ford´ıtás során extra beáll´ıtásokat szeretnénk tenni, vagy extra könyvtárat szeretnénk megadni, akkor a következ˝o opciók használhatók a Configuration file-ban. EXTRA_CFLAGS= EXTRA_LDFLAGS= EXTRA_LIBS= EXTRA_INCLUDES= A Configuration file-ban néhány egzotikus beáll´ıtás is megadható szabályok (Rule) seg´ıtségével.<br /> <br /> 9.4.3 Ford´ıtási folyamat A Configuration file beáll´ıtásai után, root-ként a következ˝o parancsot kell kiadni: $ ./Configure aminek hatására valami hasonlót fogunk kapni<br /> <br /> 72<br /> <br /> Using config file: Configuration Creating Makefile + configured for FreeBSD platform + setting C compiler to gcc + Adding selected modules o status_module uses ConfigStart/End: o dbm_auth_module uses ConfigStart/End: o db_auth_module uses ConfigStart/End: o so_module uses ConfigStart/End: + doing sanity check on compiler and options Creating Makefile in support Creating Makefile in main Creating Makefile in ap Creating Makefile in regex Creating Makefile in os/unix Creating Makefile in modules/standard Creating Makefile in modules/proxy Ezután már le lehet ford´ıtani a web szervert: $ make<br /> <br /> ˝ odtetésének alapjai 9.5 Apache muk¨ 9.5.1 Apache futtatása A web szervert akkor lehet futtatni, ha van site (web oldalak sorozata) amit meg lehet jelen´ıteni. Ha létrehozunk egy könyvtárat a site számára, akkor annak három alkönyvtárat kell tartalmaznia: conf, logs e´ s htdocs. A conf konfigurációs könyvtárban három konfigurációs file is lehet: srm.conf, access.conf e´ s httpd.conf. A beáll´ıtások maradhatnak ebben a három file-ban, de a jelenleg e´ rvényes stratégia szerint a három file-t o¨ ssze szokták f˝uzni egy file-ba: httpd.conf. Így könnyebb kezelni e´ s biztonságosabb is. Még egy fontos megjegyzés! Az Apache szerver egy igen nagy e´ s komplikált konfigurációs fileal e´ rkezik. A kezd˝o felhasználóknak elég nehéz a´ tlátni e´ s megérteni az opciókat ebben a file-ban. Az u´ j felhasználók a´ ltalában azt szokták csinálni, hogy ezt a file-t módos´ıtgatják. Kés˝obb ezeket a ´ ez módos´ıtásokat elfelejthetjük e´ s az o¨ sszetettség miatt nem is biztos, hogy ki lehet majd bogozni. Igy egy nagyon rossz stratégia! A legjobb módszer az, hogy egy minimális konfigurációs file-al kezdjünk e´ s csak azokat a beáll´ıtásokat adjuk hozzá amikre feltétlenül szükség van. A web szerver elind´ıtásánál megadhatjuk, hogy melyik site-ot szolgálja ki a web szerver e´ s melyik konfigurációs file-t használja: $ httpd -f /usr/local/conf/httpd.conf -d /usr/local/www/siteom Ha nem akarjuk mindig parancssorból ind´ıtani a web szervert, akkor ´ırhatunk egy script-et is: % cat > /usr/local/bin/go test -d logs || mkdir logs httpd -f ’pwd’/conf/httpd.conf -d ’pwd’ ˆd Ez a script feltételezi, hogy a site f˝o könyvtárában futtatjuk le.<br /> <br /> 73<br /> <br /> 9.5.2 Apache leáll´ıtása A web szervert többféleképpen lehet leáll´ıtani. Az egyik lehet˝oség, hogy a futó processzusok közül kikeressük a web szerver processzusait e´ s azokat a´ ll´ıtjuk le: $ ps -fe | grep httpd $ kill PID Linuxon a következ˝o parancs is használható: $ killall httpd vagy a futó web szerver processz ID-jét egy file is tartalmazza, amit szintén felhasználhatunk a leáll´ıtásra: $ kill ‘cat /usr/localwww/siteom/logs/httpd.pid‘ Végül az apachectl program is használható a web szerv elind´ıtására vagy leáll´ıtására.<br /> <br /> 9.5.3 A szervert futtató felhasználó Fontos, hogy a web szert ne futtassuk root vagy nobody felhasználóként. Mind a két eset biztonsági rést jelent a rendszeren. 1 A legbiztonságosabb megoldás, hogy létrehozunk egy felhasználót e´ s egy csoportot. A csoportnak csak ez a falhasználó legyen a tagja. Például: $ groupadd webuser $ useradd -g webuser webuser A felhasználót a´ ll´ıtsuk u´ gy be, hogy senki ne tudjon ezzel az azonos´ıtóval belépni. Például adjunk meg valami nagyon bonyolult e´ s hosszú jelszót, vagy alkalmazzuk valamelyik módszert a 4. fejezetb˝ol. Ezen k´ıvül a felhasználónak csak olyan file-okhoz legyen hozzáférési joga, amit elérhet˝ové akarunk tenni a külvilág felé. Az operációs rendszer után a web szervernek is meg kell mondani, hogy ez a felhasználó futtassa a web szervert. A httpd.conf konfigurációs file-ban a következ˝oket kell beáll´ıtani: User webuser Group webgroup<br /> <br /> 9.6 Apache beáll´ıtásai, konfigurációk 9.6.1 Alap beáll´ıtások A httpd.conf konfigurációs file-ban további beáll´ıtásokat lehet tenni: • Meg kell adni a web szervert futtató gép nevét ServerName <yourmachinename> • Meg kell adni annak a könyvtárnak a nevét is, ahol a site file-jai találhatók. Ezt az u´ tvonalat fogja a web szerver minden kért file-hoz hozzáf˝uzni. 1 A +nobody+ felhaszn´ alóval például az a probléma, hogy más rendszer komponenseket is ezzel a felhasználóval futtatunk e´ s ha azok egyikét valaki feltöri, akkor hozzáférése lesz a web szerverhez is.<br /> <br /> 74<br /> <br /> DocumentRoot <path> • A konfigurációs e´ s log file-ok helyét a ServerRoot opcióval lehet megadni: ServerRoot <path> • A hiba log file neve is külön megadható. Ez a file fogja tartalmazni a bejegyzéseket a különböz˝o hibákról, például ha nem található egy web lap. ErrorLog <filename> • A régebbi Apache szerverek esetén automatikusan jött létre az a log file, ami a lekért oldalakat, illetve a lekéréseket tartalmazza. Ez a file a log/access_log volt. Az u´ jabb Apache szervereken (v2) ezt a log file-t explicit módon meg kell adni: TransferLog <filename> • A futó web szerver processzusának azonos´ıtó számát (PID) a rendszer szintén egy file-ban tárolja. A file nevet a következ˝oképpen lehet megadni: PidFile <filename> • Az Apache v2 megköveteli azt is, hogy megadjuk, hogy a web szerver melyik porton várja a kéréseket. A host név is megadható ebben az esetben. Ez a preferált opció a BindAddress e´ s Port opciókkal szemben. Listen <hostname:port> • A régebbi web szervereken ha azt akartuk, hogy a web szerver ne minden IP c´ımen végezzen kiszolgálást, hanem csak egy adott c´ımen, akkor a BindAddress opciót kellett használni. Az Apache v2-ben a Listen opciót kell használni. • A Port opció többféle helyzetben használható. Ha a <Virtualhost> opción k´ıvül használjuk e´ s a BindAddress illetve Listen opciók nincsennek megadva, akkor ennek a seg´ıtségével lehet megadni a portot, amin az Apache web szerver várja a kéréseket. Ha ezt az opciót a <Virtualhost>-on belül használjuk, akkor a web szerver ezt a portot fogja használni amikor a szerver saját maga számára generál URL-t. (Ez nem azt a portot adja meg, amelyiken a web szerver válaszol a kliensnek, mivel az a port a <Virtualhost>-on belül van definiálva.) Az alábbiakban egy példa konfigurációs file található: ServerName Listen DocumentRoot ServerRoot TransferLog ErrorLog PidFile<br /> <br /> www.index.hu 80 /usr/local/www/site/htdocs /usr/local/www/site/ /usr/local/www/site/logs/access.log /usr/local/www/site/logs/error.log /usr/local/www/site/logs/httpd.pid<br /> <br /> 9.6.2 Blokk direkt´ıvák Az Apache web szervernek több olyan blokk direkt´ıvája van, amelyek a többi opció alkalmazását korlátozza például host-okra, könyvtárakra e´ s file-okra. A blokk direkt´ıvák listája: • <VirtualHost><br /> <br /> 75<br /> <br /> • <Directory> • <Files> • <Location> A lista azt a sorrendet is mutatja, hogy milyen sorrendben ´ırják felül e´ s sz˝uk´ıtik az alkalmazásukat. Például a <Directory> blokkban megadott opciók könyvtárakra vonatkoznak, amiket felül ´ırhatnak a <Files> blokkban megadott opciók, amiket felül ´ırhatnak a <Location> blokkban megadott opciók. <Directory> blokk direkt´ıva A <Directory> blokk direkt´ıva könyvtárakra vagy könyvtárak csoportjaira vonatkozó opciókat tartalmaz. Szintakszisa: <Directory dir > ... </Directory> Egy dolgot nagyon fontos megérteni, hogy a dir az abszolút u´ tvonalra vonatkozik, ´ıgy a <Directory \ > fejléc a f˝okönyvtárra vonatkozik e´ s nem a DocumentRoot könyvtárra. A dir helyén “wildcard” karakter is szerepelhet: ? egy karakterre illeszkedik, * bármilyen karaktersorozatra illeszkedik e´ s a [ ] pedig karakter tartományra illeszkedik. Ha a dir el˝ott egy ˜ karakter szerepel akkor utána teljes reguláris kifejezés használható. A <Directory ˜ dir> jelentése megegyezik a <DirectoryMatch dir> kifejezéssel, ´ıgy például az alábbi két kifejezés ugyanaz: <Directory ˜ [a-z].* > ami egyenl˝o ezzel: <DirectoryMatch [a-z].* > ami azt jelenti, hogy bármilyen karakterrel kezd˝od˝o könyvtár névre illeszkedik. <Files> blokk direkt´ıva A <Files> file-okra vonatkozó opciókat fog o¨ ssze. Szintakszisa: <Files file > ... </Files> ahol viszont a file a DocumentRoot könyvtárhoz képesti relat´ıv u´ tvonalat, illetve file-t ad meg! It is igaz, hogy ha a ˜ karakter szerepel a Files után akkor utána teljes reguláris kifejezés használható. Ezen k´ıvül ebben az esetben is használható a <FilesMatch> opció. Például a grafikus file-okra vonatkozó opciók: <FilesMatch "\.(gif|jpeg|png)$" > Ez az opció használható a .htaccess file-okon belül, m´ıg a <Directory> e´ s a <Location> nem.<br /> <br /> 76<br /> <br /> <Location> blokk direkt´ıva A <Location> URL-ekre vonatkozó opciókat fog o¨ ssze. Szintakszisa: <Location URL > ... </Location> <IfDefine> blokk direkt´ıva Az a blokk direkt´ıva bekapcsol bizonyos opciókat, amikor a web szervert a -D nev módon ind´ıtjuk el. Szintakszisa: <IfDefine nev> ... </IfDefine> Ennek a direkt´ıvának a seg´ıtségével egy konfigurációs file-ban több konfiguráció is eltárolható. Például ez alkalmas tesztelési opciók megadására. <IfModule> blokk direkt´ıva Ez a direkt´ıva az a´ ltala befoglalt opciókat kapcsolja be, ha az adott modul elérhet˝o a web szerverben. Szintakszisa: <IfModule [!]module-file-name> ... </IfModule> A felkiálltójel tagadást jelent, vagyis arra az esetre vonatkozik ha a modul nincs betöltve.<br /> <br /> 9.6.3 További opciók ServerName Az opció seg´ıtségével megadható az a név, amit a web szerver visszaküld a kliensnek. Ha nem adnánk meg, akkor a web szerver megpróbálja kitalálni a nevet a gép IP c´ıméb˝ol. Példa a használatra: ServerName www.pelda.hu Ha valaki a ez.pelda.hu oldalt kéri le, akkor a szerver a fenti opció kiadásával a www.pelda.hu nevet fogja visszaadni a kliensnek.<br /> <br /> 9.7 Virtuális host-ok El˝ofordulhat, hogy több web szervert szeretnénk u¨ zemeltetni. Például u´ j kutatócsoport jön létre az egyetemen, vagy egy cégnél a mérnökök mellett marketing osztály is létrejön. Két alapvet˝o megoldás lehetséges: 1. Futtassunk egy web szervert, amely több virtuális oldalt szolgál ki. Ez a leggyakoribb megoldás. 2. Két web szervert futtatunk egy szám´ıtógépen e´ s mindegyik egy site-ot szolgál ki. Ez a fejezet az els˝o megoldással foglalkozik.<br /> <br /> 77<br /> <br /> 9.7.1 Név alapu´ virtuális host-ok Ebben az esetben a szám´ıtógépnek egy IP c´ıme van, de erre az IP c´ımre több név is regisztrálva van a DNS-ben. A kliensek ezek közül a nevek közül bármelyiket “megszól´ıthatják” e´ s különböz˝o web oldalra kerülnek. A legfontosabb dolog a következ˝o opció megadása a konfigurációs file-ban: NameVirtualHost cim[:port] A cim egy IP c´ım, amihez egy port számot is megadhatunk opcionálisan. Ezt az opciót követi több <VirtualHost> szekció, amelyeken belül ServerName opciónak is szerepelnie kell. Bár u´ gy t˝unik a ServerName opció azonos´ıtja a host-ot, de valójában a <VirtualHost> utáni név azonos´ıtja, a ServerName opció azt a nevet adja meg amit a web szerver visszaküld a kliensnek. ¨ Osszefoglalva lényeget, ez a lehet˝oség az IP c´ımet “név alapján osztjuk fel”. Nézzünk egy példát, ami egy konfigurációs file részlete: NameVirtualHost 192.168.123.2 <VirtualHost www.pelde.com> ServerName www.pelda.com ServerAdmin valaki@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/vevok ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> <VirtualHost sales.pelda.com> ServerName sales.pelda.com ServerAdmin sales@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/salesmen ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> Fontos, hogy bár a web oldalakat különböz˝o helyr˝ol szolgálja ki a web szerver a log-ok akár közös file-ba is kerülhetnek.<br /> <br /> 9.7.2 IP c´ım alapu´ virtuális host-ok Bár a jöv˝oben valósz´ın˝uleg a név alapú virtuális host lesznek a legelterjedtebbek ma még sok web site használja az IP c´ım alapú virtuális host-okat. Ebben az esetben nem kell a NameVirtualHost opció. Az el˝oz˝o példa most a következ˝oképpen nézne ki: <VirtualHost 192.168.123.2> ServerName www.pelda.com ServerAdmin valaki@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/vevok ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> <VirtualHost 192.168.123.3> ServerName sales.pelda.com ServerAdmin sales@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/salesmen<br /> <br /> 78<br /> <br /> ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost><br /> <br /> 9.7.3 Név e´ s IP c´ım alapu´ virtuális host-ok A fenti két módszer keverhet˝o is: NameVirtualHost 192.168.123.2 <VirtualHost www.pelde.com> ServerName www.pelda.com ServerAdmin valaki@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/vevok ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> <VirtualHost sales.pelda.com> ServerName sales.pelda.com ServerAdmin sales@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/salesmen ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> <VirtualHost 192.168.123.3> ServerName sales-IP.pelda.com ServerAdmin sales@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/salesmen ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> Az els˝o két web oldalt a név alapján e´ s a NameVirtualHost opció alapján szolgálja ki a web szerver, m´ıg a sales-IP.pelda.com web oldalhoz a kérést a harmadik VirtualHost opció alapján szolgálja ki a web szerver. Ebben az esetben fontos, hogy az IP c´ım alapú virtuális host az utolsó a konfigurációs file-ban. Erre azért van szükség, mert a NameVirtualHost opció az els˝o két virtual host-ra vonatkozik, ´ıgy ha azok nem a keresett host-ok, akkor a kérés során “átesik” a harmadik opcióra, ami már IP alapú virtual host defin´ıció.<br /> <br /> 9.7.4 Port alapu´ virtuális host-ok Ez a megoldás hasonl´ıt az IP alapú virtual host módszerhez. El˝onye, hogy nem kell több IP c´ımet vagy nevet használni, hanem csak egy IP c´ımre van szükség. Hátránya, hogy az emberek nem szeretnek “mindenféle” portot megadni a web oldal eléréshez. Például: Listen 80 Listen 8080 <VirtualHost 192.168.123.2:80> ServerName www.pelda.com<br /> <br /> 79<br /> <br /> ServerAdmin valaki@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/vevok ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost> <VirtualHost 192.168.123.2:8080> ServerName sales.pelda.com ServerAdmin sales@pelda.com DocumentRoot /usr/www/site.virtual/htdocs/salesmen ErrorLog /usr/www/site.virtual/nev-alapu/logs/error_log TransferLog /usr/www/site.virtual/nev-alapu/logs/access_log </VirtualHost><br /> <br /> 80<br /> <br /> 10. Fejezet<br /> <br /> DNS szolgáltatás A DNS jelentése: Domain Name Service vagyis domain név szolgáltatás. A név szolgáltatást szinte kizárólag a BIND programmal végzik az Interneten. A BIND is egy rövid´ıtés: Berkeley Internet Name Daemons. A BIND program jelenlegi verziója 9.<br /> <br /> 10.1 Domain nevek Az Internet domain-ekb˝ol a´ ll, amelyek hierarchiába rendez˝odnek. Legfelül a root domain van. Ebben is nagyon hasonl´ıt lényegében egy Unix file rendszerhez. A 10.1. a´ bra mutat egy példa hierarchiát. A domain neveket a specifikustól az a´ ltalános felé ´ırjuk, például: www.pmmf.hu. A pmmf.hu domainben van egy www e´ s egy mail szerver, m´ıg hu domain-nek több al-domainje is van. Ezeket a neveket nem szokták FQDN (fully qualified domain name) formátumban megadni: "www"."pmmf"."hu"."" A fenti ´ırásmódban azért használjuk a dupla aposztrofot, hogy hangsúlyozzuk, hogy a végén ott a root ´ aban nem ´ıgy szoktuk csomópont. A root csomópont a "" (null) e´ s az elválasztó jel a pont (.). Altal´ le´ırni a domain nevet, hanem: www.pmmf.hu Itt azt vegyük e´ szre, hogy a pont elt˝unt a végér˝ol!<br /> <br /> “”<br /> <br /> org<br /> <br /> hu<br /> <br /> pte<br /> <br /> pmmf<br /> <br /> www<br /> <br /> uk<br /> <br /> mail<br /> <br /> 10.1. a´ bra: Domain név hierarchia<br /> <br /> 81<br /> <br /> com<br /> <br /> hu<br /> <br /> gov<br /> <br /> Budaörs<br /> <br /> Budapest Pécs<br /> <br /> 10.2. a´ bra: Feltételezett gov.hu zóna<br /> <br /> 10.2 DNS adminisztráció alapjai Mivel most már tudjuk, hogyan e´ pül fel a domain név, az lehet a kérdés, hogy ki adminisztrálja, tartja ny´ılván ezeket a neveket. Egy személy esetleg? Nem. Van egy központi szervezet, ami bizonyos domain neveket adminisztrál, de nem mindet! Ez az intézmény az ICANN (Internet Corporation for Assigned Names and Numbers). Egy intézmény számára hihetetlen nagy munka volna karbantartani az o¨ sszes domain nevet, illetve nagyon sérülékeny is lenne a rendszer. Így valójában a központi szervezet delegálja a feladatokat. A domain névért ´ıgy felel˝os lehet maga a céged, de sokkal gyakoribb, hogy az Internet Szolgáltató (Internet Service Provider, ISP) felügyeli a domain neveket. Vegyük azt a példát, hogy elég nagy cégnek dolgozik, ´ıgy maga a cég adminisztrálja a saját domain nevét. Ebben az esetben könnyen tudunk további al-domain-t hozzáadni, például: sales.mycompany.co.hu tech.mycompany.co.hu Így ha akarjuk a két szervezeti csoportnak külön web szervere lehet illetve további gépek tartozhatnak ezekbe az al-domain-ekbe. Mivel mi felügyeljük ezt a domain-t ezért könnyen konfigurálhatjuk a saját DNS szerverünket e´ s nem kell kapcsolatba lépni az ICANN szervezettel. Ez a példa felveti a domain e´ s zonák közötti különbség kérdését. Egy név szervernek teljes ismerete van a domain-r˝ol e´ s teljes autoritással b´ır felette ezért ezt a domain-t zónának szokták nevezni. Nézzünk egy o¨ sszetettebb példát. A gov.hu domain delegálhatja a felügyeletet a városi o¨ nkormányzatoknak a saját domain-jeik felett. Így Budapest lesz felel˝os a budapest.gov.hu domain-ért e´ s Pécs lesz felel˝os a pecs.gov.hu domain-ért. Mindegyik o¨ nkormányzat a saját zonájáe´ rt felel˝os e´ s ez ´ıgy is van jól, mivel annak semmi e´ rtelme, hogy Pécs lenne felel˝os Budapest domain neveiért. Ezzel a delegálási módszerrel a gov.hu domain adminisztrátorának csak annyit kell tudnia, hogy ki a felel˝os Budapest e´ s Pécs domain-jeiért. Ez a delegálás azzal is jár, hogy megb´ızunk az al-domain-ek adminisztrátoraiban. Ami komplikálja ezt a képet, hogy nem minden o¨ nkormányzat domain-jét kezelik helyileg, mert például lehet, hogy nincs elég ismeretük hozzá, vagy nem akarják. Ebben az esetben is a gov.hu domain kezeli az al-domain-t. Ez azt jelenti, hogy egy név szerver tehát nem csak a saját, hanem az al-domain-jeit is kezelheti. Így azt lehet látni, hogy a zóna fogalma nem korlátozódik egy domain-re, annál szélesebb! Erre mutat példát a 10.2. a´ bra.<br /> <br /> 10.3 Név feloldás A név feloldást “name resolution”-nak h´ıvják angolul e´ s azt jelenti, hogy megkeressük a megadott névhez tartozó IP c´ımet. A keresésben a kliens feladata, hogy “elind´ıtsa” a keresést, mivel a kliens<br /> <br /> 82<br /> <br /> szinte semmit nem tud. Egy név szervernek kell majd a keresett információt szolgáltatnia. Igen, de egy név szerver csak a saját zónájába tartozó nevekr˝ol tud információt adni, ´ıgy azt is biztos´ıtania kell, hogy keresni tudjunk abban a névtartományokban is amelyek felett az adott név szervernek nincs felügyeleti jogköre. Mint már tárgyaltuk egyetlen név szerver nem tudja az egész Internetet kiszolgálni. Ugyanakkor vannak root szerverek, melyek a keresés kezd˝opontjaként szolgálnak e´ s azt adják meg, hogy kihez kell tovább´ıtani az adott domain-re vonatkozó keresést. Nézzük meg a www.aad.gov.au domain név feloldását. Az els˝o kérdés, hogy ki felügyeli a domain-t. Ennek megtalálására a dig parancsot lehet használni: $ dig NS au. A parancs kilistázza azon név szervereket akik felügyelik az Ausztrál domain-t: au. au. au. au. au. au. au. au. au.<br /> <br /> 259192 259192 259192 259192 259192 259192 259192 259192 259192<br /> <br /> IN IN IN IN IN IN IN IN IN<br /> <br /> NS NS NS NS NS NS NS NS NS<br /> <br /> udns4.ausregistry.net.au. udns2.ausregistry.net.au. ns1.ausdns.net.au. ns2.ausdns.net.au. a1.ausdns.net.au. udns1.ausregistry.net.au. ab.ausdns.net.au. udns3.ausregistry.net.au. udns5.ausregistry.net.au.<br /> <br /> 83<br /> <br /> 84<br /> <br /> 11. Fejezet<br /> <br /> NFS e´ s NIS szolgáltatások 11.1 NFS alapok Az NFS rövid´ıtés a network filesystem-et vagyis hálózati filerendszert jelenti. Az NFS az RPC (Remote Procedure Call) protokollon alapul e´ s 1980 környékén a SUN Microsystem fejlesztette ki, hogy file-okat lehessen megosztani Unix rendszerek között. Az NFS kliens-szerver architektúrát használva azt biztos´ıtja, hogy a szerver a´ ltal megosztott könyvtárak transzparens módon beilleszthet˝ok (mount) a kliens gépek könyvtár szerkezetébe. A rendszer több daemon-t e´ s konfigurációs file-t használ mindenféle autentikáció nélkül, ´ıgy bár kényelmi szolgáltatás, de alapvet˝oen biztonsági problémát is jelent. Az NFS protokoll felép´ıtése a 11.1. a´ brán látható. NFS az UDP protokollt használja, ami egy “kapcsolat nélküli” (connectionless) protokoll. Az NFS-hez az u´ gynevezett MOUNT protokollra is szükség van amit a mountd daemon implementál. A mountd daemon mondja meg az nfsd daemon-nak, hogy mely file rendszerek a´ llnak kliensek rendelkezésre, hogy becsatolják. A szerveren még fut a portmap daemon is, ami az RPC h´ıvásokat kezeli. A kliens oldalon az rpc.statd e´ s rpc.lockd daemon-ok futnak.<br /> <br /> 11.2 NIS alapok NIS vagyis más szóval a Network Information Service. A szolgáltatás régi neve “Yellow Pages” e´ s tulajdonképpen egy adatbázis, ami lehet˝ové teszi a passwd, group e´ s hosts file-ok központos´ıtott elérését. Egy központi, mester szerver (master server) tárolja az adatokat e´ s szolgálja ki a kéréseket a kliensek felé. Ugyanakkor a mester szerver e´ s a kliensek mellett további al-szerverek (slave server) is részei a hálózatnak, ahogy ez a ??. a´ brán is látható. Az al-szerverek szintén ki tudnak szolgálni kéréseket, ha a mester szerver nem elérhet˝o, de nem tudják módos´ıtani az adatokat. Az adatok módos´ıtása<br /> <br /> NIS<br /> <br /> NFS RPC<br /> <br /> XDR - External Data Representation Internet protokoll Network Transport (pl. Ethernet)<br /> <br /> 11.1. a´ bra: NFS protokoll stack<br /> <br /> 85<br /> <br /> csak a mester szerveren lehetséges, ami aztán tovább´ıtódik az al-szerverek felé. Az NIS szolgáltatás is több daemon-t használ. A szerveren az ypserv daemon fut, m´ıg a kliens gépekr˝ol az ypbind daemon küldi a kéréseket a szerver felé. Az adatok tovább´ıtása történhet explicit módon az yppush seg´ıtségével vagy automatikusan az ypxfrd programmal.<br /> <br /> 11.3 Problémák az NFS-es e´ s NIS-el Az NFS e´ s NIS szolgáltatásokkal több biztonsági probléma van, e´ s ezek e´ vek során folyamatosan problémát okoztak. Sajnos a problémák a rendszer természetéb˝ol adódnak. Például az NFS rendszer az AUTH_UNIX módszert használja az autentikációra e´ s alapvet˝oen megb´ızik az az NFS a´ ltal szolgáltatott UID e´ s GID e´ rtékben! Ezzel az a probléma, hogy könny˝u olyan programot ´ırni, amely tetsz˝oleges UID e´ s GID e´ rtéket használ e´ s ´ıgy az NFS szerverr˝ol bármilyen file-hoz hozzáférhetünk. Ezen felül, egy id˝oben az NFS daemon programokban több “buffer overflow” hibát találtak. Az NIS szolgáltatásnál az egyik alapvet˝o probléma a DOS (Denial Of Service) támadás. (Ezt a támadást a finger programmal lehet elérni, amikor nagyon sok kérést intézünk a szerverhez.) További problémák is vannak a szolgáltatással, de a másik f˝o probléma, hogy teljesen k´ıvülállók is viszonylag egyszer˝uen be tudnak törni. Ha valaki kitalálja az NIS szerver c´ımét, akkor a saját kliensével csatlakozik hozzá, majd egyszer˝uen az ypcat paranccsal lekérdezheti a teljes adatbázist. A fentieken k´ıvül, mivel mindkét szolgáltatás futtatható nem priviligizált portokon ezért bármelyik felhasználó futtathatja a szolgáltatásokat. Így az eredeti szolgáltatások viszonylag egyszer˝uen helyettes´ıthet˝ok saját verzióval, e´ s ´ıgy egy rosszindulatú felhasználó szabadon hozzáférhet a szolgáltatásokhoz.<br /> <br /> 86<br /> <br /> 12. Fejezet<br /> <br /> LDAP Az LDAP teljes neve: Lightweight Directory Access Protocol. Ez azt jelenti, hogy ez egy protocol ami támogatja a “directory” szolgáltatást (c´ımtár szolgáltatás). A c´ımtár szolgáltatás a legjobban ahhoz hasonló, mint egy telefon szolgáltató cég adatbázisa, amib˝ol a felhasználókról tudhatunk meg információkat gyorsan e´ s egyszer˝uen. Hagyományosan az operátor a kapcsolat a felhasználó e´ s az adatbázis között. Ugyanakkor ez a szolgáltatás nem arra való, hogy a felhasználó a telefonszámát megváltoztassa, hanem információ kikérésre. A c´ımtár szolgáltatásoknak speciális az adatbázisa, mivel keresésre vannak optimalizálva. Akkor használunk ilyen adatbázist amikor kevés az ´ırás e´ s módos´ıtás m˝uvelet e´ s nagy számú, gyors lekérdezésekre van szükség. A c´ımtárak speciális tulajdonságai: • Az adatbázis optimalizálva olvasásra. Természetesen ´ırni is lehet, de szám´ıtásigényes. • Fejlett e´ s o¨ sszetett keresést tesz lehet˝ové. • Az alapvet˝o adat szerkezet kiegész´ıthet˝o, u´ gynevezett sémákkal (schema), a helyi igényeknek megfelel˝oen. • Szabványos´ıtott formátumot e´ s protokolt használt, ´ıgy lehet˝oség van rendszerek közötti együttm˝uködésre. • Támogatja az egyszer˝u adat replikálást, többszörözést. Ezeken felül ezek az adatbázisok nem támogatják a tranzakciókezelést e´ s a visszaforgatást. Az LDAP rendszerek eredete az X.500-as “directory” szolgáltatásoktól származtatható, de ugyanakkor egyszer˝ubb: • A TCP/IP hálózaton fut. Az X.500-as rendszerek a DAP protokollt használják. • Csak a legfontosabb szolgáltatások vannak megvalós´ıtva. • Adatformátuma szöveges e´ s egyszer˝ubb. Fontos, hogy az LDAP “csak” egy protokoll e´ s nem szoftver. A protokoll csak a c´ımtár szolgáltatáshoz való hozzáférést szabályozza. A protokoll egy konkrét programban van megvalós´ıtva e´ s az adatok tárolására szolgáló adatbázist is egy másik programnak kell biztos´ıtania. Ez az adatbázis a back end. Az LDAP protokolt el˝oször 1990-ben implementálták a University of Michigen-en. A szabad forrású implementácója az OpenLDAP (http://www.openldap.org). Az OpenLDAP implementáció több részb˝ol e´ s ezakb˝ol a legfontosabbak: • démonok (daemon): slapd az OpenLDAP daemon e´ s slurpd az adat replikáló daemon • adatbázis környezet: Az OpenLDAP támogatja a Berkeley DB e´ s GNU GDBM adatbázisokat<br /> <br /> 87<br /> <br /> dc=hu dc=net dc=example<br /> <br /> szervezet<br /> <br /> szervezeti egység<br /> <br /> ou=Groups ou=People<br /> <br /> személy uid=smith 12.1. a´ bra: Információ faszerkezetben, LDAP alatt. • seg´ıt˝o programok (utility): ldapadd (bejegyzés hozzáadása), ldapmodify (bejegyzés módos´ıtása), ldapdelete (törlés), ldapsearch (keresés), ldappasswd (jelszó váltás). • kapcsolódó seg´ıtó programok: slapdpasswd (kódolt jelszavak generálása) • konfigurációs file-ok.<br /> <br /> 12.1 C´ımtár szerkezete Az LDAP az információt egy faszerkezetben tárolja, ahol minden csomópont egy bejegyzés (entry). A bejegyzésnek van t´ıpusa, amely meghatározza a bejegyzésnek milyen attribútumai, tulajdonságai lehetnek. Minden bejegyzésre lehet hivatkozni a “Distinguished Name” (DN) seg´ıtségével. A DN lényegében a csúcshoz vezet˝o u´ tvonalat adja meg. Egy példa faszerkezet a 12.1. a´ brán látható. Mivel az adatokat nem ilyen grafikusan formában a´ brázoljuk, hanem szöveges file-ban ezért minden csomópontot pontosan meg kell adnunk, hogy hol helyezkedik el a faszerkezetben. Az egyik elterjedt formátum az LDIF. Az LDIF (LDAP Data Interchange Format) formátum az RFC 2849-es dokumenumban van definiálva.1 A formátum egyszer˝u szöveges dokumentumot definiál amiben ASCII karaktereket lehet használni, vagy az egyéb karaktereket base64-es kódolásban. Az LDIF formátumot az LDAP szolgáltatáson k´ıvül a Netscape Communicator használta e´ s a Mozilla Application Suite jelenleg is használja az e-mail c´ımek tárolására.<br /> <br /> 12.1.1 Sémák<br /> <br /> 12.2 Szerver telep´ıtés e´ s beáll´ıtás Az OpenLDAP telep´ıtése nem bonyolult, de id˝ot vehet igénybe minden megfelel˝o beáll´ıtása. Az OpenLDAP telep´ıtésének el˝ofeltétele a következ˝o szoftverek: • Adatbázis kezel˝o: 1 B´ ar több kiegész´ıtést<br /> <br /> javasoltak az e´ vek során, egyel˝ore csak az RFC 4525-ös számú dokumentum van hivatalosan elfogadva.<br /> <br /> 88<br /> <br /> Rövid´ıtés cn<br /> <br /> Angol név Common Name<br /> <br /> ou dc<br /> <br /> Organizational Unit Domain Component<br /> <br /> dn<br /> <br /> Distinguished Name<br /> <br /> RDN UPN<br /> <br /> Magyarázat Az egyedi objektumra hivatkozik, például személy neve, szoba, amire majd keresni fogunk. Az a szervezeti egység aminek a személyek részei. Egy domain komponense. Például a www.google.com-ot ´ıgy ´ırnánk le: dc=www,dc=google,dc=com Ez az az egyedi név, amivel a c´ımtár egy bejegyzésére egyedi módon hivatkozhatunk.<br /> <br /> Relative Distinguished Name User Principal Name 12.1. tábla: LDAP nevek<br /> <br /> – GNU gdbm: http://www.fsf.org – Berkeley DB: http://www.sleepycat.com • Transport Layer Security (TLS/SSL): http://www.openssl.org • Cyrus SASL könyvtár: http://asg.web.cmu.edu/sasl/ Debian alatt a következ˝o csomagokat kell e´ s e´ rdemes telep´ıteni a szerverre: apt-get install slapd ldap-utils migrationtools illetve még az NSCD daemon-ra is szükség lehet, a gyorsabb hozzáférés miatt. A migrationtools csomag seg´ıtségével a már létez˝o felhasználókat lehet a´ tvinni az LDAP adatbázisba. Az installálás során a csomag létrehoz egy külön felhasználót e´ s csoportot e´ s az LDAP rendszer filejai ehhez a felhasználóhoz fognak tartozni. Ha kézi u´ ton szeretnénk ezeket a beáll´ıtásokat elvégezni akkor a következ˝o utas´ıtás sorozatot kellene kiadni: # # # # # # # # # #<br /> <br /> adduser openldap chown -R openldap:openldap /etc/ldap chmod 770 /etc/ldap find /etc/ldap -type f -exec chmod 440 {} \; find /etc/ldap -type d -exec chmod 770 {} \; chown -R openldap:openldap /var/lib/ldap chmod 750 /var/lib/ldap rm /var/lib/ldap/* chown -R openldap:openldap /var/spool/slurpd rm /var/spool/slurpd/*<br /> <br /> 12.2.1 LDAP szerver beáll´ıtása A telep´ıtés után be kell a´ ll´ıtani az LDAP szervert. A konfigurációs file a´ ltalában a /etc/ldap/slapd.conf helyen található. Egy minta konfigurációs file a 12.2.1. táblázatban látható. Az els˝o négy sor a használt sémákat tölti be. A pidfile opció adja meg, hogy a szerver processzus azonos´ıtóját melyik file-ban tároljuk. Az argsfile opcióval az slapd szerver argumentumait lehet megadni. A “back end” adatbázis helyét a directory opcióval adhatjuk meg. Az ´ıgy megadott könyvtárnak a LDAP szerver ind´ıtása el˝ott már léteznie kell e´ s a jogosultsága olyan legyen, hogy csak a tulajdonos felhasználó ´ırhassa, olvashassa (mode 700), illetve legyen az LDAP felhasználó tulajdonában. A backend e´ s database opciókkal az adatbázist adjuk meg.<br /> <br /> 89<br /> <br /> include include include include<br /> <br /> /etc/openldap/schema/core.schema /etc/openldap/schema/cosine.schema /etc/openldap/schema/inetorgperson.schema /etc/openldap/schema/nis.schema<br /> <br /> pidfile argsfile directory<br /> <br /> /var/run/slapd/slapd.pid /var/run/slapd/slapd.args /var/lib/ldap<br /> <br /> backend database<br /> <br /> hdb hdb<br /> <br /> suffix rootdn rootpw<br /> <br /> "dc=example,dc=hu" "cn=admin,dc=example,dc=hu" {MD5}blablablabla==<br /> <br /> # opcion´ alisan password-hash schemacheck index loglevel<br /> <br /> {MD5} on objectClass eq 256 12.2. tábla: slapd konfigurációs file<br /> <br /> ACL beáll´ıtások Kontrollálhatjuk, hogy az LDAP egyes részeihez, ki milyen jogokkal férhessen hozzá. Erre azért van szükség, mert a c´ımtár olyan adatokat is tárol, melyre több programnak is szüksége van e´ s “anonymous” módon akarjuk kiolvasni (pl. felhasználói e´ s csoport azonos´ıtó), de ugyanitt tároljuk az e´ rzékeny adatokat is (pl. jelszavak), amelyeket csak maga a felhasználó e´ s az adminisztrátor e´ rhet el. A hozzáférést nagyon finoman lehet szabályozni Például a jelszavakat védelmét a következ˝o módon lehet megadni: access to by by by by<br /> <br /> attrs=userPassword dn="cn=admin,dc=example,dc=hu" write anonymous auth self write * none<br /> <br /> Ez a beáll´ıtás az /etc/ldap/slapd.conf file-ban azt adja meg, hogy a jelszó attribútum esetén az adminisztrátornak e´ s magának a felhasználónak ´ırási joga van, a névtelen felhasználónak (anonymous) azonos´ıtania kell magát e´ s mindenki más sem ´ırni sem olvasni nem tudja a jelszavakat. Ha azt akarjuk biztos´ıtani, hogy csak az adminisztrátor tudja ´ırni a c´ımtárat, de mindenki más olvashassa (az el˝oz˝o kötöttséggel, hogy a jelszavakat nem), akkor a következ˝o sorokat kell még elhelyezni az /etc/ldap/slapd.conf file-ba: access to * by dn="cn=admin,dc=example,dc=hu" write by * read Az alap beáll´ıtás az LDAP szerver esetén: access to * by * read<br /> <br /> 90<br /> <br /> vagyis mindenkinek szabad olvasási hozzáférést biztos´ıt a teljes c´ımtárhoz. Ezeknél a hozzáférési beáll´ıtásoknál figyelni kell arra, hogy a rendszer fentr˝ol lefelé alkalmazza a szabályokat e´ s amire van már beáll´ıtás azt az alatta lev˝o beáll´ıtás már nem ´ırja felül. Ezek tükrében e´ rdemes végiggondolni a beáll´ıtásokat, hogy mihez engedünk hozzéférést e´ s mihez nem. Jelszavak generálása LDAP-hoz Ahhoz, hogy az /etc/ldap/slapd.conf file-ban vagy a c´ımtárban meg tudjunk adni kódolt jelszavakat a slappasswd programot lehet használni. A programnak meg lehet adni, hogy crypt, MD5, SHA vagy SSHA formátumban akarjuk a kódolt jelszót megkapni. Például egy képzeletbeli jelszó esetén ezt kapjuk: $ slappasswd -h {MD5} New password: Re-enter new password: {MD5}adkjhieruhaldsjfbasdfef== (A program a szabványos kimenetre nyomtatja az eredményt, ami a´ t´ırány´ıthatunk egy file-ba e´ s ´ıgy elmenthetjük.)<br /> <br /> 12.3 C´ımtár feltöltése Az LDAP c´ımtár gyökere, maga a szervezet:2 dn: dc=example.dc=hu objectClass: dcObject objectClass: organization o: Ez egy pelda szervezet A gyökéren k´ıvül, magát az adminisztrátort is hozzá kell adni a c´ımtárhoz: dn: cn=admin,dc=example,dc=hu objectClass: organizationalRole cn: admin A két alapvet˝o bejegyzésen k´ıvül a többi bejegyzés már opcionális e´ s többféleképpen elrendezhet˝o. (Persze ahhoz, hogy az operációs rendszer valamilyen alrendszere használni tudja a bejegyzéseket, ahhoz megfelel˝o formába kell rendezni o˝ ket.) Például a felhasználók nyilvántartásához szükséges két további bejegyzés, egy a felhasználóknak e´ s egy a csoportoknak: dn: ou=Groups,dc=example,dc=hu ou: Groups cn: Csoportok objectClass: organizationalRole description: Felhasznaloi csoportok dn: ou=People,dc=example,dc=hu ou: People cn: Emberek objectClass: organizationalRole description: Ceg felhasznaloi 2A<br /> <br /> következ˝o szövegrészeket lehet egy file-ba, vagy külön-külön file-okba rakni rakni.<br /> <br /> 91<br /> <br /> 12.3.1 Hozzáadó parancsok Ha bejegyzést szeretnénk a c´ımtárhoz hozzáadni, akkor az ldapadd parancsot lehet használni. A bejegyzéseket mentsük el egy file-ba, majd a következ˝o paranccsal adjuk hozzá: $ ldapadd -x -W -D "cn=admin,dc=example,dc=hu" -f /tmp/bejegyzesek.ldif Az egyes opciók jelentése: -x : Egyszer˝u azonos´ıtást hasznájunk, ne SASL-t (lásd 12.6. bekezdés). -W : Az egyszer˝u azonos´ıtáshoz a jelszót rejtett módon kérjük be e´ s ne a parancssorban, nyitott szövegként. -D : Megadja azt a dn mez˝ot, amivel a kapcsolódáshoz szükséges felhasználót egyértelm˝uen megadjuk. -f : Ezzel az opcióval adjuk meg, hogy melyik file-ban találhatóak a bejegyzések.<br /> <br /> 12.3.2 Felhasználók a c´ımtárban Egy felhasználó bejegyzését a következ˝oképpen lehet megadni LDIF formátumban: dn: uid=smith,ou=People,dc=example,dc=hu uid: smith cn: John Smith objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount uidNumber: 5000 gidNumber: 100 gecos: John Smith felhasznalo homeDirectory: /home/smith loginShell: /bin/sh userPassword: {MD5}blablabla== shadowLastChange: 0 shadowMax: 99999 shadowWarning: 7 Egy csoport defin´ıciója: dn: cn=loosers,ou=Groups,dc=example,dc=hu objectClass: posixGroup cn: loosers gidNumber: 1100 description: Group of loosers Fontos, hogy az uidNumber nem szerepelhet a /etc/passwd file-ban mint uid (felhasználói azonos´ıtó), illetve a gidNumber már definiálva legyen vagy a /etc/group file-ban vagy az LDAP adatbázisban.<br /> <br /> 12.3.3 Egyéb parancsok Bejegyzések módos´ıtására az ldapmodify parancs, m´ıg egy bejegyzés törlésére az ldapdelete parancs használható.<br /> <br /> 92<br /> <br /> 12.4 LDAP egyszeru˝ használata Ha root-ként szeretnénk a teljes adatbázist ki´ırni LDIF formátumban, akkor a slapcat parancsot lehet használni. A parancs a szabványos kimenetre ´ırja ki a c´ımtárat, az adatbázis sorrendjében e´ s nem a hierarchia sorrendjében. Ezért az ´ıgy kapott kimenetet szerkeszteni kell, ha az ldapadd paranccsal akarjuk használni. Ha a c´ımtárat egy file-ba szeretnénk elmenteni, tárolás szemponjából, akkor a -l opció használható: $ slapcat -l /root/backup/ldap.ldif Az elmentett c´ımtár visszaáll´ıtására a slapadd parancs használható: $ slapadd -l /root/backup/ldap.ldif Arra figyelni kell, hogy a slapadd parancs nem végez ellen˝orzéseket a neveken illetve a sémán! Így a´ ltalában az ldapadd parancsot használjuk, ha a c´ımtárhoz hozzá akarunk adni egy bejegyzést!<br /> <br /> 12.4.1 Keresés a c´ımtárban Az LDAP c´ımtárban a keresésre az ldapsearch parancs használható. A parancs kapcsolatot nyit (binding) az LDAP szerver felé e´ s a megadott paraméterek alapján a keresés végrehajtódik. Ha minden bejegyzést szeretnénk lekérdezni a következ˝o parancsot lehet kiadni: $ ldapsearch -x ahol a -x opció azt jelenti, hogy egyszer˝u azonos´ıtást használjunk, de pedig SASL-t.3 Egy kereséshez három dolgot kell megadni: • a keresés kezdete (base): egy DN ahol a keresést kezdeni kell. Csak az adott csomópont alatti bejegyzésekben történik a keresés. • keresési hatókör (scope): – base: csak a gyökér csomópont szerepel a keresésben. Csak egy vagy nulla bejegyzést ad vissza a keresés. – one: a DN a´ ltal megadott bejegyzésben e´ s az egy szinttel alatta lev˝o bejegyzésekben végez keresést. – sub: a DN-t˝ol indulva az alatta lev˝o teljes alfában keres. • sz˝ur˝o: A sz˝ur˝o formátumát az RFC 4515-ös dokumentum adja meg. Ha nem adunk meg sz˝ur˝ot, akkor az (objectClass=*), vagyis a mindent keres˝o, sz˝ur˝o lesz e´ rvényes. Keresési példák • A gyökér bejegyzés lekérése: $ ldapsearch -x -b "dc=example,dc=hu" -s base 3A<br /> <br /> fenti ACL beáll´ıtások (12.2.1. bekezdés) esetén egy felhasználó is ki tudja nyomtatni a teljes c´ımtárat.<br /> <br /> 93<br /> <br /> 12.5 Felhasználó azonos´ıtás LDAP alapján A következ˝o csomagokat kell installálni egy kliens gépen, mely LDAP autentikációt akar használni: apt-get install libnss-ldap ldap-utils A beáll´ıtás során a kliens gépet u´ gy a´ ll´ıtjuk be, hogy a felhasználó azonos´ıtására nem csak az LDAP ´ szerver lesz alkalmas, hanem a lokális file-ok is megmaradnak. Erdemes ezt mindig követni, mert ´ıgy mindig lesz legalább egy felhasználó amivel be tudunk jelentkezni a gépre ha az LDAP szerver nem elérhet˝o. A root felhasználó is importálható az LDAP adatbázisba, de tartsuk meg a lokális file-okban is. Az /etc/nsswitch.conf file-ban meg kell adni, hogy mely adatok esetén akarjuk az LDAP adatbázisát használni. Például felhasználók esetén a felhasználói név e´ s adatok (passwd), csoportazonos´ıtók (group) e´ s maga a jelszó (shadow) is elérhet˝o lokálisan e´ s az LDAP adatbázisban: passwd: group: shadow:<br /> <br /> files ldap files ldap files ldap<br /> <br /> Az NSS szervert (lásd 6. fejezet) is konfigurálni kell az /etc/libnss-ldap.conf file-on keresztül: host 127.0.0.1 base dc=example,dc=hu uri ldap://127.0.0.1/ rootbinddn cn=admin,dc=example,dc=hu A rootbinddn opció adja meg, hogy milyen felhasználóként akarunk csatlakozni az LDAP szerverhez, amikor a root felhasználók vagyunk. A hozzátartozó jelszó tárolható az /etc/libnss-ldap.secret file-ban. Ebben az esetben a jelszó kódolatlanul kerül a file-ba, ´ıgy a tulajdonosa a root legyen e´ s csak root tudjon hozzáférni (mode 600). Opcionális: Amit még nem adtunk meg, hogy a root-on k´ıvül más felhasználók e´ s programok milyen módon kapcsolódnak az LDAP szerverhez. Alapesetben anonymous-ként történik a kapcsolódás, de arra is van lehet˝oség, hogy ellen˝orzött módon, egy adott felhasználón keresztül kapcsolódjunk az LDAP szerverhez. A felhasználói azonos´ıtó legyen: nss. Így az /etc/libnss-ldap.conf fileban a megadandó opciók: binddn cn=nss,dc=example,dc=hu o onak_megadott_jelsz´ al´ bindpw a_felhaszn´ ahol a binddn annak a felhasználónak a DN nevét adja meg, akinek a nevében kapcsolódni akarunk az LDAP szerverhez. A bindpw opcióban, kódolatlanul azt a jelszót kell megadni, amelyik jelszót a felhasználónak is megadtunk az LDAP adatbázisban. (Mivel ebben a file-ban is kódolatlan jelszó van, ezért az /etc/libnss-ldap.conf file is csak a tulajdonos felhasználó (openldap) a´ ltal legyen olvasható (mode 600). Természetesen ehhez a módszerhez ezt a felhasználót is hozzá kell adni az LDAP adatbázishoz e´ s az ACL beáll´ıtások a slapd.conf file-ban a következ˝ok lehetnek: access to attribute=userPassword by dn="cn=admin,dc=example,dc=hu" write by anonymous auth by * none access to * by dn="cn=admin,dc=example,dc=hu" write by dn="cn=nss,dc=example,dc=hu" read by * auth<br /> <br /> 94<br /> <br /> Ebben az esetben a root meg tudja változtatni a jelszavakat az LDAP szerveren, m´ıg a kliensekr˝ol csak lekérdezéseket lehet végezni. Végül az /etc/ldap/ldap.conf file-ban a kliens programok számára kell megadni, hogy hol e´ s milyen LDAP szerver e´ rhet˝o el. Például ha a lokális gépen található az LDAP szerver: BASE: URI:<br /> <br /> dc=example,dc=hu ldap://127.0.0.1<br /> <br /> 12.5.1 LDAP kipróbálása Ebben az a´ llapotban az LDAP rendszer már használható e´ s végezhetünk lekérdezéseket. Például ha fel van installálva a finger csomag, akkor ellen˝orizhetjük, hogy a felhasználó létezik-e: $ finger smith Login: maxldap Name: John Smith felhasznalo Directory: /home/smith/ Shell: /bin/sh Last login Mon Jun 2 16:53 (CEST) on pts/1 from some-client.subnet.hu No mail. No Plan.<br /> <br /> 12.5.2 PAM beáll´ıtása LDAP használatára Az LDAP e´ s PAM (lásd 5. fejezet) rendszerek o¨ sszekapcsolásához további programra e´ s beáll´ıtásokra van szükség. A fenti beáll´ıtások még nem biztos´ıtják, hogy a felhasználó azonos´ıtásánál e´ s autentikációjánál is használható. Minden esetre ehhez az alábbi csomagot kell installálni: apt-get install libpam-ldap Debian rendszeren az alábbi file-okba u´ j sorokat kell beszúrni, hogy a PAM rendszer is figyelembe vegye az LDAP adatbázisban tárolt adatokat: /etc/pam.d/common-auth /etc/pam.d/common-password /etc/pam.d/common-session /etc/pam.d/common-account Lényegében mindenhol a pam_unix.so sorok f˝olé (!) kell beilleszteni a pam_ldap.so modult. A másik változtatás, hogy a pam_unix.so modul végére beillesztettük a try_first_pass kifejezést. Erre a kifejezésre azért van szükség, hogy a rendszer ne kétszer kérdezze be a jelszót, ha a jelszó nem az LDAP adatbázisban van. A kifejezés arra utas´ıtja a pam_unix.so modult, hogy a korábban megadott jelszót használja. Így a file-ok például a következ˝ok lehetnek: # /etc/pam.d/common-account file-ban account sufficient pam_ldap.so account required pam_unix.so try_first_pass # /etc/pam.d/common-auth file-ban auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure # /etc/pam.d/common-password file-ban password sufficient pam_ldap.so password required pam_unix.so nullok<br /> <br /> 95<br /> <br /> try_first_pass<br /> <br /> obscure<br /> <br /> md5<br /> <br /> try_first_pass<br /> <br /> # /etc/pam.d/common-session file-ban session sufficient pam_ldap.so session required pam_unix.so try_first_pass A sufficient opció adja meg, hogy az LDAP-os azonos´ıtás elegend˝o, m´ıg ha ez nem sikerül, akkor a jelszó azonos´ıtás a lokális file-ok alapján már kötelez˝o (required). Egy /etc/pam_ldap.conf file-t is létre kell hozni e´ s kitölteni. A szerveren a file tartalma: host 127.0.0.1 base dc=example,dc=hu uri ldap://127.0.0.1/ rootbinddn cn=admin,dc=example,dc=hu scope sub pam_password md5 pam_md5 local m´ıg a klienseken a következ˝o lehet, feltételezve, hogy a kliensekr˝ol csak olvasni akarunk: host 127.0.0.1 base dc=example,dc=hu uri ldap://127.0.0.1/ binddn cn=nss,dc=example,dc=hu bindpw a_felhaszn´ al´ onak_megadott_jelsz´ o pam_password md5 pam_md5 local A szerveren az admin felhasználó jelszava a /etc/ldap.secret file-ban tárolható, kódolatlan módon. Ez a file is csak a felhasználó a´ ltal legyen olvasható (mode 600).<br /> <br /> 12.5.3 Debian specialitás Amikor a Debian rendszer elindul az udev alrendszer az LDAP indulása el˝ott indul el e´ s a c´ımtárakból lekérdez néhány felhasználói csoportot e´ s felhasználó meglétét. Az nsswitch.conf file-ban a felhasználók lekérdezési sorrendje: files ldap, ezért az operációs rendszer el˝oször az /etc/passwd e´ s /etc/group file-okban keresi a felhasználókat e´ s csoportokat, majd az LDAP szervert kérdezi le. Az udev alrendszer a´ ltal keresett csoportok e´ s felhasználók alap esetben nem találhatók sem a fileokban sem az LDAP szerveren ezért a bootolás során több hibaüzenetet kapunk e´ s a bootolás is lassabb lesz: nss_ldap: could not connect to any LDAP server as (null) - Can’t contact LDAP server nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can’t contact LDAP server<br /> <br /> A hiba u¨ zenetek eltüntetéséhez, e´ s ´ıgy a bootolás felgyors´ıtásához, a csoportokat e´ s felhasználókat hozzá kell adni a rendszerhez. (Az LDAP-hoz nem adhatjuk, mert az LDAP rendszer még nem indult el az udev alrendszer el˝ott, ´ıgy a file-okhoz kell hozzáadni.) A szükséges csoportokat e´ s felhasználót a következ˝o parancsokkal adhatjuk a rendszerhez: $ $ $ $ $ $<br /> <br /> addgroup --system scanner addgroup --system fuse addgroup --system tss addgroup --system kvm addgroup --system rdma adduser --no-create-home --ingroup tss --disabled-password --disabled-login tss<br /> <br /> 96<br /> <br /> 12.6 Biztonságosabb LDAP azonos´ıtás Az LDAP protokoll kétfajta autentikációt (felhasználó azonos´ıtást) tesz lehet˝ové: egyszer˝u e´ s SASL. Az “egyszer˝u” azonos´ıtás esetén a jelszót kell megadni. Itt e´ rdemes arra figyelni, hogy a jelszó kódolatlanul utazhat a hálózaton. Ennek elkerülésére célszer˝u a kapcsolatot TLS felett használni. # /etc/openldap/slapd.conf include include include<br /> <br /> /etc/openldap/schema/cosine.schema /etc/openldap/schema/inetorgperson.schema /etc/openldap/schema/nis.schema<br /> <br /> # md5-tel titkos´ ıtsd a jelszavakat password-hash {md5} alis) agait (opcion´ es a TLS tulajdons´ ald az SSL ´ # Defini´ TLSCertificateFile /etc/ssl/ldap.pem TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem TLSCACertificateFile /etc/ssl/ldap.pem (Lejjebb...) database suffix rootdn rootpw directory index<br /> <br /> ldbm "dc=genfic,dc=com" "cn=Manager,dc=genfic,dc=com" {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ== /var/lib/openldap-ldbm objectClass eq<br /> <br /> # /etc/openldap/ldap.conf BASE dc=genfic, dc=com URI ldaps://auth.genfic.com:636/ TLS_REQCERT allow SSL-tanús´ıtvány generálása: # cd /etc/ssl # openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out \ ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999 # chown ldap:ldap /etc/openldap/ssl/ldap.pem # /etc/conf.d/slapd OPTS="-h ’ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock’"<br /> <br /> 12.7 phpldapadmin<br /> <br /> 97<br /> <br /> 98<br /> <br /> ¨ A. Fuggel´ ek<br /> <br /> Felhasznált irodalom •<br /> <br /> 99<br /> <br /> Tárgymutató<br /> <br /> 100<br /> <br /> </div> </div> </div> </div> </div> </div> </div> </div> <div class="modal fade" id="report" tabindex="-1" role="dialog" aria-hidden="true"> <div class="modal-dialog"> <div class="modal-content"> <form role="form" method="post" action="https://adoc.pub/report/szerkesztette-ivanyi-peter-march-8-2010" style="border: none;"> <div class="modal-header"> <button type="button" class="close" data-dismiss="modal" aria-hidden="true">×</button> <h4 class="modal-title">Report "szerkesztette: Iványi Péter March 8, 2010"</h4> </div> <div class="modal-body"> <div class="form-group"> <label>Your name</label> <input type="text" name="name" required="required" class="form-control" /> </div> <div class="form-group"> <label>Email</label> <input type="email" name="email" required="required" class="form-control" /> </div> <div class="form-group"> <label>Reason</label> <select name="reason" required="required" class="form-control"> <option value="">-Select Reason-</option> <option value="pornographic" selected="selected">Pornographic</option> <option value="defamatory">Defamatory</option> <option value="illegal">Illegal/Unlawful</option> <option value="spam">Spam</option> <option value="others">Other Terms Of Service Violation</option> <option value="copyright">File a copyright complaint</option> </select> </div> <div class="form-group"> <label>Description</label> <textarea name="description" required="required" rows="3" class="form-control" style="border: 1px solid #cccccc;"></textarea> </div> <div class="form-group"> <div style="display: inline-block;"> <div class="g-recaptcha" data-sitekey="6LcEnMcZAAAAAFHzKKgaE-Qh57XzUTzpfRElD4dP"></div> </div> </div> <script src='https://www.google.com/recaptcha/api.js'></script> </div> <div class="modal-footer"> <button type="button" class="btn btn-default" data-dismiss="modal">Close</button> <button type="submit" class="btn btn-primary">Send</button> </div> </form> </div> </div> </div> <script> $(document).ready(function () { var inner_height = $(window).innerHeight() - 250; $('#pdfviewer').css({"height": inner_height + "px"}); }); </script> <footer class="footer" style="margin-top: 60px;"> <div class="container-fluid"> Copyright © 2024 ADOC.PUB. All rights reserved. <div class="pull-right"> <span><a href="https://adoc.pub/about">About Us</a></span> | <span><a href="https://adoc.pub/privacy">Privacy Policy</a></span> | <span><a href="https://adoc.pub/term">Terms of Service</a></span> | <span><a href="https://adoc.pub/copyright">Copyright</a></span> | <span><a href="https://adoc.pub/contact">Contact Us</a></span> | <span><a href="https://adoc.pub/cookie_policy">Cookie Policy</a></span> </div> </div> </footer>  <div class="modal fade" id="login" tabindex="-1" role="dialog" aria-labelledby="myModalLabel"> <div class="modal-dialog" role="document"> <div class="modal-content"> <div class="modal-header"> <button type="button" class="close" data-dismiss="modal" aria-label="Close" on="tap:login.close"><span aria-hidden="true">×</span></button> <h4 class="modal-title" id="add-note-label">Sign In</h4> </div> <div class="modal-body"> <form action="https://adoc.pub/login" method="post"> <div class="form-group"> <label class="sr-only" for="email">Email</label> <input class="form-input form-control" type="text" name="email" id="email" value="" placeholder="Email" /> </div> <div class="form-group"> <label class="sr-only" for="password">Password</label> <input class="form-input form-control" type="password" name="password" id="password" value="" placeholder="Password" /> </div> <div class="form-group"> <div class="checkbox"> <label class="form-checkbox"> <input type="checkbox" name="remember" value="1" /> <i class="form-icon"></i> Remember me </label> <label class="pull-right"><a href="https://adoc.pub/forgot">Forgot password?</a></label> </div> </div> <button class="btn btn-primary btn-block" type="submit">Sign In</button> </form> </div> </div> </div> </div>  <script async src="https://www.googletagmanager.com/gtag/js?id=UA-177279549-1"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-177279549-1'); </script> <script src="https://adoc.pub/assets/js/jquery-ui.min.js"></script> <link rel="stylesheet" href="https://adoc.pub/assets/css/jquery-ui.css"> <script> $(function () { $("#document_search").autocomplete({ source: function (request, response) { $.ajax({ url: "https://adoc.pub/suggest", dataType: "json", data: { term: request.term }, success: function (data) { response(data); } }); }, autoFill: true, select: function( event, ui ) { $(this).val(ui.item.value); $(this).parents("form").submit(); } }); }); </script>  <div id="ADOCPUB_cookie_box" style="z-index:99999; border-top: 1px solid #fefefe; background: #FFC107; width: 100%; position: fixed; padding: 5px 15px; text-align: center; left:0; bottom: 0;"> Our partners will collect data and use cookies for ad personalization and measurement. <a href="https://adoc.pub/cookie_policy" target="_blank">Learn how we and our ad partner Google, collect and use data</a>. <a href="#" class="btn btn-success" onclick="accept_ADOCPUB_cookie_box();return false;">Agree & close</a> </div> <script> function accept_ADOCPUB_cookie_box() { document.cookie = "ADOCPUB_cookie_box_viewed=1;max-age=15768000;path=/"; hide_ADOCPUB_cookie_box(); } function hide_ADOCPUB_cookie_box() { var cb = document.getElementById('ADOCPUB_cookie_box'); if (cb) { cb.parentElement.removeChild(cb); } } (function () { var ADOCPUB_cookie_box_viewed = (function (name) { var matches = document.cookie.match(new RegExp("(?:^|; )" + name.replace(/([\.$?*|{}\[\]\\\/\+^])/g, '\\$1') + "=([^;]*)")); return matches ? decodeURIComponent(matches[1]) : undefined; })('ADOCPUB_cookie_box_viewed'); if (ADOCPUB_cookie_box_viewed) { hide_ADOCPUB_cookie_box(); } })(); </script>  </body> </html>

szerkesztette: Iványi Péter March 8, 2010

Recommend Documents