Olli Röning VANHAN MIKRON HYÖTYKÄYTTÖ LINUX PALVELIMENA Opinnäytetyö KESKI-POHJANMAAN AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma, Ylivieskan yksikkö Tammikuu 2007
TIIVISTELMÄ Toimipiste Aika Tekniikan yksikkö, Ylivieska 10.1.2007 Koulutusohjelma Tietotekniikan koulutusohjelma Työn nimi Vanhan mikron hyötykäyttö Linux palvelimena Työn ohjaaja Tekijä Röning, Olli Sivumäärä 31 Työn valvoja Puomio, Hannu Tässä opinnäytetyössä selvitetään hyvin yksinkertaisesti ja askel askeleelta, kuinka tarpeettomasta tietokoneesta saadaan vielä resursseja irti lähiverkossa. Tietokoneeseen asennetaan Debian 3.1 R2 Linux, jossa ajamme tarvitsemamme palvelut. Palveluita lähiverkkoon ovat SSHD SSH-palvelin, Samba tiedostopalvelin, Squid välityspalvelin, Dovecot IMAP- ja POP3-palvelinohjelma, Apache HTTPpalvelinohjelma sekä Webmin etähallintaohjelma. Palvelin noutaa käyttäjien sähköpostit Fetchmail ohjelmalla ja suodattaa roskapostit Spamassassinin suodatusohjelmalla. Asiasanat Tietokone, Linux, palvelin, käyttöohje ABSTRACT CENTRAL OSTROBOTHNIA POLYTECHNIC Tekniikan yksikkö, Ylivieska Degree program Tietotekniikan koulutusohjelma Name of thesis Vanhan mikron hyötykäyttö Linux palvelimena Instructor Supervisor Puomio, Hannu Date 10.1.2007 Author Röning, Olli Pages 31 This dissertation explains very simply and step by step, how you can get resources out of a useless computer in local area network. Debian 3.1 R2 Linux is installed in the computer where we drive needed services. Services in the local area network are SSHD-server, Samba file server, Squid proxy, Dovecot IMAP and POP3 server program, Apache HTTP server program and Webmin remote management program. Server collects users e-mails by Fetchmail program and filters spam mails with Spamassasin s filterprogram. Key words Computer, Linux, server, manual
ESIPUHE Tässä opinnäytetyössä selvitetään hyvin yksinkertaisesti ja askel askeleelta, kuinka tarpeettomasta tietokoneesta saadaan vielä resursseja irti lähiverkossa. Tietokoneeseen asennetaan Debian 3.1 R2 Linux, jossa ajamme tarvitsemamme palvelut. Palveluita lähiverkkoon ovat SSHD SSH-palvelin, Samba tiedostopalvelin, Squid välityspalvelin, Dovecot IMAP- ja POP3-palvelinohjelma, Apache HTTP-palvelinohjelma sekä Webmin etähallintaohjelma. Palvelin noutaa käyttäjien sähköpostit Fetchmail ohjelmalla ja suodattaa roskapostit Spamassasisin suodatusohjelmalla. Linux jakeluversio on erittäin skaalautuva ja sen päälle on nopeasti rakennettavissa lisää palveluja. Opinnäytteessä palvelin on tarkoitettu rakennettavaksi, sekä hallittavaksi Webmin etähallintaohjelma, jotta vähemmän Linuxia käyttäneetkin pääsisivät ottamaan työstä kaiken irti. Opinnäytetyö onnistui tavoitteiden mukaan. Se toimii heikkotasoisellakin laitteistolla siedettävästi ilman viiveitä. Nopeammalla tietokoneella tietokoneen roolia voidaan kasvattaa mahdollisuuksien mukaan työpöytäkäyttöön saakka.
SISÄLLYSLUETTELO TIIVISTELMÄ ABSTRACT ESIPUHE 1 JOHDANTO 1 2 ASENNETTAVAT PALVELINSOVELLUKSET 2.1 JAKELUVERSION VALINTA 4 5 2.2 JÄRJESTELMÄVAATIMUKSET 5 3 KÄYTTÖJÄRJESTELMÄN ASENTAMINEN 7 3.1 PALOMUURIN SÄÄNNÖSTÖN LUOMINEN 8 3.2 PALVELINSOVELLUSTEN ASENTAMINEN PALVELIMELLE 11 4 ETÄHALLINNAN ALOITTAMINEN 13 4.1 IPTABLES PALOMUURI 13 5 KÄYTTÖÖNOTETTAVAT PALVELUT 15 5.1 SSHD ETÄKÄYTTÖPALVELIN 15 5.2 SQUID, INTERNET VÄLIMUISTIPALVELIN 15 5.3 APACHE, HTTP-PALVELIN 17 5.4 FETCHMAIL, SÄHKÖPOSTIEN NOUTAJA 17 5.5 SPAMASSASSIN, ROSKAPOSTISUODIN 18 5.6 DOVECOT, IMAP- JA POP3 PALVELINOHJELMA 19 5.7 SAMBA, TIEDOSTOPALVELIN 21 5.8 WEBMIN, ETÄHALLINTAOHJELMA 23 5.9 BIND9, NIMIPALVELIN 23 6 OMA POHDINTA 25 LÄHTEET 26 LIITTEET 27
1 (27) 1 JOHDANTO Tämä opinnäytetyö on kirjoitettu siksi, jotta ihmiset joilla on käytössään ylimääräinen tietokone, saisivat käyttöönsä lähiverkossa enemmän resursseja ja internet-tietoliikennettä helpottavia palveluja. Kaikki tietävät tai omistavat käytöstä poistettuja tietokoneita, jotka lojuvat käyttämättöminä, koska ovat uusiin ohjelmiin suhteutettuna riittämättömän tehottomia. Linux on vaikeasti asennettavan käyttöjärjestelmän maineessa. Toisaalta se tarjoaa verkkoja internet-käyttöön erittäin laajat työkalut, nämä työkalut vielä skaalautuvat parin tietokoneen kotiverkosta yritysverkkoihin saakka. Internet-yhteyden nopeus rajoittaa Linuxin päälle rakennetun palvelimen nopeutta ennen kuin itse Linuxin nopeus tekee palvelimesta liian hitaan. Toivon, että tämän ohjeistuksen avulla kynnys kokeilla tämän tyyppistä ratkaisua madaltuisi ja nämäkin lähinnä ongelmajätteeksi luokitellut tietokoneet saataisiin aktiivikäyttöön ja palvelemaan käyttäjäänsä. Työssä luodaan, rakenna ja unohda tyypin tietokone, jota etäkäytetään SSH:n läpi tunneloidulla Webminillä. Jos käyttäjällä on kokemusta verkotuksesta, olisi se helpottava tekijä kun tietokoneen IPosoitteet ovat kumminkin tässä työssä kiinteitä ja ne tulee muuttaa kiinteiksi muillakin verkon tietokoneilla. Linux jakeluversioksi on valittu Debian Sarge. Linux asennetaan HTTP-palvelimelta tietokoneellemme, joka tulee verkon palvelimeksi. Järjestelmälle tehdään perusmääritykset. Jakelu on erittäin vakaa ja skaalautuva. Lisäksi järjestelmä on helppo laajentaa työpöytäkäyttöön. Luomme asennetulle käyttöjärjestelmälle palomuurisäännöt. Sääntöjä voimme pitää turvallisina, koska levyjako on avoinna vain paikallisverkkoon ja ulkoverkkoon on avoinna vain SSH, autentikointi ja HTTP-portti. Näin saamme aikaiseksi turvallisen säännöstön. Palvelinsovellukset asennetaan palvelimelle myös Debianin asennuspalvelimelta, asennamme myös etähallintaohjelman, jolla tietokonetta on tarkoitus etähallita. Tietokone päivitetään. Käytämme asentamisessa apt-get sekä aptitude ohjelmaa.
2 (27) Ohjeistus etähallinnan aloittamiseen. Sen tunneloimiseen SSH-yhteyden läpi asiakaskoneelle, jotta etäyhteys olisi turvallinen. Ohjeet palomuurin sääntöjen luominen Webmin -etähallinnan kautta. Kuinka säännöstö luodaan ja miten tietyt portit avataan vain omaan lähiverkkoon, ettei ulkoverkosta ole pääsyä esimerkiksi levyjakoon. Muokkaamme SSH-palvelimen asetuksia, jotta palvelimeemme ei pääse kirjautumaan suoraan pääkäyttäjän tunnuksella. Tämä lisää oleellisesti tietoturvaa. Otamme Internetvälimuistipalvelimen käyttöön. Ohjeet HTTP-proxyn luomiseen Webminin avulla. Näin nopeutamme verkkomme toimintaa vaikka käytössämme olisikin vain tavallinen ADSLyhteys. Otamme käyttöön Apache palvelinohjelman. Luomme sille yksinkertaiset oletusasetukset, jotta sitä on helppo käyttää etähallinnalla. Näin voimme ylläpitää omia nettisivujamme, ja tiedostoille on tilaa niin paljon kuin palvelimella on levytilaa. Konfiguroimme palvelimen noutamaan sähköpostit etäsähköposteista. Tämä helpottaa sähköpostien käyttämistä jos etäsähköposteja on useita. Spammassasinin avulla määritämme roskapostisäädöksiä. Kuinka Fetchmaililla haettava posti tarkistetaan ja pisteytetään, mikä on pisteytyksen raja jolloin se on roskapostia. Erittäin hyvä ominaisuus roskapostitorjuntaan koska ei vaadi resursseja verkon muilta koneilta ja roskapostitorjunta hoituu keskitetysti. Dovecotin avulla luodaan palvelu, jolla verkon työasemat voivat hakea Fetchmailin noutamat sähköpostit omaan käyttöönsä. Tämä nopeuttaa oleellisesti sähköpostin käyttöä, koska sähköpostit odottavat valmiina nopeassa lähiverkossa eikä niitä tarvitse hakea ulkoverkosta käsin. Etäsähköpostit eivät pääse täyttymään ja niistä ei tarvitse enää huolehtia. Samballa jaetaan Windows-työasemille levyresurssi. Skandinaaviset merkit aiheuttavat vielä nykyisinkin ongelmia oletusasetuksilla, joten korjaamme ongelman. Levyjako on erittäin hyödyllinen palvelu niin pienissä, kuin suurissakin verkoissa.
3 (27) Tutustutaan hieman Webmin etähallinnan perusominaisuuksiin. Tällä laajennettavalla etähallinnalla voi hoitaa lähes kaiken palvelimen toiminnan, nopeasti nettiselaimella.
4 (27) 2 ASENNETTAVAT PALVELINSOVELLUKSET Tämän opinnäytetyön laitteiston minimivaatimusta ei ole kokeiltu, milloin tietokoneen suorituskyvyn puute alkaa näkyä käyttäjälle. Laitteistosuosituksena olisi Intel Pentium / Pentium 2 tai AMD K6-2 suoritin, >64Mt keskusmuistia, riippuen välimuistipalvelimen välimuistin koosta >500Mt kiintolevy sekä 10/100Mb/s verkkokortti. Tällöin tietokoneen suorituskyky ei tule tässä tapauksessa vastaan vastaan. Jos palvelinta on tarkoitus käyttää Samballa levypalvelimena niin mahdollisimman suuri kiintolevy olisi suotavaa. Tämä työ opastaa asentamaan Debian Sarge Linuxin, sekä tarvitut ohjelmistot, jotta saadaan käyttöön seuraavat palvelut: SSHD - Secure Shell Daemon. SSH-palvelin etäkäyttöä varten Squid -välimuistipalvelin Internet välimuistipalvelin. Apache -nettipalvelin HTTP-palvelinohjelma Fetchmail Sähköpostien nouto. Spamassassisin -roskapostisuodin Roskapostien suodatus. Dovecot Sähköpostien toimitus asiakaskoneille Samba -tiedostopalvelin Levyresurssien jako Windows-asiakaskoneille Webmin -etäkäyttöliittymä Helppokäyttöinen ja moduuleilla laajennettava etähallintaohjelmisto. Näillä työkaluilla luodaan verkkoon huomattavasti lisää resursseja, jotka ovat koko verkon käytettävissä ja näin ollen myös oikeutettujen käyttäjien saatavilla.
5 (27) 2.1 JAKELUVERSION VALINTA Jakeluversioksi on valittu helposti laajennettava jakeluversio. Jakelun saa käyttöön ilman turhia ohjelmia, joita helppokäyttöiseksi tarkoitetuissa jakeluversioissa asennettaisiin hyvin paljon, näitä me emme tässä työssä tarvitse. Toinen olennainen asia on, ettei asenneta vanhoja paketteja asennusmediasta, vaan asennetaan tuoreet ohjelmistot suoraan verkosta. Debianille on erittäin laaja ohjelmistotarjonta. Kun määränpäänä on palvelin, joka ei välttämättä tule lähelle käyttäjää, vaan pois käyttäjän silmistä, tästä on etua. Esimerkiksi SUSE Linuxissa käytettävää YAST kontrolliohjelmaa ei päästäisi hyödyntämään tässä tarkoituksessa täysimääräisesti, kun hallinta on toteutettu Webminillä SSHtunneloituna. Kun käytämme Webmin-etähalintaa, niin jakeluversio voisi olla mikä tahansa, mutta näen painoarvoa Debianin ja tarkasti karsitun asennuksen puolesta kuin että jakeluversiossa olisi panostettu helppokäyttöisyyteen, joka jää palvelimen toiminnan kannalta täysin piiloon. 2.2 JÄRJESTELMÄVAATIMUKSET Työ voidaan suorittaa vaatimattomassakin järjestelmässä. Näytönohjaimelta ei vaadita nopeutta, kuten Windows järjestelmässä. Vaatimuksena on CD-ROM, verkkokortti, palvelinsovelluksista riippuen 400-1024 Mt kiintolevytilaa, verkkokortti (tai useampi, tässä työssä käytetty yhtä). Palvelin on toiminut Pentium II suorittimella varustetussa koneessa, jossa on 80 Mt muistia ja 3 Gt kiintolevy sekä 10/100 Mbps verkkokortti. 95% työstä on tehty seuraavalla kokoonpanolla: Pentium III, 650 MHz 128 Mt RAM 40 Gt kiintolevy
6 (27) CD-ROM 10/100 Mbps verkkokortti
7 (27) 3 KÄYTTÖJÄRJESTELMÄN ASENTAMINEN Asennusmedian hankkiminen: Noudetaan Debianin sivuilta ensimmäisen CD-ROM levyn.iso vedoksen, joka poltetaan CD-ROM levylle. Tämän jälkeen käynnistetään tietokone, jolle ollaan asentamassa järjestelmää. Palvelin vaatii internet-yhteyden jo asennusvaiheessa. Työ on tehty kiinteillä IP-osoitteilla. Reititin (modeemi) tulee asettaa käyttämään sisäverkossa esim. 192.168.0.0/255.255.255.0 verkkoa. Tarvitsemme tietokoneelle vapaan IP-osoitteen, sekä reitittimen ja nimipalvelimien osoitteet. Nimipalvelinten osoitteet selviävät yleisesti ulkoverkon-palveluntarjoajan internetsivuilta. Odotamme, että tietokone kysyy käytetäänkö optioita vai painetaanko Enter. Komentoriville kirjoitamme linux26 koska haluamme linuxin käynnistyvän 2.6 sarjan kernelillä. Valitsemme kielen, sekä näppäimistöasetukset. Tämän jälkeen tulee verkkomääritykset, jossa määritellään tietokoneen käyttämät IP-osoitteet, konenimi ja verkkoaluenimi. Näihin vastaamme haluamallamme nimillä, mutta vältämme mahdolliset päällekkäisyydet. Esimerkissämme verkkoasetuksien tekotapa on käsin asetettu. Sen jälkeen osioimme tietokoneen kovalevyt. Järjestelmä kysyy levyn osiointimallia. Voimme tehdä sen joko itse, niin että järjestelmän kaikki tiedostot tulevat samalle osiolle, tai niin, että järjestelmä luo monen käyttäjän työasema osioinnin mikä on suositeltavaa ettei levytila pääse loppumaan kriittisiltä osioilta käyttäjän virheiden johdosta. Tällöin tietokone laskee levyoisioinnin ja hyväksymme tämän. Levyosiointi luodaan ja asennusohjelma kysyy asennettaanko GRUB-alkulatausohjelma ensimmäiseen sektoriin, vastaamme kyllä. Perusjärjestelmä asennetaan, tämän jälkeen asennusohjelma käynnistää tietokoneen uudelleen. Asennusohjelma käynnistyy ja kysyy peruskokoonpanon asetukset. Valitaan kellon aikavyöhyke.
8 (27) Asennusohjelma kysyy pääkäyttäjän salasanaa, se ei saa joutua kenenkään ulkopuolisen tietoon tai unohtua. Sen jälkeen kysytään käyttäjän nimeä, tunnusta ja salasanaa. Tämän jälkeen valitsemme vaihtoehdon jossa paketit asennetaan HTTP palvelimelta, käytämme suomen palvelinta fi.debian.org. Voimme myöskin asentaa ohjelmistot toiselta asennuspalvelimelta, mutta käytämme lähintä. Sen jälkeen kysytään välipalvelimen tietoja. Asennusohjelma noutaa asennuspalvelimelta pakettiluettelon mitä voidaan asentaa. Sen jälkeen asennusohjelma käyttäjältä kysyy mitä asennetaan. Emme asenna tässä vaiheessa mitään palvelinohjaa vaan jatkamme eteenpäin. Asennusohjelma hakee tarvittavia ohjelmia ja asentaa nämä. Järjestelmä kysyy, onko verkkoyhteyttä sähköpostin toimitukseen, käytämme paikallista toimitusta. Pääkäyttäjän postien vastaanottajaksi voimme ottaa itsemme, jotta ylläpito helpottuu. Tämän jälkeen asennus on valmis, 3.1 PALOMUURIN SÄÄNNÖSTÖN LUOMINEN Voimme luoda palomuurisäännöstön nopeasti kahdella tavalla. Joko Webmin etähallinnalla, ohjeistus myöhemmin, tai konsolissa kuten seuraavassa. Säännöstöä voidaan muuttaa myöhemmin. Pääkäyttäjän oikeuksin kirjoitamme komentoriville seuraavat rivit: Tyhjennämme olemassa olevat säännöt. iptables F Tämän jälkeen palomuurisäännöstö on tyhjä, voimme tarkistaa säännöstön käskyllä iptables L jolloin säännöstön pitäisi näyttää seuraavalta: computer:/home/user# iptables -L Chain INPUT (policy ACCEPT)
9 (27) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Pudotamme oletuksena kaikki paketit iptables -I INPUT -j DROP Kirjaamme lokiin paketit, jotka eivät täytä alla olevia ehtoja ja tulevat oman verkon ulkopuolelta. iptables -I INPUT! -s 192.168.0.0/255.255.255.0 -j LOG Avaamme portin autentikointia varten. iptables -I INPUT -p tcp -m tcp --dport auth -j ACCEPT Jos palvelimeen asennetaan apache, avataan sille portti. iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT Palvelimeen asennettavan SSH palvelimen portti turvattua etäyhteyttä varten. iptables -I INPUT -p tcp -m tcp --dport ssh -j ACCEPT Avataan portti välityspalvelimen liikenteelle iptables -I INPUT -p tcp -m tcp --dport 8080 -j ACCEPT Sallimme palaavan liikenteen. iptables -I INPUT -m state --state RELATED -j ACCEPT
10 (27) iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT Jos asennamme samba tiedostopalvelimen, avaamme sille portit omalta verkolta. iptables -I INPUT 1 -p tcp --source 192.168.0.0/255.255.255.0 --dport 139:445 -j ACCEPT iptables -I INPUT 1 -p udp --source 192.168.0.0/255.255.255.0 --dport 137:138 -j ACCEPT Voimme nyt tulostaa voimassa olevan säännöstön komennolla iptables L computer:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- 192.168.0.0/24 anywhere udp dpts:netbios-ns:netbiosdgm ACCEPT tcp -- 192.168.0.0/24 anywhere tcp dpts:netbiosssn:microsoft-ds ACCEPT all -- anywhere anywhere state ESTABLISHED ACCEPT all -- anywhere anywhere state RELATED ACCEPT tcp -- anywhere anywhere tcp dpt:webcache ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp dpt:auth LOG all --!192.168.0.0/24 anywhere LOG level warning DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Tallennetaan asetukset iptables-save > /etc/network/iptables.save
11 (27) Asetetaan palomuuri palauttamaan äsken luodut säännöstöt käynnistettäessä. Muokataan tiedostoa, jossa verkkoliitäntä otetaan käyttöön : nano /etc/network/interfaces Lisätään seuraava riv,i joka palauttaa käynnistettäessä palomuurin säännöstöt: # The loopback network interface auto lo iface lo inet loopback pre-up iptables-restore < /etc/network/iptables.save Tallennetaan asetukset ja poistutaan painamalla CTRL + X. 3.2 PALVELINSOVELLUSTEN ASENTAMINEN PALVELIMELLE Nyt asennamme palvelinsovellukset, jotka palvelimelle haluamme. Ohjelmat asennetaan pääkäyttäjänä konsolissa seuraavalla käskyllä, apt-get install <asennettavat ohjelmat>. computer:/home/user# apt-get install squid apache2 fetchmail spamassassin dovecot samba Apt-get asentaa ohjelmat ja kysyy ohjelmille tarvittavia asetuksia: Samba Server Kysyy työryhmän tai toimialueen nimeä, tähän vastaamme Windowsin työryhmällä/toimialueella joka palvelimen asiakkaaksi tulee, tai luomme uuden työryhmän. Seuraavaksi kysytään salataanko Samban salasanat, tietoturvan vuoksi tämä on luonnollista ja vastaamme Kyllä. Asetetaanko WINS käyttämään DHCP-hakua, tässä käyttämämme verkko käyttää staattisia IP-osoitteita joten vastaamme Ei.
12 (27) Kysytään suoritetaanko Samba demonina vai inetd-palveluna valitsemme daemons. Luodaanko salasanatiedosto, vastaamme Ei. Käytämme aptitude ohjelmaa Webminin, sekä Webminin moduulien asentamiseen, käynnistämme ohjelman. Päivitämme pakettilistan painamalla u tai valikosta ohjeitten mukaan. Sen jälkeen painamme / ja kirjoitamme hakusanaksi webmin valitsemme seuraavat paketit asenettaviksi ja annamme tietokoneen asentaa riippuvat paketit. Paketit valitaan asennettaviksi + näppäimellä. webmin, webmin-apache, webmin-fetchmail, webmin-firewall, webmin-grub, webmin-htaccess, webmin-intetd, webmin-logrotate, webmin-samba, webminsarg, webmin-software, webmin-spamassassin, webminsquid, webmin-sshd, webmin-webalizer. Valintojen jälkeen asennamme paketit g -näppäimellä, tietokone tuo näyttöön valittujen pakettien aiheuttamat riippuvuudet, nekin asennetaan painamalla g. Asennusohjelma kysyy asennettaessa mihin webalizer tallettaa lokin analyysin tuloksen, oletuspaikka käy hyvin. Samoin raporttiin kirjoitettavaa konenimeä kysytään, kirjoitamme tähän konenimen vapaavalintaisen tekstin. Ensimmäisen tarkasteltavan lokitiedoston nimeä kysytään, oletus käy. Webminiä asennettaessa kysytään järjestelmän konenimeä jota käytetään web-hallinnassa, annamme olla olemassa olevan konenimen tai kirjoitamme haluamamme. Voimme tämän jälkeen poistua aptitude-ohjelmasta painamalla q -näppäintä. Päivitämme vielä koko käyttöjärjestelmän komennolla apt-get dist-upgrade. Ohjelma listaa päivitettävät ohjelmat ja kysyy hyväksytkö, vastaamme myöntävästi esitettävään kysymykseen
13 (27) 4 ETÄHALLINNAN ALOITTAMINEN Jos ei vielä asennettu etähallintaohjelmaa, se voidaan asentaa seuraavalla tavalla. apt-get install <etähallintaohjelma> <asennettavat modulit> computer:/home/user# apt-get install webmin webminapache webmin-fetchmail webmin-firewall webmin-grub webmin-htaccess webmin-intetd webmin-logrotate webmin-samba webmin-sarg webmin-software webminspamassassin webminsquid webmin-sshd webminwebalizer Nyt koneeseen on asennettu kaikki tarvittavat ohjelmistot, jotta sitä voidaan hallita etähallintaohjelmistoilla. Tunneloidaan portti tcp10000 SSH:lla toiselle tietokoneelle. Tarvitsemme esimerkiksi PuTTY:n (http://www.chiark.greenend.org.uk/~sgtatham/putty/), tai muun SSH-asiakasohjelman jolla se voidaan tehdä. Liitteestä 1 selviää, miten portti TCP 10000 on tunneloitu ja tee samoin. Kun yhteys tietokoneeseen on muodostettu, avataan nettiselain. Palvelimeen päästään kirjautumaan osoitteella https://localhost:10000. Kirjautumistunnus on root ja salasana on se, joka pääkäyttäjälle asetettiin. 4.1 IPTABLES PALOMUURI Tätä ei tarvitse tehdä, jos loimme palomuurisäännön kokonaan 3.1 luvussa. Esimerkkinä kuinka myöhemmin lisätään tai muutetaan palomuurin porttisäännöstöä. Jatketaan Networking välilehdelle josta löytyy palomuuri Linux Firewall, tällä ohjelmalla luomme palomuurisäännöstön.
14 (27) Valitsemme Block all except SSH and IDENT on external interface ja laitamme ruksin kohtaan Enable firewall at boot time. Koska haluamme estää muun liikenteen, paitsi autentikoinnin ja SSH-yhteydenotot, sekä palomuurin pitää käynnistyä uudelleenkäynnistyksen jälkeen. Ohjelma luo oletussäännöstön. Sääntöjä voidaan lisätä Add Rule painikkeesta. Lisäämme http-portin sallittaviin sääntöihin. Valitsemme Action to take kohdasta Accept, koska haluamme päästää kyseisen liikenteen palomuurin ohi. Seuraavaksi valitsemme Network protocol kohdasta Equals koska http-käyttää vain TCP-porttia 80 Siirrymme kohtaan Destination TCP or UDP port ja valitsemme luettelosta Equals vaihtoehdon, ja lisäämme porttinumeroksi 80. Tämän jälkeen painamme Create nappia ja sääntö on valmis. Jos palvelua käytetään vain omasta verkosta, voidaan Source address or network ja Destination address or network lisätä oma verkko. Esimerkissämme 192.168.0.0/255.255.255.0. Muuriin pitää lisätä vielä sallitut portit TCP 110 sekä TCP 8080, joita käytetään vain omasta lähiverkosta. Jos on tarkoitus käyttää vielä Samba palvelua, niin avaa portit TCP 139 ja 445 sekä UDP 137 ja 138. Lisää sallittuun verkkoalueeseen oma verkkomme.
15 (27) 5 KÄYTTÖÖNOTETTAVAT PALVELUT 5.1 SSHD ETÄKÄYTTÖPALVELIN Kiristetään SSH-palvelun asetuksia niin, ettei pääkäyttäjänä etäkirjautuminen enää ole sallittua. Valitaan Servers välilehdeltä SSH Server moduli. Authentication valikosta muutetaan Allow login by root? arvoon No ja tallennetaan asetukset. Access Control kohdasta voidaan määrittää tarkemmin sallitut ja kielletyt käyttäjät tai ryhmät. Apply Changes ja muutetut tiedot ovat voimassa. 5.2 SQUID, INTERNET VÄLIMUISTIPALVELIN Esimerkkinä välimuistipalvelimen nopeuttavasta toiminnasta mitattiin seuraava karkea esimerkki. Debianin asentaminen työpöytäympäristöllä, verkossa jossa oli välimuistipalvelin. Mirrorina oli fi.debian.org ja noudettavaa yhteensä 519 Mt Ilman välimuistipalvelinta 63 min 140 kt/s Välimuistipalvelimen kanssa 22 min 389 kt/s Tässä esimerkissämme Debianin asentaminen kävi kolmasosassa mitä ilman välimuistipalvelinta. Konfiguroiminen: Valitsemme Servers välilehdeltä Squid Proxy Server modulin. Vaihdamme Ports and Networking kohdasta squidin käyttämän portin, käytämme porttia 8080, joka on yleisempi kuin 3128. Talletetaan asetukset.
16 (27) Menemme Access Control kohtaan, jonne luomme squidin saantioikeudet. Luodaan uusi saantilista Client Address ja painetaan Create new ACL -painikkeesta. ACL-nimi voi olla esimerkiksi our_network. Asetamme From IP kohtaan verkon IP:n ja Netmask kohtaan verkkomme maskin. Esimerkissämme 192.168.0.0 ja 255.255.255.0. Tallennamme saantilistan. Valitaan Add proxy restriction, Action valintanappi siirretään Allow kohtaan ja Match ACLs luettelosta valitaan äsken luomamme kotiverkko our_network. Talletetaan asetukset. kotiverkko ilmestyi Proxy restrictions ryhmään mutta kiellon alapuolelle, painamme our_network kohdan oikealla puolen olevaa nuolta ylöspäin jolloin se nousee kiellon yläpuolelle. Tällöin kotiverkolla on oikeus käyttää välityspalvelinta. Palataan Squid Proxy Server valikkoon, ja valitaan Miscellaneous Options. Valintanappi kohdasta HTTP Accel With Proxy ja kohtaan HTTP Accel Port asetetaan portti 80. Talletetaan asetukset. Siirrytään kohtaan Port Redirection Setup. Valitsemme uudelleenohjauksen ja kirjoitamme verkon IP osoitteen sekä verkkomaskin kohdassa Port redirection is enabled, for clients on network Tässä kohtaa verkkomaskin pitää olla bitteinä, esimerkissämme 192.168.0.0/24. Käytä internetissä olevia aliverkkolaskureita jos et tiedä omaasi. Nyt välityspalvelin on asennettu ja konfiguroitu toimimaan oletusasetuksilla, painamalla Squid Proxy Server valikon Apply Configuration painiketta saat nykyiset asetukset käyttöön. Verkon asiakaskoneet pitää vielä asettaa käyttämään HTTP (ei HTTPS) välityspalvelinta joka on palvelimesi IP-osoite ja porttina 8080. Turvallisuussyistä SSL-sivut eivät kulje välityspalvelimen läpi.
17 (27) 5.3 APACHE, HTTP-PALVELIN Valitaan Servers välilehdeltä Apache Webserver moduli. Webmin huomauttaa ettei löydä tiedostoja asetetuista paikoista, tämä johtuu siitä koska käytämme Apache 2.0.54 versiota eikä 1.33 versiota minkä moduli luulee löytävänsä. Valitsemme module configuration ja korjaamme tiedostojen sekä hakemistojen virheet Esim Korvattava /etc/apache /usr/sbin/apache /etc/init.d/apache start /etc/init.d/apache2 stop /etc/apache/httpd.conf /etc/apache/srm.conf /etc/apache/access.conf /etc/apache/mime.types Korvaava /etc/apache2 /usr/sbin/apache2 /etc/init.d/apache2 start /etc/init.d/apache2 stop /etc/apache2/httpd.conf /etc/apache2/srm.conf /etc/apache2/access.conf /etc/apache2/mime.types Tallennamme muutokset. Tämän jälkeen avautuu ikkuna, jossa valitaan tuettavat modulit. Jos et tiedä mitä olet muuttamassa, niin jatka Configure napista painamalla tekemättä muutoksia. Apache ei tarvi muita muutoksia vaan on jo valmis käynnistettäväksi. Valitsemme kumminkin sekalaiset asetukset Miscellaneous ja valitsemme Server HTTP header listasta Product only. Tällöin Apache ei näytä nettisivun otsikossa kuin palvelinohjelman, ei käyttöjärjestelmää, eikä asennettuja moduleja. 5.4 FETCHMAIL, SÄHKÖPOSTIEN NOUTAJA Valitaan Servers välilehdeltä Fetchmail Mail Retrieval moduli. Kirjoitetaan käyttäjätunnus jolle posti etäpalvelimelta haetaan, tai valitaan se luettelosta.
18 (27) Asetukset ovat erittäin palvelukohtaisia, mutta esimerkkinä Googlen Gmail-tilin asetukset. Server name kohtaan kirjoitetaan palvelimen nimi, tässä tapauksessa pop.gmail.com. Protocol valikosta valitaan etäpalvelimen käyttämä protokolla, esimerkissämme POP3. Remote user kenttään kirjoitetaan googlen kirjautumistunnus (Sähköpostiosoite ilman @gmail.com osaa). Remote User kenttään kirjoitetaan salasana. Jos palvelimelle halutaan jättää sähköpostit niiden noudon jälkeen, Leave messages on server valintanappi siirretään kohtaan Yes. Gmail käyttää SSL-yhteyttä, Connect in SSL mode valintanappi pitää olla kohdassa On. Painetaan Create nappia ja tilin tiedot tulee näkyviin. Fetchmail hakee postit postipalvelimelta palvelimelle josta ne on nopeasti noudettavissa muille verkon työasemille. Näin luodaan kaikille halutuille etäposteille tilit ja palvelin hakee postit kaikista. 5.5 SPAMASSASSIN, ROSKAPOSTISUODIN Valitaan Servers välilehdeltä SpamAssassin Mail Filter moduli. Allowed and Denied Addresses Kuka tulkitaan roskapostien/luotettavien postien lähettäjiksi lähettäjän perusteella. Mahdollisuus luoda sääntöjä, sekä poikkeuksia sähköpostisuodatukseen. Spam Classification Mahdollistaa pisteytyksen eri arvojen perusteella mitkä saapunut sähköposti saa. Korkeamman pisteytyksen saanut on mitä todennäköisemmin roskaposti.
19 (27) Message Modification Kuinka viestiä muutetaan jos se todetaan roskapostiksi? Muutetaanko Otsikkoa ja lisätäänkö tekstiin ilmoitus roskapostista. Miscellaneous User Options Sekalaisia asetuksia, mitä Spamassasinin sallitaan tekevän. Header and Body Tests Testejä joita voidaan saapuneelle sähköpostille suorittaa joilla selvitetään onko saapunut sähköposti roskapostia. Miscellaneous Privileged Options Yleisiä asetuksia. Asetukset ovat helppokäyttöisiä, pistemäärien määrittäminen voi olla vähän aikaa vievää mutta, kun asetuksia kiristää niin epätoivotut jäävät haaviin. Yleisesti voi sanoa, että jos ei vastaanota vakituisesti kuin suomenkielistä sähköpostia, lisää muut kielet roskapostittajien luetteloon niin verkko on jo aika tiukalla. 5.6 DOVECOT, IMAP- JA POP3 PALVELINOHJELMA Dovecotin konfiguroimiseen ei ole saatavana moduliawebminin 1.180 versioon joka oli päättötyön aikana Debianin paketinhallinnan asentama. Uusimmissa tämäkin jo on. Dovecotin konfiguraatiotiedostossa on vain muutama kohta jota muutamme käsin komentoriviltä.
20 (27) Avaamme konfiguraatiotiedoston editoriin: computer:~# nano /etc/dovecot/dovecot.conf Etsimme seuraavat rivit: # Protocols we want to be serving: # imap imaps pop3 pop3s protocols = Tässä määritellään protokollat joita dovecotin tulee tukea. Lisäämme protokollaksi pop3:sen koska sähköpostimme toimitetaan näin. # Protocols we want to be serving: # imap imaps pop3 pop3s protocols = pop3 Etsimme rivin, jossa määritellään kuuntelualue. #pop3_listen = Muutamme seuraavasti. Poistamme kommenttimerkin rivin alusta ja lisäämme kuunneltavaksi osoitealueeksi tähden, eli koko verkon. pop3_listen = * Lopetetaan ja tallennetaan muutokset CTRL + X yhdistelmällä Nyt voimme käynnistää palvelun: computer:~# /etc/init.d/dovecot start Starting mail server: dovecot.
21 (27) Nyt voimme testata vastaako dovecot palvelupyyntöön. Testataan tavallisella telnetillä: computer:~# telnet localhost 110 Yhteyden pitäisi muodostua Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. +OK dovecot ready. Tämä on ilmoitus että järjestelmä vastaa. Kirjoittamalla quit pääsemme pois yhteydestä dovecotiin: quit +OK Logging out 5.7 SAMBA, TIEDOSTOPALVELIN Samballa voimme ottaa yhteyden Windows pohjaisten tietokoneitten resursseihin, sekä jakaa niille resursseja. Esimerkkinä jaamme lähiverkkoomme käyttäjän kotihakemistossa olevan hakemiston. Samba käyttää salaamatonta liikennettä joten osiojakoa lähiverkon ulkopuolelle ei suositella ilman tunnelointia. Tämän rajasimme pois kun asetimme säännöt palomuurille. Ennen kuin aloitamme, skandinaaviset merkit eivät näy oikein ilman seuraavien rivien lisäystä samban konfiguraatiotiedostoon. Avataan konfiguraatiotiedosto editoriin. computer:~# nano /etc/samba/smb.conf
22 (27) Näkyville tulee globaalit asetuset joihin lisätään kursivoidut rivit: #================ Global Settings================ [global] unix charset = ISO8859-1 dos charset = 850 character set = ISO8859-1 client code page = 850 valid chars = ö:ö å:å ä:ä Tallennetaan konfiguraatiotiedosto. Valitaan Webminissä Servers välilehti ja sieltä Samba Windows File Sharing moduli. Sambaan pitää luoda käyttäjätunnukset joilla Linux palvelimen jaetulle resurssille pääsee. Valitaan Convert Unix users to Samba users ja Convert Users, ohjelma ehdottaa luodaanko tunnukset niille joitten UID on >499, valitaan näin. Nyt käyttäjätunnukset on luotu ja salasanat on samat kuin järjestelmän salasana. On suositeltavaa vaihtaa salasanaa Edit Samba users and passwords kohdasta ettei päällekkäisiä salasanoja olisi. Luodaan konsolissa jaettava hakemisto: computer:~# mkdir /home/user/windows-jako Palataan modulin päävalikkoon ja luodaan uusi jaettu hakemisto Create a new file share, Share name -kohtaan valitaan jaolle sitä kuvaava nimi joka näkyy Windows-työasemille, esimerkissämme testijako.
23 (27) Directory to share kohtaan voimme jaettavan hakemiston tai selata sen. Lisäksi voimme kommentoida jakoa Share Comment kohdassa. Luodaan jako ja hakemisto tulee näkyville jaettavien listaan: Share Name Path Security homes All Home Directories Read only to all known users printers All Printers Printable to all known users print$ /var/lib/samba/printers Read only to all known users testijako /home/user/windows-jako Read only to all known users Käynnistetään Samba palvelin uudelleen ja resurssit ovat käytössä. 5.8 WEBMIN, ETÄHALLINTAOHJELMA System välilehdeltä Bootup and Shutdown kohdasta voimme valita käynnistyksessä ja/tai sammuttamisen yhteydessä käynnistettävät/suljettavat ohjelmat. Täältä voimme myöskin ajaa palvelimen alas tai käynnistää sen uudelleen. Myös ajotason vaihto onnistuu täältä. Myös palvelimen päivitys onnistuu Webministä käsin System välilehden Software Packages modulista. Upgrade All Packages alta löytyy lisävaihtoehtoja joista Perform distribution upgrade (upgrade-dist) -kohdasta kannattaa valita Yes että järjestelmä päivittyy täysin. Only show which packages would be upgraded kohdasta voimme valita näytetäänkö vain mitkä paketit päivitetään. 5.9 BIND9, NIMIPALVELIN BIND9 on nimipalvelin, sen asetuksia ei käydä läpi koska siitä ei tulla saamaan täyttä hyötyä kotikäytössä, eikä tällaisella laitteistolla. Se on kumminkin niin merkittävä palvelu että otan sen tähän työhön. Sen opettelukin on jo siksi tarpeellista.
24 (27) Asennus tapahtuu seuraavalla komennolla: computer:~# apt-get install bind9 Asetukset löytyvät Webminin Servers välilehdeltä BIND DNS Server modulista. Palomuurista täytyy lisäksi avata TCP&UDP 53 portit sisäverkkoon, jotta asiakaskoneet pääsevät käsiksi nimipalvelimeen.
25 (27) 6 OMA POHDINTA Jo pelkästään usean etäsähköpostin vuoksi palvelimen olemassaolo nopeuttaa sähköpostin käyttöä erittäin paljon, eikä mikään etäsähköposti anna enää varoituksia tilanpuutteesta. Kun kaikkien perheenjäsenten etäsähköpostit ohjataan tulemaan palvelimen ja sen roskapostisuodatuksen kautta myös keskitetty roskapostisuodatus onnistuu todella helposti. Internet välimuisti-ominaisuus on todella tervetullut jokaiselle. Nopeutta huomaa ilman testejä, ja niitäkin voi tehdä jos ei usko sen nopeuttavan toimintaa. Proxyn lokeja voidaan analysoida esimerkiksi Squid ohjelman avulla ja saadaan tarkasti tietoon missä, kuka, ja kuinka paljon aikaa viettää. Voidaan estää tietyille sivustoille pääsy ja näin suojella luvattomalta sisällöltä. Nettipalvelimelle jokainen keksii varmasti käyttöä. Kaikille on esimerkiksi kuvia lomasta tai ystävistä/sukulaisista joita haluaa näyttää koko maailmalle tai tietylle joukolle salasanasuojatulla sivulle. Levyjako on todella tärkeässä roolissa. Jos omistaa usean tietokoneen, on aina se tarvittava tieto väärällä tietokoneella ja sitä pitää säilyttää USB-muistitikulla tai vastaavalla. Kun kaikki tieto on verkossa jaetulla levyresurssilla on jokaisella verkon tietokoneella jolla on tunnukset siihen pääsy ja tiedostot ovat välittömästi käytettävissä. Nimipalvelin on myös mielenkiintoinen palvelu. Sen opettelu on mukava lisä muitten palveluitten joukossa joita voi itse itselle tuottaa. Etähallinnan kehittyminen Webminin tapaiseen etähallintaohjelmaan ja web-pohjalle on mielenkiintoinen aihe. Itse teen asetuksen mielelläni konsolista, mutta seuraan tiiviisti miten Webmin tulee kehittymään koska se rohkaisee varmasti Linux alustalle harkitsevia siirtymään uuteen käyttöjärjestelmään.
26 (27) LÄHTEET Debian GNU/Linux 3.1. Käyttöjärjestelmä julkisessa http-palvelimessa. http://ftp.fi.debian.org/debian-cd/. Luettu 17.7.2006
27 (27) LIITTEET LIITE 1 PuTTY:n yhteysasetukset PuTTY:n SSH-tunnelointiasetukset