Académique Documents
Professionnel Documents
Culture Documents
1. oldal
Bevezets
Ez az oldal azoknak keszl, akiket a sors rendszeradminisztrcira kenyszert, s a fontos kerdsekben a kvetkez segtsget kapjk: "mivel egy tzfal teleptse s belltsa szmos elvi s megvalstsbeli ismeretet ignyel, itt azt sajnos nincs mdunk rszletesen bemutatni." Slapic-nak ebben, termszetesen igaza van, de ez kb. olyan vlasz, mint amikor egy kezd megkrdezi melyik distrib-et vlassza, s azt mondjk neki, hogy mindegy, mert ugyanaz a kernel van hozz. Szval kszteni kell egy internetes gateway-t, tjrt, de se pnz, se tapasztalat, se semmi, s nem akarjuk rfecsrelni az egsz dlelttt. TUDOM, hogy ettl sokaknak felll a szr a htukon, s ebben IGAZUK IS VAN. Az let azonban bonyolult, s mgiscsak ssze kell hozni valamit. Ha a bels hlon totl amatrk vannak, s csak ideiglenesen, modemmel kapcsolodunk fel egy szolgltathoz, akkor egy alapvet Linux-os ismeretekkel rendelkez ember is ssze tud hozni egy ilyen rendszert. St. ssze kell hoznia, radsul ingyen, grbe pillantsokkal ksrve, a krnyez Win99-es gpek mgl.
Ha valakinek lehetsge van r, akkor krjen meg egy hozzrtt, hogy csinlja meg. Csak vgs esetben forduljon ehez a dokumentumhoz!
Ha valaki magtl nem tudn eldnteni, hogy profi-e, annak egy kis segtsg: Profi az akinek a hibazeneteket tartalmaz jegyzetfzetben nem azok a hibazenetek vannak amiket mr ltott, hanem azok amiket mg nem. A tartalomjegyzk Gefferth Andrs programjval kszlt. Kattints ide ha le akarod tolteni.
Alapismeretek:
Olaf Krich - Linux - halozati adminisztrtorok kziknyve Fred Blutzen, Christopher Hilton - Linux halozatok 2750 Ft A Win95 kliensek jl le vannak rva. Szab - Linux lepesrol lepesre 2??? Ft Linuxvilg folyirat. Klnsen a knny lmok cikksorozat. leen Frisch - Windows NT rendszeradminisztrci. Idzet a knyv 127. oldalrl "s mg tovbbi kettt [tartalmaz - mrmint partcit] (amiket trtnetesen a Linux opercis rendszer hasznl)." Azonnal megvettem. Drga, de j knyv. kb 4000 Ft Peter Norton, Mike Stockman - A hlzati biztonsg alapjairl 2660 Ft Windows (NT, 2000), Novell NetWare, Unix (Solaris, BSD, Linux) Kezdknek. Teht Neked :-) http://www.bmva.hu/linux/jegyzet http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm SAG-HU 3 helyen http://home.sch.bme.hu/~bekesa/lr/index.html http://to.banki.hu/koli/doc/linux/sag-hu/index.html http://www.szif.hu/~ahorvath/Sag/ Miskolci Egyetem jegyzete:
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title www.iit.uni-miskolc.hu/~vadasz/it02_szgpek/index.html Linux doksik magyarul http://linuxdoc.freeweb.hu/ Kernel fordts (Debian 2.2.x): CHIPTR: Linux 2.2 40-65. (RedHat 2.0.x CHIP 1998 julius 104-106) PAM: hitelests. CHIP 2001 prilis. 144-146. X terminlok ptse: http://linuxgazette.com/issue68/swieskowski.html Ht akor kezddjk.
2. oldal
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title Namost azta tallkoztam valami TA128 felirat modemmel, nem Zyxel. Annak kellett egy AT!L0=0 is. Figyelmesen el kell olvasni a kziknyvet. Lehet a Matv is a huny. Az ISDN drt vgre dugtunk egy digitlis telefont, s nem tudtunk vrosi szmot trcszni. s most ugyanez komolyabban, rszletesebben cHarley - charley@interware.hu segtsgvel.
3. oldal
Letlts
Kattints ide ha le akarod tolteni. Akarjad. A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk. [Dadus] Szoval ezzel egyaltalan nem ertek egyet. Vannak olyan opciok (pl ms-dns egy server eseten, meg csomo egyeb) ami minden soros portnal ugyanaz. Akkor minek kulon leirni? Ha valamit nem ott tartunk ahol a helye van, akkor kesobb nehezen fogjuk megtalalni. [cancel] A Matavnet "pap" autentikcit hasznl, vagyis nem scriptel kne bejelentkezned. A kppp autentikcijt "pap" llitsd, az "/etc/ppp/ pap-secrets" file-t ki kne tlteni, a "/etc/ppp/options" tartalmt meg kitrlni. A kppp-nek meg mg bellitani, hogy a "pppd"-t debug opcival inditsa. A Matvnet szerverein nha nem indul el a ppp, nha tbbszr is konektni kell: Feb 24 21:22:26 dadus pppd[918]: sent [LCP ConfReq id=0x1 ] Feb 24 21:22:38 dadus last message repeated 4 times Feb 24 21:22:41 dadus pppd[918]: Terminating on signal 15. Feb 24 21:22:41 dadus pppd[918]: sent [LCP TermReq id=0x2 "User request"] Feb 24 21:22:44 dadus pppd[918]: sent [LCP TermReq id=0x3 "User request"] Feb 24 21:22:47 dadus pppd[918]: Connection terminated. Feb 24 21:22:47 dadus pppd[918]: Exit. Ez az els mai bejelenkezsem, ltszik hogy az els csomagomra nem kldtt semilyen vlaszt, ezrt leidzitett a pppd. [Dadus] Ha az options s a pap-secrets file-ok kztt ellentmonds van, akkor nem megy az azonosts ! Naszal a pap/chap secret file igy nzzen ki: [client(account)] [server(acoount)] [secret] [server IP] nandoraccount matavnet jelszo * matavnet nandoraccount jelszo * A masodik sor akkor kell, ha calback-kal megy, ha ott van, nemsok vizet zavar. Az IP-t vagy beirod vagy don't care "*" [netizen] Egyebek: A KDE kppp-jet hasznalnam, de mindig azt irja ki hogy: /dev/modem locked [Cronos] Egy elz prblkozsbl maradhatott egy lock file, amit nem tudott letrlni valami okbl, gyhogy most akkor manulisan kne trlni. A "/var/lock" knyvtrban valami ilyen file van : LCK...modem , ezt trld le nyugodtan. [Dadus] az Elender web oldaln egsz trheten le van rva lpsrl-lpsre mit kell csinlni a ppp-on, ppp-on-dialer szkriptekkel. (Vgre ezt is megltk, a Linux-ot is jegyzik!) Kiprbltam, nekem mkdik (Red Hat 6.2). A ppp-on-dialer-ben nekem eredetileg "ogin" volt "sername" helyett, ezt trtam, a ttyS0-t meg a sebessget is mindkt szkriptben. A # tail -f /var/log/messages pedig jl mutatja mi trtnik, illetve mi nem trtnik. Arrl rhattak volna tbbet, mit kell tenni, hogy a user-ek is tudjk indtani a ppp kapcsolatot, de ne legynk telhetetlenek, mr ez is valami. Taln a kvetkez verziban... [yoker] Adott egy telefonvonal egy hangpostval megldva. Ha a hangpostra zenet rkezik akkor azt jellegzetes berreg trcsahangal jelzi. Ez a berreg hang egsz addig jelen van amg nem trlm le az zenetet. Ez a rendszer meghibsodott s letrls utn tovbbra is jelen van a berreg trcsahang. A Matv aszt lltja, hogy beszorult a trcsahang s, hogy ez orszgos problma. Ez miatt a modem aszt mondja, hogy nincs vonal. Ettl a hanposta "szolgltatstl" nem tudok megszabadulni mert ez egy trs vonal s a matv aszt mondja, hogy ez jr hozz. n mr mondtam nekik, hogy fizetem tovbbra is a hangposta djt csak vigyk a fenbe nekem nincs r szksgem. A vlasz nemleges. Windows-ban megtudom mondani a modemnek, hogy hadja figyelmen kvl a trcsahangot, ekkor tudok internetre lpni de pdul faxolni mr nem tudok mert a fax programban nincs ilyen belltsi lehetsg. Teht a krdsem az, hogyan lehet a Linux-nak megmondani, hogy ne vegye figyelembe a trcsahangot? [sirkalmi] lehet, hogy ez segt majd. Nem n vagyok ilyen okos, ez is az Elender oldalrl van: "A modem inicializl stringet a sorban talljuk, ezt rjuk t a modem lersban szerepl init stringre (ltalban egy egyszer ATX is megteszi, de lehetsg van a modem 'finomhangolsra', lsd lers). Az ATX egybknt azt eredmnyezi, hogy a modem ne vrjon trcsahangra, hanem 'dumb' mdon lljon neki trcszni. Ez pldul olyan alkzpontok esetn hasznos, amelyek nem adnak szabvnyos trcsahangot."
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
4. oldal
Dummy: visszahurkol interface, Ethernet-tel nem rendelkez, de SLIP-pel rendelkez (Serial Line Internet Protokol) gpen lland IP cmmel rendelkez eszkz ltrehozsra. Mindez azrt kell, mert egy visszahurkolsi interface lehetsg van a Linux-ban - a 127.0.0.1, namost ha egy alkalmazs a 192.168.1.15 nek akar adatot kldeni, s nincs ilyen aktv eszkz - mivel a gp nincs hlzatba kapcsolva a dummy (nem valdi) eszkz fogadja az adatot. A diald dmon bels kommunikcira hasznlja a SLIP protokollt. Interfszek: eth - hlkrtya lo - loopback, visszahurkol interface. 127.0.0.1 ppp - Point-to-Point Protokol eszkz sl - SLIP eszkz. dummy - dummy eszkz.
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title restart) $0 stop $0 start ;; *) echo "Usage: isdn-home {start|stop|restart}" exit 1 esac exit 0
5. oldal
Mivel a script-ben a "dialmode $device manual", s nem auto, a konnektlshoz a kvetkez parancs szksges: isdnctrl dial ippp0
A diszkonnekthez: isdnctrl hangup ippp0 vagy lelvd az egsz ISDN konfigot a script-el: isdn-home stop (mr ha te is ugyanezt a nevet adod a scriptnek) Alapban csak a root hasznlhatja, ha ms usernek is engedlyezni akarod, akkor a parancsokat (isdnctrl, ifconfig, route, killall) SETUID-osra kell tenni. llapotot lekrdezni: isdnctrl status all Az ipppd debug-al van indtva a scriptben, az isdn debugot meg a : isdnctrl verbose 1-tl 99-ig parancsal lehet lltani. Van KDE-s progi is hozz, a kisdn, ezt minden disztrib tartalmazza, de mieltt hasznlod a "kcmkisdn" paranccsal konfigolni kell. Nha nem hajland mkdni, ha sokat lltgatja az ember, ekkor parancssorbl: isdnctrl system on s meggygyul. [Dadus]
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
6. oldal
A debug sor csak a belvshez szksges, ha mr stabil elhagyhat. (a "/var/log/mgetty.ttyS1"-be logol) Az "/etc/mgetty/login.config"ban: /AutoPPP/ - a_ppp /usr/sbin/pppd Ezrt j vlaszts az mgetty, mert kpes automatikusan elindtani a pppd-t. A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk. A "/etc/ppp/options.ttyS1" tartalma: 10.1.1.1:10.1.1.2 netmask 255.255.255.0 -detach debug auth +pap #+chap #proxyarp login name pppserver ms-dns xxx.xxx.xxx.xxx modem lock crtscts callback server debug szintn elhagyhat a belvs utn. Az autentikcit a "+pap" vagy "+chap"-al vlasztunk, a login azt modja meg, hogy a sajt "/ etc/passwd" adatbzisunkkal azonositunk, ez egyuttal azt is jelenti, hogy a behvnak mint vals user-nek lteznie kell a linuxon. Ha ez a megolds nem szimpatikus, a login elhagyhat, de ekkor ki kell tlteni az "/etc/ppp/pap-secrets" vagy a "/etc/ppp/chap-secrets" fileokat, a vlasztott autentikcitl fggen. A "name" sor is ehhez kell a sajt nevnket szabjuk meg. Ebben az esetben pl. pap autentikcit hasznlva: Az "/etc/ppp/pap-secrets"-bl [A dadus user hopi2 jeszval] : # client server secret IP addresses dadus pppserver hopi2 10.1.1.0/24 pppserver dadus hopi2 10.1.1.0/24 Az elbbi "login"-os esetben pedig elg ennyi: * * "" 10.1.1.0/24 Ha van itt tbb bejegyzs is, pl. a kimen dialup-os internet elrs miatt, azoknak ezt meg kell elznik, mivel a ppp sorban viszsglja a file tartalmt, s az els egyeznl lell. Az IP cmnl az els a szerver, a msodik a behv kliens. Amennyiben a bels hlrl osztasz ki IP cmet szksges mg a "proxyarp" opci is. Az "ms-dns"-el el lehet kldeni a wines klienseknek a dns szerver cimt. A "callback server" opcinak rtelemszeren csak akkor hasznlhat, ha a callback-os ppp-t hasznlod. Az "/etc/ppp/callback-users"-ben: dadus * dadus2 1234567
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
7. oldal
Brmilyen telefonszmon visszahvja a "dadus" usert, a dadus2-t csak a megszabott szmon. Ha a sambval ki akarsz ajnlani erforrsokat a ppp keresztl, az "interfaces" opcit kell hasznlni, de vigyzat nem a network cimeket kell ide rni, hanem csak a linux hlzati cmeit. Pl.az eth0 a 192.168.1.1-es cmen van, s egy komplett C osztlyu, a ppp0 meg a 10.1.1.1-en 255.255.255.240-es maszkkal: interfaces=192.168.1.1/24 10.1.1.1/28 [Dadus]
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
8. oldal
2) A szerveren a hosts file-ba felvenni a kliens gpeket, s prioritst adni a hosts filenak a DNS fltt: /etc/nsswitch.conf -ban: hosts: files dns (glibc2 eseten). 3) A szerveren a /etc/hosts.allow file-ba felvenni a klienst ip-cimmel, vagy a lokalis halozat osszes gepet, pl: ALL:10.2.3.0/255.255.255.0 bovebben: man 5 hosts_access [NevemTeve] Hallottam olyan esetrl amikor a Win95-s kliensek valami miatt elkezdtk magukat keresglni, persze a szolgltat name servere sem tudta kiderteni kik is k valjban (ami nem csoda) s mivel nem adtk fel a keresst, s sok gprl volt sz 1000USD (forintban persze) volt a telefonszmla. (Gondolom ha nem lett volna nekik megadva a szolgltat name servere, akkor nem tudtk volna hvni, ha meg a PPP-s gpen fut name server akkor az a negatv prblkozsokat is cacheli, teht nem prblja meg tbbszr megkeresni kint azt a cmet amit egyszer mr nem tallt.) Fontosnak tnik a jl kitlttt hosts file-ok hasznlata. Ez esetben nem is kell tudniuk a PPP gp name serverrl, hiszen Web bngszs gyis a Squid-on keresztl zajlik, a levelez szerver cmt meg megadjuk a Windows hosts file-jban. Pldul a mail.elender.hu cme 212.108.200.67
diald
Most j lenne automatikusan ltrehozni a kapcsolatot. Slapic a 2.2-es CHIP-trban 33-37 oldalakon errl is r. Ahogy kibogarsztam, a pppd kpes erre ha meg tudjuk adni a sajt s a tvoli gp IP szmt. Azt hiszem, ez nem jellemz mivel a szolgltatk dinamikusan osztjk ezt ki. ltalban a diald-ot hasznljk automatikus trcszsra. Ha kell felpti a kapcsolatot, ha kell lebontja. A diald-hoz Linux halozatok 201.oldal. Kiegeszites: Azert, hogy a diald ne nyelje el az elso csomagot: echo 1 > /proc/sys/net/ipv4/ip_dynaddr Ha a connect /etc/ppp/ppp-on-dialer -t hasznaljuk akkor - logikusan - a telefonszmot direktben kell beirni az ATDT$Telefonszam helyett ATDT516000. Illetve ATDT0W516000. /etc/diald.conf mode ppp connect /etc/ppp/ppp-on-dialer device /dev/ttyS0 speed 115200 modem lock crtscts pppd-options name ppp-pc remotename myisp local 192.168.0.1 remote 192.168.0.2 dynamic defaultroute include /usr/lib/diald/standard.filter Ide msolom az egyik diald konfigom ledzsi rszlett (/etc/diald.conf), ez matvos terletre kszlt. Htha msoknak segtek vele, mert ezzel sokat tkldtem, nagyon nehezen rtettem meg a logikjt, htha ms is gy van ezzel. #restrict restrict 07:50:00 17:59:00 1-5 * *
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title impulse 780,60 restrict 07:50:00 14:59:00 6-7 * * impulse 780,60 restrict * * * * * impulse 300,3600,60 accept any 120 any
9. oldal
A legals sor azt mondja, hogy 120 mpercig nem vizsgl semmit, utna indulnak az idztsek: az els kt sor szerint htftl pntekig 7:50-tl 17:59-ig 780 mpercig engedi a kapcsolatot fennlni, majd erre jn egy 60 mperces trelmi id, ha nincs forgalom bont, ha van az idztst ujra indtja. A kvetkez kt sor ugyanez szombaton s vasrnap, csak ms idpontokkal. Az utols eltti kt sor a kedvezmnyes idszakra vonatkozik, a trelmi id itt is 60 mperc, de az idzts egy kicsit ms. Az els 300 mpercet nzi, hogy van-e forgalom (lehet, hogy valaki csak a leveleit tlti le, s nem hasznlja ki a kedvezmnyes idszakot), ha van utna mr 1 rra toljuk ki a leidzits rtkt. [Dadus] A csomagtovabbitashoz kell az echo 1 > /proc/sys/net/ipv4/ip_forward Mas tarcsaz programok is vannak pl: masqdialer -kliens progi kell hozz-
squid
J lenne, ha nem tlten le mindenki ugyanazt az oldalt - proxi szervert kell bezemelni. Slapic a 2.2-es CHIP-trban 104-107 oldalakon errl is r. Kolics.pdf helyett txt Az alap squid-ban nem szokott benne lenni az azonosts tmogatsa, ezert jra kell fordtani. configure, make, make install. Az auth_modules-ben van az ncsa_auth ami ezt vgzi. Jelszfile kszts a htpasswd programmal lehet. Lpjnk be a megfelel knyvtrba, aztn: htpasswd -c ./ujfile user1 htpasswd ./rgifle user2 /etc/squid.conf http_port 3128 icp_port 3130 authenticate_program /usr/bin/ncsa_auth /etc/squid/passwd error_directory /etc/squid/errors/Hungarian dns_children 5 acl password proxy_auth user1 user2 acl all src 0.0.0.0/0.0.0.0 acl my src 192.168.0.0/255.255.0.0 acl localhost src 127.0.0.1/255.255.255.255 http_access allow localhost http_access allow password http_access deny all icp_access allow all cache_effective_user nobody
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
10. oldal
Termszetesen a knyvtrak/file-ok neveire, s a futtat user/group valamint a knyvtrak tulajdonosainak belltsaira oda kell figyelni. Lehet squid felhasznlknt is futtatni. Netscape: /edit/preferences/Advanced/Proxies/Manual/gp cme s a port kell. Squid 3128 mint fent is ltszik. SQUID and WIN NT authentikci Tisztelt Hlgyek s Urak. A Mandrake Linux kapcsn volt mr egy kis sz a SQUID proxy szerver hazsnlatrl, de ott nem volt vlasz az NT (SMB) alap authentikcira sem. De mostanra ugy tnik egy darabig eljutottam ennek megoldsban a tapaszatlatok: 1. Mikor rdemes Proxy szervert hasznlni: Ha megfelelen sok useered akar kinzni a netre, ez gy 5-nl tbb akkor rdemes a proxyt belltani, majd ez letlti az oldalt, s ha vki ugyanazt kri, neki is kiadja NET hozzforduls nlkl. Ez sebbesgben s pnzben is jobb;) 2. Mi van ha adott egy NT hlzat, s azt szeretnnk, ha az NT DOMAINben lene megadva a user, s ott azonostannk, hogy ki hasznlhatja a proxyt. Erre a megolds az smb_auth kieg. hasznlata a SQUId-ben. Ez nem teljesen biztos hogy fennt van, ha nincs smb_auth nev prg a gpen (find / -name smb_auth) akkor fordtani kell. Szerencsre az ujabb SUSE biztosan tartalmazza ezt. A azonosts ugy trtnik, hogy az SMB_AUTH ellenrzi a PDC-n hogy van-e a usernek a //PDC/NETLOGON/PROXYAUTH filehoz olvassi joga ha van akkor mr csak a ACL lista alapjn dnti el mi lehet neki csinlni. Kiprbls Az smb_auth -W DOMAIN -U PDC -d paranccs utn br nem ir ki semmit, meg kell adni ausernevet s a passwordot, a -d kapcsolo azt mondja hogy rszletes listt adjon, az utols sz vagy ERR hiba , vagy OK ez kirly Pl: smb_auth -W GDOMAIN -U GPDC -d gamorra *********** Domain name: GDOMAIN Pass-through authentication: no Query address options: -U GPDC -R Domain controller IP address: 128.128.2.1 Domain controller NETBIOS name: GPDC01 Contents of //GPDC01/NETLOGON/proxyauth: allow OK Na ha ilyemit kapsz akkor j. A SQUID-t meg az authentic program rovat kitltsvel lehet rbirni ennek hasznlatra. authentic program -W GDOMAIN -U szerver cime itt tobb auth metodust is ki lehet valasztani, rdemes esetleg a /etc/passwd is beirni igy csak azok akik az NT, vagy magn a szerveren vannak, hasznlhatjk a proxyt. Persze az ACL (acces control list) helyes kitltsvel r lehet birni a usereket a helyes viselkedsre(NO PORNO NO TORGYAN), de errl mg nem tudok rszletesen irni, gy inkbb megkrnm pl TAXIN kollgt irjon a ACL-krl, vagy ppen akinek kedve van. Engem itt az ALL USER megolds rdekelne, nem szeretnm a Usereket egyesvel felsorolgatni, illetve, hogy nem tudtok-e olyan grafikus programot(KDE, NT) amivel az ACL lista GRAFIKUSAN szerkeszthet. Akinek csinlnia kellen ezt nincsen Unixos tapasztalata. Na dv Egyelre ennyi GAMORRA
mail
www.ppke.hu/~pasztor/spam.html Mirt hasznljunk Linux-os levelezszervert ? Ez a levl egy segtsg krs, de egyben figyelmeztets is azoknak, akik nagymennyisg e-mail-t raktroznak merevlemezkn. Pnteken nagy adatvesztssel jr lefagys volt nlunk. A jelensg: Outlook Express-t hasznlunk ( IE4.0-flt ). A szoksos tmrtst vgezte a httrtroln, mikor Dr Watson-nal ( NT figyelmeztetse ) lefagyott az Outlook Express. jraindtskor lthatatlann vltak
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
11. oldal
az egyik mappa ( pont a hivatalos bejv ) utbbi 4 hnap mljei. jbli jraindtssal ismt nekillt tmrteni, mire az eddg csupn tartalmukat vesztett mlek vgrvnyesen eltntek.[Varga Ills Levente] Az outlook express leveleit t tudod konvertlni unixos mailbox formtumra az oe2mbx progival. a freshmeat.net-en rkeresve megtallod.[hORK] A csatolt filek meg kicsomagolhatk (IPM.Microsoft Mail) a www.fentun.com progijval "boot_device_not_accesible" s "nem tallja a windows2000 root system32ntoskernel.exe"-t Ezt nekem egyszer magtl hozta ssze a rendszer. gy, hogy egyik percben mg mkdtt -- majdnem egy vig huzamosan ebben a konfigban ment a rendszer. tbootolam win98-ba, ott matattam a CD-rval, majd visszabootoltam volna W2-be s a fennt lertak. Megprbltam a Repair Disk-el, aszonta a windows2000 root system32ntoskernel.exe nem tallhat, vagy srlt. Pakoljak mindent jra. jrapakoltam. Az sszes mailem elveszett persze. A doksik csak azrt nem, mert ms partcin troltam. Azta mindig "kicsit rettegek" minden bootolsnl. Htha valami misztikus ok miatt most megint... [sztyopka-remix] Vruskeress: http://www.amavis.org/ http://qmail-scanner.sourceforge.net/ http://linux.index.hu/?site=cikkek/avp.html Levelezs telnet segtsgvel telnet mail.elender.hu 25 HELO mail.elender.hu MAIL FROM:< innen@kuldom> RCPT TO:< ide@megy> DATA Subject: teszt Duma es egyebek - miert nem megy az outlook ? . QUIT Levelezs Netscape segtsgvel. A szolgltat POP3 protokollt biztost: Edit/Preferences/Mail &.../Identity email cm-et kell kitlteni valaki@freemail.c3.hu Edit/Preferences/Mail &.../Mail Servers incoming mail servers: freemail.c3.hu server type POP user name valaki outgoing mail server freemail.c3.hu user valaki Ez nem egy szerencss megolds ! Jobb lenne, ha a levlkldst a ppp gp oldan meg, s nem a kliensek csatlakoznnak kzvetlenl a szolgltat levelez gphez. n levlkldsre az internet szolgltat gpt hasznlom, de levl fogadsra egy egyetemi hln lev gpet. Ha valaki segt egy iskolai rendszert letben tartani, annak lehetsge van ilyen viszontszolgltatsokra. Esetleg korul lehet nezni az inter7.com hazatajan, ahol sokfele cuccost lehet talalni amik egymashoz vannak integralva: vpopmail: virtualis domainek es mailboxok kezelese rendszer userhasznalat nelkul (pop3 mailbox anelkul hogy usert kene felvenni a gepre a delikvensnek, tobb domainen, stb.) sqwebmail: webes mail felulet, egesz kellemesnek tunik, SSL-t is enged hasznalni bejelentkezeshez (nem tudjak lesniffelni a passwordodet), qmail es vpopmail tamogatas. courier-imap: IMAP4 server qmail-hez es vpopmail-hez. qmailadmin: adminisztracios felulet qmail, vpopmail, sqwebmail, ezmlm-hez. ezmlm: ez nem ott van a valtozatossag kedveert, ez egy levlistakezelo qmail-hez. [Finrod] A Szab fle knyvben van Exim lers. qmail-t meg vpopmail-t hasznalom. Azzal semmi gondom, csak hogy van egy ket feature amit meg hianyolok (de mar csinaljak), meg hogy kis kavaras van a debian csomaggal, ami miatt meg nem megy hozza a qmailadmin (de dolgoznak rajta). Az sqwebmail az elvileg megy a debianos vpopmail-el is, de nem probaltam. A debianos csomagokat a kovetkezokepp tudod begyujteni: qmail: (A 14. CHIP trban van rla lers Nagy Balzs-tl julian7@kva.hu * 80-85. oldal) letoltod a mirrorrol a qmail-src es az ucspi-tcp-src csomagokat (az unstable-t nyugodtan). http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title
12. oldal
ezutan build-ucspi-tcp es build-qmail Fel is installalhatod a csomagokat nyugodtan. Kozben elolvasgatod a qmail doksit piciket, hogy legyen rola fogalmad, milyen kellemes mailszerver is ez. Beallitod a ket beallitandot: (lasd README.Debian) 1. ~alias/.qmail-postmaster file valami ertelmeset tartalmazzon, vagy legyen postmaster usered. 2. Ha pine-t akarsz hasznalni akkor a /etc/pine.conf-ban: sendmail-path=/usr/lib/sendmail -oem -oi -t (tevedesek elkerulese vegett ez nem a sendmail sendmail file-ja, tehat nehogy megprobald feleroltetni melle a sendmail-t, ha mar levakarta :) 3. Elolvasod a /etc/init.d/qmail-t es amennyiben Maildir-t akarsz hasznalni, akkor annak megfeleloen cselekszel (es letrehozol minden usernek a homejaban a maildirmake paranccsal egy Maildir/ nevu maildirt, uj usereknek pedig automatikusan letrejon ez, ha az /usr/ local/sbin/adduser.local fileba behelyezed a kovetkezo sorokat: if [ -d $4 ] ; then maildirmake $4/Maildir chown -R $2.$3 $4/Maildir chmod -R g-s $4/Maildir fi 4. Korulnezel a /var/qmail/control konyvtarban hogy minden az aminek lennie kell (lasd doksi :) Ekkor van qmail-ed. vpopmail debian csomag: a http://www.sury.cz/Debian sitera elnezel. Ott rogton kapsz is egy szoveget hogy mit rakjal be a /etc/apt/ sources.list-edbe. Ezutan mar csak valogatsz dselect-el (kezdetnek javaslom a libvpopmail-freecdb authentikacios modszert amikor kerdez a dselect). Na akkor sqwebmail. Ehhez mar nem ertek, olvasd a doksit. Qmailadmin: detto. Ezmlm-et erdemes meg felrakni. Kitalalod hogy kell legyartani? :) Felinstallalod az ezmlm-src csomagot. Utana build-ezmlm es kesz vagy (felinstallalod a gyartott csomagot). Hat tovabbi kerdesed van, akkor a kuldj emailt (robi@piros.zold.net) [Finrod] A tcpserver egy kulonallo process minden porton, amit demonkent kell inditani. Igy nem tudjak egyes service-ek semmi koze a tobbihez. Nezd meg a tcpserver man page-et hogy hogy kell vele olyan programot futtatni ami ohozza van irva (ergo a megfelelo parametereket varja el). Inditani legegyszerubb ugy ahogy a qmail-nek a smtp demonat inditja a qmail initscriptje, csak a pidfile-t se art kezelni (talan a -13 verzioszamu csomagban mar benne van az is). Az access control a /etc/tcp.xxxx.cdb fileokban talalhato beallitasok alapjan tortenik. Ez a file binaris adatbazis, a forrasadata a /etc/tcp.xxxx fileban talalhato. Qmail-nel van smtp. Ebbol most fejbol nem tudom hogy lehet kigeneralni a cdb filet, mivel qmail-nel ezt a qmail-newmr progi csinalja, de az c program, tehat nehezen modosithato valoszinuleg. man cdb es probalni irkalni valami megfelelot. [Finrod] A qmail cdb file-jnak generlsa a doksi alapjn nlam gy mkdik (/etc/rc.d/rc.inet2 vge): # Start the tcpserver HyperSuperServer echo "Starting tcprules..." /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp echo "Starting tcpserver..." /usr/local/bin/tcpserver -H -l cooltech.hu -x /etc/tcp.smtp.cdb -v -u 1004 -g 101 \ 0 smtp /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 & [Traxy] A tcprules hivast nincs ertelme a server inditasa ele tenni, ugyanis nem tolti be a filet. A cdb file egy olyan hashelt adatbazis amiben tetszoleges rekordot nagyon gyorsan (ket file seek) meg tudsz talalni kulcs alapjan. Tehat a tcprules-t akkor kell lefuttatni amikor modositod a forrasfilejat. [Finrod] A /etc/tcp.smtp file tartalma: 10.:allow,RELAYCLIENT="" A tcpserver futtatsakor a -H -l cegnev.domain paramtert nem rta a doksi, utlag tettem hozz, mert miutn a tcpservert elindtottam s be akartam telnet-elni a szerverre, mris trcszott a diald. A qmail hivatalos http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title levlistjn akadtam erre a megoldsra. [Traxy] Kt qmail-es link: http://www.agria.hu/qmail/top.html (j kiindulsi pont) http://www.i2k.net/~dougvw/mailqueue.html ez utbbi egy kezdknek is knnyen rthet step-by-step teleptsi tmutat telefonos csatlakozs esetre, de van benne nhny hinyossg ill. hiba. 1. a /var/qmail/control/virtualdomains fileba a ":alias-ppp" el be kell tenni a sajt domain nevedet (cegnev.hu), ill. egyb aldomaineket, amik vannak a hln (mail.cegnev.hu stb.) Ha ez nincs ott, akkor a cgen belli levelezs is kikerl az internetre, aminek semmi rtelme. [Traxi] A virtualdomains fileba csak akkor kell a sajat egyeb domainjeidet beletenni, ha nincsenek a locals fileban. Az rcpthosts fileban mindenkepp benne kell lenniuk. A ket szolgaltatohoz csatlakozassal vigyazz, mert csak az egyik fele fognak menni a csomagok amik kifele mennek. A masik csak a penzedet fogja fogyasztani. Mindez azert mert az az interfesz egy darab ip cimet tartalmaz, ahova sose cimzel altalaban packet-et, valamint a linux nem tud ket gateway-t hasznalni. Ahhoz mar router csomag kell. Ha pedig valakinek sikerult ket (kulonbozo) dialupra bekonfiguralni egy router csomagot, akkor tegye kozkinccse legyen szives a dolgot. Keszulunk egyebkent egy olyan szolgaltatast beinditani (Greydeer Networks Kft.) ami lehetove teszi az ETRN-szeru leveltovabbitast dinamikus ip-cimre is. [Finrod] 2. a maildirsmtp, ami tovbbtja a leveleket telefonos csatlakozskor, ignyli mind a fogad, mind a sajt (ltalban dinamikusan kiosztott) IP cmnket. Az ip-up-ban elszr kiderti az IP cmnket, aztn meghvja vele a maildirsmtp-t. Na ez nekem nem mkdtt, gyhogy trtam. Az eredeti gy nz ki: # find own hostname; dynamically assigned! # $4 is the assigned ipaddress, passed along by pppd ME=`host $4|head -1|cut -d" " -f2` echo "$ME" > $QCD/HOSTNAME Ezek utn a $ME vltozt hasznlta a maildirsmtp meghvsakor. Nekem ez gy nem mkdtt. A megolds az, ha a maildirsmtp utols paramtereknt egyszeren "$4"-t runk. Ez tartalmazza a kapott IP cmet. Szerencsre nekem fix IP cmem van, gy ilyen gondom nincs, n arra hasznlom a $4 paramtert, hogy teszteljem, hogy a levelez szolgltathoz (EuroWeb) csatlakoztam e be s csak akkor kldje a leveleket. Ha a diald csatlakozik a Matavnethez (ami az ltalnos internet szolgltatnk), akkor rtelem szeren nem ez lesz az IP cm, gy nem indul a maildirsmtp. [Traxy]
13. oldal
fetchmail
Levlletltsre szolgl kliens. Nem csak POP3 protokollt tmogat. Mkdse: Beolvassa a config file-t Megnzi a tvoli gp postaldjt tadja a leveleket az SMTP szervernknek. Egyfelhasznls postalda esetn a ~/.fetchmail file: poll mail.elender.hu protocol POP3 user cukorfalat password jelszo
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title A file-t csak mi olvashassuk ! A fetchmail parancsra leszedi a levelet. Tbbfelhasznls postalda esetn a .fetchmail file: Namost ez mg 7 oldal a Linux hlzatok knyvben ...
14. oldal
IP masquerading
Letlts
Itt megint rdemes cHarley-ra tmaszkodni. A magyar nyelv ipchains-hogyan.tar.gz Az IP lncokrl: CHIP 1999 prilis 154-156, mjus 188-189 A 2.4-es kernel behozta az iptables-t. Hogyan ?
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
15. oldal
ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 53 -p udp -j ACCEPT - Elrhet a PPP gp name servere. Ha kell egyltaln name server r. ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 3128 -p tcp -j ACCEPT - Elrhet a squid. ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 -p icmp -j ACCEPT - Meg lehet ping-elni a PPP gpet. ipchains -P forward DENY - Nem tovbbt semmit. ipchains -A forward -s 192.168.2.100/255.255.255.255 -j MASQ - A PPP gprl minden mehet. Kell ez ? Megnzem. ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j MASQ - Bellrl maszkolja a levelezst ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j MASQ - s a POP3 letltst. Torolni az egeszet: ipchains -F Lista: ipchains -L -n
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title ipchains -P forward DENY - tovabbitas tiltva ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 -j MASQ - bentrol minden szabad
16. oldal
Az elso peldaban kintrol, a masodikban bentrol volt minden szabad. Ezeket kell osszekombinalni, de gondolom igy jobban at lehetett tekinteni.
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title # input tcp iptables -A terblock -i eth0 -p tcp --destination-port 1024:65535 -j ACCEPT # iptables -A terblock -i eth0 -p tcp --destination-port 20 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 21 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 22 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 25 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 80 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 143 -j ACCEPT # output tcp iptables -A terblock -o eth0 -p tcp --source-port 1024:65535 -j ACCEPT # iptables -A terblock -o eth0 -p tcp --source-port 20 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 21 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 22 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 25 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 80 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 143 -j ACCEPT # UDP # input udp iptables -A terblock -i eth0 -p udp --destination-port 1024:65535 -j ACCEPT # output udp iptables -A terblock -o eth0 -p udp --source-port 1024:65535 -j ACCEPT # DROP iptables -A terblock -j DROP # INTRANET eth1 # # TCP ############ SaMBa NO !!! ############## # iptables -A trablock -d ! 192.168.1.0/255.255.255.0 -j DROP iptables -A trablock -s ! 192.168.1.0/255.255.255.0 -j DROP # input tcp iptables -A trablock -i eth1 -p tcp --destination-port 1024:65535 -j ACCEPT # iptables -A trablock -i eth1 -p tcp --destination-port 20 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 21 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 22 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 25 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 80 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 143 -j ACCEPT # output tcp iptables -A trablock -o eth1 -p tcp --source-port 1024:65535 -j ACCEPT # iptables -A trablock -o eth1 -p tcp --source-port 20 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 21 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 22 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 25 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 80 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 143 -j ACCEPT # UDP # input udp iptables -A trablock -i eth1 -p udp --destination-port 1024:65535 -j ACCEPT # output tcp iptables -A trablock -o eth1 -p udp --source-port 1024:65535 -j ACCEPT # DROP iptables -A trablock -j DROP ############# PORTS STOP #################
17. oldal
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
18. oldal
# END clear iptables -D INPUT -j DROP iptables -D OUTPUT -j DROP iptables -D FORWARD -j DROP # List iptables -n -L ----------- minta vge -------
Tesztels, biztonsg :
http://wigwam.sztaki.hu/ Kattints ide ha le akarod tolteni a Linux-os rszt [2000 mrc 28] A gpek kztti beszlgetsrl: a kliens kld egy SYN szinkronizcis csomagot a szerver kld egy SYN-ACK szinkronizcis + nyugtzs csomagot a kliens kld egy ACK csomagot. s mr mehet is a csevely. a kliens kld egy ACK s FIN csomagot amit a szerver nyugtz egy ACK csomaggal, s vge a kapcsolatnak. Az aktulis kapcsolatokrl tjkozdhatunk: $ netstat -ta Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 helyi.gep.hu:2915 tavoli.gep.hu:telnet ESTABLISHED tcp 0 0 *:www *:* LISTEN Lthat, hogy betelneteltnk egy tvoli gpre, illetve a 80-as www porton vrjuk a webes krseket. A t-TCP, u-UDP, w-RAW, x-UNIX kapcsolatokat mutat. Igen sokoldal program. rdemes megismerkedni vele. RedHat 6.1 (4 CD-s) rendszer esetn kell a SuSE 6.3 els CD-rl az alien A Debian 2.1-rl kt progi, amikbl az rpm-et kell csinlni alien -r libpcap0_0.4a6-2.deb alien -r nmap_1.51-2.deb aztn telepteni. Portpsztzs sorn kldhetnk SYS csomagokat. Ekkor, ha nyitott portot tallunk egy SYN-ACK csomagot kapunk vissza. Ha FIN csomagot kldnk azoktl a portoktl kapunk egy RST csomagot amik mgtt nem fut szolgltats. Nzzk meg a nyitott portokat : # nmap 192.168.1.2 Starting nmap V. 1.51 by Fyodor (fyodor@dhp.com, www.dhp.com/~fyodor/nmap/) Open ports on rendez2.aesop (192.168.1.2): Port Number Protocol Service 23 tcp telnet 135 tcp unknown 139 tcp netbios-ssn s mr ltszik is, hogy a vizsglt NT-re telnet dmon van teleptve. Ttelezzk fel, hogy egy Linux-ot vizsglunk, s nyitva talljuk az 53-as portot Ki lehet mgtte ? #fuser -n tcp 53 53/tcp: 497 Mr ismerjk a program azonostjt, nzzk meg ki is az: #ps aux | grep 497 http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title root 497 0.0 0.5 2264 176 ? S May06 0.00 named Teht a name server. J program mg a SATAN. Security Administrator's Tool for Analyzing Networks esetleg Security Analysis Tool for Auditing Networks ? Ezekkel a nevekkel mindig baj van, klnsen ha a nvad is elfelejtette mit jelent. Lsd az fvwm ablakkezelt. A sniffit segtsgvel lehallgathat a hlzati forgalom.
19. oldal
Az /etc/services-ben fel vannak sorolva a megfelel port szmok. Ha IMAP-et akarunk POP3 helyett hasznlni, akkor a 143-as port kell a 110-es helyett. Kell a pop-99.11.2-1.i386.rpm csomag (SuSE 6.3), vagy az imap 4.5-3 (RedHat 6.0), UPGRADE !!! valamint engedelyezni kell az /etc/ inetd.conf -ban ami kell. De ami nem kell azt tiltsuk le !!!!!! inetd helyett xinetd terjed Linuxvilg 2001 febr/mrc: 67-69 A Linuxrol meg annyit, hogy kis odafigyelessel sokat lehet javitani a biztonsagan. Alapveto dolog, hogy nem hagy olyan szolgaltatast futni a gepen az ember, amire nincs szukseg: ha egy TCP porton nincs senki, akkor nehezebb rajta bejonni, mintha egy hasznalaton kivuli, igy alkalmasint bekonfiguralatlan szolgaltatas valaszol rajta... Eloszor is nezzunk bele a /etc/rc.d-be, milyen modszerrel inditja az egyes runlevelek futo dolgait az adott disztribucio. En inkabb szeretem (es hasznalom) a System V felet, ezert azt irom le, mashol lehet, hogy maskepp kell. Ja, es van szep X-es config utility - en inkabbazt irom le, ahogy tutti mukodik... Tehat a /etc/rc.d/init.d-ben vannak a telepitett cuccok indito-leallito scriptjei, ezeket inditja el az rc. konyvtarakban talalhato linkek alapjan a kernel, mikor az adott runlevelt inicializalja. A K nevu rc. link ramutat az init.d-ben a hozza tartozo scriptre, amit egy "stop" parameterrel fog elinditani, es leallitja az illeto szolgaltatast, majd a S linkek altal mutatott scripteket egy "start" parameterrel mindezt a szamok sorrendjeben. A feladvany egyszeru: az S kezdobetut kell kis beture cserelni (a Linux case sensitive !), igy az adott szolgaltatas daemonja nem fog elindulni. A K-t nem kell bantani - legfeljebb olyat akar leallitani, ami nem is indult el. A torles azert nem szerencses, mert akkor macerasabb a visszallitas, ha egyszer megis kell. Masik hasonlo dolog a /etc/inetd.conf. Ebben is szolgaltatasok vannak. Ha pl. erkezik egy kerelem a telnet (23-as, lasd meg /etc/services) portra, akkor azt elkapja az Internet daemon, akinek a configja az inetd.conf. Ebben megkeresi (szinten /etc/services alapjan), hogy erre a portra neki van-e valakije, akit raindithatna, majd nagy orommel konstatlja, hogy van, meghozza: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Vagyis a telnet porton egy TCP kapcsolatot kerelmezo szamara elinditja a tcpd nevu programot azzal a parameterrel, hogy in.telnetd. (Kozben van meg socket tipus, protocol, flagek es a felhasznalo, akinek a jogaival ezt teszi.) Ha ezt a sort kikommentezzuk ('#' a sor elejere, majd inet daemon restart: /etc/rc.d/init.d/inet restart), akkor a telnet keresekre a gep tobbe nem fog valaszolni, mert az inetd elutasitja a 23-as porton bejovo kereseket. Ha a sor elejen a telnet szot a /etc/ services-ben megtalalhato masra csereljuk ki (vigyazat, portszamot kozvetlenul nem irhatunk ide, mindenkeppen kell a /etc/services!), akkor akar mas porton lehet betelnetelni a gepbe. Igazabol azonban nem ez a modja, ha a nyilt Internet fele egy portot akarunk szabadon hagyni magunknak - erre inkabb az SSH valo, de errol majd a legkozelebb. Ertelemszeruen a /etc/inetd.conf tobbi bejegyzese is ertelemszeruen mukodik, es hasonloan kommentezheto, modosithato tetszes szerint. De azert esszel es atgondolva, mit is teszunk veluk... :-) Kovetkezo lecke: a csomagszuro tuzfal (es talan az IP maszkolas is bele fog ferni...) [Epoilacoda]
Aprsgok
A route tbla
/etc/sysconfig/network (RedHat) GETAWAY belltsai resek legyenek. [ppp]# /sbin/route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.2 0.0.0.0 255.255.255.255 UH 1 0 2 sl0 192.168.1.0 192.168.2.1 255.255.255.0 UG 0 0 24 eth1 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 1 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 7 lo 0.0.0.0 0.0.0.0 0.0.0.0 UG 0 0 58 sl0
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
20. oldal
Naplzs
File: syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. *.* /var/log/syslog ipchains -A input -l s ha be van lltva a fenti naplzs, akkor minden kls prblkozs a syslog file-ba gylik. iptraf ? Szines, szagos, majdnem jo (halokartya-azonosito alapjan szamol byte-okat, vagy IP alapjan general csomaglog-ot (azaz utolag egy xferstats.proftpd-stilusu scripttel lehet belole olyan format gyurni, amit te szeretnel))... [Alen]
Tvoli adminisztrls
Webmin program - Chip 2000 dec. 156-158. oldal
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title Adott seagate u10 egybknt udma66-os vinyo de most ata33-as buszon. mrs: hdparm -t /dev/hda Default: 4.23 MBbps hdpram -i 1 /dev/hda (32 bites md be): 7.88 MBps hdparm -i 1 -d1 /dev/hda (+ dma md): 9.32 MBps hdparm -i 1 -d 1 -X 66 /dev/hda (+udma mod be, habr a csipszet I440BX): 16.62 MBps [netizen] Ha mr a vinyrl van sz: Az fdisk segitsgvel rdemes kirni a particis tblt. Komplett partici lementse (floppyval prbld ki elszr) : cat /dev/fd0 | gzip > /mnt/tavoligep/floppyment Particis tbla feldert progi: gpart
21. oldal
A 2. alhlzaton 192.168.2.x van egy linux-os gp amely kapcsolatot biztost a klvilggal. A neve legyen ppp.felugy.aeszom 192.168.2.100. Adott kt alhlzat, amelyeket egy linux-os router kt ssze. (A rendszer iditasgai rszben fizikai (felhasznlk elhelyezkedse), rszben trtnelmi okokra vezethetek vissza)
Lthat, hogy a PPP gpen kt hlzati eszkz van. Teht a tzfalnak kt oldala van. Ha lenne benne egy msodik hlzati krtya, akkor arra r lehetne csatlakoztatni egy www, ftp szervert. Ezt a harmadik hlzati darabot, ami kvlrl is s bellrl is elrhet hvjk demilitarizlt znnak. Persze mindez kt tzfal gppel helyettesthet. Kpzeljnk el egy: Web - Egyetemi hlzat - Tanszki hlzat felllst. Panasz: idnknt nem mkdik az Internet. Kicsit automatizlni kellene a hibakeresst, gy, hogy a felhasznlk lssk, nem a Linux tzfal a sros. Ez a mdszer nem a szakma cscsa, de a kpzetlen felhasznlk bizalmt meg lehet vele nyerni. A windows hosts file-ba vegyk fel a kvetkez gpeket: 192.168.1.65 teszt1 # tanszki web szerver x.x.x.x teszt2 # megbzhat egyetemi web szerver y.y.y.y teszt3 # megbzhat web szerver (ibm, sun) gy a felhasznl a web bngszjvel be tudja azonostani a hiba helyt, illetve azt is meg tudja nzni, hogy az egyetemi routert vagy a name szervert javtgatjk-e. A kt alhlzat kztti router gpen engedlyezni kell a csomagtovbbtst echo 1 >/proc/sys/net/ipv4/ip_forward A kt alhlzat gpei ugyanabba a munkacsoportba tartozzanak. A router legyen a Master Browser s a wins szerver. Ha NT szervert teleptnk felismeri, hogy mr van egy Master Browser, s Backup Browser lesz belle. [Elender szervz] Az alaprtelmezett tjr a router gp legyen. Azaz 192.168.1.1 illetve a msodik alhlzaton 192.168.2.1
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
22. oldal
Van egy Samba NetBIOS forwarder program. A http://malt-whisky.student.utwente.nl/software.html cmen elrhet. The NetBIOS forwarder is an extension for Samba, which enables 'routing' of netbios packets through a masquerading firewall. With this patch it's possible to let backend computers take part in the 'Network Neighbourhood'. You can even share your data on your backend computer with all hosts on your normal LAN! Ha biztosak akarunk lenni, hogy egy WinNT sem fog bekavarni a bngszlistba, lltsuk be a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser/Parameters alatti MaintainServerList vltozt 0-nak. Szveg tipus. Tartomny esetn IsDomainMaster vltoz legyen 0. gy nem prblnak Browser gpek lenni.
IP cmek kiosztsa
Elszr is nevet meg IP szmot kell adni az intraneten levo gpeknek. A vlaszthat tartomnyok: A osztly - 10.0.0.0-10.255.255.255 B osztly - 172.16.0.0-172.31.255.255 C osztly - 192.168.0.0-192.168.255.255 A 192.168.x.x -et illik vlasztani. A gpeknek lehet egyenknt is nevet adni, de ez sokig tart s nehezen vltoztathat. Megoldst a bootp vagy a dhcp jelent. A M$ a WinNT szerverhez ad dhcp szervert. A bootp segtsgvel statikus cmek rendelhetk a gpekhez, dhcp-vel pedig dinamikus, ami akkor jelent elonyt, ha modil gpek csatlakoznak a halozathoz. Megvalsts R6/5.x esetn: Lers a Linux - lpsrl lpsre 200-203. oldal, illetve a CHIPtr LINUX 2.2 70-72.oldal. /etc/bootptab file # .global:gw=192.168.1.1:ds=193.225.93.1:hn:sm=255.255.255.0:dn=aesop:ht=ether:to=-3600: # sopron:ip=192.168.1.2:ha=0x0080C82EFCC8:tc=.global: teszt2:ip=192.168.1.1:ha=0x0000E844A6EE:tc=.global: teszt3:ip=193.225.93.124:ha=0x0000C0CEFAAA:tc=.global: # engedelyezni kell az /etc/inetd.conf -ban (inditas az inetd-vel) es az /etc/services -ben, illetve az rcx.d -kbl indit. Megvalsts R6/6.x esetn: R6/6.0 - dhcp-2.0-3 A bootp s a dhcp sszevonsa /rc.d/init.d/dhcpd daemon /usr/sbin/dhcpd -cf /etc/dhcpd.conf eth1 # Vegyk szre, hogy a bellts egy adott hlzati krtyra vonatkozik ! /etc/dhcpd.conf # shared-network VALAMI { subnet 192.168.1.0 netmask 255.255.255.0 { default-lease-time 600; max-lease-time 7200; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option routers 192.168.1.1; option domain-name-servers 193.225.93.1; option domain-name "aesop"; } } host sopron{ hardware ethernet 00:80:C8:2E:FC:C8; fixed-address 192.168.1.2; http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title } #
23. oldal
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title /var/named/named.rev ; /var/named/named.rev @ IN SOA szolg1.rendez.aeszom. ( 16 86400 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom. 5.1 IN PTR szolg1.rendez.aeszom. 2.1 IN PTR titkarsag.rendez.aeszom. 1.1 IN PTR fire.rendez.aeszom. 100.2 IN PTR ppp.felugy.aeszom. ; End of File /var/named/named.hosts2 ; /var/named/named.hosts2 ; @ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. ( 16 86400 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom IN MX 10 szolg1.rendez.aeszom ; fire IN A 192.168.2.1 ppp IN A 192.168.2.100 ; End of File
24. oldal
Most akkor jjjenek a NetBIOS nevek. Ha nem akarunk DNS szervert pteni akkor a hosts.sam file alapjn minden gpen kell kszteni egy hosts file-t. A M$ az NT szerver-hez ad csak DNS szervert, de ms megvalstsok elrhetk munkallomson is. Mint az koztudoms a DOS gpek kis hlzatra kifejlesztett nem routolhato szerencstlensget egytt kell hasznlni a TCP/IP-vel. Eredetileg: -ethernet-NetBEUI-NetBIOS Jelenleg: -ethernet-IP-TCP-NetBIOS(pontosabban NetBT NetBIOS emultor) Teht ne teleptsk a Win-en a NetB***-t mert mr nem kell. Mivel TCP/IP-n fut routolhat. Csak az zenetszrst kell? tjuttatni a router-en. A NetBIOS nv keress sorrendje: Sajt puffer- belltott WINS szerver - nem routolhat csomag segtsgvel WINS szerver keress - lmhosts file - hosts file - DNS szerver. A M$ a WinNT szerverhez ad WINS szervert. Linux-os megvalsts: A SaMBa-hoz tartozik egy nmbd nev program. Ezt kell nmbd -H /etc/lmhosts-knt indtani. /etc/sbm.conf wins support = yes /etc/lmhosts Ezt a file-t NEM hasznlja az nmbd hogy vlaszoljon a nv krdsre. CSAK a loklis szerveren biztost nvfeloldst. Ami elmarad az elvrhat minimumtl. # # Sample Samba lmhosts file. # 192.9.200.1 TESTPC 192.9.200.20 NTSERVER#20 192.9.200.21 SAMBASERVER #
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
25. oldal
Valami keveset mgiscsak tud. Errl a nmblookup -U winserver -R NetBIOS_nv tjkoztat. Illetve hasznlhat mg az smbclient -L NetBIOS_nv -R holkeresse is ahol -R wins, -R lmhosts stb llhat. nmblookup -M '-' pedig sok minden mellett kirja a master browserek listjt. rdemes tanulmnyozni ennek a kt programnak a lehetsgeit. Az smbclient-tel ftp szeren lehet elrni a win-es gpek megosztsait, az smbmount-tal pedig fel lehet azokat mountolni. Hiba: smb: > get read_socket_data: recv failure for 4. Error = Connection reset by peer Broken pipe Kikapcsoltk a Win-es gpet :-) A SaMBa segtsgvel az gy felcsatolt megosztsokat meg lehet osztani, mintha csak egy Linux-os erforrs lenne. Ha a SaMBa a /root/tmp -be akar irni, akkor az inditscriptbe kell egy export TMPDIR=/tmp sor. A M$ SMB alapveten kt hlzati modellel dolgozik: -Munkacsoport workgroup : Egyenrang gpek - minden megosztst gpenknt kell belltani. A bngszst a Master Browser s a Backup Browser intzi. NT-nl 32 gpenknt Win9x-nl 16 gpenknt lp be jabb BB. Az egyes alhlzatokat Master Browser-ek kssk ssze. Hasznljunk NT4 SP3-at, mert annak elfogadhat a halzatkezelse. [Elender szervz] SZVSZ az SP6a is j. Az SP6 hibs !
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
26. oldal
#Win NT 4.0 SP6a Hun. Az e:\ -rl msoltam f:\ -re. #Vegyk szre, hogy a hossz tkletes, mg az -t nem vitte t. #Lehet knldni Linux oldalon a Win karakterkezelsvel, de ... # #Ez a windows-ra vonatkozik: #Filenevek: A disken trolt filenevek unicode-osak. Ellenben van olyan filekezel funkcihalmaz a win-ben #amely a system locale (kdpdzs) alapjn akarja ltni a fileneveket (8 bites karakterek a filenvben a trolt 16 bites formtum #helyett). Ha az adott karakter nem szerepel a system kdlapon akkor az gy ltszik, hogy a filenv "rvnytelen" #karaktereket tartalmaz s ezrt nem lehet megnyitni. Ebbe akkor futsz bele trivilisan, ha a file tvoli gp megosztott #ktetn van, habr ekkor ilyen betket tartalmaz filenevet nem is tudsz ltrehozni a tvoli kteten. # #Soxor s meglls nlkl sulykoljk rencergizda bcsik, hogy filenvbe nem nyomtathat karaktert, szkzt, kezetes #bett, felkiltjelet, ":"-t ";"-t teht mindent ami nem szmlyegy van angol bet ne tegynk.... #[netizen] #Rszletesen: Kis Balzs: Windows 2000 Haladknyv... 200. oldal # #### Security #### # Akiket elfogad hosts allow = 192.168.2. 192.168.1. 127. # Lehet user, share, server is security = user #Van vendg = nobody, s van jelsz nlkli belps is. guest account = nobody # ez a null... lassthatja a bngszst null passwords = true map to guest = bad password password level = 0 # Win NT SP3 utn titkos jelsz lehetsges. Ha nem akarjuk akkor: # #EnablePlainTextPassword = 1 (dword vagy 32 bites rtk)-et kell ltrehozni a #(illetve W98-as gpen binris van belltva, s az OK) # #Win NT: #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/RDR/PARAMETERS # #Win 98: #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/VXD/VNETSUP-ban # #Termszetesen jraindts. # #Win NT 4.0 # #Esemnynapl: Az tirnyt nem tudott vltozkat inicializlni a #rendszerler adatbzisbl - Forrs: Rdr #A hozz tartoz hibazenet : Errl az llomsrl nem lehet bejelentkezni a fikba. #Grafikus felleten, illetve net use esetn krheti eltte a jelszt #de akkor enterre vagy jelsz nem megfelel, vagy a fenti hibazenet #ha jelszt runk be akkor a fenti hibazenet. #A net view-re viszont kilistazhatja a megosztsokat. http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title #A hiba forrsa: binris-knt lett ltrehozva a vltoz. # encrypt passwords = yes # #A sambapassword programmal -a opcival lehet j felhasznlt ltrehozni. smbpasswd file = /usr/local/samba/private/smbpasswd invalid users = root admin max connections = 20 #### Logging ########### debug level = 1 max log size = 50 log file = /usr/local/samba/var/log.connections #### Browser behaviour ######### interfaces = 192.168.1.1/24 192.168.2.1/24 lm announce = no lm interval = 0 #J ha a SaMBa a Master Browser local master = yes os level = 250 preferred master = yes #Ha nincs msik WINS szerver, akkor a SaMBa lesz az. #Egybknt no lenne, s meg kellene adni a szerver cimt. wins support = yes wins proxy = no dns proxy = no # Ezeket nzi t: name resolve order = wins lmhosts hosts bcast #### Tuning ########## socket options = TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768 deadtime = 5 oplocks = yes read prediction = yes read size = 16384 max xmit = 16384 read raw = yes write raw = yes #### Print ######### # Szab Pter: Nyomtats Linux all. CHIP 2000. november 156-158. oldal. printcap name = /etc/printcap load printers = yes printing = bsd ################## [printers]
27. oldal
#Akkor most bemutatom a WinNT multitask kpessgeit. #Pillanat...csak a munkatrsam befejezi a nyomtatst. #Celeron 333 - 64 MB RAM - semmilyen alkalmazas nem fut. comment = HP LJ 4L browseable = no printable = yes public = yes writable = yes # #Teleptsk fel a nyomtatt - Kliens WinNT 4.0 SP4 #Nyomtat hozzadsa varzsl #Hlzati nyomtat \\SZERVER\lp #Hibazenet: A kiszolgln lev nyomtat nem rendelkezik megfelelen #teleptett NULL nyomtat-illesztprogrammal, stb. #Nyomtatni nem fog, csak csinl egy \\SZERVER\lp portot. #Nyomtat hozzadsa varzsl #Helyi nyomtat http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title #Nyomtat port: \\SZERVER\lp #Mr megy is a nyomtats. # #Ha a public = no akkor a Win9x OK, de #WinNT 4.0 SP6a vagy SP4 nem nyomtat #Fjlnv, knyvtrnv vagy ktetcimke szintaxisa nem megfelel. #Vagy : nem lehet nyomtatni hibazenetek #ismert nt bug: nt nem kuld usernevet a nyomtato share-hez, csak jelszot #Ket "megoldas" van: #1, guest is nyomtathat #2, nt-bol felveszel egy file share-t, es _utanna_ csatlakozol nyomtatohoz #[LAJBER Zoltan] # #Win98 - a nyomtat offline mdban van hibazenet #Win 98 jratelepts kell. [public] comment = public public = yes path = /home/public browseable = yes writable = no printable = no # #Ugyangy CD-t is meg lehet osztani. # [homes] comment = megosztas path = /home/%u public = yes # #Ha nincs megosztsnv, s nincs felhasznlnv, vagy rossz a jelsz akkor a public = yes, #s a /home/%u [global] guest account = nobody nobody-knt beengedi a felhasznlt. #Kell egy /home/nobody azt kapja mindenki aki rosszul akar belpni. Ez kell, ha az NT bnzik #Kliens WinNT 4.0 SP6a. Ha a fenti yes nincs bent, akkor az llomsrl nem lehet #bejelentkezni a fikba hibazenet rkezik. Igy a /home/nobody knyvtrat kapja #Ha egyltaln nem lehet bejelentkezni egy NT-rl, lehet SP4 vagy 5 is #ezzel a hibazenettel akkor kell csinlni egy ilyen public = yes megosztst #Ha ide tud csak belpni a kliens akkor a password.c szerint # #1) login as the given [adott] user with given password #2) login as a previously [korbbi] registered username with the given password #3) login as a session list username with the given password #4) login as a previously validated user/password pair #5) login as the "user =" user with given password #6) login as the "user =" user with no password (guest connection) #7) login as guest user with no password # #lehet, hogy sem user-nevet, sem megoszts nevet nem kldtt az NT-s gp #s a guest ok = yes miatt jutott be. #Ha user-nevet, vagy megoszts nevet kldtt volna, akkor azon az [user]nven #prbln belptetni a SaMBa. Ha a jelsz ekkor rossz lenne - az lenne a hiba #rdemes a /home/nobody -ban elhelyezni egy hiba file-t, amiben ez le van rva. # #jratelepteni az NT-t ? # #Igy nz ki mindez Linux alol. Se megoszts, se felhasznl. # #/usr/local/samba/bin/smbclient //szerver/nobody -U nobody #Password: MINDEGY, mivel se felhasznl, se megoszts #Domain=[ETI] OS=[Unix] Server=[Samba 2.0.5a] #smb: \> ls # hiba A /home/nobody/hiba file 31 Wed Mar 1 20:00:00 2000 # # 39636 blocks of size 131072. 27085 blocks available #smb: \> q # http://www.szabilinux.hu/server/index.html
28. oldal
2013.09.23. 22:28:56
No title # #Rszletesebb informcit kapunk, ha a [global] rszben #a debug szintet emeljk, pl. 3-ra. Ekkor a log.smb file #gyorsan n, s sok minden ltszik benne. # # browseable = yes writable = no printable = no # #A felhasznlnv s a megosztsnv kzl azt veszi felhasznlnvnek #amelyikhez rvnyes jelsz tartozik #Windows all net use \\szerver\megosztas jelszo /USER:\userneve mdon #kapcsolhat fel. Kattogtatva nem megy, mivel a Windows elszr elkldi amit gondol
29. oldal
#csak aztn krdezi meg mit is kne csinlni - de ekkorra mr be is lpett nobody-knt. #Az brn a public = no eset ltszik - nem lpteti be a SaMBa, hanem visszautastja, gy #lehetsg van megadni a valdi rtkeket. Errl ksbb. # #ha a public = yes, s van /home/nobody s path = /home/%u akkor #azt rakja fel, mindegy ki akar belpni, ha path = %p akkor a / -t. #
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title #0700, ami security szempontbol jo, de igy a vilag nem latja a #weboldalukat. #A megoldas, amit talaltam: #A fajl creation : 0740, ami a csoportjanak enged olvasast. #Ez meg nem olyan rossz - gondolom- ugyis mindenki a sajat #csoportjaban van, szoval ez a tobbieknek nem ad tobb jogot. #A public_html konyvtar csoportjat www-root -ra allitottam (debian #alatt az apache felhasznaloja) es a setgid bitjet is beallitottam. #Ezzel a public_html alatti fajljai olvashatoak az apache szamara, #a konyvtarak meg oroklik a setgid bitet. # #[Borkuti Peter] [homes] comment = megosztas # %p - szolgltats home knyvtrnak a neve. %u szolgltats felhasznljnak a neve # ennek kellene lenni a csatlakozs msknt-nek, de figyelmen kivul hagyhatja a windows. path = %p #path = /home/%u # #Az, hogy /home/%u, vagy a %p a megfelel a kliens dnti el. Azt hasznljuk amelyik muxik. # public = no browseable = yes writable = yes printable = no create mode = 0700 # # # #Kliens WinNT 4.0 SP4 bejelentkezett felhasznl: usernt #SaMBa felhasznlk: user1, user2, user3 #NT felhasznlk: Rendszergazda, usernt #Halozati meghajto csatlakoztatasa #Meghajto: F #Eleresi ut: \\server\homes vagy \\server\user1 #Csatlakozas maskent: user1 # #helytelen a jelszava vagy felhasznaloneve ismeretlen: # #\\server\homes vagy user1 #Csatlakozasi nev: user1 #Jelszo: ******** - user1 samba jelszava # #Ha user2-kent akarok csatlakozni es megadom, hogy #Csatlakozas maskent: user2 #Akkor hibauzenet: #A megadott felhasznaloi nev-jelszo par utkozik #valamely meglevo felhasznaloi nev-jelszo parral. # #Levlasztva az user1 csatlakozst mr be tud lpni user2-knt. # #Levlasztom az user2-t s felkapcsolom az user1-et #Ha a csatlakozs msknt-ben #nem adom meg, hogy user2 akkor megvan a kapcsolat. # #Fel tudom csatlakoztatni az user1-et user 1 jelszval #azutan az user2-t jelsz nlkl - elmentette a jelszt. #user3 csatlakoztatsnl: Hlzatnv nem tallhat # #user1 helyett user2, user2 helyett user3 - ugyanaz #azaz user1 nem csatlakoztathat: Hlzatnv nem tallhat # #user1 s user3 nem csatlakoztathat egyszerre. # #Nem az igazi. # #ppen ezrt hasznljuk a #path = /home/%u http://www.szabilinux.hu/server/index.html
30. oldal
2013.09.23. 22:28:56
No title #formt, br van amikor meg azzal nem csatlakoznak. # #s mg egy rakat szpsg #Az NT hlzatkezelse hagy nmi kvnnivalt maga utn. # #Az NT hibazenetek megjelensnek sebessgbl kvetkezik, hogy meg sem #prblja felpteni a kapcsolatot, megkeresni a gpet. # #Slyos hiba ! A Win98 - Megsrlnek a file-ok ! #A Realtek hlkrtyval van baj. Le kell tlteni a Realtek drivert. [AiRLAC] #Ms hlkrtykban is lehet Realtek chip, akkor is, ha ez nem ltszik. SMC. #Hmmm... Az ftp, ami msik protokoll a hibs driver-rel is OK-san megy. #St, nha ki is rja, hogy szar az adattvitel. Ezek szerint az ftp-zs #biztonsgosabb adattvitelt biztost. #Megbzhatan mkdik - nyomtats, ha sikerl belltani #Az NT nem mindig alkalmas nyomtat szervernek Win98 kliens esetn sem. #Hasznljunk SaMBa nyomtatszervert inkbb. # #Mit lehet akkor csinlni amikor azrt nem lehet az NT-n #megosztsokat csinlni mert: # #A szolgltats [Kiszolgl] lellt a kvetkez hibval: #Nincs elg szabad kiszolgl trolterlet a parancs vgrehajtshoz. # #Szervzcsomagot jra kell telepteni. # #Tancsok: # #A kliensen s a szerveren egyezzen meg a felhasznl neve s jelszava #s j ha a kliens gpnek a netbios neve egyben a felhasznal neve is. #a jelsz csak kisbetket tartalmazzon - alapesetben a Win kisbetsre #konvertlja - s akkor a sajt knyvtr biztonsgosan felcsatolhat #s a publikus anyagok is, amik lehetnek CD meghajtk is. # Namost, ha a Server s a Workgroup csoportban nem szerepel egyetlen gp sem, lehet, hogy betelt a MasterBrowser gp winyja. A log file-okat egyszer-egyszer le is kell zzni...
31. oldal
No title --------- ---- ------NETLOGON Disk Logon server share ADMIN$ Disk Remote Admin IPC$ IPC Remote IPC stat Disk C$ Disk Default share D$ Disk Default share Server Comment --------- ------NTWS TERINFO Workgroup Master --------- ------DOMAIN1 TERINFO A stat megosztst elrni pedig (ha az smbmount nem szimpatikus) $smbclient //terinfo/stat -U linuxuser utastssal lehet. Listzni ls, kilpni exit. Ha hibs a jelsz: session setup failed: ERRDOS - ERRnoaccess (Access denied.) Ha j a jelsz - de ? session setup failed: ERRSRV - 2240
32. oldal
Mik a legnagyobb eltrsek a Munkacsoport s a Tartomny kztt ? A pldban szerepel egy NTWS nev NT 4.0 hu gp. Ha ezt a gpet belptetjk a DOMAIN1-be s a DOMAIN1-ben (TERINFO gp) nincs Rendszergazda felhasznl, akkor az NTWS gpre nem is lehet Rendszergazdaknt bejelentkezni. Admin-knt viszont igen. Admin a TERINFO gp rendszergazdja. Ha a TERINFO-n ltrehozunk Rendszergazda felhasznlt, akkor az NTWS gpre bejelentkezett Rendszergazda csak egy egyszer felhasznl. Semmifle plusz jogokkal nem rendelkezik. Az Admin viszont rendszergazda. Teht az NTWS gpen csak Admin-knt oszthatjuk meg az adatok alknyvtrat, s a LINUXWS gprl linuxuser-knt elrhetjk gy, hogy az NTSW gpen nincs se Admin, se linuxuser felhasznl. Munkacsoportos krnyezetben ltre kellene hozni egy Admin felhasznlt rendszergazda jogokkal s egy linuxuser felhasznlt user jogokkal az NTWS gpen, ami nagy szm WS s user esetn elg nyomaszt. Mivel az NT serveren nincs Power Users felhasznli csoport, ha azt akarjuk, hogy a linuxuser meg tudja osztani az NTWS gpen a nyomtatt s a file-okat akkor a Print Operators s Server Operators csoportba fel kell venni. Az User Manager / User Properties / Logon To - ban megadhat, hogy melyik gpekre jelentkezhet be. A gp Windows-os nevt kell belltani. Miutn ltrehoztunk egy LINUXWS gpet a tartomnyban a fenti smb.conf file kisebb mdostsval ltni is lehet a SaMBa megosztsokat. netbios name = LINUXWS workgroup = DOMAIN1 share modes = yes security = share encrypt passwords = yes smbpasswd file = /usr/local/samba/private/smbpasswd local master = no preferred master = no domain master = no wins support = no wins server = 192.168.1.4 Persze ez nem a teljes file. Ekkor kt felhasznli nv / jelsz listnk van. Egy a LINUXWS-en s egy a PDC-n. Vagy lltsuk le a SaMBa-t. Hozzuk ltre az NT-n a LINUXWS gpet, futtassuk a LINUXWS gpen az #smbpasswd -j DOMAIN1 -r terinfo parancsot. Akkor a .../samba/var/locks/browse.dat s wins.dat file-ok vltoznak. Az smb.conf-ot vltoztassuk meg kiss: #security = domain security = server domain logins = yes workgroup = DOMAIN1 password server = terinfo Ennek az az elnye, hogy a LINUXWS magosztsok a SaMBa s az NT-s jelszavakkal is elrhetk. Viszont tovbb tart az azonosts.
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title A 2.0.5a is nagyon j kis PDC, csak a W2k-t nem szereti. http://bioserve.latrobe.edu.au/samba/ntdomfaq.html Samba 2.0.7 will not accept Domain Logons from Win2000 although it will offer file shares to it. It will not do trust relationships. Viszont a 2.2 mr: http://fi.samba.org/samba/docs/samba-pdc-howto.html very new, they will be allowed to create a new machine account when first connecting a new NT or W2K machine to the domain. Nzznk meg egy 2.05a configot: [global] netbios name = NTServer # :-) workgroup = IRODA os level = 66 local master = yes preferred master = yes domain master = yes wins support = yes security = user domain logons = yes encrypt passwords = yes smb passwd file = /usr/local/samba/private/smbpasswd client code page = 850 character set = ISO8859-2 logon script = common.bat logon path = \\NTServer\homes\profile.nt logon home = \\aesz\homes\profile.9x domain admin users = administrator guest account = nobody unix password sync = true passwd program = /usr/bin/passwd %u passwd chat = *password* %n\n *password* %n\n *changed* min passwd length = 6 passwd chat debug = false load printers = no printing = lprng printcap name = /etc/printcap print command = /usr/bin/lpr -P%p -r %s lpq command = /usr/bin/lpq -P%p lprm command = /usr/bin/lprm -P%p %j lppause command = /usr/sbin/lpc hold %p %j lpresume command = /usr/sbin/lpc release %p %j queuepause command = /usr/sbin/lpc -P%p stop queueresume command = /usr/sbin/lpc -P%p start [netlogon] path = /home/samba/netlogon browseable = no writeable = no guest ok = no locking = no fake oplocks = yes A tbbi a szoksos. Mg annyit, hogy az NT belptetshez: Hozzunk ltre egy ntneve$ -t az /etc/passwd -ben. #adduser ntneve$ Aztn adjunk a /usr/local/samba/private/smbpasswd -hoz egy ntneve gpet. smbpasswd -a -m ntneve Ezutn mr be lehet lptetni az NT-t a tartomnyba.
33. oldal
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
34. oldal
[netlogon] comment = Network Logon Service path = /home/netlogon guest ok = yes writable = no share modes = no ------------------ minta vge --------------------A W2k alapveten jl mkdik. A TechNet CD sokat segt. Igy ltatlanban sokat tud (mr van telnet is) rendszernek nz ki. A Linux-os DHCP s SaMBa szervert jl hasznlja. Kpes kis/nagy bett egyarnt tartalmaz jelszt kldeni. Amit t kell lltani:
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title
35. oldal
telnet tlntadmin programmal az azonosts (NTLM) rtkt 1-re. Ez a megolds nem szerepel a W2k help-ben. gy szabvny mdon be lehet telnetelni a W2k-ra s karakteres felleten elg sok mindent be lehet lltani. Elg nygvenyels a UNIX telnethez kpest - valahogy nem az igazi. A telnet kliens viszont rosszabb mint volt, mivel mr az F1-F4 billentyket sem lehet hasznlni. Viszont szines.
--------Tartalom--------ptsnk szervert ! Bevezets Alapismeretek: ppp - kapcsolodas az internetre Letlts ISDN EICON DIVA PPP szerver ksztse: bind - name server diald squid mail fetchmail IP masquerading Letlts 2.2 kernel korlatozni akarjuk az user-eket. Ha kvulrol kell vedekezni : 2.4 kernel Tesztels, biztonsg : Aprsgok A route tbla Naplzs Tvoli adminisztrls Intranet szerver - SaMBa - Munkacsoport IP cmek kiosztsa DNS - WINS szerver smb.conf - global smb.conf - printers smb.conf - public smb.conf - homes Mkdik ? Intranet szerver - SaMBa - Win Domain - tartomny WinNT 4.0 server mint PDC SaMBa server mint PDC Intranet szerver - SaMBa - W2k W2k mint kliens Intranet szerver - NetWare - Mars Internet szerver - Apache Az oldal megtekintsre az Amaya V2.2 bngszt NEM javaslom :-)
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56