Автор Тема: Пошаговые инструкции: Собираем свой первый сервер ALT 5.0.  (Прочитано 78272 раз)

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Уважаемые организаторы АLT-Linux форума и его пользователи, предлагаю вашему вниманию Пошаговые инструкции "Собираем свой первый сервер ALT 5.0"

Инструкции рассчитаны на новичков, решивших попробовать собрать свой первый в жизни сервер на Линуксе. Также могут быть интересны для обмена опытом.

Задача: Собрать сервер для небольшой фирмы, который имеет выходы в интернет, защищает локальную сеть фирмы, раздает инет и почту. На сервере размещены видимые снаружи корпоративный сайт, форум, интернет-магазин, реклама продуктов. Также это место хранения данных, сервер печати и т.п.
В упрощенном виде сервер может быть полезен и дома.

Рекомендую начинать собирать свой первый сервер с ALT Linux 5.0.0 Desktop KDE.  У вас под рукой удобная графическая среда для сборки и тестирования. Корректно настроив, запустив без графики и с учетом современного железа,  получаем добротный и надежный сервер для офиса.
Отработав технологию,  легче будет переносить некоторые сервисы на Альт Линукс 5.0 Ковчег Сервер, для работы уже при серьезных нагрузках.

Попробовать инструкции можно установив ALT Linux 5.0.0 Desktop KDE  на виртуальной машине, правда тогда не все можно будет удачно запустить и протестировать.
Примеры проверены на реальном железе.

Любой кулинарный рецепт начинается со слов: "Возьмите чистую посуду..."
Точно также начинаем и мы. Имеем системный блок с двумя сетевыми картами, вновь установленную рабочую станцию ALT Linux 5.0.0 Desktop KDE (i586, а не х64). Штатные программы работают нормально.  Одна сетевая карта (eth0) настроена и видит интернет. Вторая (eth1) имеет адрес 192.168.0.1 и к ней подсоединена локальная сеть. Никаких программ не подгружали, по крайней мере synaptic - (Графическая оболочка для APT) не использовали. Это важно, потому что вы можете подключится к другим Хранилищам и будете пытаться настраивать совсем другие пакеты, которые могут отличатся от приводимых в примерах.

Как устанавливать, настраивать и подключать рабочую станцию мы тут разбирать не будем. Будем считать, что вы уже все попробовали.

Приступаем сразу к серверу.

Вы можете использовать любые графические программы и редакторы. В примерах командная строка. Для удобства работы рекомендую также освоить Midnight Commander, быстрый файловый менеджер и текстовый редактор.

Инструкции излагаются в том порядке, в котором возможна установка сервера в небольшой фирме. При возникновении затруднений, обращаетесь с вопросами в тему форума. Буду давать необходимые пояснения. В личном порядке или тут же, сообщайте о выявленных ошибках, опечатках и других глобальных заблуждений автора.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Пошаговая инструкция № 1 : Подключаемся к Хранилищу

Заходим:  Пуск - Приложения - Система  - Терминал
открывается консоль и появляется приглашение похожее на
[vova@dhcppc2 ~]$это означает, что вы зашли как простой пользователь vova. Далее знак $ будет об этом говорить.

Доступ с правами суперпользоватля root  через su -l Это очень ВАЖНО и обережет вас от многих проблем. (некоторые делают просто su - , без буковки "l", что тоже правильно для ALT').

Для того чтобы загружать программы, нам необходимо подключится к Хранилищу на официальном сайте ALT ( можно использовать зеркала).

заходим
[vova@dhcppc2 ~]$ su -lвидим приглашение ввести пароль, вводим пароль рута.
видим  приглашение
[root@server ~]#знак "#" говорит, что мы получили права суперпользователя.
набираем
[root@server ~]#mcпоявляется достаточно удобный Midnight Commander, почитайте как с ним работать.
Основные команды:
При помощи стрелок, Tab  и ввод, шагаем по маршруту:  корень - etc - apt - sources.list.d  курсор переводим на alt.list   и нажимаем F4, видим текст.
можем как в простом редакторе править текст. Все также как везде , копировать, вставлять и тому подобное. Чтобы сохранить надо нажать F2 , выход F10

далее буду коротко прописывать сразу путь:
/etc/apt/sources.list.d/alt.list
Объявляем Хранилище (репозиторий)
В file /etc/apt/sources.list.d/alt.list убираем знак # комментарий в  двух первых строчках.

rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch i586 classic
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic
Это два каталога одного хранилища.
Категорически нельзя подключать сразу несколько  хранилищ. Пакеты бывают разные. Если будете использовать зеркала, то убедитесь, что они соответствуют примерам в инструкции.
 
Синхронизируем Хранилище. Обычно это делают, когда заменяют Хранилище или просто перед установкой новых пакетов, а вдруг разработчики уже добавили что-то новенькое
[root@server ~]#apt-get updateждем пока наш сервер свяжется и перекачает заголовки пакетов.

Познакомимся с APT.  Обычно используют всего 4 команды:
apt-get install <package№1> <package№2> - устанавливает один или более пакетов отмеченных к установке. Пакеты будут получены и установлены.
apt-cache search <шаблон> - выполняет полный поиск текста по всем доступным файлам пакетов по заданному шаблону.
apt-get remove <package> - удалить пакет, установленный в систему с сохранением файлов конфигурации
rpm -qa | grep <шаблон> - выводит список установленных пакетов по заданному шаблон

Для теста установим полезную программку проверки портов под названием nmap, из нашего нового Хранилища:
[root@server ~]#apt-get install nmapсервер выводит
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
 nmap
0 upgraded, 1 newly installed, 0 removed and 27 not upgraded.
Need to get 0B/1194kB of archives.
After unpacking 5775kB of additional disk space will be used.
Get:1 cdrom://ALT Linux 5.0.0 Ark Server  (none) main build 2009-10-26 ALTLinux/main nmap 20020501:5.00-alt2 [1194kB]
Fetched 1194kB in 0s (5376kB/s)
Committing changes...
Preparing... ###################################################### [100%]
1: nmap       ###################################################### [100%]
Running /usr/lib/rpm/posttrans-filetriggers
Done.
[root@dhcppc0 archives]#
Все прошло удачно.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Пошаговая инструкция № 2 : Прокси сервер SQUID

Шаг № 1 : Устанавливаем Прокси сервер SQUID

Задача: Нам нужно раздавать интернет в локальную сеть, управлять доступом, следить за трафиком и обеспечить защиту локальной сети.

Это не полный доступ. Некоторые службы при этом работать не будут. Так локальные машины не смогут использовать почтовые программы типа The Bat. Это тема для следующих инструкций.

Устанавливаем SQUID
[root@dhcppc2 sources.list.d]# apt-get install squidAPT сам установит все необходимые программы и пакеты связанные с squid.

У нас появился каталог /etc/squid, для страховки копируем его в домашнюю папку рута ( в учебный целях мы над ним будем издеваться).
[root@server ~]#cp -r /etc/squid /rootудаляем основной конфигурационный файл 
[root@dhcppc2 squid]# rm -f /etc/squid/squid.confсоздаем файл. Обратите внимание на пример использования команды cat. Даем команду, вставляем текст и сохраняем
[root@dhcppc2 squid]# cat >>/etc/squid/squid.conf
acl name127 src 127.0.0.1
http_access allow name127
сохранить, для этого  (ctrl+d)
Первой строкой задаем имя IP адресу, второй разрешаем
запускаем сам  squid
[root@dhcppc2 squid]# service squid restart
Настраиваем  один из браузеров прямо нашей рабочей станции на получение интернет через прокси, адрес 127.0.0.1 порт 3128 и получаем веб- странички, уже не напрямую как раньше, а через наш squid. Проверить можно просто остановив на время squid
[root@dhcppc2 squid]# service squid stopвеб странички получать из инета не будете.
или посмотрев файл /var/log/squid/access.log , там появилась строка что и кому скачивал из интернета  squid. Что-то вроде:
1264437153.409    120 127.0.0.1 NONE/500 1302 GET http://ya.ru/ - NONE/- text/html
Еще для примера дописываем в конец файла две строки
[root@dhcppc2 squid]# cat >>/etc/squid/squid.conf
acl name192 src 192.168.0.0/24
http_access allow name192
[root@dhcppc2 squid]# service squid restart

и любой компьютер локальной сети 192.168.0.0/24 будет получать интернет. Причем настраивая нижестоящие компьютеры, не обязательно указывать шлюз и DNS.  Достаточно присвоить только адрес, например,  192.168.0.33 маска 255.255.255.0 . В подключениях браузера указать адрес прокси 192.168.0.1 порт 3128 и убрать галочку "автоматическое".

Для того чтобы squid запускался при перезагрузки сервера проверяем
# chkconfig --list squid
squid 0:off 1:off 2:off 3:off 4:off 5:off 6:off
изменяем
# chkconfig --level 35 squid on
# chkconfig --list squid
iptables 0:off 1:off 2:off 3:on 4:off 5:on 6:off

Вообщем все работает. Но как любой учебный пример он наглядный, но не совсем корректен  для жизни.  Squiid может многое, все это прописывается в /etc/squid/squid.conf
Можно воспользоваться графическим alterator-squid, но по сравнению с текстовыми правками он практически ничего не умеет и будет сильно мешать.
   
Разработчики вложили заготовку и предлагают готовый конфигурационный файл /etc/squid/squid.conf, который, как помним,  мы предварительно сохранили. Можно водрузить его на место. В таком виде ничего работать не будет. Но мы его подправим. В гугле море информации и примеров как можно править этот файл на все случаи жизни. Вы можете смело вносить изменения и тестировать прямо на своей рабочей станции. Для этого даже не нужен второй компьютер. Вторым браузером. Можно еще интересней, загрузить в виртуальную машину винду, включить ее в локальную сеть, тестировать через нее, фактически две разные подсети.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Шаг № 2 : Правим /etc/squid/squid.conf

Привожу пример, как обратно вернуть и что пришлось поправить:
 
[root@dhcppc2 ~]# rm -f /etc/squid/squid.conf
[root@dhcppc2 ~]# cp /root/squid/squid.conf /etc/squid/squid.conf

находим в файле /etc/squid/squid.conf строку (4086)
icap_enable onи отключаем использование протокола ICAP для обмена с отдельным антивирусным сервером
(кто его включил в примере и зачем, не думаю что это хорошо)
icap_enable off
Теперь в файле /etc/squid/squid.conf нас больше всего интересует глава

# ACCESS CONTROLS

находим строку (649) и отключаем аутентификацию для squid, обычно ставлю много знаков, чтобы знать, что это мои правки
########http_access allow passwordперезапускаем
чуть ниже снимаем знак #  со строки, то есть для нашего случая разрешаем тестировать прокси прямо со своей рабочей станции под адресом 127.0.0.1
http_access allow localhostпрезапускаем
[root@dhcppc2 squid]# service squid restartи опять все работает, как и в предыдущем примере.

Если мы все-таки хотим аутентификацию для squid, то подгружаем:
[root@dhcppc2 squid]# apt-get install apache2-baseПорядок создания файла паролей и добавление пользователей
# htpasswd2 -c /etc/squid/passwd vova (создание файла паролей с первым пользователем vova)
# htpasswd2 /etc/squid/passwd pavel (Добавление нового пользователя pavel, аргумент "-с" удалит предыдуших)
снимаем комментарии
http_access allow passwordпрезапускаем
[root@dhcppc2 squid]# service squid restartsquid спросит логин и пароль.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Шаг № 3 : Некотрые примеры использования и мониторинга squid

acl our192 src 192.168.0.0/24
delay_pools 3
delay_class 1 1
delay_access 1 allow our192
delay_parameters 1 128000/128000
http_access allow our192
локальная сеть имеет ограничение скорости на скачивание


acl our43 src 192.168.0.43 192.168.0.44
acl my_icq_por port 443
http_access allow our43 my_icq_por
два адреса имеют разрешение пользоваться только ICQ


acl ch10 src "/etc/squid/ch10"
http_access allow ch10
доступ в интернет получают только те компьютеры, IP адреса которых указаны в файле /etc/squid/ch10. Адреса указываются по одному в строке.

Существует множество графических программ управления доступом и мониторинга работы squid
Набрав от простого пользователя команду
 [vova@dhcppc2 ~]$ apt-cache search squidвы увидите перечень предлагаемых программ штатно. Каждый может себе выбрать по вкусу.
Обращаю внимание, что графические программы меняются и за ними сложно успевать.

Но есть командная строка и для того чтобы провести анализ, достаточно знать две три команды.

Squid работает так: Получает задание, скачивает файл, передает его клиенту и записывает свои действия в журнал /var/log/squid/access.log
Графические утилиты обращаю к этому файлу.
Обратимся и мы к нему напрямую.

bzip2 -cd access.log.1.bz2 >>223
 cat 223 | sort -k2 >>225
 tail -100 225
распокавать архив и записать его в файл, отсортировать и записать в новый файл, вывести 100 самых "тяжелых" файлов

cat 223 | grep 192.168.0.36 >>226
cat 226 | sort -k2 >>227
cat tail -100 227 >>228
записать в 228 100 самых "тяжелых" скаченных файлов компом 192.168.0.36

cat 228 | perl -l -a -n -e '$F[0] = scalar localtime $F[0]; print "@F"' >>229преобразовать в удобный формат время скачивания
Достаточно один раз отправить такой файл пользователю 36 и его боссу, как больше вопросов никто задавать не будет.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Ну вот и зачем ломать работающую связку squid — пользователи LDAP, управляемое через веб-интерфейс?
Андрей Черепанов (cas@)

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Ну вот и зачем ломать работающую связку squid — пользователи LDAP, управляемое через веб-интерфейс?
Может быть это как раз одно из моих глобальных заблуждений.
Но
 
Альтератор как-раз привязывает имена компов  к их мак адресам (DNS+DHCP). А сети где один Ковчег-сервер и куча Ковчег-десктопов - проблем нет. Проблемы возникают, если пытаются привязать Win машины (что не предусмотрено из коробки).

Я пока слабо представляю себе офис, в котором "Ковчег-сервер и куча Ковчег-десктопов". А как это делать из коробки для Win машин тоже.
Поэтому и выбрал такой вариант, как наиболее внятное решение, отодвинув  LDAP в сторону.. Не знаю что мне делать в малом офисе с таким богатством как  "связка squid — пользователи LDAP", тем более управлять для моих требований через пока скромный интерфейс.
Подскажите как делают правильно, ничего не сломав.

 
 
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Цитировать
Не знаю что мне делать в малом офисе с таким богатством как  "связка squid — пользователи LDAP", тем более управлять для моих требований через пока скромный интерфейс.
Ну вот и не заморачивайтесь! А вот когда ваша "скромная конторка" заимеет рабочих мест/компов сотнями - тогда вам придется задуматься как всем этим управлять не подымая пятую точку со стула :D Поэтому вам умные люди уже сейчас советуют - решите хоть както чтобы работало сейчас, но потихоньку готовтесь к более глобальным решениям (невзирая на то что в офисе 5 полудохлых PIII)  :D

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Никто и не заморачивается. Скромничать не буду все работает, но и сотни компов не администрирую . Свои решения в проработанном виде излагаю для обсуждения на форуме.  Если у кого есть, что предложить по существу, способен услышать без посредников. Полемикой не занимаюсь. Надеюсь мой опыт, пусть даже не самый удачный, окажется полезным и для других. Мнение никому не навязываю. Если тема интересна, то получит свое продолжение.   
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Vlad

  • Завсегдатай
  • *
  • Сообщений: 195
  • ALT Linux (p6)
потихоньку готовтесь к более глобальным решениям

А если у меня в квартире 2 десктопа и 1 ноутбук, то зачем мне готовиться к глобальным решениям?

Если тема интересна, то получит свое продолжение.    

Конечно тема интересна!
Acer AS 5920G (15.4"/C2D T9300 2.5GHz/GF8600M-GT 512Mb/4Gb/320Gb/BR/802.11n/BT/DVB-T/WebCam 0.3)

Оффлайн rxxrus

  • Завсегдатай
  • *
  • Сообщений: 359
  • AltLinux p?/Ubuntu 15.04
    • Email
Все правильно,  пиши дальше, так держать!

kostyalamer

  • Гость
Тема очень интересная, продолжайте дальше  :) . Кстати, спасибо за другие инструкции, которые Вы регулярно пишите !

Оффлайн Tovbor

  • Завсегдатай
  • *
  • Сообщений: 60
    • Email
Ну вот и зачем ломать работающую связку squid — пользователи LDAP, управляемое через веб-интерфейс?

Совершенно с Вами согласен. Возможно у товарища Salomatin "секретный" дистрибутив Ковчега в котором не ставится squid по умолчанию и отстутстует Alterator.

Инструкции конечно хороши, но они должны отражать реальное положение дел...

greyzy

  • Гость
Инструкции ваши полезны как всегда, только чем они будут отличаться от инструкций для 4.1 кроме как некоторыми изменениями изза испольования возможностей, которые возможно (извините за каламбур) появились в в обновленных версиях программ? :) Фишка как раз бы была разобраться с преднастроенным коробочным альтсервером 5.0, с тем самым ldap, с готовыми файлами зоны и т.п. Тема сквида так до конца и не раскрыта (со времен инструкций для 4,1) - как считать трафик, и устаивать лимиты (неужели у всех безлимитка?) И что делать с этими в рукопашную прописываемыми адресом прокси и номером порта - в браузере прописал, так это и в аське надо указать, и в скайпе... И не на одном компе. А еще есть такая штука как торрент

Я пока слабо представляю себе офис, в котором "Ковчег-сервер и куча Ковчег-десктопов". А как это делать из коробки для Win машин тоже.
Поэтому и выбрал такой вариант, как наиболее внятное решение, отодвинув  LDAP в сторону..
Извините, а вы то для какой сети сервер поднимаете? У вас клиенты с какой ос на борту?

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Возможно у товарища Salomatin "секретный" дистрибутив Ковчега в котором не ставится squid по умолчанию и отстутстует Alterator.

Инструкции конечно хороши, но они должны отражать реальное положение дел...

Посмотрите повнимательней в Пошаговых инструкциях с самого начала предложил:
Рекомендую начинать собирать свой первый сервер с ALT Linux 5.0.0 Desktop KDE.

а там не ставится. Никогда бы не злоупотреблял  вашим вниманием, не проверив на реальном железе.

Инструкции ваши полезны как всегда, только чем они будут отличаться от инструкций для 4.1 кроме как некоторыми изменениями изза испольования возможностей, которые возможно (извините за каламбур) появились в в обновленных версиях программ? :)

Будут. Подходом. Мы собираем сервер, а не настраиваем отдельно каждый сервис.

Фишка как раз бы была разобраться с преднастроенным коробочным альтсервером 5.0, с тем самым ldap, с готовыми файлами зоны и т.п.
Давайте вместе сядем, разберемся и напишем. За нас это никто не сделает.


Тема сквида так до конца и не раскрыта (со времен инструкций для 4,1) - как считать трафик, и устаивать лимиты (неужели у всех безлимитка?) И что делать с этими в рукопашную прописываемыми адресом прокси и номером порта - в браузере прописал, так это и в аське надо указать, и в скайпе... И не на одном компе. А еще есть такая штука как торрент
Думаю, что можно сказать, что безлимитка уже у все. В рукопашную  не так уж плохо. Попытаюсь ответить в Пошаговых инструкциях.

Извините, а вы то для какой сети сервер поднимаете? У вас клиенты с какой ос на борту?
Для локальных и сервер, который виден снаружи. Клиенты любые.
 
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"