Автор Тема: Пошаговые инструкции для ALT Linux 4.0 Server (Прочитано 97865 раз)

Salomatin · « **Ответ #75 :** 13.12.2008 09:23:20 »

Пошаговая инструкция семьнадцатая: Digest - аутентификация в apache

Устанавливаем ALT Linux 4.0 Server из коробки.

Шаг 1: Создаем каталог /var/www/auth , в котором будут размещаться кодированные пароли
и каталог для хранения закрытых паролем файлов, допустим /var/www/html/mysekret

Шаг №2: Раскоментировать в /etc/httpd/conf/httpd.conf
LoadModule digest_auth_module modules/mod_auth_digest.so
AddModule mod_auth_digest.c

Шаг №3: В самый конец текста файла /etc/httpd/conf вставить строку
Include /etc/httpd/conf/my.conf
Создаем сам файл
#cat >>/etc/httpd/conf/my.conf
<Directory /var/www/html/mysekret>
AuthType Digest
AuthName SEKRET
AuthDigestFile "/var/www/auth/digest-password"
require user vova pavel
</Directory>
сохранить (ctrl+d)

Шаг №4: перезапустить apache
# service httpd restart

Шаг №5: Добавить первого пользователя с ключем -c
# htdigest -c /var/www/auth/digest-password SEKRET vova
Добавление нового пользователя без указания ключа -c , иначе файл будет очищен
# htdigest /var/www/auth/digest-password SEKRET pavel

Теперь, если мы зайдем http://сервер/mysekret наш apache спросит имя и пароль и только после этого откроет секретные файлы. Так можно закрывать домашние каталоги, статистику и другое, указав правильно путь в шаге №3 и создав свою группу.

par · « **Ответ #76 :** 15.12.2008 17:40:41 »

Salomatin - а Вы случайно в MAИ курсы не посещали ? а то почерк знакомый очень ?

Salomatin · « **Ответ #77 :** 17.12.2008 08:19:37 »

Цитата: par от 15.12.2008 17:40:41

Salomatin - а Вы случайно в MAИ курсы не посещали ? а то почерк знакомый очень ?

И что? Если в качестве рекламы, то уж не столько и не настолько. Если есть предмет для обсуждения, то заводите тему.

Salomatin · « **Ответ #78 :** 17.12.2008 08:24:09 »

Пошаговая инструкция восемнадцатая: Подключение к двум провайдерам.

Для примера:
eth0 – 81.81.81.81 – оптика (можно ppp0)
eth1 – 192.168.1.33 – ADSL-модем
eth2 – 10.0.0.1- шлюз для локалки

81.81.81.1 – шлюз провайдера оптики
192.168.1.1 – модем ADSL, все порты проброшены на 192.168.1.33

Шаг 1: настройки провайдера оптики
file /etc/net/ifaces/eth0/ipv4address
81.81.81.81/24
#ответ на входящий на eth0 трафик снаружи
file /etc/net/ifaces/eth0/ipv4route
212.119.96.33 via 81.81.81.1 src 81.81.81.81 #dns-1
212.119.96.34 via 81.81.81.1 src 81.81.81.81 #dns-2
default via 81.81.81.1 src 81.81.81.81 table optic
default via 81.81.81.1
#посылаем весь трафик с адреса 81.81.81.81 в таблицу optic
file /etc/net/ifaces/eth0/ipv4rule
from 81.81.81.81 table optic

Шаг 2: настройки провайдера ADSL
file /etc/net/ifaces/eth1/ipv4address
192.168.1.33
#ответ на входящий на eth1 трафик снаружи
file /etc/net/ifaces/eth1/ipv4route
195.54.2.1 via 192.168.1.1 src 192.168.1.33 #dns-1
195.54.2.2 via 192.168.1.1 src 192.168.1.33 #dns-2
default via 192.168.1.1 src 192.168.1.33 table adsl
#посылаем весь трафик с адреса 192.168.1.33 в таблицу adsl
file /etc/net/ifaces/eth1/ipv4rule
from 192.168.1.33 table adsl

Шаг №3: Создаем 2 таблицы маршрутизации ( adsl optic)
#cat /etc/iproute2/rt_tables
#
# reserved values
#
255 local
254 main
253 default
200 optic
199 adsl
0 unspec
#
# local
#
#1 inr.

Шаг №4:
#service network restart

Сервер виден снаружи по двум адресам одновременно. Выход изнутри по оптике. Обращение к DNS провайдеров по своим каналам.

Как пример для локалки, NAT можно настроить через eth0 , а squid через eth1
Один из способов, в squid.conf там где про tcp_outgoing_address указываем
tcp_outgoing_address 192.168.1.33
#service squid restart

Если в file /etc/net/ifaces/eth0/ipv4route убрать строку
default via 81.81.81.1
прописав аналогичную в eth1 , то выход изнутри будет по ADSL.

Tovbor · « **Ответ #79 :** 30.12.2008 11:06:19 »

А можно еще инструкцию про САМБУ? Обновил дистрибутив ALT Linux Server с бранча 4.1 и ставиться теперь не хочет...

Salomatin · « **Ответ #80 :** 03.01.2009 14:25:14 »

Пошаговая инструкция девятнадцатая: Пример Samba server

Шаг 1: проверяем установлен ли Samba сервер, если нет, то добавляем
#apt-get install samba

Шаг 2: в /etc/samba/smb.conf находим строку со словами: hosts allow убираем точку с запятой вначале строки и изменяем ее так:
hosts allow = 10.0.0. 127.

Шаг 3: # service smb restart

Шаг 4: добавляем пользователя pavel и создаем его директорию
#adduser pavel
#passwd pavel #любой пароль, который мы Павлу можем и не сообщать.
и наконец заводим Павла в Самбу, для чего ему придумываем пароль
#smbpasswd -a pavel
обязательно с аргументом -a, чтобы просто изменить пароль Павлу достаточно без этого аргумента.

В локальной сети 10.0.0.0/24 появился Samba-сервер с workgroup = ALTDOMAIN который для машин винды виден, и пустит в рабочую директрорию Павла.
У клиентов машин ALT добавляем smb4k-konqueror чтобы пользоваться Konqueror

А дальше можно создавать папки видимые и невидимые, публичные и приватные (образцы есть готовые и в smb.conf , достаточно убирать комментарии и #service smb restart). Количество и тип ограничивается только здравым смыслом и вашей фантазией.

Шаг №5:Чтобы Samba-сервер стартовал при включении:
#chkconfig --level 35 smb on

Salomatin · « **Ответ #81 :** 03.01.2009 14:49:02 »

Пошаговая инструкция двадцатая: Пример vsftp

Шаг 1: проверяем установлен ли FTP сервер, если нет, то добавляем
#apt-get install vsftp

Щаг 2: включаем vsftp
#chkconfig vsftpd on
в /etc/xinetd.d/vsftp изменить на on, а не как было yes
disable = no
Добавить строчку
only_from += 10.0.0.0/24
и перезапустить xinetd.
#service xinetd restart
убедиться что он стартует всегда :
# chkconfig xinetd on

Шаг 3: в /etc/vsftp.conf находим и исправляем
anonymous_enable=NO
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES

Чтобы клиент не мог бродить по всему серверу в конец файла дописываем
chroot_local_user=YES #ограничение домашней директорией

Шаг 4: добавляем пользователя pavel и создаем его директорию
#adduser pavel
#passwd pavel

В локальной сети 10.0.0.0/24 появился FTP-сервер, который пустит в рабочую директрорию Павла, а также всех зарегистрированных на сервере пользователей в свои разделы любым FTP клиентом.

Salomatin · « **Ответ #82 :** 03.01.2009 15:01:45 »

Цитата: AnWa от 02.01.2009 10:24:27

а меня интересует настройка Asterisk, точнее как подключиться к веб-интерфейсу:

Сталкиваться с этим не приходилось. По правилам форума нужно заводить отдельную тему. Убежден, получите необходимую помощь. А после чего милости прошу, можете разместить свою пошаговую инструкцию как это получилось и как просто настроить, чтобы работало.
А дальше очень бы хотелось, чтобы как было написано в начале темы;
"каждый желающий просто размещал бы свои пошаговые инструкции, удачно используемого у него сервиса на базе дистрибутива ALT Linux 4.0 Server ."
Как это было такое выражение:
"Можно написать программу, которой сможет пользоваться даже дурак и найдется дурак, который будет ей пользоваться."
Я написал для себя такие инструкции и знаете, пользуюсь ими.

MisHel64 · « **Ответ #83 :** 10.01.2009 20:28:23 »

Цитата: Salomatin от 23.11.2008 13:49:14

Пошаговая инструкция пятая: primary DNS-сервер

Лично мне кажется, что у тея в этой инструкции ряд ошибок. Знающие люди пусть меня поравят, если я не прав.
Берем зону, например "SALOMATIN.RU".
Первичный DSN сервер не может иметь то же имя, что и зона. То есть по традиции первичный сервер будет иметь имя "NS.SALOMATIN.RU", и его и нужно указать в SOA записи.
Вторичные серверы у тебя "NS4.NIC.RU" и "NS8.NOC.RU", добавилю сюда еще для примера еще один вторичный сервер "NS.SALOMATIN.RU".

Теперь, на каком интерфейсе ты повесишь свой сервер.
Есть специальный ACL "localhost", который включает в себя все локальные интерфейсы, и использовать его более гибко, если тебе нужно, что бы сервер слушал запросы на всех итерфейсах. В противном случае, создаешь ACL, в коротый включаешь адреса локальных интерфейсов.
И в "listen-on" указываешь именно ACL, а не адреса.

Теперь, кому разрешаем рекуривные запросы. "allow-recursion"
Конечно, локальной сети нужно разрешить.
Вторичным серверам рекурсия совершенно не нужна, у них еть копия зоны, и они могут обслужить свой запрос сами.

Теперь, кому разрешаем считывать файл зоны. "allow-transfer".
Совершенно не нужно указывать в этом списке свои вторичные сервера.

Описание обратной зоны, то же не нужно. У тебя ведь только один ип, а ты описываешь себя как главным за 254 ипа, что в принципе не правильно.

Теперь ты создаешь саму зону. (Шаг №4)
В SOA нужно указать имя первичного DSN сервера, а ты указываешь название зоны.

Серийный номер принято указывать ввиде ГГГГММДДВВ (Год-Месяц-День-Версия).
В список NS следует добавить и свой DSN сервер.
То есть добавть еще две записи
IN NS NS.SALOMATIN.RU
NS IN A 81.89.95.192

Про обратную зону я уже вроде сказал, то про "Шаг №5"

Salomatin · « **Ответ #84 :** 16.01.2009 08:10:10 »

Цитата: MisHel64 от 10.01.2009 20:28:23

Лично мне кажется, что у тея в этой инструкции ряд ошибок.

Но она работает и если аккуратно поставить, у вас тоже может заработать .
В инете много правильных теоретических опусов, которые, при установки сервера, справедливо начинаются с правки ядра.
Пытаюсь сформулировать просто, чтобы заработало у себя и новичка уже сейчас. Не все получается.
Давайте напишем правильно. Напишите сами, если нет времени напишите в личку, я проутюжу и предложу на обсуждение для всех. Только бы хотелось шаги на примере реально работающего сервера, со всеми точками и запятыми. Думаю на форуме найдутся посетители, которым будет интересно, не столько как два умных человека обсуждают тонкости настройки BIND, сколько как поставить его у себя, а в освободившееся время начинать читать про правку ядра.
Спасибо.

Salomatin · « **Ответ #85 :** 16.01.2009 08:35:08 »

Пошаговая инструкция двадцатьпервая: Доступ по SSH без опроса пароля.

Шаг № 1 : Создать ключ

Код: [Выделить]

$ ssh-keygen -tdsa -b 1024
Ша №2: Скопировать ключ с клиента на сервер

Код: [Выделить]

$ scp ~/.ssh/id_dsa.pub vova@192.168.1.254:/home/vova_admin/спросит пароль Вовы_админа

Шаг №3: перейти не сервер

Код: [Выделить]

$ ssh -l vova_admin 192.168.1.254и командой записать ключ

Код: [Выделить]

$ cat id_dsa.pub>>.ssh/authorized_keys(если не записывает, то на сервере нет каталога /.ssh , тогда можно создать на сервере ключ, опять же командой ssh-keygen -tdsa -b 1024

Теперь, если мы будем по ssh заходить на сервер, то он нас не будет спрашивать пароль.

Запуск сервера

Код: [Выделить]

# chkconfig --list sshd
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

Код: [Выделить]

# chkconfig --level 35 sshd on

Andrey · « **Ответ #86 :** 16.01.2009 08:40:05 »

Шаг №2
можно использовать ssh-copy-id

Salomatin · « **Ответ #87 :** 16.01.2009 10:17:36 »

Пошаговая инструкция двадцатьвторая: apache - как файловый сервер для локальной сети.

Шаг № 1: Устанавливаем пакеты для работы PHP в зависимости от версий apache и php. (Если у вас запускается phpMyAdmin , то все работает)

Шаг № 2: В корневом каталоге apache создаем каталог test , например:
/var/www/html/test
В него помещаем файл index.html с текстом:
<html><body>
<form action="upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="filename"><br>
<input type="submit" value="Загрузить"><br>
</form>
</body>
</html>
тело файла можно использовать как вставку для своей страницы и, наконец туда размещаем сам исполнительный файл upload.php
<html>
<body>
<?php
if(copy($_FILES["filename"]["tmp_name"],
"/temp".$_FILES["filename"]["name"]))
{
echo("Файл успешно загружен");
}
else
{
echo("Ошибка загрузки файла");
}
?>
</body>
</html>

Шаг №3: В этом же каталоге создаем каталог /temp , до которого открываем полный доступ.

Теперь пользователь локальной сети, любым IE заходит http://10.0.0.1/test
и через форму загружает свой файл на сервер. Существующий файл будет тупо перезаписан. По http://10.0.0.1/test/temp все видят, что там лежит. Изначально грузится до 2 м , но если зайти в php.ini (он в /etc/php/своя версия) и исправить в двух местах строки, где есть поисковое слово 2M , на 10M , затем service httpd restart, то можно будет грузить, например, до 10 м.
Если использовать предыдущие инструкции по созданию домашних директорий и закрытию паролями, то можно организовать для пользователей локальной сети удобный файловый сервер, вряд ли для БОССА и его барышни можно еще примитивней. Конечно, наружу в инет, такой сервер, в таком виде высовывать нельзя.

KPETuH · « **Ответ #88 :** 16.01.2009 10:20:55 »

Большое спасибо топикстартеру

Salomatin · « **Ответ #89 :** 24.01.2009 09:21:04 »

Пошаговая инструкция двадцатьтретья: Простая маршрутизация по источнику.
Два канала интернет и две группы пользователей локальной сети.

http://gazette.linux.ru.net/rus/articles/lartc/c322.html#SIMPLESOURCEPOLICYROUTING

Шаг № 1: Выполняем подключение к двум провайдерам:
http://forum.altlinux.org/index.php/topic,964.msg21960.html#msg21960

Шаг №2: Добавляем еще одну, 3 таблицу маршрутизации ( mylocal)
#cat /etc/iproute2/rt_tables
#
# reserved values
#
255 local
254 main
253 default
200 optic
199 adsl
198 mylocal ## добавили вот это
0 unspec
#
# local
#
#1 inr.

Шаг №3: настройки для локальной сети
#ответ на входящий на eth1 трафик изнутри
file /etc/net/ifaces/eth1/ipv4route
195.54.2.1 via 192.168.1.1 src 192.168.1.33 #dns-1
195.54.2.2 via 192.168.1.1 src 192.168.1.33 #dns-2
default via 192.168.1.1 src 192.168.1.33 table adsl
default via 192.168.1.1 src 192.168.1.33 table mylocal # вот это добавляем
#посылаем весь трафик с адреса 10.0.0.99 в таблицу mylocal
file /etc/net/ifaces/eth2/ipv4rule
from 10.0.0.99 table mylocal

Шаг №4:
#service network restart

Сервер виден снаружи по двум адресам одновременно. Выход изнутри по оптике.
Однако пользователь локальной сети 10.0.0.99, в отличие от всех остальных пользователей выходит наружу по ADSL.

Форум сообщества
Альт Линукс