Beruflich Dokumente
Kultur Dokumente
Relatrio de Instalao/Congurao
18 de Outubro 2014
ndice
1.Introduo
2.Instalao
2.1.Sistema Opera vo a Instalar
2.1.Hardware Disponibilizado
2.2.Instalao do Sistema
2.2.1.Inicio da instalao
2.2.2.Par cionamento
2.2.4.Servios a instalar
2.3.Conguraes de rede
2.4.A vidade complementar 1
3.Congurao do sistema
3.1.A var passwod para o root
3.2.Administrao de u lizadores
3.2.1.Gesto de u lizadores
3.2.2.Gesto de grupos
3.2.3.Gesto de permisses
3.2.4.Auten cao remota
3.2.5.Gesto de quotas de Armazenamento
3.3.A vidade Complementar 2
4.Administrao de Rede
4.1.Congurar Interfaces
4.2.Encaminhamento
4.3.DHCP
4.4.Telnet
4.4.FireWall
4.5.A vidade Complementar 3
5.Outras Tarefas Administra vas
5.1.Script de Vericao de diretorios HOME
5.1.1.Criao do ShellScript
5.1.2.Automa zao do Script
4
3
6
7
10
13
14
15
16
16
18
19
19
21
22
23
24
25
26
27
28
29
31
5.2.Congurao do servidor H p
5.2.1.Congurao Base
5.2.2.Congurao H ps
5.3.FTP
5.4.PhPMyAdmin
5.5.SysLog
Concluso
32
33
34
35
36
37
Introduo
No ambito da cadeira de Administrao de Sistemas, fomos guiados,
atravs de uma srie de desaos, para instalar e congurar um servidor
com base Linux.
Para isso foi-nos disponibilizada uma mquina virtualizada atravs
do Hypervisor VMWare Sphere, nos servidores do DEI, o que numa
situao real seria o mais benco para uma empresa visto que com a
virtualizao existe um maior aproveitamento do Hardware existente, o
que leva a uma reduo de custos quer em equipamento quer em energia,
bem como a nvel de espao fsico.
Este projecto foi desenvolvido em grupo com o colega Andr
Casaca(1130148) de modo a facilitar a resoluo de problemas que
pudessem aparecer.
Instalao
Sistema Opera vo a Instalar
Os Sistemas operativos com base em Linux so dos mais utilizados
em servidores devido sua estabilidade de performance mais ou menos
constante com o aumento de acessos simultaneos ao mesmo.
Uma das Empresas com maior destaque actual a Ubuntu o que
levou escolha da distribuio Ubuntu Server 14.04.1 LTS, pois a mais
recente e que ir ter suporte garantido para os proximos 5 anos. Nesta
Maquina instalmos alguns dos mais importantes servios disponibilizado
na maioria das empresas, tais como servio Web, FTP, DHCP.
A distribuio poder ser encontrada no seguinte website
http://www.ubuntu.com/download/server
Hardware Disponibilizado
Como Referido anteriormente, neste projecto foi utilizada a
virtualizao de hardware atravs do HyperVisor VMWare Sphere. A
verso utilizada foi a ESXi 5.5 que data actual a mais recente; Esta
poder ser encontrada em vmware.com.
Ento, dentro deste SO, foi-nos disponilizada uma mquipa com as
seguintes caracteristicas:
- 256MB de memoria Ram;
- 1 Processador single Core;
- 1 HDD 8GB;
- 2 Interfaces de Rede (Rede Privada, Rede Isep);
Instalao do Sistema
Inicio da Instalao
Aps nos ter sido disponibilizado o acesso ao HyperVisor em
vcenter.dei.isep.ipp.pt,
Com as nossas credenciais acadmicas, demos inicio instalao
do Ubuntu Server.
Par cionamento
Nesta etapa vamos denir todas as parties do nosso HDD.
Escolhemos o particionamento manual e selecionmos o dispositivo.
10
11
12
Servios a instalar
Nesta fase podemos pr-escolher os servios que achemos necessrios
para o nosso servidor. No nosso caso limitmo-nos a escolher o LAMP e o
OpenSSH e iremos instalar os restantes posteriormente. Estes iro
permitir alojamento web e acesso consola do nosso servidor.
13
Congurao de rede
Infelizmente, esta nova verso do Ubunto Server, durante a
instalao, apenas nos permite a congurao automtica de rede por
DHCP. Pelo que tivemos de efetuar as conguraes manualmente aps
o sistema estar instalado. Foi sugerido que atribussemos um ip esttico,
dentro da gama 172.16.0.0/16, maquina mapeado para o seu nome, isto
, se o nome da mquina uvm00X o seu ip correspondente deve ser
172.31.100.X/16.
Para efetuar esta tarefa foi necessrio alterar o cheiro
/etc/network/interfaces com o seguinte:
14
Ac vidade Complementar 1
Tendo em conta os manuais do sshd, veriquei que podia resolver o
problema colocado de duas distintas formas:
- escrevendo o username de todos os utilizadores em /etc/nologin;
- alterar o cheiro de congurao do sshd (/etc/ssh/sshd_cong) de modo a
so permitir o(s) utilizador(es) que eu pretender;
Optei pela segunda hiptese adicionado a primeira linha assinalada e
alterando a segunda:
Visto que um servidor ir ter varios utilizadores e apenas um, neste caso, ter
acesso por SSH conclui que esta hiptese seria a mais ecaz.
15
Congurao do Sistema
A var password do root
Concluida a instalao resta comear as conguraes desejadas.
Comemos por ativar o utilizador root, que por defeito vem inativo. Para
isso apenas necessitmos de criar uma nova password para este
utilizador, com o seguinte comando
Administrao de u lizadores
Gesto de U lizadores
Inicialmente, crimos alguns novos utilizadores. Existem 3 formas de
o fazer, embora apenas 2 sejam aqui exemplicadas; com o comando
useradd user , com o adduser user , ou alterando o cheiro /etc/passwd.
Na realidade o segundo o mesmo que o primeiro mas melhorado;
enquanto que no primeiro apenas crimos o utilizador e posteriormente
temos de ativar uma password (como anteriormente para o root), o
adduser obriga ao preenchimento de um pequeno formulrio que entre
outras coisas pergunta-nos a password para o novo utilizador, nome,
contacto, empresa, etc. Aps a criao do utilizador necessrio criar e
associar a sua /home, para isso necessitmos dos seguintes comandos
cp -R /etc/skel /home/auser6
chown -R auser5. /home/auser5
16
ivo:x:1010:1004::/home/ivo:
A
17
Gesto de Grupos
Assim como os utilizadores, os grupos podem ser criados de vrias
formas, assim como a associao de utilizadores a grupos. Por comando,
com groupadd groupname, ou editando o cheiro /etc/group, e a
associao pelo comando usermod -G grouplist username, ou alterando
o mesmo cheiro.
grupo2:x:1007:auser1,auser2,...
18
Gesto de Permisses
Normalmente, apenas do dono da /home deve ter permisses
para ler, alterar, ou abrir essa pasta e todo o seu contedo. Para isso
necessitmos de atribuir essas permisses da seguinte forma:
chmod -R o-r /home/username
chmod -R g-r /home/username
chmod -R o-X /home/username
chmod -R g-X /home/username
19
20
21
A vidade Complementar 2
Seguindo o guio fornecido, aps uma breve leitura do manual do mdulo
pam_succeed_if, veriquei que este controla as condies de autenticao
no sistema. Modicando-o consegui corresponder as condies impostas
nesta tarefa, adicionando as seguintes linhas ao cheiro /etc/common-auth:
22
Administrao de Rede
Congurao de Interfaces
Comecemos por algo simples como a congurao manual de
interface de rede. J vimos logo aps a instalao como o fazer de forma
permanente(consultar pagina13), mas ainda no abordmos a forma
temporria de o fazer com o comando ip addr
Encaminhamento
Nesta etapa iremos abordar encaminhamento ip. No nosso caso
especico vamos simular que a mquina do grupo 3 a nossa sada para o
exterior da rede. O objetivo que ns (grupo2) desativando o interface
eth0(atualmente a nossa ligao ao exterior) consigamos, tendo o grupo3
como prximo salta, chegar internet, pela rede 192.168.5.0/24.
Para isso comecemos por ativar o encaminhamento no cheiro
/etc/sysctl.conf alterando o valor de net.ipv4.ip_forward para 1, na
maquina do grupo 3.
23
24
DHCP
Da mesma forma que o encaminhamento, iremos tratar esta fase em
conjunto com o grupo 3, e para facilitar chamemos maquina deles G3 e
a nossa G2. Sendo G3 o servidor e G2 o cliente, G3 necessitar de
instalar o pacote isc-dhcp-server; denir a subnet para que estar a
servir e denir o interface que ir receber esses pedidos. No nosso caso o
interface ser o eth1 e a subnet 192.168.5.0/24. a seguir basta ativar o
servio com service isc-dhcp-server start.
Para testar que o servio cou a funcionar G2 ir alterar as
conguraes do interface eth1 para que receba as conguraes de rede
por DHCP alterando o /etc/network/interfaces.
25
Servios INETD
O INETD uma ferramenta que nos permite congurar sistemas de
monitorizao, loggin,etc automticos cando escuta de vrios servios
WEB e respondendo-lhes automticamente. Comecmos por instala-lo
com o pacote openbsd-inetd; de seguida, para exemplicar esta
ferramenta iremos congurar um pequeno servio na porta 30000 com o
protocolo telnet, que ir retornar todas as ligaes TCP que esto
establecidas com o servidor (comando who). primeiro denimos o output
do servio em /etc/inetd.conf
26
FireWall
Nesta seco iremos criar um script que simular uma rewall
atravs do comando iptables. Com este comando podemos criar todo o
tipo de ltros para trfego ip quer entrada quer sada da nossa
mquina.
Visto as possibilidades serem innitas decidimos restringir-nos s
ltragens feitas no guio.
27
A vidade Complementar 3
Nesta semana foi sugerido a criao de um pequeno script de regras rewall.
Para criao deste script foi necessrio o estudo do manual do iptables para saber
como acrescentar novas regras.
Para esta tarefa necessitei das seguintes opes:
-A INPUT/OUTPUT : Append todo o trafego entrada/saida;
-i eth0 : escolha do interface - eth0;
-p tcp : escolha do protocolo - TCP representa todo o trafego ip;
-s X.X.X.X/X : escolha do ip de origem - 172.16.0.0/16;
-d X.X.X.X/X : escolha do ip de destino - 172.16.0.0/16;
--dport X : escolha da porta de destino - 80;
--sport X : escolha da porta de origem - 80;
-j ACCEPT/DROP : escolha de o que fazer para os pacotes que cumpram
estas condies - aceitar/rejeitar o pacote.
28
29
Atribuimos o caminho de
um cheiro para log
variavel LOGF
Encaminhamos o resultado da
mensagem de criao de diretrio
HOME para o cheiro com >> ${LOGF}
30
Neste if vericamos se o
utilizador tem um cheiro
index.html no seu diretrio WWW
e caso este no exista cria-o com
uma mensagem do utilizador
31
Congurao do servidor H p
Congurao Base
Nesta fase vamos ativar o acesso as pginas pessoais de cada
utilizador atravs de http, para isso necessitamos de alterar o cheiro
/etc//apache2/mods-available/userdir-conf adicionando a seguinte
informao
32
Congurao H ps
Para congurar a o protocolo SSL necessitamos de gerar um
certicado digital de chave-publica/privada. Conseguimos isso da seguinte
forma
(Omitido /etc/apache.crt)
33
FTP
O File Transfer Protocol o protocolo de eleio para transferncia
de cheiros. Nesta Demonstrao iremos instalar o pacote proftpd. Aps
a instalao precisamos de o iniciar com o service start proftpd, mas
este comando no o suciente para colocar o protocolo a funcionar.
Necessitamos tambm de fazer algumas alteraes ao cheiro
/etc/passwd para que realmente o protocolo possa funcionar
34
PhpMyAdmin
O MyPhpAdmin uma ferramenta que permite a gesto de uma
base de dados MySql. Para o instalar utilizamos o apt-get install
phpmyadmin. aps a instalao estar concluda podemos ter acesso as
conguraes atravs do browser em http://maquina/phpmyadmin.
35
SysLog
Nesta seco vamos congurar o Log do sistema por prioridade.
Aps a instalao do pacote rsyslog vamos congur-lo de modo a
guardar todas as mensagens de carter importante, alteramos o cheiro
/etc/rsyslog.d/50-default.conf.
36
Concluso
Este relatrio foi escrito com o objetivo de fazer um Manual de
Consulta para a congurao de um servidor em qualquer situao
necessria.
Infelizmente esse objetivo no foi cumprido, pois no me foi possvel
nalizar 100% devido falta de tempo. parte disso sinto que aprendi
muito acerca da congurao de um possivel servidor e mais importante
que isso, este trabalho deixou-me um pouco mais a vontade com o
funcionamento do prprio sistema Linux.
Este Manual estar sujeito a atualizaes regulares de acordo com a
experincia adquirida futuramente.
37