openSUSE România

În trecut am vorbit despre câteva modalități prin care vă puteți securiza distribuția linux favorită. În cadrul acestui articol vă voi prezenta și cum să vă securizați propriul server HTTP ce folosește Apache, pentru a evita problemele ce apar atunci când vă accesați serverul de la distanță folosind WWW (world wide web).

Înainte de a începe cu elementele găsite de mine, pentru aceia dintre voi care încă sunteți începători în ceea ce privește serverul HTTP ce folosește Apache, vă aduc în vedere câteva link-uri utile ce vă vor defini câțiva termeni, și anume:

WWW: http://ro.wikipedia.org/wiki/World_Wide_Web
HTTP: http://ro.wikipedia.org/wiki/HTTP
HTTPS: http://ro.wikipedia.org/wiki/HTTPS
SSL: http://ro.wikipedia.org/wiki/Ssl

Înainte să ne apucăm de securizarea serverului nostru este necesar să avem instalate programele de bază folosind YaST, și anume: apache și openSSL desigur se rezolvă și dependințele ce apar. Luați în vedere faptul că pe lângă cele două programe este bine să aveți instalat php și mysql plus o interfață pentru MySQL cum ar fi phpMyAdmin. Acum că programele sunt instalate și configurate trebuie să știți că protocolul HTTP folosește portul 80 (conexiunea standart oferită de orice site de pe internet, nesecurizată) și protocolul HTTPS folosește portul 443 (conexiunea securizată ce folosește un certificat generat folosind openSSL). Cu ajutorul motorului de căutare Google am reușit să găsesc două căi prin care vă puteți bucura de beneficiile oferite de HTTPS, și anume:

- metoda 1 cea care se adresează cu precădere începătorilor implică crearea și folosirea unui script al cărui conținut îl puteți obține de la această adresă http://en.opensuse.org/Apache_SSL_CA_Generator După care sunt necesari următorii pași:
*activarea modulului SSL în Apache, din YaST – Network Services – HTTP Server – Server Modules – click pe SSL din lista si se dă Toggle Status astfel încât să apară Enabled în dreptul modulului după care se dă Finish
*se deschide consola (logat ca root) si se navighează în /etc/apache2/vhosts.d aici se redenumeste vhost-ssl.template în vhost-ssl.conf
*testarea certificatului se face deschizând un browser unde se tastează https://localhost
- metoda 2 un pic mai complexă ce permite utilizatorului să își construiască certificatul asa cum dorește și implică următorii pași:
*generarea cheii propriu-zise prin comanda openssl genrsa -des3 -out server.key 1024
*generarea CSR (Certificate Signing Request) prin comanda openssl req -new -key server.key -out server.csr ; în timpul acestui pas se vor completa câteva câmpuri
*eliminarea parolei de la cheia generată prin comenzile cp server.key server.key.org urmată de openssl rsa -in server.key.org -out server.key
*generarea certificatului prin comanda openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
*instalarea certificatului generat în folderele specifice apache: cp server.key /etc/apache2/ssl.key cp server.crt /etc/apache2/ssl.crt cp server.csr /etc/apache2/ssl.csr
*activarea modulului SSL în Apache, din YaST – Network Services – HTTP Server – Server Modules – click pe SSL din lista si se dă Toggle Status astfel încât să apară Enabled în dreptul modulului după care se dă Finish
*se deschide consola (logat ca root) si se navighează în /etc/apache2/vhosts.d aici se redenumeste vhost-ssl.template în vhost-ssl.conf
*testarea certificatului se face deschizând un browser unde se tastează https://localhost

Indiferent de metoda folosită este bine să deschideți porturile 80 și 443 în Firewall numai după ce site-ul și certificatul au fost configurate cu succes, pentru a evita atacurile de tip brute-force asupra portului 443. De asemenea având în vedere că folosiți un certificat propriu și nu unul cumpărat este necesar să adăugați o excepție pentru certificat în cadrul browserului preferat; acest lucru este singura diferență dintre un certificat generat de voi și cel cumpărat de la firmele specializate. Acestea fiind zise nu-mi rămâne decât să vă urez o navigare cât mai sigură și în lumina Sfintelor Sărbători de Paști vă urez tradiționalul Paște Fericit !

Un server web se poate instala, configura și utiliza local pe propriul calculator fără a avea nevoie de un serviciu specializat din internet. În acest mod construiesc site-uri ale căror funcționalități se pot verifica într-un browser web pe același calculator.

Distribuția openSUSE11.1 oferă posibilitatea de a instala și configura propriul server web doar cu câteva click-uri.

Pentru a instala server-ul web se accesează opțiunea [Modele] din unealta YaST din secțiunea {Software -> Gestionare software}.

În această ferestră se bifează opțiunea [Server Web și LAMP]. Prin bifarea acesteia se selectează automat pachetele necesare pentru a avea un server web funcțional. Se instalează din dependințe: apache (2.2.10-2.5), php5 (5.2.9-0.1.1)  și mysql (5.0.67-12.11).

În funcție de cum este configurat calculatorul se va solicita DVD-ul cu kit-ul distribuției openSUSE11.1 sau o conexiune validă la internet dacă aceasta nu există.

Bineînțeles, că se pot bifa individual pachetele suplimentare care se doresc a se instala.

După selectarea tuturor pachetelor se apasă butonul [Acceptă] pentru a continua instalarea.

Implicit, serverul web nu este funcțional. Configurările necesare se efectuează din YaST din secțiunea {Servicii de rețea -> Server HTTP}. Pentru a avea un server funcțional este suficient să se parcurgă toți pașii fără a efectua nici o setare. Este importat totuși, să se bifeze ca serverul HTTP să pornească automat la încărcarea distribuției pentru a evita pornirea manuală din YaST.

Pentru a verifica că serverul WEB este funcțional se tastează într-un browser adresa http://localhost. Ar trebui să se încarce o pagină în care apare scris “It works!“.

Pagina .html care se afișează se găseste în directorul /srv/www/htdocs. Orice modificare a paginiilor care se afișează în browser se va efectua în fișierele din acest folder.

Serviciul DHCP este util în cadrul rețelelor în care stațiile de lucru trebuie să primească un IP în mod automat la încărcarea sistemului de operare. Acest serviciu nu este instalat în mod implicit în distribuția openSUSE 11.1.

Instalare serviciu DHCP

Pentru a instala serviciul DHCP se accesează meniul “Software->Gestionare software” din utilitarul YaST și după ce se selectează la “Filtru” opțiunea “Modele” se bifează  “Server DHCP și DNS”.

După instalare, acest serviciu este disponibil în meniul “Servicii de rețea” din utilitarul YaST.

Configurare server DHCP

Configurarea serverului DHCP presupune efectuarea a patru pași:

1. Se selectează placa/plăcile de rețea care vor fi utilizate pentru serverul DHCP. Se bifează “Deschide firewall-ul pentru plăcile de rețea selectate”. Pentru a continua se apasă butonul “Următor”

2. Se efectuează setări pentru

• Nume domeniu stabilește domeniul din care serverul DHCP alege IP-urile atribuite clienților
• IP server nume primar și IP server nume secundar:  pun la dispoziție clienților DHCP aceste servere de nume. Aceste valori trebuie să fie adrese IP
• Gateway implicit se introduce această valoare ca rută implicită în tabela de rutare a clienților
• Server de sincronizare specifică serverul de sincronizare al orei ce va fi utilizat de clienți
• Print Server setează acest server ca print server implicit
• Server WINS setează acest server ca server WINS (Windows Internet Naming Service)
• Timp de valabilitate implicit setează timpul după care expiră adresa IP alocată și clientul trebuie să ceară din nou un IP

3.  Se efectuează setări pentru

• Informații subrețea – se pot vizualiza informațiile despre subrețeaua curentă, ca de exemplu adresa, masca de rețea și adresele IP minime și maxime disponibile pentru clienți
• Interval de adrese IP - se setează prima și ultima adresă Ip care se poate atribui clienilor. Aceste adrese trebuie să aibă aceeași mască de rețea. De exemplu, 192.168.1.1 și 192.168.1.60
• Timp valabilitate - se specifică timpul de valabilitate

4. Pornirea serviciului – acest serviciu poate porni automat la încărcarea distribuției openSUSE sau manual.

Pentru a verifica dacă serviciul DHCP este instalat, configurat și funcțional pe o stație se configurează placa de rețea pe automatic și se verifică într-un comand prompt ip-ul. Dacă acest IP este unul din plaja de IP-uri setat la serverul DHCP atunci serviciul este configurat bine.

Implicit, distribuția openSUSE montează partițiile NTFS într-un folder în directorul rădăcină numit “/windows”. Informațiile de pe aceste partiții pot fi numai citite fără a exista opțiunea de ștergere sau modificare. Cu alte cuvinte, partițiile NTFS sunt doar “read“.

Pentru ca partițiile NTFS să fie “read-write” se editează manual liniile asociate acestora în fișierul “/etc/fstab” astfel:

"/dev/sda1  /windows/C  ntfs-3g     user,users,gid=users,fmask=113,dmask=002,locale=en_US.UTF-8 0 0"

, unde /windows/C reprezintă o partiție NTFS.

Atenție! Se recomandă efectuarea unei copii de siguranță înainte de a efectua modificările de mai sus în fișierul "fstab" .

Mai multe informații despre montarea partițiilor NTFS sunt disponibile la adresa http://en.opensuse.org/NTFS.

Configurarea unei conexiuni PPPoE (pentru cei care au internet de la RDS) poate fi o problema. Mai jos sunt prezentati pasii care trebuie urmati pentru a realiza o astfel de conexiune:

1. Se accesează YAST

2. Se accesează meniul Dispozitive de rețea/DSL

3. În meniul Dispozitive DSL se accesează butonul Adaugă

4. Se apasă butonul Următor

5. Se bifează Provider personalizați și se apasă butonul Nou

6. Se introduce numele provider-ului de internet, contul de utilizator și parola. Pentru a continua se apasă butonul Următor

7. Pentru a finaliza configurarea conexiunii PPPoE se apasă butonul Ok.

Conexiunea PPPoE a fost configurată cu succes.

YaST2 -  O unealta deosebita.  Configurarea unui sistem Linux nu a fost niciodată mai simpla. Însă are si un mare neajuns. Managementul de pachete este limitat doar la instalarea, dezinstalarea si upgradeul aplicațiilor. Lipsește chiar și opțiunea “search”. Din punctul acesta de vedere Synaptic este 5 clase peste YaST2. Întradevăr exista zypper, dar acesta este extrem de lent si greoi. Uneori chiar prea lent.

Alternative

In căutare de soluții, am dat de Smart Package Manager , o unealta creata special , după afirmațiile dezvoltatorilor, pentru a se descurca mai bine decât orice manager nativ de pachete din aproape orice distribuție. Este capabil sa gestioneze majoritatea tipurilor de depozite software existente: APT-DEB, APT-RPM, YUM, URPMI și bineînțeles YaST2.

In acest ghid ma voi axa pe capabilitatea de gestiune a depozitelor tip YUM si YaST2, deoarece openSUSE acest tip de depozite folosește.

Instalare

Tastați în terminal următoarea comanda ca root:

rpm -iv http://download.opensuse.org/repositories/smart/openSUSE_11.1/i586/smart-1.1-5.1.i586.rpm

Configurare:

Pentru a putea sa il folosim ca un înlocuitor deplin al zypper sau al yast2 (din punctul de vedere al managementului de pachete) , va trebui sa configuram depozitele software. In terminal tastați următoarele comenzi ca root:

smart channel -y –add ‘smart’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/smart/openSUSE_11.1/’

smart channel -y –add ‘NVIDIA Repository’ type=rpm-md baseurl=’http://download.nvidia.com/opensuse/11.1′

smart channel -y –add ‘openSUSE-11.1-Non-Oss’ type=yast2 baseurl=’http://download.opensuse.org/distribution/11.1/repo/non-oss/’

smart channel -y –add ‘openSUSE BuildService – OpenOffice.org’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/OpenOffice.org:/STABLE/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Mono:Community’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/Mono:/Community/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – KDE:Community’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/KDE:/Community/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – KDE:Backports’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/KDE:/Backports/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – GNOME:STABLE’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/GNOME:/STABLE/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – GNOME:Community’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/GNOME:/Community/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Wine CVS Builds’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/Emulators:/Wine/openSUSE_11.1/’

smart channel -y –add ‘Main Repository (DEBUG)’ type=yast2 baseurl=’http://download.opensuse.org/debug/distribution/11.1/repo/oss/’

smart channel -y –add ‘openSUSE Education’ type=yast2 baseurl=’http://www.opensuse-education.org/download/repo/1.0/11.1′

smart channel -y –add ‘Packman Repository’ type=rpm-md baseurl=’http://ftp.skynet.be/pub/packman/suse/11.1/’

smart channel -y –add ‘VideoLan Repository’ type=rpm-md baseurl=’http://download.videolan.org/pub/videolan/vlc/SuSE/11.1/’

smart channel -y –add ‘Main Repository (Sources)’ type=yast2 baseurl=’http://download.opensuse.org/source/distribution/11.1/repo/oss/’

smart channel -y –add ‘openSUSE BuildService – PHP’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/server:/php/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Database’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/server:/database/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Mozilla’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/mozilla/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Games’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/games/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Drivers for webcams’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/drivers:/webcam/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – XFCE’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/X11:/xfce/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – X11:Compiz’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/X11:/Compiz/openSUSE_11.1/’

smart channel -y –add ‘openSUSE BuildService – Virtualization (VirtualBox)’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/Virtualization:/VirtualBox/openSUSE_11.1/’

smart channel -y –add ‘Picasa’ type=rpm-md baseurl=’http://dl.google.com/linux/rpm/stable/i386′

smart channel -y –add ‘openSUSE:Tools:Devel’ type=rpm-md baseurl=’http://download.opensuse.org/repositories/openSUSE:/Tools:/Devel/openSUSE_11.1/’

smart channel -y –add ‘openSUSE-11.1-Oss’ type=yast2 baseurl=’http://download.opensuse.org/distribution/11.1/repo/oss/’

smart channel -y –add ‘openSUSE-11.1-Update’ type=rpm-md baseurl=’http://download.opensuse.org/update/11.1′

smart channel -y –add ‘openSUSE 11.1-0′ type=yast2 baseurl=’http://download.opensuse.org/distribution/11.1/repo/oss/‘

După configurare va trebui să actualizați aceste depozite folosind comanda:

smart update

Utilizare:

Utilizarea smart este foarte simpla. Iată câteva comenzi:

smart install <pachet> – instalare pachet

smart remove <pachet> – dezinstalare pachet

smart search <pachet> – cauta un anume pachet

smart update – actualizare depozite software

smart upgrade – actualizate pachete

Pentru alte comenzi folosiți cu încredere manualul smart.

Acestea fiind făcute, Smart Package Manager este gata sa preia managementul pachetelor in sistemul dumneavoastră openSUSE11.1!…

Când am început să mă documentez pentru tutorialul acesta, primul lucru pe care l-am aflat de pe Google e că sunt mulți Linux fanboys gata să te repeadă dacă îndrăznești să întrebi ceva legat de acest subiect. Dacă ești unul dintre aceștia, abține-te de la comentarii – sunt oameni care vor ca Linuxul lor să arate ca Vista și au dreptul să știe cum se face.

Prima mea așteptare de la un Linux este să poată face tot ce poate face și Windows, și odată cu Wine 1.0 acest obiectiv a ajuns mai aproape de realizare. Totuși, mai rămâne problema lookului – dacă ignori problemele de performanță și de resurse, Vista arată foarte bine, nuanțele închise fiind pe placul meu.

Răspunsul KDE a venit în versiunea 4. Această variantă a adus o refacere fundamentală a interacțiunii cu utilizatorul. Această interfață, numită Plasma, este bazată pe widget-uri (numite plasmoids), care pot fi plasate oriunde pe desktop.

Fiind o schimbare majoră față de KDE3.5 (mare parte din cod a fost rescris), primele variante de KDE4 erau pline de buguri și practic imposibil de folosit. Totuși, varianta 4.1.3, prezentă în openSUSE 11.1 a ajuns la un nivel destul de stabil pentru a putea fi folosită pe calculatorul de acasă.

Ce încercăm să realizăm în acest tutorial:

• o interfață de culoare închisă pentru KDE4;
• un aspect asemanator cu Vista pentru spațiul de lucru;
• o serie de “plasmoids” plasați în dreapta ecranului, care să semene cu bara laterală din Vista;
• stil “Redmond” pentru butoanele de minimizare, maximizare și închidere fereastră.

(more…)