1 / 34. Dokumentation zur Einrichtung des Schulserver für die Freie Waldorfschule Vaihingen/Enz. Benedikt Braunger, Ales Bloss, Jonas Heinrich

Transkript

1 1/34 DokumentationzurEinrichtungdes SchulserverfürdieFreieWaldorfschule Vaihingen/Enz BenediktBraunger,AlesBloss,JonasHeinrich

2 2/34 Inhalt 1.DasProjekt EffizientereVerwaltungdurchzentralenServer ÖffentlicherInternetzugang SchuleundneueMedien EinsatzvonOpensource Software Server InstallationderSoftware Betreiebssystem Anwenungen Netzwerk Konfiguration Netzwerk Adapter DHCP ServerundHostname Bind9DNS Apache Server MySQL Datenbankeinrichten FTP Server Munin Sytsemüberwachung Samba Freigaben SQUID Proxy OpenVPN Server IPTables2 Firewall RsyncBackup pptpd Client Allgemeines InstallationderSoftware EinrichtenderSoftware Konteneinrichten Kontenanpassen ZeitplanerCronkonfigurieren Systemabsichern BootloaderGrub EpiphanyWebbrowser Gnome Desktop Zugriffsrechte X Serverabsichern... 32

3 3/34 3.3Grafisches Wallpaper(1.Konzept) Splash Screen(Bootscreen) GDM Theme(Login) Bildschirmschoner PriviligierterClient(ITG Raum) KonfigurationfürWindows Systeme Vaihingen/Enz Dokumentversion:1.9

4 1.DasProjekt 4/34 1.DasProjekt Das zentrale Anliegen unseres Projektes ist es, das bestehende Computer Netzwerk zu überarbeitenimbezugaufsicherheit,stabilitätundeinfachereverwaltung.hinzustellen wirmitunseremneuenserverdiebasisundinfrastrukturfüreininternet Café,dassesin Zukunft Oberstufenschülern ermöglichen soll, gezielt auf Lerninhalte oder verschiedene Informationen(Dienste)zurückzugreifen.NachunsererMeinungistesumungägnlichdie neuenmedien undtechnologien,dieinunserergesellschaftallgemeineineimmergrößere Rolle spielen werden, mit in den Schulalltag zu integrieren um damit den produktiven UmgangmitMedienzufördernund,inRücksichtaufspätereErwartungendesBerufsaltag, auchzulehren EffizientereVerwaltungdurchzentralenServer UnserursprünglichesZielfürdiesesProjektwaresein "Internet Cafe" einzurichten, dabei sollte ein "transparenter Proxy"1 für die Client Computer nur bestimmte Seiten für Schüler zugänglich machen (Prinzip"Whitelist"2).Dochesstelltesichheraus,das zugunsten der Sicherheit die Schüler und Lehrernetzwerke durch eine sogenannte VPN Verbindung3 software basiert getrennt sein sollten. Dadurch gab es zwar viel mehr zu konfigurieren als gedacht,dochderneueingerichteteserverermöglichte nuneinesichereundübersichtlicheverwaltungdesnetzwerkes: Eingeschränkter,öffentlicherZugagnbeiStandard Konfiguration GetrenntesLehrernetzwerkohneEinschränkungenmitVPN Konfiguration Internet ZugangimOberstufenraum Angepasstes"Edubuntu" Betriebssystem4fürClient Rechner Artwork für Schulbetriebssystem (Modifizierter Bildschirmhintergrund, Bildschirmschoner,Bootscreen) Schulservermiteigenem: 5 DHCP Server (IP AdressenVergabe) 6 Squid Proxy (eingeschränktesnetzwerk) 7 Iptables Firewall (SchutzvorexternenAngriffenaufdasNetzwerk) 8 9 FTP undapache Server (schuleigenes,lokaleswebportal) 2VPN Server(Lehrer undbeleuchternetzwerk) 1http://de.wikipedia.org/wiki/Proxy_(Rechnernetz)#Transparenter_Proxy 2http://de.wikipedia.org/wiki/Whitelist#Software 3http://de.wikipedia.org/wiki/Virtual_Private_Network 4http://de.wikipedia.org/wiki/Edubuntu#Edubuntu 5http://de.wikipedia.org/wiki/DHCP Server 6http://de.wikipedia.org/wiki/Squid 7http://de.wikipedia.org/wiki/Iptables 8http://de.wikipedia.org/wiki/File_Transfer_Protocol 9http://de.wikipedia.org/wiki/Apache_HTTP_Server

5 1.DasProjekt 5/34 AllesinallemeineguteBasisfürweitereInformatik Projekte ÖffentlicherInternetzugang Für jeden, auch nicht der Schule angehörend, sollte das Internet der Schule(gefiltertundgetrenntvonsensiblenDaten)zugänglichsein, überwlanoderinternet Terminal10.ZwarsindimöffentlichenNetz nur ausgewählte Seiten erreichbar, wie die größte Online Enzyklopädie Wikipedia, das Wörterbuch Leo.org oder z.b. die Fahrbahnauskunft bei Bahn.de, aber jeder BesucherdesGeländeskannaufdieseAngebotekostenlos zugreifen imsinnevonfreifunk11(verbreitungfreierund unabhängiger Netzwerke, Demokratisierung der Kommunikationsmedien und die Förderung lokaler Sozialstrukturen).Dieseroffene,weitflächigerZugangvereinfachtimOptimalfallnatürlich auch die Vernetzung aller Laptops und Desktops in unterschiedlichen Gebäuden ohne Netzwerkkabelzuverlegen SchuleundneueMedien InteressanteArtikel,WebseitenoderDokumentevonZuhausekannmannunanComputern imoberstufenraumjederzeitausruckenundfürdenunterrichtnutzen.auchlässtsichüber diesen Zugang die Recherche für Hausaufgaben vereinfachen. Schülerkönnendabeinichtnurselbständiglernen,wiesichwichteInformationenimInternet findenlassenoderwiemandiesezusammenträgt/nutzt,sondernauchdiearbeitmitdem ComputerunddessenSoftware:SeiesdasAnlegeneinerPräentation,dieGestaltungeines Dokumentes,BildbearbeitungoderdasErzeugenvonTabellenmitOpenOffice12. PädagogischeBegründungenfürdieNutzungvomInternetinSchulen Internet Nutzung als elementare Kulturtechnik: Das Internet ist wichtig für Kommunikation und Kultur. Weiter sind die verschiedenen Bildungs und Unterhaltungsangebote und der Kauf von Waren und Dienstleistungen (in diesen 10 Modus

6 1.DasProjekt 6/34 ZusammenhangistdasWissenüberDatensicherheitundDatenqualitätunentbehrlich) sehrwichtig. SteigerungderEffektivität/Effizienz:,,MitdemEinsatzvonMedienkanndasZiel verfolgt werden, Lehrinhalte effektiver und effizienter zu vermitteln. [ ] Aus mediendidaktischersichtsindbesondersfolgendemöglichefunktionendesinternets relevant: Veranschaulichung und Strukturierung, kognitive und operative Aktivitäten, Wissenskonstruktion und Kommunikation, lernmotivationale Funktion (vgl.kerres2000,s.122f). Medienerzieherische Argumente:,,Einer handlungsorientierten Medienpädagogik geht es vielmehr darum, die Fähigkeit von Menschen, sich über Meiden zu artikulieren,ihremedienbezogeneninformations undunterhaltungsbedürfnisseund interessenzubefriedigenundzureflektierensowiemedienprodukteverstehenund bewertenzukönnen (Kerres2000,S.123) EinsatzvonOpensource Software AlsOpen Source13 wirdsoftware(debian,ubuntu,firefox 14,Thunderbird15...)bezeichnet, deren Quellcode16 für jedermann zugänglich ist. Obwohl Open Source SoftwarevomPrinzipherbetriebssystemunabhängigist,dürfteeswohl die rasant zunehmende Akzeptanz des freien Betriebssystems Linux17 gewesensein,dieimmermehraufdasopen Source Konzeptaufmerksam gemachthat. FreieWeiterverbreitung Jeder darf Open Source Software nutzen und beliebig weiter verteilen. VerfügbarkeitdesQuellcodes Das Software Paket muss den Quellcode enthalten oder angeben, an welcher frei zugänglichen Stelle dieser zu erhaltenist. ÄnderungenamQuellcode DerQuellcodedarfaneigeneBedürfnisseangepasstundindieserverändertenFormwei tergegebenwerden. Open Source SoftwarewirdinderRegelvonengagiertenEntwicklernauffreiwilligerBasis undininternationalerzusammenarbeiterstellt.dabeibestehenkeinekommerzielleninteres sen.dierechtederprogrammiererundnutzerwerdendabeiindergnugeneralpublic Licence(GPL)18festgelegt. Open Source Softwareistzwarnichtimmerkostenfrei,aberkostengünstig.InvielenFällen istsiekostenloserhältlich.durchdeneinsatzvonfreiersoftwarespartmansomitvielgeld undvermeidetteurelizenzen! Dabei behält man, entgegen aller gängigen Argumente, die Kompatibilität zu Microsoft

7 1.DasProjekt 7/34 Produkte,wiez.B.OfficeWord19 oderexcel20.entwederdurcheinsatzvonalternativen (StarOffice21,OpenOffice...)oderdurch"Emulation"22vonWindows SoftwareunterLinux ohnegroßenaufwand

8 2.Server 8/34 2.Server DerServerhatdieAufgabedasInternetfürdieSchülerzufiltern (Squid Proxy).FürMitgliederdesVPN Netzwerkeshingegen istdasinternetfreizugänglich(vpn Server)undderServer dient zudem als http Server für ein schulinternes Intranet23 (apache2). Im speziellen bedeudet dies, dass der gesamte DatenverkehrdesSchulnetzwerksdurchdenServergeschlauft werden muss und somit dieser zum zentralen Knotenpunkt wird. AlsBetriebssystemkommthierDebian24zumEinsatzaufdemdie entsprechenden Zusatzpakete installiert werden können. Eine grafischeoberfläche25istnichtvorgesehen. BeimerstenTestaufbaudesServerswurdeDebian4benutzt. BeieinerevetuellenNeuinstallationkannauchDebian5 Lenny eingesetztwerden. 2.1InstallationderSoftware Betreiebssystem Debian4/526kannunterfolgendemLinkheruntergeladenunddanachaufCDgebranntwerden. cd/5.0.1/i386/iso cd/debian 501 i386 netinst.iso Nachdem vondercd die Installation gestartetwurde,muss man SchrittfürSchritt den Installationsassistentenfolgen:Paketeauswählen,ZeitundRegionfestlegen,Partitionieren27 undadministratorpasswortsetzen Anwenungen DieAnwendungendiebenötigtwerdensind: dhcp,apache2,squid,openvpn,ssh,php plugin, mysql server/ clientsowieproftpd. ZuvormüssenjedochnochdiePaketquellenvonDebianangepasstwerden(hierimBeispielzu Etch ).Mit28 nano/etc/apt/sources.list mussdiekonfigurationwiefolgtgeändertwerden: partitioning.en.html

9 2.Server 9/34 #deb cdrom:[debian GNU/Linux 4.0 r5 _Etch_ Official i386 NETINST Binary :53]/etchcontribmain #deb cdrom:[debian GNU/Linux 4.0 r5 _Etch_ Official i386 NETINST Binary :53]/etchcontribmain debhttp://security.debian.org/etch/updatesmaincontrib deb srchttp://security.debian.org/etch/updatesmaincontrib debhttp://ftp.de.debian.org/debianetchmaincontribnon free debhttp://security.debian.org/etch/updatesmaincontribnon free MitfolgendenBefehlenkannmandieseinstallieren: $apt getupdate Paketlisteupdaten $apt getinstallsquidopenvpnopenssldhcpssh Paketeherunterladenund sshd libapr1 libaprutil1 libdbd mysql perl libdbi installieren perllibnet daemon perllibplrpc perllibpq5vim (beibedarfaucheinzelnd, nacheinanderinstallierbar ) Alle Anwendungen sollten sich bei korrekter Konfiguration (also wenn keine Fehler vorhanden sind) automatisch beim Systemstart als Daemon29 starten. Während der InstallationwerdeneinigewenigeEinstellungenabgefragt(werdenspäterdannbenötigt!), wiez.b.benutzernameundpasswortfürdenzugangzurmysql Datenbank30. ServerperSSH Remoteverbindungverwalten DaabdiesenSchrittderSSH Server31 schonalshintergrunddienstaufdem Serverlaufensollte,kannnunderServervonjedemPCausverwaltetwerden, der am selben Netzwerk angeschlossen ist. Unter Windows kann dafür das Programm Putty verwendet werden. Bei gängigen Linux Systemen, ist ein SSH Clientbereitsschoninstalliertundkannmit sshroot@xxx.xxx.xxx.xxx(serverip)verwendetwerden. Ab dem Übernehmen der Iptables Einstellungen in Schritt 1.2.8, kann der SSH Port(22)nurinnerhalbdesVPN Netzwerkesverwendetwerden! Netzwerk EswerdenzweiNetzwerkkartenbenötigt.Dieeine(indiesemFalleth0)istmitdemInternet verbunden.dieandere(hiereth1)istmitdemlokalennetzwerkverbunden,welchesgefiltert werdensollesseidennderclientistimvpn.auf eth1 läuftauchderdhcp Server.Mit OpenVPNkommtnocheindritterNetzwerkadapterdazu.Dervirtuelletap0.Überihnläuft

10 2.Server 10/34 MitdemBefehl32: $ifconfigifc lassensichdieaktuelleneinstellungenderlan Verbindungeinsehenundverändern. IFC hierdurchnetzwerkadapternameersetzen. 2.2Konfiguration Netzwerk Adapter AlserstessolltendiebeidenNetzwerkadaptereingestelltwerden.Esistwichtig,dassder ServereinestatischeIP Adressebekommt,damitmanihnimmerunterdergleichenerreichen kann!! HierzuwirddieDatei/etc/network/interfaces33editiert34: $nano/etc/network/interfaces DieDateisolltefolgendermaßenkonfiguriert: #Theloopbacknetworkinterface autolo ifaceloinetloopback #TheprimarynetworkinterfaceInternet allow hotplugeth0 ifaceeth0inetstatic address netmask gateway #ThesecondarynetworkinterfaceLAN,filteredbySquid allow hotplugeth1 ifaceeth1inetstatic address netmask DieIP Adresse(n)beieth0müssenmitdemRouterabgestimmtwerden,diebeizweisindfrei wählbar,manmusssichallerdingsimweiterenverlaufderkonfigurationstricktandiese halten DHCP ServerundHostname DerDHCP ServerVerteilIP AdressenanClient,diekeineStatischeIPhaben.Hierwirder benutztumclientsautomatischindasöffentlicheabergefiltertenetzwerkzuholen. SeineKonfigurationsdateiliegtin/etc/dhcpd.conf35.Diewurdewiefolgtkonfiguriert: up an network interfaces file/ editor.org/ systems.org/man/dhcpd.conf.5.html

11 2.Server 11/34 #MinimaleAusleihzeitinSekunden(1Stunde) default lease time3600; #MaximaleAusleihzeitinSekunden(24Stunden) max lease time86400; #FürdieNetzwerkkarteeth1(DSL)geltenfolgendeEinstellungen subnet netmask { } #FürdieNetzwerkkarteeth0(LAN)geltenfolgendeEinstellungen subnet netmask { #Domainname=mylan optiondomain name"home.fwsv"; #zweidns Server optiondomain name servers ; #Internet Gateway optionrouters ; #Netzmaske optionsubnet mask ; #dynamischezuweisungbeifremdenrechnernimlan range ; } UmdenDHCP ServerzutesteneinfacheinenComputerohnestatischeIPaneth0hängen undwartenobihmeineipzugeteiltwird Bind9DNS Der Bind9 Domain Name Server ermöglicht es, lokale sowie externe Domainnamen aufzulösen und dies mit zusätzlichen, spezifischen Regeln. Als erstes wird der Daemon installiertunddaraufhinfürdiekonfigurationgestoppt: $aptitudeinstallbind9 $/etc/init.d/bind9stop DieersteKonfigurationsdatei,dieerstelltwerdenmuss,isteinesogenannte Zoenen Datei, inderdomainname,subdomainsundderenip Adressendefiniertwerden. $mkdir p/etc/bind/zones/master/ $vim/etc/bind/zones/master/home.fwsv.db Die Zonen Datei bekommt passender Weise den gleichen Name, wie die zu erstellende Domain:home.fwsv( seine IP Adresse auf. Folgender Inhalt wird nun dort eingefügt (Achtung: Bind9istsehrsensibelmitderFormatierungderKonfigurationsdatei!); ; BIND data file for home.fwsv ; $TTL IN SOA ns1.home.fwsv. info.home.fwsv. ( ; Serial 7200 ; Refresh 120 ; Retry ; Expire ) ; Default TTL

12 2.Server 12/34 IN home.fwsv. home.fwsv. ns1 ns2 www mail ftp home.fwsv. mail NS NS IN IN ns1.home.fwsv. ns2.home.fwsv. MX 10 home.fwsv. A IN A IN A IN CNAME home.fwsv. IN A IN CNAME home.fwsv. IN TXT "v=spf1 ip4: a mx ~all" IN TXT "v=spf1 a -all" Wiezusehen,wurdenauch Subdomains konfiguriertfür mail, ftp und nameserver.zu beachten ist die Zeile für SERIAL. Diese repräsentiert das Änderungsdatum sowie die Versionsnummer: = (2007)(01)(15)(01) = , Version 01. Mit jeder ÄnderungsolltedieseVariableangepasstwerden,damitBind9sieübernimmt!DerBefehl rndcreloadkannzudemausgeführtwerden,umbind9zuupdaten. Auchwennnichtimmernötig,wirdauskompatibilitätsgründenaucheinsogenannterRDNS (Reverse DNS) Eintrag angelegt mit dem Editor vim: vim /etc/bind/zones/master/ rev $TTL 1d ; $ORIGIN IN SOA ns1.home.fwsv. ) 1 2 IN IN IN IN NS NS PTR PTR info.home.fwsv. ( ns1.home.fwsv. ns2.home.fwsv. ns1.home.fwsv. ns2.home.fwsv. DomainnamesunddieReverse IPbei$ORIGINwurdendementsprechendangepasst.Die Einstellungen können mit folgendem Befehl auf ihre Vollständigkeit und Korrektheit überprüft werden. Sollte das Programm nicht mit einem OK status antworten ist z.b. nochmalsdersyntaxzuüberprüfen,dahierdiemeistenfehlersicheinschleichen. $cd/etc/bind/zones/master/ $named checkzonehome.fwsvhome.fwsv.db Jetztwerdendie Zonen Dateien indiehauptkonfigurationsdateivonbind9eingetragen. Erst damit werden die Änderungen überhaupt mit eingebunden: vim /etc/bind/named.conf.local zone "home.fwsv" { type master; file "/etc/bind/zones/master/home.fwsv.db"; }; zone " IN-ADDR.ARPA" { type master; file "/etc/bind/zones/master/ rev"; };

13 2.Server 13/34 NunkannBind9mitfolgendemBefehlneugestartetwerden: $/etc/init.d/bind9restart Folgende Befehle können nun an Client Rechnern benutzt werden, um die vollständige FunktionalitätvonBind9zuüberprüfen: $pingns1.home.fwsv $nslookup >ns1.home.fwsv Apache Server Apacheisteinhttp Server,derinunseremFallimLokalenNetzwerkeinkleinesIntranetzur Verfügungstellensoll.InstalliertwirdermitfolgendemBefehl: $aptitudeinstallapache2php5 commonphp5 mysqlapache2 mpm preforkapache2 utilsapache2.2 commonlibapache2 mod php5 StandardmäßigliegendieDateienderIntranetseiteunter/var/www/.Dorthinkannauchdie Beispiel Intranetseite kopiert werden, zu finden bei den beiliegenden Daten der Dokumentation.DabeisollteWordpressvonhttp:// nach /var/www/wordpress entpacktwerden.daspassendethemeliegtderdokumentation bei. Die Konfigurationsdateien von Apache liegen unter /etc/apache2/. In der Datei apache2.conf36liegenallgemeineeinstellungen,dieeigentlichkeinerbearbeitungbedürfen. Jedochsolltemanin/etc/apache2/conf.d/fqdn denservernameauflocalhostsetzenmitder Zeile:ServerNamelocalhost Im Unterordner /sites available/ liegt die Datei default in der sich der Standardpfad der freigegebenendateienändernlässt. Einstellungenlassensichdirektübernehmenindemman/etc/init.d/apache2restartausführt undsomitdendaemonneustartet MySQL Datenbankeinrichten $aptitudeinstallmysql client 5.0mysql commonmysql servermysql server 5.0libmysqlclient15off Daz.B.derBlogdesIntranetseineMySQL Dantebankbenötigt,richtenwirdieseüberden MySQL Clientein.DazuwechseltmanindieEingabeaufforderungderMySQL Console mit:$mysql uroot p DanachwirddasPasswortverlang,dassmanbeiderInstallationdesServersangelegthat.In der Shell,setzenwirdiepassenden Queries hiereinbeispielzureinrichtungeiner Datenbank für Wordpress (anhand der Konfiguration von /var/www/wordpress/wp 36

14 2.Server 14/34 config.php): mysql>createdatabasewordpress; QueryOK,1rowaffected(0.00sec) mysql> GRANT ALL PRIVILEGES ON wordpress.* TO >IDENTIFIEDBY"password"; QueryOK,0rowsaffected(0.00sec) mysql>flushprivileges; QueryOK,0rowsaffected(0.01sec) mysql>exit FTP Server $aptitudeinstallproftpd EinFTPistnotwendigumdieIntranetseitedesServerszueditierenundzuverwalten.Das ProgrammProFTP37wurdeinSchritt2.1.1schoninstalliert.MitdemEditornanomussdie Datei/etc/shellsaufgerufenund /bin/false amschlussangefügtwerden. Mit useradd ftpuser p your_password d /var/www s /bin/false wird nun ein neuer Benutzer erstellt. In der Datei /etc/proftpd/proftp.conf wird nun folgender text eingetragen/angepasst: Include/etc/proftpd/modules.conf #SetofftodisableIPv6supportwhichisannoyingonIPv4onlyboxes. UseIPv6off ServerName"home.fwsv" ServerTypestandalone DeferWelcomeoff MultilineRFC2228on DefaultServeron ShowSymlinkson TimeoutNoTransfer600 TimeoutStalled600 TimeoutIdle1200 DisplayLoginwelcome.msg DisplayFirstChdir.message ListOptions" l" DenyFilter\*.*/ #Port21isthestandardFTPport. Port21 MaxInstances8 #Settheuserandgroupthattheservernormallyrunsat. Usernobody Groupnogroup #Umask022isagoodstandardumasktopreventnewfilesanddirs #(secondparm)frombeinggroupandworldwritable. Umask PersistentPasswdoff MaxClients8 MaxClientsPerHost8 MaxClientsPerUser8 MaxHostsPerUser8 #Displayamessageafterasuccessfullogin AccessGrantMsg"welcome!!!" 37

15 2.Server 15/34 #Thismessageisdisplayedforeachaccessgoodornot ServerIdenton"you'reathome" #Set/home/FTP shareddirectoryashomedirectory DefaultRoot/var/www #Lockalltheusersinhomedirectory,*****reallyimportant***** DefaultRoot~ MaxLoginAttempts5 #VALIDLOGINS <LimitLOGIN> AllowUserftpuser DenyALL </Limit> <Directory/var/www> Umask AllowOverwriteon <LimitREADWRITEDIRSCDUPMKDSTORDELEXMKDRNRFRNTORMDXRMD> AllowAll </Limit> </Directory> Wichtigist,dass dervonftpfreigegebeneordner,indiesemfall/var/wwwmitvollen Rechtenausgestattetwird.DiegeschiehtmitdemBefehlchmod777/var/www. AlleEinstellungenwerdenübernommenmit:/etc/init.d/proftpdrestart Munin Sytsemüberwachung Munin38 ist ein Programm zurstatus Überwachungvonz.B. Traffic (Datendurchsatz bei verschiedenennetzwerkgeräten),festplattenkapazitätoderprozessoraktivitätbeliebigvieler Rechner.DasProgrammfastdannalleInformationenaufeinerWebseitezusammen. AufdenServerinstallierenwirmitdiesemBefehldenClient undserverteilvonmuninmit diesembefehl: $apt getinstallmunin nodemuninliblwp protocol http socketunix perl liblwp2lsof Folgende Konfigurationsdateien müssen editiert werden, damit der Server seine eigenen Informationenabruftundsammelt alserstesdiedatei/etc/munin/munin.conf: dbdir/var/lib/munin htmldir/var/www/munin logdir/var/log/munin rundir/var/run/munin tmpldir/etc/munin/templates [server.fwsv] address use_node_nameyes DiezweiteKonfigurationsdatei/etc/munin/munin nodemusswiefolgtangepasstwerden: log_level4 log_file/var/log/munin/munin node.log 38

16 2.Server 16/34 port4949 pid_file/var/run/munin/munin node.pid background1 setseid1 host* usermunin#root groupmunin#root setsidyes ignore_file~$ ignore_file\.bak$ ignore_file%$ ignore_file\.dpkg (tmp new old dist)$ ignore_file\.rpm(save new)$ host_namelocalhost allow^127\.0\.0\.1$ allow^127\.0\.1\.1$ Achtung:MuninfunktioniertebeiunseremSetuperstdann,nachdemdieDateibefugnisse folgenderordnergeändertwurden: $chownmunin:munin R/var/lib/munin/var/www/munin/var/log/munin /var/run/munin BevorMuningestartetwird,werdenfolgendePluginsfürdasÜberwachenderOpenVPN Netzwerkegeladen: $wgethttp://muninexchange.projects.linpro.no/download.php?phid=62 O/usr/share/munin/plugins/ovpn1 $wgethttp://muninexchange.projects.linpro.no/download.php?phid=62 O/usr/share/munin/plugins/ovpn2 InbeidenDateienmussfürdasjeweiligeOpenVPN NetzwerkfolgendeParametergeändert werden: my$statuslogfile="/etc/openvpn/ovpn* status.log ; BeidemPluginovpn1heißtdieLogfileovpn1 status.log,beiovpn2ovpn2 status.log. SobaldderOpenVPN DaemonläuftundsomitdieDateienerstelltsind,mussdieLogfilefür Muninzugänglichmachen: $chmodo+r/etc/openvpn/ovpn1 status.log $a2enmodstatus DieeinzelnenPluginszurÜberwachungverschiedenerDeinstekönnenmitdiesenBefehlen aktiviertwerden: $munin node configure suggest shell sh $ln s/usr/share/munin/plugins/ping_/etc/munin/plugins/ping_

17 2.Server 17/34 $ln s/usr/share/munin/plugins/if_/etc/munin/plugins/if_tap0 $ln s/usr/share/munin/plugins/if_/etc/munin/plugins/if_tap1 $ln s/usr/share/munin/plugins/apache_accesses/etc/munin/plugins/ $ln s/usr/share/munin/plugins/apache_processes/etc/munin/plugins/ $ln s/usr/share/munin/plugins/apache_volume/etc/munin/plugins/ InderDatei /etc/apache2/apache2.conf musssichergestelltwerden,dasfolgendepassagen auskommentiertundwirksamwerden: SetHandlerserver status Orderdeny,allow Denyfromall Allowfrom ExtendedStatusOn DasprovisorischselbsterstelltePPTPD Munin PluginlässtinfolgendenSchritteneinrichten: Als erstes wird ein systemweiter Cronjob angelegt, der in regelmäßigen Abständen eine LogfileanlegtunddarindieAnzahldergeradeeingelogtenPPTP Benutzernhinterlegt.Die Datei /etc/crontab wird dazu wie folgt angepasst (die letzte Zeile ist dabei unser hinzugefügterbefehl): SHELL=/bin/sh PATH=/root/:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin #mhdommondowusercommand 17****rootcd/&&run parts report/etc/cron.hourly 256***roottest x/usr/sbin/anacron (cd/&&run parts report/etc/cron.daily) 476**7roottest x/usr/sbin/anacron (cd/&&run parts report/etc/cron.weekly) 5261**roottest x/usr/sbin/anacron (cd/&&run parts report/etc/cron.monthly) 3919***rootbash/root/backup.sh */5****rootecho"PPTPD.value"`lsof i:1723 greppptpctrl wc l`".00">/var/log/pptpusercount # EineneueDatei,dasMunin Plugin,wirderstelltmitz.B.vim/etc/munin/plugins/pptpdund dieseminhalt: #!/bin/sh if["$1"="autoconf"];then echoyes exit0 fi if["$1"="config"];then echo'graph_titlepptpd' echo'graph_args base1000 l0' echo'graph_vlabelclients' echo'graph_categorynetwork' echo'pptpd.labelpptpd' exit0 fi envlc_all=ccat/var/log/pptpusercount Muninmussneugestartetwerden,damitalleÄnderungenaktivwerden:

18 2.Server 18/34 $/etc/init.d/munin noderestart HTTP Basic AuthSetup UmdieMunin SeitemiteinePasswortzusichernlegtmanzuersteinePasswortdateian. $htpasswd -c /usr/local/apache/passwd/passwords <username> AnschließendwirddasPasswortfürdenangegebenenBenutzereingegeben,dieswirdinder angegebenendateiverschlüsseltgespeichert. DieRechtefürdiePasswortdateisolltestarkbeschränktwerdenumunerlaubteZugriffzu vermeiden. Achtung!BeiFehlfunktionistdieLesebeschränkungeinehäufigeFehlerquelle. ZumSchlusswirdindieApache Config Datei(/etc/apache2/sites enabled/000 default)ein EintragfürjedenOrdnergemachtdergesichertwerdensoll.EinBeispielhierfürsiehtsoaus. <Directory /usr/local/apache/htdocs/sekrit> AuthType Basic AuthName "By Invitation Only" AuthUserFile /usr/local/apache/passwd/passwords Require user </Directory> <username> Samba Freigaben UnterSambaFreigabenverstehtmandienormalenWindowsfreigaben. Mitapt getinstallsambawirdderdienstinstalliertunddiekonfigurationsdateiliegtunter /etc/samba/smb.conf39. DawirmehrereBereichehabenwollenvondeneneinigenurausdemVPNzuerreichensein sollen, benutzen wir sogenannte Virtuelle Hosts. Das heißt es laufen mehrerevirtuelle SambaServeraufeinemphysikalischem. Hierzuwirddiesmb.confkomplettgelöscht(voherBackuperstellen!!)undanschließend durchfolgendentextersetzt. [global] workgroup=fws VAIHINGEN netbiosaliases=datenserver,schueler,admin serverstring=smbsevrerfor%l security=share logfile=/var/log/samba/%m.log maxlogsize=50 smbports=139 socketoptions=tcp_nodelayso_rcvbuf=8192so_sndbuf=8192 disablespoolss=yes include=/etc/samba/smb.conf.%l Dies istdie allgemeingültigeconfig Datei.Fürdie Namendie unter netbios aliases angegebenwerden,werdennunneueconfig Dateienangelegt!Diesewerdensmb.conf.name /smb.conf.5.html

19 2.Server 19/34 genannt.derinhaltfürvpn GeschützeBereichesolltesoaussehen: [global] widelinks =no workgroup=fws vaihingen hostsallow= /24 hostsdeny= /0 [lehrer] path=/mnt/ehdd/lehrer/ printable=no browsable=yes writable=yes validusers=lehrer readonly=no guestok=no DerInhaltfüröffentlicheBereicheso: [global] widelinks =no workgroup=fws vaihingen [SchuelerBereich] path=/mnt/ehdd/schueler printable=no browsable=yes writable=yes guestok=yes DerBeriechunter [SchuelerBereich] kannbeliebigoftkopiertundangepasstwerden SQUID Proxy SquidistderProxy Server.ErsollalleWebanfragenausdemöffentlichenNetzabfangenund filtern,währenderdieanfragenausdemvpn Netznichtbeachtensoll. SquidhateinemächtigeConfig Dateidieunter/etc/squid/squid.conf40zufindenist.Dadie DateisehrvielTextbeinhaltetunddermeistedavonfürunsbedeutungslosist,hiernurdie wichtigenauszüge. Als erstes müssen IPs und Ports richtig gesetzt werden: In der Datei findet man diese EinstellungunterdemTAG:http_port(gleichamAnfang). http_port :3128transparent tcp_outgoing_address udp_outgoing_address Die Einstellung transparent bewirkt, dass der Proxy an den Clients nicht per Hand eingetragenwerdenmuss,sondernderproxyhörtallesab,wasüberseinenport3128läuft. DerhttpPort80desServerswirdspäterinderIPTablesaufPort3128umgeleitet. EinweitererwichtigerTeilistunterTAG:aclzufinden.aclstehtfürAccessList.Hierkann manip RangesdenZugriffaufdenProxyerlaubenoderverbieten.Außerdemkannmanhier einewhitelistdefinieren. 40

20 2.Server 20/34 aclallsrc / aclerrorpagedst / aclwhitelistdstdomain"/etc/squid/whitelist" deny_infohttp:// /error.phpall http_accessallowallwhitelist http_accessallowerrorpage http_accessdenyall In der Datei /etc/squid/whitelist werden nun alle Domainnamen eingetragen die im Internet zugänglich sein sollen. Z. B.:.wikipedia.de wobei der Punkt am Anfang der Adressezubeachtenist.Unterdeny_info,wirddieURLzuderErrorpageangegebenfürdie Regel all. UnsereWhitelist(einAusschnittdavon)siehtsoaus:.dhm.de.fwsv.periodictable.com.spiegel online.de.bahn.de.encarta.com.encarta de.wikipedia.org.wikipedia.fr.wikipedia.de.leo.org.wikimedia.org.zeit.de.stern.de.focus.de.heise.de.golem.de.wikileaks.org.ubuntuusers.de.dastelefonbuch.de.ccc.de.bbc.co.uk.cnn.com.nytimes.com.guardian.co.uk.telegraph.co.uk.nature.com.technologyreview.com.sciencemag.org.waldorfschule vaihingen.de.kernel.org.ubuntu.com.tagesschau.de.debian.org.entropia.de.dict.cc.openstreetmap.org

21 2.Server 21/34.wiktionary.org.wikibooks.org.wikiversity.org.wikinews.org.wikiquote.org.wikisource.org.sueddeutsche.de.spiegel.de.zivildienst stellen.net.mozilla.org.hausaufgaben.de.spektrumdirekt.de.weltderphysik.de.pro physik.de.nasa.gov.hdg.de.brockhaus.de.wga.hu.pons.de.pons.eu DieganzeWhitelististimDokumentationsordnerzufinden!Unter/usr/share/squid/errors/ sinddieverschiedenerror Seitenzufinden.EinstellenwelchererrorOrdnerbenutztwird kannmanindersquid.confunterdem TAG:error_directory OpenVPN Server OpenVPNsorgtdafür,dassalleRechnerdiesichamVPNanmeldenkomplettverschlüsselt ihredatenübertragen.siesindsomitvonrechneraußerhalbdesvpnnichtzusehen!in unserem Fall sollen 2 VPNs erstellt werden für 2 völlig voneinander gettrennte Netzwerkbereiche. ManloggtsichineinVPNmiteinemspeziellfürjedenRechnererstelltenZertifikat41ein. Es ist sehr wichtig, dass die Zertifikate geschützt werden und nicht in falsche Hände geraten,dajedersichmiteinemzertifikatinsvpneinloggenkann. NunzumErstellenderVPN Zertifikate: DerEinfachheithalberersstellenwirdieZertifikateunterWindows. Nachdem OpenVPN (bei heruntergeladen und installiert wurde, öffnetmaneinewindows Konsole42(Start Ausführen cmd ). ManwechseltimOpenVPNInstallationsordnerindenUnterordner easy rsa undführtals erstesdiebat Datei init config.bat aus.diebereitetallesfürdiezertifikatbildungvor. Anschließendwird vars.bat und clean all.bat ausgeführt.dieselöschtalletemporären DateiendieeventuellbeiderInstallationstörenkönnten. NunbeginntdasErstellenderZertifikate.DazuwirddieDatei build ca gestartet,diedas allgemeingültigezertifikaterstellt.diesewirdvonallenclientssowiedemserverbenötigt. MangibtdieAngefordertenInformationenein.WichtigistdieEingabe CommonName es darfineinemphysikalischennetzwerkkeinezweivpnsmitdemselbencommonname existieren source/documentation/howto.html#pki 42