Guida a Ubuntu Server - Documentazione di Ubuntu - Ubuntu-it
Contents
1. 294 19Backup sia liane iii iaia 296 Script shelli tccprrtihoaldeniul i pel diede ie ela 297 2 Rotazione degli archivi penisit ienn eres lassi dareiacd aes 301 Si Bacula cerro ein sede AE T idee ila rio tirata 305 20 Virtualizzazione iure ai 310 TEE LONA E n EEE E EE A iaia liana 311 2 JeOS e vmb ilder e anik anaa Paves es EAEE E E E E AE E ois 316 3 Ubuntu Cloud hea e a a e n a a E dt seh ined alia ieri 325 4 CS OEA E E A E A A E ARA 332 PA E DE S EA E E E E aoe See She 355 I DRB Disc leali EE a S E e EE elio alii 356 DQ NPN rd E E E E aaa E EN RRE REEE 359 T Open VPN reri riduce are Aaa Anania 360 23 Altre ttl applicazioni iee ie onii iaia Alla ate HA a 372 Veg PAM motd ieis n e aaa n aa aa tees aa ella ali licia 373 2 etckeep t TE TA E T ETA 375 3 BYODU senenn lai i eno R E E 377 A Riferimenti siae iaia elle lia ail lati 379 An Appendini R reao TAR A n 380 1 Segnalare bug in Ubuntu Server Edition 381 Lista delle tabelle 2 1 Requisiti minimi raccomandati ize iguana dea ani aliene nigeria 4 5 1 Conversione del controllore di priorit eeeeeeeeeeeeeneneeeneeeneneeaaeaeaeaeaeaeaeaeaeaeaeaeaeea 54 5 2 Configurazione predefinita del multipath cere eee rene re nere ne rene ne rene nenenenenee 67 SI LAttributi di Multipathi scusato det sassyecivateeibsshaseeeafeusheGhaaivequiagdseiecshatuqeaduate thoadesaniogdeteseds 71 5 4 Attributi del dispositivo2. 5 9 Determinare le voci del Device Mapper con il comando dmsetup possibile utilizzare il comando dmsetup per sapere quale voce del device mapper corrisponde ai dispositivi sui quali stato eseguito il multipath Il seguente maggiori e comando visualizza tutti i dispositivi del device mapper insieme ai rispettivi numeri minori I numeri minori determinano il nome del dispositivo dm Per esempio un numero minore di 3 corrisponde al dispositivo multipath dev dm 3 dmsetup 1s mpathd 253 4 mpathepl 253 12 mpathfpl 253 11 mpathb 253 3 mpathgpl 253 14 mpathhpl 253 13 mpatha 253 2 mpathh 253 9 79 DM Multipath mpathg 253 8 VolGroup00 LogVol01 253 1 mpathf 253 7 VolGroup00 LogVol00 253 0 mpathe 253 6 mpathbpl 253 10 mpathd 253 5 5 10 Risoluzione dei problemi con la console interattiva multipathd Il comando multipathd k un interfaccia interattiva per il demone di multipathd digitando questo comando viene visualizzata una console di multipath interattiva Dopo aver inserito questo comando possibile digitare help per ottenere un elenco dei comandi disponibili inserire un comando interattivo o digitare CTRL D per uscire La console interattiva di multipathd pu essere usata per risolvere i problemi incontrati con il sistema Per esempio la seguente sequenza di comandi visualizza la configurazione multipath e le impostazion
3. Copiare i seguenti file nel client utilizzando un metodo sicuro e etc openvpn ca crt e etc openvpn easy rsa keys clientl crt e etc openvpn easy rsa keys client1 key Dato che i certificati client e le chiavi sono richieste solo sul client opportuno rimuoverli dal server 1 3 Semplice configurazione del server Con l installazione di OpenVPN si sono ottenuti questi file di configurazione d esempio e molti di pi se si controlla root server ls 1 usr share doc openvpn examples sample config files total 68 rw r r 1 root root 3427 2011 07 04 15 09 client conf rw r r 1 root root 4141 2011 07 04 15 09 server conf gz Per prima cosa copiare e decomprimere unpacking server conf gz in etc openvpn server conf sudo cp usr share doc openvpn examples sample config files server conf gz etc openvpn sudo gzip d etc openvpn server conf gz Modificare etc openvpn server conf per assicurarsi che le seguenti righe puntino ai certificati e alle chiavi create come spiegato nella sezione precedente Car Ca Crt cert myservername crt key myservername key dh dh1024 pem Questa la minima configurazione necessaria per ottenere un server OpenVPN funzionante possibile usare tutte le impostazioni predefinite del file d esempio server conf Ora avviare il server i messaggi di accesso e di errore sono nel syslog root server etc openvpn service openvpn start Starting virtual priv
4. la corretta posizione i cui dovrebbero essere tenuti i file specifici dei siti forniti dal sistema 6 Creare la directory net logon e un file 1ogon cmd per ora vuoto sudo mkdir p srv samba netlogon sudo touch srv samba netlogon logon cmd E possibile inserire qualsiasi comando di logon Windows in logon cma per personalizzare l ambiente del client 7 Riavviare Samba per abilitare il nuovo controller di dominio sudo restart smbd sudo restart nmbd 8 Infine sono richiesti alcuni comandi addizionali per impostare correttamente i permessi 20 http www pathname com fhs pub fhs 2 3 html SRVDATAFORSERVICESPROVIDEDBYSYSTEM 290 Reti Windows Con l utente root disabilitato in modo predefinito per poter inserire una workstation nel dominio un gruppo di sistema deve essere mappato al gruppo Windows Domain Admins Usando l utilit net da un terminale digitare sudo net groupmap add ntgroup Domain Admins unixgroup sysadmin rid 512 type d Modificare sysadmin con un qualsiasi altro gruppo si voglia usare Inoltre l utente usato per unirsi al dominio deve essere membro del gruppo sysadmin oltre al gruppo admin Il gruppo admin consente l utilizzo di sudo Se l utente non dispone ancora di credenziali Samba possibile crearle con l utilit smbpasswd modificando opportunamente il nome utente sysadmin sudo smbpasswd a sysadmin Inoltre necessario fornire i diritti al gruppo Domain Admins per conse
5. Se esiste un altro bridge il virbr0O predefinito di libvirt o un bridge brO della NIC predefinita possibile usarlo al posto di lxcbr0 per i propri contenitori 4 2 3 Usare un file system separato per la memorizzazione dei contenitori LXC stores container information and with the default backing store root filesystems under var lib 1xc Container creation templates also tend to store cached distribution information under var cache lxc 333 Virtualizzazione If you wish to use another filesystem than var you can mount a filesystem which has more space into those locations If you have a disk dedicated for this you can simply mount it at var lib 1xc If you d like to use another location like srv you can bind mount it or use a symbolic link For instance if srv is a large mounted filesystem create and symlink two directories sudo mkdir srv lxclib srv lxccache sudo rm rf var lib lxc var cache lxc sudo ln s srv lxclib or using bind mounts sudo mkdir srv lxclib srv lxccache sudo sed i a srv lxclib var lib lxc none defaults bind 4 2 4 Contenitori integrati con lym It is possible to use LVM partitions as the backing stores for containers Advantages of this include flexibility in storage management and fast container cloning The tools default to using a VG volume group named xc but another VG can be used through command line options When a LV is used as a container backing stor
6. fa Per maggiori informazioni sugli schemi e la loro installazione consultare Sezione 1 4 Modificare il database di configurazione di slapd 98 1 Lo schema si trova nel pacchetto appena installato samba doc necessario decomprimerlo e copiarlo nella directory etc 1dap schema sudo cp usr share doc samba doc examples LDAP samba schema gz etc ldap schema 119 Autenticazione di rete sudo gzip d etc ldap schema samba schema gz Creare un file di configurazione schema_convert conf contenente quanto segue include etc ldap schema core schema include etc ldap schema collective schema include etc ldap schema corba schema include etc ldap schema cosine schema include etc ldap schema duaconf schema include etc ldap schema dyngroup schema include etc ldap schema inetorgperson schema includ p schema misc schema include etc ldap schema nis schema includ p schema openldap schema includ includ p schema ldapns schema includ p schema pmi schema e e e e e e e include etc ldap schema java schema e e e e e e e a a a etc ldap schema ppolicy schema a a a includ p schema samba schema Creare una directory 1dif_output in cui salvare l output Determinare l indice dello schema slapcat f schema convert conf F ldif_ output n 0 grep samba cn schema dn cn 14 samba cn schema cn config Convertire lo schema nel formato LDIF slapcat f schema convert conf F ldif_o
7. lxc execute Run a command in a not running application container lxc freeze Freeze a running container lxc info Print information on the state of a container Ixc kill Send a signal to a container s init Ixc list List all containers Ixc ls List all containers with shorter output than Ixc list lxc monitor Monitor state changes of one or more containers lxc netstat Execute netstat in a running container lxc ps View process info in a running container lxc restart NOT SUPPORTED Restart a checkpointed container lxc restore Restore containers from backups made by Ixc backup lxc setcap NOT RECOMMENDED Set file capabilities on LXC tools lxc setuid NOT RECOMMENDED Set or remove setuid bits on LXC tools lxc shutdown Safely shut down a container lxc start Start a stopped container lxc start ephemeral Start an ephemeral one time container 345 Virtualizzazione Command Synopsis lxc stop Immediately stop a running container lxc unfreeze Unfreeze a frozen container lxc unshare Testing tool to manually unshare namespaces lxc version Print the version of the LXC tools lxc wait Wait for a container to reach a particular state 4 4 Configuration File LXC containers are very flexible The Ubuntu lxc package sets defaults to make creation of Ubuntu system containers as simple as possible If you need more
8. un estensione di IP Internet Protocol come definito nell RFC Request For Comments numero 792 ICPM supporta pacchetti di rete contenenti messaggi di controllo di errore e di informazione ICMP usato da applicazioni di rete come l utilit ping che consente di determinare la disponibilit di un host o un interfaccia di rete Esempi di alcuni dei messaggi di errore restituiti da ICMP utili sia agli host e interfacce di rete che ai router sono Destination Unreachable e Time Exceeded 2 6 Demoni I demoni sono speciali applicazioni di sistema che tipicamente sono in continua esecuzione sullo sfondo attendendo dagli altri programmi richieste relative a funzioni da essi fornite Molti demoni hanno a che fare con la rete e molti di questi in esecuzione sullo sfondo nei sistemi Ubuntu forniscono delle funzionalit legate alla rete Alcuni esempi di questi demoni di rete includono httpd Hyper Text Transport Protocol Daemon che fornisce funzionalit di server web sshd Secure SHell Daemon che fornisce funzionalit di login e trasferimento file sicuro da remoto imapd Internet Message Access Protocol Daemon che fornisce servizi di email 2 7 Risorse There are man pages for TCP and IP that contain more useful information Inoltre consultare il RedBook di IBM TCP IP Tutorial and Technical Overview e Un altra utile risorsa il libro TCP IP Network Administration 9 http manpages ubuntu com manpages quantal e
9. Virtualizzazione Questo consente l esecuzione senza restrizioni di Ixc start ma continua a regolare il contenitore stesso se necessario eliminare anche le restrizioni del contenitore oltre a disabilitare il profilo usr bin lxc start occorre aggiungere lxc aa_profile unconfined to the container s configuration file If you wish to run a container in a custom profile you can create a new profile under etc apparmor d 1xc Its name must start with 1xc in order for Ixc start to be allowed to transition to that profile The 1xc default profile includes the re usable abstractions file etc apparmor d abstractions lxc container base An easy way to start a new profile therefore is to do the same then add extra permissions at the bottom of your policy After creating the policy load it using sudo apparmor_parser r etc apparmor d lxc containers Il profilo verr automaticamente caricato dopo un riavvio perch collegato al file etc apparmor d lxc containers Infine per far usare al contenitore cn questo nuovo 1xc CN profile aggiungere la seguente riga al suo file di configurazione lxc aa_profile lxc CN profile Ixc execute non immette un profilo Apparmor ma il contenitore che viene generato sar limitato 4 2 7 Control Groups Control groups cgroups are a kernel feature providing hierarchical task grouping and per cgroup resource accounting and limits They are used in containers to limit block and char
10. atiia nia aiar 73 5 5 Opzioni utili del comando multipath 79 17 1 Metodidiaccesso sicitariola deal ie iaia 269 20 1Gontalner command s cp EL lay TELAI RE Savteaedearet ea cae 345 vi Capitolo 1 Introduzione Benvenuti alla guida a Ubuntu server In questa guida possibile trovare informazioni su come installare e configurare diversi applicativi server una guida passo passo orientata ai processi per configurare e personalizzare il proprio sistema This guide assumes you have a basic understanding of your Ubuntu system Some installation details are covered in Capitolo 2 Installazione 3 but if you need detailed instructions installing Ubuntu please refer to the Ubuntu Installation Guide Una versione HTML di questa guida disponibile in rete presso il sito web di Ubuntu I https help ubuntu com 12 10 installation guide 2 https help ubuntu com Introduzione 1 Supporto Esistono diverse forme di supporto per la Ubuntu Server Edition supporto commerciale e dalla comunit Il supporto commerciale disponibile attraverso Canonical Ltd fornisce contratti di supporto a prezzi ragionevoli per postazione desktop o server Per maggiori informazioni consultare il sito web di Canonical Il supporto della comunit fornito grazie all impegno di singole persone o di aziende che desiderano rendere Ubuntu il migliore sistema operativo possibile Il supporto viene erogato a
11. e Pre start hooks are run in the host s namespace before the container ttys consoles or mounts are up If any mounts are done in this hook they should be cleaned up in the post stop hook e Pre mount hooks are run in the container s namespaces but before the root filesystem has been mounted Mounts done in this hook will be automatically cleaned up when the container shuts down e Mount hooks are run after the container filesystems have been mounted but before the container has called pivot_root to change its root filesystem 341 Virtualizzazione e Start hooks are run immediately before executing the container s init Since these are executed after pivoting into the container s filesystem the command to be executed must be copied into the container s filesystem e Post stop hooks are executed after the container has been shut down If any hook returns an error the container s run will be aborted Any post stop hook will still be executed Any output generated by the script will be logged at the debug priority See Sezione 4 4 5 Other configuration options 348 for the configuration file format with which to specify hooks Some sample hooks are shipped with the lxc package to serve as an example of how to write and use such hooks 4 3 5 Monitoring container status Two commands are available to monitor container state changes lxc monitor monitors one or more containers for any state changes It takes a
12. sudo ufw app list e Usare un profilo di un applicazione simile al consentire il traffico attraverso una porta sudo ufw allow Samba e E disponibile anche una sintassi pi estesa ufw allow from 192 168 0 0 24 to any app Samba Sostituire Samba e 192 168 0 0 24 con il profilo dell applicazione da usare e l intervallo di indirizzi della propria rete Non necessario specificare il protocollo per l applicazione dato che queste informazioni sono contenute nel profilo Notare che il nome dell applicazione sostituisce il numero della porta e Per visualizzare i dettagli riguardo quali porte protocolli ecc sono definiti per un applicazione digitare sudo ufw app info Samba Non tutte le applicazioni che richiedono l apertura di una porta hanno un profilo ufw ma se stato creato un profilo per un applicazione e lo si vuole includere nel pacchetto segnalare un bug su Launchpad ubuntu bug NOME DEL PACCHETTO 163 Sicurezza 3 3 IP masquerading Il compito dell IP masquerading di consentire a quei computer della rete forniti di indirizzi IP privati e non instradabili di accedere a Internet tramite il computer che opera il masquerading Il traffico che va dalla rete privata verso Internet deve essere manipolato per ottenere risposte che siano re instradabili al computer che ne ha fatto richiesta Per ottenere questo risultato il kernel deve modificare l indirizzo IP sorgente di ciascun pacchetto affin
13. 192 168 0 1 bJ Se si imposta l UID di ognuno degli utenti autenticati dalla rete a 5000 come suggerito in Sezione 3 2 1 Installazione 126 possibile validare solo quelli che cercano di autenticarsi usando utenti Kerberos con UID gt 5000 Kerberos dovrebbe essere applicato solo agli utenti ldap kerberos non a quelli locali Questo eviter che vengano richieste inesistenti password Kerberos di utenti autenticati localmente quando si modifica la password con passwd Per avviare la configurazione richiedere un ticket usando l utilit kinit Per esempio kinit steve EXAMPLE COM Password for steve EXAMPLE COM Una volta ottenuto un ticket i dettagli possono essere visualizzati usando klist klist Ticket cache FILE tmp krb5cc_1000 Default principal steve EXAMPLE COM Valid starting Expires Service principal 131 Autenticazione di rete 07 24 08 05 18 56 07 24 08 15 18 56 krbtgt EXAMPLE COM EXAMPLE COM renew until 07 25 08 05 18 57 Kerberos 4 ticket cache tmp tkt1000 klist You have no tickets cached Usare auth client config per configurare il modulo libpam krb5 affinch richieda un ticket durante la fase di accesso sudo auth client config a p kerberos_example Una volta autenticati con successo si dovrebbe ricevere un ticket 3 5 Risorse e Per ulteriori informazioni sulle versioni Kerberos del MIT consultare il sito web MIT Kerberos La pagina della documentazione d
14. 21 Gestione dei pacchetti 1 Introduzione Il sistema di gestione dei pacchetti di Ubuntu derivato dallo stesso sistema usato dalla distribuzione Debian GNU Linux I file di pacchetto contengono tutti i file i meta dati e le istruzioni necessari per implementare sui sistemi Ubuntu una particolare funzionalit o un applicazione software Di solito i file dei pacchetti Debian presentano l estensione deb e risiedono nei repository che sono delle collezioni di pacchetti memorizzate su diversi supporti come un disco CD ROM o in rete I pacchetti sono normalmente in formato binario precompilato per questo l installazione veloce e non richiede la compilazione del software Molti pacchetti sfruttano il concetto delle dipendenze dei pacchetti aggiuntivi richiesti dal pacchetto principale che si sta installando per poter funzionare correttamente Per esempio il pacchetto di sintesi vocale Festival dipende dal pacchetto libasound2 che fornisce la libreria audio ALSA necessaria per la riproduzione audio Affinch festival possa funzionare necessario installare sia il programma che tutte le sue dipendenze Gli strumenti di gestione del software in Ubuntu svolgono questa operazione automaticamente 22 Gestione dei pacchetti 2 dpkg dpkg un gestore di pacchetti per i sistemi basati su Debian in grado di installare rimuovere e generare i pacchetti ma diversamente da altri sistemi di gestione dei pacchet
15. Guida a Ubuntu Server 4 Referimenth sonigi eR aak iii averi doen Avignon alga 152 Os SICULEZ ZA ilaele LL aa e a EEE NESER 153 1 Gestione utent Monteren tli a i Aa ele ih aa We Ae ee tlie eee 154 2 SicurezZar della console ila 160 3 Birewall inarnaaabloalieiihiQialiani bali Ea EE EAEE S ESS 161 4 AppAIrmMor in LI cate uel deeds a veeede why eeu eete ba 168 5 Ceruncatl itn ili elenina 172 G C Crypts sissies uke dei Yee eA Bl i ee la lia 177 105 Monitora dTio Mn ite II Erin ione Ditelo eil ite 179 Ve Panoramicaz cinica enel oe 180 2 NAQlOS nia enna aLaaa lei 181 3 MUD iaia aan 185 LL Server WED is carne siemens Ave eal tee eg ek awa tava 187 1 HE TPD Server web Apach e2 iuunicare nane GA anale nana 188 2 PHP5 Linguaggio di scripting ia ea 196 3 Squid Server Proxy To 198 4 Ruby on Rails i e iaia 200 53 Apache Tomcat ini abbaia aaiibl ela seiate 202 12 Databas scale dici Wan lieu ancelotti 206 1 MYySOLsrieteo ioni lille er ia ei ale 207 2 Postare SQL nre ira n e e ene e 212 13 Applicazioni LAMP pica iaia aan aaa 214 l Panorami caeno r r EEEE dei iaia elia meds 215 2 Mom Moin sr LA aiar t 216 3 MediaWiki nilo E E aaa 218 4 phpMyAdmit errata liana Li Ra Rael ep aena a tai ietie aati 220 l4 Server di files lalalionl ans allontana EOE e EAEri 222 li Server FLP oil ih 223 2 INES Network File System s pala ei 227 3 Iniziatore 1S CSL iii ia 229 4 CUPS Servet di StAMPa spsti
16. Ora dovrebbe essere possibile visualizzare alcune informazioni utili e delle informazioni riguardo le condizioni meteo locali non del tutto utili In ogni caso l esempio local weather utile per dimostrare la flessibilit di pam_motd 374 Altre utili applicazioni 2 etckeeper etckeeper consente di archiviare il contenuto della directory etc in un sistema di controllo della versione e si integra con apt per inviare le modifiche apportate a etc quando vengono installati o aggiornati pacchetti Utilizzare un sistema di controllo della versione per gestire la directory etc considerata una best practice e l obiettivo di etckeeper quello di rendere questo processo il pi facile possibile Installare etckeeper digitando quanto segue in un terminale sudo apt get install etckeeper Il file di configurazione principale etc etckeeper etckeeper conf molto semplice L opzione principale quale VCS usare Come impostazione predefinita etckeeper utilizza bzr per il controllo della versione Il repository viene automaticamente inizializzato e viene eseguito il primo commit durante l installazione del pacchetto possibile annullare questo inserendo il seguente comando sudo etckeeper uninit Il programma etckeeper esegue i commint delle modifiche a etc giornalmente Questo comportamento pu essere disabilitato usando l opzione di configurazione AVOID_DAILY_AUTOCOMMITS Inoltre esegue i commit delle modi
17. The keepalive directive causes ping like messages to be sent back and forth over the link so that each side knows when the other side has gone down Ping every 1 second assume that remote peer is down if no ping received during a 3 second time period keepalive 1 3 It s a good idea to reduce the OpenVPN daemon s privileges after initialization 365 VPN user nessuno group nessungruppo OpenVPN 2 0 includes a feature that allows the OpenVPN server to securely obtain a username and password from a connecting client and to use that information as a basis for authenticating the client To use this authentication method first add the auth user pass directive to the client configuration It will direct the OpenVPN client to query the user for a username password passing it on to the server over the secure TLS channel client config auth user pass This will tell the OpenVPN server to validate the username password entered by clients using the login PAM module Useful if you have centralized authentication with e g Kerberos plugin usr lib openvpn openvpn auth pam so login fe Please read the OpenVPN hardening security guide for further security advice 1 6 2 Configurazione avanzata della rete privata virtuale bridged VPN sul server OpenVPN can be setup for either a routed or a bridged VPN mode Sometimes this is also referred to as OSI layer 2 versus layer 3 VPN In a bridged VPN all layer 2 frames e g al
18. operativa Il file di scaricamento del kernel crash nella directory var crash ls var crash linux image 3 0 0 12 server 0 crash 5 7 Risorse Kernel Crash Dump un argomento molto vasto che richiede una buona conoscenza del kernel di Linux per maggiori informazioni consultare Documentazione di Kdump kernel The crash tool e Analyzing Linux Kernel Crash Basato su Fedora fornisce comunque una buona spiegazione dello scaricamento del kernel 13 http www kernel org doc Documentation kdump kdump txt http people redhat com anderson 14 http people redhat com anderson 16 http www dedoimedo com computers crash analyze html 20 Capitolo 3 Gestione dei pacchetti Ubuntu dispone di un completo servizio di gestione dei pacchetti per l installazione l aggiornamento la configurazione e la rimozione del software Oltre a fornire accesso a pi di 35000 pacchetti software per il proprio computer Ubuntu il sistema di gestione dei pacchetti in grado di gestire le risorse per la risoluzione delle dipendenze e di verificare l esistenza di aggiornamenti Per l interazione con il sistema di gestione dei pacchetti di Ubuntu sono disponibili diversi strumenti a partire da semplici utilit a riga di comando che possono essere usate con facilit da amministratori di sistema per attivit automatizzate fino a interfacce grafiche semplici da usare per chi si avvicinato da poco a Ubuntu
19. possibile usare anche caratteri speciali con la direttiva ServerAlias Per esempio la seguente configurazione far in modo che il proprio sito risponda a qualsiasi richiesta il cui dominio termina con ubunturocks com 190 Server web ServerAlias ubunturocks com e La direttiva DocumentRoot specifica dove Apache2 trover i file che compongono il sito Il valore predefinito var www come specificato in etc apache2 sites available default possibile modificare questo valore nel file di configurazione ricordando di creare la directory se necessario Abilitare il nuovo VirtualHost utilizzando l utilit a2ensite e riavviare Apache2 sudo a2ensite mionuovosito sudo service apache2 restart fy Assicurarsi di sostituire mionuovosito con una nome pi descrittivo per il VirtualHost Un metodo molto utilizzato consiste nel definire il nome del file secondo la direttiva ServerName dell host virtuale Allo stesso modo usare l utilit a2dissite per disabilitare i siti Questo pu rivelarsi utile per diagnosticare problemi di configurazione con molteplici host virtuali sudo a2dissite mionuovosito sudo service apache2 restart 1 2 2 Impostazioni predefinite Questa sezione si occupa delle impostazioni predefinite del server Apache2 Per esempio se viene aggiunto un host virtuale le impostazioni modificate dell host virtuale hanno precedenza rispetto quelle dell host Per una direttiva non definita viene utili
20. riferimento alla sezione successiva 2 3 3 Accesso con protocollo WebDAV protetto da cifratura SSL https Accedere a un repository Subversion attraverso il protocollo WebDAV con cifratura SSL https simile a http l unica differenza sta nel dover installare e configurare il certificato digitale nel server web Apache Per usare SSL con Subversion aggiungere la precedente configurazione di Apache2 al file etc apache2 sites available default ssl Per maggiori informazioni su come configurare Apache2 con SSL consultare Sezione 1 3 Configurazione HTTPS 194 possibile installare un certificato digitale emesso da un autorit certificante o in alternativa possibile usare un certificato auto firmato 271 Sistemi per il controllo della versione I passi seguenti hanno come presupposto l installazione di un certificato digitale all interno del server web Apache2 Per accedere a un repository Subversion fare riferimento alla sezione precedente I metodi di accesso sono esattamente gli stessi tranne per il protocollo in quanto necessario utilizzare https 2 3 4 Accesso con il protocollo personalizzato svn Una volta creato il repository possibile configurare il controllo degli accessi modificando il file path to repos project conf svnserve conf Per esempio per impostare l autenticazione togliere i commenti alle seguenti righe presenti nel file di configurazione general password
21. visualizzato un cruscotto con una panoramica del server per configurare le caratteristiche dei moduli installati aprire le diverse sezioni del men sulla sinistra Quando vengono effettuate modifiche nell angolo superiore destro appare il pulsante rosso Save changes su cui fare clic per salvare tutte le modifiche alla configurazione Per applicare queste modifiche nel server necessario abilitare il modulo mediante la voce Module Status nel men sulla sinistra Ogni volta che si abilita un modulo appare una finestra di popup di conferma prima che vengano eseguite le necessarie operazioni e i cambiamenti sul server e sui file di configurazione bJ Per personalizzare il file di configurazione o eseguire determinate azioni script o comandi per configurare caratteristiche non disponibili su Zentyal collocare i modelli dei file di configurazione personalizzata in etc zentyal stubs lt module gt e i puntatori in etc zentyal hooks lt module gt lt action gt 3 3 Riferimenti Pagina della documentazione ufficiale di Zentyal Consultare anche la pagina della documentazione della comunit di Zentyal Non dimenticare di visitare il forum per il supporto della comunit commenti richieste di caratteristiche ecc 19 http doc zentyal org II http trac zentyal org wiki Documentation 12 http forum zentyal org 91 Capitolo 7 Autenticazione di rete Questa sezione applica LDAP all autenticazione e autori
22. 3 0 0 1 sdg 8 96 undef ready running create 3600a0b80001327d800000070436216b3 undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 2 sdd 8 48 undef ready running 3 0 0 2 sdg 8 112 undef ready running create 3600a0b80001327510000009b4362163e undef WINSYS SF2372 61 DM Multipath size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 3 sdd 8 64 undef ready running 3 0 0 3 sdg 8 128 undef ready running 3 4 Configurare i dispositivi di archiviazione Per impostazione predefinita DM Multipath include il supporto per i pi comuni array di archiviazione che supportano DM Multipath I valori di configurazione predefiniti inclusi i dispositivi supportati possono essere trovati nel file multipath conf defaults Se necessario aggiungere un dispositivo di archiviazione non supportato per impostazione predefinita come dispositivo multipath conosciuto modificare il file etc multipath conf e inserire le appropriate informazioni del dispositivo Per esempio per aggiungere informazioni sulle serie HP Open V la voce simile alla seguente in cui n il nome del dispositivo devices device vendor HP product OPEN V getuid_callout lib udev scsi_id whitelisted device dev n Per ulteriori informazioni sulla sezione del file di configurazione sui dispositivi c
23. Aggiungere quindi quanto segue al comando addpkg acpid 2 6 Il comando finale Ecco il comando con tutte le opzioni presentate poco sopra 19 https wiki ubuntu com PackagingGuide si http www debian administration org articles 286 12 http www pathname com fhs 323 Virtualizzazione sudo vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system ip 192 168 0 100 hostname myvm part vmbuilder partition user user name user pass default addpkg apache2 addpkg apache2 mpm prefork addpkg apache2 utils addpkg apache2 2 common addpkg dbconfig common addpkg libapache2 mod php5 addpkg mysql client addpkg php5 cli addpkg php5 gd addpkg php5 ldap addpkg php5 mysql addpkg wwwconfig common addpkg mysql server addpkg unattended upgrades addpkg acpid ppa nijaba mirror http mirroraddress 9999 ubuntu 2 7 Risorse Per avere maggiori informazioni per porre qualche domanda o per lasciare dei suggerimenti contattare l Ubuntu Server Team presso e IRC ubuntu server on freenode e Mailing list ubuntu server at lists ubuntu com e Consultare anche la pagina della documentazione della comunit su JeOSVMBuilder 13 https lists ubuntu com mailman listinfo ubuntu server La https help ubuntu com community JeOS VMBuilder 324 Virtualizzazione 3 Ubuntu Cloud Cloud computing is a computing model that allows vas
24. Certificati 172 Ottenuto un certificato personalizzato e una chiave per l host modificare le seguenti opzioni nel file etc postfix main cf 239 Servizi email smtpd_tls_cert_file etc ssl certs ssl mail pem smtpd_tls_key_file etc ssl private ssl mail key Riavviare Postfix sudo service postfix restart 1 6 Test La configurazione di SMTP AUTH completa ed ora necessario provarla Per verificare se SMTP AUTH e TLS funzionano correttamente eseguire il seguente comando telnet mail example com 25 Una volta stabilita la connessione al server mail Postfix digitare ehlo mail example com Se tra tutte le righe viene visualizzato anche questo allora funziona correttamente Digitare quit per uscire 250 STARTTLS 250 AUTH LOGIN PLAIN 250 AUTH LOGIN PLAIN 250 8BITMIME 1 7 Risoluzione problemi Questa sezione descrive alcuni metodi comuni per determinare la cause dei problemi che potrebbero verificarsi 1 7 1 Evitare l uso di chroot Il pacchetto postfix di Ubuntu viene installato in modo predefinito e per ragioni di sicurezza all interno di un ambiente chroot Per terminate l operazione chroot localizzare la seguente riga nel file etc post fix master cf smtp inet n smtpd e modicarlo come segue smtp inet n oe n oe smtpd E necessario riavviare Postfix affinch utilizzi la nuova configurazione In un terminale digitare 240 Servizi email sudo
25. Domain Name Service sudo service bind9 restart Per maggiori informazioni su come eseguire test su un server cache DNS consultare Sezione 3 1 2 dig 148 2 3 Server primario In questa sezione BIND9 viene configurato come server primario per il dominio example com Basta sostituire example com con il proprio FQDN Fully Qualified Domain Name 2 3 1 File zona forward Per aggiungere una zona DNS a BINDI trasformando BINDI in un server primario la prima cosa da fare modificare il file etc bind named conf local zone example com type master file etc bind db example com Note if bind will be receiving automatic updates to the file as with DDNS then use var lib bina db example com rather than etc bind db example com both here and in the copy command below Prendere un file zona esistente come modello per creare il file etc bind db example com sudo cp etc bind db local etc bind db example com Modificare il nuovo file zona etc bind db example com cambiando localhost nel FQDN del proprio server lasciando il alla fine Modificare 27 0 0 1 con l indirizzo IP del server di nomi e root localhost con un indirizzo email valido ma con un al posto del solito simbolo anche in questo caso lasciando il alla fine Modificare il commento per indicare il dominio per il quale predisposto questo file Creare una voce A per il dominio di base example com Creare in
26. Install Glance sudo apt get install glance Create a database and user for glance sudo mysql uroot ppassword e CREATE DATABASE glance sudo mysql uroot ppassword e GRANT ALL ON glance TO glanceuser localhost IDENTIFIED BY glancepassword Edit the file etc glance glance registry conf and edit the line which contains the option sql_connection to this sql_connection mysql glanceuser glancepassword localhost glance Remove the sqlite database rm rf var lib glance glance sqlite Restart glance registry after making changes to etc glance glance registry conf The MySQL database will be automatically populated sudo restart glance registry If you find issues take a look at the log file in var log glance api log and var log glance registry log 3 6 Running Instances Before you can instantiate images you first need to setup user credentials Once this first step is achieved you also need to upload images that you want to run in the cloud Once you have these images uploaded to the cloud you will be able to run and connect to them Here are the steps you should follow to get OpenStack Nova running instances 328 Virtualizzazione Download register and publish an Ubuntu cloud image distro lucid wget http cloud images ubuntu com distro current distro server cloudimg amd64 tar gz cloud publish tarball distro server cloudimg amd64 tar gz distro _amd64 Create a key pair and start
27. Modificare quindi il file etc openvpn easy rsa vars adattando al proprio ambiente quanto segue export KEY_COUNTRY IT export KEY_PROVINCE Roma export KEY_CITY Roma export KEY_ORG Societa di esempio export KEY_EMATL mario example com Digitare il seguente comando per generare il certificato master dell Autorit di Certificazione CA e la chiave cd etc openvpn easy rsa source vars clean all build ca 1 2 2 Certificati server Successivamente verr generato un certificato e una chiave privata per il server build key server myservername Come nel passo precedente molti parametri possono essere lasciati come predefiniti Due altre domande richiedono risposte positive Sign the certificate y n e 1 out of 1 certificate requests certified commit y n necessario generare i parametri Diffie Hellman per il server OpenVPN build dh Tutti i certificati e le chiavi sono stati generati nella sotto directory keys la comune procedura prevede che siano copiati in etc openvpn cd keys cp myservername crt myservername key ca crt dh1024 pem etc openvpn 1 2 3 Certificati client Il client VPN necessita anche di un certificato per autenticarsi sul server di solito viene creato un diverso certificato per ogni client Per creare il certificato come utente root digitare quanto segue in un terminale cd etc openvpn easy rsa source vars build key clientl 361 VPN
28. Per installare il pacchetto samba da un terminale digitare sudo apt get install samba 3 2 Configurazione Dopo l installazione di Samba modificare etc samba smb conf cambiare l attributo workgroup con quello adatto alla propria rete e security con user workgroup ESEMPIO security user Nella sezione printers modificare l opzione guest ok a yes browsable yes guest ok yes Una volta modificato il file smb conf riavviare Samba sudo restart smbd sudo restart nmbd La configurazione predefinita di Samba condivider automaticamente qualsiasi stampante installata Basta installare la stampante localmente sui client Windows 3 3 Risorse e Per delle configurazioni pi dettagliate riguardo Samba consultare Samba HOWTO Collection 8 http samba org samba docs man Samba HOWTO Collection 282 Reti Windows e La guida disponibile anche in formato cartaceo Il libro Using Samba di O Reilly un altra buona lettura Per maggiori informazioni sulla configurazione di CUPS consultare il sito web di CUPS e La pagina su Samba della documentazione 9 http www amazon com exec obidos tg detail 013 1882228 10 http www oreilly com catalog 9780596007690 II http www cups org 12 https help ubuntu com community Samba 283 Reti Windows 4 Sicurezza di un server di file e di stampa Samba 4 1 Modalita di sicurezza di Samba Esistono due livelli di sicurezza dispon
29. Q Y EXTERNAL H ldapi f provider_sync ldif sudo service slapd restart Il fornitore ora configurato 1 6 2 Configurazione del consumatore Configurare ora il consumatore 1 Installare il software tramite Sezione 1 1 Installazione 94 assicurarsi che il database slapd config sia identico a quello del fornitore in particolare assicurarsi che gli schemi e il suffisso del database siano gli stessi 2 Creare un file LDIF chiamato consumer_sync ldif con i seguenti contenuti dn cn module 0 cn config 103 Autenticazione di rete changetype modify add olcModuleLoad olcModuleLoad syncprov dn olcDatabase 1 hdb cn config changetype modify add olcDbIndex olcDbIndex entryUUID eq add olcSyncRepl olcSyncRepl rid 0 provider ldap ldap0l example com bindmethod simple binddn cn admin dc exa credentials secret searchbase dc example dc com logbase cn accesslog logfilter amp objectClass auditWrite0bject reqResult 0 schemachecking on type refreshAndPersist retry 60 syncdata accesslog add olcUpdateRef olcUpdateRef ldap ldap01 example com Assicurarsi che i seguenti attributi abbiano i valori corretti e provider nome host del server del fornitore ldap01 example com in questo esempio o indirizzo IP e binddn il DN dell amministratore in uso e credentials la password del DN dell amministratore in uso e searchbase il suffisso del databa
30. Sistemi per il controllo della versione 3 Server CVS CVS un sistema di controllo della versione che possibile utilizzare per registrare i cambiamenti al codice sorgente di un programma 3 1 Installazione Per installare CVS eseguire il seguente comando in un terminale sudo apt get install cvs Una volta installato cvs installare xinetd per avviare fermare il server CVS In un terminale digitare quando segue per installare xinetd sudo apt get install xinetd 3 2 Configurazione Once you install cvs the repository will be automatically initialized By default the repository resides under the srv cvs directory You can change this path by running following command cvs d your new cvs repo init Once the initial repository is set up you can configure xinetd to start the CVS server You can copy the following lines to the etc xinetd d cvspserver file service cvspserver port 2401 socket_type stream protocol tcp user root wait no type UNLISTED server usr bin cvs server_args f allow root srv cvs pserver disable no fe Assicurarsi di modificare il repository nel caso in cui sia stata modificata la directory predefinita del repository srv cvs Once you have configured xinetd you can start the cvs server by running following command sudo service xinetd restart Per avere la conferma che il server CVS in esecuzione digitare il seguente co
31. d option you will not see that console and lxc start will immediately exit success even if a later part of container startup has failed You can use lxc wait or lxc monitor see Sezione 4 3 5 Monitoring container status 342 to check on the success or failure of the container startup To obtain LXC debugging information use o filename l debuglevel for instance sudo lxc start o lxc debug l DEBUG n container Finally you can specify configuration parameters inline using s However it is generally recommended to place them in the container s configuration file instead Likewise an entirely alternate config file can be specified with the foption but this is not generally recommended While Ixc start runs the container s sbin init Ixc execute uses a minimal init program called Ixc init which attempts to mount proc dev mqueue and dev shm executes the programs specified on the command line and waits for those to finish executing Ixc start is intended to be used for system containers while Ixc execute is intended for application containers see this article for more You can stop a container several ways You can use shutdown poweroff and reboot while logged into the container To cleanly shut down a container externally i e from the host you can issue 23 https www ibm com developerworks linux library 1 lxc containers 340 Virtualizzazione the sudo Ixc shutdown n CN command This takes a
32. delle registrazioni del server CUPS modificando la direttiva LogLevel nel file di configurazione dal valore predefinito info a debug oppure debug2 che registra tutto Se vengono apportate ulteriori modifiche ricordarsi di ripristinare i valori iniziali una volta risolto il problema per evitare di ritrovarsi file di registrazione di notevoli dimensioni 4 2 Configurazione Il comportamento del server CUPS viene configurato attraverso le direttive contenute nel file etc cups cupsd conf Il file di configurazione di CUPS segue la stessa sintassi del file di configurazione primario del server HTTP Apache In questo modo l utente che ha familiarit con la modifica del file di configurazione di Apache si sentir a suo agio nella modifica del file di configurazione di CUPS Di seguito vengono presentati alcuni esempi di impostazioni che potrebbe essere opportuno cambiare fin da subito Prima di modificare il file di configurazione opportuno creare un copia del file originale e proteggerla da scrittura in modo da avere le impostazioni originali come riferimento e per riusarle in caso di necessit 232 Server di file Copiare il file etc cups cupsd conf e proteggerlo dalla scrittura con i seguenti comandi inseriti a un prompt di terminale sudo cp etc cups cupsd conf etc cups cupsd conf original sudo chmod a w etc cups cupsd conf original e ServerAdmin per configurare l indirizzo email dell amministr
33. digitare sudo cp usr share doc openvpn examples sample config files client conf etc openvpn Ora modificare etc openvpn client conf sistemando le seguenti opzioni dev tap dev tun Infine riavviare openvpn sudo service openvpn restart Ora dovrebbe essere possibile connettersi alla rete LAN remota attraverso VPN 1 7 Implementazioni software per client 1 7 1 Linux Network Manager GUI per OpenVPN Many Linux distributions including Ubuntu desktop variants come with Network Manager a nice GUI to configure your network settings It also can manage your VPN connections Make sure you have package network manager openvpn installed Here you see that the installation installs all other required packages as well root client apt get install network manager openvpn 368 VPN Reading package lists Done Building dependency tr Reading state information Done The following extra packages will be installed liblzo2 2 libpkcsll helperl network manager openvpn gnome openvpn Suggested packages resolvconf The following NEW packages will be installed liblzo2 2 libpkcsll helperl network manager openvpn network manager openvpn gnome openvpn 0 upgraded 5 newly installed 0 to remove and 631 not upgraded Need to get 700 kB of archives After this operation 3 031 kB of additional disk space will be used Do you want to continue Y n To inform network manager about the new installed packages y
34. entering passwords or other private information you can help to improve the application by reporting the problem What would you like to do Your options are R Report Problem I Cancel and ignore future crashes of this program version C Cancel Please choose R I C Selezionando Report Problem verra seguito un procedimento simile a quello usato in ubuntu bug una importante differenza risiede nel fatto che il rapporto sul crash quando viene inviato a Launchpad viene contrassegnato come privato sara cio visibile solo a un determinato gruppo di persone che revisionano i dati cosi raccolti prima di estendere la visibilita della segnalazione a tutti 1 3 Risorse e Consultare la pagina della documentazione della comunit Reporting Bugs e Anche la pagina di Apport contiene alcune utili informazioni sebbene alcune di queste riguardino l impiego di un interfaccia grafica 3 https help ubuntu com community ReportingBugs di https wiki ubuntu com Apport 384
35. etc bina il file di configurazione principale etc bind named conf La riga include specifica il nome del file contenente le opzioni DNS la riga directory nel file etc bind named conf options Indica a DNS dove cercare 1 file Tutti i file usati da BIND sono presenti in questa directory Il file etc bind db root descrive i server dei nomi radice nel mondo Questi server cambiano col tempo quindi il file etc bind db root deve essere aggiornato ogni tanto procedura che viene svolta solitamente con gli aggiornamenti al pacchetto bind9 La sezione zone definisce un server principale ed archiviata in un file indicato dall opzione file E possibile configurare lo stesso server sia come server dei nomi cache master primario e secondario Un server pu ricoprire il ruolo di Start of Authority SOA per una zona fornendo allo stesso tempo servizi di server secondario per un altra zona e di cache per gli host della LAN 2 2 Server dei nomi cache La configurazione predefinita comporta l utilizzo come server di cache necessario solamente aggiungere gli indirizzi IP dei server DNS del proprio ISP De commentare e modificare quanto segue nel file etc bind named conf options forwarders 1 2adelj 5 Ga Ta BF Sostituire 7 2 3 4 e 5 6 7 8 con gli indirizzi IP del server di nomi attuale Per abilitare la nuova configurazione necessario riavviare il server DNS Da un terminale digitare 142 DNS
36. manpages ubuntu com manpages en man1 Isldap 1 html 14 http manpages ubuntu com manpages en man 1 ldapaddusertogroup 1 html 5 http manpages ubuntu com manpages en man ldapsetpasswd 1 html 16 http manpages ubuntu com manpages en man 1 ldapinit 1 htm 17 http manpages ubuntu com manpages en man1 Idapaddgroup 1 html 18 http manpages ubuntu com manpages en man1 Idapdeletegroup 1 html 19 http manpages ubuntu com manpages en man ldapmodify group 1 html 20 http manpages ubuntu com manpages en man1 ldapdeletemachine 1 html a http manpages ubuntu com manpages en man 1 ldaprenamegroup 1 html A http manpages ubuntu com manpages en man1 ldapaddmachine 1 html 23 http manpages ubuntu com manpages en man1 ldapmodifymachine 1 html at http manpages ubuntu com manpages en man ldapsetprimary group html a http manpages ubuntu com manpages en man1 ldapdeleteuser 1 html 116 Autenticazione di rete BACKUP_PATH export backup SLAPCAT usr sbin slapcat nice SLAPCAT n 0 gt BACKUP_PATH config ldif nice SLAPCAT n 1 gt BACKUP_PATH example com ldif nice SLAPCAT n 2 gt BACKUP_PATH access ldif chmod 640 BACKUP_PATH ldif bA Vengono creati dei file di testo non compressi che contengono tutto ci che si trova nei database ldap compreso la disposizione dell albero i nomi utente e tutte le password Occorre pertanto prendere in considerazione l opportunit di rendere export backup
37. ntp org sito web del progetto Network Time Protocol 16 https help ubuntu com community UbuntuTime A http www ntp org 52 Capitolo 5 DM Multipath DM Multipath 1 Device Mapper Multipathing Il Device mapper multipathing DM Multipath permette di configurare percorsi I O multipli tra i nodi del server e gli array di archiviazione in un dispositivo singolo I suddetti percorsi I O sono collegamenti SAN fisici che possono includere cavi interruttori e controller separati Multipathing aggrega i percorsi I O creando un nuovo dispositivo che consister di percorsi aggregati Questo capitolo fornisce un sommario delle nuove caratteristiche di DM Multipath per la release iniziale di Ubuntu Server 12 04 A seguire verr fornita una panoramica dettagliata di DM Multipath e dei suoi componenti insieme ad una panoramica sulla sua impostazione 1 1 Funzioni nuove e modificate per Ubuntu Server 12 04 Magrate da multipath 0 4 8 a multipath 0 4 9 1 1 1 Migrazione da 0 4 8 I controllori di priorit non sono pi eseguiti come codici binari autonomi ma come librerie condivise anche il nome del valore chiave per questa caratteristica stato leggermente modificato Copiare l attributo chiamato prio_callout in prio modificare anche l argomento del nome del controllore di priorit un percorso di sistema non pi necessario Esempio di conversione device vendor NEC product DISK ARRAY prio_callout mpath_p
38. php phpinfo 2 gt E sufficiente copiare il contenuto precedente in un file come phpinfo php e salvarlo nella directory DocumentRoot del server web Apache2 Una volta puntato il browser web all indirizzo http hostname phpinfo php dovrebbero venir visualizzati i valori di molti parametri di configurazione di PHPS 2 4 Riferimenti e Per ulteriori informazioni consultare la documentazione di php net Esistono diversi libri su PHP O Reilly dispone di due ottimi libri Learning PHP 5 e PHP Cook Book F 14 e Consultare anche la documentazione online Ai http www php net docs php 12 http oreilly com catalog 9780596005603 13 http oreilly com catalog 9781565926813 14 https help ubuntu com community ApacheMySQLPHP 197 Server web 3 Squid Server proxy Squid un potente proxy cache server che fornisce servizi proxy e cache per HTTP Hyper Text Transport Protocol FTP File Transfer Protocol e molti altri protocolli di rete Squid pu implementare servizi di caching e proxy anche per richieste SSL Secure Sockets Layer caching per ricerche di DNS Domain Name Server e fornire un caching trasparente Squid supporta molti protocolli per il caching come ICP Internet Cache Protocol HTCP Hyper Text Caching Protocol CARP Cache Array Routing Protocol e WCCP Web Cache Coordination Protocol Il server Squid una valida soluzione per le necessit di caching e proxy scala dall ut
39. product size size features features hwhandler hardware_handler wp write_permission_if_known Per ogni gruppo del percorso policy scheduling_policy prio prio_if_known status path_group_status_if_known Per ogni percorso host channel id lun devnode major minor dm_status_if_known path_status online_status Per esempio l output di un comando multipath potrebbe apparire nel modo seguente 3600d0230000000000e13955cc3757800 dm 1 WINSYS SF2372 size 269G features 0 hwhandler 0 wp rw 77 DM Multipath policy round robin 0 prio 1 status active 6 0 0 0 sdb 8 16 active ready running policy round robin 0 prio 1 status enabled 7 0 0 0 sdf 8 80 active ready running Se il percorso attivo ed pronto per l I O lo stato del percorso ready o ghost Se il percorso non attivo lo stato faulty o shaky Lo stato del percorso viene aggiornato periodicamente dal demone multipathd in base all intervallo di interrogazione definito nel file etc multipath conf Lo stato relativo a dm simile allo stato del percorso ma dal punto di vista del kernel esso presenta due opzioni failed analogo a faulty e active che interessa tutti gli altri stati del percorso Occasionalmente lo stato del percorso e quello dm di un dispositivo possono non corrispondere temporaneamente I valori possibili per online_status sono running e offline Uno stato di offline significa che il disposi
40. pty mount bind mounted over the guest s dev ttyN and dev console Therefore if the guest unmounts those or otherwise tries to access the actual character device 4 N it will not be serving getty to the LXC consoles With the default settings the container will not be able to access that character device and getty will therefore fail This can easily happen when a boot script blindly mounts a new dev 4 3 7 Container Inspection Several commands are available to gather information on existing containers Ixc Is will report all existing containers in its first line of output and all running containers in the second line Ixc list provides the same information in a more verbose format listing running containers first and stopped containers next lxc ps will provide lists of processes in containers To provide ps arguments to Ixc ps prepend them with For instance for listing of all processes in container plain sudo lxc ps n plain ef Ixc info provides the state of a container and the pid of its init process lxc cgroup can be used to query or set the values of a container s control group limits and information This can be more convenient than interacting with the cgroup filesystem For instance to query the list of devices which a running container is allowed to access you could use sudo lxc cgroup n CN devices list or to add mknod read and write access to dev sda sudo lxc cgroup n CN devices allow b 8
41. sudo smbldap groupmod x NOME UTENTE NOME GRUPPO e Per aggiungere un account macchina 123 Autenticazione di rete sudo smbldap useradd t 0 w NOME UTENTE Sostituire NOME_UTENTE con il nome della workstation L opzione t 0 crea un account macchina immediatamente mentre w indica di creare l utente come account macchina Notare che il parametro add machine script in etc samba smb conf stata modificata per usare smbldap useradd Nel pacchetto smbldap tools sono disponibili utilit non trattate in questo documento Ecco un elenco completo smbldap groupa das smbldap gro upde13 smbldap gro upmod smbldap gro upshow smbl dap passwd smbl dap populate smbldap usera ad smbl dap userdel smbl dap userinfo smbl dap userlist smbl dap usermod 8 smbl dap usershow 2 4 Risorse e Per ulteriori informazioni sull installazione e configurazione di Samba consultare Capitolo 18 Reti Windows 277 in questa guida LDAP e SAMBA sono trattati diffusamente nella Samba HOWTO Collection upstream e Inrelazione a quanto sopra riportato consultare in modo particolare la sezione passdb e Sebbene datato 2007 Linux Samba OpenLDAP HOWTO contiene note preziose e La pagina principale della documentazione della comunit su Samba contiene moltissimi link ad articoli che possono risultare utili 38 http manpages ubuntu com manpages en man8 smbldap groupadd 8 html 32 http manpages ubuntu c
42. wp rw policy round robin 0 prio 1l status active 6 0 0 0 sdb 8 16 active ready running policy round robin 0 prio 1 status enabled 7 0 0 0 sdf 8 80 active ready running Il seguente esempio mostra l output di un comando multipath Il 78 DM Multipath multipath 11 3600d0230000000000e13955cc3757801 dm 10 WINSYS SF2372 size 269G features 0 hwhandler 0 wp rw policy round robin 0 prio 1 status enabled SEO 0 0 1 sdc 8 32 active ready running policy round robin 0 prio 1 status enabled EBS 0 0 1 sdh 8 112 active ready running 3600d0230000000000e13955cc3757803 dm 2 WINSYS SF2372 size 125G features 0 hwhandler 0 wp rw policy round robin 0 prio 1l status active 19 0 0 3 sde 8 64 active ready running 18 0 0 3 sdj 8 144 active ready running 5 8 Opzioni del comando Multipath Table Opzioni utili del comando multipath 79 describes some options of the multipath command that you might find useful Tabella 5 5 Opzioni utili del comando multipath Opzione Descrizione l Visualizza la configurazione multipath corrente proveniente da sysfs e il device mapper ll Mostra la configurazione multipath corrente proveniente da sysfs il device mapper e tutti gli altri componenti disponibili sul sistema f device Rimuove il dispositivo multipath indicato F Rimuove tutti i dispositivi multipath inutilizzati
43. www ubuntu com support community webforums 9 http www postfix book com i http www postfix org documentation html 8 https help ubuntu com community Postfix 242 Servizi email 2 Exim4 Exim4 un MTA Message Transfer Agent sviluppato dall Universit di Cambridge per essere usato sui sistemi Unix collegati a Internet Exim pu essere installato al posto di sendmail anche se la configurazione di exim diversa da quella di sendmail 2 1 Installazione Per installare exim4 eseguire il seguente comando sudo apt get install exim4 2 2 Configurazione Per configurare Exim4 eseguire il seguente comando sudo dpkg reconfigure exim4 config Viene visualizzata l interfaccia che consente di configurare molti dei parametri Per esempio in Exim4 i file di configurazione sono divisi in molti piccoli file per averli tutti raggruppati in un unico file possibile farlo attraverso questa interfaccia Tutti i parametri che vengono configurati nell interfaccia utente vengono archiviati nel file etc exim4 update exim4 conf Per riconfigurarla possibile eseguire nuovamente la configurazione guidata o modificare questo file usando l editor di testo preferito Una volta completata la configurazione possibile digitare il seguente comando per generare il file di configurazione principale sudo update exim4 conf Il file di configurazione principale generato e archiviato in var lib exim4 config aut
44. 1 3 redirectPort 8443 gt 5 2 2 Cambiare la JVM usata Tomcat viene eseguito preferibilmente con OpenJDK 6 quindi con la JVM di Sun e infine con altre JVM Se sono installate diverse JVM possibile impostare quale usare modificando la variabile JAVA_HOME nel file etc default tomcat 20 http tomcat apache org tomcat 6 0 doc index html 202 Server web JAVA_HOME usr lib jvm java 6 sun 5 2 3 Dichiarare utenti e ruoli Nomi utente password e ruoli gruppi possono essere definiti in un contenitore Servlet Con Tomcat 6 0 questo fatto nel file etc tomcat 6 tomcat users xml lt role rolename admin gt lt user username tomcat password s3cret roles admin gt 5 3 Usare le applicazioni web standard di Tomcat Tomcat dispone di applicazioni web che possibile installare per documentarsi per l amministrazione o solo per dimostrazione 5 3 1 Documentazione di Tomcat Il pacchetto tomcat6 docs contiene la documentazione di Tomcat 6 0 sotto forma di applicazione web a cui possibile accedere all indirizzo http IL_PROPRIO_SERVER 8080 docs possibile installare il pacchetto attraverso il seguente comando sudo apt get install tomcat 6 docs 5 3 2 Applicazioni web amministrative di Tomcat Il pacchetto tomcat6 admin contiene due applicazioni web che possono essere usate per amministrare il server Tomcat attraverso un interfaccia web E possibile installarle attrave
45. 1lib 1xc CN root fs even if Ixc rootfs points to a block device Finally Ixc mount points to a file in fstab format containing further items to mount Note that all of these entries will be mounted by the host before the container init is started In this way it is possible to bind mount various directories from the host into the container 4 4 5 Other configuration options Ixc cap drop can be used to prevent the container from having or ever obtaining the listed capabilities For instance including lxc cap drop sys_admin will prevent the container from mounting filesystems as well as all other actions which require cap_sys_admin See the capabilities 7 manual page for a list of capabilities and their meanings Ixc aa_profile lxc CN profile specifies a custom Apparmor profile in which to start the container See Sezione 4 2 6 Apparmor 334 for more information Ixc console path to consolefile will cause console messages to be written to the specified file Ixc arch specifies the architecture for the container for instance x86 or x86_64 Ixc tty 5 specifies that 5 consoles in addition to dev console should be created That is consoles will be available on dev tty1 through dev tty5 The ubuntu templates set this value to 4 Ixc pts 1024 specifies that the container should have a private Unix98 devpts filesystem mount If this is not specified then the container will share dev pts with the host which
46. 8888 e Modificare la direttiva visible_hostname per dare a Squid uno specifico hostname Questo nome non deve essere necessariamente il nome del computer Nell esempio seguente impostato a weezie 198 Server web visible_hostname weezie Utilizzando il controllo di accessi Squid possibile configurare l utilizzo dei servizi internet in proxy con Squid perch siano disponibili solo agli utenti con determinati Internet Protocol IP Per esempio per consentire l accesso solo agli utenti della sottorete 192 168 42 0 24 Aggiungere quanto segue alla fine della sezione ACL del file etc squid squid conf acl fortytwo_network src 192 168 42 0 24 Quindi aggiungere quanto segue all inizio della sezione http_access del file etc squia squid conf http_access allow fortytwo_network Using the excellent access control features of Squid you may configure use of Internet services proxied by Squid to be available only during normal business hours For example we ll illustrate access by employees of a business which is operating between 9 00AM and 5 00PM Monday through Friday and which uses the 10 1 42 0 24 subnetwork Aggiungere quanto segue alla fine della sezione ACL del file etc squid squid conf acl biz_network src 10 1 42 0 24 acl biz_hours time M T W T F 9 00 17 00 Quindi aggiungere quanto segue all inizio della sezione http_access del file etc squid squid conf http_access allow biz_network biz_hours bA Una volta
47. Alcuni dei cambiamenti apportati al file saranno incompatibili in quanto alterano la maniera in cui i dati vengono memorizzati sul disco fisso e quindi non sar possibile avviare MySQL Se necessario usarlo e nel database sono gi presenti dei dati necessario effettuare un mysqldump e ricaricare mysqldump all databases all routines u root p gt fulldump sql Viene richiesta la password di amministratore prima di creare una copia dei dati Assicurarsi che nessun altro utente o processo stiano usando il database durante questa operazione A seconda della quantit di dati presenti nel database l operazione potrebbe richiedere un certo periodo di tempo durante il procedimento sullo schermo non si vedr nulla Una volta completato lo scarico chiudere MySQL sudo service mysql stop Effettuare un backup del file my cnf originale e sostituirlo con quello nuovo sudo cp etc my cnf etc my cnf backup sudo cp path to new my cnf etc my cnf Quindi cancellare e reinizializzare il database assicurandosi che i diritti di propriet siano corretti prima di riavviare MySQL sudo rm rf var lib mysql sudo mysql_install_db sudo chown R mysql var lib mysql sudo service start mysql Rimane solo da reimportare i dati per avere un idea dello stato di avanzamento del processo pu essere usata l utilit pv la pipe di visualizzazione Quanto segue illustra come installare e usare pv in questo caso ma se si
48. Attualmente Monitor disponibile solo come applicazione GTK Questi servizi e applicazioni possono essere eseguiti su molteplici server e client oppure possono essere installati su un solo computer se deve essere eseguito il backup di un singolo disco o volume 3 2 Installazione fy Usando MySQL o PostgreSPQ come database si dovrebbero avere gi a disposizione i relativi servizi in quanto questi non verranno installati da Bacula Ci sono molteplici pacchetti che contengono i diversi componenti di Bacula Per installare Bacula in un terminale digitare sudo apt get install bacula In modo predefinito installando il pacchetto bacula viene usato un database MySQL per Catalog Se si vuole usare SQLite oppure PostgreSQL installare bacula director sqlite3 o bacula director pgsql rispettivamente 305 Backup Durante il processo di installazione viene chiesto di fornire delle credenziali per l amministratore del database e per il proprietario del database bacula L amministratore del database deve avere i diritti apporpriati per poter creare un database Per maggiori informazioni consultare la Sezione 1 MySQL 207 3 3 Configurazione I file di configurazione di Bacula sono formattati in base alle risorse composte da direttive marcate da parantesi Ogni compoenente di Bacula dispone di un file nella directory etc bacula I diversi componenti di Bacula devono autorizzarsi tra di loro Ques
49. BIND9 dispone di diverse configurazione per la registrazione degli eventi Le due opzioni principali sono channel che configura dove vengono salvate le registrazioni e l opzione category che determina quali informazioni registrare 149 DNS Domain Name Service Se non viene configurata alcuna opzione di registrazione quella predefinita logging category default default_syslog default_debug category unmatched null he Questa sezione descrive come configurare BIND9 affinch invii i messaggi di debug relativi alle interrogazioni DNS in un file diverso e Per prima cosa necessario configurare un canale per specificare quale a quale file inviare i messaggi Modificare quindi il file etc bind named conf local e aggiungere quanto segue logging channel query log file var log query log severity debug 3 e Configurare una categoria per inviare tutte le interrogazioni DNS al file logging channel query log file var log query log severity debug 3 category queries query log bJ L opzione debug pu essere impostata tra 1 e 3 Se non viene specificato alcun livello viene considerato quello predefinito cio 1 e Dato che il demone named viene eseguito come l utente bind necessario creare il file var log query log e modificarne il proprietario sudo touch var log query log sudo chown bind var log query log e Prima che il demone named possa scrivere n
50. Il seguente esempio mostra una voce device nel file di configurazione di multipath devices device vendor COMPAQ product MSA1000 ti path_grouping_policy multibus path_checker tur rr_weight priorities La spaziatura riservata nei campi vendor product e revision significativa per il modo in cui multipath trova una corrispondenza diretta per questi attributi il cui formato definito dalla specifica SCSI precisamente con il comando Standard INQUIRY Quando sono usate le virgolette i campi vendor product e revision sono interpretati tassativamente in maniera conforme alla specificazione all interno delle stringhe virgolettate possono essere integrate espressioni regolari Se un campo viene definito senza la spaziatura richiesta multipath copier la stringa nel buffer adeguatamente dimensionato riempiendolo con il corretto numero di spazi La specifica deve essere popolata da caratteri stampabili o da spazi come mostrato nel precedente esempio e vendor 8 caratteri e product 16 caratteri 2 http en wikipedia org wiki SCSI_Inquiry_Command 74 DM Multipath e revision 4 caratteri Per creare un file di configurazione pi robusto possibile usare anche espressioni regolari gli operatori includono Esempi di espressioni regolari funzionanti possono essere trovati esaminando il database multipath in uso e file di esempio di multipath conf possono essere trovati in usr share doc m
51. Listen specifica la porta e opzionalmente l indirizzo IP su cui Apache2 dovrebbe essere in ascolto Se l indirizzo IP non specificato Apache2 ascolta tutti gli indirizzi IP assegnati alla macchina Il valore predefinito per la direttiva Listen 80 Modificare questo valore in 127 0 0 1 80 per fare in modo che Apache2 ascolti solo l interfaccia di loopback e non sia disponibile verso internet in 81 per modificare la porta di ascolto o lasciare il valore predefinito per il normale funzionamento Questa direttiva pu essere trovata e modifica in un file specifico etc apache2 ports conf La direttiva ServerName opzionale e specifica il FQDN a cui il proprio sito risponde L host virtuale predefinito non ha la direttiva ServerName impostata cosicch risponder a tutte le richieste che non corrispondono alla direttiva ServerName in un altro host virtuale Se si i proprietari del dominio ubunturocks com e si vuole ospitare tale dominio su un server Ubuntu il valore della direttiva ServerName nel file di configurazione dell host virtuale dovrebbe essere ubunturocks com Aggiungere quindi questa direttiva al nuovo file di configurazione creato precedentemente etc apache2 sites available mionuovosito Potrebbe essere necessario che il proprio sito risponda anche alle richieste per www ubunturocks com dato che molti utenti ritengono corretto inserire il prefisso www Per ottenere questo usare la direttiva ServerAlias
52. NOT raccomandato meglio usare un gestore di pacchetti in grado di gestire le dipendenze per assicurarsi che il sistema permanga sempre in uno stato consistente Per esempio usando dpkg r 23 Gestione dei pacchetti zip possibile rimuovere il pacchetto zip ma qualsiasi pacchetto che vi dipende rester installato e potrebbe non funzionare correttamente Per le ulteriori opzioni di dpkg consultare la pagina di manuale man dpkg 24 Gestione dei pacchetti 3 Apt Get Il comando apt get un potente strumento a riga di comando usato per operare con l Advanced Packaging Tool APT di Ubuntu al fine di eseguire operazioni come l installazione di nuovi pacchetti software l aggiornamento dei pacchetti software esistenti l aggiornamento dell indice dell elenco dei pacchetti e persino l avanzamento di versione dell intero sistema Ubuntu Essendo un semplice strumento da riga di comando apt get presenta agli amministratori di sistema numerosi vantaggi rispetto ad altri strumenti di gestione dei pacchetti disponibili in Ubuntu Alcuni di questi vantaggi sono la facilit d utilizzo mediante semplici connessioni via terminale SSH e la possibilit di essere usato in script di amministrazione del sistema magari automatizzati attraverso l utilit di pianificazione cron Alcuni esempi di utilizzo tipico dell utilit apt get e Installare un pacchetto l installazione di pacchetti usando lo strumento apt get mo
53. TLS Ci pu essere ottenuto sia usando un certificato proveniente da una CA commerciale che con un certificato auto firmato installato accettato manualmente dall utente I certificati non sono mai validati da MTA a MTA TLS senza un preliminare accordo fra le organizzazioni interessate a meno che politiche locali non lo richiedano non c alcuna ragione per non usare certificati auto firmati Per ulteriori dettagli fare riferimento a Sezione 5 3 Creare un certificato auto firmato 174 3 Ottenuto un certificato configurare Postfix affinch fornisca cifratura TLS per le mail in entrate e in uscita 237 Servizi email sudo postconf e smtp_tls_security_level may sudo postconf e smtpd_tls_security_level may sudo postconf e smtp_tls_note_starttls_offer yes sudo postconf e smtpd _tls_key_ file etc ssl private server key sudo postconf e smtpd_tls_cert_file etc ssl certs server crt sudo postconf e smtpd_tls_loglevel 1 sudo postconf e smtpd_tls_received_header yes sudo postconf e myhostname mail example com 4 Se sista usando la propria Autorit di Certificazione per firmare il certificato digitare sudo postconf e smtpd_tls_CAfile etc ssl certs cacert pem Di nuovo per maggiori informazioni sui certificati consultare Sezione 5 Certificati 172 w Una volta eseguiti tutti i comandi Postfix configurato per SMTP AUTH ed stato creato un certificato auto fir
54. The default virtualization technology supported in Ubuntu is KVM KVM requires virtualization extensions built into Intel and AMD hardware Xen is also supported on Ubuntu Xen can take advantage of virtualization extensions when available but can also be used on hardware without virtualization extensions Qemu is another popular solution for hardware without virtualization extensions 310 Virtualizzazione 1 libvirt La libreria libvirt utilizzata per interfacciarsi con differenti tecnologie di virtualizzazione Prima di iniziare a utilizzare libvirt utile accertarsi che il proprio hardware supporti le estensioni di virtualizzazione necessarie per KVM In un terminale digitare quanto segue kvm ok Verr stampato un messaggio che indica se la CPU supporta 0 non supporta la virtualizzazione hardware fy Nella maggior parte dei processori che supportano la virtualizzazione necessario attivarla attraverso un opzione nel BIOS 1 1 Rete virtuale Esistono diversi modi per consentire accesso alla rete esterna a una macchina virtuale La configurazione di rete predefinita usermode che utilizza il protocollo SLIRP e il traffico passato attraverso l interfaccia dell host verso la rete esterna Affinch gli host esterni possano accedere i servizi su una macchina virtuale necessario configurare un bridge Questo consente alle interfacce virtuali di connettersi alla rete esterna attraverso l interfaccia fi
55. Ubuntu o Debian e altre distribuzioni GNU Linux che un pacchetto quando viene installato anche configurato con ragionevoli impostazioni predefinite richiedendo talvolta informazioni addizionali Allo stesso modo installando un task i pacchetti vengono non solo installati ma anche configurati per fornire un servizio pienamente integrato http www canonical com projects landscape 5 https help ubuntu com 12 10 installation guide Installazione Una volta completata l installazione possibile vedere un elenco dei task disponibili digitando il seguente comando tasksel list tasks bJ L output elenca i task di altre distribuzioni basate su Ubuntu come Kubuntu ed Edubuntu comunque possibile invocare il comando tasksel che presenta un men con i diversi task disponibili Tramite l opzione task packages possibile visualizzare un elenco dei pacchetti installati con ogni task Per esempio per elencare i pacchetti installati con DNS Server digitare tasksel task packages dns server L output del comando dovrebbe essere bind9 doc bind9utils bind9 Se un task non viene installato durante il processo d installazione ma si decide per esempio di far funzionare il nuovo server LAMP anche come server DNS sufficiente inserire il CD d installazione e digitare da un terminale sudo tasksel install dns server Installazione 3 Avanzamento di versione Ci sono diversi m
56. Ubuntu Installation Guide for details Un altro metodo per installare una macchina virtuale Ubuntu consiste nell usare l applicazione ubuntu vm builder ubuntu vm builder consente di impostare partizioni avanzate eseguire script personalizzati post installazione ecc Per maggiori informazioni consultare Sezione 2 JeOS e vmbuilder 316 Libvirt can also be configured work with Xen For details see the Xen Ubuntu community page referenced below 1 3 virt install virt install fa parte del pacchetto virtinst per installarlo in un terminale digitare sudo apt get install virtinst Durante l uso di virt install sono disponibili molte azioni per esempio sudo virt install n web _devel r 256 disk path var lib libvirt images web_devel img bus virti e nweb_devel il nome della nuova macchine virtuale usato in questo esempio sar web_devel e r256 specifica la quantit di memoria che la macchina virtuale user in megabyte e disk path var lib libvirY images web_devel img size 4 indica il percorso al disco virtuale che pu essere un file una partizione o un volume logico In questo esempio un file chiamato web_devel img nella directory var lib libvirt images con una dimensione di 4 gigabyte che usa virtio come bus del disco e c jeos iso il file usato come CD ROM virtuale Il file pu essere un file ISO o il percorso al device del CD ROM nell host e accelerate abilita le tecnologie di a
57. Write Protect is off 2486 954200 sd 4 0 0 3 sdb Mode Sense 8 00 00 08 2486 954692 sd 4 0 0 3 sdb Write cache disabled read cache enabled doesn t support DPO or FUA 2486 960577 sdb sdbl 2486 964862 sd 4 0 0 3 sdb Attached SCSI disk Nell output sopra riportato sdb il nuovo disco iSCSI ricordare che questo solo un esempio l output visualizzato pu essere diverso Creare quindi una partizione formattare il file system e montare il nuovo disco iSCSI Digitare in un terminale sudo fdisk dev sdb n P invio fy I comandi sopra riportati sono relativi all utilit fdisk per pi dettagliate istruzioni consultare la pagina di manuale man fdisk L utilit cfdisk offre un interfaccia pi semplice Formattare ora il file system e montarlo per esempio in srv sudo mkfs ext4 dev sdbl 230 Server di file sudo mount dev sdbl srv Infine aggiungere una voce in etc fstab per montare il disco iSCSI all avvio dev sdbl srv ext4 defaults auto _netdev 0 0 E una buona idea assicurarsi che tutto funzioni come previsto riavviando il sistema 3 3 Riferimenti Sito Open iSCSP Pagina Debian Open iSCSI 9 http www open iscsi org 9 http wiki debian org SAN iSCSI open iscsi 231 Server di file 4 CUPS Server di stampa Il sistema primario e i servizi di stampa di Ubuntu sono gestiti da Common UNIX Printing System CUPS Questo un sistema di
58. aggiuntive al file etc ufw before rules utile che queste regole addizionali vengano aggiunte alla catena ufw before forward 3 3 2 Masquerading con iptables possibile usare iptables per abilitare Masquerading e Similmente a ufw il primo passo per abilitare l inoltro di pacchetti con IPv4 quello di modificare il file etc sysctl conf e de commentare la seguente riga net ipv4 ip_forward 1 Per abilitare l inoltro con IPv6 de commetare net ipv6 conf default forwarding 1 e Quindi eseguire il comando sysctl per abilitare le nuove impostazioni nel file di configurazione sudo sysctl p e L IP masquerading pu essere ottenuto con una sola regola di iptables che pu cambiare leggermente in base alla configurazione della propria rete sudo iptables t nat A POSTROUTING s 192 168 0 0 16 o ppp0 j MASQUERADE 165 Sicurezza Il comando precedente assume che lo spazio di indirizzi privato sia 192 168 0 0 16 e che il dispositivo collegato a Internet sia pppO La sintassi del comando la seguente e t nat regola viene inserita nella tabella nat e A POSTROUTING la regola viene accodata A alla catena POSTROUTING e s 192 168 0 0 16 la regola si applica al traffico originato dallo spazio di indirizzi specificato e o pppO la regola si applica al traffico instradato attraverso l interfaccia di rete specificata e j MASQUERADE il traffico che soddisfa questa regola viene saltato j sta per
59. an instance cd nova source novarc euca add keypair userl gt userl priv chmod 0600 userl priv Allow icmp ping and ssh access to instances euca authorize default P tcp p 22 s 0 0 0 0 0 euca authorize P icmp t 1 1 default Run an instance ami euca describe images awk print 2 grep ml ami euca run instances ami k userl t ml tiny euca describe instances Assign public address to the instance euca allocate address euca associate address i instance _id public_ip address euca describe instances You must enter above the instance_id ami and public_ip_address shown above by euca describe instances and euca allocate address commands Now you should be able to SSH to the instance ssh i userl priv ubuntu ipaddress To terminate instances euca terminate instances instance_id 3 7 Install the Storage Infrastructure Swift Swift is a highly available distributed eventually consistent object blob store It is used by the OpenStack Infrastructure to provide S3 like cloud storage services It is also S3 api compatible with amazon 329 Virtualizzazione Organizations use Swift to store lots of data efficiently safely and cheaply where applications use an special api to interface between the applications and objects stored in Swift Although you can install Swift on a single server a multiple server installation is required for production environments If you want to install Open
60. as a Linux distribution for embedded devices like WLAN router There are certain types of WLAN routers who can be flashed to run OpenWRT Depending on the available memory on your OpenWRT router you can run software like OpenVPN and you could for example build a small inexpensive branch office router with VPN connectivity to the central office More 2 http www openvpn net index php open source downloads html 370 VPN info on OpenVPN on OpenWRT is here And here is the OpenWRT project s homepage http openwrt org Log into your OpenWRT router and install OpenVPN opkg update opkg install openvpn Check out etc config openvpn and put your client config in there Copy certificated and keys to etc openvpn config openvpn clientl option enable 1 option client 1 option dev tap option dev tun option proto udp option ca etc openvpn ca crt option cert etc openvpn client crt option key etc openvpn client key option comp_lzo 1 Restart OpenVPN service openvpn restart You will have to see if you need to adjust your router s routing and firewall rules 1 8 Riferimenti e Per maggiori informazioni consultare il sito web di OpenVPN OpenVPN hardening security guide e Un ottima risorsa anche OpenVPN Building and Integrating Virtual Private Networks di Pakt in inglese 2 http wiki openwrt org doc howto vpn overview 2 http openvpn net gt http openvpn net index php open
61. caratteristica queue_if_no_path path_checker Specifica il metodo predefinito usato per determinare lo stato dei percorsi I possibili valori includono e readsector0 legge il primo settore del dispositivo e tur emette un TEST UNIT READY per il dispositivo e emc clariion interroga 0xC0 della pagina EVPD specifica EMC Clariion per determinare il percorso e hp_sw controlla lo stato del percorso per gli array di archiviazione HP con firmware Attivo Standby e rdac controlla le statistiche del percorso per il controller di archiviazione LSI Engenio RDAC e directio legge il primo settore con I O diretto Il valore predefinito directio failback Gestisce il failback del gruppo di percorso e Un valore immediate specifica un failback immediato sul gruppo di percorso con la priorit pi alta che contiene percorsi attivi e Un valore manual specifica che non ci deve essere un failback immediato ma tale operazione si deve verificare solo attraverso un intervento dell operatore e Un valore numerico maggiore di zero specifica un rinvio del failback espresso in secondi Il valore predefinito manual rr_min_io Specifica il numero di richieste I O da indirizzare a un percorso prima di passare al percorso successivo all interno del gruppo di percorsi corrente rr_weight Se impostato su priorities invece di eseguire l invio delle richieste rr_min_io a un percorso prima di indicar
62. cn config add olcDbIndex olcDbIndex krbPrincipalName eq pres sub modifying entry olcDatabase 1 hdb cn config 7 Infine aggiornare le ACL Access Control Lists ldapmodify x D cn admin cn config W Enter LDAP Password dn olcDatabase 1 hdb cn config replace olcAccess olcAccess to attrs userPassword shadowLastChange krbPrincipalKey by dn cn admin dc example dc com write by anonymous auth by self write by none add olcAccess olcAccess to dn base by read add olcAccess olcAccess to by dn cn admin dc example dc com write by read modifying entry olcDatabase 1 hdb cn config La directory LDAP ora pronta come database principale per Kerberos 4 2 Configurazione KDC primario Configurato OpenLDAP necessario configurare KDC e Installare i pacchetti necessari In un terminale digitare sudo apt get install krb5 kdc krb5 admin server krb5 kdc ldap e Modificare etc krb5 conf aggiungendo le seguenti opzioni all interno delle sezioni appropriate libdefaults default_realm EXAMPLE COM realms EXAMPLE COM kde kde kdc02 example com kdc0l example com admin_server kdc01 example com admin_server kdc02 example com default_domain example com database_module openldap_ldapconf 135 Autenticazione di rete domain_realm example com EXAMPLE COM dbdefaults ldap_kerberos_container_dn dc example dc com dbmodules ope
63. container name as usual with the n option but in this case the container name can be a posix regular expression to allow monitoring desirable sets of containers Ixc monitor continues running as it prints container changes lxc wait waits for a specific state change and then exits For instance sudo lxc monitor n cont 0 5 would print all state changes to any containers matching the listed regular expression whereas sudo lxc wait n contl s STOPPED FROZEN will wait until container cont enters state STOPPED or state FROZEN and then exit 4 3 6 Consoles Containers have a configurable number of consoles One always exists on the container s dev console This is shown on the terminal from which you ran Ixe start unless the d option is specified The output on dev console can be redirected to a file using the c console file option to Ixc start The number of extra consoles is specified by the Ixe tty variable and is usually set to 4 Those consoles are shown on dev ttyN for 1 lt N lt 4 To log into console 3 from the host use sudo lxc console n container t 3 or if the f N option is not specified an unused console will be automatically chosen To exit the console use the escape sequence Ctrl a q Note that the escape sequence does not work in the console resulting from lxc start without the d option 342 Virtualizzazione Each container console is actually a Unix98 pty in the host s not the guest s
64. crashkernel nota La riga che segue stata divisa in due per adattarla al formato di questo documento 18 Installazione cat proc cmdline BOOT_IMAGE vmlinuz 3 2 0 17 server root dev mapper PreciseS root ro crashkernel 384M 2G 64M 2G 128M Il parametro crashkernel ha la seguente sintassi crashkernel lt rangel gt lt sizel gt lt range2 gt lt size2 gt offset range start end start is inclusive and end is exclusive Pertanto per il parametro crashkernel trovato in proc cmdline si dovrebbe ottenere crashkernel 384M 2G 64M 2G 128M Il suddetto valore significa e se la RAM inferiore a 384M non verr riservato nulla questo il caso ripristino e se la dimensione della RAM compresa tra 386M e 2G esclusiva verrano riservati 64M e se la dimensione della RAM superiore a 2G verranno riservati 128M Occorre quindi verificare che il kernel abbia riservato l area di memoria richiesta per effettuare il kdump del kernel eseguendo dmesg grep i crash 0 000000 Reserving 64MB of memory at 800MB for crashkernel System RAM 1023MB 5 6 Collaudo del meccanismo di crash dump O Il collaudo del meccanismo del crash dump comporta un riavvio del sistema in determinate situazioni questo pu causare una perdita di dati se il sistema sta eseguendo un grosso carico di lavoro Se necessario collaudare il meccanismo assicurarsi che il sistema sia inattivo o con un caric
65. db passwd Dopo aver tolto i commenti alle righe precedenti possibile gestire la lista degli utenti nel file passwd Modificare il file passwa presente nella directory e inserire il nuovo utente La sintassi da usare la seguente username password Per maggiori informazioni fare riferimento al file Per accedere a Subversion attraverso il protocollo svn sia dalla stessa macchina sia da un altra macchina avviare svnserver utilizzando il comando svnserve La sintassi la seguente svnserve d foreground r percorso al repository d daemon mode foreground run in foreground useful for debugging r root of directory to serve Per ulteriori dettagli sull utilizzo fare riferimento a svnserve help Una volta eseguito questo comando Subversion si mette in ascolto sulla porta predefinita 3690 Per accedere al repository del progetto necessario eseguire da un terminale il seguente comando svn co svn hostname project project username nome_utente In base alla configurazione del server verr richiesta la password Una volta autenticati viene eseguito il check out del codice dal repository di Subversion Per sincronizzare il repository del progetto con la copia locale possibile eseguire il comando update La sintassi del comando la seguente cd DIRECTORY _DEL PROGETTO svn update Per maggiori informazioni sui sotto comandi di Subversion fare riferimento al manuale Per
66. di credenziali LDAP per il rootDN dell istanza di database Per impostazione predefinita il DN dell utente cn admin dc example dc com e non viene creato nessun account amministratore per il database slapd config pertanto necessario autenticarsi esternamente a LDAP per poter accedere al database questo procedimento verr illustrato in seguito Alcuni schemi classici cosine nis inetorgperson sono attualmente integrati in slapd incluso anche uno schema principale core un pre requisito per il funzionamento di qualsiasi schema 94 Autenticazione di rete 1 2 Ispezione post installazione Il processo d installazione imposta 2 DIT uno per slapd config e uno per i dati dc example dc com e Questo l aspetto del database DIT di slapd config si ricorda che questo database del tipo LDIF ed collocato in etc ldap slapd a etc ldap slapd d cn config cn module 0 ldif cn schema cn 0 core ldif cn l cosine ldif cn 2 nis ldif cn 3 inetorgperson ldif cn schema ldif olcBackend 0 hdb ldif olcDatabase 0 config ldif olcDatabase 1 frontend ldif olcDatabase 1 hdb ldif Se cn config ldif fa Non modificare direttamente il database slapd config ma effettuare le modifiche attraverso il protocollo LDAP utilit e Questo l aspetto del DIT di slapd config tramite il protocollo LDAP sudo ldapsearch Q LLL Y EXTERNAL H ldapi
67. di FTP nascondendo cos il resto del file system dalle sessioni remote 1 1 vsftpd Installazione del server FTP x Un demone FTP disponibile in Ubuntu vsftpd semplice da installare configurare e mantenere E possibile installare vsftpd eseguendo il seguente comando sudo apt get install vsftpd 1 2 Configurazione anonima di FTP Per impostazione predefinita vsftpd non configurato per consentire di scaricare file in maniera anonima per abilitare lo scaricamento anonimo modificare etc vsftpa conf cambiando anonymous_enable Yes Durante l installazione viene creato un utente ftp con una directory home di srv ftp questa la directory FTP predefinita Se necessario modificare questa posizione per esempio in srv files ftp creare semplicemente una directory in un altra posizione e modificare la directory home dell utente ftp 223 Server di file sudo mkdir srv files ftp sudo usermod d srv files ftp ftp Applicate le modifiche riavviare vsftpd sudo restart vsftpd Infine copiare i file e le directory da rendere disponibili attraverso FTP anonimo in srv files ftp O srv ftp per utilizzare l impostazione predefinita 1 3 Configurazione FTP per utenti autenticati Per impostazione predefinita vsftpd configurato per autenticare gli utenti di sistema e consentire loro di scaricare file per consentire agli utenti di caricare file modificare etc vsftpd conf write_enab
68. di collegamento possibile in alternativa o in combinazione con la modifica dell ACL usare l istruzione olcRequire authc Come menzionato in precedenza nel database slapd config non viene creato nessun account amministratore Esiste tuttavia la seguente identit SASL alla quale garantito pieno accesso che rappresenta il superutente dell host locale root sudo dn exact gidNumber 0 uidNumber 0 cn peercred cn external cn auth Il seguente comando visualizza gli ACL del database slapd config sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcDatabase 0 config olcAccess dn olcDatabase 0 config cn config olcAccess 0 to by dn exact gidNumber 0 uidNumber 0 cn peercred cn external cn auth manage by break Dal momento che questa un identit SASL necessario usare un meccanismo SASL nel momento in cui si invoca l utilit LDAP in questione come pi volte illustrato in questa guida si tratta del meccanismo EXTERNAL Esaminare come esempio il precedente comando Si noti che 1 E necessario usare sudo per assumere l identit root e trovare corrispondenza con l ACL 2 Il meccanismo EXTERNAL funziona tramite PC socket del dominio UNIX ci significa che necessario usare il formato URI dapi Un modo sintetico per ottenere tutti gli ACL simile al seguente sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcAccess olcAccess olcSuffix Maggior
69. di registro di slapd syslog e di auth nel fornitore per controllare che la richiesta di autenticazione del consumatore abbia avuto successo o che le sue richieste di recupero di dati che somigliano a istruzioni di ldapsearch non restituiscano errori Per verificare che il processo sia andato a buon fine basta cercare sul consumatore i DN nel database sudo ldapsearch Q LLL Y EXTERNAL H ldapi b dc example dc com dn Dovrebbero essere visualizzati l utente john il gruppo miners e i nodi People e Groups 1 7 Controllo degli accessi La gestione del tipo di accesso alle risorse lettura scrittura ecc da accordare agli utenti conosciuta come controllo degli accessi Le direttive di configurazione richieste sono chiamate elenchi di controllo degli accessi access control lists o ACL Durante l installazione del pacchetto slapd vengono impostate automaticamente diversi ACL Verranno esaminate alcune importanti conseguenze di queste impostazioni predefinite in modo da dare un idea del funzionamento e della configurazione degli ACL Per ottenere ACL efficaci per una interrogazione LDAP necessario esaminare sia le voci ACL del database che viene interrogato che quelle della speciale istanza del database del frontend Gli ACL di quest ultimo operano come predefiniti in caso quelli del primo non corrispondano Il database del frontend viene interrogato per secondo e vengono applicati i primi ACL c
70. di trasporto pickup o content_filter o receive_override_options no_header_body_checks In questo modo si eviteranno i messaggi generati per segnalare lo spam che viene classificato come spam Infine riavviare Postfix sudo service postfix restart Il filtraggio sul contenuto per lo spam e il rilevamento di virus sono ora abilitati 5 2 5 Amavisd new e Spamassassin Integrando Amavisd new con Spamassassin se si sceglie di disabilitare i filtri bayesiani modificando etc spamassassin local cf e usando cron per aggiornare le regole durante la notte il risultato pu essere una situazione in cui una grande quantit di errori viene inviata all utente amavis a causa dell attivit di amavisd new cron Ci sono diversi modi per gestire questa situazione e Configurare il MDA per filtrare i messaggi da nascondere 258 Servizi email e Modificare usr sbin amavisd new cron job per verificare la presenza di use_bayes 0 Per esempio modificare usr sbin amavisd new cron job e aggiungere quanto segue all inizio prima dell istruzione test egrep q t use_bayes t 0 etc spamassassin local cf amp amp exit 0 5 3 Test Per prima cosa verificare che Amavisd new SMTP sia in ascolto telnet localhost 10024 Trying 127 0 0 1 0 0 Connected to localhost Escape character is 220 127 0 0 1 ESMTP amavisd new service ready d Nell intestazione dei messaggi che passano attraverso il filtra
71. dinamico come la semplicit di implementazione per piccole reti la predicibilit la tabella di instradamento scritta a priori quindi la rotta sempre la stessa ogni volta che viene utilizzata e il basso carico di lavoro sugli altri router e nodi di rete dovuto all assenza di un protocollo di instradamento dinamico In ogni caso l instradamento statico presenta anche degli svantaggi Per esempio limitato a piccole reti e non facilmente espandibile L instradamento statico fallisce completamente se si prova ad adattarlo ai ritardi della rete e le perdite lungo la rotta per la natura statica della rotta stessa L instradamento dinamico serve nelle grandi reti con molte possibili rotte IP tra una sorgente e una destinazione Fa uso di protocolli di instradamento speciali come il protocollo di informazione dell instradamento RIP Router Information Protocol che gestisce le correzioni automatiche nella tabella di instradamento rendendo possibile l instradamento dinamico Ci sono molti vantaggi rispetto l instradamento statico come l adattamento alle dimensioni superiori e l abilit di adattarsi agli errori e alle perdite lungo le rotte della rete Inoltre necessita di una minore configurazione manuale delle tabelle di instradamento dato che i router comunicano tra di loro la relativa esistenza e le possibili rotte Questo tratto caratteristico elimina anche la possibilit di introdurre inesattezze nelle tabelle di instradamento caus
72. direttiva 3 http httpd apache org docs 2 2 189 Server web ServerName in uno qualsiasi dei file personalizzati Per modificare l host virtuale modificare il file etc apache2 sites available default fn Le direttive impostate per un host virtuale si applicano solamente a quel particolare host ka Se una direttiva impostata all interno del server e non definita nelle impostazioni dell host virtuale vengono utilizzate le impostazioni predefinite Per esempio possibile impostare un indirizzo email per il webmaster e non definirne alcuno per per gli host virtuali Per configurare un nuovo host virtuale o un nuovo sito copiare quel file nella stessa directory con un nome a scelta Per esempio sudo cp etc apache2 sites available default etc apache2 sites available mionuovosito Modificare il file per configurare il nuovo sito usando alcune delle direttive descritte di seguito La direttiva ServerAdmin specifica a quale indirizzo email il sistema deve indirizzare la posta destinata agli amministratori Il valore predefinito webmaster localhost Quest impostazione deve essere modificata con l indirizzo che stato assegnato all utente nel caso sia l amministratore Se il sito presenta dei problemi Apache2 mostrer un messaggio di errore indicante l indirizzo a cui deve essere segnalato il problema Questa direttiva presente nel file etc apache2 sites available del proprio sito La direttiva
73. durante la fase di autenticazione e File keytab sono file estratti dal KDC e contengono le chiavi di cifratura per un servizio o un host Per riassumere un reame ha almeno un KDC preferibilmente due per ridondanza che contiene un database di Principal Quando un utente accede in una workstation configurata per l autenticazione Kerberos il KDC emette un TGT Ticket Granting Ticket Se le informazioni fornite dall utente corrispondono l utente viene autenticato e pu richiedere i ticket per i servizi Kerberos da un TGS Ticket Granting Server I ticket consentono all utente di autenticarsi al servizio senza dover fornire altri nome utente e password 125 Autenticazione di rete 3 2 Server Kerberos 3 2 1 Installazione In seguito verra creato un dominio MIT Kerberos con le seguenti caratteristiche modificarle in base alle proprie esigenze e Reame EXAMPLE COM e KDC primario kdc01 example com 192 168 0 1 KDC secondario kdc02 example com 192 168 0 2 e Utente principal steve e Amministratore principal steve admin bJ Si raccomanda vivamente che gli utenti autenticati dalla rete abbiano un UID in un intervallo diverso per esempio partendo da 5000 da quello degli utenti locali Prima di installare il server Kerberos necessario disporre di un server DNS correttamente configurato per il proprio dominio Dato che il reame Kerberos per convenzione corrisponde al dominio questa sezione utilizza i
74. e Su entrambi gli host avviare il demone drbd sudo service drbd start e Sull host drbd01 o su qualsiasi host primario configurato digitare sudo drbdadm overwrite data of peer primary all e Una volta eseguito il comando precedente inizier la sincronizzazione dei dati con l host secondario Per visualizzare l avanzamento su drbd02 digitare il seguente comando watch nl cat proc drbd Per fermare l operazione di controllo premere Ctrl c e Infine aggiungere un file system a dev drbdo e montarlo sudo mkfs ext3 dev drbd0 sudo mount dev drbd0 srv 1 2 Test Per verificare che i dati siano effettivamente sincronizzati tra gli host copiare alcuni file sull host primario drbd01 nella directory srv sudo cp r etc default srv Smontare srv 357 Cluster sudo umount srv Retrocedere il server primario a ruolo di secondario sudo drbdadm secondary r0 Ora promuovere il server secondario a primario sudo drbdadm primary r0 Per completare montare la partizione sudo mount dev drbd0 srv Usando s dovrebbe essere possibile vedere il file srv default copiato dal precedente host primario drbd01 1 3 Riferimenti Per maggiori informazioni riguardo DRBD consultare il sito web di DRBD The drbd conf man page contains details on the options not covered in this guide Also see the drbdadm man page e Ulteriori informazioni sono disponibili nella documentazione on
75. e usati allo stesso tempo 4 2 Impostazione dell host 4 2 1 Impostazione di base dei file LXC Segue una descrizione dei file e delle directory installate e utilizzate da LXC e There are two upstart jobs e etc init lxc net conf is an optional job which only runs if etc default 1xc specifies USE_LXC_BRIDGE true by default It sets up a NATed bridge for containers to use e etc init lxc conf runs if LXC_AUTO true by default is set to true in etc default 1xc It looks for entries under etc 1xc auto which are symbolic links to configuration files for the containers which should be started at boot 332 Virtualizzazione e etc lxc lxc conf Si tratta di un file di configurazione predefinito per la creazione di contenitori etc 1xc 1xc conf che indirizza i contenitori a usare il bridge LXC creato dall attivit upstart lxc net Se non viene specificato nessun file di configurazione durante la creazione del contenitore sar utilizzato questo file e In usr share doc 1xc examples possono essere trovati altri esempi di file di configurazione di contenitori Questi esempi mostrano come creare contenitori senza una rete locale o usando macvlan vlan o altre disposizioni di rete e I vari strumenti di amministrazione per contenitori sono in usr bin e usr lib lxc lxc init is a very minimal and lightweight init binary which is used by Ixc execute Rather than booting a full container it manually mounts a few fil
76. essere creato con il seguente comando svnadmin create posizione del repository project 2 2 2 Importare 1 file Una volta creato il repository possibile importarvi file Per importare una directory digitare ci che segue al prompt del terminale svn import percorso della directory da importare file percorso del repository 2 3 Metodi di accesso possibile accedere checkout ai repository Subversion in diversi modi sul disco locale o attraverso diversi protocolli di rete La posizione di un repository comunque sempre un URL La tabella illustra come i diversi schemi URL vengono mappati ai diversi metodi di accesso Tabella 17 1 Metodi di accesso Schema Metodo di accesso file Accesso diretto al repository sul disco locale 269 Sistemi per il controllo della versione Schema Metodo di accesso http Accesso attraverso il protocollo WebDAV al server web Apache2 di Subversion https Come http ma con cifratura SSL svn Accesso attraverso un protocollo personalizzato a un server svnserve svn ssh Come svn ma attraverso un tunnel SSH In questa sezione viene descritto come configurare Subversion per tutti questi metodi Saranno descritti solo gli elementi basilari Per maggiori informazioni fare riferimento al libro di svn 2 3 1 Accesso diretto al repository file Questo il metodo di accesso pi semplice Non necessita di alcu
77. fase pi importante comunque quella della pianificazione di cosa eseguire il backup dove salvarlo e come ripristinarlo Questa sezione descrive diversi metodi per compiere queste attivit 296 Backup 1 Script shell Uno dei metodi pi semplici per effettuare il backup del sistema usare unoshell script Per esempio possibile usare uno script per scegliere le directory da archiviare e usare queste directory come argomento per l utilit tar per creare un archivio che pu essere quindi spostato o copiato in un altra posizione L archivio pu anche essere creato su un file system remoto come una condivisione NFS L utilit tar crea un archivio di file a partire da molti file o directory Con tar possibile anche elaborare i file con utilit di compressione riducendo cos la dimensione dell archivio 1 1 Semplice script shell Il seguente script utilizza tar per creare un archivio su un file system remoto NFS Il nome dell archivio determinato utilizzando delle utilit a riga di comando aggiuntive bin sh 44 444 4 444 444 4444444 4444444444 44 4444 444 4 Backup to NFS mount script 4 4 FE FE FE AE AE FE FE FE AE AE AE HEE EH HEHE EE AE AE FE FE E E H What to backup backup_files home var spool mail etc root boot opt Where to backup to dest mnt backup Create archive filename day date A hostname hostname s archive_file Shostname Sd
78. gt durante l installazione 3 3 Ignorare i dischi locali durante la generazione dei dispositivi multipath Alcune macchine presentano schede SCSI locali per i propri dischi interni non consigliato utilizzare DM Multipath per i suddetti dispositivi La seguente procedura mostra come modificare il file di configurazione multipath in modo da ignorare i dischi locali durante la configurazione di multipath 1 Determinare quali dischi sono interni contrassegnandoli in modo da inserirli nella blacklist In questo esempio dev sda il disco interno Da notare che come originariamente configurato nel file di configurazione multipath predefinito l esecuzione di multipath v2 visualizza il disco locale dev sda all interno della mappa di multipath Per ulteriori informazioni multipath consultare la sezione Output del comando multipath multipath v2 create SIBM ESXSST336732LC F3ET0EP00000072428BX1 undef WINSYS SF2372 size 33 GB features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef l 0 0 0 0 sda 8 0 device mapper ioctl cmd 9 failed Invalid argument device mapper ioctl cmd 14 failed No such device or address create 3600a0b80001327d80000006d43621677 undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 0 sdb 8 16 undef ready running 3 0 0 0 sdf 8 80 undef ready running create 3600a0b800013275100
79. host based firewalls ufw non ha lo scopo di implementare tutte le funzionalit di un firewall tramite la sua interfaccia di comandi ma invece cerca di facilitare l aggiunta o la rimozione di semplici regole usato principalmente per dei firewall host based Seguono degli esempi sull uso di ufw e Per prima cosa necessario abilitare ufw In un terminale digitare sudo ufw enable e Per aprire una porta in questo caso la porta di SSH sudo ufw allow 22 e Le regole possono anche essere aggiunte usando un formato a numeri sudo ufw insert 1 allow 80 e Analogamente per chiudere una porta aperta 161 Sicurezza sudo ufw deny 22 e Per eliminare una regola usare delete seguito dalla regola sudo ufw delete deny 22 e anche possibile consentire l accesso da host o da reti specifici a una porta Il seguente esempio consente accesso SSH dall host 192 168 0 2 a qualsiasi indirizzo IP su questo host sudo ufw allow proto tcp from 192 168 0 2 to any port 22 Sostituire 192 168 0 2 con 192 168 0 0 24 per consentire accesso SSH da tutta la sotto rete e Aggiungendo l opzione dry run a un comando ufw possibile visualizzare il risultato delle regole ma senza applicarle Per esempio questo quello che verrebbe applicato nel caso venisse aperta la porta HTTP sudo ufw dry run allow http filter ufw user input 0 0 ufw user output 0 0 ufw user forward 0 0 ufw user limit
80. i valori appropriati per la propria interfaccia di rete Riavviare la rete per abilitare il bridge sull interfaccia sudo service networking restart 42 Rete La nuova interfaccia dovrebbe ora essere funzionante L applicazione brctl fornisce utili informazioni riguardo lo stato del bridge controlla le interfacce che compongono il bridge ecc Per maggiori informazioni consultare la pagina di manuale man bretl 1 5 Risorse La pagina della documentazione della comunit sulle reti contiene link ad articoli che trattano la configurazione avanzata delle reti e Maggiori informazioni su resolvconf possono essere trovate sulla relativa pagina del manuale La pagina del manuale interfacce contiene ulteriori opzioni per etc network interfaces e Dettagli su ulteriori opzioni per configurare client DHCP possono essere trovati nella pagina del manuale dhclient e Per ulteriori informazioni sulla configurazione di client DNS consultare la pagina del manuale di resolver Anche il Capitolo 6 della Linux Network Administrator s Guide di O Reilly una buona fonte di informazioni sulla configurazione di resolver e name service e Per maggiori informazioni sul bridging consultare la pagina del manuale di brctl e la pagina Net Bridge della Linux Foundation i https help ubuntu com community Network 2 http manpages ubuntu com manpages man8 resolvconf 8 html 2 http manpages ubuntu com manpages man5 inte
81. indicato in seguito Aggiungere il contenuto ldapadd x Enter LDAP adding new adding new adding new adding new D cn admin dc example dc com W f add content ldif Password FkK entry ou People dc example dc com entry ou Groups dc example dc com entry cn miners ou Groups dc example dc com entry uid john ou People dc example dc com possibile controllare che le informazioni siano state aggiunte correttamente con l utilit Idapsearch ldapsearch x LLL b dc example dc com uid john cn gidNumber 97 Autenticazione di rete dn cn uid john ou People dc example dc com John Doe gidNumber 5000 Spiegazione delle opzioni x autenticazione semplice non usa il metodo predefinito SASL LLL disabilita la stampa delle informazioni non pertinenti uid john un filtro per cercare l utente john cn gidNumber richiede la visualizzazione di determinati attributi per impostazione predefinita vengono visualizzati tutti gli attributi 1 4 Modificare il database di configurazione di slapd Il DIT di slapd config pu anche essre interrogato e modificato ecco alcuni esempi Usare ldapmodify per aggiungere un Indice attributo DbIndex al 1 hdb cn config del database dc example dc com Creare un file chiamato uid_index 1dif con i seguenti contenuti dn olcDatabase 1 hdb cn config add olcDbIndex olcDbIndex uid eq pre
82. informazioni meteo locali e Installare il pacchetto weather util sudo apt get install weather util L utilit weather utilizza i dati METAR dalla National Oceanic and Atmospheric Administration e le previsioni meteo dal National Weather Service Per reperire informazioni locali necessario il codice a 4 cifre ICAO Per ottenere questo codice possibile consultare il sito web del National Weather Service Bench il National Weather Service sia un agenzia governativa degli Stati Uniti d America stazioni meteo sono disponibili in tutti il mondo Informazioni meteorologiche potrebbero per non essere disponibili per tutte le localit al di fuori del territorio americano Creare il file usr local bin local weather un semplice script per usare weather con il proprio indicatore ICAO locale bin sh Prints the local weather information for the MOTD Replace KINT with your local weather station Local stations can be found here http www weather gov tg siteloc shtml l http www weather gov tg siteloc shtml 373 Altre utili applicazioni echo weather i KINT echo e Rendere lo script eseguibile sudo chmod 755 usr local bin local weather e Quindi creare un collegamento simbolico a etc update motd d 98 local weather sudo ln s usr local bin local weather etc update motd d 98 local weather e Infine uscire dal server ed effettuare nuovamente l accesso per visualizzare il nuovo MOTD
83. is rarely desired The number 1024 means that 1024 ptys should be allowed in the container however this number is currently ignored Before starting the container init LXC will do essentially a sudo mount t devpts o newinstance devpts dev pts inside the container It is important to realize that the container should not mount devpts filesystems of its own It may safely do bind or move mounts of its mounted dev pts But if it does sudo mount t devpts devpts dev pts it will remount the host s devpts instance If it adds the newinstance mount option then it will mount a new private empty instance In neither case will it remount the instance which was set up by LXC For this reason and to prevent the container from using the host s ptys the default 348 Virtualizzazione Apparmor policy will not allow containers to mount devpts filesystems after the container s init has been started Ixc devttydir specifies a directory under dev in which LXC will create its console devices If this option is not specified then the ptys will be bind mounted over dev console and dev ttyN However rare package updates may try to blindly rm f and then mknod those devices They will fail because the file has been bind mounted causing the package update to fail When Ixc devttydir is set to LXC for instance then LXC will bind mount the console ptys onto dev lxc console and dev lxc ttyN and subsequently symbolically link them
84. keytab kadmin q ktadd norandkey k keytab kdc02 host kdc02 example com Dovrebbe esserci un file keytab kaco2 nella directory corrente spostare il file in etc krb5 keytab sudo mv keytab kdc02 etc krb5 keytab fe Se il percorso a keytab kdc02 diverso modificarlo in base al proprio caso E possibile elencare tutti i principal presenti in un file Keytab utile durante la risoluzione dei problemi con l utilit Klist sudo klist k etc krb5 keytab L opzione k indica che il file keytab Dovrebbe esserci un file kpropd ac1 in ogni KDC che presenti tutti i KDC del reame Per esempio sia sul KDC primario che secondario creare un file etc krb5kdc kpropd acl host kdc01 example com EXAMPLE COM host kdc02 example com EXAMPLE COM Creare un database vuoto nel KDC secondario sudo kdb5_util s create Avviare il demone kpropd che rester in ascolto per le connessioni dall utilit kprop kprop usato per trasferire 1 file di dump sudo kpropd S Da un terminale dal KDC primario creare un file di dump del database principale sudo kdb5_util dump var lib krb5kdc dump Estrarre il keytab del KDC primario e copiarlo in etc krb5 keytab kadmin q ktadd k keytab kdc01 host kdc01 example com sudo mv keytab kdc01 etc krb5 keytab 129 Autenticazione di rete Assicurarsi che ci sia un host per kdcO1 example com prima di estrarre il keytab 10 Usando l utilit kprop eseguire il
85. l affitto con il server per conservare il diritto di usare l indirizzo 48 Rete Allocazione automatica Usando questo metodo il DHCP assegna automaticamente indirizzi IP permanentemente a un dispositivo selezionandoli da un insieme di indirizzi disponibili Di solito DHCP usato per assegnare un indirizzo temporaneo al client ma un server DHCP pu consentire un tempo di utilizzo infinito Gli ultimi due metodi possono essere definiti automatici in quanto in ciascun caso il server DHCP assegna un indirizzo senza necessit di un intervento aggiuntivo L unica differenza tra di essi data dalla lunghezza del periodo di affitto in altri termini dalla variazione dell indirizzo del client nel tempo Ubuntu comprende sia un server che un client DHCP Il server dhcpd dynamic host configuration protocol daemon il client fornito dhclient e dovrebbe essere installato su tutti i computer che necessitano di essere configurati automaticamente Entrambi i programmi sono facili da installare e da configurare e vengono lanciati automaticamente all avvio del sistema 3 1 Installazione A un prompt di terminale inserire il seguente comando per installare dhcpd sudo apt get install isc dhcp server necessario modificare il file predefinito etc dhcp dhcpd conf per adattarlo alle proprie necessit e per avere una configurazione particolare inoltre necessario modificare il file etc default isc dhcp server
86. livello di riga entro una tabella e questo significa che possono essere effettuati contemporaneamente aggiornamenti multipli su una singola tabella La cache dei dati anche gestita in memoria all interno della macchina consentendo la stessa a un pi efficiente livello di riga piuttosto che per blocco di file Per conformarsi alle propriet ACID il journaling di tutte le transazioni per le principali tabelle effettuato in maniera indipendente Questo consente un recupero dei dati pi affidabile in quanto pu essere controllata la consistenza dei dati i http www mysglperformanceblog com 2006 06 17 using myisam in production 2 http en wikipedia org wiki ACID 208 Database MySQL 5 5 la macchina predefinita e si suggerisce di usare questa anzich MyISAM a meno che non ci sia uno specifico bisogno delle caratteristiche proprie di quest ultima macchina 1 4 Configurazione avanzata 1 4 1 Creare un file my cnf calibrato possibile regolare diversi parametri nel file di configurazione di MySQL per migliorare le prestazioni del server Per un impostazione iniziale pu essere utile lo strumento di generazione del file my cnf di Percona Questo strumento sar di ausilio nella creazione di un file my cnf ottimizzato per le caratteristiche specifiche del server in uso e le necessit dell utente Non sostituire il file my cnf esistente con quello di Percona se sono stati gi caricati dati nel database
87. lxc create t ubuntu n CN F The Ubuntu release installed by the template will be the same as that on the host unless otherwise specified with the r option i e sudo lxc create t ubuntu n CN r lucid If you want to create a 32 bit container on a 64 bit host pass a i386 to the container If you have the qemu user static package installed then you can create a container using any architecture supported by qemu user static The container will have a user named ubuntu whose password is ubuntu and who is a member of the sudo group If you wish to inject a public ssh key for the ubuntu user you can do so with S sshkey pub You can also bind user jdoe from the host into the container using the b jdoe option This will copy Jdoe s password and shadow entries into the container make sure his default group and shell are 337 Virtualizzazione available add him to the sudo group and bind mount his home directory into the container when the container is started When a container is created the release updates archive is added to the container s sources list and its package archive will be updated If the container release is older than 12 04 LTS then the Ixcguest package will be automatically installed Alternatively if the trim option is specified then the Ixcguest package will not be installed and many services will be removed from the container This will result in a faster booting but less upgrade able
88. modello consumatore fornitore Il tipo specifico di replicazione che verr implementato in questa guida una combinazione delle seguenti modalit refreshAndPersist e 2 http manpages ubuntu com manpages en man5 slapd config 5 html 101 Autenticazione di rete delta syncrepl Il fornitore invia le voci modificate al consumatore non appena vengono effettuate le modifiche ma vengono inviate solamente le modifiche non le intere voci 1 6 1 Configurazione del fornitore Iniziare configurando il fornitore 1 Creare un file LDIF chiamato provider_sync 1dif coni seguenti contenuti Add indexes to the frontend db dn olcDatabase 1 hdb cn config changetype modify add olcDbIndex olcDbIndex entryCSN eq add olcDbIndex olcDbIndex entryUUID eq Load the syncprov and accesslog modules dn cn module 0 cn config changetype modify add olcModuleLoad olcModuleLoad syncprov add olcModuleLoad olcModuleLoad accesslog Accesslog database definitions dn olcDatabase 2 hdb cn config objectClass olcDatabaseConfig objectClass olcHdbConfig olcDatabase 2 hdb olcDbDirectory var lib ldap accesslog olcSuffix cn accesslog olcRootDN cn admin dc example dc com olcDbIndex default eq olcDbIndex entryCSN objectClass regEnd reqResult reqStart Accesslog db syncprov dn olcOverlay syncprov olcDatabase 2 hdb cn config changetype add objectClass olcOverlayConfig objectClass
89. modo si copier il file file txt nella directory corrente e Per copiare una file nella condivisione smbclient fs01 example com share k c put etc hosts hosts In questo modo il file etc hosts verr copiato in fs01 example com share hosts e L opzione c usata nei comandi precedenti consente di eseguire il comando smbclient in una sola volta Questo utile all interno di script e per altre operazioni sui file Per accedere al prompt smb gt un prompt simile a quello di FTP dove possibile svolgere normali operazioni su file e directory digitare smbclient fs01 example com share k fy Sostituire tutte le occorrenze di fs0 example com share 192 168 0 5 share username steve password secret e file txt con l indirizzo IP del proprio server il nome nome host il nome della condivisione il nome del file e il nome utente e la password dell utente a cui consentito accedere alla condivisione 6 3 Risorse For more smbclient options see the man page man smbclient also available online The mount cifs man page is also useful for more detailed information La pagina su Samba della documentazione 28 http manpages ubuntu com manpages quantal en man1 smbclient 1 html a http manpages ubuntu com manpages quantal en man8 mount cifs 8 html 30 https help ubuntu com community Samba 295 Capitolo 19 Backup possibile eseguire dei backup delle installazioni di Ubuntu in molti modi diversi La
90. modulo del kernel attraverso i seguenti comandi sudo service apparmor stop sudo update rc d f apparmor remove Per riabilitare AppArmor sudo service apparmor start sudo update rc d apparmor defaults bJ Sostituire profile name con il nome del profilo da modificare e sostituire anche percorso eseguibile con il percorso all eseguibile Per esempio per il comando ping usare bin ping 4 2 Profili I profili di AppArmor sono dei semplici file di testo posizionati in etc apparmor d Questi file vengono nominati con il percorso completo all eseguibile del profilo sostituendo con Per esempio etc apparmor d bin ping il profilo AppArmor del comando bin ping Esistono due principali tipologie di regole usate nei profili e Voci di percorso specificano a quali file nel file system un applicazione pu accedere 169 Sicurezza e Voci di capacit determinano quali privilegi un processo pu utilizzare Per un esempio consultare etc apparmor d bin ping include lt tunables global gt bin ping flags complain include lt abstractions base gt include lt abstractions consoles gt include lt abstractions nameservice gt capability net_raw capability setuid network inet raw bin ping mixr etc modules conf r include lt tunables global gt asserzioni di inclusione da altri file Consente di usare un file comune con le asserzioni di inclusione per molteplici applicazi
91. nella configurazione di OpenVPN stabilire una PKI Public Key Infrastructure che consiste di e un certificato separato noto come chiave pubblica e una chiave privata per il server e ogni client e e un certificato master ottenuto da una Autorit di Certificazione CA e relativa chiave utilizzati per firmare i certificati del server e dei client OpenVPN supporta l autenticazione bidirezionale basata su certificati e questo significa che il client deve autenticare il certificato del server e il server deve autenticare il certificato del client prima che sia stabilita una relazione di fiducia reciproca Sia il server che il client si autenticheranno reciprocamente prima controllando che il certificato presentato sia firmato dall autorit di certificazione CA e quindi verificando le informazioni contenute nell intestazione del certificato appena autenticato quali il nome comune o il tipo di certificato client o server 1 2 1 Impostazione dell Autorit di Certificazione Per impostare la propria Autorit di Certificazione CA e generare certificati e chiavi per un server e pi client OpenVPN per prima cosa copiare la directory easy rsa in etc openvpn Questo assicura di non perdere tutte le modifiche agli script quando il pacchetto verr aggiornato in un terminale diventare utente root e mkdir etc openvpn easy rsa cp r usr share doc openvpn examples easy rsa 2 0 etc openvpn easy rsa 360 VPN
92. olcSyncProvConfig olcOverlay syncprov olcSpNoPresent TRUE olcSpReloadHint TRU Gl syncrepl Provider for primary db dn olcOverlay syncprov olcDatabase 1 hdb cn config changetype add objectClass olcOverlayConfig 102 Autenticazione di rete objectClass olcSyncProvConfig olcOverlay syncprov olcSpNoPresent TRUE accesslog overlay definitions for primary db dn olcOverlay accesslog olcDatabase 1 hdb cn config objectClass olcOverlayConfig objectClass olcAccessLogConfig olcOverlay accesslog olcAccessLogDB cn accesslog olcAccessLogOps writes olcAccessLogSuccess TRUE scan the accesslog DB every day and purg ntries older than 7 days olcAccessLogPurge 07 00 00 01 00 00 Modificare il rootDN nel file LDIF per farlo coincidere con quello presente nella propria directory 2 Il profilo per slapd apparmor deve essere adattato in relazione alla posizione del database accesslog modificare etc apparmor d local usr sbin slapd aggiungendo quanto segue var lib ldap accesslog r var lib ldap accesslog rwk Creare una directory impostare un file di configurazione del database e ricaricare il profilo apparmor sudo u openldap mkdir var lib ldap accesslog sudo u openldap cp var lib ldap DB_CONFIG var lib ldap accesslog sudo service apparmor reload 3 Aggiungere i nuovi contenuti e considerato che apparmor stato modificato riavviare il demone sudo ldapadd
93. output della generazione del certificato stesso 7 Dovrebbe essere presente un nuovo file etc ss1 newcerts 01 pem contenente il medesimo output Copiare tutto ci che compreso tra BEGIN CERTIFICATE e END CERTIFICATE e incollarlo in un file chiamato come il nome host del server in cui verr installato per esempio mail example com crt un nome descrittivo appropriato 175 Sicurezza Tutti i certificati successivi saranno chiamati 02 pem 03 pem ecc Sostituire mail example com crt con un nome descrittivo appropriato al proprio caso 8 In fine copiare il nuovo certificato nell host e configurare le applicazioni al suo uso La posizione predefinita per l installazione dei certificati etc ss1 certs consentendo cos a molteplici servizi di usare lo stesso certificato senza complicare inutilmente i permessi Per le applicazioni che possono essere configurate all uso di un certificato di una CA necessario copiare il file etc ssl certs cacert pem nella directory etc ssl certs di ogni server 5 6 Riferimenti e Per ulteriori informazioni sull utilizzo della crittografia consultare lo SSL Certificates HOWTO La pagina Wikipedia HTTPS dispone di ulteriori informazioni riguardo HTTPS e Per maggiori informazioni riguardo OpenSSL consultare il sito web di OpenSSL Inoltre il libro Network Security with OpenSSL di O Reilly un ottimo punto di riferimento 12 http tld
94. per LVM e scegliere Continua 8 Sempre nella schermata Passo di configurazione di LVM selezionare Creare volume logico selezionare il gruppo di volumi appena creato e inserire un nome per il nuovo LV per esempio srv dato che verr utilizzato come punto di mount per quella partizione Scegliere la dimensione che in questo caso pu essere l intera partizione dato che possibile estenderla o ridurla scegliere Termina per tornare alla schermata Partizionamento dei dischi 9 Ora aggiungere il file system al nuovo LVM Selezionare la partizione LVM VG vg01 LV srv o in base al nome inserito e scegliere Usato come Impostare un file system selezionando srv come punto di mount e una volta completato selezionare Preparazione di questa partizione completata 10 Infine selezionare Terminare il partizionamento e scrivere i cambiamenti sul disco confermare le modifiche e continuare l installazione Per visualizzare informazioni riguardo LVM sono disponibili diverse utilit e pvdisplay visualizza informazioni riguardo i volumi fisici e vgdisplay visualizza informazioni riguardo i gruppi di volumi e Ivdisplay visualizza informazioni riguardo i volumi logici 4 2 3 Estendere i gruppi di volumi Continuando con srv come esempio di un volume LVM questa sezione spiega come aggiungere un secondo disco fisso creare un volume fisico PV aggiungerlo al gruppo di volumi VG estendere il volume logico srv e infine estendere il
95. percorso applicazione rails public gt Options Indexes FollowSymLinks MultiViews ExecCGI AllowOverride All Order allow deny allow from all AddHandler cgi script cgi lt Directory gt utile anche abilitare il modulo mod_rewrite di Apache Per abilitare il modulo mod_rewrite digitare il seguente comando in un terminale sudo a2enmod rewrite Infine necessario modificare i proprietari delle directory percorso applicazione rails public e percorso applicazione rails tmp con il proprietario usato per eseguire il processo Apache 200 Server web sudo chown R www data www data percorso applicazione rails public sudo chown R www data www data percorso applicazione rails tmp Il server ora pronto per le applicazioni Ruby on Rails 4 3 Riferimenti Per ulteriori informazioni consultare il sito web di Ruby on Rails Anche Agile Development with Rails un ottima risorsa e Un altro posto per reperire maggiori informazioni la pagina della documentazione della comunit di Ruby on Rails Md http rubyonrails org 18 http pragprog com titles rails3 agile web development with rails third edition 19 https help ubuntu com community RubyOnRails 201 Server web 5 Apache Tomcat Apache Tomcat un contenitore web che consente di servire Java Servlets e applicazioni web JSP Java Server Pages I pacchetti Tomcat 6 0 in Ubuntu supportano due diverse modalita di esecuzione E po
96. pi di 3GB di RAM utile generare una macchina a 64 bit arch amd64 e Fino a Ubuntu 8 10 il kernel virtuale era generato solo per architetture a 32 bit per definire quindi una macchina amd64 su Hardy usare flavour server 2 3 2 Parametri di installazione di JeOS 2 3 2 1 Rete con JeOS 2 3 2 1 1 Assegnare un indirizzo IP fisso Come applicazione che verr messa in produzione all interno di reti diverse molto difficile conoscere la struttura attuale della rete Per semplificare la configurazione utile procedere come solitamente procedono i venditori di hardware di rete assegnando un indirizzo IP fisso all interno di una classe di rete che verr descritta all interno della propria documentazione Un indirizzo nell intervallo 192 168 0 0 255 una buona scelta Per ottenere questo vengono usati i seguenti parametri e ip INDIRIZZO indirizzo IP il valore predefinito dhcp se non viene specificato nulla e hostname NOME impostare il nome host dell ospite e mask VALORE maschera di rete valore predefinito 255 255 255 0 e net VALORE indirizzo IP net valore predefinito X X X 0 e bcast VALORE broadcast valore predefinito X X X 255 318 Virtualizzazione e gw INDIRIZZO indirizzo del gateway valore predefinito X X X 1 e dns INDIRIZZO indirizzo server dei nomi valore predefinito X X X 1 Si d per scontato che 1 valori predefiniti siano sufficienti Il comando diventa sud
97. possono essere trovate nell intestazione dello script etc cron daily apt I risultati di unattended upgrades vengono registrati in var log unattended upgrades 29 Gestione dei pacchetti 5 1 Notifiche Impostando Unattended Upgrade Mail nel file etc apt apt conf 4 50unattended upgrades Si abilita unattended upgrades all invio di email all amministratore indicando i pacchetti da aggiornare o con problemi Un altro pacchetto molto utile apticron che consente di configurare un lavoro cron per l invio di email all amministratore con informazioni sui pacchetti da aggiornare oltre a un resoconto delle modifiche in ogni pacchetto Per installare apticron digitare sudo apt get install apticron Una volta installato aprire il file etc apticron apticron conf e impostare l indirizzo email e altre opzioni EMATL root example com 30 Gestione dei pacchetti 6 Configurazione La configurazione dei repository del sistema APT Advanced Packaging Tool memorizzata nel file etc apt sources list e nella directory etc apt sources list a Un esempio di questo file con le istruzioni su come aggiungere e rimuovere repository qui referenziato possibile modificare il file per abilitare o disabilitare i repository Per esempio per disabilitare la necessit di inserire il CD ROM di Ubuntu ogni volta che viene effettuata un operazione sui pacchetti sufficiente commentare la riga relativa a
98. queste devono essere inserite prima di qualsiasi regola terminante applicabile un regola con un obiettivo che decide il destino di un pacchetto come ACCEPT DROP o REJECT Se si sta usando ufw possibile attivare la registrazione con il seguente comando sudo ufw logging on Per disabilitare la registrazione in ufw sostituire nel comando precedente on con off Se in uso iptables al posto di ufw digitare 166 Sicurezza sudo iptables A INPUT m state state NEW p tcp dport 80 j LOG log prefix NEW_HTTP_CONN Una richiesta sulla porta 80 dal computer locale genererebbe in dmesg una traccia simile a questa unica riga divisa in 3 per adattarla al formato di questo documento 4304885 870000 NEW_HTTP_CONN IN lo OUT MAC 00 00 00 00 00 00 00 00 00 00 00 00 08 00 SRC 127 0 0 1 DST 127 0 0 1 LEN 60 TOS 0x00 PREC 0x00 TTL 64 ID 58288 DF PROTO TCP SPT 53981 DPT 80 WINDOW 32767 RES 0x00 SYN URGP 0 Il registro precedente appare anche in var log messages var log syslog e var log kern log Questo comportamento pu essere cambiato modificando in modo appropriato il file etc syslog conf oppure installando e configurando ulogd e facendo uso della destinazione ULOG al posto di LOG Il demone ulogd un server nello spazio utente in ascolto per le istruzioni di registro del kernel specifiche dei firewall possibile salvare i registri su qualsiasi file o perfino in un database come PostgreSQL o MySQL Per da
99. relativo a Ubuntu Server su Launchpad necessario creare un account 1 1 Segnalare bug con ubuntu bug Il modo preferito per segnalare un bug il comando ubuntu bug lo strumento ubuntu bug raccoglie le informazioni sul sistema utili agli sviluppatori per diagnosticare il problema segnalato che verranno incluse nella segnalazione di bug registrata su Launchpad Le segnalazioni di bug in ambiente Ubuntu devono essere registrate in relazione a uno specifico pacchetto software e pertanto necessario inserire in ubuntu bug il nome del pacchetto in cui si verificato il bug ubuntu bug NOME DEL PACCHETTO Per esempio per registrare un bug relativo al pacchetto openssh server necessario digitare ubuntu bug openssh server In ubuntu bug possibile specificare sia un pacchetto binario che un pacchetto sorgente Usando nuovamente come esempio openssh server inoltre possibile generare un rapporto relativo a openssh pacchetto sorgente di openssh server ubuntu bug openssh fe Per ulteriori informazioni sui pacchetti in Ubuntu consultare Capitolo 3 Gestione dei pacchetti 21 Il comando ubuntu bug raccoglie informazioni sul sistema in questione comprendendo possibilmente informazioni specifiche sullo specifico pacchetto e chiede cosa fare con il materiale raccolto ubuntu bug postgresql Collecting problem information The collected information can be sent to the developers to improve the application This might
100. rete Se il target disponibile dovrebbe essere visualizzato un output simile al seguente 192 168 0 10 3260 1 ign 1992 05 com emc s17b92030000520000 2 bA Il valore di iqn e l indirizzo IP sopra riportati possono variare in relazione alle componenti hardware utilizzate 229 Server di file E possibile ora connettersi al target iSCSI e in relazione alle sue impostazioni pu essere necessario digitare le proprie credenziali Effettuare l accesso al nodo iSCSI sudo iscsiadm m node login Controllare che il nuovo disco sia stato riconosciuto utilizzando dmesg dmesg grep sd 4 322384 sd 2 0 0 0 Attached scsi generic sgl type 0 4 322797 sd 2 0 0 0 sda 41943040 512 byte logical blocks 21 4 GB 20 0 GiB 4 322843 sd 2 0 0 0 sda Write Protect is off 4 322846 sd 2 0 0 0 sda Mode Sense 03 00 00 00 4 322896 sd 2 0 0 0 sda Cache data unavailable 4 322899 sd 2 0 0 0 sda Assuming drive cache write through 4 323230 sd 2 0 0 0 sda Cache data unavailable 4 323233 sd 2 0 0 0 sda Assuming drive cache write through 4 325312 sda sdal sda2 lt sda5 gt 4 325729 sd 2 0 0 0 sda Cache data unavailable 4 325732 sd 2 0 0 0 sda Assuming drive cache write through 4 325735 sd 2 0 0 0 sda Attached SCSI disk 2486 941805 sd 4 0 0 3 Attached scsi generic sg3 type 0 2486 952093 sd 4 0 0 3 sdb 1126400000 512 byte logical blocks 576 GB 537 GiB 2486 954195 sd 4 0 0 3 sdb
101. schema include etc ldap schema cosine schema include etc ldap schema duaconf schema include etc ldap schema dyngroup schema include etc ldap schema inetorgperson schema include etc ldap schema java schema include etc ldap schema misc schema include etc ldap schema nis schema include etc ldap schema openldap schema include etc ldap schema ppolicy schema include etc ldap schema ldapns schema include etc ldap schema pmi schema 2 Creare la directory di output 1dif_output 3 Determinare l indice dello schema slapcat f schema convert conf F ldif_output n 0 grep corba cn schema cn 1 corba cn schema cn config fy Quando slapd inserisce oggetti con lo stesso DN superiore crea un indice per quell oggetto l indice viene racchiuso fra parentesi graffe X 4 Usare slapcat per effettuare la conversione slapcat f schema convert conf F ldif_output n0 H ldap cn 1 corba cn schema cn confi Lo schema convertito ora in cn corba ldif 5 Modificare cn corba ldif per giungere alpgpguenti attributi Autenticazione di rete dn cn corba cn schema cn config cn corba Rimuovere anche le seguenti righe dal fondo structuralObjectClass olcSchemaConfig entryUUID 52109a02 66ab 1030 8be2 bb 166230478 creatorsName cn config createTimestamp 20110829165435Z entryCSN 20110829165435 935248Z 000000 000 000000 modifiersName cn config modifyTimestamp 20110829165435Z I valori degli at
102. server di OpenSSH e 1 relativi file di supporto usare questo comando al prompt di un terminale sudo apt get install openssh server possibile scegliere di installare il pacchetto openssh server durante il processo di installazione della Server Edition 1 3 Configurazione possibile configurare il comportamento predefinito dell applicazione server di OpenSSH sshd modificando il file etc ssh sshd_config Per maggiori informazioni riguardo le direttive di 82 Amministrazione remota configurazione usate in questo file consultare l appropriata pagina di manuale inserendo a un prompt di terminale il seguente comando man sshd_config All interno del file di configurazione di sshd sono presenti diverse direttive per controllare impostazioni riguardo la comunicazione o i mezzi di autenticazione Di seguito vengono riportati degli esempi di direttive di configurazione che possibile cambiare modificando il file etc ssh sshd_config Prima di modificare il file di configurazione consigliato fare una copia del file originale e proteggerla dalla scrittura cos da avere le impostazioni originali come riferimento ed eventualmente riusarle se necessario Copiare il file etc ssh sshd_config e proteggerlo da scrittura con il seguente comando digitando a un prompt di terminale sudo cp etc ssh sshd_config etc ssh sshd_config original sudo chmod a w etc ssh sshd_config original Quelli che seguono so
103. server senza la necessit della password Controllare sempre se nella directory home degli utenti sono presenti dei file che permettano questo tipo di autenticazione SSH come per esempio home nomeutente ssh authorized_keys Eliminare o rinominare la directory ssh nella home degli utenti per prevenire future autenticazioni SSH Assicurarsi di controllare qualsiasi connessione SSH stabilita dagli utenti disabilitati dato che potrebbero esserci connessioni aperti in entrata o in uscita Terminare tutte quelle che vengono trovate 158 Sicurezza Limitare l accesso SSH solo agli utenti che ne hanno il diritto Per esempio possibile creare un gruppo chiamato sshlogin e aggiungere il nome del gruppo alla voce AllowGroupsvarname gt nel file etc ssh sshd_config AllowGroups sshlogin Dopo aver aggiunto gli utenti con diritto di accesso SSH al gruppo sshlogin riavviare il server SSH sudo adduser NOME UTENTE sshlogin sudo service ssh restart 1 5 2 Autenticazione utenti su database esterno La maggior parte delle reti aziendali richiedono un servizio di autenticazione e di controllo degli accessi centralizzato per tutte le risorse di sistema Se il server stato configurato per gestire l autenticazione attraverso database esterni assicurarsi di disabilitare gli account utente sia esternamente che internamente in questo modo l autenticazione locale di riserva non pi possibile 159 Sicurezza
104. stampa liberamente disponibile e altamente portabile ed diventato il nuovo standard per la stampa in molte distribuzioni Linux CUPS gestisce lavori e code di stampa fornisce la stampa in rete tramite l utilizzo del protocollo IPP Internet Printing Protocol e al tempo stesso offre supporto a una nutrita schiera di stampanti dalle quelle a matrice di punti a quelle al laser comprese tutte quelle nel mezzo CUPS supporta anche il PPD PostScript Printer Detection e il rilevamento automatico delle stampanti di rete inoltre fornisce un semplice strumento di amministrazione e configurazione basato sul web 4 1 Installazione Per installare CUPS nel proprio computer Ubuntu basta usare sudo con il comando apt get e fornire i pacchetti da installare come primo parametro Un installazione completa di CUPS ha molte dipendenze di pacchetti ma possono essere specificati tutti nella stessa riga di comando Digitare quello che segue al prompt del terminale per installare CUPS sudo apt get install cups Dopo essersi autenticati con la propria password utente i pacchetti dovrebbero essere scaricati e installati Completato questo processo il server CUPS viene avviato automaticamente Per la risoluzione dei problemi possibile accedere alle registrazioni degli errori attraverso il file var log cups error_log Se non vengono mostrate informazioni sufficienti per risolvere i problemi incontrati possibile incrementare la prolissit
105. stato configurato per limitare quali gruppi hanno accesso alla directory condivisa necessario aggiornare i permessi del file system Il sistema dei permessi sui file di Linux non funziona correttamente con le ACL Access Control List di Windows NT In questi casi nei server Ubuntu sono disponibili le ACL POSIX che forniscono un controllo pi fine Per esempio per abilitare le ACL su srv con file system ext3 modificare il file etc fstab aggiungendo l opzione acl UUID 66bcdd2e 8861 4fb0 b7e4 e61c569fel7d srv ext3 noatime relatime acl 0 1 Quindi montare nuovamente la partizione sudo mount v o remount srv fe L esempio precedente assume che srv sia in una partizione separata Se srv o qualsiasi sia il percorso di condivisione fa parte della partizione potrebbe essere necessario riavviare il sistema Per uguagliare la configurazione precedente di Samba al gruppo sysadmin devono essere dati i permessi di lettura scrittura e di esecuzione su srv samba share al gruppo ga devono essere dati i permessi di lettura ed esecuzione e i file devono essere di propriet del nome utente melissa In un terminale digitare quanto segue 286 Reti Windows sudo chown R melissa srv samba share sudo chgrp R sysadmin srv samba share sudo setfacl R m g qa rx srv samba share ba Il comando setfacl imposta i permessi di esecuzione a tutti i file nella directory srv samba share Nel caso non sia desiderato no
106. succedere che un disco imposti il suo stato come difettoso faulty anche se non presenta alcun malfunzionamento hardware Pu essere utile in questi casi rimuovere e aggiungere il disco all array verr cos nuovamente sincronizzato con l array Se il disco non riesce a sincronizzarsi con l array pu indicare che il dispositivo sia effettivamente difettoso Il file proc mastat contiene anche informazioni utili riguardo i device RAID del sistema cat proc mdstat Personalities linear multipath raid0 raidl raid6 raid5 raid4 raid10 md0 active raidl sdal 0 sdbl 1 10016384 blocks 2 2 UU unused devices lt none gt Il seguente comando utile per controllare lo stato di un drive di sincronizzazione watch nl cat proc mdstat Premere Ctrl C per fermare il comando watch Se necessario sostituire un disco difettoso una volta sostituito e sincronizzato necessario reinstallare grub Per installare grub nel nuovo disco procedere come segue sudo grub install dev md0 Sostituire dev mdo con il nome dell array appropriato 13 Installazione 4 1 6 Risorse L argomento degli array RAID molto complesso e vasto poich sono disponibili molti modi diversi di configurare un array RAID Per maggiori informazioni consultare i seguenti collegamenti Documentazione online riguardo RAID Software RAID HOWTO Managing RAID on Linux 4 2 Logical Volume Manager LVM Logica
107. tgz else archive_file week_fil fi Print start status message echo Backing up Sbackup_files to S dest Sarchive_file date echo Backup the files using tar tar czf Sdest Sarchive_file Sbackup_files Print end status message echo echo Backup finished date Long listing of files in dest to check file sizes ls lh Sdest Lo script pu essere eseguito attraverso gli stessi metodi descritti in Sezione 1 2 Eseguire lo script 298 utile nel caso si verifichino disastri che il dispositivo di backup sia in una localit diversa Nello script di esempio l unit di backup un server che fornisce una condivisione NFS spostare questo server in un altra localit potrebbe non essere fattibile In base alla velocit di connessione potrebbe essere utile considerare di copiare il file d archivio attraverso un collegamento WAN su un server remoto Un altra opzione consiste nel copiare l archivio su di un disco esterno che pu essere spostato Poich il prezzo dei dischi portatili esterni sempre in diminuzione l utilizzo di due dischi per ogni livello dell archivio pu risultare altamente vantaggioso in questo modo possibile avere un disco esterno collegato al server di backup e un altro in un altra localit 302 Backup 2 2 Dispositivi a nastro Invece di usare una condivisione NFS possibile utilizzare un dispositivo a nastro collegato al server Un dispositivo di qu
108. tomcat Tomcat Books at https help ubuntu com community ApacheTomcat5 205 Capitolo 12 Database Ubuntu fornisce due dei pi popolari server database e MySQL e PostgreSQL Questi sono disponibili nel repository main La seguente sezione descrive come installare e configurare questi database 206 Database 1 MySQL MySQL un veloce e robusto database SQL multi thread e multi utente E concepito per funzionare in situazioni critiche sistemi di produzione a elevato carico e anche per essere inserito in software destinato alla distribuzione di massa 1 1 Installazione Per installare MySQL eseguire il seguente comando dal terminale sudo apt get install mysql server bJ In Ubuntu 12 04 MySQL installato per impostazione predefinita Anche se comptatibile al 100 con MySQL 5 1 se dovesse sorgere la necessit di installare quest ultima versione per esempio per servire da secondario per altri server MySQL 5 1 si pu installare appunto il pacchetto mysql server 5 1 Durante l installazione viene chiesto di inserire una password per l utente root di MySQL Una volta completata l installazione il server MySQL dovrebbe avviarsi automaticamente possibile digitare i seguenti comandi in un terminale per controllare se il server in esecuzione sudo netstat tap grep mysql L output del comando precedente dovrebbe essere tcp 0 0 localhost mysql LISTEN 2556 mysqld Se il serv
109. tra computer Gli strumenti tradizionali usati per svolgere queste funzioni come telnet o rcp sono insicuri e quando utilizzati trasmettono la password dell utente in chiaro OpenSSH fornisce un demone server e degli strumenti lato client per facilitare operazioni di controllo remoto e trasferimento di file in sicurezza e con crittografia sostituendo in modo completo gli strumenti tradizionali Il componente server di OpenSSH sshd in ascolto continuo per le connessioni in arrivo dei client qualunque sia lo strumento usato sui client Quando avviene una richiesta di connessione per mezzo di sshd viene impostata la corretta connessione in base allo strumento utilizzato dal client Per esempio se il computer remoto sta effettuando una connessione con l applicazione client ssh il server OpenSSH imposta dopo l autenticazione una sessione di controllo remoto Se un utente remoto si connette a un server OpenSSH con scp il demone server OpenSSH inizializza dopo l autenticazione una procedura di copia sicura di file tra il server e il client OpenSSH permette l utilizzo di diversi metodi di autenticazione inclusi password semplice chiave pubblica e ticket Kerberos 1 2 Installazione L installazione delle applicazioni server e client di OpenSSH semplice Per installare l applicazione client OpenSSH sui sistemi Ubuntu usare questo comando al prompt di un terminale sudo apt get install openssh client Per installare l applicazione
110. un protocollo TCP per scaricare file tra computer in passato stato usato anche per il caricamento ma considerato che questo metodo non utilizza la cifratura sia le credenziali dell utente che i dati sono trasferiti in chiaro e facilmente intercettati Se si cerca un modo per caricare e scaricare file in maniera sicura consultare la sezione OpenSSH in Capitolo 6 Amministrazione remota 81 FTP opera con un modello client server la componente server chiamata demone FTP che resta in ascolto di richieste FTP da parte di client remoti Alla ricezione di una richiesta gestisce l autenticazione e attiva la connessione per la durata della connessione esegue i comandi inviati dai client FTP L accesso a un server FTP pu essere gestito in due modi e Anonimo e Con autenticazione Nella modalit anonima i client remoti possono accedere al server FTP usando l account predefinito anonymous o ftp e usando come password un indirizzo email nella modalit autenticata un utente deve avere un account e una password quest ultima scelta molto poco sicura e non dovrebbe essere usata se non in speciali circostanze Se necessario trasferire file in sicurezza cercare SFTP nella sezione sui server Open SSH L accesso alle directory e ai file nel server FTP dipende dai permessi definiti per l account usato per l accesso Come regola generale il demone FTP nasconde la directory root del server FTP e la modifica con la directory home
111. un vocabolario Ricordarsi che una passphrase differenzia tra minuscole e maiuscole Digitare nuovamente la passphrase per la verifica Una volta digitata correttamente la chiave per il server viene generata e archiviata nel file server key Creare la chiave insicura quella priva di passphrase e scambiare i nomi delle chiavi 173 Sicurezza openssl rsa in server key out server key insecure mv server key server key secure mv server key insecure server key La chiave insicura ora chiamata server key ed possibile usare questo file per generare la CSR senza passphrase Per creare il CSR eseguire il seguente comando openssl req new key server key out server csr Viene chiesto di inserire la passphrase se viene inserita la passphrase corretta viene chiesto di inserire il nome della societ nome del sito email ecc Una volta inseriti tutti questi dettagli la CSR viene creata e archiviata nel file server csr file ora possibile inviare il file della CSR alla CA che lo utilizzer per creare il certificato finale comunque possibile creare un certificato auto firmato utilizzando questa CSR 5 3 Creare un certificato auto firmato Per creare un certificato auto firmato eseguire da un terminale il seguente comando openssl x509 req days 365 in server csr signkey server key out server crt Il comando precedente chieder la passphrase Una volta digitata correttamente il certificato vie
112. usr share doc ircd irc2 2 2 Configurazione Le impostazioni IRC possono essere svolte nel file di configurazione etc ircd ircd conf dove possibile impostare il nome host IRC modificando la seguente riga M irc localhost Debian ircd default configuration 000A Assicurarsi di aggiungere gli alias DNS per il nome host IRC Per esempio se il nome host IRC irc example net assicurarsi che irc example net possa essere risolto dal proprio DNS Il nome host IRC non dovrebbe essere lo stesso del nome host I dettagli dell amministratore possono essere configurati modificando la seguente riga A Organization IRC dept Daemon lt ircd example irc org gt Client Server IRCnet Per configurare le porte IRC da ascoltare per configurare le credenziali di Operator o l autenticazione lato client necessario aggiungere delle specifiche righe nel file di configurazione Per maggiori informazioni fare riferimento al file di configurazione di esempio usr share doc irca irc2 ircd conf example gz Il messaggio banner IRC da visualizzare nei client IRC quando gli utenti si connettono al server pu essere impostato nel file etc ircd ircd motd Una volta apportate le necessarie modifiche al file di configurazione riavviare il server IRC tramite il seguente comando sudo service ircd irc2 restart 2 3 Riferimenti Potrebbe essere interessante controllare anche altri server IRC disponibili nei repository Ubuntu
113. 0 0 ufw user limit accept 0 0 RULES tuple allow tcp 80 0 0 0 0 0 any 0 0 0 0 0 A ufw user input p tcp dport 80 j ACCEPT END RULES A ufw user input j RETURN A ufw user output j RETURN A ufw user forward j RETURN A ufw user limit m limit limit 3 minut j LOG log prefix UFW LIMIT A ufw user limit j REJECT A ufw user limit accept j ACCEPT COMMIT Rules updated e possibile disabilitare ufw con il comando sudo ufw disable e Per visualizzare lo stato del firewall usare sudo ufw status e Per informazioni pi dettagliate usare 162 Sicurezza sudo ufw status verbose e Per visualizzare il formato a numeri sudo ufw status numbered fa Se la porta che si vuole aprire o chiudere definita in etc services possibile usare il nome della porta al posto del numero In questo esempio si sostituisce 22 con ssh Questa una breve introduzione all utilizzo di ufw Per maggiori informazioni consultare le pagine man di ufw 3 2 1 Integrazione delle applicazioni con ufw Le applicazioni che aprono delle porte possono includere un profilo ufw in cui vengono descritte le porte necessarie all applicazione per funzionare correttamente I profili vengono salvati in etc ufw applications d e possono essere modificati se le porte predefinite sono cambiate e Per visualizzare quali applicazioni hanno un profilo installato in un terminale digitare
114. 00009a436215ec undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 1 sdc 8 32 undef ready running 3 0 0 1 sdg 8 96 undef ready running create 3600a0b80001327d800000070436216b3 undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 2 sdd 8 48 undef ready running 3 0 0 2 sdg 8 112 undef ready running create 3600a0b80001327510000009b4362163e undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 3 sdd 8 64 undef ready running 3 0 0 3 sdg 8 128 undef ready running 2 Per evitare che il device mapper esegua la mappatura di dev sda nelle proprie mappe multipath modificare la sezione della blacklist del file etc multipath conf in modo da includere questo dispositivo Anche se possibile inserire nella blacklist il dispositivo sda utilizzando un tipo 60 DM Multipath di devnode tale procedura non risultera sicura poich dev sda potrebbe non essere uguale al momento del riavvio Per inserire nella blacklist singoli dispositivi utilizzare il WWID del dispositivo in questione Da notare che all interno dell output del comando multipath v2 il WWID del dispositivo dev sda SIBM ESXSST336732LC___ F3ETOEP0Q000072428BxX1 Per inserire nella blacklist questo dispositivo includere quanto segue n
115. 02 secs 106000 bytes sec zone 1 168 192 in addr arpa IN sending notifies serial 5 client 192 168 1 10 20329 received notify for zone example com zone example com IN Transfer started transfer of example com IN from 192 168 1 10 53 connected using 192 168 1 11 38577 zone example com IN transferred serial 5 transfer of example com IN from 192 168 1 10 53 Transfer completed 1 messages 8 records 225 bytes 0 002 secs 112500 bytes sec fy Nota Una zona trasferita solo se il numero Serial del server primario maggiore di quello del server secondario Per ottenere che il server primario DSN notifichi ai server secondari DNS i cambiamenti di zona aggiungere also notify indirizzo IP in etc bind named conf local come mostrato nel seguente esempio zone example com type master file etc bind db example com allow transfer 192 168 1 11 also notify 192 168 1 11 146 DNS Domain Name Service zone 1 168 192 in addr arpa type master file etc bind db 192 allow transfer 192 168 1 11 also notify 192 168 1 11 fa La directory predefinita per file di zona non autoritativi var cache bind Questa directory configurata anche in AppArmor per consentirne la scrittura da parte del demone named Per maggiori informazioni consultare Sezione 4 AppArmor 168 147 DNS Domain Name Service 3 Risoluzione problemi Questa sezi
116. 1 1 Installazione Per installare postfix eseguire il seguente comando sudo apt get install postfix Premere Invio quando il processo di installazione pone delle domande la configurazione verra effettuata in dettaglio al passo successivo 1 2 Configurazione di base Per configurare postfix eseguire il seguente comando sudo dpkg reconfigure postfix Viene visualizzata l interfaccia utente In ogni schermata selezionare i seguenti valori e Internet Site e mail example com e steve e mail example com localhost localdomain localhost e No e 127 0 0 0 8 ffff 127 0 0 0 104 1 128 192 168 0 0 24 0 e e tutti bA Sostituire mail example com con il dominio con cui si accettano email 192 168 0 0 24 con l intervallo di rete e di classe del proprio server mail e steve con il nome utente appropriato A questo punto utile decidere quale formato usare per la mailbox Postfix come impostazione predefinita utilizza mbox come formato Invece di modificare il file di configurazione possibile usare il comando postconf per configurare tutti i parametri di postfix che vengono salvati nel file 236 Servizi email etc postfix main c Per riconfigurare un particolare parametro sempre possibile eseguire il comando precedente o modificare il file Per configurare la casella di posta per Maildir sudo postconf e home mailbox Maildir fy Questo posizionera le nuove mail in home VOME_
117. 1 2 Nomi logici dell interfaccia Ethernet I nomi logici delle interfacce sono configurati nel file etc udev rules d 70 persistent net rules Per controllare quale interfaccia riceve un particolare nome logico trovare la riga che corrisponde all indirizzo MAC dell interfaccia e modificare il valore NAME ethX in quello desiderato Riavviare il sistema per rendere definitive le modifiche 35 Rete 1 1 3 Impostazione dell interfaccia Ethernet ethtool un programma che visualizza e modifica impostazioni della scheda Ethernet come l autonegoziazione la velocit della porta la modalit duplex e il Wake on LAN Non installato per impostazione predefinita ma disponibile per l installazione da repository sudo apt get install ethtool Quello che segue un esempio di come visualizzare caratteristiche supportate e impostazioni configurate di un interfaccia Ethernet sudo ethtool eth0 Settings for eth0 Supported ports TP Supported link modes 10baseT Half 10baseT Full 100baseT Half 100baseT Full 1000baseT Half 1000baseT Full Supports auto negotiation Yes Advertised link modes 10baseT Half 10baseT Full 100baseT Half 100baseT Full 1000baseT Half 1000baseT Full Advertised auto negotiation Yes Speed 1000Mb s Duplex Full Port Twisted Pair PHYAD 1 Transceiver internal Auto negotiation on Supports Wake on g Wake on d Current message level 0x000000 255 Link detected ye
118. 2 Sicurezza della console Come con qualsiasi altro sistema di protezione che viene usato per proteggere il proprio server molto difficile difendersi dai rischi imprevisti causati da qualcuno con accesso fisico all interno dell ambiente di lavoro come furti di dischi fissi mancanza di corrente e via dicendo Perci necessario considerare la sicurezza della console come un componente della sicurezza totale del sistema Una porta bloccata pu fermare un malintenzionato o pu almeno rallentare un ladro esperto ed quindi utile prendere delle precauzioni anche a livello della console Le seguenti istruzioni consentiranno di proteggere il proprio server da problemi che potrebbero portare serie conseguenze 2 1 Disabilitare il Ctrl Alt Canc Qualsiasi persona con accesso fisico alla tastiera pu semplicemente premere Ctrl Alt Canc per riavviare il server senza eseguire l accesso Qualcuno pu sempre scollegare la presa della corrente ma per lo meno da evitare l uso di questa combinazione di tasti su un server in produzione In questo modo un malintenzionato costretto a utilizzare altre strategie per riavviare un server e consente di non riavviarlo accidentalmente e Per disabilitare il riavvio azionato dalla combinazione di tasti Ctrl Alt Canc commentare la seguente riga nel file etc init control alt delete conf exec shutdown r now Control Alt Delete pressed 160 Sicurezza 3 Firewall 3 1 In
119. 2 3 4 netmask 255 255 255 248 default 1 2 3 1 auto ethl iface ethl inet manual up ip link set SIFACE up promisc on auto br0 iface br0 inet static address 10 0 0 4 netmask 255 255 255 0 bridge_ports ethl At this point you need to restart networking Be prepared that this might not work as expected and that you will lose remote connectivity Make sure you can solve problems having local access sudo service network restart 1 6 2 2 Prepare server config for bridging Modificare il file etc openvpn server conf cambiando le seguenti opzioni dev tun dev tap up etc openvpn up sh br0 ethi server 10 8 0 0 255 255 255 0 server bridge 10 0 0 4 255 255 255 0 10 0 0 128 10 0 0 254 Next create a helper script to add the tap interface to the bridge and to ensure that eth1 is promiscuous mode Create etc openvpn up sh bin sh BR 1 ETHDEV 2 367 VPN TAPDEV 3 sbin ip link set STAPDEV up sbin ip link set SETHDEV promisc on sbin brctl addif BR TAPDEV Then make it executable sudo chmod 755 etc openvpn up sh Una volta configurato il server riavviare openvpn digitando sudo service openvpn restart 1 6 2 3 Configurazione del client Installare openvpn sul client sudo apt get install openvpn Configurato il server e copiati i certificati del client nella directory etc openvpn creare un file di configurazione per il client copiando l esempio Nel computer client da un terminale
120. 39 Capitolo 8 DNS Domain Name Service Il DNS Domain Name Service un servizio Internet che mappa gli indirizzi IP e i nomi di dominio univoci FQDN tra di loro facendo in modo di non dover ricordare gli indirizzi IP I computer che eseguono DNS sono chiamati server dei nomi Ubuntu dotato di BIND Berkley Internet Naming Daemon il pi diffuso programma usato per mantenere un server dei nomi su Linux 140 DNS Domain Name Service 1 Installazione A un promt di terminale inserire il seguente comando per installare dns sudo apt get install bind9 Un pacchetto molto utile per fare test e risolvere problemi legati al DNS nel pacchetto dnsutils molto spesso questi strumenti sono gia installati ma per controllare installare dnsutils digitare quanto segue sudo apt get install dnsutils 141 DNS Domain Name Service 2 Configurazione BIND9 pu essere configurato in diversi modi tra cui come cache per server dei nomi master principale e master secondario e Quando configurato come un server dei nomi cache BIND9 trover la risposta alle interrogazioni sui nomi e la archivier e Come server primario BIND9 legge i dati per una zona da un file ed autoritativo per quella zona e Nella configurazione come server secondario BIN9 ottiene i dati della zona da un altro server dei nomi per quella zona 2 1 Panoramica I file di configurazione di DNS sono archiviati nella directory
121. 4 2 9 LXC Upstart Jobs As listed above the lxc package includes two upstart jobs The first 1xc net is always started when the other 1xc is about to begin and stops when it stops If the USE_LXC_BRIDGE variable is set to false in etc defaults 1xc then it will immediately exit If it is true and an error occurs bringing up the LXC bridge then the 1xc job will not start 1xc net will bring down the LXC bridge when stopped unless a container is running which is using that bridge The 1xc job starts on runlevel 2 5 If the LXC_AUTO variable is set to true then it will look under etc 1xc for containers which should be started automatically When the 1xc job is stopped either manually or by entering runlevel 0 1 or 6 it will stop those containers To register a container to start automatically create a symbolic link etc default 1xc name conf pointing to the container s config file For instance the configuration file for a container cn is var lib 1xc CN config To make that container auto start use the command sudo ln s var lib lxc CN config etc lxc auto CN conf 4 3 Container Administration 4 3 1 Creating Containers The easiest way to create containers is using Ixc create This script uses distribution specific templates under usr lib lxc templates to set up container friendly chroots under var lib lxc CN rootfs and initialize the configuration in var lib 1xc CN fstab and var lib 1xc CN config w
122. 5 http httpd apache org docs 2 2 mod mod_negotiation html multiviews 192 Server web 1 2 3 Impostazioni di httpd Questa sezione espone alcune delle configurazioni di base del demone httpd LockFile la direttiva LockFile imposta il percorso al file di lock utilizzato quando il server viene compilato con USE_FCNTL_SERIALIZED_ACCEPT o USE_FLOCK_SERIALIZED_ACCEPT Deve essere conservato nel disco locale Questo valore dovrebbe essere lasciato invariato a meno che la directory di log non sia localizzata su una condivisione NFS In questo caso il valore dovrebbe essere modificato con una posizione sul disco locale e una directory accessibile solamente dall utente root PidFile la direttiva PidFile imposta il file in cui il server registra il proprio pid Questo file dovrebbe essere leggibile solamente dall utente root Nella maggior parte dei casi pu essere lasciata invariata User la direttiva User assegna l identificativo dell utente utilizzato dal server per rispondere alle richieste Questa impostazione determina l accesso al server tutti i file inaccessibili per questo utente sono inaccessibili anche per i visitatori del sito il valore predefinito per User www data O A meno che non sia estremamente necessario non impostare mai la direttiva User a root Utilizzare root con User pu creare una falla nella sicurezza del server Web Group la direttiva Group simile alla direttiva User stabilis
123. C secondario per consentire la connessione ai server LDAP utilizzando LDAPS Ora possibile aggiungere i principal Kerberos al database LDAP che verranno copiati su tutti gli altri server LDAP di replica Per aggiungere un principal utilizzando l utilit kadmin local digitare sudo kadmin local Authenticating as principal root admin EXAMPLE COM with password kadmin local addprinc x dn uid steve ou people dc example dc com steve WARNING no policy specified for steve EXAMPLE COM defaulting to no policy Enter password for principal steve EXAMPLE COM Re enter password for principal steve EXAMPLE COM Principal steve EXAMPLE COM created Dovrebbero ora essere aggiunti all oggetto utente uid steve ou people dc example dc com gli attributi krbPrincipalName krbPrincipalKey krbLastPwdChange e krbExtraData Per verificare che all utente venga emesso un ticket utilizzare le utilit kinit e klist fe Se l oggetto utente gi stato creato necessario usare l opzione x dn per aggiungere gli attributi Kerberos altrimenti verr creato un nuovo oggetto principal nel sottoalbero del reame 4 3 Configurazione KDC secondario La configurazione di un KDC secondario utilizzando il backend LDAP molto simile alla configurazione tramite l utilizzo del database Kerberos 1 Installare i pacchetti necessari In un terminale digitare sudo apt get install krb5 kdc krb5 admin server krb5 kdc ldap 2 Modificare i
124. CP e disattiva l interfaccia sudo ifdown eth0 1 2 3 Assegnazione di un indirizzo IP statico Per configurare il sistema per usare un assegnazione di indirizzo IP statico aggiungere il metodo statico all indirizzo inet nell istruzione per l interfaccia appropriata nel file etc network interfaces Il seguente esempio assume che si stia configurando la prima interfaccia Ethernet identificata come eth0 Modificare i valori per l indirizzo la maschera di rete e il gateway per farli corrispondere ai requisiti della propria rete auto eth0 iface eth0 inet static address 10 0 0 100 38 Rete netmask 255 255 255 0 gateway 10 0 0 1 Nell aggiungere una configurazione d interfaccia come mostrato sopra possibile abilitare manualmente l interfaccia con il comando ifup sudo ifup eth0 Per disabilitare manualmente l interfaccia possibile usare il comando ifdown sudo ifdown eth0 1 2 4 Interfaccia di loopback L interfaccia di loopback identificata dal sistema come lo e ha un indirizzo IP predefinito di 127 0 0 1 pu essere visualizzata con il comando ifconfig ifconfig lo lo Link encap Local Loopback inet addr 127 0 0 1 Mask 255 0 0 0 inet6 addr 1 128 Scope Host UP LOOPBACK RUNNING MTU 16436 Metric 1 RX packets 2718 errors 0 dropped 0 overruns 0 frame 0 TX packets 2718 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 0 RX bytes 183308 183 3 KB TX bytes 183308 183 3 KB Per imposta
125. Configurazione client NFS Utilizzare il comando mount per montare una directory NFS condivisa da un altra macchina digitando un comando simile al seguente a un prompt di terminale sudo mount esempio nomehost it ubuntu locale ubuntu 227 Server di file Il punto di mount 1locale ubuntu deve esistere Non ci dovrebbero essere n file n sottodirectory all interno di 10cale ubuntu Un modo alternativo per montare una condivisione NFS da un altra macchina consiste nell aggiungere una riga al file etc fstab Questa riga deve contenere il nome dell host del server NFS la directory esportata dal server e la directory sulla macchina locale dove montare la condivisione NFS La sintassi generale per la riga nel file etc fstab come segue esempio nomehost it ubuntu locale ubuntu nfs rsize 8192 wsize 8192 timeo 14 intr Se si hanno problemi nel montare la condivisione NFS assicurarsi che il pacchetto nfs common sia installato sul client Per installare nfs common digitare il seguente comando al prompt del terminale sudo apt get install nfs common 2 4 Riferimenti FAQ di NFS per Linux Documentazione online riguardo NFS 3 http nfs sourceforge net hi https help ubuntu com community NFS v4Howto 228 Server di file 3 Iniziatore iSCSI iSCSI Internet Small Computer System Interface un protocollo che permette di inviare comandi SCSI su di una rete Tipicamente iSCSI implemen
126. EXAMPLE COM steve kdc02 example com sudo mv k5 EXAMPLE COM etc krb5kdc Ricordarsi di sostituire EXAMPLE COM con il reame in uso Dal KDC secondario ri avviare solo il server ldap sudo service slapd restart Infine avviare il demone krb5 kdc sudo service krb5 kdc start Verificare che i due server ldap e Kerberos in senso lato siano sincronizzati 138 Autenticazione di rete All interno della propria rete sono quindi disponibili dei KDC ridondanti che assieme ai server LDAP ridondanti permettono l autenticazione degli utenti anche nel caso in cui un server LDAP un server Kerberos o uno server LDAP e un server Kerberos non siano pi disponibili 4 4 Risorse Maggiori informazioni possono essere trovate nella Kerberos Admin Guide For more information on kdb5_Idap_util see Section 5 6 and the kdb5_ldap_util man page e Another useful link is the krb5 conf man page e possibile consultare anche la documentazione online della comunit su Kerberos e LDAP 58 http web mit edu Kerberos krb5 1 6 krb5 1 6 3 doc krb5 admin html Configuring Kerberos with OpenLDAP back_002dend 59 http web mit edu Kerberos krb5 1 6 krb5 1 6 3 doc krb5 admin html Global Operations on the Kerberos LDAP Database oy http manpages ubuntu com manpages quantal en man8 kdbS_ldap_util 8 html 61 http manpages ubuntu com manpages quantal en manS krb5 conf 5 html 02 https help ubuntu com community Kerberos kerberos ldap 1
127. FC prima di rimuoverlo dal sistema 70 DM Multipath Attributo Descrizione l impostazione a infinity porter l intervallo a 2147483647 secondi o 68 anni Il valore predefinito determinato dal sistema operativo 4 4 Attributi del file di configurazione di multipath La tabella Attributi di multipath 71 mostra gli attributi da impostare nella sezione multipaths del file di configurazione multipath conf per ciascun specifico dispositivo multipath questi attributi vengono applicati solo a quel multipath specificato Queste impostazioni predefinite sono utilizzate da DM Multipath e sovrascrivono gli attributi impostati nelle sezioni defaults e devices del file di configurazione multipath conf Tabella 5 3 Attributi di multipath Attributo Descrizione wwid Specifica il WWID del dispositivo multipath al quale sono applicabili gli attributi multipath Questo parametro obbligatorio per questa sezione del file multipath conf alias Specifica il nome simbolico per il dispositivo multipath al quale sono applicabili gli attributi multipath Se si usano user_friendly_names non impostare questo valore su mpathn tale impostazione pu entrare in conflitto con un nome descrittivo assegnato automaticamente generando nomi del nodo del dispositivo non corretti In aggiunta i seguenti parametri possono essere sovrascritti in questa sezione multipath e path _grouping_ policy e p
128. Guida a Ubuntu Server Guida a Ubuntu Server Diritto d autore 2012 Collaboratori a questo documento Sommario Benvenuti nella Guida a Ubuntu server Questa guida contiene informazioni su come installare e configurare diverse applicazioni server per Ubuntu a seconda delle proprie esigenze E una guida passo passo orientata ai processi per configurare e personalizzare il sistema Riconoscimenti e licenza Questo documento viene mantenuto dal gruppo documentazione di Ubuntu https wiki ubuntu com DocumentationTeam Un elenco dei collaboratori riportato nel prosieguo Questo documento reso disponibile nei termini della licenza Creative Commons ShareAlike 3 0 CC BY SA Siete liberi di modificare estendere e migliorare la documentazione di Ubuntu rispettando i termini di questa licenza Tutti i lavori derivati devono essere rilasciati sotto i termini di questa licenza Questa documentazione viene distribuita nella speranza che possa essere utile ma SENZA ALCUN TIPO GARANZIA n esplicita n implicita di COMMERCIABILIT ed UTILIZZABILIT PER UN PARTICOLARE SCOPO COS COME DESCRITTO NEL PREAMBOLO Una copia della licenza disponibile qui Creative Commons ShareAlike License Collaboratori a questo documento Membri di Ubuntu Documentation Project Membri di Ubuntu Server Team e Collaboratori di Ubuntu Documentation Wiki e Altri collaboratori possono essere trovati nella storia delle revisioni di se
129. In base a come stato ottenuto il certificato potrebbe essere necessario inserire una passphrase quando viene avviato Apache2 possibile accedere alle pagine del server sicuro digitando https nome_host url nel barra degli indirizzi del proprio browser 194 Server web 1 4 Condivisione del permesso di scrittura Per consentire a pi utenti di modificare la stessa directory necessario concedere il permesso di scrittura a un gruppo al quale tutti appartengono L esempio seguente concede il permesso di scrittura di var www al gruppo webmasters sudo chgrp R webmasters var www sudo find var www type d exec chmod g rwxs sudo find var www type f exec chmod g rws fy Se l accesso deve essere concesso a pi di un gruppo per directory abilitare le Access Control List ACL 1 5 Riferimenti La documentazione di Apache2 contiene informazioni dettagliate riguardo le direttive di configurazione di Apache2 Inoltre per la documentazione ufficiale di Apache2 consultare il pacchetto apache2 doc Per maggiori informazioni riguardo SSL consultare la documentazione di Mod SSL Il libro Apache Cookbook di O Reilly un ottima risorsa per informazioni su specifiche configurazioni di Apache2 e Per domande relative alla versione di Ubuntu di Apache2 chiedere nel canale IRC ubuntu server sul server freenode net e Una buona risorsa riguardo PHP e MySQL pu essere tro
130. Ivm conf includere il seguente filtro nella sezione dispositivi del file filter r block disk r sd alec J Dopo aver aggiornato etc lvm conf necessario aggiornare l initrd in modo che questo file sia copiato nella posizione in cui il filtro maggiormente necessario durante l avvio Eseguire update initramfs u k all fy Ogni volta che vengono aggiornati sia etc lvm conf che etc multipath conf necessario ricostruire initrd in modo da rispecchiare queste modifiche Ci indispensabile nel caso in cui siano necessari blacklist o filtri per mantenere una configurazione di archiviazione stabile 58 DM Multipath 3 Panoramica sull impostazione di DM Multipath Questa sezione contiene esempi passo passo di procedure per la configurazione di DM Multipath Al suo interno sono contenute le seguenti procedure e Impostazione di base di DM Multipath e Ignorare i dischi locali e Aggiungere ulteriori dispositivi al file di configurazione 3 1 Impostare DM Multipath Prima di impostare DM Multipath sul sistema assicuratevi che il sistema stesso sia stato aggiornato e includa il pacchetto multipath tools Se necessario effettuare l avvio da una SAN occorre anche il pacchetto multipath tools boot Una necessit di base di etc multipath conf non esiste nemmeno quando multpath eseguito senza l abbinamento con un etc multipath conf ricava un adeguata configurazione dal suo d
131. O Collection spiega come configurare un controller di dominio primario Il capitolo 5 della Samba HOWTO Collection spiega come configurare un controller di dominio di backup 21 http samba org samba docs man Samba HOWTO Collection 22 http www amazon com exec obidos tg detail 0131882228 23 http www oreilly com catalog 9780596007690 dA http samba org samba docs man Samba HOWTO Collection samba pdc html a http us3 samba org samba docs man Samba HOWTO Collection samba bdc html 292 Reti Windows e La pagina su Samba della documentazione 26 https help ubuntu com community Samba 293 Reti Windows 6 Integrare Samba con Active Directory 6 1 Accedere a una condivisione Samba Un altro uso di Samba consiste nell integrarlo all interno di una rete Windows esistente Una volta parte di un dominio Active Directory Samba pu fornire servizi di file e stampa agli utenti AD The simplest way to join an AD domain is to use Likewise open For detailed instructions see the Likewise Open documentation Una volta entrati nel dominio Active Directory digitare il seguente comando in un terminale sudo apt get install samba smbfs smbclient Aprire il file etc samba smb conf e modificare quanto segue workgroup EXAMPLE security ads realm EXAMPLE COM idmap backend lwopen idmap uid 50 9999999999 idmap gid 50 9999999999 Riavviare samba affinch le nuove impostazioni ab
132. Stack Object Storage Swift on a single node for development or testing purposes use the Swift All In One instructions on Ubuntu For more information see http swift openstack org development_saio html 3 8 Support and Troubleshooting Community Support e OpenStack Mailing list The OpenStack Wiki search Launchpad bugs area e Join the IRC channel openstack on freenode 3 9 Risorse e Cloud Computing Service models OpenStack Compute OpenStack Image Service e OpenStack Object Storage Administration Guide Installing OpenStack Object Storage on Ubuntu e http cloudglossary com 3 10 Glossario The Ubuntu Cloud documentation uses terminology that might be unfamiliar to some readers This page is intended to provide a glossary of such terms and acronyms e Cloud A federated set of physical machines that offer computing resources through virtual machines provisioned and recollected dynamically e IaaS Infrastructure as a Service Cloud infrastructure services whereby a virtualized environment is delivered as a service over the Internet by the provider The infrastructure can include servers network equipment and software 15 http swift openstack org development_saio html 16 https launchpad net openstack Mi http wiki openstack org 18 https bugs launchpad net nova 19 http en wikipedia org wiki Cloud_computing Service_Models 20 docs openstack org t
133. TP spazio su disco SSH gli utenti attuali i processi e il carico sul localhost Inoltre in grado di controllare attraverso il comando ping il gateway Installazioni di Nagios di grosse dimensioni possono essere complesse da configurare ed quindi utile partire con una configurazione piccola uno o due host prima di aumentare le dimensioni 2 3 Configurazione e 1 Per prima cosa creare un file di configurazione host per server02 se non diversamente specificato eseguire tutti questi comandi su server0 In un terminale digitare sudo cp etc nagios3 conf d localhost_nagios2 cfg etc nagios3 conf d server02 cfg Nei comandi precedenti e in quelli che seguono sostituire server01 server02 172 18 100 100 e 172 18 100 101 con i nomi host e gli indirizzi IP dei propri server Modificare il file etc nagios3 conf d server02 cfg define host use generic host Name of host template to use host_name server02 alias Server 02 address 172 18 100 101 check DNS service define service use generic servic host_name server02 service_description DNS 182 Monitoraggio check_command check_dns 172 18 100 101 Riavviare il demone nagios per abilitare la nuova configurazione sudo service nagios3 restart Aggiungere una definizione di servizio per il controllo MySQL aggiungendo quanto segue al file etc nagios3 conf d services_nagios2 cfg check MySQL servers define service ho
134. UTENTE Maildir e sara quindi necessario configurare il proprio MDA Mail Delivery Agent affinch utilizzi lo stesso percorso 1 3 Autenticazione SMTP SMTP AUTH consente a un client di identificarsi attraverso un meccanismo di autenticazione SASL TLS Transport Layer Security dovrebbe essere usato per cifrare il processo di autenticazione Una volta autenticato il server SMTP consentira ai client di scaricare le email 1 Configurare Postfix per SMTP AUTH usando SASL Dovecot SASL sudo postconf e smtpd_sasl_type dovecot sudo postconf e smtpd_sasl_path private auth client sudo postconf e smtpd_sasl_local_domain sudo postconf e smtpd_sasl_security_options noanonymous sudo postconf e broken_sasl_auth_clients yes sudo postconf e smtpd_sasl_auth_enable yes sudo postconf e smtpd_recipient_restrictions permit_sasl_authenticated permit_mynetworks reject_unauth_destination fy La configurazione smtpd_sasl_path un percorso relativo alla directory di Postfix 2 Ora ottenere o generare un certificato digitale per TLS per maggiori informazioni consultare la sezione Sezione 5 Certificati 172 In questo esempio viene usata anche un Autorit di Certificazione CA per informazioni su come generare un certificato CA consultare la sezione Sezione 5 5 Autorit di Certificazione 174 fy Il MUA che si connette al server mail ha bisogno di riconoscere il certificato usato bd per
135. a copia di sicurezza di tutti i dati nel sistema Per maggiori informazioni sulle opzioni di backup consultare il Capitolo 19 Backup 296 Se non la prima volta che viene installato un sistema operativo nel computer potrebbe essere necessario ripartizionare il disco fisso per creare spazio per l installazione di Ubuntu A ogni partizionamento del disco fisso necessario essere preparati per eventuali perdite di dati causate da errori o da malfunzionamenti nel sistema di partizionamento I programmi usati durante l installazione sono sicuri e usati da molti anni ma possono anche eseguire azioni distruttive Installazione 2 Installare da CD I passi di base per installare Ubuntu Server Edition dal CD sono uguali a quelli necessari per installare qualunque sistema operativo dal CD Diversamente dalla Desktop Edition la Server Edition non include un programma di installazione con interfaccia grafica la Server Edition utilizza invece un processo basato su un men a console Per prima cosa scaricare e masterizzare il file ISO appropriato dal sito web di Ubuntu e Avviare il sistema dal CD ROM e Al prompt dell avvio verr richiesto di selezionare una lingua e Nel men principale di avvio sono presenti alcune opzioni aggiuntive per l installazione di Ubuntu Server Edition possibile installare una versione di base controllare l eventuale presenza di difetti nel CD controllare la RAM del sistema effettuare l avvio d
136. a propria directory home e Il passo successivo nel processo di installazione consiste nel decidere come aggiornare il sistema Sono disponibili tre opzioni e Nessun aggiornamento automatico richiede che un amministratore si colleghi al computer e installi manualmente gli aggiornamenti e Installare automaticamente gli aggiornamenti di sicurezza verr installato il pacchetto unattended upgrades che installer gli aggiornamenti di sicurezza senza l intervento di un amministratore Per maggiori informazioni consultare Sezione 5 Aggiornamenti automatici 29 3 http www ubuntu com download server download Installazione e Gestire il sistema con Landscape Landscape un servizio a pagamento fornito da Canonical che consente di gestire diversi computer con Ubuntu installato Per maggiori informazioni consultare la pagina web dedicata a Landscape e Ora possibile scegliere se installare o non installare diversi pacchetti per attivit specifiche tasks per maggiori informazioni consultare Sezione 2 1 Pacchetti per attivit specifiche 7 inoltre presente un opzione per lanciare il programma aptitude per scegliere dei pacchetti specifici da installare Per maggiori informazioni consultare Sezione 4 Aptitude 27 e Infine prima di riavviare necessario impostare l orologio a UTC fy Se durante l installazione non si soddisfatti delle impostazioni predefinite usare la funzione Indietro pe
137. a risoluzione di problemi Se quanto sopra non funziona controllare questo e Controllare il syslog per es grep i vpn var log syslog e Tl client riesce a connettersi al server Forse un firewall sta bloccando l accesso Controllare il syslog sul server e Sia il client che il server devono usare lo stesso protocollo e la medesima porta per es UDP porta 1194 controllare le opzioni di configurazione di porta e protocollo e Client and server must use same config regarding compression see comp lzo config option e Client and server must use same config regarding bridged vs routed mode see server vs server bridge config option 1 6 Configurazione avanzata 1 6 1 Advanced routed VPN configuration on server The above is a very simple working VPN The client can access services on the VPN server machine through an encrypted tunnel If you want to reach more servers or anything in other networks push some routes to the clients E g if your company s network can be summarized to the network 192 168 0 0 16 you could push this route to the clients But you will also have to change the routing for the way back your servers need to know a route to the VPN client network Or you might push a default gateway to all the clients to send all their internet traffic to the VPN gateway first and from there via the company firewall into the internet This section shows you some possible options Push routes to the client to all
138. aa enforce posiziona un profilo nella modalit esecutiva sudo aa enforce percorso al bianrio e Nella directory etc apparmor d sono archiviati tutti i profili di AppArmor ed possibile da qui modificare la modalit di tutti i profili Usare il seguente comando per impostare tutti i profili nella modalit apprendimento sudo aa complain etc apparmor d Per impostare tutti i profili nella modalit esecutiva sudo aa enforce etc apparmor d 168 Sicurezza apparmor_parser utilizzata per caricare un profilo all interno del kernel Pu essere usata anche per ricaricare profili attraverso l opzione r Per caricare un profilo cat etc apparmor d profile name sudo apparmor_parser a Per ricaricare un profilo cat etc apparmor d profile name sudo apparmor_parser r service apparmor can be used to reload all profiles sudo service apparmor reload La directory etc apparmor d disable pu essere usata con l opzione apparmor_parser R per disabilitare un profilo sudo ln s etc apparmor d profile name etc apparmor d disable sudo apparmor_parser R etc apparmor d profile name Per riabilitare un profilo disabilitato rimuovere il collegamento simbolico al profilo in etc apparmor d disable quindi caricare il profilo usando l opzione a sudo rm etc apparmor d disable profile name cat etc apparmor d profile name sudo apparmor_parser a possibile disabilitare AppArmor e scaricare il
139. acter device access and to freeze suspend containers They can be further used to limit memory use and block i o guarantee minimum cpu shares and to lock containers to specific cpus By default LXC depends on the cgroup lite package to be installed which provides the proper cgroup initialization at boot The cgroup lite package mounts each cgroup subsystem separately under sys fs cgroup ss where SS is the subsystem name For instance the freezer subsystem is mounted under sys fs cgroup freezer LXC cgroup are kept under sys fs cgroup SS INIT 1xc where INIT is the init task s cgroup This is by default so in the end the freezer cgroup for container CN would be sys fs cgroup freezer lxc CN 4 2 8 Privilegi The container administration tools must be run with root user privilege A utility called 1xc setup was written with the intention of providing the tools with the needed file capabilities to allow non root users to run the tools with sufficient privilege However as root in a container cannot yet be reliably contained this is not worthwhile It is therefore recommended to not use 1xc setup and to provide the LXC administrators the needed sudo privilege 335 Virtualizzazione The user namespace which is expected to be available in the next Long Term Support LTS release will allow containment of the container root user as well as reduce the amount of privilege required for creating and administering containers
140. ai byte che comprendono la parte di rete di un indirizzo IP Per esempio l host 12 128 1 2 in una rete di classe A deve usare 12 0 0 0 come indirizzo di rete dove dodici 12 il primo byte dell indirizzo IP la parte di rete e gli zeri 0 nei rimanenti tre byte indicano tutti i possibili valori degli host Un host di rete che ha un indirizzo IP 192 168 1 100 deve invece usare un indirizzo di rete di 192 168 1 0 nel quale i primi tre byte specificano la rete di classe C 192 168 2 e lo zero 0 per tutti i possibili valori degli host nella rete 44 Rete e Indirizzo di broadcast l indirizzo di broadcast un indirizzo IP che permette di inviare dei dati di rete simultaneamente a tutti gli host di una data sotto rete piuttosto che a uno specifico host L indirizzo broadcast generale di base per una rete IP 255 255 255 255 ma questo indirizzo broadcast non pu essere usato per inviare un messaggio broadcast a tutti gli host presenti in internet perch i router lo bloccherebbero Un indirizzo di broadcast appropriato quello che indica una specifica sotto rete Per esempio in una rete privata di classe C 192 168 1 0 l indirizzo broadcast 192 168 1 255 I messaggi broadcast sono di norma prodotti dai protocolli di rete come il protocollo per la risoluzione degli indirizzi ARP Address Resolution Protocol e il protocollo delle informazioni di instradamento RIP Routing Information Protocol e Indirizzo del gateway l indiri
141. al primo disco fisso o ripristinare un sistema danneggiato La parte rimanente di questa sezione tratter l installazione di base di Ubuntu Server e Il programma d installazione chiede quale lingua usare e quindi di selezionare la posizione e Inizia quindi il processo d installazione con una richiesta relativa alla disposizione della tastiera possibile tentare un rilevamento automatico o selezionarla manualmente da un elenco Il programma d installazione rileva l hardware e configura le impostazioni di rete utilizzando il servizio DHCP Per non utilizzare questo servizio alla schermata successiva scegliere Indietro e quindi scegliere l opzione per configurare la rete manualmente e Vengono chiesti il nome host e il fuso orario e La disposizione del disco fisso si pu scegliere fra diverse opzioni di configurazione verr quindi richiesto di specificare su quale disco effettuare l installazione Potrebbero essere richieste delle conferme prima di riscrivere la tabella delle partizioni o impostare il LVM a seconda della disposizione del disco Se viene scelto il LVM verr richiesta la dimensione della root del volume logico Per maggiori informazioni sulle opzioni avanzate consultare Sezione 4 Installazione avanzata 10 e Il sistema base Ubuntu viene quindi installato e Viene impostato un nuovo utente che avr un accesso root per mezzo dell utilit sudo e Completate le impostazioni utente verr richiesto di cifrare l
142. all phpmyadmin Al prompt dei comandi scegliere quale server web configurare per phpMyAdmin Nel resto di sezione sezione viene utilizzato Apache2 All interno di un browser nella barra degli indirizzi scrivere Atp NOMESERVER phpmyadmin sostituendo NOMESERVER con il vero nome dell host Alla schermata di accesso scrivere root per username o un altro utente MySQL e digitare MySQL per la password Una volta effettuato l accesso possibile modificare la password di root creare utenti e creare ed eliminare database tabelle ecc 4 2 Configurazione I file di configurazione di phpMyAdmin sono posizionati in etc phpmyadmin Il file principale di configurazione etc phpmyadmin config inc php e contiene le opzioni globali di phpMyAdmin Per utilizzare phpMyAdmin per l amministrazione di un database MySQL presente in un altro server modificare le seguenti opzioni nel file etc phpmyadmin config inc php Scfgl l Servers Si host db_server bJ Sostituire db_server con il vero nome del server in cui presente il database remoto oppure con il suo indirizzo IP Inoltre assicurarsi che l host in cui presente phpMyAdmin possa accedere al database remoto Una volta configurato terminare e ricominciare la sessione di phpMyAdmin per poter accedere al nuovo server I file config header inc php config footer inc php vengono usati per aggiungere un intestazione e un pedice HTML a phpMyAdmin Un altro impor
143. alle applicazioni per il filtraggio sono necessarie le utilit di compressione per elaborare alcuni allegati delle email sudo apt get install arj cabextract cpio lha nomarch pax rar unrar unzip zip fy Se non possibile trovare alcuni pacchetti controllare che il repository multiverse sia abilitato etc apt sources list Se vengono effettuate modifiche al file assicurarsi di eseguire il comando sudo apt get update prima di tentare nuovamente l installazione 5 2 Configurazione Ora necessario configurare il tutto affinch i programmi funzionino assieme e vengano filtrate le email 5 2 1 ClamAV Il comportamento predefinito di ClamAV soddisfer le proprie necessit Per le altre opzioni di ClamAV controllare i file di configurazioni presenti in etc clamav Aggiungere l utente clamav al gruppo amavis affinch Amavisd new possa avere accesso per analizzare i file sudo adduser clamav amavis sudo adduser amavis clamav 5 2 2 Spamassassin Spamassassin rileva automaticamente i componenti opzionali e ne fa uso se sono presenti Ci significa che non c alcuna necessit di configurare pyzor e razor Modificare etc default spamassassin per attivare il demone Spamassassin daemon Cambiare ENABLED 0 in ENABLED 1 Ora avviare il demone 255 Servizi email sudo service spamassassin start 5 2 3 Amavisd new Per prima cosa attivare il rilevamento spam e antivirus in Amavisd new modifi
144. almente ad Apache2 Altri pacchetti che usano Apache2 per fornire contenuti possono aggiungere file o collegamenti simbolici in questa directory envvars file dove vengono impostate le variabili d ambiente di Apache2 httpd conf storicamente il principale file di configurazione di Apache2 prende il nome dal demone httpd Adesso il file generalmente vuoto dato che la maggior parte delle opzioni di configurazione sono state spostate nelle directory riportate di seguito Il file pu essere usato per le opzioni di configurazione specifiche dell utente che hanno effetto globalmente su Apache2 mods available questa directory contiene file di configurazione per caricare e configurare moduli Non tutti i moduli hanno file di configurazione specifici mods enabled contiene collegamenti simbolici ai file in etc apache2 mods available Quando viene creato un collegamento simbolico a un modulo di configurazione viene abilitato al successivo riavvio di apache2 ports conf contiene le direttive che determinano su quali porte TCP Apache2 sta in ascolto sites available questa directory contiene i file di configurazione per i Virtual Hosts di Apache2 Questi consentono di configurare Apache2 affinch venga utilizzato per siti multipli con configurazioni separate sites enabled come mods enabled sites enabled contiene collegamenti simbolici alla directory etc apache2 sites available Quando viene creato un collegamento simbolico di un f
145. almente dal modo in cui sara utilizzato il sistema 5 Selezionare la riga in alto Usare come per impostazione predefinita File system ext4 con journaling modificarla in volume fisico per il RAID e poi Impostazione della partizione completata 6 Per la partizione selezionare spazio libero sul primo drive e quindi Crea una nuova partizione 7 Utilizzare il restante spazio libero sul dispositivo e scegliere Continua quindi Primaria 8 Come perla partizione di swap selezionare la riga in alto Usare come e modificarla in volume fisico per il RAID Selezionare anche la riga Flag avviabile per cambiare il valore in attivato scegliere quindi Impostazione della partizione completata 9 Ripetere i passi dal 3 al numero 8 per gli altri dischi e partizioni 10 Installazione 4 1 2 Configurare RAID Impostate le partizioni quindi possibile configurare gli array Pe Y N Nella sezione di partizionamento dei dischi selezionare Configurare il software RAID Selezione S per scrivere le modifiche sul disco Scegliere Creare un device multidisk MD Per questo esempio selezionare RAJD Nel caso si stia utilizzando una diversa configurazione scegliere la tipologia adatta RAIDO RAID1 RAIDS Per poter usare il RA DS sono necessari almeno tre dischi Per RAIDO oppure RAID1 solo due Inserire il numero dei dispositivi attivi active 2 oppure il numero totale dei dischi disponibili per l array quindi selezion
146. anager Dato che virt manager richiede un interfaccia grafica GUI raccomandato installarlo su una workstation o una postazione di prova invece che un server di produzione Per connettersi al servizio libvirt locale virt manager c qemu system E possibile collegarsi al servizio libvirt in esecuzione su un altro host digitando in un terminale virt manager c qemu ssh virtnodel mydomain com system fy L esempio precedente assume che la connessione SSH tra il sistema di gestione e virtnodel mydomain com sia gi configurata e utilizzi le chiavi SSH per l autenticazione Le chiavi SSH sono necessarie perch libvirt invia il prompt password a un altro processo Per maggiori informazioni sulla configurazione di SSH consultare la Sezione 1 Server OpenSSH 82 1 6 Visualizzatore di macchine virtuali L applicazione virt viewer consente di collegarsi alla console di una macchina virtuale virt viewer non richiede un interfaccia grafica per interagire con la macchina virtuale Per installare virt viewer da un terminale digitare 314 Virtualizzazione sudo apt get install virt viewer Una volta installata e in esecuzione possibile connettersi alla console della macchina virtuale digitando virt viewer c qemu system web_devel Analogamente a virt manager virt viewer pu collegarsi a un host remoto utilizzando SSH con chiave di autenticazione virt viewer c qgemu ssh virtnodel miodominio it sy
147. apportate le modifiche al file etc squia squid conf salvarlo e per rendere effettivi i cambiamenti riavviare squid utilizzando il comando sudo service squid restart 3 3 Riferimenti Sito web di Squid Pagina della documentazione online di Squid E http www squid cache org IG https help ubuntu com community Squid 199 Server web 4 Ruby on Rails Ruby on Rails un ambiente web open source per sviluppare applicazioni web che si avvalgono di database ottimizzato per la produttivit sostenibile del programmatore dato che richiede di scrivere codice favorendo le convenzioni piuttosto che le configurazioni 4 1 Installazione Prima di installare Rails necessario installare Apache e MySQL Per installare il pacchetto Apache fare riferimento alla Sezione 1 HTTPD Server web Apache2 188 per MySQL fare riferimento alla Sezione 1 MySQL 207 Una volta installati Apache e MySQL possibile installare il pacchetto Ruby on Rails Per installare i pacchetti base di Ruby digitare in un terminale il seguente comando sudo apt get install rails 4 2 Configurazione Modificare il file di configurazione etc apache2 sites available default per impostare i propri domini La prima cosa da cambiare la direttiva DocumentRoot DocumentRoot percorso applicazione rails publicc Successivamente modificare lt Directory percorso applicazione rails public gt lt Directory
148. ar spool postfix private auth client mode 0660 user postfix group postfix Affinch i client Outlook utilizzino SMTP AUTH nella sezione auth default di etc dovecot dovecot conf aggiungere login mechanisms plain login Una volta configurato Dovecot riavviarlo sudo service dovecot restart 1 5 Mail Stack Delivery Un altra opzione per configurare Postfix per SMTP AUTH usare il pacchetto mail stack delivery in precedenza disponibile come dovecot postfix Questo pacchetto installa Dovecot e configura Postfix per usarlo sia per autenticazione SASL che come Mail Delivery Agent MDA Il pacchetto configura anche Dovecot per IMAP IMAPS POP3 e POP3S fy L esecuzione di IMAP IMAPS POP3 or POP3S sul server mail potrebbe eventualmente rendersi necessaria per esempio per configurare il server come gateway di posta come filtro spam virus ecc In tal caso pu essere pi semplice usare i comandi sopra riportati per configurare Postfix per SMTP AUTH Per installare il pacchetto in un terminale digitare sudo apt get install mail stack delivery Il server mail dovrebbe essere funzionante anche se possibile modificarne ulteriormente la configurazione Il pacchetto per esempio utilizza il certificato e la chiave presi dal pacchetto ssl cert ma con un server in produzione dovrebbero essere usati un certificato e una chiave generati appositamente per l host Per maggiori informazioni consultare Sezione 5
149. are Continua Inserire il numero dei dispositivi di scorta spare 0 come valore predefinito quindi selezionare Continua Scegliere la partizione da usare solitamente sdal sdb1 sdc1 ecc I numeri e le lettere solitamente corrispondono a diversi dischi fissi Per la partizione di swap scegliere sdal e sdb1 Selezionare Continua per andare al passo successivo Ripetere i passi dal tre al sette per la partizione scegliendo sda2 e sdb2 Una volta completato tutto selezionare Terminare 4 1 3 Formattare Dovrebbe essere visibile un elenco di dischi fissi e dispositivi RAID Il passo successivo consiste nel formattare e impostare il punto di mount per i dispositivi RAID tali dispositivi sono da considerare come dei normali dischi locali Selezionare nella partizione Dispositivo RAIDI 0 Scegliere Usato come quindi area di swap e infine Preparazione di questa partizione completata Selezionare quindi nella partizione Dispositivo RAIDI 1 Scegliere Usato come quindi File system ext4 con journaling Selezionare Punto di mount e scegliere il file system root Modificare se necessario le altre opzioni e selezionare Preparazione di questa partizione completata Selezionare Terminare il partizionamento e scrivere i cambiamenti sul disco Se stato scelto di posizionare la partizione di root nell array RAID il programma di installazione chieder se avviare il sistema in modalit degraded Per ma
150. aria la figura di un amministratore principal che possa essere utilizzato da personale meno esperto in client Kerberos Per maggiori dettagli consultare la pagina del manuale kadm5 acl 3 Riavviare krb5 admin server affinch le nuove ACL abbiano effetto sudo service krb5 admin server restart 4 Il nuovo utente pu essere provato con l utilit kinit kinit steve admin steve admin EXAMPLE COM s Password Una volta inserita la password usare l utilit klist per visualizzare le informazioni riguardo il TGT Ticket Granting Ticket 127 Autenticazione di rete klist Credentials cache FILE tmp krb5cc_1000 Principal steve admin EXAMPLE COM Issued Expires Principal Jul 13 17 53 34 Jul 14 03 53 34 krbtgt EXAMPLE COM EXAMPLE COM Dove il nome del file cache krb5cc_1000 composto dal prefisso krb5cc_ e dall identificativo dell utente UID in questo caso 1000 Potrebbe essere necessario aggiungere una voce nel file etc hosts per il KDC per esempio 192 168 0 1 kdc01 example com kdc01 Sostituire 92 68 0 1 con l indirizzo IP del KDC questo accade normalmente quando il reame Kerberos comprende diverse reti separate da router Il migliore modo per consentire ai client di determinare automaticamente il KDC per il reame usare i record DNS SRV Aggiungere quanto segue al file etc named db example com _kerberos _udp EXAMPLE COM IN SRV 1 0 88 kdc0l
151. aricare un archivio contenente il codice sorgente dell applicazione e Estrarre l archivio in una directory accessibile a un server web e In base a dove stato estratto il codice sorgente configurare un server web per fornire questi file e Configurare l applicazione affinch si colleghi al database e Eseguire uno script o spostarsi su una pagina dell applicazione per installare il database necessario all applicazione e Completati i passi precedenti o dei passi simili possibile utilizzare l applicazione Esistono anche alcuni svantaggi con questo approccio i file delle applicazioni non sono organizzati all interno del file system in modo standard causando confusione sul dove stata installata l applicazione Inoltre l aggiornamento dell applicazione risulta essere complicato quando viene rilasciata una nuova versione necessario ripetere gli stessi passi per l installazione Molte applicazioni LAMP sono comunque disponibili all interno dei repository di Ubuntu e si installano come tutte le altre normali applicazioni In base per all applicazione potrebbe essere necessario apportare alcune configurazioni in pi una volta installate Questa sezione illustra come installare alcune applicazioni LAMP 215 Applicazioni LAMP 2 Moin Moin MoinMoin un motore per wiki scritto in Python basato sul motore PikiPiki e rilasciato sotto licenza GNU GPL 2 1 Installazione Per installare MoinMoin eseg
152. art 1 3 Configurazione HTTPS Il modulo mod_ssl aggiunge un importante caratteristica al server Apache2 l abilit di cifrare le comunicazioni In questo modo quando il browser utilizza la cifratura SSL per le comunicazioni il prefisso https verr inserito nell URL Uniform Resource Locator nella barra degli indirizzi Il modulo mod_ssl disponibile nel pacchetto apache2 common Per abilitare il modulo mod_ssl eseguire il seguente comando in un terminale sudo a2enmod ssl Esiste un file di configurazione HTTPS predefinito in etc apache2 sites available default ssl Affinch Apache2 possa fornire connessioni HTTPS sono necessari un certificato e una chiave La configurazione HTTPS predefinita utilizza un certificato e una chiave generati attraverso ssl cert utili in fase di test ma da sostituire con con una versione specifica per il sito o il server Per maggiori informazioni su come generare una chiave e su come procurarsi un certificato consultare Sezione 5 Certificati 172 Per configurare l HTTPS per Apache2 digitare quanto segue sudo a2ensite default ssl fy Le directory etc ssl certs e etc ssl private sono le posizioni predefinite Se si installa il certificato e la chiave in un altra directory assicurarsi di modificare SSLCertificateFile e SSLCertificateKeyFile appropriatamente Con l HTTPS configurato riavviare il servizio per abilitare le nuove impostazioni sudo service apache2 restart fy
153. atabase interno e attinge anche dalla sua blacklist interna Se dopo aver eseguito multipath ll senza un file di configurazione non vengono scoperti multipath necessario procedere a un aumento della prolissit per scoprire perch non stato creato un multipath Fare riferimento alla documentazione del fornitore della SAN ai file di configurazione di multipath forniti come esempio in usr share doc multipath tools examples e al database multipathd in uso echo show config multipathd k gt multipath conf live bA Per ovviare a una particolarit in multipathd quando un etc multipath conf non esiste il precedente comando non restituisce nulla in quanto il risultato di una unione fra il etc multipath conf e il database in memoria Per rimediare a ci occorre definire un file etc multipath conf Vuoto utilizzando touch oppure crearne uno che ridefinisca un valore predefinito del tipo defaults user_friendly_names no e riavviare multipathd service multipath tools restart Ora il comando show config restituir il database in uso 3 2 Installazione con il supporto Multipath Per abilitare il supporto di multipath durante l installazione usare install disk detect multipath enable true l http wiki debian org DebianInstaller MultipathSupport 59 DM Multipath al prompt del programma di installazione I dispositivi multipath trovati vengono visualizzati come dev mapper mpath lt X
154. ate da errori umani In ogni caso l instradamento dinamico non perfetto e presenta alcuni svantaggi come l aumento della complessit e del carico di lavoro dovuto alle comunicazioni dei router della rete dei quali non pu beneficiare subito l utente finale che comunque consuma banda di rete 2 4 TCP e UDP TCP un protocollo basato sulla connessione che offre correzione d errore e che garantisce la consegna dei dati attraverso ci che conosciuto come controllo di flusso Il controllo di flusso determina quando il flusso di uno stream di dati debba essere fermato e i pacchetti di dati inviati in precedenza debbano essere reinviati a causa di problemi come collisioni assicurando quindi la completa e accurata consegna dei dati TCP tipicamente usato nello scambio di informazioni importanti come transazioni di database UDP User Datagram Protocol al contrario un protocollo senza connessione che raramente tratta della trasmissione dei dati importanti a causa della mancanza del controllo di flusso o di un altro metodo che garantisca la consegna affidabile dei dati UDP normalmente usato in applicazioni come lo streaming audio e video in cui risulta considerevolmente pi veloce del protocollo TCP data la 46 Rete mancanza di correzione d errore e del controllo di flusso e in cui la perdita di alcuni pacchetti non generalmente un evento catastrofico 2 5 ICPM ICMP Internet Control Messaging Protocol
155. ate motd man page for more options available to update motd L articolo di The Debian Package of the Day riguardo weather presenta molte altre informazioni Per maggiori informazioni riguardo l uso di etckeeper consultare il sito web di etckeeper is 5 e La pagina della documentazione della comunit su etckeeper e Per maggiori informazioni riguardo bzr consultare il sito web di bzr e Per maggiori informazioni riguardo screen consultare il sito web di screen E la pagina della documentazione della comunit su screen e Per maggiori informazioni consultare anche la project page di byobu i http manpages ubuntu com manpages quantal en man1 update motd 1 html 3 http debaday debian net 2007 10 04 weather check weather conditions and forecasts on the command line A http kitenet net joey code etckeeper 3 https help ubuntu com community etckeeper 6 http bazaar vcs org 1 http www gnu org software screen 8 https help ubuntu com community Screen i https launchpad net byobu 379 Appendice A Appendice 380 Appendice 1 Segnalare bug in Ubuntu Server Edition Nonostante Il Progetto Ubuntu cerchi di rilasciare software con il minor numero di bug possibile questi si verificano E possibile aiutare a correggere questi bug segnalando al progetto quelli che vengono trovati Il Progetto Ubuntu utilizza Launchpad per seguire le segnalazioni di bug per 2 segnalare un bug
156. ate network daemon s i Autostarting VPN server OK Ora controllare se OpenVPN ha creato un interfaccia tun0 root server etc openvpn ifconfig tun0 tun0 Link encap UNSPEC HWaddr 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 inet addr 10 8 0 1 P t P 10 8 0 2 Mask 255 255 255 255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU 1500 Metric 1 362 VPN 1 4 Semplice configurazione del client Ci sono diverse implementazioni OpenVPN per client con e senza GUI maggiori informazioni sui client verranno fornite in una successiva sezione Per il momento verra utilizzato OpenVPN client per Ubuntu che lo stesso eseguibile usato per il server E pertanto necessario installare nuovamente il pacchetto openvpn sul client sudo apt get install openvpn Questa volta copiare il file di configurazione d esempio client conf in etc openvpn sudo cp usr share doc openvpn examples sample config files client conf etc openvpn Copiare le chiavi client e il certificato della CA creati come indicato in una precedente sezione per esempio in etc openvpn e modificare etc openvpn client conf per assicurarsi che le righe seguenti puntino a quei file se 1 file sono in etc openvpn si pu omettere il percorso ca ca crt cert clientl crt key clientl key E necessario almeno specificare il nome o l indirizzo del server Open VPN assicurarsi che la parola chiave client sia nella configurazione questo che abilita la mo
157. ath selector e failback e prio e prio args e no path _retry tr min io e rr weight e flush_on_last_del Il seguente esempio mostra gli attributi multipath specificati nel file di configurazione per due specifici dispositivi multipath Il primo dispositivo presenta un WWID di 3600508b4000156d70001200000b0000 e il nome simbolico giallo Il secondo dispositivo multipath nell esempio ha un WWID di 1DEC 321816758474 e il nome simbolico rosso in questo esempio l attributo rr_weight impostato su priorities 71 DM Multipath multipaths multipath wwid 3600508b4000156d70001200000b0000 alias giallo path_grouping_policy multibus path_selector round robin 0 failback manual rr_weight priorities no_path_retry 5 multipath wwid 1DEC 321816758474 alias rosso rr_weight priorities 4 5 File di configurazione dispositivi La tabella Attributi del dispositivo 73 mostra gli attributi che possono essere impostati per ogni singolo dispositivo di archiviazione nella sezione device del file di configurazione multipath conf questi attributi sono utilizzati da DM Multipath a meno che non siano sovrascritti dagli attributi specificati nella sezione multipaths del file multipath conf per i percorsi che contengono il dispositivo Questi attributi sovrascrivono quelli impostati nella sezione defaults del file multipath conf Numerosi dispositivi che supportano il multipath sono inclusi per im
158. ato in questa guida slapd 29 http www openldap org 21 http manpages ubuntu com manpages en man8 slapd 8 html 117 Autenticazione di rete slapd confi g slapd access slapo syncprov e Altre pagine del manuale auth client confi gp pam auth update Il manuale online di Zytrax LDAP for Rocket Scientists un modo di trattare LDAP meno cattedratico ma esauriente e La pagina della documentazione della comunit su OpenLDAP contiene una collezione di note LDAP System Administration di O Reilly libro di testo 2003 e Mastering OpenLDAP di Packt libro di testo 2007 28 http manpages ubuntu com manpages en man5 slapd config 5 html ee http manpages ubuntu com manpages en manS slapd access 5 html 3 http manpages ubuntu com manpages en man5 slapo syncprov 5 html at http manpages ubuntu com manpages en man8 auth client config 8 html 32 http manpages ubuntu com manpages en man8 pam auth update 8 html 33 http www zytrax com books ldap oA https help ubuntu com community OpenLDAPServer 39 http www oreilly com catalog ldapsa 36 http www packtpub com OpenLDAP Developers Server Open Source Linux book 118 Autenticazione di rete 2 Samba e LDAP Questa sezione illustra l integrazione di Samba con LDAP Il ruolo del server Samba quello di server autonomo e la directory LDAP fornisce l autenticazione oltre a contenere le informazioni dell account dell utente
159. ato prima di effettuare una qualsiasi installazione poich alcune sorgenti di pacchetto e i rispettivi pacchetti potrebbero rendere il sistema instabile e non funzionante sotto certi aspetti I repository universe e multiverse in modo predefinito sono abilitati ma se si desidera disabilitarli possibile modificare il file etc apt sources list e commentare le seguenti righe deb http archive ubuntu com ubuntu quantal universe multiverse deb src http archive ubuntu com ubuntu quantal universe multiverse deb http us archive ubuntu com ubuntu quantal universe deb src http us archive ubuntu com ubuntu quantal universe deb http us archive ubuntu com ubuntu quantal updates universe deb src http us archive ubuntu com ubuntu quantal updates univers 31 Gestione dei pacchetti deb http us archive ubuntu com ubuntu quantal multiverse deb src http us archive ubuntu com ubuntu quantal multiverse deb http us archive ubuntu com ubuntu quantal updates multiverse deb src http us archive ubuntu com ubuntu quantal updates multiverse deb http security ubuntu com ubuntu quantal security universe deb src http security ubuntu com ubuntu quantal security universe deb http security ubuntu com ubuntu quantal security multiverse deb src http security ubuntu com ubuntu quantal security multiverse 32 Gestione dei pacchetti 7 Riferimenti La maggior parte di quanto discusso in questo capitol
160. atore del server CUPS modificare il file di configurazione etc cups cupsd conf con un editor di testo e aggiungere o modificare la riga ServerAdmin Per esempio se si amministratori del server CUPS e il proprio indirizzo email mario example net modificare la riga ServerAdmin in questo modo ServerAdmin mario example net e Listen in modo predefinito su Ubuntu l installazione del server CUPS resta in ascolto solamente sull interfaccia di loopback all indirizzo IP 727 0 0 1 Per poter fare in modo che il server CUPS ascolti sull indirizzo IP della rete necessario specificare un nome host l indirizzo IP oppure una coppia indirizzo IP porta con l aggiunta di una direttiva Listen Per esempio se il server CUPS all interno di una rete locale all indirizzo IP 192 168 10 250 e si desidera renderlo accessibile ad altri sistemi in questa sotto rete necessario modificare il file etc cups cupsd conf e aggiungere una direttiva Listen in questo modo Listen 127 0 0 1 631 Listen esistente per loopback Listen var run cups cups sock socket Listen esistent Listen 192 168 10 250 631 Listen sull interfaccia LAN porta 631 IPP Nell esempio precedente possibile rendere un commento o rimuovere il riferimento all indirizzo di loopback 127 0 0 1 se non si desidera che cupsd resti in ascolto su quell interfaccia ma che invece resti in ascolto solo sull interfaccia Ethernet della LAN Local Area Network Per abi
161. ault 2 3 3 Installare i pacchetti richiesti In questo esempio verr installato un pacchetto Limesurvey che accede a un database MySQL ed dotato di un interfaccia web Il sistema operativo dovr quindi aver installato e Apache e PHP e MySQL e Server OpenSSH e Limesurvey un applicazione di esempio creata appositamente Questo ottenuto usando vmbuilder specificando l opzione addpkg diverse volte 320 Virtualizzazione addpkg PKG Install PKG into the guest can be specfied multiple times Purtroppo in base al funzionamento di vmbuilder i pacchetti che devono porre delle domande nella fase di post installazione non sono supportati e dovrebbero essere installati successivamente quando possibile interagirvi Questo il caso di Limesurvey che verra installato successivamente dopo che l utente ha eseguito l accesso Altri pacchetti che pongono delle semplici domande di debconf come mysql server che richiede di impostare una password possono essere installati ma dovranno essere riconfigurati una volta eseguito l accesso Se alcuni dei pacchetti che si devono installare non sono presenti nel componente main necessario abilitare dei repository aggiuntivi usando le opzioni comp e ppa components COMP1 COMP2 COMPN A comma separated list of distro components to include e g main universe This defaults to main ppa PPA Add ppa belonging to PPA to the vm s sources
162. ay tgz Print start status message echo Backing up Sbackup_files to S dest Sarchive_file date echo Backup the files using tar tar czf Sdest Sarchive_file Sbackup_files Print end status message echo echo Backup finished date Long listing of files in dest to check file sizes ls lh dest 297 Backup e backup_files una variabile con le directory di cui si vuole fare una copia L elenco va modificato come desiderato e day una variabile contenente il giorno della settimana luned marted mercoled ecc viene usata per creare un archivio per ogni giorno della settimana consentendo di avere una cronologia di archivi di sette giorni Esistono altri metodi per fare questo come l uso dell utilit date e hostname variabile contenente il nome host breve del sistema Usare il nome dell host nel nome dell archivio consente di avere backup giornalieri di diversi sistemi in una sola directory e archive_file il nome completo dell archivio e dest destinazione dell archivio La directory deve essere creata e in questo caso anche mounted prima di eseguire lo script di backup Per dettagli sull uso di NFS consultare la relativa sezione Sezione 2 NFS Network File System 227 e messaggi messaggi opzionali stampati sulla console usando echo tar czf dest archive_file backup_files il comando tar usato per creare l archivio e c crea l archivio e z passa l archivio attraver
163. b cn config dn dn cn config dn cn module 0 cn config dn cn schema cn config dn cn 0 core cn schema cn config dn cn 1 cosine cn schema cn config dn cn 2 nis cn schema cn config dn cn 3 inetorgperson cn schema cn config dn olcBackend 0 hdb cn config dn olcDatabase 1 frontend cn config dn olcDatabase 0 config cn config 95 Autenticazione di rete dn olcDatabase 1 hdb cn config Spiegazione delle voci cn config impostazioni globali cn module 0 cn config un modulo caricato dinamicamente cn schema cn config contiene uno schema a codifica fissa a livello di sistema cn 0 core cn schema cn config lo schema principale core a codifica fissa cn 1 cosine cn schema cn config lo schema cosine cn 2 nis cn schema cn config lo schema nis cn 3 inetorgperson cn schema cn config lo schema inetorgperson olcBackend 0 hdb cn config il backend di memorizzazione tipo hdb olcDatabase 1 frontend cn config database frontend impostazioni predefinite per altri database olcDatabase 0 config cn config database di configurazione di slapd cn config olcDatabase 1 hdb cn config l istanza del proprio database dc example dc com e Questo l aspetto del DIT dc example dc com ldapsearch x LLL H ldap b dc example dc com dn dn dn dc example dc com cn admin dc example dc com Spiegazione delle voci dc example dc com base del DIT cn admin dc e
164. bc d added resolvconf update libc d postfix added rsyslog d postfix conf added ufw applications d postfix Committed revision 2 Per un esempio di come etckeeper tiene traccia delle modifiche manuali aggiungere un nuovo host in etc hosts Usando bzr possibile visualizzare quali file sono stati modificati sudo bzr status etc modified hosts Ora inviare le modifiche sudo etckeeper commit nuovo host Per maggiori informazioni su bzr consultare Sezione 1 Bazaar 268 376 Altre utili applicazioni 3 Byobu Una delle pi utili applicazioni per gli amministratori di sistema screen che consente l esecuzione di molteplici shell all interno di un terminale Per rendere pi semplici alcune delle pi avanzate funzionalit di screen e per fornire alcune utili informazioni riguardo il sistema stato creato il pacchetto byobu Quando byobu in esecuzione premendo il tasto F9 si avr accesso al men Configurazione che consente di e Visualizzare il men dell aiuto e Cambiare il colore dello sfondo e Cambiare il colore di primo piano e Abilitare notifiche di stato e Modificare le associazioni dei tasti e Modificare la sequenza di escape e Creare nuove finestre e Gestire le finestre predefinite e Byobu attualmente non si avvia all accesso abilitare Le associazioni di tasti determinano aspetti come la sequenza di escape l apertura di nuove finestre la modifica delle finestre e
165. biano effetto sudo restart smbd sudo restart nmbd Dovrebbe essere ora possibile accedere qualsiasi condivisione Samba da un client Windows Assicurarsi comunque di concedere agli utenti o ai gruppi AD accesso alla directory condivisa Per maggiori informazioni consultare Sezione 4 Sicurezza di un server di file e di stampa Samba 284 6 2 Accedere a una condivisione Windows Ora che il server Samba parte del dominio Active Directory possibile accedere a qualsiasi condivisione server di Windows e Per montare una condivisione file di Windows in un terminale digitare quanto segue mount cifs fs01 example com share mount_point E possibile accedere alle condivisioni su computer non facenti parte del dominio AD ma sar necessario fornire un nome utente e una password 2i http www beyondtrust com Technical Support Downloads files pbiso Manuals ubuntu active directory html 294 Reti Windows e Per montare la condivisione durante la fase di avvio aggiungere una voce al file etc fstab per esempio 192 168 0 5 share mnt windows cifs auto username steve password secret rw 0 e Un altro modo per copiare i file da un server Windows consiste nell usare l utilit smbclient Per elencare i file presenti in una condivisione Windows smbclient fs01 example com share k c ls e Per copiare un file da una condivisione digitare smbclient fs01 example com share k c get file txt In questo
166. bilit di un indirizzo IP I conflitti nell allocazione degli indirizzi IP sono quindi notevolmente ridotti Un server DHCP pu fornire impostazioni di configurazione usando i seguenti metodi Allocazione manuale indirizzo MAC Questo metodo comporta l utilizzo di DHCP per identificare l indirizzo hardware univoco di ogni scheda di rete collegata alla rete cos da fornire in modo continuato una configurazione costante ogni volta che il client DHCP avanza una richiesta al server DHCP usando quel particolare dispositivo di rete Ci assicura che un particolare indirizzo sia assegnato automaticamente a una data scheda di rete in base all indirizzo MAC Allocazione dinamica spazio di indirizzi In questo metodo il server DHCP assegna un indirizzo IP preso da uno spazio di indirizzi talvolta chiamato anche intervallo o insieme per un periodo di tempo detto affitto configurato sul server o fino a quando il client comunica al server che l indirizzo richiesto non pi necessario In questo modo i client ricevono le propriet di configurazione in maniera dinamica in base all ordine di arrivo delle richieste Dopo un determinato periodo se il client DHCP non pi presente in rete la configurazione scade e viene reinserita nello spazio di indirizzi per poter essere riutilizzata da altri client DHCP In questo modo un indirizzo pu essere affittato o usato per un periodo di tempo trascorso il quale il client deve rinegoziare
167. cDbIndex sambaSIDList eq olcDbIndex sambaDomainName eq olcDbIndex default sub Usare l utilit ldapmodify per caricare i nuovi indici sudo ldapmodify Q Y EXTERNAL H ldapi f samba_indices ldif Se tutto andato a buon fine dovrebbe essere possibile visualizzare i nuovi indici utilizzando ldapsearch sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcDatabase 1 hdb olcDbIndex 2 2 3 Aggiungere oggetti Samba LDAP Next configure the smbldap tools package to match your environment The package is supposed to come with a configuration helper script smbldap config pl formerly configure pl that will ask questions about the needed options but there is a bug whereby it is not installed but found in the source code apt get source smbldap tools of https bugs launchpad net serverguide bug 997172 121 Autenticazione di rete To manually configure the package you need to create and edit the files etc smbldap tools smbldap conf and etc smbldap tools smbldap_bind conf The smbldap populate script will then add the LDAP objects required for Samba It is a good idea to first make a backup of your DIT using slapcat sudo slapcat 1 backup ldif Una volta effettuato il backup procedere a inserire i dati nella directory sudo smbldap populate possibile creare un file LDIF contenente i nuovi oggetti Samba eseguendo sudo smbldap populate e samba ldif in questo modo possibile vis
168. ca configurato tra due server Per maggiori informazioni su come impostare un server OpenLDAP consultare Sezione 1 Server OpenLDAP 93 E inoltre richiesto per configurare OpenLDAP all uso di connessioni TLS e SSL in modo che il traffico tra il KDC e il server LDAP sia cifrato Per maggiori informazioni consultare Sezione 1 8 TLS 107 ft cn admin cn config un utente creato con diritti di modifica del database ldap normalmente l amministratore ldap modificare questo valore per adattarlo alle proprie impostazioni e Per caricare lo schema all interno del server LDAP installare su tale server il pacchetto krb5 kdc Idap Da un terminale digitare sudo apt get install krb5 kdc ldap e Estrarre il file kerberos schema gz sudo gzip d usr share doc krb5 kdc ldap kerberos schema gz sudo cp usr share doc krb5 kdc ldap kerberos schema etc ldap schema e Lo schema kerberos deve essere aggiunto all albero cn config La procedura per aggiungere un nuovo schema a slapd descritta anche in Sezione 1 4 Modificare il database di configurazione di slapd 98 1 Creare un file di configurazione chiamato schema_convert conf 0 simile contenente quanto segue 133 Autenticazione di rete include etc ldap schema core schema include etc ldap schema collective schema include etc ldap schema corba schema include etc ldap schema cosine schema include etc ldap schema duaconf schema include
169. cando etc amavis conf d 15 content_filter_mode use strict You can modify this file to re enable SPAM checking through spamassassin and to re enable antivirus checking Default antivirus checking mode Uncomment the two lines below to enable it bypass_virus_checks_maps Sbypass_virus_checks bypass_virus_checks_acl Sbypass_virus_checks_re Default SPAM checking mode Uncomment the two lines below to enable it bypass_spam_checks_maps Sbypass_spam_checks bypass_spam_checks_acl Sbypass_spam_checks_re 1 insure a defined return rifiutare lo spam e rinviarlo al mittente pu essere una cattiva idea dato che l indirizzo solitamente fasullo Modificare quindi etc amavis conf d 20 debian_defaults per impostare final_spam_destiny a D_DISCARD piuttosto che D_BOUNCE final_ spam destiny D_DISCARD Per indicare pi messaggi come indesiderati possibile utilizzare anche questa opzione Ssa_tag_level_deflt 999 add spam info headers if at or above that level 6 0 add spam detected headers at that level 21 0 triggers spam evasive actions Ssa_tag2_level_deflt Ssa_kill_level_deflt Ssa_dsn_cutoff_level 4 spam level beyond which a DSN is not sent Se il nome host del server diverso dal record MX del dominio necessario impostare manualmente l opzione myhostname Inoltre se il server riceve email da diversi domini necessa
170. cato il file riavviare amavisd new sudo service amavis restart Mi In questo contesto una volta aggiunto un dominio alla whitelist il messaggio non verr pi filtrato dall anti virus o dal filtro anti spam Questo potrebbe essere o meno un comportamento indesiderato per un dominio 5 2 4 Postfix Per l integrazione con Postfix in un terminale digitare quanto segue sudo postconf e content filter smtp amavis 127 0 0 1 10024 Ora modificare il file etc post fix master cf e aggiungere quanto segue alla fine 257 Servizi email smtp amavis unix 2 smtp o smtp_data_done_timeout 1200 o smtp_send_xforward_command yes o disable_dns_lookups yes o max_use 20 127 0 0 1 10025 inet n smtpd o content_filter o local_recipient_maps o relay_recipient_maps o smtpd_restriction_classes 0o smtpd_delay_reject no o smtpd_client_restrictions permit_mynetworks reject o smtpd_helo_restrictions o smtpd_sender_restrictions o smtpd_recipient_restrictions permit_mynetworks reject o smtpd_data_restrictions reject_unauth_pipelining o smtpd_end_of_data_restrictions o mynetworks 127 0 0 0 8 o smtpd_error_sleep_time 0 o smtpd_soft_error_limit 1001 o smtpd_hard_error_limit 1000 o smtpd_client_connection_count_limit 0 o smtpd_client_connection_rate_limit 0 o receive_override_options no_header_body_checks no_unknown_recipient_checks Aggiungere anche le seguenti righe dopo il servizio
171. cazione LDAP Per maggiori informazioni consultare la sezione Sezione 2 Samba e LDAP 119 fy Un alternativa al pacchetto libnss ldap libnss 1dapd che tuttavia comprende il pacchetto nscd che probabilmente non necessario basta rimuoverlo successivamente 1 11 Gestire utenti e gruppi Il pacchetto Idap utils contiene diverse utilit per la gestione di directory ma le molte opzioni necessarie possono renderle di difficile utilizzo Il pacchetto Idapscripts contiene degli script Wrapper per queste utilit che possono semplificare le operazioni Installare il pacchetto sudo apt get install ldapscripts Quindi modificare il file etc ldapscripts ldapscripts conf per giungere a qualcosa di simile al seguente SERVER localhost BINDDN cn admin dc example de com BINDPWDFILE etc ldapscripts ldapscripts passwd SUFFIX dc example dc com GSUFFIX ou Groups USUFFIX ou People MSUFFIX ou Computers GIDSTART 10000 UIDSTART 10000 MIDSTART 10000 Ora creare il file 1dapscripts passwd per consentire l accesso alla directory da parte del rootDN sudo sh c echo n secret gt etc ldapscripts ldapscripts passwd sudo chmod 400 etc ldapscripts ldapscripts passwd fi Sostituire secret con la password dell utente rootDN Gli sript sono ora pronti per la gestione della directory ecco alcuni esempi sul loro utilizzo 113 Autenticazione di rete e Creare un nuovo utente s
172. cc Sono disponibili due insiemi di associazioni di tasti fra cui scegliere tasti funzione e screen escape keys Per utilizzare le associazioni predefinite scegliere nessuno Byobu fornisce un men che visualizza la versione del rilascio di Ubuntu informazioni sul processore sulla memoria oltre all ora e alla data l effetto simile a un men della scrivania Utilizzando l opzione Byobu attualmente non si avvia all accesso abilitare byobu sar lanciato ogni volta che viene aperto un terminale Le modifiche effettuate su byobu sono relative al singolo utente e non influenzeranno gli altri utenti Uno delle differenze nell uso di byobu la modalit scrollback alla quale si accede premendo il tasto F7 Questa modalit consente di esplorare l output passato sul terminale utilizzando comandi simili a vi Di seguito vengono riportati alcuni di questi comandi e h sposta il cursore a sinistra di un carattere e j sposta il cursore in gi di una riga e k sposta il cursore in su di una riga e I sposta il cursore a destra di un carattere e 0 va all inizio della riga attuale e va alla fine della riga attuale e G va alla riga specificata come valore predefinito va alla fine del buffer 377 Altre utili applicazioni e cerca in avanti e cerca all indietro e n Si sposta alla corrispondenza successiva in avanti o all indietro 378 Altre utili applicazioni 4 Riferimenti See the upd
173. ccelerazione nel kernel e network fornisce dettagli sull interfaccia della rete della VM Qui usata la rete predefinita e il modello di interfaccia configurato per virtio e vnc esporta la console virtuale usando VNC e noautoconsole non si collegher automaticamente alla console della macchina virtuale e v crea un ospite completamente virtualizzato i https help ubuntu com 12 10 installation guide 312 Virtualizzazione Una volta lanciata virt install possibile collegarsi alla console della macchina virtuale utilizzando localmente un interfaccia grafica oppure l utilit virt viewer 1 4 virt clone L applicazione virt clone pu essere usata per copiare una macchina virtuale in un altra per esempio sudo virt clone o web_devel n database devel f path to database devel img connect gemu s e o macchina virtuale originale e n nome della nuova macchina virtuale e f percorso al file volume logico o partizione da usare per la nuova macchina virtuale e connect specifica a quale hypervisor collegarsi Usare anche le opzioni d o debug per risolvere i problemi che potrebbero verificarsi con virt clone fy Sostituire web_devel e database_devel con i nomi delle macchine virtuali appropriati 1 5 Gestire la macchina virtuale 1 5 1 virsh Sono disponibili diverse utilit per la gestione delle macchine virtuali e di libvirt L utilit virsh pu essere utilizzata dal
174. ce il gruppo le cui richieste ottengono risposta dal server anche il gruppo predefinito www data 1 2 4 Moduli di Apache2 Apache2 un server modulare solo le funzionalit basilari sono incluse nel server principale possibile estendere le funzionalit del server attraverso dei moduli che vengono caricati all interno di Apache2 Un piccolo insieme di moduli incluso nel server durante la compilazione se il server compilato per caricare i moduli dinamicamente gli stessi moduli possono essere compilati separatamente e aggiungi quando necessario utilizzando la direttiva LoadModule altrimenti necessario ricompilare Apache2 per aggiungere o rimuovere i moduli La versione di Ubuntu consente il caricamento dinamico dei moduli Le direttive di configurazione possono essere incluse in base alla presenza di un particolare modulo racchiudendole in un blocco tipo lt fModulo gt block quindi possibile installare moduli aggiuntivi di Apache2 e usarli con il server web Per esempio per installare il modulo MySQL Authentication in un terminale digitare quanto segue sudo apt get install libapache2 mod auth mysql Per altri moduli consultare la directory etc apache2 mods available Usare l utilit a2enmod per abilitare un modulo 193 Server web sudo a2enmod auth_mysql sudo service apache2 restart Allo stesso modo a2dismod disabilitera un modulo sudo a2dismod auth_mysql sudo service apache2 rest
175. ch tali risposte vengano re instradate a esso invece che all indirizzo IP privato che ha fatto la richiesta procedura impossibile da eseguire su Internet Linux fa uso del tracciamento della connessione conntrack per tenere traccia di quale connessione appartenga a quale computer e di conseguenza per re instradare ciascun pacchetto di risposta Il traffico in uscita dalla rete privata viene quindi mascherato per simulare l uscita dalla macchina gateway Ubuntu Nella documentazione Microsoft questo processo indicato come condivisione delle connessioni internet Internet Connection Sharing 3 3 1 Masquerading con ufw L IP masquerading pu essere ottenuto utilizzando regole ufw personalizzate Questo possibile dato che il backend attuale per ufw iptables restore con i file delle regole posizionati in etc ufw rules Questi file possono essere usati per aggiungere vecchie regole di iptables usate senza ufw e regole maggiormente legate al gateway o al bridge Le regole sono divise in due file diversi regole da eseguire prima delle regole a riga di comando di ufw e regole da eseguire dopo ufw e Per prima cosa necessario abilitare l inoltro dei pacchetti modificando due file di configurazione In etc default ufw modificare DEFAULT_FORWARD_POLICY in ACCEPT DEFAULT_FORWARD_POLICY ACCEPT Quindi modificare il file etc ufw sysctl conf de commentando net ipv4 ip_forward 1 Similmente per abilitare l inol
176. che Samba configurato necessario creare la directory e modificarne i permessi Da un terminale digitare sudo mkdir p srv samba share sudo chown nobody nogroup srv samba share fa L opzione p indica a mkdir di creare l intero albero delle directory se questo non esiste 4 Infine riavviare il servizio samba per abilitare la nuova configurazione sudo restart smbd sudo restart nmbd O La configurazione precedente fornisce accesso completo a tutti i client nella rete locale Per una configurazione pi sicura consultare Sezione 4 Sicurezza di un server di file e di stampa Samba 284 Da un client Windows dovrebbe ora essere possibile esplorare il server di file Ubuntu e visualizzare la directory condivisa Se il client non mostrasse automaticamente la condivisione provare ad accedere al server dal suo indirizzo IP per es 192 168 1 1 in una finestra di Windows Explorer Per verificare che tutto funzioni provare a creare una directory da Windows Per creare ulteriori condivisioni basta creare delle nuove sezioni dir nel file etc samba smb conf e riavviare Samba Assicurarsi che le directory da condividere esistano e abbiano i permessi impostati correttamente 3 http www pathname com fhs pub fhs 2 3 html SRVDATAFORSERVICESPROVIDEDBYSYSTEM 280 Reti Windows fe La condivisione chiamata share e il percorso srv samba share sono solo esempi Impostare il nome della condivisione e il percorso per adat
177. che che possono portare a file di registro inconsistenti Il costo di questo un leggero uso di processore e memoria trascurabile per un server moderno 4 3 Installazione Per installare ntpd digitare in un terminale sudo apt get install ntp 4 4 Configurazione Modificare etc ntp conf per aggiungere rimuovere linee di server per impostazione predefinita questi server sono configurati Use servers from the NTP Pool Project Approved by Ubuntu Technical Board on 2011 02 08 LP 104525 See http www pool ntp org join html for more information server 0 ubuntu pool ntp org server l ubuntu pool ntp org server 2 ubuntu pool ntp org 51 Rete server 3 ubuntu pool ntp org Dopo aver modificato il file di configurazione necessario ricaricare ntpd sudo service ntp reload 4 5 Visualizzare lo stato Usare ntpq per visualizzare maggiori informazioni sudo ntpq p remote refid st t when poll reach delay offset jitter stratum2 2 NTP 129 70 130 70 ntp2 m online n 212 18 1 106 145 253 66 170 DCFa stratum2 3 NTP 129 70 130 70 europium canoni 193 79 237 14 5 64 377 68 461 44 274 110 334 5 64 377 54 629 27 318 78 882 10 64 377 83 607 30 159 68 343 5 64 357 68 795 68 168 104 612 63 64 337 81 534 67 968 92 792 N_N FP NY NH coc G G amp G f amp E 4 6 Riferimenti Per maggiori informazioni consultare la documentazione della comunit Ubuntu Time
178. china stia usando l interazione con il database sar la stessa Ogni macchina ha vantaggi e svantaggi possibile e potrebbe portare a dei vantaggi combinare e confrontare le macchine per database a livello di tabella ma questo riduce l effettivit dell ottimizzazione delle prestazioni in quanto si divideranno le risorse tra due macchine invece di dedicarsi a solo una di esse e MyISAM Il pi vecchio dei due in certe circostanze pu essere pi veloce di InnoDB e preferisce un carico di lavoro in sola lettura Alcune applicazioni web sono state calibrate su MyISAM sebbene ci non implica che sarebbero pi lente con InnoDB MyISAM supporta anche il tipo di dati FULLTEXT che consente di effetture veloci ricerche in grandi quantit di dati testuali Tuttavia MyISAM pu effettuare il lock di scrittura solo a livello dell intera tabella ci significa che solo un processo per volta pu aggiornare una tabella e quando le applicazioni che usano la tabella aumentano ci pu costituire un ostacolo Manca anche della funzione di journaling il che rende pi difficile il recupero dei dati dopo un crash Il seguente link fornisce alcune considerazioni sull uso di MyISAM su un database in ambiente di produzione e InnoDB una macchina per database pi moderna progettata per essere conforme ACID e ci garantisce che le transazioni del database siano processate in modo affidabile Il lock di scrittura pu essere gestito a
179. ck Compute Nova OpenStack Compute Nova is a cloud computing fabric controller the main part of an IaaS system It is written in Python using the Eventlet and Twisted frameworks and relies on the standard AMQP messaging protocol and SQLAlchemy for data store access Install OpenStack Nova components sudo apt get install nova api nova network nova volume nova objectstore nova scheduler nova compute euca2ools unzip Restart libvirt bin just to make sure libvirtd is aware of ebtables sudo service libvirt bin restart Install RabbitMQ Advanced Message Queuing Protocol AMQP 326 Virtualizzazione sudo apt get install rabbitmq server Edit etc nova nova conf and add the following Nova config FlatDHCPManager sql_connection mysql novauser novapassword localhost nova flat_injected true network_manager nova network manager FlatDHCPManager fixed_range 10 0 0 0 24 floating_range 10 153 107 72 29 flat_network_dhcp_start 10 0 0 2 flat_network_bridge br100 flat_interface eth1 public_interface eth0 Restart OpenStack services for i in nova api nova network nova objectstore nova scheduler nova volume nova compute do sudo stop i sleep 2 done for i in nova api nova network nova objectstore nova scheduler nova volume nova compute do sudo start i sleep 2 done Migrate Nova database from sqlite db to MySQL db It may take a while sudo nova manage db sync Define a specif
180. come ircd ircu e ircd hybrid 263 Applicazioni per conversazioni e Per maggiori informazioni riguardo il server IRC consultare le IRCD FAQ http www irc org tech_docs ircnet faq html 264 Applicazioni per conversazioni 3 Server di messaggistica istantanea Jabber Jabber un protocollo di messaggistica molto diffuso basato su XMPP uno standard aperto per la messaggistica istantanea e usato da molte applicazioni Questa sezione espone come configurare un server Jabberd 2 in una rete locale La configurazione pu anche essere adattata per fornire servizi di messaggistica agli utenti attraverso Internet 3 1 Installazione Per installare jabberd2 in un terminale digitare sudo apt get install jabberd2 3 2 Configurazione Verranno usati un paio di file XML per configurare jabberd2 affinch utilizzi l autenticazione utente Berkeley DB una semplice forma di autenticazione comunque possibile configurare jabberd2 per l uso di LDAP MySQL PostgreSQL ecc per l autenticazione utente Aprire il file etc jabberd2 sm xml e alla riga lt id gt jabber example com lt id gt bJ Sostituire jabber example com con il nome host o altro identificativo del proprio server Nella sezione lt storage gt modificare lt driver gt in lt driver gt db lt driver gt Modificare il file etc jabberd2 c2s xml e nella sezione lt ocal gt cambiare lt id gt jabber example com lt id gt Nella sezio
181. condition if saslauthd Sauth1 Sauth2 1 0 server_set_id Sauthl ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS server_advertise_condition if eg tls_cipher endif Inoltre per consentire a client mail esterni di connettersi al nuovo server exim necesario aggiungere il nuovo utente in exim usando i seguenti comandi sudo usr share doc exim4 examples exim adduser Gli utenti dovrebbero proteggere il nuovo file password per exim con i seguenti comandi sudo chown root Debian exim etc exim4 passwd sudo chmod 640 etc exim4 passwd Infine aggiornare la configurazione di Exim4 e riavviare il servizio 244 Servizi email sudo update exim4 conf sudo service exim4 restart 2 4 Configurare SASL Questa sezione descrive come configurare saslauthd per fornire l autenticazione per Exim4 Per prima cosa necessario installare il pacchetto sasl2 bin In un terminale digitare quando segue sudo apt get install sasl2 bin Per configurare saslauthd modificare il file etc default saslauthd e impostare START no a START yes Affinch Exim4 possa usare il servizio saslauth l utente Debian exim deve far parte del gruppo sasl sudo adduser Debian exim sasl Ora avviare il servizio saslauthd sudo service saslauthd start Exim4 ora configurato con il supporto a SMTP AUTH con l uso dell autenticazione TLS e SASL 2 5 Riferimenti NEO ERS 3 9 e Per maggiori informazioni cons
182. container 4 3 1 3 Ubuntu cloud template The ubuntu cloud template creates Ubuntu containers by downloading and extracting the published Ubuntu cloud images It accepts some of the same options as the ubuntu template namely r release S sshkey pub a arch and F to flush the cached image It also accepts a few extra options The C option will create a cloud container configured for use with a metadata service The u option accepts a cloud init user data file to configure the container on start If L is passed then no locales will be installed The 7 option can be used to choose a tarball location to extract in place of the published cloud image tarball Finally the i option sets a host id for cloud init which by default is set to a random string 4 3 1 4 Other templates The ubuntu and ubuntu cloud templates are well supported Other templates are available however The debian template creates a Debian based container using debootstrap much as the ubuntu template does By default it installs a debian squeeze image An alternate release can be chosen by setting the SUITE environment variable i e sudo SUITE sid lxc create t debian n dl Since debian cannot be safely booted inside a container debian containers will be trimmed as with the trim option to the ubuntu template To purge the container image cache call the template directly and pass it the clean option sudo SUITE sid usr lib lxc templates lxc debian clea
183. container can exploit these as well Once the container controls the kernel it can fully control any resource known to the host Since Ubuntu 12 10 Quantal a container can also be constrained by a seccomp filter Seccomp is a new kernel feature which filters the system calls which may be used by a task and its children While improved and simplified policy management is expected in the near future the current policy consists of a simple whitelist of system call numbers The policy file begins with a version number which must be 1 on the first line and a policy type which must be whitelist on the second line It is followed by a list of numbers one per line In general to run a full distribution container a large number of system calls will be needed However for application containers it may be possible to reduce the number of available system calls to only a few Even for system containers running a full distribution security gains may be had for instance by removing the 32 bit compatibility system calls in a 64 bit container See Sezione 4 4 5 Other configuration options 348 for details of how to configure a container to use seccomp By default no seccomp policy is loaded 4 10 Risorse The DeveloperWorks article LXC Linux container tools was an early introduction to the use of containers The Secure Containers Cookbook demonstrated the use of security modules to make containers more secure e Manua
184. cos quattro backup settimanali al mese e Il backup mensile eseguito il primo giorno del mese ruotando due backup mensili se il mese pari o dispari Questo il nuovo script bin bash PTET HEHE EE HE HEHE EE FE FE FE AE AE FE HEHE EEE Backup to NFS mount script with grandfather father son rotation FE AE AE AE FE FE FE AE AE FE FE FE AE AE AE FE FE FE E AE FE FE FE AE AE FE HE H What to backup backup_files home var spool mail etc root boot opt Where to backup to dest mnt backup Setup variables for the archive filename day date A hostname hostname s Find which week of the month 1 4 it is day_num date d if day_num lt 7 then week_file hostname weekl tgz elif day_num gt 7 amp amp day_num lt 14 then week_file Shostname week2 tgz elif day_num gt 14 amp amp day_num lt 21 then elif day_num gt 21 amp amp day_num lt 32 then week_file Shostname week3 tgz week_file Shostname week4 tgz 301 Backup Find if the Month is odd or even month_num date m month expr month_num 2 if month eq 0 then month_file Shostname month2 tgz else month_file Shostname monthl tgz fi Create archive filename if day_num 1 then archive_file month_file elif Sday Saturday then archive_file Shostname Sday
185. cpio usata per copiare file da e verso degli archivi e dd parte del pacchetto coreutils Un utilit di basso livello per copiare dati da un formato all altro e rsnapshot una utility per istantanee del file system utilizzata per creare copie di un intero file system e rsync una flessibile utility usata per creare copie incrementali di file 1 http tldp org LDP abs html 2 http safari samspublishing com 0672323583 i http wiki ubuntu it org AmministrazioneSistema Cron l http www gnu org software tar manual index html 3 http en wikipedia org wiki Backup_rotation_scheme 6 http www gnu org software cpio 1 http www gnu org software coreutils 8 http www rsnapshot org si http www samba org ftp rsync rsync html 300 Backup 2 Rotazione degli archivi Lo script in Sezione 1 Script shell 297 consente solamente sette archivi differenti Per un server i cui dati non cambiano molto spesso questo pu essere sufficiente ma se il server dispone di grossi quantitativi di dati necessario avere un pi complesso schema di rotazione 2 1 Rotazione degli archivi NFS In questa sezione lo script verr leggermente modificato per implementare uno schema di rotazione del tipo progenitore genitore figlio mensile settimanale giornaliero e La rotazione eseguir un backup giornaliero dalla domenica al venerd Il sabato viene eseguito un backup settimanale consentendo di avere
186. d is used for postgres and local users unless otherwise configured Please refer the PostgreSQL Administrator s Guide if you would like to configure alternatives like Kerberos The following discussion assumes that you wish to enable TCP IP connections and use the MDS method for client authentication PostgreSQL configuration files are stored in the etc postgresql lt version gt main directory For example if you install PostgreSQL 9 1 the configuration files are stored in the etc postgresql 9 1 main directory To configure ident authentication add entries to the etc postgresql 9 1 main pg_ident conf file There are detailed comments in the file to guide you To enable TCP IP connections edit the file etc postgresql 9 1 main postgresql conf Localizzare la riga listen_addresses localhost e modificarla in listen _ addresses localhost bJ Per consentire ad altri computer di collegarsi al server PostgreSQL sostituire localhost con l indirizzo IP del server o in alternativa 0 0 0 0 per associarlo a tutte le interfacce Tutti gli altri parametri possono essere modificati ma bisogna sapere cosa si sta facendo Per maggiori informazioni consultare la documentazione di PostgresSQL o fare riferimento ai file di configurazione Ora che possibile collegarsi al server PostgreSQL necessario impostare una password per l utente postgres In un terminale eseguire il seguente comando per connetters
187. dalit client client remote vpnserver example com 1194 Ora avviare il client OpenVPN root client etc openvpn service openvpn start Starting virtual private network daemon s x Autostarting VPN client OK Controllare se stata creata un interfaccia tun0 root client etc openvpn ifconfig tun0o tun0 Link encap UNSPEC HWaddr 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 inet addri10 8 0 6 P t P s1 0850 5 Mask 255 255 255 255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU 1500 Metric 1 Controllare se possibile inviare un ping al server OpenVPN root client etc openvpn ping 10 8 0 1 PING 10 8 0 1 10 8 0 1 56 84 bytes of data 64 bytes from 10 8 0 1 icmp_reg 1 tt1 64 time 0 920 ms 363 VPN fy Il server OpenVPN usa sempre il primo indirizzo utilizzabile nella rete client e solo se quell IP raggiungibile con un ping per esempio se stata configurata come maschera della rete client una 24 verr usato l indirizzo 1 L indirizzo P t P presente nell output di ifconfig sopra riportato normalmente non risponde alle richieste di ping Controllare i propri percorsi root client etc openvpn netstat rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10 8 0 5 0 0 0 0 255 255 255 255 UH 0 0 0 tund 10 8 0 1 10 8 0 5 255 255 255 255 UGH 0 0 0 tun0 192 168 42 0 0 0 0 0 255 255 255 0 U 0 0 0 eth0 0 0 0 0 192 168 42 1 0 0 0 0 UG 0 0 0 eth0 1 5 Prim
188. definiscono i diritti che un computer o un utente ha su una particolare directory file o insieme di file Tali permessi possono essere definiti modificando il file etc samba smb conf e specificando i permessi di una condivisione definita Per esempio se stata definita una condivisione Samba chiamata share e si vuole dare il permesso di sola lettura al gruppo di utenti conosciuto come qa ma si vuole concedere permesso di scrittura 285 Reti Windows sulla condivisione al gruppo sysadmin e all utente vincent modificare il file etc samba smb conf e aggiungere quanto segue al di sotto della sezione share read list ga write list sysadmin vincent Un altro possibile permesso con Samba consente di usare i permessi amministrativi su una particolare risorsa condivisa Gli utenti con permessi amministrativi possono leggere scrivere o modificare qualsiasi informazione all interno della risorsa per cui sono stati abilitati Per esempio per concedere all utente melissa permessi amministrativi all interno dell esempio share modificare il file etc samba smb conf e aggiungere quanto segue al di sotto della sezione share admin users melissa Modificato il file etc samba smb conf riavviare Samba affinch le modifiche abbiano effetto sudo restart smbd sudo restart nmbd fe Affinch read list e write list funzionino il modello di sicurezza di Samba non deve essere impostato a security share Ora che Samba
189. definito da usare per determinare il percorso da utilizzare per l operazione I O successiva Possibili valori includono e round robin 0 Esegue un loop attraverso ogni percorso nel gruppo di percorso inviando la stessa quantita di I O a ognuno di essi e queue length 0 invia il gruppo successivo di I O al percorso con il numero minore di richieste I O pendenti e service time 0 invia il gruppo successivo di I O al percorso con il tempo di servizio stimato pi breve determinato dividendo la dimensione totale di I O pendenti per ogni percorso per il carico di lavoro relativo Il valore predefinito round robin 0 67 DM Multipath Attributo path_grouping_policy Descrizione Specifica la politica predefinita per il gruppo di percorso da applicare ai multipath non specificati I possibili valori includono e failover 1 percorso per ogni gruppo di priorit e multibus tutti i percorsi validi in 1 gruppo di priorit e group_by_serial 1 gruppo di priorit per numero seriale rilevato e group_by_prio 1 gruppo di priorit per valore di priorit del percorso e group_by_node_name 1 gruppo di priorit per nome del nodo di destinazione Il valore predefinito failover getuid_callout Specifica il programma predefinito e gli argomenti da invocare per ottenere un identificatore univoco del percorso necessario un percorso assoluto Il valore predefinito lib udev scsi_
190. del gruppo e della macchina richiesti da Samba per il suo funzionamento in ognuno dei 3 possibili ruoli Il prerequisito un server OpenLDAP configurato con una directory in grado di accettare richieste di autenticazione Per maggiori dettagli sul modo di soddisfare questo requisito consultare Sezione 1 Server OpenLDAP 93 Terminata la consultazione di questa sezione si dovr decidere quali funzionalit specifiche di Samba siano necessarie e configurarlo di conseguenza 2 1 Installazione del software Sono necessari tre pacchetti per integrare Samba con LDAP samba samba doc e smbldap tools A rigor di termini il pacchetto smbldap tools non necessario ma meglio installarlo a meno di non disporre di un modo alternativo per gestire le varie entit Samba utenti gruppi computer in un contesto LDAP Installare questi pacchetti sudo apt get install samba samba doc smbldap tools 2 2 Configurazione di LDAP E necessario configurare il server LDAP affinch possa contenere dati Samba in questa sezione verranno eseguiti tre task 1 Importare uno schema 2 Indicizzare alcune voci 3 Aggiungere oggetti 2 2 1 Schema Samba Affinch OpenLDAP possa essere usato come backend da Samba logicamente necessario che il DIT possa usare correttamente gli attributi che descrivono i dati Samba questi attributi possono essere ottenuti per mezzo di uno schema Samba LDAP come sar indicato nel prosieguo
191. descrive come eseguire un backup di specifiche directory di un singolo host in un dispositivo a nastro locale 306 Backup e Per prima cosa Storage deve essere configurato Modificare etc bacula bacula sd conf Device Name Tape Drive Device Type tap Media Type DDS 4 Archive Device dev st0 Hardware end of medium No AutomaticMount yes when device opened read it AlwaysOpen Yes RemovableMedia yes RandomAccess no Alert Command sh c tapeinfo f Sc grep TapeAlert L esempio relativo a un dispositivo a nastro DDS 4 Modificare Media Type e Archive Device affinch corrispondano al proprio hardware possibile anche de commentare uno degli altri file di esempio e Una volta modificato il file etc bacula bacula sd conf il demone Storage deve essere riavviato sudo service bacula sd restart e Ora aggiungere una risorsa Storage in etc bacula bacula dir conf per usare il nuovo Device Definition of Tape Drive storage device Storage Name TapeDrive Do not use localhost here Address backupserver N B Use a fully qualified name here SDPort 9103 Password Cv70F6pflt6pBopT4v00nigDrR0v3LT3Cgkiyjc Device Tape Drive Media Type tape La direttiva Address deve essere il Fully Qualified Domain Name FQDN del server Modificare quindi backupserver col nome host attuale Inoltre assicurarsi che la dirett
192. dificare il file di configurazione multipath conf per cambiare i valori predefiniti e salvare il file aggiornato 4 Avviare il demone di multipath 5 Aggiornare il ramdisk iniziale Per dettagliare istruzioni sull impostazione della configurazione di multipath consultare la Sezione Impostazione di DM Multipath 55 DM Multipath 2 Dispositivi multipath Senza DM Multipath ogni percorso proveniente da un nodo del server per un controller di archiviazione verr considerato dal sistema come un dispositivo separato anche quando il percorso di I O collega lo stesso nodo del server al medesimo controller DM Multipath fornisce un modo con il quale possibile organizzare logicamente i percorsi di I O attraverso la creazione di un dispositivo multipath singolo al di sopra dei dispositivi interessati 2 1 Identificatori del dispositivo multipath Ogni dispositivo multipath possiede un World Wide Identifier WWID unico ed immutabile per impostazione predefinita il nome di un dispositivo multipath viene impostato seguendo il proprio WWID In alternativa possibile l opzione user_friendly_names nel file di configurazione di multipath che imposta l alias su di un nome unico del nodo con il formato mpathn Per esempio un nodo con due HBA collegato tramite un interruttore FC singolo a un controller di archiviazione con due porte in grado di visualizzare quattro dispositivi dev sda dev sdb dev sdc e dev sdd DM Mul
193. disponibili due opzioni e Il metodo raccomandato quello di creare un pacchetto Debian Dato che questo argomento esula da questa guida non verr spiegato questo metodo e si rimanda alla Ubuntu Packaging Guide In questo caso anche utile creare un repository per contenere il pacchetto in modo tale che gli aggiornamenti vengano prelevati da questo Per ulteriori informazioni consultare Debian Administration e Installare l applicativo nella directory opt come raccomandato dalle linee guida di FHS In questo caso viene usato Limesurvey come esempio di applicazione web per cui creare un applicativo virtuale Come accennato precedentemente disponibile un pacchetto di questa applicazione attraverso gli archivi PPA Personal Package Archive 2 5 Utili accorgimenti 2 5 1 Configurare gli aggiornamenti automatici Affinch il sistema sia configurato per aggiornarsi automaticamente a scadenze determinate basta installare il pacchetto unattended upgrades Aggiungere quindi quanto segue al comando addpkg unattended upgrades Dato che il pacchetto dell applicazione stata inserito nel PPA il processo di aggiornamento non aggiorner solamente il sistema ma anche l applicazione ogni qualvolta ci sia una versione aggiornata nel PPA 2 5 2 Gestire gli eventi ACPI Affinch la macchina virtuale possa gestire gli eventi come riavvio e arresto che le vengono inviati utile installare anche il pacchetto acpid
194. do NFS utenti e programmi possono accedere ai file presenti su sistemi remoti come se fossero dei file locali Alcuni dei principali benefici forniti da NFS sono e Le workstation locali utilizzano meno spazio su disco perch i dati comuni possono essere memorizzati su una singola macchina pur rimanendo accessibili agli altri attraverso la rete e Gli utenti non devono avere diverse directory home su ciascuna macchina in rete Le directory home possono risiedere sul server NFS ed essere rese disponibili attraverso la rete e I dispositivi di archiviazione come dischi floppy unit CD ROM e USB possono essere utilizzate dagli altri computer della rete Questo pu ridurre il numero di unit per supporti rimovibili presenti nella rete 2 1 Installazione Per installare il server NFS inserire il comando seguente a un prompt di terminale sudo apt get install nfs kernel server 2 2 Configurazione possibile configurare le directory da esportare aggiungendole al file etc exports Per esempio ubuntu ro sync no_root_squash home rw sync no_root_squash E possibile sostituire con uno qualsiasi dei formati per i nomi di host E necessario rendere la dichiarazione dei nomi di host pi specifica possibile per impedire l accesso di sistemi indesiderati ai mount NFS Per avviare il server NFS possibile eseguire il seguente comando a un prompt di terminale sudo service nfs kernel server start 2 3
195. do passwd Il programma sudo chieder di inserire la propria password e successivamente di inserirne una nuova per l account root sudo password for NOME_UTENTE inserire la propria password Inserire nuova password UNIX inserire una nuova password per root Reinserire la nuova password UNIX reinserire la nuova password per root passwd password updated successfully e Per disabilitare l account root utilizzare la seguente sintassi per passwd sudo passwd l root e Per maggiori informazioni riguardo sudo consultarne il manuale man sudo By default the initial user created by the Ubuntu installer is a member of the group sudo which is added to the file etc sudoers as an authorized sudo user If you wish to give any other account full root access through sudo simply add them to the sudo group 154 Sicurezza 1 2 Aggiungere e rimuovere utenti Il processo per la gestione di utenti e gruppi locali molto intuitivo e differisce poco dalla maggior parte degli altri sistemi GNU Linux Ubuntu e altre distribuzioni basate su Debian incoraggiano l utilizzo del pacchetto adduser per la gestione degli utenti e Per aggiungere un nuovo utente utilizzare i seguenti comandi e seguire le istruzioni per impostare all account una password e fornire le caratteristiche identificabili come nome cognome numero di telefono ecc sudo adduser NOME UTENTE e Per eliminare un utente e il suo gruppo princ
196. e chiamato 40_exim4 config_mailman mailman_transport driver pipe command MM_WRAP if def local_part_suffix S sg local_part_suffix w 1 post local_part current_directory MM_HOME home_directory MM_HOME user MM_UID group MM_GID 4 2 6 Router Tutti i file di configurazione appartenenti al tipo router sono archiviati nella directory etc exim4 conf d router possibile aggiungere il seguente contenuto a un nuovo file di configurazione chiamato 101_exim4 config_mailman mailman_router 251 Servizi email driver accept require_files MM_HOME lists local_part config pck local_part_suffix_optional local_part_suffix bounces bounces confirm join leave owner request admin transport mailman_transport L ordine dei file di configurazione main e transport pu essere qualsiasi L ordine dei file di configurazione del tipo router deve essere lo stesso Questo particolare file deve apparire prima del file 200_exim4 config_primary Questi file contengono le stesse informazioni ma il primo ha la precedenza Per maggiori informazioni fare riferimento alla sezione Riferimenti 4 2 7 Mailman Una volta installato mailman possibile avviarlo usando il seguente comando sudo service mailman start Creare quindi la mailing list predefinita Per crearla eseguire il seguente comando sudo usr sbin newlist mailman Ente
197. e e la parte conclusiva i suggerimenti sulle regolazioni del file my cnf molte delle quali possono essere effettuate durante il funzionamento del server senza necessit di riavvio consultare la documentazione ufficiale di MySQL link nella sezione Risorse per informazioni sulle variabili rilevanti da modificare in produzione Quanto segue parte di un rapporto di esempio in un database di produzione che evidenzia benefici derivanti da un aumento della cache per le query gt Recommeridations 2220224 General recommendations Run OPTIMIZE TABLE to defragment tables for better performance Increase table _cache gradually to avoid file descriptor limits Variables to adjust key_buffer_siz gt 1 4G query_cache_size gt 32M table_cache gt 64 innodb_buffer_pool_size gt 22G Un commento finale sulla regolazione dei database nonostante si possa generalmente affermare che determinate impostazioni siano le migliori le prestazioni possono variare da un applicazione all altra 210 Database Per esempio ci che funziona meglio per Wordpress potrebbe non esserlo per Drupla Joomla o software proprietario Le prestazioni dipendono dai tipi di query dall uso di indici dall efficienza della progettazione del database e cos via pu essere utile cercare suggerimenti sulla regolazione del database basati sulle applicazioni in uso Raggiunto un determinato livello qualunque regolazio
198. e the container s configuration file is still var 1ib 1xc CN config but the root fs entry in that file xc rootfs will point to the IV block device name i e dev 1xc CN Containers with directory tree and LVM backing stores can co exist 4 2 5 Btrfs If your host has a btrfs var the LXC administration tools will detect this and automatically exploit it by cloning containers using btrfs snapshots 4 2 6 Apparmor LXC dotato di un profilo Apparmor che protegge l host da usi impropri accidentali dei privilegi all interno di un contenitore Per esempio il contenitore non pu modificare proc sysrq trigger 0 la maggior parte dei file sys Il profilo usr bin lxc start eseguito utilizzando Ixc start Questo profilo impedisce a lxc start di montare nuovi file system oltre a quello root del contenitore Prima di eseguire l init del contenitore LXC richiede di passare al profilo del contenitore per impostazione predefinita questo profilo la politica 1xc container default definita in etc apparmor d 1xc 1xc default Questo profilo impedisce al contenitore di accedere a molti percorsi pericolosi e di montare la maggior parte dei file system Se Ixc start si interrompe in quanto la sua politica Apparmor nega un accesso legittimo possibile disabilitare il profilo lxc start eseguendo sudo apparmor_parser R etc apparmor d usr bin lxc start sudo ln s etc apparmor d usr bin lxc start etc apparmor d disabled 334
199. e vmbuilder uno script che automatizza la creazione di una macchina virtuale Linux Gli hypervisor supportati attualmente sono KVM e Xen E possibile passare opzioni a riga di comando per aggiungere dei pacchetti per rimuoverne per scegliere la versione di Ubuntu quale mirror ecc Su piattaforme hardware recenti dotate di molta memoria RAM con tmpdir in dev shm o usando un tmpfs e un mirror locale possibile avere una macchina virtuale in meno di un minuto Introdotto come semplice script shell in Ubuntu 8 04 LTS ubuntu vm builder era un semplice progetto per aiutare gli sviluppatori nel provare il codice scritto in una virtual machine senza dover ricominciare sempre da capo Lo script stato in seguito migliorato e Soren Hansen l autore dello script e lo specialista di virtualizzazione in Ubuntu virtualization non il giocatore di golf lo ha riscritto da capo per Intrepid in python con i seguenti obiettivi 316 Virtualizzazione e Svilupparlo affinch possa essere usato anche da altre distribuzioni e Usare un meccanismo di plugin per tutte le interazioni di virtualizzazione per facilitare l aggiunta di altri ambienti di virtualizzazione o una logica pi complessa e Fornire un interfaccia web facile da usare come opzione alla riga di comando I principi generali e i comandi restano sempre gli stessi 2 2 Configurazione iniziale Si presuppone che siano gi stati installati e configurati libvirt e KVM
200. e Per maggiori informazioni consultare anche la documentazione online riguardo PostgreSQL 2 http www postgresgl org docs 9 1 static admin html 19 http www postgresgl org docs 9 1 static admin html II http www informit com store product aspx isbn 0768664128 12 https help ubuntu com community PostgreSQL 213 Capitolo 13 Applicazioni LAMP 214 Applicazioni LAMP 1 Panoramica Le installazioni LAMP Linux Apache MySQL PHP Perl Python sono molto diffuse sui server Ubuntu ed esistono moltissime applicazioni open source scritte utilizzando questa infrastruttura Alcune di queste applicazioni sono wiki CMS Content Management Systems e software di gestione come phpMyAdmin Uno dei vantaggi dell infrastruttura LAMP la sua flessibilit nell utilizzo di diversi tipi di database server web e linguaggio di script Al posto di MySQL possibile quindi usare Postgresql o SQLite Python Perl e Ruby vengono spesso utilizzati al posto di PHP mentre Nginx Cherokee e Lighttpd possono sostituire Apache Il modo pi rapido per iniziare installare LAMP usando tasksel uno strumento Debian Ubuntu che installa nel sistema diversi pacchetti tra loro collegati come task coordinati Per installare un server LAMP e Al prompt di un terminale eseguire il seguente comando sudo tasksel install lamp server Terminata questa installazione possibile installare molte applicazioni LAMP nel seguente modo e Sc
201. e Samba Una delle opzioni pi comuni per mettere in comunicazione computer con Ubuntu e Windows quella di configurare Samba come server di file Questa sezione spiega come configurare un server Samba per la condivisione di file con client Windows Il server viene configurato per condividere file con qualsiasi client nella rete senza dover usare una password Se all interno del proprio ambiente di lavoro richiesto un maggior controllo sugli accessi consultare Sezione 4 Sicurezza di un server di file e di stampa Samba 284 2 1 Installazione Per prima cosa installare il pacchetto samba Alla riga di comando digitare sudo apt get install samba Questo quanto Ora possibile configurare Samba affinch possa condividere 1 file 2 2 Configurazione Il file principale di configurazione di Samba localizzato in etc samba smb conf e dispone di molti commenti utili nella configurazione delle varie direttive bJ Non tutte le opzioni disponibili sono incluse nel file di configurazione predefinito Per maggiori informazioni consultare la pagina man di smb conf oppure Samba HOWTO Collection 1 Per prima cosa modificare le seguenti coppie chiave valore nella sezione global del file etc samba smb conf workgroup ESEMPIO security user Il parametro security pi avanti nella sezione global ed commentato Inoltre modificare ESEMPIO in modo che rispecchi il proprio ambiente d
202. e a path_selector di selezionare il percorso successivo determina il numero di richieste da inviare in base a rr_min_io moltiplicato per il valore della priorit del percorso come determinato dalla funzione prio Se impostato su uniform tutti i pesi del percorso sono uguali Il valore predefinito uniform no_path_retry Un valore numerico per questo attributo specifica il numero di volte che il sistema dovrebbe cercare di utilizzare un percorso fallito prima di 69 DM Multipath Attributo Descrizione disabilitarne la coda Un valore fail indica un fallimento immediato senza accodamento Un valore queue indica che l accodamento non deve essere arrestato fino a quando il percorso non stato corretto user_friendly_names Se impostato su yes specifica che il sistema deve utilizzare il file etc multipath bindings per assegnare un alias unico e persistente al multipath con un formato mpathn Se impostato su no specifica che il sistema deve usare il WWID come alias per il multipath In entrambi i casi qualsiasi cosa venga specificata sar sovrascritta da qualsiasi alias specifico per il dispositivo specificato nella sezione multipath del file di configurazione Il valore predefinito no queue_without_daemon Se impostato su no il demone multipathd disabiliter l accodamento di tutti i dispositivi quando viene arrestato Il valore predefinito yes
203. e agli amministratori di sistema di eseguire tramite codice attivit comuni quali l installazione di nuovo software il controllo dei permessi sui file o l aggiornamento di account utente Puppet importante non solo durante l installazione iniziale di un sistema ma anche attraverso l intero ciclo di vita del sistema Puppet viene utilizzato in molte circostanze nella configurazione dei server e dei client Questa sezione illustra l installazione e configurazione di Puppet in una configurazione client server questo semplice esempio mostra come installare Apache usando Puppet 2 1 Installazione Per installare Puppet in un terminale sul server digitare sudo apt get install puppetmaster Sulla macchina o le macchine client digitare sudo apt get install puppet 2 2 Configurazione Prima di configurare puppet necessario aggiungere una voce DNS CNAME per puppet example com dove example com il proprio dominio Per impostazione predefinita i client Puppet verificano sul DNS che puppet examnple com sia il nome del server puppet o il Puppet Master Per maggiori dettagli consultare Capitolo 8 DNS Domain Name Service 140 Se non si utilizza DNS possibile aggiungere delle voci ai file server e client etc hosts Per esempio aggiungere al file etc hosts del server Puppet 127 0 0 1 localhost localdomain localhost puppet 192 168 1 17 meercat02 example com meercat02 Su ciascun client Puppet aggiung
204. e come e quando contattarlo In Ubuntu questo risultato viene tradizionalmente raggiunto con l installazione del pacchetto libnss ldap che comprende altri strumenti utili nel processo di configurazione Istallare questo pacchetto sudo apt get install libnss ldap Vengono richiesti dettagli relativi al server LDAP in caso di errori possibile provare di nuovo digitando sudo dpkg reconfigure ldap auth config I risultati della configurazione possono essere visualizzati nel file etc 1dap conf Se il server richiede delle opzioni non contemplate durante la fase di configurazione modificare il file secondo le proprie esigenze Ora configurare il profilo LDAP per NSS sudo auth client config t nss p lac _ldap Configurare il sistema per usare LDAP per l autenticazione sudo pam auth update Dal men scegliere LDAP e ogni altro metodo di autenticazione necessario Ora dovrebbe essere possibile eseguire l accesso utilizzando le credenziali LDAP 112 Autenticazione di rete I client LDAP devono potersi riferire a diversi server se viene usata la replicazione in etc ldap conf si dovrebbe avere qualcosa di simile uri ldap ldap01 example com ldap ldap02 example com La richiesta scade e il consumatore ldap02 tenter di essere raggiunto se il fornitore 1dap01 non risponde Se LDAP viene utilizzato per archiviare utenti Samba necessario configurare il server Samba affinch utilizzi l autenti
205. e list e il gruppo list Il proprietario del processo mailman sara l utente creato 4 2 Configurazione Questa sezione ha come presupposto l avvenuta installazione di mailman apache2 e di postfix o exim4 Ora solo necessario configurarle 4 2 1 Apache2 Un file di esempio di Apache disponibile con Mailman ed localizzato in etc mailman apache conf Affinch Apache possa utilizzare il file di configurazione necessario copiarlo in etc apache2 sites available sudo cp etc mailman apache conf etc apache2 sites available mailman conf In questo modo verr configurato un nuovo VirtualHost per il sito di amministrazione di Mailman Ora necessario abilitare la configurazione e riavviare Apache sudo a2ensite mailman conf sudo service apache2 restart Mailman utilizza apache2 per eseguire gli script CGI Gli script CGI di mailman sono installati all interno della directory usr lib cgi bin mailman e l URL di mailman risulta quindi http hostname cgi bin mailman possibile apportare cambiamenti al file etc apache2 sites available mailman conf per modificarne il comportamento 4 2 2 Postfix Per l integrazione di Postfix verr associato il dominio lists example com con le seguenti mailing list Sostituire lists example com con il proprio dominio E possibile usare il comando postconf per aggiungere la configurazione necessaria in etc postfix main cf sudo postconf e relay domains li
206. e_plaintext_auth no possibile ottenere il certificato SSL da un entit di certificazione oppure possibile creare il proprio certificato auto firmato Quest ultima opzione valida per le email dato che i client SMPT solitamente non danno grossi problemi a riguardo Per maggiori informazioni su come creare un certificato SSL consultare Sezione 5 Certificati 172 Una volta creato sono disponibili una chiave e un certificato sotto forma di file copiarli nella posizione puntata all interno del file etc dovecot dovecot conf 3 4 Configurazione del firewall per un server email Per accedere al server mail da un altro computer necessario configurare il firewall affinch consenta i collegamenti al server sulle porte necessarie e IMAP 143 e IMAPS 993 e POP3 110 e POP3S 995 3 5 Riferimenti Per maggiori informazioni consultare il sito web di Dovecot e Consultare anche la pagina della documentazione della comunit su Dovecot per ulteriori dettagli 15 http www dovecot org 16 https help ubuntu com community Dovecot 247 Servizi email 4 Mailman Mailman un programma open source per la gestione di discussioni elettroniche e newsletter Molte mailing list open source incluse tutte le mailing list di Ubuntu utilizzano Mailman come software molto potente e facile da installare 4 1 Installazione Mailman dispone in un interfaccia web sia per gli amministra
207. edits or license for more information gt gt gt import lxc __main_ _ 1 Warning The python lxc API isn t yet stable and may change at any p oint in the future gt gt gt c lxc Container C1 gt gt gt c create ubuntu True gt gt gt c start True gt gt gt c wait STOPPED True Debug information for containers started with the python API will be placed in var 1log lxccontainer log 4 9 Sicurezza A namespace maps ids to resources By not providing a container any id with which to reference a resource the resource can be protected This is the basis of some of the security afforded to container 352 Virtualizzazione users For instance IPC namespaces are completely isolated Other namespaces however have various leaks which allow privilege to be inappropriately exerted from a container into another container or to the host By default LXC containers are started under a Apparmor policy to restrict some actions However while stronger security is a goal for future releases in 12 04 LTS the goal of the Apparmor policy is not to stop malicious actions but rather to stop accidental harm of the host by the guest The details of AppArmor integration with lxc are in section Sezione 4 2 6 Apparmor 334 4 9 1 Exploitable system calls It is a core container feature that containers share a kernel with the host Therefore if the kernel contains any exploitable system calls the
208. el file etc multipath conf blacklist wwid SIBM ESXSST336732LC F3ETOEP00000072428BX1 Dopo aver aggiornato il file etc multipath conf necessario indicare manualmente al demone multipathd di ricaricare il file il seguente comando ricarica il file etc multipath conf aggiornato service multipath tools reload Eseguire il seguente comando per rimuovere il dispositivo multipath multipath f SIBM ESXSST336732LC F3ETOEP0Q000072428BX1 Per controllare se la rimozione del dispositivo avvenuta eseguire il comando multipath Il per visualizzare l attuale configurazione multipath Per informazioni sul comando multipath Il consultare la sezione Interrogazioni multipath con comandi multipli Per controllare che il dispositivo inserito nella blacklist non sia stato aggiunto eseguire il comando multipath come nel seguente esempio Il comando multipath imposta in modo predefinito la prolissit a un livello di v2 se non viene specificata un opzione v multipath create 3600a0b80001327d80000006d43621677 undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 0 sdb 8 16 undef ready running 3 0 0 0 sdf 8 80 undef ready running create 3600a0b80001327510000009a436215ec undef WINSYS SF2372 size 12G features 0 hwhandler 0 wp undef policy round robin 0 prio 1 status undef 2 0 0 1 sdc 8 32 undef ready running
209. el nuovo file di registrazione il profilo AppArmor deve esser aggiorato Per prima cosa modificare etc apparmor d usr sbin named e aggiungere var log query log w Quindi ricaricare il profilo cat etc apparmor d usr sbin named sudo apparmor_parser r Per maggiori informazioni riguardo AppArmor consultare la Sezione 4 AppArmor 168 150 DNS Domain Name Service e Riavviare BIND9 affinch le modifiche abbiano effetto sudo service bind9 restart Dovrebbe essere possibile vedere il file var 10g9 query log riempirsi con le informazioni relative alle interrogazioni Per maggio informazioni sulle opzioni di registrazione di BIND9 consultare la Sezione 4 2 Ulteriori informazioni 152 151 DNS Domain Name Service 4 Riferimenti 4 1 Tipi di record comuni Questa sezione descrive i pi comuni tipi di record DNS e Record A mappa un indirizzo IP con un nome host WWW IN A 192 168 1 12 e Record CNAME usato per creare un alias di un record A esistente Non possibile creare un record CNAME che punti a un altro record CNAME web IN CNAME www e Record MX usato per definire dove dovrebbero essere inviate le email Deve puntare a un record A non a uno CNAME IN MX 1 mail example com mail IN A 192 168 1 13 e Record NS usato per definire quali server dispongono di copie di una zona Deve puntare a un record A non a un CNAME Qui vengono definiti i server primario e seco
210. elf write by anonymous auth by dn cn admin dc example dc com write by none to attrs shadowLastChange by self write by anonymous auth by dn cn admin dc example dc com write by none Questo ACL composto ce ne sono 2 impone quanto segue e L accesso anonimo auth fornito all attributo userPassword per la connessione iniziale In maniera forse poco intuitiva by anonymous auth necessario anche quando non sia richiesto un accesso anonimo al DIT Una volta che l interfaccia remota collegata tuttavia l autenticazione pu essere effettuata vedere il prossimo punto e L autenticazione pu avvenire in quanto tutti gli utenti hanno accesso in lettura fornito dall istruzione by self write all attributo userPassword e L attributo userPassword non altrimenti accessibile da tutti gli altri utenti con l eccezione del rootDN che ne ha un accesso completo e Per consentire agli utenti la modifica della propria password usando il comando passwd o altre utilit necessario che l attributo shadowLastChange sia accessibile dopo l autenticazione dell utente Questo DIT pu essere esaminato in maniera anonima in quanto presente l istruzione by read in questo ACL tO S by self write 106 Autenticazione di rete by dn cn admin dc example dc com write by read Se ci non richiesto necessario modificare l ACL Per forzare l autenticazione durante una richiesta
211. ella comunit su Kerberos contiene maggiori dettagli Il libro Kerberos The Definitive Guide di O Reilly un ottimo punto di riferimento per impostare un server Kerberos e Inoltre fare un giro sui canali IRC ubuntu server e kerberos su F reenode gt se si hanno domande riguardanti Kerberos 54 http web mit edu Kerberos 39 https help ubuntu com community Kerberos 56 http oreilly com catalog 9780596004033 X http freenode net 132 Autenticazione di rete 4 Kerberos e LDAP Normalmente Kerberos non viene utilizzato da solo una volta che un utente autenticato Kerberos necessario comprendere cosa pu fare autorizzazione e questo il compito di programmi come LDAP Sostituire un database principale di Kerberos tra due server pu essere complicato e aggiunge un ulteriori database all interno della rete Il server Kerberos pu comunque essere configurato per utilizzare una directory LDAP come database principale In questa sezione viene descritto come configurare un server Kerberos primario e secondario affinch utilizzi OpenLDAP come database principale fy Il seguente esempio da per scontato che siano installati MIT Kerberos e OpenLDAP 4 1 Configurare OpenLDAP Per prima cosa necessario caricare lo schema all interno del server OpenLDAP collegato ai KDC primario e secondario I successivi passi qui descritti hanno come presupposto la presenza di un server LDAP di repli
212. eload e Per incrementare il livello di informazioni registrate durante la risoluzione di problemi con SASL possibile impostare le seguenti opzioni nel file etc dovecot dovecot conf auth_debug yes auth_debug_passwords yes bJ Just like Postfix if you change a Dovecot configuration the process will need to be reloaded sudo service dovecot reload w Alcune delle opzioni precedenti possono aumentare drasticamente la quantit di informazioni inviata ai file di registrazione Ricordarsi di ripristinare il livello di 241 Servizi email registrazione al valore predefinito dopo aver corretto il problema quindi ricaricare il demone appropriato affinch la configurazione abbia effetto 1 7 3 Riferimenti Amministrare un server Postfix pu essere un compito molto complicato e potrebbe essere necessario richiedere aiuto alla comunit Un ottimo punto per richiedere assistenza riguardo Postfix e per partecipare nella comunit di Ubuntu Server il canale IRC ubuntu server su freenode anche possibile lasciare un messaggio in uno dei tanti forum Per informazioni dettagliate riguardo Postfix gli sviluppatori Ubuntu consigliano il libro The Book of Postfix In fine il sito web di Postfix dispone di ottima documentazione riguardo le diverse opzioni di configurazione Inoltre la pagina della documentazione della comunit su Postfix contiene ulteriori informazioni 4 http freenode net 2 http
213. endo alcuni esempi di configurazione 3 1 Panoramica Se si nuovi di Kerberos ci sono alcuni termini che bene comprendere prima di procedere Molti di questi termini potrebbero essere simili ad altri concetti di altri ambienti pi familiari e Principal qualsiasi utente computer e servizio fornito da server deve essere definito come Kerberos principal e Istanze usate dai principal di servizio e da quelli amministrativi e Realms il reame unico di controllo fornito dall installazione di Kerberos Occorre considerarlo alla stregua del dominio o del gruppo al quale appartengono sia l host che l utente Per convenzione il reame dovrebbe essere scritto in maiuscolo per impostazione predefinita Ubuntu usa come reame il dominio DNS convertito in maiuscolo EXAMPLE COM e Key Distribution Center KDC consiste di tre parti un database di tutti i principal il server di autenticazione e il server che garantisce i ticket Per ogni reame deve esserci almeno un KDC e Ticket Granting Ticket TGT emesso dallo Authentication Server AS il Ticket Granting Ticket cifrato con la password dell utente ed quindi noto solo all utente e al KDC e Ticket Granting Server TGS emette i ticket su richiesta dei client e Ticket conferma l identit dei due principal Uno l utente e l altro il servizio richiesto Il ticket stabilisce una chiave di cifratura usata per garantire la sicurezza della comunicazione
214. enzia molte delle caratteristiche e dei vantaggi di Puppet Per ulteriori informazioni consultare Sezione 2 3 Risorse 86 2 3 Risorse e Visitare il sito web per consultare la documentazione ufficiale di Puppet 4 http docs puppetlabs com 86 Amministrazione remota e Consultare anche Pro Puppet e Un altra fonte di ulteriori informazioni la pagina della documentazione della comunit di Ubuntu su Puppet gt http www apress com 978 1430230571 9 https help ubuntu com community Puppet 87 Amministrazione remota 3 Zentyal Zentyal un server Linux per piccole aziende che pu essere configurato come gateway gestore d infrastruttura gestore unico della sicurezza Unified Threat Manager server per ufficio Office Server server unico per le comunicazioni Unified Communication Server o una combinazione di questi Tutti i servizi di rete gestiti da Zentyal sono strettamente integrati rendendo automatici molti processi Ci contribuisce a evitare errori nella configurazione e amministrazione della rete e consente di risparmiare tempo Zentyal open source rilasciato sotto licenza GNU General Public License GPL e funziona in ambiente Ubuntu GNU Linux Zentyal consiste di una serie di pacchetti di solito uno per ciascun modulo che fornisce un interfaccia web per configurare i diversi server o servizi La configurazione memorizzata in un database chiave valore Redis ma la configurazio
215. er la configurazione dei dispositivi di rete Questa sezione diretta agli amministratori di server e si focalizza sulla gestione della rete da riga di comando 1 1 Interfacce Ethernet Le interfacce Ethernet sono identificate dal sistema con il nome convenzionale di ethX dove la X rappresenta un valore numerico La prima interfaccia Ethernet tipicamente identificata come eth0 la seconda come eth1 e tutte le altre seguono in ordine numerico 1 1 1 Identificare le interfacce Ethernet Per identificare rapidamente tutte le interfacce Ethernet disponibili possibile usare il comando ifconfig come indicato in seguito ifconfig a grep eth eth0 Link encap Ethernet HWaddr 00 15 c5 4a 16 5a Un altra applicazione che pu aiutare a identificare tutte le interfacce di rete disponibili nel sistema il comando Ishw Nel seguente esempio Ishw mostra una singola interfaccia Ethernet con il nome logico di eth0 insieme a informazioni sul bus dettagli sul driver e tutte le capacit supportate sudo lshw class network network description Ethernet interfac product BCM4401 B0 100Base TX vendor Broadcom Corporation physical id 0 bus info pci 0000 03 00 0 logical name eth0 version 02 serial 00 15 c5 4a 16 5a size 10MB s capacity 100MB s width 32 bits clock 33MHz capabilities snipped for brevity configuration snipped for brevity resources irg 17 memory ef9fe000 ef9fffff 1
216. er non funziona correttamente possibile digitare il seguente comando per avviarlo sudo service mysql restart 1 2 Configurazione Per configurare le impostazioni di base file di registrazione numero porta ecc possibile modificare il file etc mysql my cnf Per esempio per configurare MySQL affinch ascolti le connessioni dagli host nella rete modificare la direttiva bind address con l indirizzo IP del server bind address 192 168 0 5 fy Sostituire 192 168 0 5 con l indirizzo appropriato Dopo aver modificato etc mysql my cnf necessario riavviare il demone MySQL 207 Database sudo service mysql restart Per modificare la password root di MySQL in un terminale digitare sudo dpkg reconfigure mysql server 5 5 Il demone MySQL viene arrestato e viene chiesto di inserire una nuova password 1 3 Macchine per database Nonostante la configurazione predefinita di MySQL fornita dai pacchetti Ubuntu sia perfettamente funzionante e fornisca buone prestazioni sono necessarie alcune considerazioni prima di proseguire MySQL progettato per memorizzare i dati in modi diversi questi metodi sono riferiti sia al database che alle macchine di salvataggio dei dati ci sono principalmente due macchine che possono risultare interessanti InnoDB e MyISAM Le macchine di memorizzazione sono trasparenti per l utente finale MySQL funzioner diversamente sotto la superficie ma indipendentemente da quale mac
217. ere di monitorare server aggiuntivi e servizi all interno della rete 180 Monitoraggio 2 Nagios 2 1 Installazione Per prima cosa su serverO installare il pacchetto nagios In un terminale digitare sudo apt get install nagios3 nagios nrpe plugin Viene chiesto di inserire una password per l utente nagiosadmin Le credenziali vengono salvate nel file etc nagios3 htpasswd users Per modificare la password dell utente nagiosadmin o per aggiungere altri utenti usare il comando htpasswd parte del pacchetto apache2 utils Per esempio per modificare la password dell utente nagiosadmin digitare sudo htpasswd etc nagios3 htpasswd users nagiosadmin Per aggiungere un utente sudo htpasswd etc nagios3 htpasswd users steve Su server02 installare il pacchetto nagios nrpe server Da un terminale su server02 inserire sudo apt get install nagios nrpe server fy NRPE consente di eseguire controlli locali sugli host remoti Esistono anche altri metodi per eseguire questo attraverso l uso di altri plugin o controlli di Nagios 2 2 Panoramica della configurazione Esistono diverse directory contenenti file di configurazione e di controllo di Nagios e etc nagios3 contiene i file di configurazione per le operazioni del demone nagios i file CGI host ecc e etc nagios plugins contiene i file di configurazione per i controlli del servizio e etc nagios sull host remoto contiene i file di configurazione di
218. ere una voce per il server 192 168 1 16 meercat example com meercat puppet fe Sostituire gli indirizzi IP e i nomi di dominio nell esempio precedente con gli indirizzi e i nomi di dominio reali di server e client Impostare quindi alcune risorse per apache2 creare un file etc puppet manifests site pp contenente quanto segue package apache2 85 Amministrazione remota ensure gt installed service apache2 nsure gt true nable gt true require gt Package apache2 Quindi creare un file etc puppet manifests nodes pp per il nodo con node meercat02 example com include apache2 fy Sostituire meercat02 example com con il nome reale dell host del client Puppet Il passo finale per questo semplice server Puppet consiste nel riavviare il demone sudo service puppetmaster restart Configurato il server Puppet necessario configurare il client Per prima cosa configurare il demone Puppet per l avvio Modificare etc default puppet cambiando START in yes START yes Quindi avviare il servizio sudo service puppet start Tornando sul server Puppet firmare il certificato client digitando sudo puppetca sign meercat02 example com Controllare il file var 10g9 syslog per errori di configurazione Se tutto funziona correttamente il pacchetto apache2 e le sue dipendenze saranno installati sul client Puppet bJ Questo esempio molto semplice e non evid
219. erver premere F4 alla prima schermata per scegliere l opzione Installa un sistema minimale che equivale a selezionare JeOS oppure pu essere generato usando vmbuilder come descritto di seguito JeOS un installazione di Ubuntu Server Edition con un kernel appositamente configurato che contiene gli elementi basilari necessari all esecuzione di un ambiente virtualizzato Ubuntu JeOS stato progettato per sfruttare tutte quelle tecnologie chiave relative alle prestazioni presenti negli ultimi prodotti di virtualizzazione di VMware La combinazione di una ridotta dimensione e prestazioni ottimizzate assicurano che Ubuntu JeOS Edition sia in grado di offrire un uso efficiente delle risorse server in grandi produzioni virtuali Senza l utilizzo di driver non necessari e ricorrendo solo ai pacchetti richiesti gli ISV possono configurare il proprio SO di supporto proprio come desiderano Inoltre viene assicurato che gli aggiornamenti di sicurezza o per miglioramenti saranno limitati al minimo richiesto dallo specifico ambiente Gli utenti che sviluppano soluzioni virtuali basate su JeOS dovranno gestire meno aggiornamenti e quindi una minor manutenzione di quanto avrebbero dovuto fare con un installazione server completa 2 1 2 Cos vmbuilder Utilizzando vmbuilder non necessario scaricare un immagine di JeOS verranno scaricati i pacchetti necessari per creare una macchina virtuale adatta alle proprie esigenz
220. erver ospiter pi utenti necessario prestare la massima attenzione alle autorizzazioni delle home degli utenti al fine di garantirne la riservatezza In modo predefinito in Ubuntu le home degli utenti sono create con permessi di lettura e di esecuzione per tutti gli utenti Questo significa che tutti gli utenti possono visualizzare e accedere al contenuto delle home degli altri utenti cosa che potrebbe non essere soddisfacente per il proprio ambiente e Per verificare i permessi attuali della home degli utenti utilizzare il seguente comando ls ld home NOME_ UTENTE Il seguente output mostra che la directory home NOME_UTENTE accessibile in lettura da parte di tutti gli utenti drwxr xr x 2 nomeutente nomeutente 4096 2007 10 02 20 03 nomeutente possibile rimuovere il permesso in lettura da tutti con il seguente comando sudo chmod 0750 home NOME_ UTENTE fe Alcuni amministratori utilizzano anche l opzione per la modifica ricorsiva R di tutte le sotto cartelle e file della home ma questo non necessario e potrebbe inoltre causare degli effetti indesiderati Modificare i permessi alla cartella principale pi che sufficiente per prevenire degli accessi non autorizzati Un modo pi efficiente potrebbe essere quello di modificare direttamente le impostazioni predefinite dell applicazione adduser sui permessi da assegnare alle home degli utenti appena creati E sufficiente modificare la variabi
221. esempio per informazioni sul comando co checkout al prompt dei comandi digitare svn co help 272 Sistemi per il controllo della versione 2 3 5 Accesso con protocollo personalizzato a cifratura SSL svn ssh La configurazione e le procedure sono le medesime del metodo svn Per i dettagli consultare la sezione precedente Questo passaggio prevede che sia stata seguita la procedura precedente e il server Subversion sia stato avviato con il comando svnserve Si suppone che il server ssh sia in esecuzione sulla macchina e che accetti connessioni in entrata Per una conferma provare a collegarsi alla macchina attraverso SSH Se il login viene eseguito tutto configurato In caso contrario configurare SSH Il protocollo svn ssh utilizzato per accedere al repository di Subversion usando la cifratura SSL I dati che vengono trasmessi sono cifrati con questo metodo Per accedere al repository del progetto per esempio attraverso un checkout utilizzare con il comando la sintassi seguente svn co svn tssh hostname var svn repos project fy E necessario utilizzare il percorso completo percorso al repository progetto per accedere al repository di Subversion utilizzando questo metodo di accesso In base alla configurazione del server viene richiesta la password Utilizzare la password per il login con SSH Una volta autenticati viene eseguito il checkout del codice dal repository di Subverison 273
222. ess bisadihuiralurio 44 3 DHCP Dynamic Host Configuration Protocol 48 4 Sincronizzazione del tempo con NTP 51 5 DM Multipath sieneen ui at vee Eee ec albini anita 53 1 Device Mapper Multipathin ss ssis Soest olor nale wees vier Wa ai ee 54 2 Dispositivi multipath uscniiani Ararat 56 3 Panoramica sull impostazione di DM Multipath cere rene nere ne ne nenenee 59 4 Il file di configurazione DM Multipath e eee ceeececececececeseeeeeeeeeseeeeeeeeeeeees 63 5 Amministrazione e risoluzione di problemi di DM Multipath eeeeeeeeeee 76 6 Amininistfazione FEM Oba ir ni iena AE a iii Palaia aid ici 81 1 Server OpenSSH 3 25 ni ati cig ad cee gan tine adeno eas EE ATO PEET E EAS ERI Ieee ATE EEUE E A 82 2 Puppettaa sondino ee ha 85 Se Lentyal ve pitti iaia ioistsinge uate lobsusinanlaiiet iuisleretecdagielousaeitiautsedeielsdeants 88 7 Autenticazione di Tete i ieri iaia alunna Lia liana 92 1 Serer OpenLDAP assoni nale iaia eo iii 93 2 Samba amp LDAP nerra lla aa 119 Dae Kerberos sisi ilaria Mach Li Lina 125 4 Kerberos EDAP ispere eten dada lena dina eae aip oa leali et aaas baa EE talia 133 8 DNS Domain Name Service N EE ANIS 140 I Installazione sno e EE Fallo liana lare ali 141 2e Configura ZoNe isla Ali ia 142 3 Risol ione problemi serenos ire eoi a eet OE EE E EEE i pO EEEE ila 148 iii
223. esslog starttls critical tls_reqcert demand Le opzioni supplementari specificano rispettivamente che il consumatore deve usare StartTLS e che per verificare l identit del fornitore necessario il certificato CA notare anche la sintassi di LDIF per la modifica del valore di un attributo replace Rendere effettive queste modifiche sudo ldapmodify Y EXTERNAL H ldapi f consumer _sync_tls ldif E riavviare slapd 111 Autenticazione di rete sudo service slapd restart 4 Sul fornitore Controllare che sia stata stabilita una sessione TLS in var log syslog a patto che sia stato impostato un accesso a livello conns dovrebbero essere visualizzati messaggi simili ai seguenti slapd 3620 slapd 3620 slapd 3620 slapd 3620 slapd 3620 slapd 3620 slapd 3620 slapd 3620 conn 104 conn 104 conn 104 conn 104 conn 104 conn 104 conn 104 conn 104 ee JN Oo O th OO O O E d 20 ACCEPT from IP 10 153 107 229 57922 p 0 EXT oid 1 3 6 1 4 1 1466 20037 p 0 STARTTLS p 0 RESULT oid err 0 text d 20 TLS established tls_ssf 128 ssf 128 p 1 BIND dn cn admin dc example dc com IP 0 0 0 0 389 method 128 p 1 BIND dn cn admin dc example dc com mech SIMPL E ssf 0 p 1 RESULT tag 97 err 0 text 1 10 Autenticazione LDAP Una volta ottenuto un server LDAP funzionante occorre installare sul client le librerie necessarie per saper
224. esto tipo semplifica la rotazione degli archivi e lo spostamento dello stesso dispositivo in un altra locazione Quando viene usato un dispositivo a nastro la parte dello script relativa al nome del file non necessaria in quanto il dato inviato direttamente al dispositivo ma sono necessari alcuni comandi per manipolare il nastro Ci viene effettuato usando mt un utilit di controllo di nastri magnetici parte del pacchetto cpio Questo lo script modificato per l uso di un dispositivo a nastro bin bash CEREA RAZZA RA RAZZE RARA AA AAA RAZZI Backup to tape drive script PETE HEHE EEE HEHE EEE HEHE EE HEHE EEE What to backup backup_files home var spool mail etc root boot opt Where to backup to dest dev st0 Print start status message echo Backing up Sbackup_files to dest date echo Make sure the tape is rewound mt f dest rewind Backup the files using tar tar czf Sdest Sbackup_files Rewind and eject the tape mt f Sdest rewoffl Print end status message echo echo Backup finished date fa Il nome del device predefinito per un dispositivo a nastro SCSI aev st0 utilizzare il percorso al device appropriato per il proprio sistema 303 Backup Ripristinare i dati da un dispositivo a nastro funziona allo stesso modo di ripristinare da un file Riavvolgere il nastro e usare il percorso del dispositivo al posto del percorso al file Pe
225. estricted universe multiverse deb i386 http archive ubuntu com ubuntu quantal updates main restricted universe multiverse deb http archive ubuntu com ubuntu quantal backports main restricted universe multiverse deb i386 http archive ubuntu com ubuntu quantal backports main restricted universe multiverse deb http security ubuntu com ubuntu quantal security main restricted universe multiverse deb i386 http security ubuntu com ubuntu quantal security main restricted universe multiverse deb http archive ubuntu com ubuntu quantal main debian installer restricted debian installer universe debian installer multiverse debian installer deb i386 http archive ubuntu com ubuntu quantal main debian installer restricted debian installer universe debian installer multiverse debian installer I pacchetti dei sorgenti non sono stati inclusi nel mirror dato che non sono molto usati quanto i binari e occupano molto spazio comunque possibile aggiungerli facilmente all elenco Una volta terminata l operazione di duplicazione del mirror pu durare molto necessario configurare Apache affinch i file del mirror in var spool apt mirror se non stato modificato il 322 Virtualizzazione valore predefinito siano pubblicati dal proprio server Apache Per maggiori informazioni su Apache consultare Sezione 1 HTTPD Server web Apache2 188 2 4 Pacchettizzare l applicativo Sono
226. esystems especially proc and executes its arguments You are not likely to need to manually refer to this file e usr lib lxc templates contiene i modelli da usare per creare nuovi contenitori di svariati tipi per diverse distribuzioni e etc apparmor d lxc lxc default contiene la politica predefinita Apparmor MAC il cui scopo proteggere l host dai contenitori Per ulteriori informazioni consultare Sezione 4 2 6 Apparmor 334 e etc apparmor d usr bin lxc start contiene un profilo per proteggere l host da Ixc start mentre viene impostato il contenitore e etc apparmor d lxc containers causes all the profiles defined under etc apparmor d 1xc to be loaded at boot e Ci sono diverse pagine di manuale per gli strumenti di amministrazione LXC e per il file di configurazione di contenitori 1xc conf e var lib 1lxc is where containers and their configuration information are stored e var cache 1xc is where caches of distribution data are stored to speed up multiple container creations 4 2 2 lxcbr0 When USE_LXC_BRIDGE is set to true in etc default lxc as it is by default a bridge called lxcbr0 is created at startup This bridge is given the private address 10 0 3 1 and containers using this bridge will have a 10 0 3 0 24 address A dnsmasq instance is run listening on that bridge so if another dnsmasq has bound all interfaces before the lxc net upstart job runs lxc net will fail to start and lxcbr0 will not exist
227. etc ldap schema dyngroup schema include etc ldap schema inetorgperson schema include etc ldap schema java schema include etc ldap schema misc schema include etc ldap schema nis schema include etc ldap schema openldap schema include etc ldap schema ppolicy schema include etc ldap schema kerberos schema Creare una directory temporanea in cui salvare i file LDIF mkdir tmp ldif output Usare quindi slapcat per convertire i file schema slapcat f schema convert conf F tmp ldif_ output n0 s cn 12 kerberos cn schema cn con Modificare i percorsi e i nomi dei file in base alla proprie esigenze Modificare il file tmp cn kerberos ldif generato sistemando i seguenti attributi dn cn kerberos cn schema cn config cn kerberos Rimuovere le seguenti righe dalla fine del file structuralObjectClass olcSchemaConfig entryUUID 18ccd010 746b 102d 9fbe 3760cca765dc creatorsName cn config createTimestamp 20090111203515Z entryCSN 20090111203515 326445Z 000000 000 000000 modifiersName cn config modifyTimestamp 20090111203515Z I valori degli attributi possono variare basta solo assicurarsi che gli attributi siano rimossi Caricare il nuovo schema con ldapadd ldapadd x D cn admin cn config W f tmp cn kerberos 1ldif Aggiungere un indice per l attributo krb5principalname ldapmodify x D cn admin cn config W 134 Autenticazione di rete Enter LDAP Password dn olcDatabase 1 hdb
228. ete e dns rappresenta una tradizionale query DNS Unicast e mdns4 rappresenta una query DNS Multicast Per modificare l ordine dei metodi di risoluzione dei nomi sopra menzionati basta modificare la stringa hosts nel valore prescelto Per esempio se si preferisce usare il tradizionale DNS Unicast invece del DNS Multicast modificare la stringa in etc nsswitch conf come indicato di seguito hosts files dns NOTFOUND return mdns4_minimal mdns4 1 4 Bridging Il bridging di molteplici interfacce una configurazione avanzata ma utile in diversi scenari Uno di questi scenari pu consistere nel configurare un bridge con molteplici interfacce di rete e usare un firewall per filtrare il traffico tra due segmenti della rete Un altro scenario consiste nell usare un bridge su un sistema con una sola interfaccia per permettere alle macchine virtuali accesso diretto alla rete esterna L esempio che segue prende in considerazione quest ultimo scenario Prima di configurare un bridge necessario installare il pacchetto bridge utils In un terminale digitare sudo apt get install bridge utils Configurare il bridge modificando il file etc network interfaces auto lo iface lo inet loopback auto br0 iface br0 inet static address 192 168 0 10 network 192 168 0 0 netmask 255 255 255 0 broadcast 192 168 0 255 gateway 192 168 0 1 bridge_ports eth0 bridge_fd 9 bridge_hello 2 bridge_maxage 12 bridge_stp off Inserire
229. etodi per eseguire un avanzamento da un rilascio di Ubuntu a un altro In questa sezione vengono presentati i metodi raccomandati 3 1 do release upgrade Il metodo di avanzamento raccomandato per la Server Edition l utilizzo dell utilit do release upgrade installata in modo predefinito come parte del pacchetto update manager core e priva di alcuna dipendenza grafica I sistemi basati su Debian possono ricorrere anche al comando apt get dist upgrade L uso di do release upgrade comunque raccomandato in quanto in grado di gestire le modifiche necessarie alla configurazione di sistema tra 1 rilasci Per avanzare a un nuovo rilascio da un terminale digitare do release upgrade E anche possibile usare do release upgrade per avanzare a una versione di sviluppo di Ubuntu Per fare ci usare l opzione d do release upgrade d O Avanzare a una versione di sviluppo non consigliato in ambienti di produzione Installazione 4 Installazione avanzata 4 1 RAID software RAID Redundant Array of Independent Disks insieme ridondante di dischi indipendenti un metodo che impiega pi dischi per fornire diverse combinazioni fra aumento dell affidabilit dei dati e o in alternativa l aumento delle prestazioni I O a seconda del livello RAID utilizzato RAID implementato o a livello software il sistema operativo al corrente dell esistenza di entrambi i dischi e li gestisce attivamente o a livel
230. example com _kerberos _tcp EXAMPLE COM IN SRV 1 0 88 kdc01l example com _kerberos _udp EXAMPLE COM IN SRV 10 0 88 kdc02 example com _kerberos _tcp EXAMPLE COM IN SRV 10 0 88 kdc02 example com _kerberos adm _tcp EXAMPLE COM IN SRV 1 0 749 kdc0l example com _kpasswd _udp EXAMPLE COM IN SRV 1 0 464 kdcOl example com fe Sostituire EXAMPLE COM kdc01 e kdc02 con il nome del proprio dominio il KDC primario e quello secondario Consultare Capitolo 8 DNS Domain Name Service 140 per le istruzioni sulla configurazione di DNS Il reame Kerberos ora pronto per autenticare i client 3 3 KDC secondario Una volta ottenuto un KDC Key Distribution Center all interno della rete utile avere anche un KDC secondario nel caso in cui quello primario non fosse pi disponibile Inoltre se i client Kerberos sono in reti diverse eventualmente separate da router che usano NAT opportuno collocare un KDC secondario in ognuna di queste reti Per prima cosa installare il pacchetto e quando vengono chiesti i nomi di Kerberos e Admin inserire il nome del KDC primario sudo apt get install krb5 kdc krb5 admin server Una volta installato il pacchetto creare il KDC secondario Da un terminale digitare 128 Autenticazione di rete kadmin q addprinc randkey host kdc02 example com Una volta eseguiti i comandi kadmin viene chiesto la propria password NOME_UTENTE ADMIN EXAMPLE COM Estrarre il file
231. exceptions del file di configurazione come descritto in Eccezioni della blacklist 65 blacklist devnode ram raw loop fd md dm sr scd st 0 9 devnode hd a z 4 2 3 Inserimento nella blacklist in base al tipo di dispositivo E possibile specificare tipi di dispositivi specifici nella sezione blacklist del file di configurazione con una sezione device Nel seguente esempio vengono inseriti nella blacklist tutti i dispositivi IBM DS4200 e HP blacklist device vendor IBM product 3S42 DS4200 Product 10 device vendor HP product 4 2 4 Eccezioni della blacklist E possibile usare la sezione blacklist_exceptions del file di configurazione per abilitare il multipath dei dispositivi che sono stati inseriti nella blacklist per impostazione predefinita Per esempio se presente un gran numero di dispositivi ed necessario effettuare il multipath di solo uno di essi con un WWID di 3600d0230000000000e13955cc3757803 invece di inserire individualmente in blacklist tutti i dispositivi tranne quello sul quale effettuare il multipath 65 DM Multipath possibile inserirli tutti in blacklist e poi consentire il multipath di quello sopra indicato inserendo le seguenti righe nel file etc multipath conf file blacklist wwid gt blacklist_exceptions wwid 3600d0230000000000e13955cc3757803 Quando vengono specificati i dispositivi all interno della sezione blacklist_e
232. features 1 queue_if_no_path dal file etc multipath conf Se tuttavia viene usato un dispositivo multipath per il quale stata impostata in modo predefinito l opzione features 1 queue_if_no_ path come nel caso di numerosi dispositivi SAN necessario aggiungere features 0 per sovrascrivere l impostazione predefinita Per tale operazione copiare la sezione esistente devices solo la sezione e non l intero file da usr share doc multipath tools examples multipath conf annotated gz in etc multipath conf modificandolo in base alle proprie esigenze esistenti per il dispositivo da Se necessario utilizzare l opzione features 1 queue_if_no_path e si riscontrato il problema qui riportato usare il comando dmsetup per modificare la politica al momento dell esecuzione per un LUN specifico cio per il quale tutti i percorsi risultano non disponibili Per esempio se si desidera modificare la politica sul dispositivo multipath mpathc da queue_if_no path a fail if no path eseguire il seguente comando dmsetup message mpathc 0 fail_if_ no path fe E necessario specificare l alias mpathn e non il percorso 5 6 Output del comando Multipath Quando viene creato modificato o elencato un dispositivo multipath si riceve una stampa sull impostazione corrente del dispositivo il formato il seguente per ciascun dispositivo multipath action_if_any alias wwid_if different_from_alias dm _device_name_if_ known vendor
233. fiche prima di ogni installazione di un pacchetto Per un tracciamento delle modifiche pi preciso consigliato eseguire i commit manualmente aggiungendovi anche un messaggio di commit sudo etckeeper commit Commento sulle modifiche Utilizzando i comandi del sistema di controllo possibile visualizzare il registro delle informazioni riguardo i file in etc sudo bzr log etc passwd Per una dimostrazione dell integrazione col sistema di gestione dei pacchetti installare postfix sudo apt get install postfix Completata l installazione tutti i file di configurazione di postfix dovrebbero essere inviati al repository Committing to etc added aliases db modified group modified group modified gshadow 375 Altre utili applicazioni modified gshadow modified passwd modified passwd added postfix added resolvconf added rsyslog d modified shadow modified shadow added init d postfix added network if down d postfix added network if up d postfix added postfix dynamicmaps cf added postfix main cf added postfix master cf added postfix post install added postfix postfix files added postfix postfix script added postfix sasl added ppp ip down d added ppp ip down d postfix added ppp ip up d postfix added rc0 d K20postfix added rcl d K20postfix added rc2 d S20postfix added rc3 d S20postfix added rc4 d S20postfix added rc5 d S20post fix added rc6 d K20post fix added resolvconf update li
234. file system Questo esempio presume che sia stato aggiunto un secondo disco fisso al sistema che verr chiamato dev sdb l intero disco verr usato come volume fisico possibile scegliere di creare partizioni e usarle come differenti volumi fisici Assicurarsi che non esista gia un dev sdb prima di eseguire i seguenti comandi se questi vengono eseguiti in un disco non vuoto si potrebbe causare la perdita di dati 1 Creare il volume fisico In un terminale digitare 15 Installazione sudo pvcreate dev sdb Estendere il gruppo di volumi VG sudo vgextend vg01 dev sdb Usare vgdisplay per trovare gli extent fisici PE liberi PE dimensione dimensione da allocare In questo esempio viene considerata una dimensione di 511 PE equivalenti a 2GB con una dimensione di PE di 4MB e viene utilizzato tutto lo spazio libero Utilizzare i PE in base alle proprie disponibilit Il volume logico LV pu essere esteso in diversi modi In questo esempio viene considerato il caso di utilizzo del PE per estendere il LV sudo lvextend dev vg01 srv 1 511 L opzione consente di estendere il LV attraverso l uso di PE L opzione L invece consente di estendere il LV utilizzando megabyte gigabyte terabyte ecc Sebbene sia possibile espandere un file system ext3 o ext4 senza prima smontarlo comunque consigliabile smontarlo e controllare il file system in modo da non fare pasticci allorquando sia necessari
235. fisso o il DN base di questa istanza sono determinati dal nome del dominio dell host locale Se necessario possibile modificare etc hosts sostituendo il nome del dominio con uno che fornisce un suffisso diverso Per esempio se necessario un suffisso di dc example dc com il file deve contenere una riga simile alla seguente 127 0 1 1 hostname example com hostname E possibile annullare la modifica dopo l installazione del pacchetto bJ Questa guida utilizzer come suffisso del database dc example dc com Proseguire con l installazione sudo apt get install slapd ldap utils Fin da Ubuntu 8 10 slapd progettato per essere configurato all interno dello stesso slapd dedicando un DIT separato per tale scopo questo consente di configurare dinamicamente slapd senza necessit di riavviare il servizio Questo database di configurazione consiste in un insieme di file LDIF testuali localizzati in etc ldap slapd d Questa metodologia chiamata in diversi modi metodo slapd config metodo RTC Real Time Configuration configurazione in tempo reale o metodo cn config comunque possibile utilizzare il metodo tradizionale con un semplice file ma ci sconsigliato la funzionalit sar in futuro gradualmente eliminata bJ Ubuntu utilizza il metodo slapd config per la configurazione di slapd e questa guida rispecchia questa scelta Durante l installazione viene richiesto di definire le credenziali di amministratore si tratta
236. flexibility this chapter will show how to fine tune your containers as you need Detailed information is available in the Ixc conf 5 man page Note that the default configurations created by the ubuntu templates are reasonable for a system container and usually do not need customization 4 4 1 Choosing configuration files and options The container setup is controlled by the LXC configuration options Options can be specified at several points e During container creation a configuration file can be specified However creation templates often insert their own configuration options so we usually specify only network configuration options at this point For other configuration it is usually better to edit the configuration file after container creation e The file var lib 1xc CN config is used at container startup by default e Ixc start accepts an alternate configuration file with the f filename option e Specific configuration variables can be overridden at Ixc start using s key value It is generally better to edit the container configuration file 4 4 2 Configurare la rete Container networking in LXC is very flexible It is triggered by the Ixc network type configuration file entries If no such entries exist then the container will share the host s networking stack Services and connections started in the container will be using the host s IP address If at least one lxc network type entry is present then the c
237. flush_on_last_del Se impostato su yes multipath disabiliter l accodamento quando l ultimo percorso per un dispositivo stato cancellato Il valore predefinito no max_fds Imposta il numero massimo di descrittori di file che possono essere aperti da multipath e dal demone multipathd Ci equivalente al comando ulimit n Un valore max imposter tale valore sul limite del sistema di proc sys fs nr_open Se non impostato il numero massimo di descrittori viene preso dal processo che esegue la chiamata generalmente questo valore 1024 A tale scopo si consiglia di impostare tale valore sul numero massimo di percorsi pi 32 se tale numero maggiore di 1024 checker_timer Il timeout da usare per i controllori del percorso che emettono i comandi SCSI con un timeout esplicito in secondi Il valore predefinito viene preso da sys block sdx device timeout ed uguale a 30 secondi in 12 04 LTS fast_io_fail_tmo Il numero di secondi di attesa del livello SCSI dopo il rilevamento di un problema su di una porta remota FC prima di interrompere gli I O peri dispositivi di quella porta remota Questo valore deve essere minore del valore dev_loss_tmo l impostazione su off disabiliter il timeout Il valore predefinito viene determinato dal sistema operativo dev_loss_tmo Il numero di secondi di attesa del livello SCSI dopo il rilevamento di un problema su di una porta remota
238. g Per dimostrare come le applicazioni utilizzino i DNS per interpretare un nome host usare l utilit ping per inviare una richiesta eco ICMP Da un terminale digitare ping example com In questo modo si verifica che il server dei nome sia in grado di interpretare il nome ns example com in un indirizzo IP L output del comando dovrebbe essere simile a quanto segue PING ns example com 192 168 1 10 56 84 bytes of data 64 bytes from 192 168 1 10 icmp_seg 1 tt1 64 time 0 800 ms 64 bytes from 192 168 1 10 icmp_seq 2 tt1l 64 time 0 813 ms 3 1 4 named checkzone Un ottimo modo per provare i propri file zona consiste nell usare l utilit named checkzone installata con il pacchetto bind9 Questa utilit consente di verificare che la configurazione sia corretta prima di riavviare BIND9 e consentendo di apportare delle modifiche e Per provare il file zona Forward in un terminale digitare quanto segue named checkzone example com etc bind db example com Se tutto stato configurato correttamente si dovrebbe vedere un output simile a questo zone example com IN loaded serial 6 OK e Analogamente per verificare il file zona Reverse digitare quanto segue named checkzone 1 168 192 in addr arpa etc bind db 192 L output dovrebbe essere simile a quanto segue zone 1 168 192 in addr arpa IN loaded serial 3 OK fy Il valore Serial del proprio file zona probabilmente sara diverso 3 2 Registrazione
239. gestione di Ubuntu Per informazioni su come Bazaar possa essere usato con Launchpad per la collaborazione nei progetti open source consultare http bazaar vcs org LaunchpadIntegration https launchpad net 2 http bazaar vcs org LaunchpadIntegration 268 Sistemi per il controllo della versione 2 Subversion Subversion un software open source per il controllo della versione Utilizzando Subversion possibile registrare la storia del codice sorgente e dei documenti in grado di gestire l evolversi di file e directory nel tempo Nel repository centrale viene posizionato un albero di tutti i file Il repository come un server di file tranne per il fatto che si ricorda qualsiasi cambiamento apportato 2 1 Installazione Per accedere al repository di Subversion utilizzando il protocollo HTTP necessario installare e configurare un server web come Apache2 che funziona molto bene con Subversion Fare riferimento alla sottosezione HTTP della sezione relativa ad Apache2 per installare e configurare un certificato digitale Per installare Subversion in un terminale digitare sudo apt get install subversion libapache2 svn 2 2 Configurazione del server I passi seguenti presumono siano stati installati 1 pacchetti elencati in precedenza Questa sezione descrive come creare un repository con Subversion e come accedere al progetto 2 2 1 Creare un repository con Subversion Un repository pu
240. ggio del contenuto dovrebbe essere visibile X Spam Level X Virus Scanned Debian amavisd new at example com X Spam Status No hits 2 3 tagged_above 1000 0 required 5 0 tests AWL BAYES_00 X Spam Level ba L output potrebbe variare ma l aspetto importante la presenza delle voci X Virus Scanned e X Spam Status 5 4 Risoluzione problemi Il miglior metodo per comprendere cosa non funzioni correttamente controllare i file di registro e Per istruzioni sulle registrazioni di Postfix consultare Sezione 1 7 Risoluzione problemi 240 e Amavisd new fa uso di Syslog per inviare i messaggi verso var log mail 1log Il livello di dettaglio pu essere aumentato aggiungendo l opzione og_levelin etc amavis conf d 50 user e impostando il valore da 1 a5 log_level 2 fy Quando il livello dei messaggi di registro di Amavisd new viene aumentato viene aumentato automaticamente anche quello di Spamassassin e Il livello di messaggi di ClamAV pu invece essere aumentato modificando il file etc clamav clamd conf e impostando la seguente opzione LogVerbose true 259 Servizi email ClamAV in modo predefinito invia i messaggi verso var log clamav clamav log fy Dopo aver cambiato le impostazioni di registrazione di un applicazione ricordarsi di riavviare il servizio Una volta risolto il problema buona norma ripristinare il livello di registrazioni originale 5 5 Riferimenti Pe
241. ggiori informazioni consultare Sezione 4 1 4 RAID degraded 12 11 Installazione Il processo di installazione continuera normalmente 4 1 4 RAID degraded Durante l arco di vita di un computer si potrebbero verificare dei danni ai dischi Quando si verifica un eventualit come questa usando il RAID software il sistema operativo abilita la modalit degraded per l array Se l array degradato degraded a causa di dati rovinati il sistema operativo in modo predefinito Si avvier in initramfs dopo 30 secondi Una volta avviato possibile entro 15 secondi continuare il normale avvio o tentare un ripristino manuale L avvio in initramfs potrebbe non essere consigliato soprattutto se si opera sul computer da remoto Avviare il sistema in un array degraded pu essere svolto in diversi modi e L utilit dpkg reconfigure pu essere usata per configurare il comportamento predefinito e durante l elaborazione verranno poste delle domande relative a impostazioni addizionali per l array come monitoraggio avvisi via email ecc Per riconfigurare mdadm digitare il seguente comando sudo dpkg reconfigure mdadm Il processo dpkg reconfigure mdadm modificher il file di configurazione etc initramfs tools conf d mdadm Tale file presenta il vantaggio di pre configurare il comportamento del sistema e pu essere modificato a mano BOOT_DEGRADED true fe Il file di configurazione pu essere scavalca
242. ggiungere quindi al comando mirror http INDIRIZZO_ MIRROR 9999 ubuntu fq L indirizzo del mirror qui specificato verr usato anche nel file etc apt sources list del nuovo ospite creato ed pertanto utile specificare un indirizzo che pu essere utilizzato dall ospite oppure pianificare una modifica dell indirizzo in un secondo momento 2 3 4 2 Installare un mirror locale Se si in un ambiente molto grande pu aver senso creare un mirror locale dei repository di Ubuntu Il pacchetto apt mirror fornisce uno script per la gestione delle operazioni di mirror E utile avere almeno 20GB di spazio per ogni rilascio supportato e architettura Per impostazione predefinita apt mirror usa il file di configurazione etc apt mirror list dato che gi impostato dovr solamente replicare l architettura del computer locale Se necessario supportare altre architetture all interno del mirror basta duplicare le righe che iniziano con deb sostituendo la parola deb con deb arch dove arch pu essere i386 amd64 ecc Per esempio su architettura amd64 per avere anche gli archivi per 1386 si avr alcune righe sono state divise per adattarle al formato di questo documento deb http archive ubuntu com ubuntu quantal main restricted universe multiverse deb i386 http archive ubuntu com ubuntu quantal main restricted universe multiverse deb http archive ubuntu com ubuntu quantal updates main r
243. gio software del server e consentire ai client di rete di sincronizzare a loro volta i propri orologi su quello del server e zentyal dhcp configura un server ISC DHCP che supporta intervalli di rete indirizzi riservati statici e altre opzioni avanzate come NTP WINS aggiornamenti dei DNS dinamici e avvio di rete con PXE e zentyal dns introduce un server DNS ISC Bind9 nel server per effettuare la cache di query locali in qualit di server d inoltro o come server autorevole per i domini configurati Consente di configurare record A CNAME MX NS TXT e SRV e zentyal ca integra in Zentyal un gestore di Autorit di Certificazione in modo tale da consentire agli utenti di autenticarsi ai servizi come con OpenVPN 88 Amministrazione remota e zentyal openvpn consente di configurare pi server e client VPN usando OpenVPN e con configurazione dell instradamento dinamico tramite Quagga e zentyal users fornisce un interfaccia per configurare e gestire utenti e gruppi su OpenLDAP Altri servizi su Zentyal sono autenticati in LDAP con gestione centralizzata di utenti e gruppi anche possibile sincronizzare utenti password e gruppi da un dominio Microsoft Active Directory e zentyal squid configura Squid e Dansguardian per aumentare la velocit di navigazione grazie alle capacit di caching e di filtro dei contenuti e zentyal samba consente la configurazione di Samba e la sua integrazione con LDAP esistenti Per me
244. gono inviati ai file di registro Il programma aa logprof pu essere usato per analizzare i file di registro per i messaggi di audit di AppArmor per controllarli e per aggiornare i profili Da un terminale sudo aa logprof 4 3 Riferimenti e Perle opzioni avanzate di configurazione consultare la AppArmor Administration Guide e Per maggiori informazioni su come usare AppArmor con altri rilasci di Ubuntu consultare la documentazione della comunit italiana e La pagina OpenSUSE AppArmor contiene un altra introduzione ad AppArmor e Un buon posto per chiedere assistenza riguardo AppArmor e per partecipare nella comunit di Ubuntu Server il canale IRC ubuntu server su freenode 7 https bugs launchpad net ubuntu source apparmor filebug 8 http www novell com documentation apparmor apparmor201_sp10_admin index html page documentation apparmor apparmor201_sp10_admin data book_apparmor_admin html a http wiki ubuntu it org Sicurezza AppArmor 19 http en opensuse org SDB AppArmor_geeks I http freenode net 171 Sicurezza 5 Certificati Una delle pit comuni forme di crittografia odierna la crittografia a chiave pubblica Questo tipo di crittografia utilizza una chiave pubblica e una chiave privata Il sistema funziona cifrando le informazioni usando la chiave pubblica che possono solo essere decifrate con la chiave privata L utilizzo pi comune della crittografia a chiave pubblica nel
245. he trovano corrispondenza la prima corrispondenza vince fra queste due fonti di ACL I seguenti comandi restituiscono rispettivamente gli ACL del database hdb dc example dc com x e quelli del database del frontend sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcDatabase 1 hdb olcAccess dn olcDatabase 1 hdb cn config olcAccess 0 to attrs userPassword shadowLastChange by self write by anonymous auth by dn cn admin dc example dc com write by none olcAccess l to dn base by read olcAccess 2 to by self write by dn cn admin dc example dc com write by read bJ Il rootDN gode sempre di pieni diritti d accesso al suo database includerlo in un ACL non fornisce un esplicita configurazione ma provoca un calo di prestazioni in slapd 105 Autenticazione di rete sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcDatabase 1 frontend olcAcc dn olcDatabase 1 frontend cn config olcAccess 0 to by dn exact gidNumber 0 uidNumber 0 cn peercred cn external cn auth manage by break olcAccess l to dn exact by read olcAccess 2 to dn base cn Subschema by read Il primo ACL cruciale olcAccess 0 to attrs userPassword shadowLastChange by self write by anonymous auth by dn cn admin dc example dc com write by none Questo pu essere diversamente rappresentato per una pi semplice comprensione to attrs userPassword by s
246. here CN is the container name The simplest container creation command would look like sudo lxc create t ubuntu n CN This tells lxc create to use the ubuntu template t ubuntu and to call the container CN n CN Since no configuration file was specified which would have been done with f file it will use the default configuration file under etc 1xc 1xc conf This gives the container a single veth network interface attached to the lxcbr0 bridge The container creation templates can also accept arguments These can be listed after For instance 336 Virtualizzazione sudo lxc create t ubuntu n oneiricl r oneiric passes the arguments r oneiricl to the ubuntu template 4 3 1 1 Help Help on the lxc create command can be seen by using Ixc create h However the templates also take their own options If you do sudo lxc create t ubuntu h then the general Ixc create help will be followed by help output specific to the ubuntu template If no template is specified then only help for Ixc create itself will be shown 4 3 1 2 Ubuntu template The ubuntu template can be used to create Ubuntu system containers with any release at least as new as 10 04 LTS It uses debootstrap to create a cached container filesystem which gets copied into place each time a container is created The cached image is saved and only re generated when you create a container using the F flush option to the template i e sudo
247. i GNU Mailman Manuale di installazione HOWTO Using Exim 4 and Mailman 2 1 together Consultare anche la pagina della documentazione della comunit su Mailman 19 http www list org mailman install index html 29 http www exim org howto mailman21 html al https help ubuntu com community Mailman 253 Servizi email 5 Filtrare le email Uno dei pi grandi problemi oggigiorno con le email lo Unsolicited Bulk Email UBE Conosciuto anche come SPAM questi messaggi possono essere virus e altre forme di malware Secondi alcuni rapporti questi messaggi compongono la maggior parte del traffico di email su Internet Questa sezione descrive come integrare Amavisd new Spamassassin e ClamAV con il Mail Transport Agent MTA Postfix Postfix pu anche verificare la validit delle email facendole analizzare da filtri esterni che in certi casi possono determinare se un messaggio indesiderato senza doverlo elaborare con applicazioni che richiedono pi risorse Due filtri d uso comune sono opendkim e python policyd spf e Amavisd new un wrapper che pu chiamare qualsiasi programma di filtraggio per rilevare la posta indesiderata virus ecc e Spamassassin utilizza moti meccanismi diversi per filtrare le email in base al contenuto del messaggio e ClamAV un antivirus open source e opendkim implementa un Sendmail Mail Filter Milter per lo standard DomainKeys Identified Mail DKIM e p
248. i al modello di database predefinito di PostgreSQL 8 http www postgresql org docs 9 1 static admin html 212 Database sudo u postgres psql templatel Il comando precedente connette al database PostreSQL template come l utente postgres Una volta collegati al server PostgreSQL si sar al prompt SQL possibile eseguire il seguente comando SQL al prompt psql per configurare la password per l utente postgres ALTER USER postgres with encrypted password TUA PASSWORD After configuring the password edit the file etc postgresql 9 1 main pg_hba conf to use MDS authentication with the postgres user local all postgres md5 Infine riavviare il servizio PostgreSQL per inizializzare la nuova configurazione In un terminale digitare quanto segue per riavviare PostgreSQL sudo service postgresql 8 4 restart The above configuration is not complete by any means Please refer the PostgreSQL Administrator s Guide to configure more parameters 2 3 Risorse e As mentioned above the Administrator s Guide is an excellent resource The guide is also available in the postgresql doc 9 1 package Execute the following in a terminal to install the package sudo apt get install postgresql doc 9 1 To view the guide enter file usr share doc postgresql doc 9 1 html index html into the address bar of your browser e Per informazioni generali riguardo SQL consultare Using SQL Special Edition di Rafe Colburn
249. i comando di un terminale tar tzvf mnt backup host luned tgz e Per ripristinare un file dall archivio in una directory diversa digitare 299 Backup tar xzvf mnt backup host luned tgz C tmp etc hosts L opzione C di tar redirige i file estratti nella directory specificata L esempio precedente estrarr il file etc hosts in tmp etc hosts La struttura della directory viene quindi ricreata da tar Notare anche che il simbolo iniziale del percorso in cui ripristinare stato tralasciato e Per ripristinare tutti i file presenti nell archivio digitare cd sudo tar xzvf mnt backup host luned tgz fa In questo modo verranno sovrascritti i file attualmente presenti nel file system 1 4 Riferimenti e Per maggiori informazioni riguardo lo script da shell consultare la Advanced Bash Scripting Guide Il libro Teach Yourself Shell Programming in 24 Hours disponibile in linea ed un ottima risorsa per lo script da shell La pagina della della documentazione in linea su cron contiene ulteriori dettagli sulle opzioni avanzate di cron e Per maggiori informazioni sulle opzioni del comando tar consultare il manuale in linea di tar La pagina inglese di Wikipedia Backup Rotation Scheme contiene informazioni sugli schemi di backup e Questo script utilizza tar per creare l archivio ma esistono diverse altre utilit a riga di comando che possono essere usate per esempio e
250. i hanno i propri vantaggi discussi sul sito web di Dovecot Una volta scelta la tipologia della casella di posta modificare il file etc dovecot dovecot conf e cambiare la seguente riga mail _ location maildir Maildir per maildir oppure mail location mbox mail INBOX var spool mail Su per mbox bJ necessario configurare l MTA Mail Transport Agent per trasferire le mail ricevute in questo tipo di casella di posta se differente da quella impostata Una volta configurato riavviare il demone dovecot per provare le impostazioni 12 http en wikipedia org wiki POP3 13 http en wikipedia org wiki Internet_Message_Access_Protocol Ia http wiki dovecot org MailboxFormat 246 Servizi email sudo service dovecot restart Se stato abilitato imap o pop3 possibile provare a eseguire l accesso con i comandi telnet localhost pop3 o telnet localhost imap2 Se viene visualizzata una schermata simile alla seguente l installazione stata eseguita con successo telnet localhost pop3 Trying 127 0 0 1 Connected to localhost localdomain Escape character is 0K Dovecot ready 3 3 Configurazione di Dovecot SSL Per configurare dovecot affinch utilizzi SSL possibile modificare il file etc dovecot dovecot conf e cambiare le seguenti righe ssl_cert_file etc ssl certs ssl cert snakeoil pem ssl_key_file etc ssl private ssl cert snakeoil key ssl_disable no disabl
251. i lavoro 2 Per la nuova directory da condividere creare una nuova sezione verso la fine del file oppure togliere il commento a uno degli esempi share comment Condivisione file Ubuntu path srv samba share browsable yes guest ok yes read only no 2 http samba org samba docs man Samba HOWTO Collection 279 Reti Windows create mask 0755 e comment una breve descrizione della condivisione Modificarla in base alle proprie esigenze e path il percorso alla directory da condividere Questo esempio utilizza srv samba sharename poich in base alla Filesystem Hierarchy Standard FHS srv la posizione in cui dovrebbero essere tenuti i file relativi ai siti Tecnicamente le condivisione Samba possono essere posizionate ovunque all interno del file system basta che i permessi siano impostati correttamente In ogni caso raccomandato aderire agli standard e browsable abilita i client Windows a esplorare la directory condivisa usando Windows Explorer e guest ok consente ai client di connettersi alla condivisione senza dover fornire una password e sola lettura determina se la condivisione di sola lettura o se sono garantiti anche i privilegi di scrittura I privilegi di scrittura sono consentiti solo quando il valore no come mostrato nell esempio Se il valore si allora l accesso alla condivisione in sola lettura e create mask determina i permessi dei nuovi file creati 3 Ora
252. i particolari sull argomento del controllo degli accessi possono essere rinvenuti nella pagina del manuale slapd access 1 8 TLS Nell autenticarsi a un server OpenLDAP meglio usare una sessione cifrata questo risultato pu essere raggiunto usando Transport Layer Security TLS In questo caso assumendo di essere la propria Autorit di Certificazione creare e firmare il proprio certificato server LDAP Dal momento che slapd compilato usando la libreria gnutls necessario usare l utilit certtool per completare questi processi di http manpages ubuntu com manpages en man5 slapd access 5 html 107 Autenticazione di rete Installare i pacchetti gnutls bin e ssl cert sudo apt get install gnutls bin ssl cert Creare una chiave privata per l Autorit di Certificazione sudo sh c certtool generate privkey gt etc ssl private cakey pem Creare il file o il modello etc ss1 ca info per definire la CA cn Example Company ca cert_signing_key Creare il certificato CA auto firmato sudo certtool generate self signed load privkey etc ssl private cakey pem template Creare una chiave primaria per il server sudo certtool generate privkey bits 1024 outfile etc ssl private ldap01_slapd_key pe ba Sostituire JdapO nel nome del file con il nome host del proprio server Per mantenere un certo ordine sarebbe opportuno chiamare il certificato e la chiave come l host e il serv
253. i predefinite prima di abbandonare la console Per ulteriori esempi consultare l articolo IBM Trucchi con multipathd multipathd k gt gt show config gt gt CTRL D La seguente sequenza di comandi assicura che multipath abbia implementato qualsiasi modifica in multipath conf multipathd k gt gt reconfigure gt gt CTRL D Utilizzare questa sequenza di comandi per assicurarsi che il controllore dei percorsi funzioni correttamente multipathd k gt gt show paths gt gt CTRL D possibile riversare i comandi in multipathd usando stdin in questo modo echo show config multipathd k s http www 01 ibm com support docview wss uid isg3T 1011985 80 Capitolo 6 Amministrazione remota Ci sono diversi modi per amministrare un server Linux da remoto questa sezione illustra due dei metodi pi comuni come OpenSSH e Puppet 81 Amministrazione remota 1 Server OpenSSH 1 1 Introduzione Questa sezione della Guida a Ubuntu server introduce una serie di potenti strumenti per il controllo remoto di computer e per il trasferimento di dati tra i computer in rete chiamata OpenSSH Vengono spiegate alcune delle possibili impostazioni dell applicazione server OpenSSH e come modificarne la configurazione in Ubuntu OpenSSH una versione libera della famiglia di protocolli e strumenti SSH Secure SHell per il controllo remoto di un computer o per il trasferimento di file
254. i viene eseguito il comando tra 1 e 12 e dow giorno della settimana in cui viene eseguito il comando tra 0 e 7 La domenica pu essere specificata usando sia 0 che 7 e comando il comando da eseguire Per aggiungere o modificare voci in un file crontab dovrebbe essere usato il comando crontab e i contenuti di un file crontab possono essere visualizzati usando il comando crontab 1 Per eseguire lo script backup sh usando cron in un terminale digitare quanto segue sudo crontab e fy Usare sudo con il comando crontab e modifica il crontab dell utente root Questo necessario nel caso in cui si stiano eseguendo copie di backup di file accessibili solo dall utente root Aggiungere quanto segue al file crontab m h dom mon dow command 0 0 bash usr local bin backup sh Lo script backup sh verra eseguito ogni giorno alle 12 00 AM fy Lo script backup sh deve essere copiato nella directory usr local bin perch questa voce venga eseguita correttamente Lo script pu risiedere ovunque nel file system basta cambiare il percorso in modo appropriato Per maggiori dettagli sulle opzioni di crontab conultare Sezione 1 4 Riferimenti 300 1 3 Ripristinare l archivio Una volta creato un archivio importante verificarlo elencandone i contenuti oppure ed la scelta migliore ripristinare un file dall archivio e Per visualizzare un elenco dei contenuti di un archivio digitare in una riga d
255. ia presenti degli utenti LDAP e si vuole includerli nel nuovo LDAP integrato con Samba necessario naturalmente che questi siano dotati di alcuni attributi supplementari L utilit smbpasswd in grado di fare questo l host dovr poter visualizzare contare questi utenti via NSS installare e configurare libnss ldapd o libnss Idap sudo smbpasswd a NOME UTENTE Viene chiesta una password dell utente sar considerata come la nuova password per quell utente possibile sceglierla identica a quella precedente Per gestire account utente di gruppo o di macchina usare le utilit del pacchetto smbldap tools package Alcuni esempi e Per aggiungere un nuovo utente sudo smbldap useradd a P NOME UTENTE L opzione a aggiunge gli attributi Samba l opzione P invoca l utilit smbldap passwd dopo aver creato l utente consentendo di inserire una password per quest ultimo e Per rimuovere un utente sudo smbldap userdel NOME_UTENTE Nel comando precedente usare l opzione r per rimuovere la directory home dell utente e Per aggiungere un gruppo sudo smbldap groupadd a NOME_GRUPPO Come per smbldap useradd l opzione a aggiunge gli attributi Samba e Per aggiungere un utente gia esistente a un gruppo sudo smbldap groupmod m NOME UTENTE NOME GRUPPO Con l opzione m possibile aggiungere pi di un utente alla volta elencandoli come valori separati da virgola e Per rimuovere un utente da un gruppo
256. ias e i loro equivalenti nomi di dominio completi Fully Qualified Domain Name FQDN 127 0 0 1 localhost 127 0 1 1 ubuntu server 10 0 0 11 serverl vpn serverl example com 10 0 0 12 server2 mail server2 example com 10 0 0 13 server3 www server3 example com 10 0 0 14 server4 file server4 example com bJ Nel precedente esempio notare come a ciascun server siano stati attribuiti degli alias in aggiunta ai nomi propri e ai FQDN Server corrisponde al nome vpn server2 riferito a mail server3 www e server4 file 1 3 3 Configurazione del Name Service Switch L ordine in cui il sistema seleziona un metodo per risolvere i nomi host in indirizzi IP controllato dal file di configurazione del Name Service Switch NSS etc nsswitch conf Come illustrato nella precedente sezione normalmente i nomi host statici definiti nel file di sistema etc hosts hanno precedenza sui nomi risolti dal DNS Ci che segue un esempio della riga responsabile dell ordine di ricerca dei nomi host in etc nsswitch conf hosts files mdns4_minimal NOTFOUND return dns mdns4 e Per prima cosa files cerca di risolvere i nomi host statici che si trovano in etc hosts e mdns4_minimal tenta di risolvere il nome usando il DNS Multicast e NOTFOUND return significa che ogni risposta notfound dal precedente processo mdns4_minimal viene considerata autoritativa e il sistema non tenter di continuare a cercare una risposta 41 R
257. ibili al protocollo CIFS Common Internet Filesystem a livello utente e a livello condivisione L implementazione della modalit di sicurezza di Samba consente una maggiore flessibilit fornendo quattro modi per implementare la sicurezza a livello utente e uno per quella a livello condivisione e security user richiede a client di fornire nome utente e password per collegarsi alla condivisione Gli account di Samba sono separati da quelli di sistema ma il pacchetto libpam smbpass consente di sincronizzare utenti e password con il database degli utenti di Samba e security domain questa modalit consente al server Samba di apparire ai client Windows come Primary Domain Controller PDC Backup Domain Controller BDC oppure Domain Member Server DMS Per maggiori informazioni consultare Sezione 5 Samba come controller di dominio 289 e security ADS consente al server Samba di unirsi a un dominio Active Directory come membro nativo Per maggiori informazioni consultare Sezione 6 Integrare Samba con Active Directory 294 e security server questa modalit non dovrebbe essere usata per motivi di sicurezza Per maggiori informazioni consultare la sezione Server Security della guida di Samba e security share consente ai client di collegarsi alle condivisioni senza fornire nome utente e password La modalit di sicurezza scelta dipende dal proprio ambiente di lavoro e da cosa si vuole ot
258. ic private network where all your Instances will run This will be used in the network of fixed Ips set inside nova conf sudo nova manage network create fixed_range_v4 10 0 0 0 24 label private bridge_interface br100 Define a specific public network and allocate 6 usable Floating Public IP addresses for use with the instances starting from 10 153 107 72 sudo nova manage floating create ip_range 10 153 107 72 29 Create a user userl a project project1 download credentials and source its configuration file cd mkdir nova cd nova sudo nova manage user admin userl sudo nova manage project create projectl userl sudo nova manage project zipfile project1l userl unzip nova zip source novarc Verify the OpenStack Compute installation by typing 327 Virtualizzazione sudo nova manage service list sudo nova manage version list If nova services don t show up correctly restart OpenStack services as described previously For more information please refer to the troubleshooting section on this guide 3 5 Install Imaging Service Glance Nova uses Glance service to manage Operating System images that it needs for bringing up instances Glance can use several types of storage backends such as filestore s3 etc Glance has two components glance api and glance registry These can be controlled using the concerned upstart service jobs For this specific case we will be using mysql as a storage backend
259. id whitelisted device dev n prio Specifica la funzione predefinita da invocare per ottenere un valore per la priorit del percorso per esempio i bit ALUA in SPC 3 forniscono un valore sfruttabile di priorit Possibili valori includono e const imposta una priorit uguale a 1 per tutti i percorsi e emc genera la priorit del percorso per gli array EMC e alua genera la priorit del percorso in base alle impostazioni SCSI 3 ALUA e netapp genera la priorit del percorso per gli array NetApp e rdac genera la priorit del percorso per il controller LSI Engenio RDAC e hp_sw genera la priorit del percorso per il controller Compaq HP in modalit attiva standby e hds genera la priorit del percorso per gli array di archiviazione modulari Hitachi HDS Il valore predefinito const prio_args La stringa di argomenti passata alla funzione prio molte funzioni prio non necessitano di argomenti Per l assegnatore di priorit datacore ne serve uno per esempio timeout 1000 preferredsds foo Il valore predefinito null caratteristiche Le funzioni aggiuntive predefinite dei dispositivi multipath La sola funzione esistente queue_if_no_path la quale risulta equivalente 68 DM Multipath Attributo Descrizione all impostazione no_path_retry su queue Per informazioni sui possibili problemi durante l utilizzo consultare la sezione Problemi con la
260. il filtro di posta e zentyal asterisk configura Asterisk per fornire un semplice centralino telefonico PBX Private Branch Exchange con autenticazione basata su LDAP e zentyal bwmonitor consente di monitorare l uso della banda di rete da parte dei client LAN e zentyal captiveportal integra un portale di accesso obbligatorio captive portal con firewall e utenti e gruppi LDAP T https launchpad net zentyal 8 https help ubuntu com distro rev short ubuntu help addremove ppa html 7 https launchpad net zentyal 89 Amministrazione remota zentyal ebackup consente di effetture backup pianificati del server usando il popolare strumento di backup duplicity zentyal ftp configura un server FTP con autenticazione basata su LDAP zentyal ids integra un sistema di rilevamento intrusioni nella rete zentyal ipsec consente di configurare tunnel IPsec usando OpenSwan zentyal jabber integra un server di messaggistica istantanea XMPP ejabberd con utenti e gruppi LDAP zentyal thinclients soluzione per thin client basata su LTSP zentyal mail stack completo per la posta che include Postfix e Dovecot con backend LDAP zentyal mailfilter configura amavisd con lo stack per filtrare posta indesiderata e virus allegati zentyal monitor integra collectd per monitorare le prestazioni del server e i servizi in esecuzione zentyal pptp configura un server VPN PPTP zentyal radius integra FreeRADIUS con u
261. ile di configurazione nella directory sites available il sito configurato sar attivo al riavvio di Apache2 Altri file di configurazione possono essere aggiunti attraverso la direttiva Include e caratteri speciali possono essere usati per aggiungere molti altri file di configurazione Una qualsiasi direttiva pu essere posizionata in uno qualsiasi di questi file di configurazione Modifiche ai file principali di configurazione vengono riconosciute solo con un riavvio di Apache2 Il server legge anche un file contenente i tipi di documento mime il nome del file assegnato dalla direttiva TypesConfig generalmente via etc apache2 mods available mime conf che pu anche includere aggiunte e sostituzioni e per impostazione predefinita etc mime types 1 2 1 Impostazioni di base Questa sezione descrive i parametri di configurazione fondamentali del server Apache2 Per maggiori 4 B 3 informazioni consultare la documentazione di Apache2 Apache2 dotato di una configurazione predefinita adatta agli host virtuali configurato con un singolo host virtuale attraverso l uso della direttiva VirtualHost che pu essere modificato oppure usato cos com nel caso si disponga di un solo sito web oppure usato come modello per aggiungere altri host virtuali Se lasciato cos l host virtuale predefinito verr usato come sito predefinito o come il sito che gli utenti vedranno se l URL inserito non corrisponde alla
262. ilizzo in un piccolo ufficio fino alla grande impresa fornendo attraverso il protocollo SNMP Simple Network Management Protocol un meccanismo di controllo e monitoraggio dei parametri critici molto accurato Nella selezione di un computer da utilizzare come procy Squid dedicato o come server cache assicurarsi che il sistema sia equipaggiato con una grande quantit di memoria fisica dal momento che Squid mantiene un cache in memoria per aumentare le prestazioni 3 1 Installazione Per installare il server Squid da terminale digitare sudo apt get install squid 3 2 Configurazione La configurazione di Squid avviene attraverso la modifica di alcune direttive presenti nel file etc squid squid conf Gli esempi che seguono descrivono alcune delle direttive che possono essere modificate Per maggiori informazioni sulla configurazione di Squid consultare la sezione Riferimenti Prima di modificare il file di configurazione utile farne una copia e proteggerla dalla scrittura cos in caso di necessit possibile utilizzare il file originale Copiare il file etc squid squid conf e proteggerlo dalla scrittura utilizzando i seguenti comandi sudo cp etc squid squid conf etc squid squid conf original sudo chmod a w etc squid squid conf original e Per impostare il server Squid affinch stia in ascolto sulla porta 8888 invece che sulla porta predefinita 3128 modificare la direttiva http_port http_port
263. indirizzo IP possibile usare il comando ifconfig nella seguente maniera basta modificare l indirizzo IP e la maschera di sottorete per farli corrispondere ai requisiti della propria rete sudo ifconfig eth0 10 0 0 100 netmask 255 255 255 0 Per verificare la configurazione dell indirizzo IP di eth0 possibile usare il comando ifconfig nel seguente modo ifconfig eth0 eth0 Link encap Ethernet HWaddr 00 15 c5 4a 16 5a inet addr 10 0 0 100 Bcast 10 0 0 255 Mask 255 255 255 0 inet 6 addr fe80 215 c5ff fe4a 165a 64 Scope Link UP BROADCAST RUNNING MULTICAST MTU 1500 Metric 1 RX packets 466475604 errors 0 dropped 0 overruns 0 frame 0 TX packets 403172654 errors 0 dropped 0 overruns 0 carrier 0 collisions 0 txqueuelen 1000 RX bytes 2574778386 2 5 GB TX bytes 1618367329 1 6 GB Interrupt 16 Per configurare un gateway predefinito possibile usare il comando route nel seguente modo modificare l indirizzo del gateway predefinito per farlo corrispondere ai requisiti della propria rete sudo route add default gw 10 0 0 1 eth0 Per verificare la configurazione del gateway predefinito possibile usare il comando route nel seguente modo route n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10 0 0 0 0 0 0 0 25542552959540 U q 0 0 eth0 0 0 0 0 10 0 0 1 0 0 0 0 UG 0 0 0 eth0 Se per la configurazione della rete temporanea necessario un DNS possibile aggiungere gli indirizzi IP de
264. ing into the container to avoid the container restrictions and completing the upgrade in the chroot Some of the specific things known to occasionally impede package upgrades include The container modifications performed when creating containers with the trim option Actions performed by lxcguest For instance because lib init fstab is bind mounted from another file mountall upgrades which insist on replacing that file can fail The over mounting of console devices with ptys from the host can cause trouble with udev upgrades 349 Virtualizzazione e Apparmor policy and devices cgroup restrictions can prevent package upgrades from performing certain actions e Capabilities dropped by use of Ixc cap drop can likewise stop package upgrades from performing certain actions 4 6 Libvirt LXC Libvirt is a powerful hypervisor management solution with which you can administer Qemu Xen and LXC virtual machines both locally and remote The libvirt LXC driver is a separate implementation from what we normally call LXC A few differences include e Configuration is stored in xml format e There no tools to facilitate container creation e By default there is no console on dev console e There is no support yet for container reboot or full shutdown 4 6 1 Converting a LXC container to libvirt Ixc Sezione 4 3 1 Creating Containers 336 showed how to create LXC containers If you ve created a valid LXC co
265. io ambiente o per i quali non devono essere sovrascritti i valori predefiniti possibile lasciarli decommentati come riportato nel file iniziale Il file di configurazione permette una sintassi regolare nella descrizione dell espressione Una versione commentata del file di configurazione disponibile in usr share doc multipath tools examples multipath conf annotated gz 4 1 Panoramica sul file di configurazione Il file di configurazione di multipath suddiviso nelle seguenti sezioni blacklist Un elenco di dispositivi specifici che non verranno considerati per multipath blacklist_eccezioni Elenco dei candidati di multipath che altrimenti verrebbero inseriti nella blacklist in base ai parametri della sezione relativa impostazioni predefinite Impostazioni predefinite generali per DM Multipath multipath Impostazioni per le caratteristiche dei dispositivi multipath individuali questi valori sovrascrivono i valori specificati nelle sezioni defaults e devices del file di configurazione 63 DM Multipath dispositivi Impostazioni per i controller individuali di archiviazione questi valori sovrascrivono i valori specificati nella sezione defaults del file di configurazione Se si usa un array di archiviazione non supportato in modo predefinito necessario creare una sottosezione dispositivi per il proprio array Quando il sistema determina gli attributi di un dispositivo multipath controlla prima le imp
266. ipale digitare sudo deluser NOME UTENTE Quando si elimina un account utente non viene rimossa la sua cartella home E decisione dell amministratore se rimuoverla o no in base alle proprie scelte Ricordare che se non sono state prese le necessarie precauzioni ogni nuovo utente aggiunto successivamente con gli stessi UID GID del precedente proprietario della cartella avr accesso a tale cartella possibile modificare questi valori UID GID con qualcosa di pi appropriato come per esempio l account root e spostare la cartella per evitare futuri conflitti sudo chown R root root home NOME_ UTENTE sudo mkdir home archived_ users sudo mv home NOME UTENTE home archived_ users e Per bloccare o sbloccare temporaneamente l account di un utente utilizzare rispettivamente i seguenti comandi sudo passwd 1 NOME UTENTE sudo passwd u NOME UTENTE e Per aggiungere o rimuovere un gruppo personalizzato utilizzare rispettivamente i seguenti comandi sudo addgroup NOME GRUPPO sudo delgroup NOME GRUPPO e Per aggiungere un utente a un gruppo digitare sudo adduser NOME UTENTE NOME GRUPPO 155 Sicurezza 1 3 Sicurezza dei profili utente Quando viene creato un nuovo utente l applicazione adduser crea una nuova directory chiamata home NOME_UTENTE Il profilo predefinito modellato secondo i contenuti presenti nella directory etc skel che contiene tutti i profili di base Se il proprio s
267. iva Password corrisponda alla stringa in etc bacula bacula sd conf e Creare un nuovo FileSet per determinare di quali directory eseguire il backup LocalhostBacup FileSet FileSet Name LocalhostFiles 307 Backup Include Options signature MD5 compression GZIP File etc File home Questo FileSet eseguir il backup delle directory etc e home La direttiva Options configura FileSet per creare una firma MDS per ciascun file di cui si eseguito il backup e per comprimere i file con GZIP e Creare una nuova sezione Schedule per il lavoro di backup LocalhostBackup Schedule Daily Schedule Name LocalhostDaily Run Full daily at 00 01 Il lavoro verr eseguito ogni giorno alle 00 01 Sono comunque disponibili molte altre opzioni di pianificazione e Infine creare il Job Localhost backup Job Name LocalhostBackup JobDefs DefaultJob Enabled yes Level Full FileSet LocalhostFiles Schedule LocalhostDaily Storage TapeDrive Write Bootstrap var lib bacula LocalhostBackup bsr Questo lavoro creer un backup Full completo ogni giorno sul dispositivo a nastro e Ogni nastro usato deve avere una Label Se il nastro corrente ne sprovvisto Bacula invier un email Per aggiungere un etichetta a un nastro usando Console in un terminale digitare bconsole e Al prompt di Console digitare label e Viene quindi chiesta
268. izio per cui saranno usati Creare il file info etc ss1 1ldap01 info contenente organization Societ Esempio cn ldap0l example com tls_www_server chiave_cifratura chiave_firma expiration_days 3650 Il precedente certificato valido per 10 anni modificarlo in base al proprio caso Creare il certificato del server sudo certtool generate certificate load privkey etc ssl private ldap01_slapd_key pem Creare il file certinfo 1dif con i seguenti contenuti nell esempio si assume che siano stati creati certificati usando https www cacert org modificare il file in base al proprio caso cn config olcTLSCACertificateFile olcTLSCACertificateFile etc ssl certs cacert pem olcTLSCertificateFile 108 Autenticazione di rete olcTLSCertificateFile etc ssl certs ldap01_slapd_cert pem add olcTLSCertificateKeyFile olcTLSCertificateKeyFile etc ssl private ldap01_slapd_key pem Usare il comando Idapmodify per comunicare a slapd le impostazioni TLS effettuate tramite il database slapd config sudo ldapmodify Y EXTERNAL H ldapi f etc ssl certinfo ldif Contrariamente a quanto si crede comunemente non necessario usare daps in etc default slapd per ottenere la cifratura basta avere SLAPD_SERVICES l1dap ldapi bJ LDAP su TLS SSL ldaps sconsigliato in favore di StartTLS Quest ultimo fa riferimento a una sessione LDAP esistente in ascolto con protocollo TCP sulla p
269. jump alla destinazione MASQUERADE per essere manipolato come descritto in precedenza Inoltre ogni catena nella tabella filter la tabella predefinita e dove avvengono la maggior parte dei filtri sui pacchetti ha una politica predefinita di ACCEPT ma se si sta creando un firewall in aggiunta a un dispositivo gateway possibile aver impostato le politiche DROP e REJECT nel cui caso il traffico masqueraded deve essere consentito attraverso la catena FORWARD affinch la regola precedente possa funzionare sudo iptables A FORWARD s 192 168 0 0 16 o ppp0 j ACCEPT sudo iptables A FORWARD d 192 168 0 0 16 m state state ESTABLISHED RELATED i ppp0 j ACCEPT I precedenti comandi consentiranno a tutte le connessioni della propria rete locale accesso a Internet e a tutto il traffico relativo a queste connessioni di ritornare ai computer che lo hanno originato Per fare in modo che il masquerading sia abilitato al riavvio modificare il file etc rc local e aggiungere qualsiasi dei comandi utilizzati precedentemente Per esempio aggiungere il primo comando senza filtro iptables t nat A POSTROUTING s 192 168 0 0 16 o ppp0 j MASQUERADE 3 4 Registri I registri del firewall sono molto utili per riconoscere gli attacchi migliorare le regole del firewall e per verificare attivit inusuali nella propria rete E necessario includere regole di registrazione per fare in modo che vengano eseguite le registrazioni e
270. l CD ROM che si trova all inizio del file no more prompting for CD ROM please deb cdrom Ubuntu 12 10 _Quantal Quetzal_ Release i386 20111013 1 quantal main restricted 6 1 Repository aggiuntivi In aggiunta ai repository dei pacchetti disponibili per Ubuntu e supportati ufficialmente esistono repository aggiuntivi mantenuti dalla comunit che aggiungono migliaia di pacchetti che possono essere installati Due dei pi popolari sono i repository universe e multiverse Questi repository non sono ufficialmente supportati da Ubuntu ma proprio perch sono mantenuti dalla comunit di norma forniscono pacchetti che possono essere installati sul proprio computer senza rischi fy I pacchetti nel repository multiverse presentano spesso problemi di licenza che non gli permettono di essere distribuiti con un sistema operativo gratuito e potrebbero essere illegali in alcuni paesi O N il repository universe n quello multiverse contengono pacchetti supportati ufficialmente In particolare potrebbero non esserci aggiornamenti di sicurezza per tali pacchetti Sono disponibili molte altre sorgenti di pacchetti alcune delle quali offrono solo un pacchetto come nel caso di sorgenti di pacchetto fornite dallo sviluppatore di una singola applicazione L utilizzo di sorgenti di pacchetto non standard rischioso pertanto necessario prestare la massima attenzione opportuno controllare la sorgente e i pacchetti in modo accur
271. l Volume Manger o LVM consente agli amministratori di creare volumi logici da uno o pi dischi fissi I volumi LVM possono essere creati sia sulle partizioni RAID software sia sulle partizioni normali presenti su un singolo disco I volumi possono essere estesi garantendo un alta flessibilit al sistema nel caso cambino le necessit 4 2 1 Panoramica Purtroppo la potenza e la flessibilit di LVM comportano maggiori complicazioni Prima di tutto quindi necessario introdurre la terminologia adatta e Volume fisico PV Phisical Volume il disco fisso la partizione di un disco o la partizione RAID software formattati come LVM e Gruppo di volumi VG Volume Group formato da uno o pi volumi fisici un VG pu essere esteso aggiungendo ulteriori PV Un VG come un disco fisso virtuale dal quale sono ricavati uno o pi volumi logici e Volume logico LV Logical Volume simile a una partizione in un sistema non LVM un LV pu essere formattato con il file system prescelto EXT3 XFS JFS etc ed quindi disponibile per il montaggio e la memorizzazione dei dati 4 2 2 Installazione Come esempio in questa sezione viene descritto come installare Ubuntu Server Edition con srv montato come volume LVM Durante l installazione un solo volume fisico PV far parte del gruppo di volumi VG Un altro PV verr aggiunto dopo l installazione come dimostrazione delle funzionalit di estensione di un VG S
272. l dominio EXAMPLE COM configurato come indicato in Sezione 2 3 Server primario 143 nella documentazione su DNS Kerberos inoltre un protocollo basato sul tempo Se l ora locale tra il client e il server differisce di pi di 5 minuti impostazione predefinita la workstation non potr autenticarsi Per correggere questo problema tutti gli host dovrebbero sincronizzare il proprio orario usando il medesimo server Network Time Protocol NTP Per maggiori informazioni consultare la sezione Sezione 4 Sincronizzazione del tempo con NTP 51 Il primo passo per creare un reame Kerberos consiste nell installare i pacchetti krb5 kdc e krb5 admin server In un terminale digitare sudo apt get install krb5 kdc krb5 admin server Alla fine dell installazione viene chiesto di fornire un nome host per i server Kerberos e Admin del reame che potrebbero essere anche lo stesso server fy Per impostazione predefinita il reame viene creato con lo stesso nome del dominio di KDC Creare il reame con l utilit kdb5_newrealm sudo krb5_newrealm 3 2 2 Configurazione Le domande poste durate l installazione sono usate per impostare il file etc krb5 conf Per modificare le impostazioni del KDC Key Distribution Center basta modificare il file e riavviare il 126 Autenticazione di rete demone krb5 kdc Se necessario riconfigurare Kerberos da zero magari per cambiare il nome del reame digitare sudo dpkg rec
273. l elenco degli utenti uno per riga quindi riavviare vsftpd sudo restart vsftpd Inoltre il file etc ftpusers contiene un elenco di utenti a cui negato l accesso FTP L elenco comprende gli utenti root daemon nobody ecc Per disabilitare l accesso FTP ad altri utenti aggiungerli semplicemente a questo elenco Il protocollo FTP pu anche essere cifrato utilizzando FTPS a differenza di SFTP FTPS FTP su Secure Socket Layer SSL mentre SFTP una sessione FTP all interno di una connessione cifrata con SSH La principale differenza consiste nel fatto che gli utenti SFTP devono avere un account shell sul sistema invece di una shell nologin Fornire per una shell a tutti gli utenti potrebbe non essere sempre applicabile in alcuni ambienti come nei casi di servizio di host web tuttavia possibile restringere tali account unicamente a SFTP e disabilitare l interazione shell per maggiori particolari consultare la sezione sui server OpenSSH Per configurare FTPS modificare il file etc vsftpd conf aggiungendo ssl_enable Yes Inoltre notare anche le opzioni relative al certificato e alla chiave rsa_cert_file etc ssl certs ssl cert snakeoil pem rsa_private_key_file etc ssl private ssl cert snakeoil key In modo predefinito queste opzioni sono impostate nel certificato e nella chiave forniti dal pacchetto ssl cert in un ambiente di produzione queste dovrebbero essere sostituite con un certificato e una chiave ge
274. l ethernet frames are sent to the VPN partners and in a routed VPN only layer 3 packets are sent to VPN partners In bridged mode all traffic including traffic which was traditionally LAN local like local network broadcasts DHCP requests ARP requests etc are sent to VPN partners whereas in routed mode this would be filtered 1 6 2 1 Preparare la configurazione dell interfaccia per il collegamento a ponte nel server Controllare di avere installato il pacchetto bridge utils sudo apt get install bridge utils Before you setup OpenVPN in bridged mode you need to change your interface configuration Let s assume your server has an interface eth0 connected to the internet and an interface eth1 connected to the LAN you want to bridge Your etc network interfaces would like this auto eth0 iface eth0 inet static address 1 2 3 4 netmask 255 255 255 248 default 1 2 3 1 i http openvpn net index php open source documentation howto html security 366 VPN auto ethl iface ethl inet static address 10 0 0 4 netmask 255 255 255 0 This straight forward interface config needs to be changed into a bridged mode like where the config of interface eth moves to the new br0 interface Plus we configure that brO should bridge interface eth1 We also need to make sure that interface eth1 is always in promiscuous mode this tells the interface to forward all ethernet frames to the IP stack auto eth0 iface eth0 inet static address 1
275. l file etc krb5 conf affinch utilizzi il backend LDAP libdefaults default_realm EXAMPLE COM realms EXAMPLE COM kdc kdc kdc02 example com kdc01 example com admin_server kdc01 example com admin_server kdc02 example com default_domain example com database_module openldap_ldapconf 137 Autenticazione di rete domain_realm example com EXAMPLE COM dbdefaults ldap_kerberos_container_dn dc example dc com dbmodules openldap_ldapconf db_library kldap ldap_kdc_dn cn admin dc example dc com this object needs to have read rights on the realm container principal container and realm sub trees ldap_kadmind_dn cn admin dc example dc com this object needs to have read and write rights on the realm container principal container and realm sub trees ldap_service_password_file etc krb5kdc service keyfil ldap_servers ldaps ldap01 example com ldaps ldap02 example com ldap_conns_per_server 5 Creare il file stash per la password di associazione LDAP sudo kdb5_ldap_util D cn admin dc example dc com stashsrvpw f etc krb5kdc service keyfile Dal KDC primario copiare il file di stash della chiave primaria etc krb5kdc k5 EXAMPLE COM nel KDC secondario Accertarsi di copiare tale file utilizzando una connessione cifrata come scp o su un supporto fisico sudo scp etc krb5kdc k5
276. l pages referenced above can be found at capabiliti es ixe con e The upstream LXC project is hosted at Sourceforge A https www ibm com developerworks linux library 1 lxc containers ta http www ibm com developerworks linux library 1 lxc security index html 26 http manpages ubuntu com manpages en man7 capabilities 7 html 2h http manpages ubuntu com manpages en man5 lxc conf 5 html 28 http Ixc sf net 353 Virtualizzazione e LXC security issues are listed and discussed at the LXC Security wiki page e For more on namespaces in Linux see S Bhattiprolu E W Biederman S E Hallyn and D Lezcano Virtual Servers and Check point Restart in Mainstream Linux SIGOPS Op erating Systems Review 42 5 2008 2 http wiki ubuntu com LxcSecurity 354 Capitolo 21 Cluster 355 Cluster 1 DRBD DRDB Distributed Replicated Block Device replica i device a blocchi tra diversi host La replica trasparente alle applicazioni sul sistema host e qualsiasi device a blocchi disco fisso partizione RAID volume logico pu essere replicato Per utilizzare drbd per prima cosa necessario installare i pacchetti necessari In un terminale digitare sudo apt get install drbd8 utils bJ Se si sta usando il kernel virtuale come parte di una macchina virtuale necessario compilare il modulo drbd Potrebbe anche essere pi semplice installare il pacchetto linux server nella macchina virt
277. l server DNS nel file etc resolv conf Il seguente esempio mostra come inserire 37 Rete due server DNS in etc resolv conf da modificare nei server adeguati alla propria rete Una pi esaustiva descrizione della configurazione di un client DNS contenuta nella sezione successiva nameserver 8 8 8 8 nameserver 8 8 4 4 Se questa configurazione non pi necessaria ed necessario eliminare tutte le configurazioni IP da un interfaccia possibile usare il comando ip con l opzione flush come mostrato di seguito ip addr flush eth0 bJ Usare il comando ip con l opzione flush non ripulisce il contenuto di etc resolv conf necessario rimuovere o modificare queste voci manualmente 1 2 2 Assegnazione di un indirizzo IP dinamico Client DHCP Per configurare il proprio server per usare DHCP per l assegnazione di un indirizzo dinamico aggiungere il metodo dhcp all indirizzo inet nell istruzione per l interfaccia appropriata nel file etc network interfaces Il seguente esempio assume che si stia configurando la prima interfaccia Ethernet identificata come eth0 auto eth0 iface eth0 inet dhcp Nell aggiungere una configurazione d interfaccia come mostrato sopra possibile abilitare manualmente l interfaccia con il comando ifup che inizializza il processo DHCP tramite dhclient sudo ifup eth0 Per disabilitare manualmente l interfaccia possibile usare il comando ifdown che avvia il processo di rilascio di DH
278. l tasto g per ricapitolare le operazioni sui pacchetti Premendo nuovamente g viene richiesto di acquisire i privilegi di amministrazione per completare la rimozione Premere quindi Invio per mostrare un prompt Password Inserire la propria password utente per diventare root Infine premere g ancora una volta e quindi Invio al prompt Continua viene avviata la rimozione del pacchetto e Aggiornare l indice dei pacchetti per aggiornare l indice dei pacchetti sufficiente premere il tasto u e verr richiesto di diventare amministratori per completare l aggiornamento Premendo Invio viene presentata la richiesta della password Inserire la password del proprio utente per 27 Gestione dei pacchetti assumere i privilegi di amministratore l aggiornamento dell indice dei pacchetti verr avviato Premere Invio al prompt OK quando appare la finestra di dialogo per scaricare quanto necessario al completamento del processo e Aggiornare i pacchetti per aggiornare i pacchetti eseguire l aggiornamento dell indice dei pacchetti come spiegato precedentemente quindi premere il tasto u per selezionare tutti i pacchetti con aggiornamenti Adesso premere g per avere un sommario delle azioni possibili sui pacchetti Premere nuovamente g per assumere i privilegi di amministratore per completare l installazione Premere Invio e inserire la password Infine premere g ancora una volta per la richiesta di scaricare i pacchetti Premere Invio al p
279. la cifratura del traffico delle applicazioni attraverso una connessione SSL Secure Socket Layer o TLS Transport Layer Security per esempio configurando Apache affinch fornisca HTTPS il protocollo HTTP via SSL Questo consente di cifrare il traffico utilizzando un protocollo che non fornisce nativamente una cifratura Un certificato un metodo di distribuzione di una chiave pubblica e di altre informazioni riguardo un server e l organizzazione che ne responsabile I certificati possono essere firmati digitalmente a un Autorit di Certificazione o CA Una CA un entit fidata che conferma la veridicit delle informazioni contenute nel certificato 5 1 Tipologie dei certificati Per configurare un server sicuro affinch usi la crittografia a chiave pubblica nella maggior parte dei casi necessario inviare la richiesta del certificato compresa la chiave pubblica una prova di esistenza della propria societ e il pagamento a una CA La CA verifica la richiesta e la propria identit e quindi invia un certificato per il proprio server In alternativa possibile creare il proprio certificato auto firmato fy I certificati auto firmati non dovrebbero essere usati in ambienti di produzione Continuando l esempio di HTTPS un certificato CA firmato dispone di caratteristiche che un certificato auto firmato non ha e Ibrowser solitamente riconoscono automaticamente il certificato e consentono l attivazione di una co
280. la pagina relativa alla documentazione contiene informazioni su maggiori plugin sulla scrittura di plugin ecc e anche disponibile un libro in tedesco da Open Source Press Munin Graphisches Netzwerk und System Monitoring e Un altra risorsa la pagina della documentazione della comunit su Munin 2 http munin projects linpro no 9 http munin projects linpro no wiki Documentation i https www opensourcepress de index php 26 amp backPID 178 amp tt_products 152 8 https help ubuntu com community Munin 186 Capitolo 11 Server web Un server web un programma interattivo che accetta richieste HTTP da client noti come browser web e invia loro risposte HTTP insieme ad altri dati opzionali di solito pagine web come documenti HTML e oggetti collegati immagini ecc 187 Server web 1 HTTPD Server web Apache2 Apache il server web pi usato nei sistemi Linux i server web sono usati per fornire pagine web richieste dai client Normalmente i client richiedono e visualizzano pagine web usando applicazioni browser web come Firefox Opera Chromium o Mozilla Gli utenti digitano un Uniform Resource Locator URL per puntare a un server web attraverso il suo Fully Qualified Domain Name FQDN e il percorso della risorsa richiesta Per esempio per visualizzare la pagina iniziale del sito web di Ubuntu un utente digiter solo il FQDN www ubuntu com Per visualizzare la pagina secondaria co
281. la riga di comando Alcuni esempi e Per elencare le macchine virtuali in esecuzione virsh c gemu system list e Per avviare una macchina virtuale virsh c gemu system start web_devel e Similmente per lanciare una macchina virtuale durante l avvio del computer virsh c gemu system autostart web_devel e Riavviare una macchina virtuale con virsh c qgemu system reboot web_devel e Lo stato di una macchina virtuale pu essere salvato in un file per poterlo ripristinare successivamente Il seguente comando salva lo stato della macchina virtuale in un file nominato in base alla data virsh c gemu system save web_devel web_devel 022708 state 313 Virtualizzazione Una volta salvata la macchina virtuale non sar pi in esecuzione e Per ripristinare una macchina virtuale virsh c gemu system restore web_devel 022708 state e Per arrestare una macchina virtuale virsh c gemu system shutdown web_devel e Per montare un CD ROM in una macchina virtuale digitare virsh c gemu system attach disk web_devel dev cdrom media cdrom fe Nell esempio precedente sostituire web_devel con il nome della macchina virtuale appropriata e web_devel 022708 state con un nome file descrittivo 1 5 2 Gestore macchina virtuale Il pacchetto virt manager contiene un utilit grafica per gestire le macchie virtuali locali e remote Per installare virt manager digitare sudo apt get install virt m
282. la risorsa Storage 308 Backup Automatically selected Catalog MyCatalog Using Catalog MyCatalog The defined Storage resources ar 1 File 2 TapeDrive Select Storage resource 1 2 2 e Inserire il nome del nuovo Volume volume Enter new Volume name Sunday Defined Pools 1 Default 2 Scratch Sostituire Sunday con l etichetta desiderata e Ora selezionare Pool Select the Pool 1 2 1 Connecting to Storage daemon TapeDrive at backupserver 9103 Sending label command for Volume Sunday Slot 0 Bacula ora configurato per eseguire backup del host locale su un dispositivo a nastro 3 5 Risorse e Per maggiori informazioni sulle opzioni di configurazione di Bacula consultare il manuale di Bacula Il sito di Bacula contiene le ultime notizie dello sviluppo di Bacula e Consultare anche la documentazione di bacula online 19 http www bacula org en rel manual index html si http www bacula org 12 https help ubuntu com community Bacula 309 Capitolo 20 Virtualizzazione La virtualizzazione al giorno d oggi viene utilizzata in diversi ambienti e situazioni Dal punto di vista dello sviluppatore la virtualizzazione offre un ambiente sicuro dove poter eseguire qualsiasi tipo di sviluppo senza compromettere l ambiente di lavoro Per l amministratore di sistema possibile usare la virtualizzazione per separare facilmente i propri servizi e spostarli in base alle richieste
283. le DIR_MODE nel file etc adduser conf secondo le proprie esigenze DIR_MODE 0750 e Dopo aver corretto opportunamente i permessi di accesso alle directory home come descritto precedentemente verificare il risultato con il seguente comando ls ld home NOME_ UTENTE Il risultato qui sotto mostra come i permessi di lettura per tutti gli altri utenti siano stati rimossi drwxr x 2 nomeutente nomeutente 4096 2007 10 02 20 03 nomeutente 156 Sicurezza 1 4 Politica delle password Una severa politica delle password uno dei pi importanti aspetti della sicurezza di un sistema Le pi frequenti violazioni di un sistema avvengono tramite attacchi di forza bruta con degli elenchi di parole che statisticamente possono comprende delle parole chiavi utilizzate come password Se si vuole di offrire un qualsiasi tipo di accesso remoto utilizzando la propria password locale assicurarsi che la complessit della stessa superi dei limiti minimi di adeguatezza di impostare delle password con durate massime e controllare frequentemente i propri sistemi di autenticazione 1 4 1 Lungezza minima di una password Ubuntu richiede in modo predefinito una lunghezza minima per le password pari a 6 caratteri oltre ad alcuni basilari controlli di entropia Questi valori sono impostati nel file etc pam d common password alla riga password success 2 default ignore pam_unix so obscure sha512 Per modificare la lunghe
284. le YES Riavviare vsftpd sudo restart vsftpd Ora quando gli utenti accedono via FTP il loro punto di partenza sara la propria directory home dove potranno scaricare e caricare file e creare directory Allo stesso modo per impostazione predefinita gli utenti anonimi non possono caricare file nel server FTP per modificare questa impostazione occorre togliere il commento alla riga seguente e riavviare vsftpd anon_upload_enable YES Abilitare il caricamento anonimo di file via FTP pu compromettere la sicurezza del Q sistema sconsigliato abilitare il caricamento anonimo su server collegati direttamente a Internet Il file di configurazione composto da diversi parametri di configurazione le cui informazioni sono disponibili nel file stesso In alternativa possibile fare riferimento alla pagina man man 5 vsftpd conf 1 4 FTP sicuro All interno del file di configurazione etc vsftpd conf di vsftpd sono presenti molte opzioni per rendere il programma pi sicuro Per esempio togliendo il commento a quanto segue gli utenti possono essere limitati all utilizzo solo della propria directory personale 224 Server di file chroot_local_user YES E anche possibile limitare un particolare gruppo di utenti all utilizzo delle sole directory personali chroot_list_enable YES chroot_list_file etc vsftpd chroot_list Tolto il commento alle opzioni precedenti creare un file etc vsftpd chroot_list con
285. le com e dev example com Se la ricerca deve essere effettuata in pi domini la configurazione dovrebbe essere simile alla seguente iface eth0 inet static address 192 168 3 3 netmask 255 255 255 0 gateway 192 168 3 1 dns search example com sales example com dev example com dns nameservers 192 168 3 45 192 168 8 10 Se si invia un ping a un host con nome server il sistema cercher automaticamente in DNS il suo nome di dominio completo Fully Qualified Domain Name FQDN nel seguente ordine 1 serverl example com 40 Rete 2 serverl sales example com 3 serverl dev example com Se non vengono trovate corrispondenze il server DNS fornisce un risultato di notfound non trovato e la query DNS fallir 1 3 2 Nomi host statici I nomi host statici sono definiti localmente come corrispondenze tra nome host e IP posizionati nel file etc hosts Per impostazione predefinita le voci nel file hosts hanno precedenza sul DNS Ci significa che se il sistema cerca di risolvere un nome host e trova una corrispondenza in etc hosts non tenter di cercare il record in DNS In alcune configurazioni specie quando non sia richiesto un accesso a Internet i server che comunicano con un limitato numero di risorse possono essere opportunamente impostati per usare nomi host statici invece del DNS Ci che segue l esempio di un file hosts dove alcuni server locali sono stati identificati con semplici nomi host al
286. le su un server remoto 1 4 Chiavi SSH Le chiavi SSH consentono l autenticazione tra due host senza la necessit di una password L autenticazione con chiave SSH utilizza due chiavi una privata e una public Per generare le chiavi in un terminale digitare ssh keygen t dsa Vengono cos generate le chiavi usando un metodo Digital Signature Algorithm DSA Durante questo processo viene chiesto di inserire una password premere semplicemente Enter quando viene chiesto di creare la chiave La chiave pubblica viene salvata in modo predefinito nel file ssh id_dsa pub mentre quella privata in ssh id_dsa Ora copiare il file id_asa pub nell host remoto e aggiungere il suo contenuto al file ssh authorized_keys digitando ssh copy id NOME _UTENTE HOST_REMOTO Infine controllare i permessi del file authorized_keys solo l utente autenticato dovrebbe avere i permessi di lettura e scrittura Nel caso non fossero corretti modificarli chmod 600 ssh authorized_keys Dovrebbe essere possibile ora collegarsi via SSH all host senza l utilizzo di una password 1 5 Riferimenti Pagina della documentazione della comunit su SSH Sito web di OpenSSH e Pagina wiki di OpenSSH avanzato https help ubuntu com community SSH 2 http www openssh org gt https wiki ubuntu com AdvancedOpenSSH 84 Amministrazione remota 2 Puppet Puppet un infrastruttura a piattaforma incrociata che consent
287. ler di dominio in stile Windows NT4 Uno dei vantaggi di questa configurazione consiste nell abilit di centralizzare le credenziali di utenti e computer inoltre Samba pu utilizzare diversi backend per archiviare le informazioni 5 1 Controller di dominio primario PDC Questa sezione spiega come configurare Samba come controller di dominio primario PDC usando il backend predefinito smbpasswd 1 Per prima cosa installare Samba e libpam smbpass per sincronizzare gli account utente digitando quanto segue in un terminale sudo apt get install samba libpam smbpass 2 Configurare Samba modificando il file etc samba smb conf La variabile security dovrebbe essere impostata a user e il workgroup dovrebbe essere relativo alla propria organizzazione workgroup ESEMPIO security user 3 Nella sezione commentata Domains aggiungere o togliere il commento a quanto segue l ultima riga stata divisa per adattarla al formato di questo documento domain logons yes logon path N U profile logon drive H logon home N U logon script logon cmd add machine script sudo usr sbin useradd N g machines c Machine d var lib samba s bin false u Per non usare i profili roaming non togliere il commento alle opzioni logon home e logon path e domain logons fornisce il servizio netlogon facendo in modo che Samba si comporti come un controller di dominio logon path posi
288. line l http www drbd org i http manpages ubuntu com manpages quantal en manS drbd conf 5 html 3 http manpages ubuntu com manpages quantal en man8 drbdadm 8 html F https help ubuntu com community DRBD 358 Capitolo 22 VPN OpenVPN una soluzione per Virtual Private Networking VPN fornita dai repository Ubuntu versatile affidabile e sicuro appartiene alla famiglia degli stack SSL TLS VPN diversa dalle VPN di tipo IPSec Questo capitolo illustra l installazione e la configurazione di OpenVPN per creare una VPN 359 VPN 1 OpenVPN Nel caso in cui si richieda qualcosa in pi delle chiavi pre condivise OpenVPN offre una facile configurazione e utilizza una infrastruttura a chiave pubblica Public Key Infrastructure PKI grazie a certificati SSL TLS per l autenticazione e lo scambio di chiavi tra server e client della VPN OpenVPN si pu utilizzare in modalit router o bridge e ed configurabile per l uso di UDP o TCP Pu essere configurato anche il numero di porta ma quella ufficiale utilizzata per tutte le comunicazioni la 1194 Le implementazioni client di VPN sono disponibili praticamente per qualunque SO incluse tutte le distribuzioni Linux OS X Windows e i router WLAN basati su OpenWRT 1 1 Installazione del server Per installare openvpn in un terminale digitare sudo apt get install openvpn 1 2 Configurazione della Infrastruttura a chiave pubblica Il primo passo
289. list Limesurvey non fa parte degli archivi attualmente ed quindi necessario specificarne l indirizzo PPA Personal Package Archive cos da aggiungerlo al file etc apt source list della macchina virtuale Aggiungere quindi quanto segue al comando addpkg apache2 addpkg apache2 mpm prefork addpkg apache2 utils addpkg apache2 2 common 2 3 4 Considerazioni sulla velocit 2 3 4 1 Cache dei pacchetti Quando vmbuilder genera il sistema necessita di scaricare dai repository in rete ogni singolo pacchetto di cui il sistema composto e questo in base alla velocit della connessione e al carico del mirror pu avere un forte impatto sui tempi di generazione Per ridurre questo effetto utile avere un repository locale che possibile creare usando apt mirror o un proxy cache come apt proxy La seconda opzione descritta di seguito quella pi facile da implementare e richiede meno spazio su disco Per installare il tutto digitare sudo apt get install apt proxy Una volta completata l installazione il proxy vuoto pronto all indirizzo http INDIRIZZO_MIRROR 9999 e trover i repository Ubuntu sotto ubuntu Affinch vmbuilder possa usarlo necessario usare l opzione mirror mirror URL Use Ubuntu mirror at URL instead of the default which is http archive ubuntu com ubuntu for official arches and http ports ubuntu com ubuntu ports 321 Virtualizzazione otherwise A
290. litare l ascolto su tutte le interfacce di rete a cui un certo host collegato inclusa quella di loopback possibile creare una voce Listen per l host socrates come segue Listen socrates 631 Listen su tutte le interfacce dell host socrates oppure omettendo la direttiva Listen e utilizzando quella Port come in Port 631 Listen sulla porta 631 di tutte le interfacc Per ulteriori esempi di direttive di configurazione nel file di configurazione del server CUPS consultare la pagina manuale associato inserendo il comando seguente a un prompt di terminale man cupsd conf 233 Server di file fy Ogni volta che vengono apportati cambiamenti al file di configurazione etc cups cupsd conf necessario riavviare il server CUPS digitando il comando seguente a un prompt di terminale sudo service cups restart 4 3 Interfaccia web CUPS pu essere configurato e monitorato utilizzando un interfaccia web disponibile all indirizzo Attp Mlocalhost 631 admin L interfaccia web pu anche essere usata per svolgere tutte le attivit di gestione della stampante Per svolgere le attivit di amministrazione attraverso l interfaccia web necessario avere l account root abilitato sul server o aver eseguito l autenticazione con un utente nel gruppo padmin Per motivi di sicurezza CUPS non autentica gli utenti provi di password Per aggiungere un utente al gruppo padmin eseguire il seguente comando in un te
291. ll indirizzo della rete che si sta usando Inoltre chiamare il file zona etc bind db 192 in modo appropriato in modo tale che rispecchi il primo ottetto della propria rete Creare il file etc bind db 192 sudo cp etc bind db 127 etc bind db 192 Quindi modificare etc bind db 192 cambiando le stesse opzioni di etc bind db example com BIND reverse data file for local 192 168 1 XXX net STTL 604800 IN SOA ns example com root example com 2 Serial 604800 Refresh 144 DNS Domain Name Service 86400 Retry 2419200 Expire 604800 Negative Cache TTL IN NS ns 10 IN PTR ns example com Anche il valore Serial nella zona reverse deve essere aumentato a ogni modifica Per ogni voce A configurata in etc bind db example com cio per un diverso indirizzo necessario creare una voce PTR in etc bind db 192 Dopo aver creato il file zona reverse riavviare BIND9 sudo service bind9 restart 2 4 Server secondario Una volta configurato un server primario un server secondario necessario per mantenere la disponibilit del dominio nel caso in cui quello primario non fosse pi disponibile Per prima cosa nel server primario Primary Master deve essere consentita la zona transfer Aggiungere l opzione allow transfer alle definizioni delle zone Forward e Reverse in etc bind named conf local zone example com type master file etc bind db example com allo
292. lo hardware uno speciale controller presenta al SO l array come un singolo disco e gestisce tutti i dischi in maniera invisibile Il RAID software incluso nelle attuali versioni di Linux e Ubuntu basato sul driver mdadm e funziona perfettamente molto meglio di alcuni cosiddetti controller RAID hardware In questa sezione viene spiegato come installare Ubuntu Server Edition utilizzando due partizioni RAIDI su due dischi fissi uno utilizzato per e l altro come swap 4 1 1 Partizionamento Seguire 1 passi dell installazione fino a giungere a Partizionamento dei dischi quindi 1 Selezionare Manuale come metodo di partizionamento 2 Selezionare il primo disco fisso e acconsentire alla domanda Creare una nuova tabella delle partizioni sul dispositivo Ripetere questo passo per ogni disco da inserire nell array RAID Selezionare lo spazio libero sul primo disco e quindi selezionare Creare una nuova partizione 4 Selezionare la Dimensione della partizione questa partizione sar quella di swap e come regola generale la dimensione della partizione di swap solitamente il doppio della memoria RAM Digitare la dimensione della partizione scegliere Primaria e quindi Inizio bJ Una partizione di swap di dimensione doppia rispetto alla capacit RAM disponibile Pe puo non essere sempre consigliabile specialmente nei sistemi con una grande quantita di RAM il calcolo della partizione di swap nei server dipende fondament
293. lto semplice Per esempio per installare lo scanner di rete nmap digitare il seguente comando sudo apt get install nmap e Rimuovere un pacchetto la rimozione di uno o pi pacchetti altrettanto semplice e immediata Per rimuovere il pacchetto installato nell esempio precedente digitare il seguente comando sudo apt get remove nmap Pacchetti multipli possibile specificare pi di un pacchetto da installare o rimuovere separati da spazi Aggiungere l opzione purge ad apt get remove fa in modo che vengano rimossi anche i file di configurazione del pacchetto Usare questa opzione con cautela se non ci che si vuole e Aggiornare l indice dei pacchetti l indice dei pacchetti di APT essenzialmente un database dei pacchetti disponibili nei repository definiti nel file etc apt sources list e nella directory etc apt sources list d Per aggiornare l elenco locale dei pacchetti con i cambiamenti apportati di recente nei repository digitare il seguente comando sudo apt get update e Aggiornare i pacchetti versioni aggiornate dei pacchetti installati possono essere disponibili attraverso 1 repository dei pacchetti per esempio per aggiornamenti di sicurezza Per aggiornare il proprio sistema necessario prima di tutto aggiornare l indice dei pacchetti come spiegato sopra quindi digitare sudo apt get upgrade Per informazioni sull avanzamento a un nuovo rilascio di Ubuntu consultare Sezione 3 Avanzame
294. lxcscript up specifies a script to be called after the host side of the networking has been set up See the Ixc conf 5 manual page for details 4 4 3 Control group configuration Cgroup options can be specified using lxc cgroup entries lxc cgroup subsystem item value instructs LXC to set cgroup subsystem s item to value It is perhaps simpler to realize that this will simply write value to the file item for the container s control group for subsystem subsystem For instance to set the memory limit to 320M you could add lxc cgroup memory limit_in bytes 320000000 which will cause 320000000 to be written to the file sys f s cgroup memory 1xc CN limit_in_bytes 4 4 4 Rootfs mounts and fstab An important part of container setup is the mounting of various filesystems into place The following is an example configuration file excerpt demonstrating the commonly used configuration options lxc rootfs var lib lxc CN rootfs lxc mount entry proc var lib lxc CN rootfs proc proc nodev noexec nosuid 0 0 lxc mount var lib lxc CN fstab The first line says that the container s root filesystem is already mounted at var lib 1xc CN rootfs If the filesystem is a block device such as an LVM logical volume then the path to the block device must be given instead 347 Virtualizzazione Each Ixc mount entry line should contain an item to mount in valid fstab format The target directory should be prefixed by var
295. mando 274 Sistemi per il controllo della versione sudo netstat tap grep cvs L output del comando precedente dovrebbe essere tcp 0 0 cvspserver LISTEN A questo punto possibile aggiungere altri utenti nuovi progetti e gestire il server CVS O CVS consente di aggiungere nuovi utenti indipendentemente dal sistema operativo Il modo pi semplice utilizzare l utente Linux per CVS bench presenti dei problemi di sicurezza Per maggiori informazioni consultare il manuale di CVS 3 3 Aggiungere progetti Questa sezione spiega come aggiungere nuovi progetti a un repository CVS creare la directory aggiungervi i documenti necessari e i file sorgente Per aggiungere un progetto al repository CVS eseguire le seguenti istruzioni cd your project cvs d pserver nomeutente nomehost com srv cvs import m Importazione del mio progetto nel repository CVS new project start possibile utilizzare la variabile d ambiente CVSROOT per memorizzare la directory root di CVS Una volta esportata si pu evitare di utilizzare l opzione d nel comando precedente La stringa new_project un tag del fornitore e start una stringa di rilascio Non servono a nulla in questo contesto ma visto che CVS le richiede vanno inserite Quando si aggiunge un nuovo progetto l utente CVS deve avere i permessi di scrittura per il Q repository CVS srv cvs Per impostazione predefinita il gruppo src
296. mato per la cifratura TLS Ora il file etc postfix main cf dovrebbe essere simile a questo La configurazione iniziale di postfix completa eseguire il seguente comando per riavviarne il demone sudo service postfix restart Postfix supporta SMTP AUTH come descritto in RFC2554 ed basato su SASL comunque ancora necessario impostare l autenticazione SASL prima di poter usare SMTP AUTH 1 4 Configurare SASL Postfix supporta due implementazioni SASL Cyrus SASL e Dovecot SASL Per abilitare Dovecot SASL necessario installare il pacchetto dovecot common In un terminale digitare sudo apt get install dovecot common Modificare quindi il file etc dovecot dovecot conf Nella sezione auth default de commentare l opzione socket listen e modificare come di seguito socket listen master Master socket provides access to userdb information It s typically used to give Dovecot s local delivery agent access to userdb so it can find mailbox locations path var run dovecot auth master mode 0600 f sample postfix_configuration 2 http www ietf org rfc rfc2554 txt 3 http www ietf org rfc rfc2222 txt 238 Servizi email Default user group is the one who started dovecot auth root fuser group client The client socket is generally safe to export to everyone Typical use is to export it to your SMTP server so it can do SMTP AUTH lookups using it path v
297. mentandola Per esempio per sovrascrivere il parametro path_grouping_policyin modo da avere multibus invece del valore predefinito di failover copiare la riga appropriata dal modello nella sezione iniziale defaults del file di configurazione e decommentarla nel modo seguente defaults user_friendly_names yes path_grouping_policy multibus La tabella Configurazione predefinita del multipath 67 descrive gli attributi impostati nella sezione defaults del file di configurazione multipath conf Questi valori sono utilizzati da DM Multipath a meno che non siano sovrascritti dagli attributi specificati nelle sezioni devices e multipaths del file multipath conf Tabella 5 2 Configurazione predefinita del multipath Attributo Descrizione polling_interval Specifica l intervallo espresso in secondi fra due controlli del percorso Per percorsi che operano correttamente l intervallo fra controlli aumenter progressivamente 4 polling_interval il valore predefinito 5 udev_dir La directory dove sono creati i nodi del dispositivo udev il valore predefinito dev multipath_dir La directory dove vengono archiviati gli oggetti condivisi dinamici il valore predefinito dipende dal sistema in genere l1ib multipath verbosity La prolissit predefinita i valori pi elevati aumentano il livello di prolissit Sono ammessi valori fra 0 e 6 il valore predefinito 2 path_selector Specifica l algoritmo pre
298. mi del dispositivo multipath in modo simile al nome del dispositivo fisico usato durante la creazione di un volume fisico di LVM 57 DM Multipath Per esempio se dev mapper mpatha il nome di un dispositivo multipath il seguente comando contrassegna dev mapper mpatha come un volume fisico pvcreate dev mapper mpatha Durante la creazione di un gruppo di volumi LVM possibile utilizzare il dispositivo fisico LVM risultante in modo simile all utilizzo di qualsiasi altro dispositivo fisico LVM fe Se si tenta di creare un volume fisico LVM su di un intero dispositivo sul quale sono state configurate delle partizioni il comando pvcreate fallira Quando viene creato un volume logico LVM che utilizza degli array multipath attivi passivi come dispositivi fisici sottostanti necessario includere 1 filtri all interno di lvm conf in modo da escludere i dischi che costituiscono i dispositivi multipath Questo comportamento si verifica poich se l array modifica automaticamente il percorso attivo in passivo una volta ricevuto un segnale di I O multipath eseguir un failover e un failback ogni qualvolta LVM esegue una scansione del percorso passivo se questi dispositivi non sono filtrati Per array attivi passivi che richiedono un comando per modificare un percorso da passivo ad attivo LVM stampa un messaggio di avvertimento al verificarsi di tale evento Per filtrare tutti i dispositivi SCSI nel file di configurazione LVM
299. mposta da 11 attributi il suo DN en John Doe dc example dc com il suo RDN cn John Doe e il suo DN superiore de example de com dn cn John Doe dc example dc com cn John Doe givenName John sn Doe telephoneNumber 1 888 555 6789 telephoneNumber 1 888 555 1232 mail john example com manager cn Larry Smith dc example dc com objectClass inetOrgPerson objectClass organizationalPerson objectClass person objectClass top La voce precedente in formato LDIF LDAP Data Interchange Format Formato di interscambio di dati LDAP Ogni informazione da inserire nel DIT deve essere in tale formato definito in RFC2849 l http tools ietf org html rfc4510 2 http tools ietf org html rfc2849 93 Autenticazione di rete Sebbene questa guida descriva il suo utilizzo per l autenticazione centrale LDAP ottimo per qualunque attivita che necessiti di richieste di accesso a un backend basato su attributi nome valore principalmente in lettura per esempio una rubrica di indirizzi un elenco di indirizzi di posta elettronica e una configurazione di un server mail 1 1 Installazione Installare il demone server OpenLDAP e le tradizionali utilit di gestione di LDAP che si trovano rispettivamente nei pacchetti slapd e Idap utils L installazione di sldap crea una configurazione funzionante in particolare crea un istanza di database da usare per memorizzare i dati Tuttavia il suf
300. munit un utente digiter il FQDN seguito da un percorso www ubuntu com community Il protocollo pi utilizzato per il trasferimento delle pagine web l HTTP Hyper Text Transfer Protocol Sono anche supportati protocolli come HTTPS Hyper Text Transfer Protocol over Secure Sockets Layer e FTP File Transfer Protocol un protocollo per caricare e scaricare file dalla rete I server web Apache vengono comunemente usati in combinazione con il motore di database MySQL il linguaggio di script per la pre elaborazione dell ipertesto PHP Pre processor Hyper Text e altri noti linguaggi di script come Python e Perl Questa configurazione viene denominata LAMP Linux Apache MYSQL e Perl Phyton PHP e costituisce una piattaforma robusta e potente per lo sviluppo e l installazione di applicazioni basate sul web 1 1 Installazione Il server web Apache2 disponibile in Ubuntu 10 04 Per installare Apache2 e Al prompt di un terminale eseguire il seguente comando sudo apt get install apache2 1 2 Configurazione La configurazione di Apache2 avviene scrivendo delle direttive in semplici file di testo Queste direttive sono suddivise tra i seguenti file e directory e apache2 conf il principale file di configurazione di Apache2 Contiene impostazioni globali per Apache2 http www ubuntu com 2 http www ubuntu com community 188 Server web conf d contiene file di configurazione che si applicano glob
301. n A fedora template exists which creates containers based on fedora releases lt 14 Fedora release 15 and higher are based on systemd which the template is not yet able to convert into a container bootable setup Before the fedora template is able to run you ll need to make sure that yum and curl are installed A fedora 12 container can be created with 338 Virtualizzazione sudo lxc create t fedora n fedoral2 R 12 A OpenSuSE template exists but it requires the zypper program which is not yet packaged The OpenSuSE template is therefore not supported Two more templates exist mainly for experimental purposes The busybox template creates a very small system container based entirely on busybox The sshd template creates an application container running sshd in a private network namespace The host s library and binary directories are bind mounted into the container though not its home or root To create start and ssh into an ssh container you might sudo lxc create t sshd n sshl ssh keygen f id sudo mkdir var lib lxc sshl rootfs root ssh sudo cp id pub var lib lxc sshl rootfs root ssh authorized_keys sudo lxc start n sshl d ssh i id root sshl 4 3 1 5 Backing Stores By default Ixc create places the container s root filesystem as a directory tree at var lib 1xc cN root fs Another option is to use LVM logical volumes If a volume group named xc exists you can create an lvm backed containe
302. n crash di un applicazione Per impostazione predefinita normalmente disabilitato in quanto il processo di acquisizione di un crash pu comportare un importante assorbimento di risorse in relazione alla quantit di memoria utilizzata dall applicazione interessata dal crash quando apport acquisisce ed elabora il core dump La configurazione di apport per acquisire informazioni relative al crash di applicazioni richiede un paio di passi Per prima cosa necessario installare gdb che non installato in maniera predefinita in Ubuntu Server Edition sudo apt get install gdb Per maggiori informazioni sulla gestione di pacchetti in Ubuntu consultare Capitolo 3 Gestione dei pacchetti 21 Una volta che gdb stato installato aprire il file etc default apport con un editor di testo e modificare l impostazione enabled in 1 383 Appendice set this to 0 to disable apport or to 1 to enable it you can temporarily override this with sudo service apport start force_start 1 enabled 1 set maximum core dump file size default 209715200 bytes 200 MB maxsize 209715200 Dopo aver completato la modifica di etc default apport avviare il servizio apport sudo start apport Dopo il crash di un applicazione usare il comando apport cli per cercare il rapporto salvato con le informazioni sul crash apport cli dash closed unexpectedly on 2010 03 11 at 21 40 59 If you were not doing anything confidential
303. n eseguire il comando Da un client Windows ora dovrebbe essere possibile notare la nuova implementazione dei permessi dei file Per maggiori informazioni riguardo le ACL POSIX consultare le pagine di manuale di acl e setfacl 4 4 Profilo AppArmor Samba Ubuntu dotato del modulo di sicurezza AppArmor che fornisce un controlli di acceso Il profilo predefinito di AppArmor per Samba deve essere adattato alla propria configurazione Per maggiori informazioni sull uso di AppArmor consultare Sezione 4 AppArmor 168 All interno del pacchetto apparmor profiles sono disponibili dei profili predefiniti di AppArmor per usr sbin smbd usr sbin nmbd i binari dei demoni di Samba Per installare il pacchetto da un terminale digitare sudo apt get install apparmor profiles apparmor utils bJ Questo pacchetto contiene profili per molti altri binari I profili per smbd e nmbd sono in modo predefinito nella modalit complain consentendo a Samba di lavorare senza dover modificare il profilo e registrando solamente gli errori Per impostare il profilo smbd in modalit enforce e per far funzionare Samba come di consueto il profilo deve essere modificato per rispecchiare le directory da condividere Modificare il file etc apparmor d usr sbin smbd aggiungendo informazioni alla sezione share dall esempio del server di file srv samba share r srv samba share rwkix Ora impostare il profilo in modalit enforce e rica
304. n man7 tcp 7 html 19 http manpages ubuntu com manpages quantal man7 ip 7 html II http www redbooks ibm com abstracts gg243376 html 12 http oreilly com catalog 9780596002978 47 Rete 3 DHCP Dynamic Host Configuration Protocol Il DHCP Dynamic Host Configuration Protocol un servizio di rete che consente di assegnare automaticamente le impostazioni per agli host da un server senza la necessit di dover configurare manualmente ogni singolo host nella rete I computer configurati per essere client DHCP non hanno alcun controllo sulle impostazioni che ricevono dal server DHCP e la configurazione trasparente all utente del computer Le impostazioni comuni fornite da un server DHCP a un client includono e Indirizzo IP e maschera di rete e Indirizzo IP del gateway predefinito da utilizzare e Indirizzo IP del server DNS da utilizzare Un server DHCP pu fornire anche altre propriet di configurazione come e Nome dell host e Nome del dominio e Server NTP Network Time Protocol e Server di stampa Il vantaggio di utilizzare DHCP che i cambiamenti apportati alla rete per esempio una modifica dell indirizzo del server DNS devono essere apportati solamente al server DHCP mentre tutti gli host della rete vengono riconfigurati quando i client DHCP interrogano il server DHCP Come ulteriore vantaggio risulta anche molto semplice integrare nuovi computer nella rete senza la necessit di controllare la disponi
305. n optional timeout value If not specified the command issues a SIGPWR signal to the container and immediately returns If the option is used as in sudo lxc shutdown n CN t 10 then the command will wait the specified number of seconds for the container to cleanly shut down Then if the container is still running it will kill it and any running applications You can also immediately kill the container without any chance for applications to cleanly shut down using sudo Ixc stop n CN Finally lxc kill can be used more generally to send any signal number to the container s init While the container is shutting down you can expect to see some harmless error messages as follows sudo poweroff sudo password for ubuntu Broadcast message from ubuntu cnl dev lxc console at 18 17 The system is going down for power off NOW Asking all remaining processes to terminat done All processes ended within 1 seconds done Deconfiguring network interfaces done Deactivating swap ea umount run lock not mounted umount dev shm not mounted mount is busy Will now halt A container can be frozen with sudo Ixc freeze n CN This will block all its processes until the container is later unfrozen using sudo lxc unfreeze n CN 4 3 4 Lifecycle management hooks Beginning with Ubuntu 12 10 it is possible to define hooks to be executed at specific points in a container s lifetime
306. n server di Subversion in esecuzione e serve per accedere a Subversion dalla stessa macchina in cui in esecuzione La sintassi del comando la seguente svn co file percorso del repository progetto svn co file localhost percorso del repository progetto fy Se non viene specificato l host necessario utilizzare tre slash due per il protocollo in questo caso file e uno lo slash iniziale del percorso Se viene specificato l host utilizzare due slash I permessi di accesso al repository dipendono dai permessi impostati nel file system Se l utente possiede i permessi di scrittura e lettura allora potr eseguire checkout e commit al repository 2 3 2 Accesso con il protocollo WebDAV http Per accedere al repository di Subversion utilizzando il protocollo WebDAV necessario configurare il server web Apache2 Aggiungere quanto segue fra gli elementi lt VirtualHost gt e lt VirtualHost gt in etc apache2 sites available default 0 altro file VirtualHost lt Location svn gt DAV svn SVNPath home svn AuthType Basic AuthName Your repository name AuthUserFile etc subversion passwd Require valid user lt Location gt 3 http svnbook red bean com 270 Sistemi per il controllo della versione fe L esempio di configurazione precedente assume che i repository di Subversion siano creati nella directory home svn usando il comando svnadmin Sono accessibili usando l indirizz
307. nagios nrpe server e usr lib nagios plugins contiene i file binari dei controlli Per visualizzare le opzioni di un controllo usare l opzione h Per esempio usr lib nagios plugins check_dhcp h Esistono moltissimi controlli che possibile eseguire tramite Nagios su un qualsiasi host In questo esempio Nagios viene configurato per controlla lo spazio su disco DNS e un gruppo di host MySQL Il controllo DNS avviene su server02 e il gruppo di host MySQL include sia server0 che server02 181 Monitoraggio fe Consultare Sezione 1 HTTPD Server web Apache2 188 per informazioni su Apache Capitolo 8 DNS Domain Name Service 140 su DNS e Sezione 1 MySQL 207 su MySQL Inoltre vi sono alcuni termini che una volta descritti aluteranno a rendere pi semplice la comprensione di Nagios e Host un server una workstation o un dispositivo di rete che viene monitorato e Gruppo di host un gruppo di host simili Per esempio potrebbe essere possibile raggruppare tutti i server web i server di file ecc e Servizio il servizio che viene monitorato sull host come HTTP DNS FTP ecc e Gruppo di servizi consente di raggruppare servizi simili Utile per esempio per raggruppare pi servizi HTTP e Contatto una persona da notificare quando si verifica un evento Nagios pu essere configurato per inviare email SMS ecc Come impostazione predefinita Nagios configurato per controllare HT
308. nando questa opzione consente la visualizzazione delle informazioni raccolte in un terminale per un controllo Package postgresgl 8 4 2 2 PackageArchitecture all Tags lucid ProblemType Bug ProcEnviron LANG en_US UTF 8 SHELL bin bash Uname Linux 2 6 32 16 server x86_64 Dependencies 382 Appendice adduser 3 112ubuntul base files 5 0 0ubuntul0 base passwd 3 5 22 coreutils 7 4 2ubuntu2 Dopo aver visualizzato il rapporto possibile ritornare al men precedente che richiede come procedere e Keep Report File selezionando questa opzione le informazioni raccolte vengono registrate in un file Questo pu essere quindi usato successivamente per una segnalazione di bug o per essere utilizzato in un diverso metodo di segnalazione di Ubuntu Per inviare il file inserirlo semplicemente come argomento nel comando ubuntu bug What would you like to do Your options are S Send report 1 7 KiB V View report K Keep report file for sending later or copying to somewhere else C Cancel Please choose S V K C k Problem report file tmp apport postgresql v4MQas apport ubuntu bug tmp apport postgresql v4MQas apport xxx Send problem report to the developers e Cancel selezionando questa opzione le informazioni raccolte vengono eliminate 1 2 Segnalare crash di applicazioni Il pacchetto software che fornisce l utilit ubuntu bug apport pu essere configurato per essere innescato quando si verifica u
309. ndario IN NS ns example com IN NS ns2 example com ns IN A 192 168 1 10 ns2 IN A 192 168 1 11 4 2 Ulteriori informazioni Il DNS HOWTO dispone di maggiori informazioni sulla configurazione di BIND9 e Per un approfondimento di DNS e BIND9 consultare Bind9 net DNS and BIND un libro molto comune giunto ormai alla quinta edizione e Un ottimo posto per richiedere assistenza riguardo BIND9 e per partecipare nella comunit di Ubuntu Server il canale IRC ubuntu server su freenode e Consultare anche la documentazione di bind9 online i http www tldp org HOWTO DNS HOWTO html 2 http www bind9 net 3 http www oreilly com catalog dns5 index html http freenode net 3 https help ubuntu com community BIND9ServerHowto 152 Capitolo 9 Sicurezza La sicurezza deve essere sempre considerata come uno degli aspetti pi importanti durante l installazione lo sviluppo e l uso di un sistema Anche se un installazione base di Ubuntu offre un livello di sicurezza sufficientemente elevato per l utilizzo immediato su Internet importante avere una buona conoscenza della sicurezza del proprio sistema in base a come verr usato in produzione This chapter provides an overview of security related topics as they pertain to Ubuntu 12 10 Server Edition and outlines simple measures you may use to protect your server and network from any number of potential security threats 153 Sicurezza 1 Ge
310. ndirizzi IP le maschere di rete gli indirizzi di rete gli indirizzi di broadcast e gli indirizzi di gateway sono tipicamente determinati attraverso appropriate direttive nel file etc network interfaces Gli indirizzi di server dei nomi sono tipicamente specificati attraverso le direttive nameserver nel file etc resolv conf Per maggiori informazioni consultare rispettivamente le pagine di manuale di sistema per interfaces e resolv conf usando i seguenti comandi da digitare al prompt di un terminale Accedere alla pagina di manuale di sistema per interfaces con il seguente comando man interfaces Accedere alla pagina di manuale di sistema per resolv conf con il seguente comando man resolv conf 45 Rete 2 3 Instradamento IP L instradamento IP un modo per indicare e scoprire percorsi in una rete TCP IP attraverso i quali inviare dati L instradamento utilizza un insieme di tabelle di instradamento routing per dirigere i pacchetti di dati in una rete dalla loro sorgente avanti fino alla destinazione spesso attraverso molti nodi di rete intermediari chiamati router Esistono due forme primarie di instradamento IP l instradamento statico e l instradamento dinamico L instradamento statico comporta l aggiunta manuale di rotte IP nella tabella di instradamento del sistema attivit che viene fatta modificando la tabella di instradamento con il comando route L instradamento statico presenta molti vantaggi rispetto quello
311. ne creato e sar disponibile nel file server crt Se il server deve essere utilizzato in ambito commerciale necessario un certificato emesso Q da una CA Non raccomandato utilizzare un certificato auto firmato 5 4 Installare il certificato possibile installare il file server key e quello del certificato server crt o il file del certificato fornito dalla CA eseguendo in un terminale i seguenti comandi sudo cp server crt etc ssl certs sudo cp server key etc ssl private Ora basta configurare le applicazioni che possono usare la crittografia a chiave pubblica affinch utilizzino i file del certificato e della chiave Per esempio Apache pu fornire HTTPS Dovecot pu fornire IMAPS e POP3S ecc 5 5 Autorit di Certificazione Se i servizi all interno della propria rete richiedono pi di un certificato auto firmato potrebbe essere utile impostare una Autorit di Certificazione personale Usando certificati firmati dalla propria CA 174 Sicurezza consente ai vari servizi che usano tali certificati di fidarsi di altri servizi che fanno uso di certificati emessi dalla stessa CA 1 Per prima cosa creare le directory che conterranno il certificato della CA e i file relativi sudo mkdir etc ss1 CA sudo mkdir etc ssl newcerts 2 La CA necessita di alcuni altri file per funzionare correttamente uno per tenere traccia dell ultimo numero seriale usato ogni certificato deve avere un numer
312. ne Rimane da creare una chiave e un certificato per il consumatore e quindi effettuare una configurazione secondo le proprie esigenze La chiave e il certificato verranno generati sul fornitore per evitare di creare un altro certificato CA e il materiale necessario verr quindi trasferito sul consumatore 1 Sul fornitore Creare una directory principale che verra usata per gli eventuali trasferimenti e quindi la chiave privata del Consumatore mkdir ldap02 ssl cd ldap02 ssl sudo certtool generate privkey bits 1024 outfile ldap02_slapd_key pem Creare un file info 1dap02 info per il server Consumatore adattando i suoi valori in base alle proprie esigenze organization Societa Esempio cn ldap02 example com tls_www_server chiave_cifratura chiave_firma expiration_days 3650 Creare il certificato del Consumatore sudo certtool generate certificate load privkey ldap02_slapd_key pem load ca certific Ottenere una copia del certificato CA cp etc ssl certs cacert pem Fatto Ora trasferire la directory 1dap02 ss1 al Consumatore in questo caso viene usato scp modificarlo in base al proprio caso cd scp r ldap02 ssl utente consumer 2 Sul Consumatore Configurare l autenticazione TLS sudo apt get install ssl cert sudo adduser openldap ssl cert sudo cp ldap02_slapd _cert pem cacert pem etc ssl certs sudo cp ldap02_slapd_key pem etc ssl private sudo chg
313. ne effettuata pu solo condurre a miglioramenti minimi e sarebbe meglio migliorare l applicazione o cercare di potenziare l ambiente del database sia usando hardware pi potente che aggiungendo server secondari 1 5 Risorse e Per maggiori informazioni consultare il sito web di MySQL e Documentazione completa disponibile sia online che in formati offline nel portale degli Sviluppatori di MySQL e Per informazioni generali su SQL consultare Using SOL Special Edition di Rafe Colburn e Ulteriori informazioni sono disponibili nella documentazione online A http www mysql com gt http dev mysql com doc 9 http www informit com store product aspx isbn 0768664128 7 https help ubuntu com community ApacheMySQLPHP 211 Database 2 PostgreSQL PostgreSQL un database relazionale orientato agli oggetti che presenta le caratteristiche di un database commerciale tradizionale e anche miglioramenti dei sistemi DBMS di prossima generazione 2 1 Installazione Per installare PostgreSQL eseguire il seguente comando dal terminale sudo apt get install postgresql Una volta che l installazione completata possibile configurare il server PostgreSQL a seconda delle proprie esigenze sebbene la configurazione predefinita sia abbastanza buona 2 2 Configurazione By default connection via TCP IP is disabled PostgreSQL supports multiple client authentication methods IDENT authentication metho
314. ne lt authreg gt sistemare la sezione lt module gt in lt module gt db lt module gt Riavviare jabberd2 per abilitare le nuove impostazioni sudo service jabberd2 restart Dovrebbe quindi essere possibile connettersi al server utilizzando un client Jabber come Empathy 265 Applicazioni per conversazioni fe Il vantaggio nell uso di Berkeley DB per i dati utenti consiste nella bassa manutenzione necessaria una volta configurato Per avere un maggiore controllo sugli account utente e le credenziali di autenticazione consigliato usare un altro metodo di autenticazione 3 3 Riferimenti Il sito web di Jabberd2 contiene molte informazioni sulla configurazione di Jabberd2 e Per ulteriori opzioni sull applicazione consultare Guida all installazione di Jabberd2 e Ulteriori informazioni sono disponibili nella documentazione online 2 http codex xiaoka com wiki jabberd2 start 3 http www jabberdoc org di https help ubuntu com community SettingUpJabberServer 266 Capitolo 17 Sistemi per il controllo della versione Il controllo della versione l arte della gestione dell evolversi delle informazioni stato a lungo uno strumento critico per i programmatori che spendono il loro tempo apportando piccole modifiche al software per poi cancellarle il giorno seguente Ma l utilit del software per il controllo della versione va oltre il mondo dello sviluppo di programmi Ovunque si incontrino perso
315. ne che utilizzino il computer per gestire informazioni in continuo cambiamento c posto per il controllo della versione 267 Sistemi per il controllo della versione 1 Bazaar Bazaar un nuovo sistema di controllo della versione sponsorizzato da Canonical la societ commerciale dietro Ubuntu Diversamente da Subversion e CVS che supportano solamente un modello centralizzato di repository Bazaar supporta anche un controllo distribuito della versione consentendo alle persone di collaborare pi efficientemente In particolare Bazaar progettato per massimizzare il livello di partecipazione della comunit nei progetti open source 1 1 Installazione Per installare bzr in un terminale digitare sudo apt get install bzr 1 2 Configurazione Per introdursi a bzr usare il comandi whoami bzr whoami Mario Rossi lt mario rossi ubuntu com gt 1 3 Imparare a usare Bazaar La documentazione fornita con Bazaar installata in usr share doc bzr html il tutorial un buon punto di partenza Il comando bzr dotato di un sistema di aiuto integrato bzr help Per avere maggiori informazioni riguardo il comando foo bzr help foo 1 4 Integrazione con Launchpad Anche se altamente utilizzabile come strumento dedicato Bazaar dotato di un ottima integrazione con Launchpad il sistema di sviluppo collaborativo utilizzato da Canonical e altre comunit di progetti open source per la
316. ne collegata di utenti gruppi e domini su OpenLDAP Quando viene configurato uno dei parametri disponibili attraverso l interfaccia web 1 file finali di configurazione vengono sovrascritti usando i modelli di configurazione forniti dai moduli I principali vantaggi dell uso di Zentyal sono unica interfaccia grafica utente per configurare tutti i servizi di rete ed elevata integrazione fra di essi subito disponibile 3 1 Installazione Zentyal 2 3 disponibile nel repository Universe di Ubuntu 12 04 i moduli disponibili sono e zentyal core e zentyal common il cuore dell interfaccia Zentyal e le librerie comuni dell infrastruttura Comprende anche i registri e i moduli di avviso che forniscono all amministratore un interfaccia per visualizzare i registri e generano avvisi da questi e zentyal network gestisce la configurazione della rete Dalle interfacce che supportano IP statici DHCP VLAN bridge o PPPoE ai gateway multipli in caso di pi connessioni a internet bilanciamento dei carichi e istradamento avanzato rotte statiche o DNS dinamici e zentyal objects e zentyal services fornisce un livello di astrazione per indirizzi di rete per es LAN invece di 192 168 1 0 24 e porte chiamate come servizi per es HTTP invece di 80 TCP e zentyal firewall configura le regole di iptables per bloccare connessioni proibite NAT e reindirizzamenti di porte e zentyal ntp installa il demone NTP per sincronizzare l orolo
317. ne di dati e informazioni riguardo i computer e gli utenti della rete e possono essere classificati in base alle loro funzionalita in tre principali categorie e Servizi per la condivisione di file e stampanti Utilizzo del protocollo SMB Server Message Block per agevolare la condivisione di file cartelle volumi e stampanti attraverso la rete e Servizi di directory Condivisione di informazioni vitali sui computer e sugli utenti della rete con l uso di tecnologie come LDAP Lightweight Directory Access Protocol e Microsoft Active Directory e Autenticazione e accesso Stabilire l identit del computer o dell utente della rete e determinare quali risorse siano accessibili al computer o all utente tramite i permessi e i privilegi utilizzando permessi dei file politiche di gruppo e il servizio di autenticazione Kerberos Fortunatamente i sistemi Ubuntu sono in grado di fornire queste funzionalit ai client Windows permettendo la condivisione di risorse di rete Uno dei componenti software principali incluso nei sistemi Ubuntu per le operazioni di rete con Windows la suite SAMBA che comprende strumenti e applicazioni per server SMB Questa sezione della guida server di Ubuntu un introduzione all uso di Samba e a come installare e configurare i pacchetti necessari Per maggiori informazioni e documentazione su Samba consultare il sito web di Sambal l http www samba org 278 Reti Windows 2 Server di fil
318. nerati per l host specifico Per ulteriori informazioni sui certificati consultare Sezione 5 Certificati 172 Riavviare vsftpd e gli utenti non anonimi utilizzeranno FT PS sudo restart vsftpd Per consentire accesso FTP agli utenti dotati di una shell usr sbin nologin ma non dispongono di accesso shell modificare il file etc shells aggiungendo nologin 225 Server di file etc shells valid login shells bin csh bin sh usr bin es usr bin ksh bin ksh usr bin rc usr bin tcsh bin tcsh usr bin esh bin dash bin bash bin rbash usr bin screen usr sbin nologin Questo necessario poich in modo predefinito vsftpd utilizza PAM per l autenticazione e i file di configurazione etc pam d vsftpd contiene auth required pam_shells so Il modulo shells di PAM limita l accesso alle shell indicate nel file etc shells Molti popolari client FTP possono essere configurati per utilizzare connessioni FTPS il client a riga di comando Iftp in grado di utilizzare FTPS 1 5 Riferimenti Per maggiori informazioni consultare il sito web di vsftpd e For detailed etc vsftpd conf options see the vsftpd conf man page I http vsftpd beasts org vsftpd_conf html 2 http manpages ubuntu com manpages quantal en manS vsftpd conf 5 html 226 Server di file 2 NFS Network File System NSF permette a un sistema di condividere file e directory con altri attraverso una rete Utilizzan
319. nisce una base comune per tutte le tipologie di applicazioni server ha una progettazione minimalista in grado di fornire una piattaforma per qualsiasi servizio desiderato come servizi di file e stampa host web email ecc 1 2 Differenze tra Server e Desktop Ci sono alcune differenze fra la Ubuntu Server Edition e la Ubuntu Desktop Edition utile ricordare per che entrambe le edizioni utilizzano i repository apt rendendo l installazione di un applicazione server sulla Desktop Edition facile come sulla Server Edition The differences between the two editions are the lack of an X window environment in the Server Edition and the installation process 1 2 1 Differenze del kernel Ubuntu version 10 10 and prior actually had different kernels for the server and desktop editions Ubuntu no longer has separate server and generic kernel flavors These have been merged into a single generic kernel flavor to help reduce the maintenance burden over the life of the release bJ Usando una versione a 64 bit di Ubuntu su processori a 64 bit non si limitati nello spazio di indirizzamento della memoria To see all kernel configuration options you can look through boot config 3 5 0 server Also Linux Kernel in a Nutshell is a great resource on the options available 2 http www kroah com Ikn Installazione 1 3 Effettuare una copia di backup e Prima di installare Ubuntu Server Edition utile creare un
320. nldap_ldapconf db_library kldap ldap_kdc_dn cn admin dc example dc com this object needs to have read rights on the realm container principal container and realm sub trees ldap_kadmind_dn cn admin dc example dc com this object needs to have read and write rights on the realm container principal container and realm sub trees ldap_service_password_file etc krb5kdc service keyfil ldap_conns_per_server 5 fe Modificare example com dc example dc com cn admin dc example dc com e Idap01 example com con i valori corretti del dominio dell oggetto e del server LDAP della propria rete Usare l utilit kdb5_ldap_util per creare il reame ldap_servers ldaps ldap01 example com ldaps ldap02 example com sudo kdb5_ldap_util D cn admin dc example dc com create subtrees dc example dc com r EXAMPLE Creare un file stash della password utilizzata per l associazione al server LDAP Questa password usata con le opzioni dap_kdc_dn e Idap_kadmin_dn nel file etc krb5 conf sudo kdb5_ldap_util D cn admin dc example dc com stashsrvpw f etc krb5kdc service keyfile cn Copiare il certificato della CA dal server LDAP scp ldap01 etc ssl certs cacert pem sudo cp cacert pem etc ssl certs Modificare il file etc ldap ldap conf affinch utilizzi il certificato TLS_CACERT etc ssl certs cacert pem 136 Autenticazione di rete bJ Il certificato deve anche essere copiato nel KD
321. nnessione sicura senza chiedere nulla all utente e Quando una CA emette un certificato garantisce l identit dell organizzazione che fornisce la pagina web al browser La maggior parte dei browser web e dei computer che supportano SSL dispongono di un elenco di CA i cui certificati sono accettati automaticamente Se un browser incontra un certificato la cui CA non presente nell elenco il browser chiede all utente di accettare o rifiutare la connessione Inoltre altre applicazioni possono generare un messaggio di errore quando viene usato un certificato auto firmato Il processo per ottenere un certificato da una CA molto semplice Un piccolo promemoria 1 Creare un coppia di chiavi pubblica e privata 2 Creare una richiesta per un certificato basato su chiave pubblica La richiesta del certificato contiene informazioni riguardo il server a la societ che lo ospita 172 Sicurezza 3 Inviare la richiesta con una fotocopia di un documento di identita a una CA Non possibile consigliare quale autorita di certificazione scegliere La decisione potrebbe essere basata su esperienze passate esperienze di amici o colleghi o per un fattore economico Una volta scelta la CA necessario seguire le istruzioni fornite dal CA per ottenere il certificato 4 Una volta che la CA ha verificato l identit del richiedente invier un certificato digitale 5 Installare questo certificato sul proprio server sicuro e config
322. no esempi delle direttive di configurazione che possibile cambiare e Per impostare OpenSSH in modo da restare in ascolto sulla porta TCP 2222 invece che sulla predefinita porta TCP 22 cambiare la direttiva Port come segue Port 2222 e Per consentire l utilizzo in sshd di credenziali di accesso basate su chiave pubblica aggiungere o modificare la riga PubkeyAuthentication yes Se la riga gi presente assicurarsi che non sia commentata e Per far si che il server OpenSSH mostri il contenuto del file etc issue net come un banner di pre accesso aggiungere o modificare la riga Banner etc issue net Nel file etc ssh sshd_config Dopo aver apportato dei cambiamenti al file etc ssh ssha_config salvarlo e per rendere effettivi i cambiamenti riavviare il demone sshd usando il seguente comando sudo service ssh restart Per poter adattare il comportamento dell applicazione server alle proprie necessit sono disponibili molte altre direttive di configurazione per sshd Se per l unico metodo per 83 Amministrazione remota accedere a un server ssh se si commette un errore nella configurazione di sshd attraverso il file etc ssh sshd_ config pu risultare precluso l accesso al server dopo il suo riavvio Inoltre se viene fornita una direttiva di configurazione non corretta il server sshd potrebbe non riuscire ad avviarsi necessario pertanto prestare grande attenzione nella modifica di questo fi
323. npages ubuntu com manpages en man1 lIdaprenamemachine 1 html 115 Autenticazione di rete ldapadduser ldapdeleteuserfromgro up 1 dapfinger ldapi a ldapgi a ldapmodifyuser L daprenameuser 1s1dap 3 l1dapaddusertogroupl l1dapsetpasswd ldapinit 9 1dapaddgroup ldapdeletegroup 1dapmodi Fygroup ldapdeletemachine ldaprenamegroup ldapaddma chine ldapmodi fymachine ldapsetprimarygro up ldapdeleteuser 1 12 Backup e ripristino Ora che Idap funziona come si deve necessario assicurarsi di salvare tutto il lavoro per poterlo ripristinare in caso di necessit necessario disporre di un modo di effettuare il backup dei database di ldap in particolare del backend cn config e del frontend de example dc com Per effetture il backup di questi database in un file per esempio export backup possibile usare slapcat come mostrato nel seguente script chiamato usr local bin ldapbackup bin bash http manpages ubuntu com manpages en man1 ldapadduser 1 html i http manpages ubuntu com manpages en man1 Idapdeleteuserfromgroup 1 html http manpages ubuntu com manpages en man1 ldapfinger 1 html 2 http manpages ubuntu com manpages en man1 Idapid 1 html 10 http manpages ubuntu com manpages en man1 Idapgid 1 html 1 http manpages ubuntu com manpages en man 1 ldapmodifyuser 1 html 12 http manpages ubuntu com manpages en man1 Idaprenameuser 1 html 13 http
324. nt comprese le posizioni dei file di esempio consultare etc apache2 conf d localized error pages 191 Server web e Per impostazione predefinita il server scrive il log di trasferimento nel file var log apache2 access log possibile cambiare questo valore per ciascun sito nel file di configurazione dell host virtuale con la direttiva CustomLog oppure ometterlo per accettare il valore predefinito specificato in etc apache2 conf d other vhosts access log E possibile anche specificare il file nel quale sono registrati gli errori tramite la direttiva ErrorLog il cui valore predefinito var log apache2 error log Questi sono tenuti separati dai log di trasferimento per aiutare nella risoluzione di problemi con il server Apache2 possibile inoltre specificare le direttive LogLevel il valore predefinito warn e LogFormat visualizzare etc apache2 apache2 conf per conoscere il valore predefinito e Alcune opzioni vengono specificate per directory piuttosto che per server come la direttiva Options Una stanza Directory racchiusa tra tag in stile XML lt Directory var www mionuovosito gt lt Directory gt La direttiva Options all interno della stanza Directory accetta uno o pi dei seguenti valori tra gli altri separati da spazi e ExecCGI consente l esecuzione di script CGI Questi script non vengono eseguiti se l opzione non selezionata La maggior parte dei file non dovrebbe veni
325. ntainer in this way you can manage it with libvirt Fetch a sample xml file from wget http people canonical com serge ol xml Edit this file to replace the container name and root filesystem locations Then you can define the container with virsh c lxc define ol xml 4 6 2 Creating a container from cloud image If you prefer to create a pristine new container just for LXC you can download an ubuntu cloud image extract it and point a libvirt LXC xml file to it For instance find the url for a root tarball for the latest daily Ubuntu 12 04 LTS cloud image using url1 ubuntu cloudimg query precise daily arch format url n url echo urll sed e s tar gz root 0 wget url filename basename url Extract the downloaded tarball for instance 350 Virtualizzazione mkdir HOME c1 cd HOME c1 sudo tar zxf filename Download the xml template wget http people canonical com serge ol xml In the xml template replace the name o1 with cl and the source directory var lib 1xc ol rootfs with HomE c1 Then define the container using virsh define ol xml 4 6 3 Interacting with libvirt containers As we ve seen you can create a libvirt lxc container using virsh c lxc define container xml To start a container called container use virsh c lxc start container To stop a running container use virsh c lxc destroy container Note that whereas the lxc destroy c
326. ntendo l accesso a qualsiasi servizio Kerberos ad accesso effettuato correttamente da parte degli utenti 3 4 1 Installazione Per autenticarsi in un reame Kerberos sono necessari i pacchetti krb5 user e libpam krbS oltre ad altri non strettamente necessari ma che semplificano molto la gestione Per installare questi pacchetti digitare sudo apt get install krb5 user libpam krb5 libpam ccreds auth client config Il pacchetto auth client config consente una semplice configurazione dell autenticazione PAM per diverse sorgenti e libpam ccreds memorizza le credenziali di autenticazione consentendo di effettuare 130 Autenticazione di rete l accesso anche se il KDC non disponibile Questo pacchetto utile anche per i computer portatili che possono autenticarsi su reti aziendali ma devono essere in grado di farlo anche al di fuori della rete 3 4 2 Configurazione Per configurare il client in un terminale digitare sudo dpkg reconfigure krb5 config Viene quindi chiesto di inserire il nome del reame Kerberos Inoltre se non si dispone di un DNS configurato con i record SRV di Kerberos viene richiesto il nome dell host del KDC e del server amministrativo Il comando dpkg reconfigure aggiunge delle voci al file etc krb5 conf del proprio reame Dovrebbero essere disponibili delle voci simili alle seguenti libdefaults default_realm EXAMPLE COM realms EXAMPLE COM kdc 192 168 0 1 admin_server
327. ntenitore per Linux In effetti i contenitori hanno avuto origine dal lavoro in upstream delle funzionalit vserver e OpenVZ Alcune delle funzionalit di vserver e OpenVZ sono ancora assenti nei contenitori che tuttavia sono in grado di effettuare l avvio di molte distribuzioni Linux e hanno il vantaggio di poter essere utilizzati con un kernel non modificato upstream Esistono due implementazioni di contenitori spazio utente ognuna delle quali sfrutta le medesime caratteristiche del kernel Libvirt consente l uso di contenitori tramite il driver LXC con connessione a lxc pu essere molto conveniente in quanto supporta la stessa sintassi di altri driver L altra implementazione chiamata semplicemente LXC non compatibile con libvirt ma pi flessibile e offre un maggior numero di strumenti spazio utente possibile passare da una implementazione all altra sebbene ci siano delle peculiarit che possono ingenerare confusione In questo documento verr illustrato principalmente il pacchetto lxc verso la fine si illustrer l uso del driver libvirt LXC In questo documento il nome di un contenitore sar indicato come CN C1 o C2 4 1 Installazione Il pacchetto lxc pu essere installato usando sudo apt get install lxc Questo richiamer le dipendenze necessarie e consigliate inclusi cgroup lite lvm2 e debootstrap Per usare libvirt lxc installare libvirt bin LXC e libvirt lxc possono essere installati
328. ntire ad add machine script e altre funzioni di amministrazione di funzionare Per fare ci net rpc rights grant U sysadmin EXAMPLE Domain Admins SeMachineAccountPrivilege SePrintOpe 9 Dovrebbe ora essere possibile unire i client Windows al dominio come in un dominio NT4 in esecuzione su un server Windows 5 2 Controller di dominio di backup Con la presenza di un controller di dominio primario PDC all interno delle rete utile avere anche un controller di dominio di backup BDC In questo modo i client potranno autenticarsi anche nel caso in cui il PDC non sia pi disponibile Quando si configura Samba come BDC necessario avere un metodo di sincronizzazione delle informazioni sugli account con il PDC A questo scopo possibile usare scp rsync oppure LDAP come backend passdb Il metodo migliore per sincronizzare le informazioni sugli account consiste nell usare LDAP poich entrambi i controller di dominio possono usare le stesse informazioni in tempo reale Configurare un server LDAP potrebbe essere troppo complicato per un esiguo numero di utenti e computer Per maggiori informazioni consultare Sezione 2 Samba e LDAP 119 1 Installare samba e libpam smbpass Da un terminale digitare sudo apt get install samba libpam smbpass 2 Modificare il file etc samba smb conf e togliere il commento a quanto segue nella sezione global 291 Reti Windows workgroup ESEMPIO securi
329. nto di versione 9 25 Gestione dei pacchetti Le azioni del comando apt get come l installazione o la rimozione di pacchetti vengono registrate nel file di registro var log dpkg log Per ulteriori informazioni sull utilizzo di APT consultare il dettagliato Manuale utente di Debian APT o digitare apt get help i http www debian org doc user manuals apt howto 26 Gestione dei pacchetti 4 Aptitude Lanciare Aptitude da riga di comando con nessuna opzione fornisce un interfaccia testuale basata su men per il sistema Advanced Packaging Tool APT Molte delle tipiche funzioni di gestione dei pacchetti come l installazione la rimozione e l aggiornamento possono essere effettuate in Aptitude con dei comandi mappati su un solo tasto solitamente delle lettere minuscole Aptitude indicato in un ambiente non grafico per assicurare il corretto funzionamento dei comandi E possibile avviare l interfaccia basata su men di Aptitude come normale utente eseguendo il seguente comando al prompt del terminale sudo aptitude All avvio di Aptitude viene mostrata una barra dei men nella parte superiore dello schermo e due riquadri sotto tale barra Il riquadro superiore contiene delle categorie di pacchetto come Nuovi Pacchetti e Pacchetti non installati Il riquadro inferiore contiene le informazioni relative ai pacchetti e alle categorie di pacchetto Usare Aptitude per la gestione dei pacchetti rela
330. o disponibile nella pagine man molte delle quali sono reperibili anche in rete La pagina della documentazione della comunit InstallingSoftware contiene ulteriori informazioni For more dpkg details see the dpkg man page The APT HOWTO and apt get man page contain useful information regarding apt get usage See the aptitude man page for more aptitude options e La pagina riguardo i repository della documentazione italiana contiene maggiori informazioni su come aggiungere repository 2 https help ubuntu com community InstallingSoftware 3 http manpages ubuntu com manpages quantal en man1 dpkg 1 html 4 http www debian org doc manuals apt howto gt http manpages ubuntu com manpages quantal en man8 apt get 8 html 9 http manpages ubuntu com manpages quantal man aptitude 8 html 7 http wiki ubuntu it org Repository 33 Capitolo 4 Rete Le reti consistono in due o pi dispositivi come computer stampanti e altri equipaggiamenti correlati connessi tramite un cavo fisico oppure tramite collegamenti senza fili con lo scopo di condividere e distribuire informazioni tra di loro Questa sezione fornisce informazioni generali e specifiche sulle reti creare modificare e gestire reti compresa una panoramica sui concetti delle reti e discussioni dettagliate dei pi comuni protocolli di rete 34 Rete 1 Configurare la rete Ubuntu corredato da una serie di utilita grafiche p
331. o di lavoro molto leggero Verificare che il meccanismo SysRQ sia abilitato esaminando il valore del parametro del kernel proc sys kernel sysrq cat proc sys kernel sysrq Se viene restituito il valore 0 la caratteristica disabilitata abilitarla con il seguente comando sudo sysctl w kernel sysrq 1 19 Installazione Fatto questo occorre diventare utente root perch non sufficiente usare solo il comando sudo come utente root digitare il comando echo c gt proc sysrq trigger Se si sta usando una connessione di rete si verr disconnessi dal sistema ci avviene in quanto meglio effettuare il test essendo connessi alla console di sistema perch si ha il vantaggio di rendere visibile il processo di scaricamento del kernel Un tipico output del test dovrebbe essere simile a quanto segue sudo s sudo password for ubuntu echo c gt proc sysrq trigger 31 659002 SysRq Trigger a crash 31 659749 BUG unable to handle kernel NULL pointer dereference at null 31 662668 IP lt ffffffff8139f166 gt sysrq_handle_crash 0x16 0x20 31 662668 PGD 3b fb9067 PUD 368a7067 PMD 0 31 662668 Oops 0002 1 SMP 31 662668 CPU 1 La parte rimanente dell output stata troncata ma il sistema dovrebbe riavviarsi e da qualche parte nel log dovrebbe apparire la seguente riga Begin Saving vmcore from kernel crash una volta completato il processo il sistema si riavvia nella normale modalit
332. o essere no_path_retry e rr_min_io come descritto nella tabella Attributi di multipath 71 Se il dispositivo attivo passivo ma smista automaticamente il percorso con I O sul percorso passivo necessario modificare la funzione del controller su una funzione non in grado d inviare alcun segnale I O al percorso per controllarne il suo funzionamento in caso contrario il dispositivo continuer a eseguire un failover Ci quasi sempre significa impostare path_checker su tur questo processo funziona per tutti i dispositivi SCSI che supportano il comando Test Unit Ready cosa che molti fanno Se il dispositivo necessita di un comando speciale per smistarsi da un percorso ad un altro allora la configurazione di questo dispositivo per multipath richieder un modulo del kernel gestore hardware Il gestore hardware attuale emc se non sufficiente per il dispositivo allora non sar possibile configurare il dispositivo per il multipath Tabella 5 4 Attributi del dispositivo Attributo Descrizione fornitore Specifica il nome del fornitore del dispositivo di archiviazione sul quale sono applicabili gli attributi del dispositivo per esempio COMPAQ prodotto Specifica il nome del prodotto del dispositivo di archiviazione sul quale sono applicabili gli attributi del dispositivo per esempio HSV110 C COMPAQ revisione Specifica l identificatore della revisione del prodotto del dispositivo di archiviazione p
333. o http NOME_HOST svn NOME_REPOSITORY Per importare o eseguire il commit di file nel proprio repository Subversion via HTTP il repository deve essere di propriet dell utente del servizio HTTP Nei sistemi Ubuntu solitamente l utente del servizio HTTP www data Per cambiare il proprietario dei file del repository digitare il comando seguente in un terminale sudo chown R www data www data percorso al repository fa Modificando il proprietario del repository come www data non sar pi possibile importare o eseguire il commit di file nel repository attraverso il comando svn import file come un qualsiasi utente ma solo come www data Creare il file etc subversion passwd che conterr i dettagli di autenticazione utente Per creare un file eseguire il seguente comando al prompt dei comandi viene creato il file e aggiunto il primo utente sudo htpasswd c etc subversion passwd nome _ utente Per aggiungere ulteriori utenti omettere l opzione c poich questa opzione sostituisce i vecchio file Usare invece questa forma sudo htpasswd etc subversion passwd nome_utente Verr richiesta la password Una volta inserita l utente viene aggiunto al file Ora per accedere al repository digitare svn co http servername svn La password viene trasmessa come testo in chiaro Per evitare attacchi di tipo password D snooping necessario utilizzare la cifratura SSL Per maggiori informazioni fare
334. o in base alle proprie necessit Per le istruzioni su come installarli fare riferimento alle relative sezioni all interno di questa guida Per installare MediaWiki eseguire il seguente comando al prompt sudo apt get install mediawiki php5 gd Per maggiori informazioni sulle funzionalit di MediaWiki consultare il pacchetto mediawiki extensions 3 2 Configurazione Il file di configurazione di Apache mediawiki conf per MediaWiki installato nella directory etc apache2 conf d Da questo file per poter accedere all applicazione MediaWiki utile togliere il commento alla seguente riga Alias mediawiki var lib mediawiki Una volta tolto il commento alla riga precedente riavviare il server Apache e accedere a MediaWiki utilizzando il seguente URL http localhost mediawiki config index php Consultare la sezione Checking environment presente in quella pagina possibile risolvere molti problemi leggendola attentamente Una volta completata la configurazione copiare il file LocalSettings php nella directory etc mediawiki sudo mv var lib mediawiki config LocalSettings php etc mediawiki Pu anche essere necessario modificare etc mediawiki LocalSettings php per impostare il limite di memoria disabilitato per impostazione predefinita ini_set memory_limit 64M 218 Applicazioni LAMP 3 3 Estensioni Le estensioni aggiungono nuove funzionalita a MediaWiki e fornisc
335. o ridurre un volume logico in tal caso il preliminare smontaggio obbligatorio I seguenti comandi sono pensati per un file system ext3 o ext4 Se si sta utilizzando un altro file system potrebbero essere disponibili altri programmi sudo umount srv sudo e2fsck f dev vg01 srv L opzione fdi e2fsck forza il controllo anche se il file system sembra non avere problemi Infine ridimensionare il file system sudo resize2fs dev vg01 srv Montare la partizione e controllarne la dimensione mount dev vg01 srv srv amp amp df h srv 4 2 4 Risorse e Consultare la documentazione online riguardo LVM e Per maggiori informazioni consultare LVM HOWTO e Un ottimo articolo presente su linuxdevcenter com Managing Disk Space with LVM 11 9 https help ubuntu com community Installation lvm 10 ttp tldp org HOWTO LVM HOWTO index html I http www linuxdevcenter com pub a linux 2006 04 27 managing disk space with Ivm html 16 Installazione For more information on fdisk see the fdisk man page le http manpages ubuntu com manpages quantal en man 8 fdisk 8 html 17 Installazione 5 Scaricamento del kernel in seguito a un crash Kernel Crash Dum 5 1 Introduzione Un Kernel Crash Dump si riferisce a una porzione del contenuto della memoria volatile RAM che viene copiato nel disco ogni volta che viene interrotta l esecuzione del kernel I seguenti eventi possono causare un interruzi
336. o un nuovo dispositivo necessario ripetere questo processo Analogamente se necessario che un alias configurato per un dispositivo sia coerente attraverso i nodi del cluster occorre assicurarsi che il file etc multipath conf sia lo stesso per ogni nodo del cluster seguendo la stessa procedura 1 Configurare gli alias per i dispositivi multipath nel file multipath conf su una macchina 2 Disabilitare tutti i dispositivi multipath sulle altre macchine eseguendo i seguenti comandi service multipath tools stop multipath F 3 Copiare il file multipath conf dalla prima macchina in tutte le altre macchine del cluster 4 Abilitare nuovamente il demone multipathd su tutte le altre macchine del cluster con il seguente comando service multipath tools start Quando viene aggiunto un nuovo dispositivo necessario ripetere questo processo 2 3 Attributi del dispositivo multipath Oltre alle opzioni user_friendly_names e alias un dispositivo multipath ha numerosi attributi possibile modificare questi attributi per uno specifico dispositivo multipath creando una voce per quel dispositivo nella sezione multipaths del file di configurazione di multipath Ulteriori informazioni su questa sezione possono essere ottenute consultando la sezione Attributi del file di configurazione di multipath 2 4 Dispositivi multipath nei volumi logici Dopo la creazione dei dispositivi multipath possibile utilizzare i no
337. o univoco e l altro per registrare quali certificati sono stati emessi sudo sh c echo 01 gt etc ss1 CA serial sudo touch etc ss1 CA index txt 3 Ilterzo file il file di configurazione della CA Bench non strettamente necessario molto utile quando vengono emessi certificati multipli Aprire il file etc ssl openssl cnf e nella sezione CA_default modificare dir etc ssl Dove viene salvato tutto database dir CA index txt File indice del database certificate dir certs cacert pem Il certificato della CA serial dir CA serial Il numero seriale corrent private_key dir private cakey pem t La chiave privata 4 Creare il certificato auto firmato principale openssl req new x509 extensions v3_ca keyout cakey pem out cacert pem days 3650 Viene chiesto di inserire i dettagli del certificato S Installare il certificato principale e la chiave sudo mv cakey pem etc ssl private sudo mv cacert pem etc ssl certs 6 ora possibile firmare i certificati La prima cosa necessaria una CSR Certificate Signing Request consultare Sezione 5 2 Generare una CSR Certificate Signing Request 173 Una volta ottenuta digitare quanto segue per generare un certificato firmato dalla CA sudo openssl ca in server csr config etc ssl openssl cnf Inserita la passoword della chiave CA viene chiesto di firmare il certificato e di generare quello nuovo Dovrebbe quindi essere visibile l
338. o vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system ip 192 168 0 100 hostname myvm 2 3 2 1 2 Bridging Considerato che host remoti dovranno avere accesso all applicazione necessario configurare libvirt in modo tale che questa utilizzi la rete in modalit bridge per ottenere questo risultato aggiungere l opzione bridge al comando sudo vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system ip 192 168 0 100 hostname myvm bridge br0 bJ necessario configurare preliminarmente un interfaccia bridge consultare Sezione 1 4 Bridging 42 per ulteriori informazioni Inoltre se il nome dell interfaccia diverso modificare brO nell interfaccia bridge 2 3 2 2 Partizionamento Il partizionamento dell applicativo virtuale deve prendere in considerazione cosa si intende fare Dato che molti applicativi non avranno un sistema di archiviazione separato per i dati usare una partizione var separata una buona idea Per ottenere tutto questo vmbuilder dispone dell opzione part part PATH Allows you to specify a partition table in a partition file located at PATH Each line of the partition file should specify root first mountpoint size where size is in megabytes You can have up to 4 virtual disks a new disk starts on a line with ie root 1000 opt 1000 swap 256 var 2000 log 1500 In questo caso creare
339. oad and install the latest OpenVPN Windows Installer OpenVPN 2 2 1 was the latest when this was written Additionally download an alternative Open VPN Windows GUI The OpenVPN MI GUI from http openvpn mi gui inside security de seems to be a nice one for Windows 7 Download the latest version 20110624 was the latest version when this was written You need to start the OpenVPN service Goto Start gt Computer gt Manage gt Services and Applications gt Services Find the OpenVPN service and start it Set it s startup type to automatic When you start the OpenVPN MI GUI the first time you need to run it as an administrator You have to right click on it and you will see that option You will have to write your OpenVPN config in a textfile and place it in C Program Files OpenVPN config client ovpn along with the CA certificate You could put the user certificate in the user s home directory like in the follwing example C Program Files OpenVPN config client ovpn client remote server example com port 1194 proto udp dev tun dev type tun ns eert type server reneg sec 86400 auth user pass auth retry interact comp lzo yes verb 3 ca ca crt cert C Users username My Documents openvpn client crt key C Users username My Documents openvpn client key management 127 0 0 1 1194 management hold management query passwords auth retry interact 1 7 4 OpenVPN per OpenWRT OpenWRT is described
340. ocumentazione della comunit su dhcp3 server e For more etc dhcp dhcpd conf options see the dhcpd conf man page ISC dhcp server 13 https help ubuntu com community dhcp3 server 14 http manpages ubuntu com manpages quantal en man5 dhcpd conf 5 html 13 http www isc org software dhcp 50 Rete 4 Sincronizzazione del tempo con NTP NTP un protocollo TCP IP per sincronizzare l ora attraverso la rete un client richiede l ora corrente a un server e usa questa per impostare il proprio orologio Dietro questa semplice descrizione c molta complessit ci sono vari livelli di server NTP con il primo livello di server NTP collegati a orologi atomici e il secondo e terzo livello di server che si dividono il carico di gestire le richieste che pervengono da Internet Anche il programma client molto pi complesso di quanto si possa pensare deve considerare i ritardi di comunicazione e correggere l ora in modo tale da non invalidare tutti gli altri processi che sono in esecuzione sul server Fortunatamente tutta questa complessit nascosta all utente Ubuntu usa ntpdate and ntpd 4 1 ntpdate Ubuntu dispone di ntpdate come programma standard che viene eseguito all avvio per impostare l ora in base al server NTP di Ubuntu ntpdate s ntp ubuntu com 4 2 ntpd Ntpd il demone di ntp calcola lo spostamento dell orologio del proprio sistema e lo regola continuamente cos non ci siano mai grandi modifi
341. ogenerated Per nessun motivo modificare il file var lib exim4 config autogenerated E aggiornato automaticamente ogni volta che viene eseguito il comando update exim4 conf Per avviare il demone Exim4 eseguire il seguente comando sudo service exim4 start 2 3 Autenticazione SMTP Questa sezione descrive come configurare Exim4 affinch usi SMTP AUTH con TLS e SASL 243 Servizi email Il primo passo quello di creare un certificato da usare con TLS In un terminale digitare quanto segue sudo usr share doc exim4 base examples exim gencert Ora necessario configurare Exim4 per l utilizzo di TLS modificando il file etc exim4 conf d main 03_exim4 config_tlsoptions e aggiungendo quanto segue MAIN_TLS_ENABLE yes E ora necessario configurare Exim4 affinch utilizzi saslauthd per l autenticazione Modificare il file etc exim4 conf d auth 30_exim4 config_examples e de commentare le sezioni plain_saslauthd_server e login_saslauthd_server plain _saslauthd_server driver plaintext public_name PLAIN server_condition if saslauthd Sauth2 Sauth3 1 0 server_set_id Sauth2 server _prompts ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS server_advertise_ condition if eg tls_cipher endif login_saslauthd_server driver plaintext public_name LOGIN server_prompts Username Password don t send system passwords over unencrypted connections server_
342. oltre una voce A per ns example com il server di nomi in questo esempio BIND data file for example com STTL 604800 IN SOA example com root example com 2 Serial 604800 Refresh 86400 Retry 2419200 Expire 604800 Negative Cache TTL IN A 192 168 1 10 I 143 DNS Domain Name Service IN NS ns example com IN A 192 168 1 10 IN AAAA 1 ns IN A 192 168 1 10 E necessario incrementare il numero Serial ogni volta che vengono apportate modifiche al file zona Se vengono eseguite molteplici modifiche prima di riavviare BIND incrementare il valore solo una volta Ora possibile aggiungere voci DNS alla fine del file zona Per maggiori informazioni consultare la Sezione 4 1 Tipi di record comuni 152 ba Molti amministratori usano come valore per Serial la data dell ultima modifica come 2012010100 in cui si ha AAAAMMGGSS dove SS il valore Serial Modificato il file zona necessario riavviare BIND9 affinch le modiche vengano applicate sudo service bind9 restart 2 3 2 File zona reverse Una volta configurata la zona e la risoluzione dei nomi con un indirizzo IP necessaria anche una zona Reverse Una zona Reverse consente a DNS di trasformare un indirizzo in un nome Modificare il file etc bind named conf local aggiungendo quanto segue zone 1 168 192 in addr arpa type master file etc bind db 192 bJ Sostituire 7 768 192 con i primi tre valori de
343. om manpages en man8 smbldap groupdel 8 html a http manpages ubuntu com manpages en man8 smbldap groupmod 8 html al http manpages ubuntu com manpages en man8 smbldap groupshow 8 html da http manpages ubuntu com manpages en man8 smbldap passwd 8 html ca http manpages ubuntu com manpages en man8 smbldap populate 8 html a http manpages ubuntu com manpages en man8 smbldap useradd 8 html 45 http manpages ubuntu com manpages en man8 smbldap userdel 8 html 46 http manpages ubuntu com manpages en man8 smbldap userinfo 8 html af http manpages ubuntu com manpages en man8 smbldap userlist 8 html a8 http manpages ubuntu com manpages en man8 smbldap usermod 8 html 9 http manpages ubuntu com manpages en man8 smbldap usershow 8 html a0 http samba org samba docs man Samba HOWTO Collection gt http samba org samba docs man Samba HOWTO Collection passdb html 32 http download gna org smbldap tools docs samba ldap howto Sh https help ubuntu com community Samba samba ldap 124 Autenticazione di rete 3 Kerberos Kerberos un sistema di autenticazione di rete basato sul principio di un agente terzo fidato Le altre due parti sono l utente e il servizio a cui l utente vuole autenticarsi Non tutti i servizi e le applicazioni possono usare Kerberos ma quelle che ne sono in grado consentono di portare la rete a essere un SSO Single Sign On Questa sezione spiega come installare e configurare un server Kerberos forn
344. ommand deletes the container the virsh destroy command stops a running container To delete the container definition use virsh c lxc undefine container To get a console to a running container use 351 Virtualizzazione virsh c lxc console container Exit the console by simultaneously pressing control and 4 7 The Ixcguest package In the 11 04 Natty and 11 10 Oneiric releases of Ubuntu a package was introduced called lxcguest An unmodified root image could not be safely booted inside a container but an image with the lxcguest package installed could be booted as a container on bare hardware or in a Xen kvm or VMware virtual machine As of the 12 04 LTS release the work previously done by the Ixcguest package was pushed into the core packages and the lxcguest package was removed As a result an unmodified 12 04 LTS image can be booted as a container on bare hardware or in a Xen kvm or VMware virtual machine To use an older release the lxcguest package should still be used 4 8 Python api As of 12 10 Quantal a python3 lxc package is available which provides a python module called Ixc for managing lxc containers An example python session to create and start an Ubuntu container called c1 then wait until it has been shut down would look like sudo python3 Python 3 2 3 default Aug 28 2012 08 26 03 GCC 4 7 1 20120814 prerelease on linux2 Type help copyright cr
345. one del kernel e Kernel Panic e Interrupt non mascherabile Non Maskable Interrupts NMI e Machine Check Exceptions MCE e Errore hardware e Intervento manuale Per alcuni di tali eventi panic NMI il kernel reagir automaticamente innescando il meccanismo di scaricamento per mezzo di kexec in altre situazioni necessario un intervento manuale per conservare il contenuto della memoria Ogni volta che si verifica uno degli eventi sopra menzionati importante scoprirne la causa per evitare che si ripeta questa pu essere determinata esaminando il contenuto della memoria copiato 5 2 Meccanismo del kernel crash dump Quando si verifica un kernel panic il kernel dipende dal meccanismo kexec per un suo rapido riavvio in una sezione della memoria preassegnata durante l avvio come verr spiegato in seguito Questo consente di lasciare intatta l area di memoria esistente per copiarne senza problemi il contenuto nel sistema di archiviazione 5 3 Installazione L utilit kernel crash dump viene installata con il seguente comando sudo apt get install linux crashdump E necessario un riavvio 5 4 Configurazione Non necessaria nessuna ulteriore configurazione per abilitare la procedura di scaricamento del kernel 5 5 Verifica Per confermare l abilitazione del meccanismo di scaricamento del kernel occorre effettuare alcune verifiche Per prima cosa confermare che sia presente il parametro di avvio
346. one descrive i metodi per determinare le cause dei problemi che si possono verificare con DNS e BIND9 3 1 Test 3 1 1 resolv conf Il primo passo per verificare BIND9 consiste nell aggiungere l indirizzo IP del server di nomi in un risolutore di host Il server dei nomi primario dovrebbe essere configurato cos come un altro host per verificare il tutto Modificare il file etc resolv conf e aggiungere quanto segue nameserver 192 168 1 10 nameserver 192 168 1 11 fy Potrebbe essere necessario aggiungere anche l indirizzo IP del server di nomi secondario nel caso in cui il primario non fosse pi disponibile 3 1 2 dig Se stato installato il pacchetto dnsutils possibile configurare l utilit di ricerca DNS dig e Una volta installato BIND9 usare dig sull interfaccia di loopback per assicurarsi che sia in ascolto sulla porta 53 Da un terminale digitare dig x 127 0 0 1 L output del comando dovrebbe essere simile al seguente 7 Query time 1 msec i SERVER 192 168 1 10 53 192 168 1 10 e Se BIND9 stato configurato come un server di cache eseguire dig su un dominio esterno per verificare il tempo dell interrogazione dig ubuntu com Prestare attenzione al tempo dell interrogazione verso la fine dell output 7 Query time 49 msec Dopo una seconda esecuzione del comando si dovrebebro vedere dei miglioramenti 77 Query time 1 msec 148 DNS Domain Name Service 3 1 3 pin
347. onfigure krb5 kdc 1 Ora che il KDC in esecuzione necessario avere un utente amministratore l admin principal si raccomanda di usare un nome utente diverso da quello usato giornalmente per le normali operazioni al computer Usando l utilit kadmin local digitare in un terminale sudo kadmin local Authenticating as principal root admin EXAMPLE COM with password kadmin local addprinc steve admin WARNING no policy specified for steve admin EXAMPLE COM defaulting to no policy Enter password for principal steve admin EXAMPLE COM Re enter password for principal steve admin EXAMPLE COM Principal steve admin EXAMPLE COM created kadmin local quit Nell esempio precedente steve il Principal admin un Istanza e EXAMPLE COM indica il reame Il Principal giornaliero cio l utente principal steve EXAMPLE COM e dovrebbe avere 1 diritti di un utente normale fy Sostituire EXAMPLE COM e steve con il proprio reame e il nome utente dell amministratore 2 Il nuovo utente amministratore necessita dei permessi ACL Access Control List corretti configurati tramite il file etc krb5kdc kadm5 acl steve admin EXAMPLE COM Questa voce garantisce a steve admin la possibilit di eseguire qualsiasi operazione su tutti i principal nel reame possibile configurare dei principal con privilegi pi limitati il che pu essere conveniente ove sia necess
348. oni e bin ping flags complain percorso al programma con profilo impostandone la modalit ad apprendimento e capability net_raw consente all applicazione di accedere alla capacit CAP_NET_RAW Posix le e bin ping mixr consente all applicazione accesso in lettura e in esecuzione al file fy Dopo aver modificato un profilo necessario ricaricarlo Per maggiori informazioni consultare Sezione 4 1 Utilizzare AppArmor 168 4 2 1 Creare un profilo e Progettare un piano di verifica cercare di pensare a come l applicazione dovrebbe essere eseguita Il piano di verifica dovrebbe essere diviso in tanti piccoli casi d uso ognuno dei quali dovrebbe avere una breve descrizione e un elenco dei passi da compiere Alcuni casi standard da verificare sono e Avvio del programma e Arresto del programma e Ricaricamento del programma e Verifica di tutti i comandi supportati dallo script init e Generare il nuovo profilo usare aa genprof per generare un nuovo profilo Da un terminale sudo aa genprof eseguibile Per esempio 170 Sicurezza sudo aa genprof slapd e Affinch il proprio nuovo profilo venga incluso nel pacchetto apparmor profiles segnalare un bug su Launchpad riguardo il pacchetto AppArmor e Includere la pianificazione e le casistiche del test e Allegare il nuovo profilo al bug 4 2 2 Aggiornare i profili Quando il programma si comporta stranamente messaggi di audit ven
349. ono agli amministratori del wiki e agli utenti l abilit di personalizzare MediaWiki in base alle loro necessit possibile scaricare estensioni per MediaWiki come un archivio o direttamente dal repository Subversion copiandolo nella directory var lib mediawiki extensions directory Alla fine del file aggiungere la seguente riga etc mediawiki LocalSettings php require_once SIP extensions ExtentionName ExtentionName php 3 4 Riferimenti Per maggiori informazioni consultare il sito web di MediaWiki e La MediaWiki Administrators Tutorial Guide contiene molte informazioni per i nuovi amministratori di MediaWiki e Anche la pagina della documentazione della comunit su MediaWiki una buona risorsa di http www mediawiki org gt http www packtpub com Mediawiki book 9 https help ubuntu com community MediaWiki 219 Applicazioni LAMP 4 phpMyAdmin phpMyAdmin un applicazione LAMP sviluppata appositamente per amministrare server MySQL Scritta in PHP e accessibile attraverso un browser web fornisce un interfaccia grafica per svolgere attivit di amministrazione su un database 4 1 Installazione Prima di poter installare phpMyAdmin necessario poter accedere al database MySQL o dallo stesso host in cui phpMyAdmin installato o da un host accessibile via rete per maggiori informazioni consultare Sezione 1 MySQL 207 Da un terminale digitare sudo apt get inst
350. ono disponibili diverse opzioni per l installazione LVM Guidato usare l intero disco e impostare LVM consente di assegnare una parte dello spazio disponibile a LVM Guidato usare l intero disco e impostare LVM cifrato o manuale Attualmente l unico metodo per configurare un sistema affinch utilizzi sia partizioni LVM che normali durante l installazione quello manuale 1 Seguire i passi dell installazione fino a giungere a Partizionamento dei dischi quindi https help ubuntu com community Installation raid y http www faqs org docs Linux HOWTO Software RAID HOWTO html 8 http oreilly com catalog 978 1565927308 14 Installazione 2 Alla finestra Partizionamento dei dischi scegliere Manuale 3 Selezionare il disco fisso e nella schermata successiva scegliere confermare Creare una nuova tabella delle partizioni sul dispositivo 4 Creare le partizioni boot swap e con il file system di propria scelta 5 Per la partizione srv LVM creare una nuova partizione Logica e modificare Usato come in volume fisico per LVM quindi selezionare Preparazione di questa partizione completata 6 Selezionare Configurare il Logical Volume Manager in alto e scegliere S per scrivere le modifiche sul disco 7 Peril Passo di configurazione di LVM nella schermata successiva scegliere Creare gruppi di volumi Inserire un nome per il VG come vg0 o qualche cosa pi descrittivo Fatto ci selezionare la partizione configurata
351. onsultare la sezione File di configurazione dispositivi 72 62 DM Multipath 4 Il file di configurazione DM Multipath Per impostazione predefinita DM Multipath fornisce i valori di configurazione per gli utilizzi pi comuni di multipath In aggiunta DM Multipath include il supporto per i pi comuni array di archiviazione che supportano DM Multipath I valori di configurazione predefiniti e i dispositivi supportati sono disponibili all interno del file multipath conf defaults possibile sovrascrivere i valori di configurazione predefiniti per DM Multipath modificando il file di configurazione etc multipath conf Se necessario possibile aggiungere al file di configurazione un array di archiviazione non supportato per impostazione predefinita Questo capitolo fornisce informazioni su come analizzare e modificare il file multipath conf e contiene altres sezioni relative ai seguenti argomenti e Panoramica sul file di configurazione 63 e File di configurazione blacklist 64 e Impostazioni predefinite del file di configurazione 66 Attributi del file di configurazione di multipath 71 e File di configurazione dispositivi 72 Nel file di configurazione di multipath devono essere specificate solo le sezioni necessarie per la configurazione o che devono essere modificate rispetto ai valori predefiniti specificati nel file multipath conf defaults Se sono presenti sezioni del file non rilevanti per il propr
352. ontainer will have a private layer 2 network stack It will have its own network interfaces and firewall rules There are several options for Ixc network type e Ixc network type empty The container will have no network interfaces other than loopback e Ixc network type veth This is the default when using the ubuntu or ubuntu cloud templates and creates a veth network tunnel One end of this tunnel becomes the network interface inside the 346 Virtualizzazione container The other end is attached to a bridged on the host Any number of such tunnels can be created by adding more lxc network type veth entries in the container configuration file The bridge to which the host end of the tunnel will be attached is specified with lxc network link Ixcbr0 e Ixc network type phys A physical network interface i e eth2 is passed into the container Two other options are to use vlan or macvlan however their use is more complicated and is not described here A few other networking options exist e lxc network flags can only be set to up and ensures that the network interface is up e Ixc network hwaddr specifies a mac address to assign the the nic inside the container Ixc network ipv4 and lxc network ipv6 set the respective IP addresses if those should be static e Ixc network name specifies a name to assign inside the container If this is not specified a good default i e ethO for the first nic is chosen e lxc network
353. orta 389 che viene successivamente protetto da TLS SSL mentre LDAPS come HTTPS un distinto protocollo cifrato fin dall inizio che opera sulla porta TCP 636 Rafforzare la propriet e i permessi sudo adduser openldap ssl cert sudo chgrp ssl cert etc ssl private ldap01_slapd_key pem sudo chmod gtr etc ssl private ldap01_slapd_key pem sudo chmod o r etc ssl private ldap01_slapd_key pem Riavviare OpenLDAP sudo service slapd restart Controllare i log dell host var log syslog per verificare che il server si sia avviato correttamente 1 9 Replicazione e TLS Se stata impostata la replicazione tra server procedura comune cifrare StartTLS il traffico di replicazione per prevenire intercettazioni ci diverso dall utilizzo della cifratura con l autenticazione trattato in precedenza In questa sezione verr sviluppato il funzionamento dell autenticazione TLS Si assume che sia stata impostata la replicazione tra il fornitore e il consumatore come descritto in Sezione 1 6 Replicazione 101 e TLS sia stato configurato per l autenticazione sul fornitore come spiegato in Sezione 1 8 TLS 107 Come spiegato in precedenza l obiettivo della replicazione aumentare la disponibilit del servizio LDAP Avendo impostato l autenticazione di TLS sul fornitore si richiede la stessa cosa sul 109 Autenticazione di rete consumatore oltre a questo necessario cifrare il traffico di replicazio
354. ostazioni di multipath successivamente le impostazioni di ogni dispositivo e quindi i valori predefiniti del sistema multipath 4 2 File di configurazione blacklist La sezione blacklist del file di configurazione multipath specifica i dispositivi che non verranno utilizzati quando il sistema configura i dispositivi multipath I dispositivi presenti all interno della blacklist non verranno raggruppati all interno di un dispositivo multipath e Se necessario inserire dispositivi nella blacklist seguire i seguenti criteri e Per WWID come descritto in Inserimento nella blacklist in base al WWID 64 e Per nome del dispositivo come descritto in Inserimento nella blacklist in base al nome del dispositivo 64 Per tipo di dispositivo come descritto in Inserimento nella blacklist in base al tipo di dispositivo 65 Per impostazione predefinita anche dopo aver decommentato la sezione iniziale della blacklist del file di configurazione una serie di dispositivi inserita nella blacklist Per ulteriori informazioni consultare Inserimento nella blacklist in base al nome del dispositivo 64 4 2 1 Inserimento nella blacklist in base al WWID possibile specificare i dispositivi individuali da inserire nella blacklist tramite il loro World Wide IDentification attraverso una voce wwid nella sezione blacklist del file di configurazione Il seguente esempio mostra le righe all interno del file di configurazione in grado di inseri
355. ou will have to restart it root client restart network manager network manager start running process 3078 Open the Network Manager GUI select the VPN tab and then the Add button Select OpenVPN as the VPN type in the opening requester and press Create In the next window add the OpenVPN s server name as the Gateway set Type to Certificates TLS point User Certificate to your user certificate CA Certificate to your CA certificate and Private Key to your private key file Use the advanced button to enable compression or other special settings you set on the server Now try to establish your VPN 1 7 2 OpenVPN with GUI for Mac OS X Tunnelblick Tunnelblick is an excellent free open source implementation of a GUI for OpenVPN for OS X The project s homepage is at http code google com p tunnelblick Download the latest OS X installer from there and install it Then put your client ovpn config file together with the certificates and keys in Users username Library Application Support Tunnelblick Configurations and lauch Tunnelblick from your Application folder sample client ovpn for Tunnelblick client remote blue example com port 1194 proto udp dev tun dev type tun ns ceert type server reneg sec 86400 auth user pass auth nocache auth retry interact comp lzo yes verb 3 369 VPN ca ca crt cert client crt key client key 1 7 3 OpenVPN with GUI for Win 7 First downl
356. ow it to reach other private subnets behind the server Remember that these private subnets will also need to know to route the OpenVPN client address pool 10 8 0 0 24 back to the OpenVPN server 364 VPN push route 10 0 0 0 255 0 0 0 If enabled this directive will configure all clients to redirect their default network gateway through the VPN causing all IP traffic such as web browsing and DNS lookups to go through the VPN the OpenVPN server machine or your central firewall may need to NAT the TUN TAP interface to the internet in order for this to work properly push redirect gateway defl bypass dhcp Configurare la modalita server e fornire una sottorete VPN per permettere a OpenVPN di trarvi gli indirizzi client Il server prender 10 8 0 1 per s stesso il resto sar reso disponibile ai client ognuno dei quali sar in grado di raggiungere il server a 10 8 0 1 Commentare questa riga se si sta effettuando un ponte ethernet server 10 8 0 0 255 255 255 0 Maintain a record of client to virtual IP address associations in this file If OpenVPN goes down or is restarted reconnecting clients can be assigned the same virtual IP address from the pool that was previously assigned ifconfig pool persist ipp txt Inviare i server DNS al client push dhcp option DNS 10 0 0 2 push dhcp option DNS 10 1 0 2 Allow client to client communication client to client Enable compression on the VPN link comp lzo
357. p org HOWTO SSL Certificates HOWTO index html 13 http it wikipedia org wiki HTTPS 14 http www openssl org 15 http oreilly com catalog 9780596002701 176 Sicurezza 6 eCryptfs eCryptfs un file system crittografico POSIX conforme per Linux Disponendosi al di sopra del livello del file system normale eCryptfs in grado di proteggere i file indipendentemente dal file system sottostante dal tipo di partizione ecc Durante la fase di installazione disponibile un opzione per cifrare l intera partizione home in grado di configurare tutto il necessario per cifrare e montare la partizione Questa sezione spiega come configurare srv per cifrarla con eCryptfs 6 1 Usare eCryptfs Per prima cosa installare i pacchetti necessari In un terminale digitare sudo apt get install ecryptfs utils Montare la partizione da cifrare sudo mount t ecryptfs srv srv Vengono chiesti alcuni dettagli su come ecryptfs dovrebbe cifrare i dati Per verificare che i file in srv siano veramente cifrati copiare la directory etc default in srv sudo cp r etc default srv Smontare srv e cercare di visualizzare un file sudo umount srv cat srv default cron Montare srv utilizzando ecryptfs per poter visualizzare nuovamente i dati 6 2 Montare automaticamente le partizioni cifrate possibile montare un file system ecryptfs in diversi modi all avvio Questo esempio fa uso di un file root ecryp
358. pe server sudo service nagios nrpe server restart 4 Riavviare su server01 nagios sudo service nagios3 restart Dovrebbe essere possibile visualizzare l host e i controlli nei file CGI di Nagios Per accedere a questi file in un browser web inserire l indirizzo http server01 nagios3 Vengono richiesti password e nome utente dell utente nagiosadmin 2 4 Riferimenti Questa sezione ha fornito una panoramica preliminare delle caratteristiche di Nagios i pacchetti nagios plugins extra e nagios snmp plugins contengono molti altri controlli Per maggiori informazioni consultare il sito web di Nagios e In particolare consultare la documentazione in rete e Sono disponibili anche molti libri riguardo Nagios e il monitoraggio di rete e Maggiori informazioni possono essere trovate nella documentazione online della comunit su Nagios 1 http www nagios org i http nagios sourceforge net docs 3_0 3 http www nagios org propaganda books di https help ubuntu com community Nagios 184 Monitoraggio 3 Munin 3 1 Installazione Prima di installare Munin su server0 necessario installare apache2 La configurazione predefinita sufficiente per poter eseguire un server munin Per maggiori informazioni consultare Sezione 1 HTTPD Server web Apache2 188 Installare su serverO munin In un terminale inserire sudo apt get install munin Su server02 installare il pacche
359. per installare automaticamente gli aggiornamenti e pu essere configurato per aggiornare tutti i pacchetti o installare solamente gli aggiornamenti di sicurezza Per prima cosa installare il pacchetto digitando sudo apt get install unattended upgrades Per configurare unattended upgrades aprire il file etc apt apt conf d 50unattended upgrades modificare quanto segue secondo le proprie esigenze Unattended Upgrade Allowed Origins Ubuntu quantal security Ubuntu quantal updates Alcuni pacchetti possono essere inseriti nella blacklist per non aggiornarli mai Per inserire un pacchetto nella blacklist aggiungerlo all elenco Unattended Upgrade Package Blacklist vim SL libc6 Li libc6 dev libc6 i686 bJ I doppi slash servono come commento tutto quello che segue non verr valutato Per abilitare gli aggiornamenti automatici modificare etc apt apt conf d 10periodice impostare le appropriate opzioni di configrazione di apt APT Periodic Update Package Lists 1 APT Periodic Download Upgradeable Packages 1 APT Periodic AutocleanInterval 7 APT Periodic Unattended Upgrade 1 La configurazione precedente aggiorna l elenco dei pacchetti scarica e installa gli aggiornamenti disponibili ogni giorno L archivio locale dei file scaricati viene pulito ogni settimana fy Maggiori informazioni sulle opzioni di configurazione della periodicita di apt
360. per specificare le interfacce su cui rimanere in ascolto I messaggi di dhcpd vengono inviati nel syslog consultare quindi i relativi messaggi per quelli di diagnostica 3 2 Configurazione Il messaggio di errore con cui si conclude l installazione potrebbe essere fuorviante ma i passi seguenti consentono di configurare il servizio Nella maggior parte dei casi si vuole assegnare un indirizzo IP in modo casuale Questo pu essere ottenuto con impostazioni come le seguenti minimal sample etc dhcp dhcpd conf default lease time 600 max lease time 7200 subnet 192 168 1 0 netmask 255 255 255 0 range 192 168 1 150 192 168 1 200 option routers 192 168 1 254 option domain name servers 192 168 1 1 192 168 1 2 option domain name mydomain example 49 Rete Come risultato si ottiene che il server DHCP fornisce ai client un indirizzo IP nell intervallo 192 168 1 150 192 168 1 200 Se il client non richiede uno specifico intervallo di tempo la durata di affitto di un indirizzo IP di 600 secondi in caso contrario il valore massimo consentito di 7200 secondi Il server inoltre consiglia al client l utilizzo di 192 168 1 254 come gateway predefinito 192 168 1 1 e 192 168 1 2 come server DNS Dopo aver modificato il file di configurazione necessario riavviare dhcpd sudo service isc dhcp server restart 3 3 Riferimenti e Per maggiori informazioni consultare la pagina della d
361. possiede tali permessi basta quindi semplicemente aggiungere l utente a questo gruppo per permettergli di gestire progetti nel repository CVS 275 Sistemi per il controllo della versione 4 Riferimenti Sito web di Bazaar Launchpad Sito web di Subversion Libro su Subversion Manuale CVS Pagina della documentazione della comunit su Easy Bazaar Pagina della documentazione della comunit su Subversion 4 http bazaar canonical com en 2 https launchpad net 6 http subversion tigris org T http svnbook red bean com 8 http ximbiot com cvs manual cvs 1 11 21 cvs_toc html i https help ubuntu com community EasyBazaar 19 https help ubuntu com community Subversion 276 Capitolo 18 Reti Windows Spesso le reti di computer sono costituite da sistemi eterogenei e sebbene gestire una rete composta interamente da computer con Ubuntu sarebbe certamente divertente alcuni ambienti di rete debbono essere costituiti da sistemi Ubuntu e Microsoft Windows che operano insieme in armonia Questa sezione della guida di Ubuntu introduce i principi e gli strumenti utilizzati nella configurazione di un server Ubuntu per la condivisione di risorse di rete con computer Windows 277 Reti Windows 1 Introduzione Utilizzare Ubuntu in una rete composta da client Windows significa fornire e integrare i servizi tipici degli ambienti Windows Questi servizi offrono supporto per la condivisio
362. postazione predefinita in una configurazione multipath i valori per i dispositivi supportati per impostazione predefinita sono elencati nel file multipath conf defaults Molto probabilmente non sar necessario modificare i valori per questi dispositivi ma se fosse necessario farlo sar possibile sovrascrivere i valori predefiniti includendo una voce nel file di configurazione per il dispositivo che sovrascrive questi valori possibile copiare la configurazione predefinita per il dispositivo dal file multipath conf annotated gz 0 se necessario avere un file di configurazione sintetico dal file multipath conf synthetic e sovrascrivere i valori da modificare Per aggiungere un dispositivo in questa sezione del file di configurazione non configurata automaticamente per impostazione predefinita sar necessario impostare i parametri vendor e product Questi valori sono disponibili su sys block device_name device vendor e sys block device_name device model dove device_name il dispositivo sul quale eseguire il multipath come riportato nel seguente esempio cat sys block sda device vendor WINSYS cat sys block sda device model SF2372 Gli ulteriori parametri da specificare dipendono dallo specifico dispositivo se questo ativo attivo normalmente non necessario impostare parametri aggiuntivi pu essere necessario impostare 72 DM Multipath path_grouping_policy su multibus Altri parametr i da impostare posson
363. preferisce non usarlo possibile sostituire pv con cat nel seguente 3 http tools percona com members wizard 209 Database comando Ignorare gli orari ETA prodotti da pv perch sono basati sulla media dei tempi necessari per gestire ogni riga del file ma la velocita d inserimento puo variare i maniera considerevole da riga a riga con mysqldump sudo apt get install pv pv fulldump sql mysql Una volta completato tutto pronto a partire bJ Questo non necessario per tutte le modifiche di my cnf molte delle variabili da modificare per migliorare le prestazioni sono regolabili anche durante il funzionamento del server Come sempre assicurarsi di avere una buona copia di backup dei file di configurazione e dei dati prima di apportare modifiche 1 4 2 MySQL Tuner MySQL Tuner un utile strumento che si connette a un istanza MySQL in esecuzione e offre suggerimenti su come ottimizzarne la configurazione per l attuale carico di lavoro Quanto pi esteso il periodo di funzionamento del server tanto migliori risulteranno i suggerimenti di mysqltuner in un ambiente di produzione far trascorrere almeno 24 ore prima di avviare lo strumento possibile scaricare e installare mysqltuner dai repository Ubuntu sudo apt get install mysqltuner Dopo averlo installato lanciarlo mysqltuner e aspettare il rapporto finale La sezione superiore fornisce infomrazioni generali sul server di databas
364. production use is using three nodes One master server running nova services except compute and two servers running nova compute This setup is not redundant and the master server is a SPoF Single Point of Failure 3 3 Preconfiguring the network Before we start installing OpenStack we need to make sure we have bridging support installed a MySQL database and a central time server ntp This will assure that we have instantiated machines and hosts in sync In this example the private network will be in the 10 0 0 0 24 range on eth1 All the internal communication between instances will happen there while the public network will be in the 10 153 107 0 29 range on eth0 3 3 1 Install bridging support 325 Virtualizzazione sudo apt get install bridge utils 3 3 2 Install and configure NTP sudo apt get install ntp Add these two lines at the end of the etc ntp conf file server 127 127 1 0 fudge 127 127 1 0 stratum 10 Restart ntp service sudo service ntp restart 3 3 3 Install and configure MySQL sudo apt get install mysql server Create a database and mysql user for OpenStack sudo mysql uroot ppassword e CREATE DATABASE nova sudo mysql uroot ppassword e GRANT ALL ON nova TO novauser localhost IDENTIFIED BY novapassword The line continuation character implies that you must include the subsequent line as part of the current command 3 4 Install OpenSta
365. ptablesHowTo 167 Sicurezza 4 AppArmor AppArmor un implementazione del Linux Security Module per il controllo degli accessi vincolante basato sul nome AppArmor racchiude individualmente i programmi in un insieme di file e capacit posix 1003 1e draft AppArmor installato e caricato in modo predefinito e utilizza i profili di un applicazione per determinare quali file e permessi siano necessari all applicazione Alcuni pacchetti installano i propri profili e ulteriori profili possono essere trovati nel pacchetto apparmor profiles Per installare il pacchetto apparmor profiles in un terminale digitare sudo apt get install apparmor profiles I profili di AppArmor dispongono di due modalit di esecuzione e Apprendimento complaining learning le violazioni del profilo sono consentite e vengono registrate Utile per verificare e sviluppare nuovi profili e Esecutiva enforced confined obbliga a rispettare la politica del profilo e registra le violazioni 4 1 Utilizzare AppArmor Il pacchetto apparmor utils contiene utilit a riga di comando che possibile usare per modificare la modalit di esecuzione di AppArmor trovare lo stato di un profilo creare nuovi profili ecc e apparmor_ status utilizzata per visualizzare lo stato attuale dei profili AppArmor sudo apparmor status e aa complain posiziona un profilo nella modalit apprendimento sudo aa complain percorso al binario e
366. push del database sul KDC secondario sudo kprop r EXAMPLE COM f var lib krb5kdc dump kdc02 example com fe Dovrebbe essere visualizzato un messaggio di SUCCEEDED se la propagazione andata a buon fine Se si verificato un errore per maggiori informazioni controllare var log syslog sul KDC secondario Potrebbe esser utile creare anche un attivit cron per aggiornare periodicamente il database sul KDC secondario Per esempio il comando seguente esegue il push del database ogni ora da notare che la riga stata divisa in due per adattarla al formato di questo documento m h dom mon dow command 0 usr sbin kdb5_util dump var lib krb5kdc dump amp amp usr sbin kprop r EXAMPLE COM f var lib krb5kdc dump kdc02 example com 11 Sempre nel KDC secondario creare un file stash in cui salvare la chiave principale di Kerberos sudo kdb5_util stash 12 Avviare il demone krb5 kdc sul KDC secondario sudo service krb5 kdc start Il KDC secondario dovrebbe ora essere in grado di emettere i ticket per il reame possibile verificare ci fermando il demone krb5 kdc sul KDC primario e usando kinit per richiedere un ticket Se tutto funziona correttamente si dovrebbe ricevere un ticket dal KDC secondario in caso contrario controllare var log syslog var log auth 1log nel KDC secondario 3 4 Client Kerberos Linux Questa sezione spiega come configurare un sistema Linux come un client Kerberos conse
367. pzioni 4 3 1 Gruppi I gruppi definiscono un insieme di computer e utenti che godono dei medesimi privilegi di accesso alle risorse condivise offrendo un alto livello di controllo di questi accessi Per esempio se il gruppo qa contiene gli utenti freda danika e rob e viene definito il secondo gruppo support che contiene gli utenti danika jeremy e vincent allora alcune risorse di rete impostate per concedere l accesso al gruppo ga concedono automaticamente l accesso anche agli utenti freda danika e rob mentre lo negano a jeremy o vincent Dal momento che l utente danika membro di entrambi i gruppi ga e support potr accedere a tutte le risorse condivise il cui accesso stato concesso a entrambi i gruppi gli altri utenti avranno accesso alle risorse esplicitamente assegnate al gruppo di appartenenza Samba in modo predefinito controlla i gruppi di sistema locali definiti in etc group per determinare quali utenti appartengono a quali gruppi Per maggiori informazioni su come aggiungere o rimuovere gruppi consultare Sezione 1 2 Aggiungere e rimuovere utenti 155 Quando si definiscono i gruppi nel file di configurazione di Samba etc samba smb conf la sintassi predefinita quella di usare il prefisso col nome del gruppo Per esempio per definire il gruppo sysadmin in una sezione del file etc samba smb conf bisogna inserire il nome del gruppo come sysadmin 4 3 2 Permessi dei file I permessi dei file
368. r called CN using sudo lxc create t ubuntu n CN B lvm If you want to use a volume group named schroots with a 5G xfs filesystem then you would use sudo lxc create t ubuntu n CN B lvm vgname schroots fssize 5G fstype xfs 4 3 2 Cloning For rapid provisioning you may wish to customize a canonical container according to your needs and then make multiple copies of it This can be done with the Ixc clone program Given an existing container called C1 a new container called C2 can be created using sudo lxc clone o C1 n C2 339 Virtualizzazione If var lib 1xc is a btrfs filesystem then Ixc clone will create C2 s filesystem as a snapshot of Cl s If the container s root filesystem is lvm backed then you can specify the s option to create the new rootfs as alvm snapshot of the original as follows sudo lxc clone s o Cl n C2 Both lvm and btrfs snapshots will provide fast cloning with very small initial disk usage 4 3 3 Starting and stopping To start a container use lxc start n CN By default Ixc start will execute sbin init in the container You can provide a different program to execute plus arguments as further arguments to Ixc start sudo lxc start n container sbin init loglevel debug If you do not specify the d daemon option then you will see a console on the container s dev console see Sezione 4 3 6 Consoles 342 for more information on the terminal If you specify the
369. r eseguita come script CGI potrebbe essere molto pericoloso Gli script CGI dovrebbero essere mantenuti in una directory separata al di fuori della propria DocumentRoot e solo questa directory dovrebbe avere l opzione ExecCGI impostata Questo il comportamento predefinito in Ubuntu e la posizione per gli script CGI usr lib cgi bin e Includes consente inclusioni lato server consente cio a un file HTML di contenere altri file Per maggiori informazioni consultare la Documentazione Apache SSI comunit di Ubuntu JE e IncludesNOEXEC consente inclusioni lato server ma disabilita i comandi exec e include negli script CGI e Indexes visualizza un elenco formattato dei contenuti della directory se non esiste alcun DirectoryIndex come index html nella directory richiesta Per motivi di sicurezza quest opzione non dovrebbe essere impostata e soprattutto non Q su DocumentRoot Abilitare questa opzione con molta cautela solo su alcune directory e nel caso in cui si voglia visualizzare l intero contenuto della directory e Multiview supporta visualizzazioni multiple in base al contenuto quest opzione disabilitata in modo predefinito per ragioni di sicurezza Per maggiori informazioni consultare la documentazione di Apache2 e SymLinksIfOwnerMatch segue i collegamenti simbolici solamente se il file di arrivo o la directory hanno gli stessi proprietari del collegamento Li https help ubuntu com community ServerSideIncludes
370. r esempio per ripristinare il file etc hosts in tmp etc hosts mt f dev st0 rewind tar xzf dev st0 C tmp etc hosts 304 Backup 3 Bacula Bacula un programma per eseguire backup ripristinare e verificare i dati attraverso la rete Esistono client Bacula per Linux Windows e Mac OS X e questo lo rende una soluzione multi piattaforma 3 1 Panoramica Bacula composto da diversi componenti e servizi usati per gestire i file sui quali eseguire il backup e la posizione del backup stesso e Bacula Director un servizio che controlla tutte le operazioni di backup ripristino verifica e di archiviazione e Bacula Console un applicazione che consente di comunicare con Director Sono disponibili tre versioni e Versione testuale per la riga di comando e Versione grafica per GNOME basata su GTK e Interfaccia wxWidgets e Bacula File conosciuta anche come Bacula Client Questa applicazione installata nei computer di cui deve essere fatto il backup ed responsabile dei dati richiesti dal Director e Bacula Storage il programma che esegue l archiviazione e il ripristino sul dispositivo fisico e Bacula Catalog responsabile per mantenere l indice dei file e il database di tutti i file consentendo una facile localizzazione e ripristino Catalog supporta tre diversi database MySQL PostgreSQL e SQLite e Bacula Monitor consente di monitorare i demoni Director File e Storage
371. r maggiori informazioni sul filtraggio mail consultare i seguenti indirizzi Documentazione di Amavisd new Documentazione ClamAV e ClamAV e Wiki di Spamassassin Sito web di Pyzor Sito web di Razor DKIM org Postfix Amavis New possibile anche porre le proprie domande nel canale IRC ubuntu server su freenode 2 http www ijs si software amavisd amavisd new docs html 23 http www clamav net doc latest html 24 http wiki clamav net Main WebHome 25 http wiki apache org spamassassin 26 http sourceforge net apps trac pyzor 27 http razor sourceforge net 28 http dkim org 2 https help ubuntu com community PostfixAmavisNew 30 http freenode net 260 Capitolo 16 Applicazioni per conversazioni Applicazioni per conversazioni 1 Panoramica In questa sezione viene discusso come installare e configurare un server IRC ircd irc2 e come installare e configurare Jabber un server di messaggistica istantanea 262 Applicazioni per conversazioni 2 Server IRC Nei repository di Ubuntu sono disponibili molti server Internet Relay Chat ma in questa sezione viene descritto come installare e configurare il server IRC ircd irc2 2 1 Installazione Per installare ircd irc2 eseguire il seguente comando in un terminale sudo apt get install ircd irc2 I file di configurazione sono presenti nella directory etc ircd i documenti nella directory
372. r the email address of the person running the list bhuvan at ubuntu com Initial mailman password To finish creating your mailing list you must edit your etc aliases or equivalent file by adding the following lines and possibly running the newaliases program mailman mailing list mailman var lib mailman mail mailman post mailman mailman admin var lib mailman mail mailman admin mailman mailman bounces var lib mailman mail mailman bounces mailman mailman confirm var lib mailman mail mailman confirm mailman mailman join var lib mailman mail mailman join mailman mailman leave var lib mailman mail mailman leave mailman mailman owner var lib mailman mail mailman owner mailman mailman request var lib mailman mail mailman request mailman mailman subscribe var lib mailman mail mailman subscribe mailman mailman unsubscribe var lib mailman mail mailman unsubscribe mailman Hit enter to notify mailman owner Postfix o Exim4 sono stati configurati per riconoscere tutte le email di mailman ed ora obbligatorio creare le nuove voci in etc aliases Se sono state apportate modifiche ai file di configurazione assicurarsi di riavviare tali servizi prima di continuare 252 Servizi email fe Exim4 non utilizza gli alias precedenti per inoltrare le mail a Mailman dato che usa un approccio di tipo discover Per eliminare gli alias quando viene creato l elenco possibile aggiungere la
373. r visualizzare un men d installazione dettagliato che consente di modificare le impostazioni In qualsiasi momento dell installazione possibile leggere la guida fornita dal sistema basta premere FI Once again for detailed instructions see the Ubuntu Installation Guide 2 1 Pacchetti per attivit specifiche Durante l installazione della Server Edition possibile installare dei pacchetti aggiuntivi raggruppati per il tipo di servizio che forniscono e Server DNS seleziona il server DNS BIND e la documentazione e Server LAMP seleziona un server Linux Apache MySQL PHP e Mail server seleziona un gruppo di pacchetti utili per un sistema di server mail a scopo generale e Server OpenSSH seleziona i pacchetti necessari per un server OpenSSH e Server PostgreSQL seleziona i pacchetti client e server per il database PostreSQL e Server di stampa configura il sistema come un server di stampa e Server file Samba configura il sistema come server di file Samba utile particolarmente all interno di reti eterogenee con sistemi Windows e Linux e Tomcat Java server installa Apache Tomcat e le dipendenze necessarie e Virtual Machine host comprende pacchetti necessari per la macchina virtuale KVM e Manual package selection esegue aptitude che consente di selezionare singolarmente i pacchetti L installazione dei gruppi di pacchetti effettuata con l impiego dell utilit tasksel Una delle principali differenze tra
374. re il file 1ogging ldaif con i seguenti contenuti dn cn config changetype modify add olcLogLevel olcLogLevel stats Implementare la modifica sudo ldapmodify Q Y EXTERNAL H ldapi f logging ldif Questo produce un significativo ammontare di registrazioni che potrebbe essere necessario ridure a un livello di dettaglio inferiore quando il sistema in produzione Mentre in questa modalit dettagliata la macchina syslog dell host rsyslog potrebbe incontrare difficolt nel tenere il passo fornendo messaggi simili al seguente rsyslogd 2177 imuxsock lost 228 messages from pid 2547 due to rate limiting Pu essere necessaria una modifica della configurazione di rsyslog in etc rsyslog conf inserire Disable rate limiting default is 200 messages in 5 seconds below we make the 5 become 0 SystemLogRateLimitInterval 0 E riavviare il demone rsyslog sudo service rsyslog restart 1 6 Replicazione Il servizio LDAP diventa sempre pi importante quando pi sistemi in rete iniziano a dipendere da esso In questa situazione viene normalmente predisposto in LDAP un sistema di ridondanza alta disponibilit allo scopo di prevenire serie problematiche conseguenti alla mancata risposta da parte del server LDAP questo obiettivo viene raggiunto per mezzo della replicazione La replicazione ottenuta utilizzando il motore Syncrep questo consente alle modifiche di essere sincronizzate usando un
375. re il wiki chiamato mywiki necessario configurare apache2 in modo che gestisca anche i wiki Aggiungere le seguenti righe nel file etc apache2 sites available default all interno della sezione lt VirtualHost gt moin ScriptAlias mywiki usr share moin mywiki moin cgi alias moin_static193 usr share moin htdocs lt Directory usr share moin htdocs gt Order allow deny allow from all lt Directory gt end moin Una volta configurato apache2 necessario riavviarlo Per riavviare il server web apache2 digitare sudo service apache2 restart 2 3 Verifica Per verificare se l applicazione wiki funziona sufficiente aprire con un browser web il seguente URL http localhost mywiki Per ulteriori dettagli consultare il sito web di MoinMoin 2 4 Riferimenti e Per maggiori informazioni consultare il wiki di MoinMoin possibile anche consultare la pagina della documentazione della comunit su MoinMoin f http moinmo in 2 http moinmo in 2 https help ubuntu com community MoinMoin 217 Applicazioni LAMP 3 MediaWiki MediaWiki un software per wiki scritto con il linguaggio PHP ed in grado di utilizzare database come MySQL o PostgreSQL per l archiviazione dei dati 3 1 Installazione Prima di installare MediaWiki necessario installare Apache2 il linguaggio PHPS e un sistema di database MySQL o PostgreSQL sono i pi comuni sceglierne un
376. re in blacklist un dispositivo con un WWID di 26353900f02796769 blacklist wwid 26353900 02796769 4 2 2 Inserimento nella blacklist in base al nome del dispositivo possibile inserire nella blacklist i tipi di dispositivi in base al nome in modo tale da non farli raggruppare all interno di un dispositivo multipath per mezzo di una voce devnode nella sezione blacklist del file di configurazione Il seguente esempio mostra le righe usate nel file di configurazione per inserire nella blacklist tutti i dispositivi SCSI poich comprende tutti i dispositivi sd 64 DM Multipath blacklist devnode sd a z possibile usare una voce devnode nella sezione blacklist del file di configurazione per specificare i dispositivi individuali da inserire nella blacklist invece di specificare tutti i dispositivi di una tipologia ben precisa tuttavia questa procedura non consigliata A meno che non sia mappato staticamente dalle regole udev non vi alcuna garanzia che un dispositivo specifico avr lo stesso nome al momento del riavvio Per esempio un nome del dispositivo potrebbe cambiare da dev sda a dev sdb Per impostazione predefinita le seguenti voci devnode sono compilate nella blacklist predefinita 1 dispositivi che queste voci inseriscono in blacklist generalmente non supportano DM Multipath Per abilitare il multipath di uno di questi dispositivi necessario specificarlo nella sezione blacklist_
377. re un significato ai registri del firewall possibile utilizzare delle applicazioni di analisi dei registri come logwatch fwanalog fwlogwatch o lire 3 5 Altri strumenti Esistono diversi strumenti per costruire un firewall completo senza alcuna conoscenza di iptables Per chi preferisce un interfaccia grafica e fwbuilder molto potente e ha un aspetto che pu risultare familiare agli amministratori che hanno utilizzato un firewall commerciale come Checkpoint FireWall 1 Per chi preferisce uno strumento a riga di comando con file di configurazione in semplice testo e Shorewall una soluzione molto potente per configurare un firewall di livello avanzato per qualsiasi rete 3 6 Riferimenti La pagina relativa a Ubuntu Firewall della documentazione contiene informazioni sullo sviluppo di ufw e Inoltre la pagina del manuale ufw contiene alcune informazioni molto utili man ufw e Per ulteriori informazioni sull utilizzo di iptables consultare packet filtering HOWTO Il nat HOWTO contiene ulteriori dettagli sul masquerading La pagine della documentazione della comunit IPTables HowTo una grande risorsa 1 http www fwbuilder org 2 http www shorewall net gt https wiki ubuntu com UncomplicatedFirewall A http www netfilter org documentation HOWTO packet filtering HOWTO html gt http www netfilter org documentation HOWTO NAT HOWTO html 9 https help ubuntu com community I
378. rfaces 5 html 4 http manpages ubuntu com manpages man8 dhclient 8 html 3 http manpages ubuntu com manpages manS resolver S html 9 http oreilly com catalog linag2 book ch06 html i http manpages ubuntu com manpages man8 bretl 8 html 8 http www linuxfoundation org en Net Bridge 43 Rete 2 TCP IP Il protocollo TCP IP Transmission Control Protocol e Internet Protocol un insieme standard di protocolli sviluppato nella seconda meta degli anni 70 dalla DARPA Defence Advanced Research Project Agency con lo scopo di permettere la comunicazione tra diversi tipi di computer e di reti di computer TCP IP il motore di Internet ecco perch l insieme di protocolli di rete pi diffuso al mondo 2 1 Introduzione a TCP IP I due protocolli che compongono TCP IP interagiscono con differenti aspetti di una rete L Internet Protocol la parte IP di TCP IP un protocollo privo di connessione che interagisce solamente con il routing dei pacchetti attraverso la rete usando l P Datagram come unit di base delle informazioni che consiste in un intestazione seguita da un messaggio Il Transmission Control Protocol la parte TCP di TCP IP consente agli host della rete di stabilire le connessioni che possono essere usate per scambiare dati Inoltre garantisce che i dati tra le connessioni siano consegnati correttamente e nello stesso ordine in cui sono stati inviati 2 2 Configurazione di TCP IP La config
379. ricarlo sudo aa enforce usr sbin smbd cat etc apparmor d usr sbin smbd sudo apparmor_parser r Dovrebbe essere possibile leggere scrivere ed eseguire i file nella directory condivisa come di consuetudine e il binario smbd dovrebbe avere accesso solo ai file e le directory configurati Assicurarsi di aggiungere una voce per ogni directory che viene configurata alla condivisione Tutti gli errori verranno registrati in var log syslog 287 Reti Windows 4 5 Risorse e Per delle configurazioni pi dettagliate riguardo Samba consultare Samba HOWTO Collection e La guida disponibile anche in formato cartaceo Il libro Using Samba di O Reilly un altra buona lettura Il capitolo 18 della Samba HOWTO Collection dedicato alla sicurezza Il libro Using Samba di O Reilly un altra buona lettura La pagina su Samba della documentazione 14 http samba org samba docs man Samba HOWTO Collection 15 http www amazon com exec obidos tg detail 0131882228 16 http Awvww oreilly com catalog 9780596007690 di http samba org samba docs man Samba HOWTO Collection securing samba html 18 http www oreilly com catalog 9780596007690 19 https help ubuntu com community Samba 288 Reti Windows 5 Samba come controller di dominio Bench non possa funzionare come un controller di dominio primario PDC Active Directory un server Samba pu essere configurato per apparire come un control
380. riga MTA None nel file di configurazione di Mailman etc mailman mm_cfg py 4 3 Amministrazione Si assume che sia stata fatta un installazione di base Gli script cgi di mailman si trovano nella directory usr lib cgi bin mailman Mailman fornisce uno strumento di amministrazione basato sul web per accedere alla relativa pagina aprire con il browser il seguente url http hostname cgi bin mailman admin La mailing list di base mailman comparir in questa schermata Facendo clic sul nome della mailing list verr richiesta la password di autenticazione Se viene inserita la password corretta sar possibile modificare le preferenze di amministrazione di questa mailing list possibile creare una nuova mailing list usando l utilit a riga di comando usr sbin newlist In alternativa possibile creare una nuova mailing list usando l interfaccia web 4 4 Utenti Mailman fornisce un interfaccia web per gli utenti Per accedere a questa pagina indirizzare il browser web al seguente URL http hostname cgi bin mailman listinfo La mailing list predefinita mailman compare a schermo Facendo clic sul nome viene presentato il modulo di iscrizione E possibile inserire il proprio indirizzo email il nome opzionale e la password per completare l iscrizione Viene cos inviata una email di invito all indirizzo specificato E possibile seguire le istruzioni contenute nell email per completare l iscrizione 4 5 Riferiment
381. rio personalizzare l opzione local_domains_acl Modificare il file etc amavis conf d 50 user 256 Servizi email Smyhostname mail example com local_domains_acl example com example org Se necessario servirsi di diversi domini inserire quanto segue in etc amavis conf d 50 user local_domains_acl qw Una volta configurato Amavisd new deve essere riavviato sudo service amavis restart 5 2 3 1 Whitelist DKIM Amavisd new pu essere configurato per inserire automaticamente in una whitelist gli indirizzi da domini dotati di Domain Keys valide Nel file etc amavis conf d 40 policy_banks sono disponibili alcuni domini preconfigurati L aggiunta di un dominio nella whitelist possibile in diversi modi e example com gt WHITELIST inserisce nella whitelist qualsiasi indirizzo dal dominio example com e example com gt WHITELIST inserisce nella whitelist qualsiasi indirizzo da qualsiasi sotto dominio di example com con una firma valida e example com example com gt WHITELIST inserisce nella whitelist i sotto domini di example com che utilizzano una firma del dominio superiore example com e example com gt WHITELIST inserisce gli indirizzi con una firma valida da example com Molto usato dai gruppi di discussione in cui vengono firmati i messaggi Un dominio pu anche avere molteplici configurazioni di whitelist una volta modifi
382. rio_alua dev n prio alua See Table Conversione del controllore di priorit 54 for a complete listing Tabella 5 1 Conversione del controllore di priorit v0 4 8 v0 4 9 prio_callout mpath_prio_emc dev n prio emc prio_callout mpath_prio_alua dev n prio alua prio_callout mpath_prio_netapp dev n prio netapp prio_callout mpath_prio_rdac dev n prio rdac prio_callout mpath_prio_hp_sw dev n prio hp_sw prio_callout mpath_prio_hds_modular b prio hds Dal momento che il decodificatore del file di configurazione di multipath essenzialmente analizza tutte le coppie chiave valore che trova per poi utilizzarle ragionevole che sia prio_callout che prio coesistano e si consiglia di inserire l attributo prio prima di iniziare la migrazione Dopo di ci possibile eliminare in sicurezza prio_calliout 54 DM Multipath 1 2 Panoramica Il DM Multipath pu essere utilizzato per fornire e Ridondanza DM Multipath permette il verificarsi di un failover in una configurazione attiva passiva nella quale solo met dei percorsi vengono usati in qualsiasi momento per I I O Se un elemento di un percorso di I O il cavo l interruttore o il controller viene interrotto DM Multipath Si sposta su di un percorso alternativo e Migliori prestazioni La prestazione di DM Multipath pu essere configurata in modalit attiva attiva in cui l I O viene suddiviso tra i percorsi seguendo un ordine
383. rminale sudo usermod aG lpadmin username Maggiore documentazione disponibile nella scheda Documentation Help dell interfaccia web 4 4 Riferimenti Sito Web di CUPS Pagina Debian Open iSCS T http www cups org 8 http wiki debian org SAN iSCSI open iscsi 234 Capitolo 15 Servizi email Il processo per portare una email da una persona a un altra all interno di una rete o attraverso internet comporta l utilizzo di diversi sistemi che cooperano tra loro Ognuno di questi sistemi deve essere configurato correttamente Colui che spedisce una email utilizza un Mail User Agent MUA o client email per spedire il messaggio attraverso uno o pi Mail Transfer Agents MTA l ultimo dei quali lo consegner a un Mail Delivery Agent MDA per la consegna nella casella di posta del destinatario che la prelever utilizzando un client email attraverso un server POP3 o IMAP 235 Servizi email 1 Postfix Postfix il Mail Transfer Agent MTA predefinito di Ubuntu Cerca di essere facile da amministrare e sicuro ed compatibile con l MTA sendmail Questa sezione espone come installare e configurare postfix e anche come configurare un server SMTP utilizzando un collegamento sicuro per l invio di email in sicurezza fy Questa guida non spiega come configurare Virtual Domains di Postfix Per informazioni sui Virtual Domains e altre configurazioni avanzate consultare Sezione 1 7 3 Riferimenti 242
384. roduct_blacklist Specifica un espressione regolare usata per inserire nella blacklist i dispositivi in base al prodotto hardware_handler Specifica un modulo che verr utilizzato per eseguire le azioni hardware specifiche quando si esegue lo smistamento dei gruppi di percorso o di gestione degli errori I O I possibili valori includono e 1 emc gestore hardware di array di archiviazione EMC e 1alua gestore hardware per array SCSI 3 ALUA e 1hp_sw gestore hardware per controller Compaq HP e 1rdac gestore hardware per controller LSI Engenio RDAC Oltre a ci possibile sovrascrivede i seguenti parametri in questa sezione device e path _grouping_ policy e getuid callout e path selector e path _checker 73 DM Multipath e caratteristiche e failback prio e prio args e no_path_retry e rr min io e rr weight e fast_io_fail_tmo e dev_loss_tmo flush_on_last_del bJ Whenever a hardware_handler is specified it is your responsibility to ensure that the appropriate kernel module is loaded to support the specified interface These modules can be found in lib modules uname r kernel drivers scsi device_handler The requisite module should be integrated into the initrd to ensure the necessary discovery and failover failback capacity is available during boot time Example echo scsi_dh_alua gt gt etc initramfs tools modules append module to file update initramfs u k all
385. rompt Continua e l aggiornamento dei pacchetti inizier La prima colonna delle informazioni mostrate nell elenco dei pacchetti nel riquadro superiore indica l attuale stato del pacchetto utilizzando le seguenti chiavi per descrivere lo stato del pacchetto e i pacchetto installato e c pacchetto non installato ma nel sistema rimasta traccia della configurazione del pacchetto e p rimosso completamente dal sistema e v pacchetto virtuale e B pacchetto non integro e u file decompressi ma pacchetto non ancora configurato e C configurato in parte La configurazione fallita e necessita di essere corretta H installato parzialmente La rimozione fallita e necessita di essere sistemata Per chiudere Aptitude sufficiente premere il tasto q e confermare l uscita Sono disponibili molte altre funzioni dal men di Aptitude premendo il tasto F10 4 1 Riga di comando Aptitude Aptitude pu anche essere utilizzato come strumento da riga di comando simile ad apt get Per installare il pacchetto nmap con tutte le necessarie dipendenze come nell esempio di apt get usare il seguente comando sudo aptitude install nmap Per rimuovere lo stesso pacchetto usare il comando sudo aptitude remove nmap Consultare le pagine man per ulteriori dettagli sulle opzioni della riga di comando di Aptitude 28 Gestione dei pacchetti 5 Aggiornamenti automatici Il pacchetto unattended upgrades pu essere usato
386. round robin In alcune configurazioni DM Multipath in grado di rilevare e bilanciare dinamicamente il carico sui percorsi di I O 1 3 Panoramica sull array di archiviazione Per impostazione predefinita DM Multipath include il supporto per gli array di archiviazione pi comuni che supportano DM Multipath I dispositivi supportati sono disponibili nel file multipath conf defaults Se l array di archiviazione supporta DM Multipath e non configurato per impostazione predefinita necessario aggiungerlo al file di configurazione di DM Multipath multipath conf Per informazioni sul file di configurazione di DM Multipath consultare la relativa Sezione Alcuni array di archiviazione richiedono una gestione speciale degli errori di I O e dello smistamento del percorso Questi processi necessitano di moduli del kernel gestore hardware separati 1 4 Componenti DM Multipath La tabella Componenti DM Multipath descrive i componenti del pacchetto DM Multipath 1 5 Panoramica sull impostazione di DM Multipath DM Multipath comprende impostazioni predefinite gi compilate che sono adatte a configurazioni comuni di multipath l impostazione di DM Multipath spesso semplice la procedura di base per configurare il sistema con DM Multipath la seguente 1 Installare i pacchetti multipath tools e multipath tools boot 2 Creare un file di configurazione vuoto etc multipath conf che ridefinisce il seguente 3 Se necessario mo
387. rp ssl cert etc ssl private ldap02_slapd_key pem 110 Autenticazione di rete sudo chmod gtr etc ssl private ldap02_slapd_key pem sudo chmod o r etc ssl private ldap02_slapd_key pem Creare il file etc ssl certinfo ldif con i seguenti contenuti modificarlo in base al proprio caso dn cn config add olcTLSCACertificateFile olcTLSCACertificateFile etc ssl certs cacert pem add olcTLSCertificateFile olcTLSCertificateFile etc ssl certs ldap02_slapd_cert pem add olcTLSCertificateKeyFile olcTLSCertificateKeyFile etc ssl private ldap02_slapd_key pem Configurare il database slapd config sudo ldapmodify Y EXTERNAL H ldapi f certinfo ldif Configurare etc default slapd come sul fornitore SLAPD_SERVICES Sul Consumatore Configurare TLS per la replicazione lato Consumatore modificare l attributo esistente olcSyncrepl aggiungendo alcune opzioni TLS Nel fare ci per la prima volta si esaminer la modifica del valore di uno o pi attributi Creare il file consumer_sync_t1ls 1ldif con i seguenti contenuti dn olcDatabase 1 hdb cn config replace olcSyncRepl olcSyncRepl rid 0 provider ldap ldap01 example com bindmethod simple binddn cn admin dc example dc com credentials secret searchbase dc example dc com logbase cn accesslog logfilter amp objectClass auditWriteObject reqResult 0 schemachecking on type refreshAndPersist retry 60 syncdata acc
388. rso il seguente comando sudo apt get install tomcat 6 admin La prima applicazione il cosiddetto manager a cui possibile accedere dall indirizzo http IL_PROPRIO_SERVER 8080 manager html principalmente usata per ottenere informazioni sul server e riavviare le applicazioni web bJ L accesso al manager protetto necessario definire un utente con il ruolo di manager nel file etc tomcat 6 tomcat users xml prima di potervi accedere La seconda applicazione l host manager a cui possibile accedere attraverso l indirizzo http IL_PROPRIO_SERVER 8080 host manager html possibile usarla per creare host virtuali dinamicamente fy Anche l accesso all applicazione host manager protetto necessario definire un utente con il ruolo di admin nel file etc tomcat 6 tomcat users xml prima di potervi accedere Per motivi di sicurezza l utente tomcat6 non pu scrivere nella directory etc tomcat6 e alcune di queste applicazioni di amministrazione produzione delle applicazioni creazione di host virtuali 203 Server web necessitano di accesso in scrittura in tale directory Per poter usare queste caratteristiche eseguire i seguenti comandi per dare agli utenti del gruppo tomcat6 i permessi necessari sudo chgrp R tomcat 6 etc tomcat6 sudo chmod R gtw etc tomcat 6 5 3 3 Applicazioni web di esempio Il pacchetto tomcat6 examples contiene due applicazioni web che possono essere
389. runk openstack compute 21 http docs openstack org diablo openstack compute starter content GlanceMS d2s21 html on http docs openstack org trunk openstack object storage admin content installing openstack object storage on ubuntu html 330 Virtualizzazione EBS Elastic Block Storage EC2 Elastic Compute Cloud Amazon s pay by the hour pay by the gigabyte public cloud computing offering Node A node is a physical machine that s capable of running virtual machines running a node controller Within Ubuntu this generally means that the CPU has VT extensions and can run the KVM hypervisor S3 Simple Storage Service Amazon s pay by the gigabyte persistent storage solution for EC2 Ubuntu Cloud Ubuntu Cloud Ubuntu s cloud computing solution based on OpenStack VM Virtual Machine VT Virtualization Technology An optional feature of some modern CPUs allowing for accelerated virtual machine hosting 331 Virtualizzazione 4 LXC I contenitori sono una tecnologia leggera di virtualizzazione sono pi simili a un chroot avanzato che a una virtualizzazione completa come Qemu o VMware in quanto non emulano le componenti hardware e condividono il medesimo sistema operativo dell host I contenitori possono pertanto essere pi propriamente comparati alle zone Solaris o alle jail BSD Linux vserver e OpenVZ sono due implementazioni pre esistenti sviluppate in maniera indipendente di funzionalit del tipo co
390. rverguide e ubuntu docs linee di sviluppo Bazaar disponibili su Launchpad i http creativecommons org licenses by sa 3 0 i https launchpad net ubuntu core doc 2 https launchpad net ubuntu server 4 https help ubuntu com community gt https code launchpad net serverguide 9 https code launchpad net ubuntu docs Indice l Introduzione sassi disa dle Wigan ve dees Uae eget peace spielen tee due ili 1 TA SUpportons auch ee A ae A a ee 2 2 Installazione a aeee noie ose dial Lenin 3 1 Preparazione dell installazione i siccitioiici e ie tei iagi ee a ia a eia 4 2 Installare da CD psi riadattata RSI 6 3 Avanzamento di versione 9 4 Installazione avanzata Ali Liana tae deen ria iii 10 5 Scaricamento del kernel in seguito a un crash Kernel Crash Dump 18 3 Gestione dell PACChetll s rtl cisti segs cd shcvageedestesecsbabaecelsvedecd slandecegsbecoscatehcoas le deesedalandeceasievaccasts 21 1 Introduzione lea iaia ian Meads ili 22 2r APKS pai ae SELL ALE SITA A Ai 23 3 AptGetiicra ul rea 25 Ae Aptitudes bici arditi lol desi aie banc E Li aiar 27 5 Aggiornamenti automatici snese ceci ieirerenzze nen ezine EEE Eaa tene tenere nare re aE 29 6 CONFSUFAZIONE scoren e i ei nate 31 Raferimenti Gialanella Laglio 33 4 Retta ei Oa e EVO Leni 34 l Configurare la rete niro nda dirai ia ari 35 2 TCP IP ovina dance ille a sdeabetacscarsaateadeecaceeet
391. rwm and to limit it to 300M of RAM lxc cgroup n CN memory limit_in bytes 300000000 Ixc netstat executes netstat in the running container giving you a glimpse of its network state Ixc backup will create backups of the root filesystems of all existing containers except lvm based ones using rsync to back the contents up under var lib 1xc CN rootfs backup 1 These backups can be restored using Ixc restore However lxc backup and Ixc restore are fragile with respect to customizations and therefore their use is not recommended 343 Virtualizzazione 4 3 8 Destroying containers Use Ixc destroy to destroy an existing container sudo lxc destroy n CN If the container is running lxc destroy will exit with a message informing you that you can force stopping and destroying the container with sudo lxc destroy n CN f 4 3 9 Advanced namespace usage One of the Linux kernel features used by LXC to create containers is private namespaces Namespaces allow a set of tasks to have private mappings of names to resources for things like pathnames and process IDs See Sezione 4 10 Risorse 353 for a link to more information Unlike control groups and other mount features which are also used to create containers namespaces cannot be manipulated using a filesystem interface Therefore LXC ships with the Ixc unshare program which is mainly for testing It provides the ability to create new tasks in private namespace
392. s Le modifiche effettuate mediante il comando ethtool sono temporanee e verranno perse dopo un riavvio Per conservare le impostazioni basta aggiungere l appropriato comando ethtool a un istruzione pre up nel file di configurazione delle interfacce etc network interfaces Ci che segue un esempio di come possibile configurare permanentemente l interfaccia identificata come eth0 con una velocit di porta di 1000Mb s in modalit full duplex auto eth0 iface eth0 inet static pre up sbin ethtool s eth0 speed 1000 duplex full Sebbene l esempio mostri un interfaccia configurata per utilizzare un metodo statico funziona anche con altri metodi come il DHCP L esempio vuole solo dimostrare la corretta posizione dell istruzione pre up in relazione alla rimanente parte della configurazione dell interfaccia 36 Rete 1 2 Indirizzamento IP La seguente sezione descrive il processo di configurazione dell indirizzo IP di sistema e del gateway predefinito necessari per le comunicazioni su una rete locale e Internet 1 2 1 Assegnazione temporanea di un indirizzo IP Per configurazioni di reti temporanee possibile utilizzare comandi standard come ip ifconfig e route che si trovano anche su molti altri sistemi operativi GNU Linux Questi comandi consentono di configurare impostazioni che hanno effetto immediatamente ma non sono persistenti e verranno perse dopo un riavvio Per configurare temporaneamente un
393. s For instance sudo lxc unshare s MOUNT PID bin bash creates a bash shell with private pid and mount namespaces In this shell you can do root ubuntu mount t proc proc proc root ubuntu ps ef UID PID PPID C STIME TTY TIME CMD root 1 O 6 10 20 pts 9 00 00 00 bin bash root 110 1 0 10 20 pts 9 00 00 00 ps ef so that ps shows only the tasks in your new namespace 4 3 10 Ephemeral containers Ephemeral containers are one time containers Given an existing container CN you can run a command in an ephemeral container created based on CN with the host s jdoe user bound into the container using 344 Virtualizzazione lxc start ephemeral b jdoe o CN home jdoe run_my_ job When the job is finished the container will be discarded 4 3 11 Container Commands Following is a table of all container commands Tabella 20 1 Container commands Command Synopsis lxc attach NOT SUPPORTED Run a command in a running container lxc backup Back up the root filesystems for all lIvm backed containers lxc cgroup View and set container control group settings lxc checkconfig Verify host support for containers lxc checkpoint NOT SUPPORTED Checkpoint a running container lxc clone Clone a new container from an existing one lxc console Open a console in a running container lxc create Create a new container lxc destroy Destroy an existing container
394. s sub Quindi eseguire il comando sudo ldapmodify Q Y EXTERNAL H ldapi f uid _ index ldif modifying entry olcDatabase 1 hdb cn config possibile confermare la modifica digitando sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn config olcDatabase 1 hdb olcDbIndex dn olcDatabase 1 hdb cn config olcDbIndex objectClass eq olcDbIndex uid eq pres sub Aggiungere uno schema necessario convertirlo nel formato LDIF E possibile trovare sia schemi non convertiti che convertiti nella directory etc laap schema bJ e Rimuovere uno schema dal database slapd config non un operazione di poco conto esercitarsi ad aggiungere schemi su un sistema di prova e Prima di aggiungere uno schema necessario controllare quali schemi sono stati gi installati quello visualizzato un output predefinito pronto per l uso 98 Autenticazione di rete sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn schema cn config dn dn cn schema cn config dn cn 0 core cn schema cn config dn cn 1 cosine cn schema cn config dn cn 2 nis cn schema cn config dn cn 3 inetorgperson cn schema cn config Nel seguente esempio verr aggiunto lo schema CORBA 1 Creare il file di configurazione della conversione schema_convert conf contenente le seguenti righe include etc ldap schema core schema include etc ldap schema collective schema include etc ldap schema corba
395. se in uso e olcUpdateRef nome host del server del fornitore o indirizzo IP e rid Replica ID un numero di tre cifre univoco che identifica la replica ogni consumatore dovrebbe avere almeno un rid 3 Aggiungere i nuovi contenuti sudo ldapadd Q Y EXTERNAL H ldapi f consumer _sync ldif Fatto i due database suffix dc example dc com dovrebbero sincronizzarsi 1 6 3 Test Una volta iniziata la replicazione possibile controllare il processo eseguendo ldapsearch z1 LLLOY EXTERNAL H ldapi s base contextCSN dn dc example dc com contextCSN 20120201193408 178454Z 000000 000 000000 sia sul fornitore che sul consumatore Quando l output 20120201193408 178454z 000000 000 000000 nel precedente esempio su entrambe le macchine corrisponde si ottenuta la replicazione Ogni volta che viene effettuata una modifica sul fornitore questo valore cambier e lo stesso dovrebbe accadere a quello dei consumatori 104 Autenticazione di rete Se la connessione lenta o il database Idap grande potrebbe occorrere del tempo prima che il contextCSN del consumatore corrisponda a quello del fornitore ma sar possibile controllare che il processo ancora in corso dal momento che il contextCSN del consumatore crescer costantemente Se il contextCSN del consumatore manca o non corrisponde a quello del fornitore necessario fermarsi e risolvere il problema prima di continuare Provare a controllare i file
396. service postfix restart 1 7 2 File di registro Postfix invia tutti i messaggi di registrazione in var log mail 1log I messaggi di errore e gli avvisi possono andar persi nell output della registrazione normale per questo vengono anche registrati in var log mail err var log mail warn rispettivamente Per visualizzare in tempo reale i messaggi che vengono registrati usare il comando tail f tail f var log mail err Il livello di dettaglio delle registrazioni pu essere incrementato Di seguito vengono riportate alcune opzioni di configurazione per aumentare i dettagli di registrazione in alcune delle aree descritte precedentemente e Per aumentare la registrazione delle attivit TLS impostare l opzione smtpd_tls_loglevel a un valore compreso tra 1 e 4 sudo postconf e smtpd tls_ loglevel 4 e Se si riscontrano problemi nell inviare o nel ricevere email da uno specifico dominio possibile aggiungere tale dominio al parametro debug_peer_list sudo postconf e debug peer list problem domain possibile incrementare il livello di registrazione di qualsiasi demone Postfix modificando il file etc postfix master cf e aggiungendo v subito dopo la voce Per esempio modificare la voce smtp smtp unix smtp v fy It is important to note that after making one of the logging changes above the Postfix process will need to be reloaded in order to recognize the new configuration sudo service postfix r
397. sica facendole apparire come normali host al resto della rete Per informazioni su come impostare un bridge consultare Sezione 1 4 Bridging 42 1 2 Installazione Per installare i pacchetti necessari da un terminale digitare sudo apt get install kvm libvirt bin Dopo aver installato libvirt bin l utente usato per la gestione delle macchine virtuali deve essere aggiunto al gruppo libvirtd In questo modo all utente garantito accesso alle configurazioni avanzate di rete In un terminale digitare sudo adduser USER libvirtd fe Se l utente scelto quello corrente necessario terminare la sessione e ri accedervi affinch le modifiche abbiano effetto E ora possibile installare un sistema operativo ospite La procedura di installazione di una macchina virtuale la stessa di un sistema operativo normale ed quindi necessario automatizzare la procedura oppure avere una tastiera e uno schermo collegati al computer 311 Virtualizzazione Nel caso delle macchine virtuali un interfaccia grafica analoga all uso di una tastiera e di un mouse Invece di installare un interfaccia grafica possibile usare virt viewer per connettersi alla console di una macchina virtuale via VNC Per maggiori informazioni consultare la Sezione 1 6 Visualizzatore di macchine virtuali 314 There are several ways to automate the Ubuntu installation process for example using preseeds kickstart etc Refer to the
398. so l utilit di compressione gzip e f usa un file archivio altrimenti il comando tar invia l output sullo STDOUT e ls lh dest istruzione opzionale che stampa un elenco lungo in un formato leggibile della directory di destinazione utile per controllare la dimensione dell archivo Questa verifica non dovrebbe sostituire la verifica dell archivio Questo un semplice esempio di un backup eseguito con uno script shell ed possibile aggiungere molte opzioni Per maggiori informazioni sugli script shell consultare la sezione Sezione 1 4 Riferimenti 300 1 2 Eseguire lo script 1 2 1 Esecuzione da terminale Il metodo pi facile per eseguire lo script di backup quello di copiare il contenuto dello script in un file backup sh per esempio ed eseguirlo in un terminale sudo bash backup sh E un ottimo modo per provare lo script e assicurarsi che funzioni correttamente 1 2 2 Esecuzione con cron L utilit cron pu essere usata per automatizzare l esecuzione dello script Il demone cron consente l esecuzione di script o comandi a un determinato orario e data L applicazione cron configurata attraverso delle voci in un file crontab file I file crontab sono separati in campi 298 Backup m h dom mon dow comando m minuto di esecuzione del comando tra 0 e 59 h ora di esecuzione del comando tra 0 e 23 e dom giorno del mese di esecuzione del comando e mon mese in cu
399. source documentation howto html security 9 http www packtpub com openvpn book 371 Capitolo 23 Altre utili applicazioni Esistono molte applicazioni sviluppate dallo Ubuntu Server Team e altre integrate all interno della Ubuntu Server Edition che non sono molto conosciute Questo capitolo presenta alcune di queste utili applicazioni che possono rendere l amministrazione di un server Ubuntu o di molti server pi facile 372 Altre utili applicazioni 1 pam_motd Quando si esegue l accesso con una versione server di Ubuntu possibile vedere dei messaggi giornalieri di informazioni MOTD Queste informazioni sono ricavate e visualizzate utilizzando diversi pacchetti landscape common fornisce le librerie principali di landscape client che pu essere utilizzato per la gestione di sistemi attraverso l interfaccia web di Landscape Il pacchetto comprende l utilit usr bin landscape sysinfo che pu essere usata per recuperare informazioni visualizzate attraverso il MOTD update notifier common usato per aggiornare automaticamente il MOTD per mezzo del modulo pam_motd pam_motd esegue gli script in etc update motd d con un ordine basato sul numero anteposto allo script L output degli script memorizzato in var run motd mantenendo l ordine numerico quindi concatenato con etc motd tail E possibile aggiungere delle informazioni dinamiche per il messaggio giornaliero Per esempio per aggiungere
400. srizo tizio ppi pi Cola lie pafel a bll done Lil ped ibid ipsa A a E a a aaia 232 15 Servizi emalli iaia balia alal iii 235 I Postiltc aaa iaia alla lalla agli 236 2 XM cela ee ie ahah senile leale ili ili iii 243 Zi DELVEL DOVECOT n accede REA A OLA 246 4 Manan aceccssevcoedsdercocsttsetacesturendtasapendesdenceceteledecdspareoeegsheeaeesdercecsteaetacdsharenetasapenseatertes 248 5 Filtr r le email si israeliana Oer bis bata ved ani 254 16 Applicazioni per conversazioni 000 261 I Panoramica ciali lalla Aa en la 262 De SCIVEPAR Ce senato anata ewe eae 263 3 Server di messaggistica istantanea Jabber 265 17 Sistemi per il controllo della versione eeeeeeeeeeeeeeeeeseeeeeeeeeeeeeeeeeeeeeeeeeeeeenes 267 iv Guida a Ubuntu Server Ly Baz anes ilo ail dla aiar 268 2 SUDVEESION nisi ALA IA A eee 269 Si DEIVEr CVS roi eriadan 274 A RATCPIMENU 5 eccosestebdecstavesh fseeedhicastyeplosteecoeshseeehedchldescastyeoidabebiocessbveded sstudbsoasteesbonteneas 276 18 Rett Windows miseret inida ena urli ica unica bia 277 1 Introduzione cla ala e 278 2 Server di file Samba ric pini elia 279 3 Server di stampa Samba iii a a elia 282 4 Sicurezza di un server di file e di stampa Samba eeeeeeeeeeeeeeeneneneneneneneeeeaeaees 284 5 Samba come controller di dominio eee cene cene ee eee 289 6 Integrare Samba con Active Directory
401. ssere fatto con initrd eseguendo il comando update initramfs u k all questo perch multipath conf viene copiato nel ramdisk ed parte integrante nella determinazione dei dispositivi disponibili per il raggruppamento tramite la sua blacklist e le sezioni device 5 3 Spostare i file system di swap da un dispositivo a percorso singolo a un dispositivo multipath La procedura esattamente la stessa di quella illustrata nella precedente sezione chiamata Spostare i ile system root da un dispositivo a percorso singolo a un dispositivo multipath Yy p P 8 p p 5 4 II demone di multipath In caso di problemi nell implementare una configurazione multipath necessario assicurarsi che il demone multipath sia in esecuzione come descritto in Impostare DM Multipath Per usare i dispositivi multipathd necessario che il demone multipathd sia in esecuzione Consultare anche la sezione 76 DM Multipath Risoluzione di problemi con la console interattiva multipathd relativa all interazione con multipathd come aiuto al debug 5 5 Problemi con queue_if no path Se features 1 queue_if_no_path stato specificato nel file etc multipath conf qualsiasi processo che emette I O si arrester fino a quando non verranno ripristinati uno o pi percorsi Per evitare questo problema impostare il parametro no_path_retry N in etc multipath conf Quando si imposta il parametro no_path_retry necessario rimuovere l opzione
402. ssibile installarli come una classica unica istanza globale che viene lanciata all avvio del sistema ed eseguita come utente senza privilegi tomcat6 ma anche possibile installare istanze private che vengono eseguite con i diritti del proprio utente e che possono essere avviate e fermate dall utente stesso Questa seconda modalit particolarmente utile nel contesto di un server di sviluppo nel quale pi utenti hanno bisogno di testare le proprie istanze private Tomcat 5 1 Installazione globale Per installare il server Tomcat digitare il seguente comando nel terminale sudo apt get install tomcat6 In questo modo verr installato il server Tomcat con un applicazione web predefinita che visualizza una semplice pagina It works 5 2 Configurazione I file di configurazione di Tomcat possono essere trovati in etc tomcate In questa sezione verranno spiegate solo alcune modifiche per maggiori informazioni consultare la documentazione di Tomcat 6 0 5 2 1 Modificare la porta predefinita Tomcat 6 0 esegue un connettore HTTP sulla porta 8080 e un connettore AJP sulla porta 8009 potrebbe essere utile modificare queste porte per evitare conflitti con altri server all interno del sistema Per fare questo basta modificare le seguenti righe nel file etc tomcat6 server xml lt Connector port 8080 protocol HTTP 1 1 connectionTimeout 20000 redirectPort 8443 gt lt Connector port 8009 protocol AUP
403. stem web_devel Assicurarsi di sostituire web_devel con il nome corretto della macchina virtuale Se configurato per usare un interfaccia di rete bridged anche possibile impostare accesso SSH alla macchina virtuale Per maggiori informazioni consultare Sezione 1 Server OpenSSH 82 e Sezione 1 4 Bridging 42 1 7 Risorse See the KVM home page for more details e Per maggiori informazioni su libvirt consultare il sito web di libvirt Il sito di Virtual Machine Manager dispone di ulteriori informazioni riguardo lo sviluppo di virt manager e anche possibile passare nel canale IRC ubuntu virt su freenode per discutere delle tecnologie di virtualizzazione in Ubuntu e Un altra ottima risorsa la documentazione online riguardo KVM For information on Xen including using Xen with libvirt please see the Ubuntu Wiki Xen page 7 http www linux kvm org 3 http libvirt org 4 http virt manager et redhat com gt http freenode net 6 https help ubuntu com community KVM 7 https help ubuntu com community Xen 315 Virtualizzazione 2 JeOS e vmbuilder 2 1 Introduzione 2 1 1 Cos JeOS Ubuntu JeOS pronunciato come la parola juice una variante di della versione server di Ubuntu configurata appositamente per le applicazioni virtuali Non disponibile sotto forma di file ISO per CD ROM ma solo come opzione e durante l installazione della versione s
404. stema di archiviazione esterno e Dato che la memoria RAM pi facile da allocare in una MV la dimensione della RAM dovrebbe essere impostata a un valore minimo sicuro per la propria applicazione 8 https help ubuntu com community K VM di http wiki ubuntu it org Ufficio EditorDiTesto powereditor 317 Virtualizzazione Il comando vmbuilder dispone di due parametri principali la tecnologia di virtualizzazione hypervisor e la distribuzione finale Sono disponibili molti altri parametri e tutti possono essere visualizzati con il seguente comando vmbuilder kvm ubuntu help 2 3 1 Parametri base As this example is based on KVM and Ubuntu 12 10 Quantal Quetzal and we are likely to rebuild the same virtual machine multiple time we ll invoke vmbuilder with the following first parameters sudo vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system Il parametro suite definisce il rilascio di Ubuntu flavour specifica di usare il kernel virtuale quello usato per generare un immagine JeOS arch indica di usare un computer a 32 bit o indica a vmbuilder di sovrascrivere la versione precedente della macchina virtuale e libvirt aggiunge la macchina virtuale risultante tra quelle disponibili nell ambiente di virtualizzazione Note e Data la natura delle operazioni eseguite da vmbuilder sono necessari i privilegi di root e Se la macchina virtuale necessita di usare
405. stgroup_name mysql servers service description MySQL check_command check_mysql_cmdlinecred nagios secret SHOSTADDRESS use generic service notification_interval 0 set gt 0 if you want to be renotified necessario definire un gruppo di host mysgl servers modificare il file etc nagios3 conf d hostgroups_nagios2 cfg aggiungendovi MySQL hostgroup define hostgroup hostgroup_name mysql servers alias MySQL servers members localhost server02 Il controllo di Nagios necessita di autenticarsi con MySQL Per aggiungere un utente nagios a MySQL inserire mysql u root p e create user nagios identified by secret necessario aggiungere l utente nagios a tutti gli host del gruppo mysql servers Riavviare nagios per iniziare il controllo dei server MySQL sudo service nagios3 restart Infine configurare NRPE affinch controlli lo spazio su disco su server02 Sul server01 aggiungere il controllo del servizio al file etc nagios3 conf d server02 cfg NRPE disk check define service use generic servic host_name server02 service_description nrpe disk 183 Monitoraggio check_command check_nrpe_larg check_all_disks 172 18 100 101 2 Su server02 modificare il file etc nagios nrpe cfg allowed_hosts 172 18 100 100 E nella sezione dove sono definiti i comandi aggiungere command check_all_disks usr lib nagios plugins check_ disk w 20 c 10 e 3 Infine riavviare nagios nr
406. stione utenti L amministrazione degli utenti una parte critica per il mantenimento di un sistema sicuro Utenti poco esperti con privilegi di amministrazione spesso sono la causa della compromissione di sistemi Pertanto importante capire come proteggere il proprio server tramite delle semplici ed efficaci tecniche di gestione degli account utente 1 1 Dove l utente root Gli sviluppatori di Ubuntu hanno deciso di disattivare in modo predefinito l account di amministrazione root in tutte le installazioni di Ubuntu Questo non significa che l account root sia stato eliminato o che non sia pi accessibile stata impostata una password che non corrisponde ad alcun possibile valore codificato pertanto l accesso come root non direttamente possibile Gli utenti sono incoraggiati a utilizzare lo strumento sudo per svolgere i compiti di amministrazione di sistema Lo strumento sudo permette a un utente autorizzato di elevare temporaneamente i propri privilegi usando la propria password invece di dover conoscere direttamente la password di root Questo semplice ma efficace metodo cerca di fornire responsabilit per tutte le azioni degli utenti e d all amministratore un controllo granulare sulle azioni che un utente pu eseguire con tali privilegi e Se per qualche ragione necessario abilitare l account root basta assegnargli semplicemente una password fe Configurations with root passwords are not supported su
407. sts example com sudo postconf e transport_maps hash etc postfix transport sudo postconf e mailman destination recipient_limit l Controllare che in etc postfix master cf sia presente quanto segue mailman unix n n pipe flags FR user list argv usr lib mailman bin postfix to mailman py 249 Servizi email S nexthop user Invoca lo script postfix to mailman py quando viene ricevuta una mail in una lista Associare il dominio lists example com a Mailman con la mappa dei metodi transport Modificare il file etc postfix transport lists example com mailman Ora necessario far generare a Postfix la mappa transport digitando in un terminale sudo postmap v etc postfix transport Riavviare Postfix per abilitare le nuove configurazioni sudo service postfix restart 4 2 3 Exim4 Una volta installato Exim4 possibile avviare il server Exim digitando in un terminale il seguente comando sudo service exim4 start Affinch mailman funzioni con Exim4 necessario configurare Exim4 Come gi spiegato Exim4 utilizza molteplici file di configurazione di diverse tipologia per maggiori informazioni fare riferimento al sito web di Exim Per poter eseguire mailman necessario aggiungere un nuovo file di configurazione alle seguenti tipologie di configurazione e Main e Transport e Router Exim quindi crea un file di configurazione principale ordinando tutti i file di configura
408. su tutti i nodi che usano il dispositivo multipath Allo stesso modo se viene impostata l opzione alias per un dispositivo nella sezione multipaths del file di configurazione multipath conf il nome non sar automaticamente coerente attraverso tutti i nodi del cluster Ci non dovrebbe causare alcun problema se si utilizza LVM durante la creazione dei dispositivi logici dal dispositivo multipath ma se necessario avere nomi uniformi del dispositivo multipath in ogni nodo del cluster occorre lasciare l opzione user_friendly_names impostata su no e non configurare alias per i dispositivi Per impostazione predefinita se non si imposta user_friendly_names su yes o non si configura un 56 DM Multipath alias per il dispositivo il nome del dispositivo sar il suo WWID che sar sempre lo stesso Tuttavia se necessario che i nomi descrittivi assegnati dal sistema siano coerenti attraverso tutti i nodi nel cluster occorre seguire la seguente procedura 1 Impostare tutti i dispositivi multipath su una sola macchina 2 Disabilitare tutti i dispositivi multipath sulle altre macchine eseguendo i seguenti comandi service multipath tools stop multipath F 3 Copiare il file etc multipath bindings dalla prima macchina in tutte le altre macchine del cluster 4 Abilitare nuovamente il demone multipathd su tutte le altre macchine del cluster con il seguente comando service multipath tools start Se viene aggiunt
409. sul computer che si intende usare Per maggiori informazioni consultare e Sezione l libvirt 311 e La pagina relativa a KVM nella documentazione in inglese Si d per assodato che si sappia utilizzare un editor di testo come nano oppure vi In caso contrario possibile avere una panoramica dei vari editor di testo consultando la documentazione di Ubuntu Questa guida stata scritta basandosi su KVM ma il principio dovrebbe essere lo stesso anche per altre tecnologie di virtualizzazione 2 2 1 Installare vmbuilder Il nome del pacchetto da installare python vm builder In un terminale digitare sudo apt get install python vm builder ft Se si sta eseguendo la versione 8 04 sempre possibile eseguire queste azioni usando la versione del pacchetto chiamata ubuntu vm builder ci sono solo alcune modifiche nella sintassi da usare con il programma 2 3 Definire una macchina virtuale Definire una macchina virtuale con vmbuilder molto facile ma necessario prendere in considerazione alcuni aspetti e Se si pianifica di fornire applicativi virtuali non assumere che l utente finale sappia come estendere la dimensione del disco secondo le proprie esigenze Prendere quindi in considerazione l utilizzo di dischi virtuali di grandi dimensioni per consentire agli applicativi di crescere o spiegare nella documentazione come allocare maggiore spazio Potrebbe essere una buona idea salvare i dati in un si
410. t di indirizzamento collegati alla configurazione dell interfaccia di rete La pi evidente differenza per l utente consiste nel fatto che ogni modifica manuale effettuata in etc resolv conf verr persa e sovrascritta ogni volta che viene attivato resolvconf Invece resolvconf utilizza indirizzatori client DHCP e etc network interfaces per generare un elenco di server dei nomi e di domini da collocare in etc resolv conf che ora un collegamento simbolico etc resolv conf gt run resolvconf resolv conf Per configurare il resolver aggiungere gli indirizzi IP dei server dei nomi appropriati per la propria rete nel file etc network interfaces E possibile anche aggiungere un elenco di ricerca di suffissi DNS opzionale per far corrispondere i nomi di dominio della propria rete Per ciascuna ulteriore valida opzione di configurazione di resolv conf possibile includere nella sezione una riga che inizia con il nome dell opzione con un prefisso dns Il file risultante dovrebbe essere simile al seguente iface eth0 inet static address 192 168 3 3 netmask 255 255 255 0 gateway 192 168 3 1 dns search example com dns nameservers 192 168 3 45 192 168 8 10 L opzione search pu anche essere usata con nomi di domini multipli cos che le query DNS vengano accodate secondo l ordine di immissione Per esempio la rete pu avere un campo di ricerca in pi sotto domini un dominio superiore example com e due sotto domini sales examp
411. t pools of resources to be allocated on demand These resources such as storage computing power network and software are abstracted and delivered as a service over the Internet anywhere anytime These services are billed per time consumed similar to the ones used by public services such as electricity water and telephony Ubuntu Cloud Infrastructure uses OpenStack open source software to help build highly scalable cloud computing for both public and private clouds 3 1 Panoramica This tutorial covers the OpenStack installation from the Ubuntu 12 10 Server Edition CD and assumes a basic network topology with a single system serving as the all in one cloud infrastructure Due to the tutorial s simplicity the instructions as is are not intended to set up production servers although it allows you to have a POC proof of concept of the Ubuntu Cloud using OpenStack 3 2 Prerequisiti To deploy a minimal Ubuntu Cloud infrastructure you ll need at least e One dedicated system e Two network address ranges private network and public network e Make sure the host in question supports VT Virtualization Technology since we will be using KVM as the virtualization technology Other hypervisors are also supported such as QEMU UML Vmware ESX ESXi and XEN LXC Linux Containers is also supported through libvirt Check if your system supports kvm issuing sudo kvm ok in a linux terminal The Minimum Topology recommended for
412. ta informazioni di ecryptfs relative a un file 6 4 Riferimenti e Per ulteriori informazioni su eCryptfs consultare la pagina di Launchpad di e In Linux Journal c un articolo su eCrypifs e Also for more ecryptfs options see the ecryptfs man page La pagina della documentazione della comunit su eCryptfs contiene ulteriori dettagli 16 https launchpad net ecryptfs hy http www linuxjournal com article 9400 18 http manpages ubuntu com manpages quantal en man7 ecryptfs 7 html 13 https help ubuntu com community eCryptfs 178 Capitolo 10 Monitoraggio 179 Monitoraggio 1 Panoramica Il monitoraggio di server e servizi essenziali un aspetto importante dell amministrazione di sistema La maggior parte dei servizi di rete vengono monitorati per controllarne prestazioni disponibilit oppure entrambi Questa sezione descrive l installazione e la configurazione di Nagios per il monitoraggio mirato alla disponibilit dei servizi e di Munin per il monitoraggio delle prestazioni Gli esempi in questa sezione utilizzano due server con nome host server0 e server02 Il server chiamato server0 viene configurato con Nagios per monitorare i servizi sul server stesso e su server02 Inoltre viene configurato anche munin per raccogliere informazioni dalla rete Utilizzando il pacchetto munin node server02 viene configurato per inviare informazioni a server01 Questi semplici esempi dovrebbero permett
413. take a few minutes Send problem report to the developers i https launchpad net 2 https help launchpad net Y ourAccount NewAccount 381 Appendice After the problem report has been sent please fill out the form in the automatically opened web browser What would you like to do Your options are S Send report 1 7 KiB V View report K Keep report file for sending later or copying to somewhere else Ci Cancel Please choose S V K C Le opzioni disponibili sono e Send Report selezionando questa opzione le informazioni raccolte vengono inviate a Launchpad come facenti parte del processo di segnalazione di un bug Si ha l opportunit di descrivere la situazione che ha condotto al verificarsi del bug xxx Uploading problem information The collected information is being sent to the bug tracking system This might take a few minutes 915 xxx To continue you must visit the following URL https bugs launchpad net ubuntu source postgresql 8 4 filebug kc6eSnTLnLxF 8u0t 3e56EukFeqJ You can launch a browser now or copy this URL into a browser on another computer Choices 1 Launch a browser now C Cancel Please choose 1 C Se si sceglie di avviare un browser per impostazione predefinita verra utilizzato il browser web testuale w3m per completare la segnalazione del bug In alternativa possibile copiare l indirizzo URL in un browser web in esecuzione e View Report selezio
414. tante file di configurazione etc phpmyadmin apache conf un collegamento simbolico al file etc apache2 conf d phpmyadmin conf usato per configurare Apache2 affinch 220 Applicazioni LAMP visualizzi phpMyAdmin Nel file sono presenti le direttive per il caricamento di PHP i permessi per la directory ecc Per maggiori informazioni sulla configurazione di Apache2 consultare Sezione 1 HTTPD Server web Apache2 188 4 3 Riferimenti e La documentazione di phpMyAdmin installata automaticamente con il pacchetto ed possibile accedervi dal collegamento phpMyAdmin Documentation un punto di domanda al di sotto del logo di phpMyAdmin La documentazione ufficiale pu anche essere visualizzata direttamente dal sito di phpMyAdmin Inoltre il libro Mastering phpMyAdmin un ottima fonte per reperire ulteriori informazioni e Una terza risorsa la pagina della documentazione della comunit su phpMyAdmin i http www phpmyadmin net home_page docs php 8 http www packtpub com phpmyadmin 3rd edition book i https help ubuntu com community phpMyAdmin 221 Capitolo 14 Server di file Se si dispone di pi di un computer su una singola rete a un certo punto potrebbe essere necessario condividere dei file tra questi computer In questa sezione viene spiegato come installare e configurare servizi come FTP NFS e CUPS 222 Server di file 1 Server FTP File Transfer Protocol FTP
415. tarli al contesto una buona idea attribuire a una condivisione lo stesso nome di una directory del file system un altro esempio potrebbe essere una condivisione chiamata qa con un percorso srv samba qa 2 3 Risorse Per delle configurazioni pi dettagliate riguardo Samba consultare Samba HOWTO Collection La guida disponibile anche in formato cartaceo e Il libro Using Samba di O Reilly un altra buona lettura La pagina su Samba della documentazione 4 http samba org samba docs man Samba HOWTO Collection 3 http www amazon com exec obidos tg detail 0131882228 6 http www oreilly com catalog 9780596007690 https help ubuntu com community Samba 281 Reti Windows 3 Server di stampa Samba Un altra configurazione molto comune di Samba come condivisione di stampanti installate localmente o in remoto su un server Ubuntu Come Sezione 2 Server di file Samba 279 questa sezione spiega come configurare Samba affinch qualsiasi client sulla rete locale possa utilizzare le stampanti installate senza la necessit di fornire nome utente o password Per una configurazione pi sicura consultare Sezione 4 Sicurezza di un server di file e di stampa Samba 284 3 1 Installazione Prima di installare e configurare Samba utile prima di tutto avere un installazione funzionante di CUPS Per maggiori informazioni consultare Sezione 4 CUPS Server di stampa 232
416. tato in una SAN Storage Area Network per consentire al server di accedere a una grande riserva di spazio su disco fisso Il protocollo iSCSI fa riferimento ai client come iniziatori e ai server iSCSI come target Ubuntu Server pu essere configurato sia come iniziatore che come target iSCSI questa guida fornisce i comandi e le opzioni di configurazione per impostare un iniziatore iSCSI Si presume che sia gi presente un target iSCSI sulla rete locale e che si abbiano i diritti appropriati per connettersi Le istruzioni per impostare un target variano grandemente tra i fornitori di hardware e si consiglia di consultare la documentazione del fornitore per configurare uno specifico target iSCSI 3 1 Installazione dell iniziatore iSCSI Per configurare Ubuntu Server come iniziatore iSCSI installare il pacchetto open iscsi digitando in un terminale sudo apt get install open iscsi 3 2 Configurazione dell iniziatore iSCSI Una volta installato il pacchetto open iscsi modificare etc iscsi iscsid conf come segue node startup automatic possibile controllare quali target sono disponibili usando l utilit iscsiadm digitando in un terminale sudo iscsiadm m discovery t st p 192 168 0 10 e m determina la modalit di esecuzione di iscsiadm e t specifica il tipo di discovery e l opzione p definisce l indirizzo IP del target fy Modificare il valore d esempio 92 68 0 10 nell indirizzo IP del target della
417. tenere col server Samba 4 2 Livello di sicurezza utente Questa sezione spiega come riconfigurare i server di file e di stampa Samba come spiegato in Sezione 2 Server di file Samba 279 e Sezione 3 Server di stampa Samba 282 affinch richieda l autenticazione Per prima cosa installare il pacchetto libpam smbpass che consente di sincronizzare gli utenti di sistema col database degli utenti di Samba sudo apt get install libpam smbpass ba Se stato scelto il task Server Samba durante l installazione il pacchetto libpam smbpass gi installato Aprire il file etc samba smb conf e nella sezione share modificare 13 http samba org samba docs man Samba HOWTO Collection ServerType html id349531 284 Reti Windows guest ok no Riavviare Samba affinch le nuove impostazioni abbiano effetto sudo restart smbd sudo restart nmbd Ora collegandosi alle directory o alle stampanti condivise verranno richiesti il nome utente e la password fy Se si sceglie di mappare un drive di rete alla condivisione selezionare la casella di spunta Reconnect at Logon affinch sia possibile inserire nome utente e password solo una volta almeno finch la password non viene cambiata 4 3 Livello di sicurezza condivisione Ci sono diverse opzioni disponibili per aumentare la sicurezza di ogni singola directory condivisa Facendo uso dell esempio share questa sezione illustra alcune di queste o
418. tenti e gruppi LDAP zentyal software semplice interfaccia per gestire i moduli installati di Zentyal e gli aggiornamenti del sistema zentyal trafficshaping configura le regole del traffico per limitare la larghezza di banda e migliorare la latenza zentyal usercorner consente agli utenti di modificare i propri attributi LDAP usando un browser web zentyal virt semplice interfaccia per creare e gestire macchine virtuali basate su libvirt zentyal webmail consente di accedere alla propria posta usando il popolare servizio di webmail Roundcube zentyal webserver configura il server web Apache per ospitare diversi siti sulla propria macchina zentyal zarafa integra la suite di software condiviso Zarafa con lo stack per posta elettronica Zentyal e LDAP 3 2 Primi passi A ciascun account di sistema appartenente al gruppo sudo consentito l accesso all interfaccia web Zentyal Se si usa l utente creato durante l installazione questo appartiene al gruppo sudo per impostazione predefinita Se necessario aggiungere un altro utente al gruppo sudo basta eseguire sudo adduser NOME UTENTE sudo 90 Amministrazione remota Per accedere all interfaccia web Zentyal navigare in https localhost o l IP del proprio server remoto Zentyal crea e firma il proprio certificato SSL pertanto necessario accettare un eccezione di sicurezza sul proprio browser Una volta eseguito l accesso verr
419. terminale sudo apt get install php5 cgi Per usare MySQL con PHPS necessario installare il pacchetto php5 mysgql Per installare php5 mysql eseguire il seguente comando al prompt del terminale sudo apt get install php5 mysql Allo stesso modo per usare PostgreSQL con PHPS necessario installare il pacchetto php5 pgsql Per installare php5 pgsql eseguire il seguente comando al prompt del terminale sudo apt get install php5 pgsql 2 2 Configurazione Una volta installato PHPS possibile eseguire gli script di PHP5 dal browser web Se il pacchetto phpS cli installato possibile eseguire gli script PHPS dal prompt dei comandi 196 Server web Il server web Apache2 configurato in modo predefinito per eseguire gli script di PHPS In altre parole il modulo PHPS quando viene installato viene abilitato automaticamente nel server web Apache2 Verificare che i file etc apache2 mods enabled php5 conf e etc apache2 mods enabled php5 load esistano Se non dovessero esistere possibile abilitare il modulo usando il comando a2enmod Una volta installati i pacchetti correlati a PHPS e abilitato il modulo PHPS di Apache 2 necessario riavviare Apache2 per eseguire script PHPS possibile eseguire il seguente comando nel terminale per riavviare il server web sudo service apache2 restart 2 3 Test Per verificare l installazione possibile eseguire la funzione phpinfo di PHP5 come segue lt
420. tfsrc contenente le opzioni di mount e un file salvato su una chiave USB contenente la passphrase Creare il file root ecrypt fsre contenente key passphrase passphrase_passwd_file mnt usb passwd_file txt ecryptfs_sig 5826dd62cf81c615 ecryptfs_cipher aes ecryptfs_key_bytes 16 177 Sicurezza ecryptfs_passthrough n ecryptfs_enable_filename_crypto n fa Modificare il campo ecryptfs_sig con la firma presente in root ecrypt fs sig cache txt Creare il file mnt usb passwd_file txt per la passphrase passphrase _passwd secrets Aggiungere quanto necessario in etc fstab dev sdbl mnt usb ext 3 ro 0 0 srv srv ecryptfs defaults 0 0 Assicurarsi che il dispositivo USB venga montato prima della partizione cifrata Infine riavviare il computer e srv dovrebbe essere montata tramite eCryptfs 6 3 Altre utilit Il pacchetto ecryptfs utils contiene diverse utilit e ecryptfs setup private crea una directory Private per contenere informazioni cifrate Questa utilit pu essere eseguita da utenti senza alcun tipo di privilegio all interno del sistema per creare una piccola zona privata dove salvare dati e ecryptfs mount private e ecryptfs umount private monta e smonta la directory Private degli utenti e ecryptfs add passphrase aggiunge una nuova passphrase al portachiavi e ecryptfs manager gestisce gli oggetti eCryptfs come le chiavi e ecryptfs stat consente di visualizzare le me
421. ti non pu scaricare e installare automaticamente i pacchetti e le loro dipendenze Questa sezione spiega come usare dpkg per la gestione locale di pacchetti installati e Per elencare tutti i pacchetti installati nel sistema da un terminale digitare dpkg 1 e In base a quanti pacchetto sono installati nel sistema questo comando pu generare molto output comunque possibile passare l output attraverso una pipe all applicazione grep per vedere se un particolare pacchetto installato o meno dpkg 1 grep apache2 Sostituire apache2 con il nome di un qualsiasi altro pacchetto parte del nome o qualsiasi altra espressione regolare e Per elencare i file installati da un pacchetto in questo caso ufw digitare dpkg L ufw e Se non si sicuri di quale pacchetto abbia installato un file usare il comando dpkg S Per esempio dpkg S etc host conf base files etc host conf L output mostra che etc host conf appartiene al pacchetto base files Molti file sono generati automaticamente durante il processo di installazione del pacchetto e bench siano nel file system il comando dpkg S potrebbe non sapere a quale pacchetto appartengono e Per installare un file deb locale digitare sudo dpkg i zip_3 0 4_i386 deb Modificare zip_3 0 4_i386 deb con il nome del file deb da installare e Per disinstallare un pacchetto sudo dpkg r zip Q Disinstallare i pacchetti usando dpkg nella maggior parte dei casi
422. tipath crea un dispositivo singolo con un unico WWID che instrada I I O ai sottostanti quattro dispositivi in base alla configurazione di multipath Quando l opzione di configurazione user_friendly_names impostata su yes il nome del dispositivo multipath viene impostato su mpathn Quando DM Multipath controlla nuovi dispositivi essi potrebbero essere visti in due luoghi diversi sotto le directory dev mapper mpathn e dev dm n e I dispositivi in dev mapper sono creati precocemente durante il processo di avvio possono essere usati per accedere ai dispositivi sui quali stato eseguito multipath per esempio durante la creazione dei volumi logici e Ogni dispositivo nel formato dev dm n sar per un uso solo interno e non deve essere mai usato Per informazioni sulla configurazione predefinita di multipath compresa l opzione di configurazione user_friendly_names consultare la Sezione Impostazioni predefinite del file di configurazione anche possibile scegliere un diverso nome per un dispositivo utilizzando l opzione alias nella sezione multipaths del file di configurazione di multipath Per informazioni su tale sezione consultare Attributi per la configurazione del dispositivo multipath 2 2 Nomi coerenti del dispositivo multipath in un cluster Quando l opzione di configurazione user_friendly_names impostata su yes il nome del dispositivo multipath risulta essere unico per il nodo ma non garantito che sia lo stesso
423. tivamente chiaro e l interfaccia utente rende le operazioni comuni semplici da eseguire Di seguito vengono presentati alcuni esempi di funzioni comuni della gestione dei pacchetti con Aptitude e Installare pacchetti per installare un pacchetto localizzare il pacchetto attraverso la categoria di pacchetto Pacchetti non installati usando i tasti freccia sulla tastiera e il tasto Invio in modo da evidenziare il pacchetto da installare Premere quindi il tasto la voce relativa al pacchetto assume una colorazione verde per indicare che stato contrassegnato per l installazione Premere quindi il tasto g per ricapitolare le operazioni su pacchetti Premendo nuovamente g viene richiesto di acquisire i privilegi di amministrazione per completare l installazione Premere quindi Invio per mostrare un prompt Password Inserire la propria password utente per diventare root Infine premendo g ancora una volta viene richiesto se scaricare il pacchetto Premere Invio al prompt Continua viene avviato lo scaricamento e l installazione del pacchetto e Rimuovere pacchetti per rimuovere un pacchetto localizzare il pacchetto attraverso la categoria di pacchetto Pacchetti installati usando i tasti freccia sulla tastiera e il tasto Invio in modo da evidenziare il pacchetto da rimuovere Premere quindi il tasto la voce relativa al pacchetto assume una colorazione rosa per indicare che stato contrassegnato per la rimozione Premere quindi i
424. tivo SCSI stato disabilitato fy Quando un dispositivo multipath stato creato o modificato lo stato del gruppo del percorso il nome dm del dispositivo i permessi di scrittura e lo stato dm non sono conosciuti In aggiunta le caratteristiche non sono sempre corrette 5 7 Interrogazioni multipath con il comando multipath possibile utilizzare le opzioni l e Il del comando multipath per visualizzare la configurazione corrente di multipath L opzione l visualizza la topologia di multipath in base alle informazioni in sysfs e del device mapper L opzione ll visualizza le informazioni mostrate da l insieme ad altri componenti disponibili del sistema Durante la visualizzazione della configurazione di multipath possibile specificare con l opzione v tre livelli di prolissit del comando multipath Specificando v0 non verr riprodotto alcun output specificando v1 verranno visualizzati solo i nomi multipath creati o modificati utilizzabili per altri strumenti come per esempio kpartx specificando v2 verranno visualizzati tutti i percorsi rilevati i multipath e le mappe del dispositivo fa Il livello di prolissit di multipath 2 ed possibile modificarlo globalmente definendo la verbosity attribute nella sezione defaults di multipath conf Il seguente esempio mostra l output di un comando multipath l multipath 1 3600d0230000000000e13955cc3757800 dm 1 WINSYS SF2372 size 269G features 0 hwhandler 0
425. to fatto usando la direttiva password Per esempio la risorsa password di Storage nel file etc bacula bacula dir conf deve corrispondere alla risorsa password di Director nel file etc bacula bacula sd conf In modo predefinito il lavoro di backup chiamato Client configurato per archiviare il Catalog di Bacula Se si intende usare il server per eseguire il backup di pi di un client necessario modificare il nome del lavoro con qualche cosa di pi descrittivo Per fare questo modificare il file etc bacula bacula dir conf Define the main nightly save backup job By default this job will back up to disk in Job Name BackupServer JobDefs DefaultJob Write Bootstrap var lib bacula Clientl bsr fy L esempio precedente modifica il nome del lavoro in BackupServer in corrispondenza del nome host del computer Sostituire BackupServer con il nome host appropriato o un altro nome descrittivo Console pu essere usato per interrogare Director riguardo i lavori ma per poter usare Console con un utente non root l utente deve essere nel gruppo bacula Per aggiungere un utente al gruppo bacula in un terminale digitare sudo adduser NOME UTENTE bacula fy Sostituire NOME_UTENTE con il vero nome utente Inoltre se si sta aggiungendo l utente corrente al gruppo necessario terminare la sessione e rientrarvi affinch le modifiche abbiano effetto 3 4 Backup locale Questa sezione
426. to dev console and dev ttyN This allows the package updates to succeed at the risk of making future gettys on those consoles fail until the next reboot This problem will be ideally solved with device namespaces The Ixc hook options specify programs to run at various points in a container s life cycle See Sezione 4 3 4 Lifecycle management hooks 341 for more information on these hooks To have multiple hooks called at any point list them in multiple entries The possible values whose precise meanings are described in Sezione 4 3 4 Lifecycle management hooks 341 are e Ixc hook pre start e lxc hook pre mount e Ixc hook mount e Ixc hook start e Ixc hook post stop The Ixc include option specifies another configuration file to be loaded This allows common configuration sections to be defined once and included by several containers simplifying updates of the common section The Ixc seccomp option introduced with Ubuntu 12 10 specifies a file containing a seccomp policy to load See Sezione 4 9 Sicurezza 352 for more information on seccomp in lxc 4 5 Updates in Ubuntu containers Because of some limitations which are placed on containers package upgrades at times can fail For instance a package install or upgrade might fail if it is not allowed to create or open a block device This often blocks all future upgrades until the issue is resolved In some cases you can work around this by chroot
427. to mm gg aaaa o nel formato aaaa mm gg l et minima della password m a 5 giorni l et massima M a 90 giorni il periodo di inattivit I a 5 giorni dopo la scadenza della password e un avvertimento W di 14 giorni prima della scadenza delle password sudo chage E 01 31 2011 m 5 M 90 I 30 W 14 NOME UTENTE e Per verificare le modifiche utilizzare lo stesso comando di prima sudo chage 1 NOME UTENTE Il seguente output mostra i cambiamenti effettuati sull account Ultimo cambio della password gen 20 2008 Scadenza della password apr 19 2008 Inattivit della password mag 19 2008 Scadenza dell account gen 31 2008 Numero minimo di giorni tra i cambi di password 5 Numero massimo di giorni tra i cambi di password 90 Giorni di preavviso prima della scadenza della password 14 1 5 Ulteriori considerazioni sulla sicurezza Molte applicazioni usano meccanismi di autenticazione alternativi che possono essere facilmente trascurati anche da esperti amministratori di sistema Pertanto importante comprendere e controllare come avviene l autenticazione degli utenti e come accedono ai servizi e alle applicazioni sul proprio server 1 5 1 Accesso SSH per gli utenti disabilitati Disattivando o bloccando l account di un utente non impedisce che quest ultimo riesca a effettuare l accesso al server se precedentemente utilizzava una chiave pubblica RSA saranno ancora in grado di ottenere l accesso al
428. to utilizzando un argomento per il kernel possibile avviare il sistema in un array degraded utilizzando anche un argomento per il kernel e Durante l avvio del computer premere Maiusc per aprire il men Grub e Premere e per modificare le opzioni di comando del kernel e Premere il tasto freccia gi per evidenziare il kernel e Aggiungere bootdegraded true alla fine della riga e Premere Ctrl x per avviare il sistema Una volta avviato il sistema possibile riparare l array consultare Sezione 4 1 5 Manutenzione RAID 12 o copiare i dati importanti in un altro computer 4 1 5 Manutenzione RAID L utilit mdadm pu essere usata per visualizzare lo stato dell array aggiungere un disco all array rimuovere dischi ecc e Per visualizzare lo stato di un array da un terminale digitare 12 Installazione sudo mdadm D dev md0 L opzione D indica a mdadm di stampare informazioni dettagliate riguardo il device dev mao Sostituire dev ma0 con il device RAID appropriato e Per visualizzare lo stato di un disco in un array sudo mdadm E dev sdal L output molto simile al comando mdadm D regolare aev sdal per ogni disco e Se un disco si rompe e deve essere rimosso da un array sudo mdadm remove dev md0 dev sdal Modificare dev md0 e dev sda1 con il device e il disco RAID appropriati e Per aggiungere un nuovo disco sudo mdadm add dev md0 dev sdal Qualche volta pu
429. tori che per gli utenti utilizzando un server mail esterno per inviare e ricevere le email e si integra perfettamente con i seguenti server mail e Postfix e Exim e Sendmail e Qmail Viene descritto come installare Mailman il server web Apache e il server mail Postfix o Exim Per installare Mailman con un server mail diverso fare riferimento alla sezione Riferimenti necessario installare solamente un server mail e Postfix il Mail Transfer Agent predefinito di Ubuntu 4 1 1 Apache2 Per i dettagli relativi all installazione di Apache2 consultare Sezione 1 1 Installazione 188 4 1 2 Postfix Per le istruzioni su come installare e configurare Postfix consultare Sezione 1 Postfix 236 4 1 3 Exim4 Per installare Exim4 consultare Sezione 2 Exim4 243 Una volta installato exim4 i file di configurazione sono salvati nella directory etc exim4 In Ubuntu per impostazione predefinita i file di configurazione di exim4 sono divisi tra vari file ma possibile cambiare questo comportamento modificando la seguente variabile nel file etc exim4 update exim4 conf dc_use_split_config true 4 1 4 Mailman Per installare Mailman in un terminale digitare il seguente comando hi http lists ubuntu com 248 Servizi email sudo apt get install mailman Questo copia i file di installazione nella directory var lib mailman gli script CGI nella directory usr lib cgi bin mailman crea l utent
430. tributi variano 6 Infine usare ldapadd per aggiungere il nuovo schema al DIT di slapd config sudo ldapadd Q Y EXTERNAL H ldapi f cn corba ldif adding new entry cn corba cn schema cn config 7 Confermare gli schemi attualmente caricati sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn schema cn config dn dn cn schema cn config dn cn 0 core cn schema cn config dn cn 1 cosine cn schema cn config dn cn 2 nis cn schema cn config dn cn 3 inetorgperson cn schema cn config dn cn 4 corba cn schema cn config fy Affinch le applicazioni esterne e i client possano autenticarsi usando LDAP necessario che siano configurati a tal fine consultare la documentazione relativa ai client per ulteriori dettagli 1 5 Registrazione L attivit di registrazione in slapd indispensabile per l implementazione di una soluzione basata su OpenLDAP ma deve essere abilitata manualmente dopo l installazione del software altrimenti 100 Autenticazione di rete nei registri sarebbero visualizzati solo dei messaggi rudimentali La registrazione come ogni altra configurazione slapd abilitata tramite database slapd config OpenLDAP dotato di sottosistemi di registrazione multipli livelli ognuno dei quali contiene quello di livello inferiore additivo un buon livello da provare stats La pagina del manuale di slapd config contiene maggiori particolari sui diversi sottosistemi Crea
431. tro con IPv6 de commentare net ipv6 conf default forwarding 1 e Ora verranno aggiunte delle regole al file etc ufw before rules Le regole predefinite configurano solamente la tabella filter e per abilitare il masquerading necessario configurare la tabella nat Aggiungere all inizio del file subito dopo i commenti dell intestazione quanto segue regole tabella nat nat POSTROUTING ACCEPT 0 0 164 Sicurezza Inoltro traffico da ethl attraverso eth0 A POSTROUTING s 192 168 0 0 24 o eth0 j MASQUERADE non cancellare la riga COMMIT o queste tabelle di regole non saranno elaborate COMMIT I commenti non sono necessari ma buona pratica documentare le proprie configurazioni Inoltre quando si modificano i file rules in etc ufw assicurarsi che queste righe siano sempre le ultime in ogni tabella modificata non eliminare la riga COMMIT o queste tabelle di regole non saranno elaborate COMMIT Per ogni tabella necessario un COMMIT In questi esempi sono mostrate solamente le tabelle nat e filter ma possibile aggiungere regole per le tabelle raw e mangle Nell esempio precedente sostituire eth0 ethI e 192 168 0 0 24 con le interfacce appropriate e con l intervallo di indirizzi corretto e Infine disattivare e riattivare ufw per applicare le modifiche sudo ufw disable amp amp sudo ufw enable L IP masquerading ora dovrebbe essere abilitato possibile aggiungere regole FORWARD
432. troduzione Il kernel Linux include il sottosistema Netfilter usato per manipolare o decidere la sorte del traffico di rete diretto all interno o attraverso un server Tutte le moderne soluzioni firewall per Linux si basano su questo sistema di filtraggio dei pacchetti Il sistema di filtraggio dei pacchetti del kernel non di grande utilit per gli amministratori senza un interfaccia nello spazio utente per gestirlo Questo il compito di iptables Quando un pacchetto raggiunge il proprio server esso gestito affidato al sottosistema Netfilter per l accettazione la manipolazione oppure il rifiuto secondo quanto stabilito da regole fornite al sottosistema dallo spazio utente attraverso iptables Quindi iptables tutto ci che necessario per gestire il proprio firewall a patto che si abbia la dimestichezza necessaria sono comunque disponibili molte altre applicazioni per semplificare tale attivit 3 2 ufw Firewall non complicato L applicazione predefinita in Ubuntu per la configurazione di un firewall ufw Sviluppato per semplificare la configurazione di iptables ufw offre un modo semplice per creare un firewall basato su protocolli IPv4 e IPv6 ufw in modo predefinito inizialmente disabilitato Dal manuale di ufw si legge ufw is not intended to provide complete firewall functionality via its command interface but instead provides an easy way to add or remove simple rules It is currently mainly used for
433. tto munin node sudo apt get install munin node 3 2 Configurazione Su server01 modificare il file etc munin munin conf aggiungendo l indirizzo IP di server02 First our normal host server02 address 172 18 100 101 J Sostituire server02 e 172 168 100 101 con il nome host e con l indirizzo IP del proprio server Successivamente configurare munin node su server02 Modificare il file etc munin munin node conf per consentire l accesso al server01 allow 172 18 100 100 bJ Sostituire 772 18 100 100 con l indirizzo IP del proprio server munin Riavviare munin node su server02 per applicare le modifiche sudo service munin node restart Infine in un browser inserire l indirizzo http server0l munin per visualizzare grafici che rappresentano le informazioni dal pacchetto munin plugins standard per disco rete processi e sistema fi Poich una nuova installazione potrebbe impiegare un po di tempo affinch i grafici visualizzino qualche cosa di utile 185 Monitoraggio 3 3 Plugin aggiuntivi Il pacchetto munin plugins extra contiene controlli per le prestazioni e per servizi come DNS DHCP Samba e altri Per installare il pacchetto in un terminale inserire sudo apt get install munin plugins extra Assicurarsi di installare il pacchetto sia sul server che su tutti i nodi 3 4 Riferimenti e Per maggiori informazioni consultare il sito web di Munin e In particolare
434. ttraverso l utilizzo di mailing list canali IRC forum blog wiki e altro L enorme quantit di informazioni disponibili pu sembrare schiacciante ma una valida interrogazione con un motore di ricerca pu spesso fornire una risposta ai propri dubbi Per maggiori informazioni consultare la pagina Ubuntu Support 3 http www canonical com services support di http www ubuntu com support Capitolo 2 Installazione This chapter provides a quick overview of installing Ubuntu 12 10 Server Edition For more detailed instructions please refer to the Ubuntu Installation Guide i https help ubuntu com 12 10 installation guide Installazione 1 Preparazione dell installazione Questa sezione spiega i diversi aspetti da considerare prima di avviare l installazione 1 1 Requisiti di sistema Ubuntu 12 10 Server Edition supports three 3 major architectures Intel x86 AMD64 and ARM The table below lists recommended hardware specifications Depending on your needs you might manage with less than this However most users risk being frustrated if they ignore these suggestions Tabella 2 1 Requisiti minimi raccomandati Spazio disco fisso Tipo di CPU RAM Sistema di base Installazione installazione completa Server Standard 1 gigahertz 512 megabytes 1 gigabyte 1 75 gigabytes Server Minimal 300 megahertz 256 megabytes 700 megabytes 1 4 gigabytes La Server Edition for
435. ty user 3 Nella sezione Domains togliere il commento o aggiungere quanto segue domain logons yes domain master no 4 Assicurarsi che un utente abbia i permessi di lettura sui file in var lib samba Per esempio per consentire agli utenti del gruppo admin di eseguire scp sui file digitare sudo chgrp R admin var lib samba 5 Sincronizzare gli account utente usando scp per copiare la directory var lib samba dal PDC sudo scp r NOME _UTENTE PDC var lib samba var lib Sostituire NOME UTENTE con un nome utente valido e PDC con il nome host o l indirizzo IP del controller di dominio primario 6 Riavviare samba sudo restart smbd sudo restart nmbd E possibile verificare se il controller di dominio di backup funzionante fermando il demone Samba sul PDC e quindi cercando di eseguire l accesso su un client Windows all interno del dominio utile ricordare anche che se stata configurata l opzione logon home come directory sul PDC e quest ultimo non pi disponibile anche l accesso al drive home degli utenti non lo sar Per questo motivo utile configurare logon home affinch sia posizionato in un server di file separato da PDC e BDC 5 3 Risorse e Per delle configurazioni pi dettagliate riguardo Samba consultare Samba HOWTO Collection La guida disponibile anche in formato cartaceo Il libro Using Samba di O Reilly un altra buona lettura Il capitolo 4 della Samba HOWT
436. u People dc example dc com replace gecos gecos Mario Rossi L utente gecos dovrebbe ora essere Mario Rossi e Un utile caratteristica di ldapscripts il sistema dei modelli I modelli consentono di personalizzare gli attributi di un utente gruppo e degli oggetti macchina Per esempio per abilitare il modello user aprire il file etc ldapscripts ldapscripts conf modificando UTEMPLATE etc ldapscripts ldapadduser template Diversi esempi sono disponibili nella directory etc 1dapscripts Copiare o rinominare il file ldapadduser template sample in etc ldapscripts ldapadduser template sudo cp usr share doc ldapscripts examples ldapadduser template sample etc ldapscripts ldapad Modificare il nuovo modello per aggiungere gli attributi desiderati in questo esempio viene creato un nuovo utente con una objectClass di inetOrgPerson dn uid lt user gt lt usuffix gt lt suffix gt objectClass inetOrgPerson objectClass posixAccount cn lt user gt sn lt ask gt uid lt user gt uidNumber lt uid gt gidNumber lt gid gt homeDirectory lt home gt loginShell lt shell gt gecos lt user gt description User account title Employee Notare l opzione lt ask gt utilizzata per l attributo sn in questo modo Idapadduser chieder di inserire il suo valore Nel pacchetto sono presenti utilit non illustrate in questo documento Ecco un elenco completo ldaprenamemachine 2 http ma
437. uale In questa sezione viene indicato come configurare drbd per replicare tra due host una partizione srv separata con file system ext3 La dimensione della partizione non rilevante ma entrambe le partizioni devono avere la stessa dimensione 1 1 Configurazione I due host in questo esempio sono chiamati drbd01 e drbd02 ed necessario configurarne la risoluzione del nome attraverso DNS o con il file etc hosts Per maggiori informazioni consultare Capitolo 8 DNS Domain Name Service 140 e Per configurare drbd sul primo host modificare il file etc arbd conf global usage count no common syncer rate 100M resource r0 protocol C startup wfc timeout 15 degr wfc timeout 60 net cram hmac alg shal shared secret secret on drbd0ol device dev drbd0 disk dev sdbl address 192 168 0 1 7788 meta disk internal on drbd02 device dev drbd0 disk dev sdbl 356 Cluster address 192 168 0 2 7788 meta disk internal fe All interno del file etc drbd conf sono disponibili molte opzioni ma per questo esempio i valori predefinito sono sufficienti e Copiare il file etc arba conf sul secondo host scp etc drbd conf drbd02 e Sull host drbd02 spostare il file in etc sudo mv drbd conf etc e Utilizzando l utilit drbdadm inizializzare l archivio dei meta dati Su ogni singolo server eseguire il seguente comando sudo drbdadm create md r0
438. ualizzare le modifiche per assicurarsi che tutto sia corretto In tal caso eseguire nuovamente lo script senza l opzione e in alternativa possibile utilizzare il file LDIF per importare i dati normalmente La directory LDAP ora ha le informazioni necessarie per autenticare gli utenti Samba 2 3 Configurare Samba Sono disponibili diversi metodi per configurare Samba per maggiori informazioni consultare Capitolo 18 Reti Windows 277 Per configurare Samba all uso di LDAP modificare il suo file di configurazione etc samba smb conf commentando il parametro predefinito passdb backend e aggiungendo alcuni parametri riferiti a LDAP passdb backend tdbsam LDAP Settings passdb backend ldapsam ldap hostname ldap suffix dc example dc com ldap user suffix ou People ldap group suffix ou Groups ldap machine suffix ou Computers ldap idmap suffix ou Idmap ldap admin dn cn admin dc example dc com ldap ssl start tls ldap passwd sync yes o su add machine script sudo usr sbin smbldap useradd t 0 w Modificare i valori in modo che rispecchino il proprio ambiente di lavoro Riavviare samba per abilitare le nuove impostazioni sudo restart smbd sudo restart nmbd 122 Autenticazione di rete Samba ora necessita di conoscere la password di amministrazione di LDAP quella impostata durante l installazione del pacchetto slapd sudo smbpasswd w PASSWORD Se sono g
439. udo ldapadduser mario example Viene creato un utente con UID mario e imposta il gruppo primario GID dell utente a example e Cambiare la password di un utente sudo ldapsetpasswd mario Changing password for user uid mario ou People dc example dc com New Password New Password verify e Eliminare un utente sudo ldapdeleteuser mario e Aggiungere un gruppo sudo ldapaddgroup qa e Eliminare un gruppo sudo ldapdeletegroup qa e Aggiungere un utente a un gruppo sudo ldapaddusertogroup george qa Dovrebbe essere possibile visualizzare un attributo memberUid per il gruppo qa con un valore di mario e Rimuovere un utente da un gruppo sudo ldapdeleteuserfromgroup george qa L attributo memberUid dovrebbe ora essere rimosso dal gruppo qa e Lo script ldapmodifyuser consente di aggiungere rimuovere o replicare gli attributi di un utente Lo script utilizza la stessa sintassi dell utilit ldapmodify Per esempio sudo ldapmodifyuser george About to modify the following entry dn uid george ou People dc example dc com objectClass account objectClass posixAccount cn george uid george uidNumber 1001 gidNumber 1001 114 Autenticazione di rete homeDirectory home george loginShell bin bash gecos george description User account userPassword elNTSEF9eXFsTFcyWlhwWkF 1leGUybVdFWHZKRZIVMjJFTSG9IVCHk Enter your modifications here end with CTRL D dn uid george o
440. uesta directory 5 4 3 Configurare un istanza privata I file di configurazione di Tomcat per un istanza privata sono disponibili nella sottodirectory conf E necessario modificare per esempio il file conf server xml per modificare le porte predefinite 204 Server web usate dall istanza privata di Tomcat per evitare conflitti con altre istanze che potrebbero essere in esecuzione 5 4 4 Avviare e fermare un istanza privata E possibile avviare un istanza privata utilizzando il seguente comando si presuppone che l istanza sia posizionata nella directory mia istanza mia istanza bin startup sh ft Controllare la sottodirectory 10gs per la presenza di errori Se si nota un errore del tipo java net BindException Address already in use lt null gt 8080 significa che la porta in uso gi utilizzata ed necessario modificarla Per fermare un istanza usare il seguente comando si presuppone che l istanza sia posizionata nella directory mia istanza mia istanza bin shutdown sh 5 5 Riferimenti e Per ulteriori informazioni consultare il sito web di Apache Tomcat Il libro Tomcat The Definitive Guide un ottima risorsa per creare siti web con Tomcat Per ulteriori libri consultare la pagina Tomcat Books e Consultare anche la documentazione online della comunit di Apache Tomcat al http tomcat apache org 22 http oreilly com catalog 9780596003180 23 http wiki apache org
441. uire il seguente comando al prompt sudo apt get install python moinmoin necessario installare anche il server web apache2 Per installare apache 2 consultare la sottosezione Sezione 1 1 Installazione 188 della sezione Sezione 1 HTTPD Server web Apache2 188 2 2 Configurazione Per configurare per la prima volta un wiki chiamato per esempio mywiki eseguire i seguenti comandi cd usr share moin sudo mkdir mywiki sudo cp R data mywiki sudo cp R underlay mywiki sudo cp server moin cgi mywiki sudo chown R www data www data mywiki sudo chmod R ug trwX mywiki sudo chmod R o rwx mywiki E ora necessario configurare MoinMoin affinch identifichi il nuovo wiki mywiki Per configurare MoinMoin aprire il file etc moin mywiki py e modificare la riga data_dir org mywiki data in data_dir usr share moin mywiki data Inoltre al di sotto dell opzione data_dir aggiungere data_underlay_dir data_underlay_dir usr share moin mywiki underlay fa Se il file etc moin mywiki py non esiste necessario copiare il file usr share moin config wikifarm mywiki py nel file etc moin mywiki py ed eseguire la modifica descritta precedentemente Se il nome del wiki my_wiki_name necessario inserire nel file etc moin y farmconfig py questa riga my_wiki_name r subito dopo la riga mywiki r 216 Applicazioni LAMP Una volta configurato MoinMoin per trova
442. ultare exim org e anche disponibile un libro su Exim4 e Un altra risorsa la pagina della documentazione della comunit su Exim4 9 http www exim org 19 http www uit co uk content exim smtp mail server si https help ubuntu com community Exim4 245 Servizi email 3 Server Dovecot Dovecot un Mail Delivery Agent progettato per garantire la sicurezza Supporta la maggior parte dei formati di caselle di posta mbox o maildir Questa sezione espone come configurarlo come server imap o pop3 3 1 Installazione Per installare dovecot in un terminale digitare sudo apt get install dovecot imapd dovecot pop3d 3 2 Configurazione Per configurare dovecot possibile modificare il file etc dovecot dovecot conf possibile scegliere il protocollo da usare che pu essere pop3 pop3s pop3 sicuro imap and imaps imap sicuro Una descrizione di questi protocolli va oltre lo scopo di questa guida Per maggiori informazioni fare riferimento agli articoli su Wikipedia relativi a POP3 e IMAP IMAPS e POP3S sono pi sicuri dei semplici IMAP e POP3 poich utilizzano la cifratura SSL per connettersi Una volta scelto il protocollo modificare la seguente riga nel file etc dovecot dovecot conf protocols pop3 pop3s imap imaps Quindi scegliere la mailbox che si desidera usare Dovecot supporta i formati maildir e mbox che sono i formati di mailbox pi comunemente usati Entramb
443. ultipath tools examples echo show config multipathd k 75 DM Multipath 5 Amministrazione e risoluzione di problemi di DM Multipath 5 1 Ridimensionare un dispositivo multipath online Per ridimensionare un dispositivo multipath online usare la seguente procedura 1 Ridimensionare il dispositivo fisico questo specifico per una piattaforma di archiviazione 2 Usare il seguente comando per trovare i percorsi del LUN multipath 1 3 Ridimensionare i percorsi per i dispositivi SCSI l inserimento di 1 nel file rescan per il dispositivo causa una nuova scansione da parte del driver SCSI come nel seguente comando echo 1 gt sys block device_name device rescan 4 Ridimensionare il dispositivo multipath eseguendo il comando multipathd resize multipathd k resize map mpatha 5 Ridimensionare il file system assumendo che non siano usate partizioni LVM o DOS resize2fs dev mapper mpatha 5 2 Spostare 1 file system root da un dispositivo a percorso singolo a un dispositivo multipath Ci drasticamente semplificato dall utilizzo degli UUID per identificare i dispositivi come un etichetta intrinseca basta installare multipath tools boot e riavviare Questo ricostruisce il ramdisk iniziale e consente a multipath l opportunit di costurire i propri percorsi prima che il file system root sia montato dall UUID bJ Ogni qualvolta multipath conf viene aggiornato lo stesso deve e
444. un file di testo vmbuilder partition contenente quanto segue root 8000 swap 4000 319 Virtualizzazione var 20000 bJ Notare che vengono usate immagini disco virtuali le dimensioni inserite sono le dimensioni massime dei volumi Il comando diventa quindi sudo vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system ip 192 168 0 100 hostname myvm part vmbuilder partition fa L uso di all interno di un comando consente di scrivere comandi su pi righe 2 3 2 3 Utente e password E necessario anche impostare un utente e una password predefiniti e generici da poter includere nella documentazione Successivamente verr presentato uno script che viene eseguito al primo accesso di un utente che tra le molte cose chieder di modificare la password In questo esempio viene usato come nome utente user e default come password Per fare questo vengono usati i seguenti parametri e user NOME_UTENTE imposta il nome utente da aggiungere Valore predefinito ubuntu e name NOME_COMPLETO imposta il nome completo dell utente da aggiungere Valore predefinito Ubuntu e pass PASSWORD imposta la password dell utente Valore predefinito ubuntu Il comando ora il seguente sudo vmbuilder kvm ubuntu suite quantal flavour virtual arch i386 o libvirt qemu system ip 192 168 0 100 hostname myvm part vmbuilder partition user user name user pass def
445. una partizione cifrata e anche di far s che lo script proceda a cifrare i file mentre vengono creati L ideale sarebbe effettuare entrambe queste operazioni ma questo dipende dai requisiti di sicurezza richiesti Ora si tratta solo di creare uno script cron per eseguire questo programma con la periodicit ritenuta necessaria nella maggior parte dei casi sufficiente una volta al giorno ma potrebbe essere necessaria una frequenza maggiore Ecco un esempio di script cron chiamato etc cron d ldapbackup che viene eseguito ogni notte alle ore 22 45 MAILTO backup emails domain com 45 22 root usr local bin ldapbackup Ora che 1 file sono stati creati necessario copiarli in un server di backup Se ldap stato reinstallato recentemente il processo di ripristino dovrebbe essere simile al seguente sudo service slapd stop sudo mkdir var lib ldap accesslog sudo slapadd F etc ldap slapd d n 0 1 export backup config ldif sudo slapadd F etc ldap slapd d n 1 1 export backup domain com ldif sudo slapadd F etc ldap slapd d n 2 1 export backup access ldif sudo chown R openldap openldap etc ldap slapd d sudo chown R openldap openldap var lib ldap sudo service slapd start 1 13 Risorse e La principale risorsa nella documentazione upstream www openldap org e Ci sono molte pagine del manuale che trattano il pacchetto slapd eccone alcune importanti specialmente considerando il materiale present
446. urare le applicazioni appropriate affinch usino il certificato 5 2 Generare una CSR Certificate Signing Request Sia che si stia ottenendo un certificato da una CA sia che si auto firmi il proprio il primo passo consiste nel generare una chiave di cifratura Se il certificato verr usato da servizi come Apache Postfix Dovect ecc solitamente indicato usare una chiave priva di passphrase Questa sezione indica come generare una chiave dotata di passphrase e una priva di passphrase La chiave priva di passphrase verr impiegata per generare un certificato che pu essere usato da diversi servizi Avere in esecuzione i servizi senza una passphrase conveniente poich non vi la Q necessit di digitare la passphrase a ogni avvio del servizio ma non molto sicuro in quanto se la chiave viene compromessa verr compromesso anche il server Per generare le chiavi per la CSR Certificate Signing Request eseguire in un terminale il seguente comando openssl genrsa des3 out server key 2048 Generating RSA private key 2048 bit long modulus PE E EE ae 4 TETEE Tert tea e is 65537 0x10001 Enter pass phrase for server key E ora necessario inserire una passphrase Per una maggiore sicurezza dovrebbe contenere almeno 8 caratteri La lunghezza minima con l opzione des3 di 4 caratteri Dovrebbe includere numeri o segni di punteggiatura e non dovrebbe essere una parola reperibile in
447. urazione del protocollo TCP IP composta da vari elementi che debbono essere impostati modificando gli appropriati file di configurazione oppure adottando soluzioni quali un server DHCP Dynamic Host Configuration Protocol tale server provvede ad assegnare automaticamente le corrette impostazioni di configurazione TCP IP ai client della rete Questi valori di configurazione debbono essere impostati correttamente per consentire al sistema Ubuntu di operare adeguatamente in rete I tipici elementi di configurazione di TCP IP e i loro scopi sono i seguenti e Indirizzo IP l indirizzo IP una stringa d identificazione unica espressa da quattro numeri decimali compresi tra zero 0 e duecentocinquantacinque 255 separati da punti ciascuno dei quattro numeri rappresenta otto 8 bit dell indirizzo per una lunghezza totale di trentadue 32 bit per l indirizzo completo Questo formato detto notazione decimale a punti e Maschera di rete la maschera di rete o semplicemente netmask una maschera locale di bit ovvero un insieme di indicatori che separano la porzione di un indirizzo IP che indica la rete dai bit che indicano la sotto rete Ad esempio in una rete di classe C la maschera di rete standard 255 255 255 0 che serve a mascherare i primi tre byte dell indirizzo IP consentendo all ultimo byte dell indirizzo IP di essere disponibile per specificare gli host della sotto rete e Indirizzo di rete l indirizzo di rete dato d
448. usate per verificare o dimostrare le Servlet o le caratteristiche di JSP e sono accessibile dall indirizzo http IL_PROPRIO_SERVER 8080 examples Per installarle usare il seguente comando sudo apt get install tomcat 6 examples 5 4 Usare istanze private Tomcat spesso usato in ambienti di sviluppo e di test dove usare una singola istanza all interno del sistema non risulta molto utile ai molteplici utenti che sfruttano il sistema I pacchetti di Tomcat 6 0 sono dotati di strumenti che facilitano la creazione di istanze dedicate a ogni singolo utente consentendo all interno del sistema di eseguire senza i privilegi di root istanze private e separate usando per sempre le librerie di sistema bJ possibile eseguire le istanze globali e private in parallelo basta solo che non usino le stesse porte TCP 5 4 1 Installare il supporto alle istanze private E possibile installare tutto il necessario per eseguire istanze private attraverso il seguente comando sudo apt get install tomcat6 user 5 4 2 Creare un istanza privata E possibile creare un istanza privata attraverso il seguente comando tomcat6 instance create mia istanza In questo modo verr creata una nuova directory mia istanza con tutte le sottodirectory e gli script necessari Sar poi possibile installare le librerie comuni nella sottodirectory 1ib e sviluppare le proprie applicazioni in webapps Non vi alcuna applicazione predefinita in q
449. utput n0 H ldap cn 14 samba cn schema cn config Modificare il file generato cn samba 1dif eliminando le informazioni dell indice per arrivare a dn cn samba cn schema cn config cn samba Eliminare le righe in fondo structuralObjectClass olcSchemaConfig entryUUID b53b75ca 083f 102d 9fff 2f 64fd123c95 creatorsName cn config createTimestamp 20080827045234Z entryCSN 20080827045234 341425Z2 000000 000 000000 modifiersName cn config modifyTimestamp 20080827045234Z I valori degli attributi variano Aggiungere il nuovo schema 120 Autenticazione di rete sudo ldapadd Q Y EXTERNAL H ldapi f cn samba ldif Per interrogare e visualizzare questo nuovo schema sudo ldapsearch Q LLL Y EXTERNAL H ldapi b cn schema cn config cn samba 2 2 2 Indici Samba Ora che slapd conosce gli attributi Samba possibile impostare alcuni indici basati su di essi Indicizzare le voci un modo per migliorare le prestazioni quando un client esegue una ricerca condizionata sul DIT Creare il file samba_indices ldif contenente quanto segue dn olcDatabase 1 hdb cn config changetype modify add olcDbIndex olcDbIndex uidNumber eq olcDbIndex gidNumber eq olcDbIndex loginShell eq olcDbIndex uid eq pres sub olcDbIndex memberUid eq pres sub olcDbIndex uniqueMember eq pres olcDbIndex sambaSID eq olcDbIndex sambaPrimaryGroupSID eq olcDbIndex sambaGroupType eq ol
450. vata nella documentazione online 6 http httpd apache org docs 2 2 7 http www modssl org docs 8 http oreilly com catalog 9780596001919 3 http freenode net 19 https help ubuntu com community ApacheMySQLPHP 195 Server web 2 PHPS Linguaggio di scripting PHP un linguaggio di script universale pensato per lo sviluppo web Uno script PHP pu essere inserito direttamente nel codice HTML Questa sezione spiega come installare e configurare PHPS in sistemi Ubuntu con Apache2 e MySQL Questa sessione da per scontato che Apache2 e il server MySQL siano installati e configurati Per maggiori informazioni sull installazione e sulla configurazione dei due server consultare la rispettiva documentazione presenti in questo documento 2 1 Installazione PHPS disponibile in Ubuntu a differenza di python e perl che sono installati nel sistema di base PHP deve essere aggiunto e Per installare PHPS possibile digitare in un terminale quanto segue sudo apt get install php5 libapache2 mod php5 possibile eseguire script di PHPS dalla riga di comando installando il pacchetto php5 cli Per installare php5 cli sufficiente eseguire il seguente comando al prompt del terminale sudo apt get install php5 cli possibile inoltre eseguire gli script di PHPS senza installare il modulo PHPS di Apache Per fare ci sufficiente installare il pacchetto php5 cgi digitando il seguente comando al prompt del
451. w transfer 192 168 1 11 i zone 1 168 192 in addr arpa type master file etc bind db 192 allow transfer 192 168 1 11 i fy Sostituire 192 68 1 11 con l indirizzo IP del server di nomi secondario Riavviare BIND9 nel server primario sudo service bind9 restart Quindi in quello secondario Secondary Master installare il pacchetto bind9 come fatto per il server primario quindi modificare il file etc bind named conf local e aggiungere le seguenti dichiarazioni per le zone Forward e Reverse 145 DNS Domain Name Service zone example com type slave file db example com masters 192 168 1 10 zone 1 168 192 in addr arpa type slave file db 192 masters 192 168 1 10 fe Sostituire 192 68 10 con l indirizzo IP del server dei nomi primario Riavviare BIND9 nel server secondario sudo service bind9 restart In var log syslog dovrebbe essere visualizzato qualcosa del genere alcune righe sono state divise per adattarle al formato di questo documento client 192 168 1 10 39448 received notify for zone 1 168 192 in addr arpa zone 1 168 192 in addr arpa IN Transfer started transfer of 100 18 172 in addr arpa IN from 192 168 1 10 53 connected using 192 168 1 11 37531 zone 1 168 192 in addr arpa IN transferred serial 5 transfer of 100 18 172 in addr arpa IN from 192 168 1 10 53 Transfer completed 1 messages 6 records 212 bytes 0 0
452. xample dc com amministratore rootDN di questo DIT impostato durante l installazione del pacchetto 1 3 Modificare e popolare il database Introdurre contenuti nel database verra aggiunto quanto segue e un nodo chiamato People per memorizzare utenti e un nodo chiamato Groups per memorizzare gruppi e un gruppo chiamato miners e un utente chiamato john Creare il seguente file LDIF e chiamarlo add_content 1dif dn ou People dc example dc com 96 Autenticazione di rete objectClass organizationalUnit ou People dn ou Groups dc example dc com objectClass organizationalUnit ou Groups dn cn miners ou Groups dc example dc com objectClass posixGroup cn miners gidNumber 5000 dn uid john cu People dc example dc com objectClass objectClass objectClass uid john sn Doe givenName cn John Do displayName uidNumber gidNumber inetOrgPerson posixAccount shadowAccount John e John Doe 10000 5000 userPassword johnldap gecos John Doe loginShell homeDirecto bin bash ry home john bJ importante che i valori per uid e gid nella directory non siano in conflitto con i valori locali Usare intervalli di numeri elevati per esempio iniziando da 5000 l impostazione in ldap di valori elevati per uid e gid rende pi semplice il controllo di cosa si pu fare con un utente locale rispetto a un utente ldap come verr meglio
453. xceptions del file di configurazione necessario specificare le eccezioni nello stesso modo in cui sono state specificate all interno della blacklist Per esempio una eccezione WWID non sar applicata ai dispositivi specificati con una voce della blacklist devnode anche se il dispositivo in blacklist associato con quel WWID Allo stesso modo le eccezioni devnode sono applicate solo alle voci devnode e le eccezioni device sono applicate solo alle voci device 4 3 Impostazioni predefinite del file di configurazione Il file di configurazione etc multipath conf comprende una sezione defaults che imposta il parametro user_friendly_names su yes nel modo seguente defaults user_friendly_names yes Ci sovrascrive il valore predefinito del parametro user_friendly_names Il file di configurazione include un modello delle impostazioni predefinite della configurazione Questa sezione decommentata nel modo seguente defaults udev_dir dev polling_interval 5 selector round robin 0 path_grouping_policy failover getuid_callout lib dev scsi_id whitelisted device dev n prio const path_checker directio rr_min_io 1000 rr_weight uniform failback manual no_path_retry fail user_friendly_names no 66 DM Multipath Per sovrascrivere il valore predefinito per qualsiasi parametro di configurazione possibile copiare la riga rilevante da questo modello all interno della sezione defaults decom
454. ython policyd spf abilita il controllo Sender Policy Framework SPF con Postfix Il processo di elaborazione il seguente e Un messaggio email viene accettato da Postfix e Il messaggio elaborato dai filtri esterni in questo caso opendkim e python policyd spf e Amavisd new quindi elabora il messaggio e ClamAV analizza il messaggio Se contiene un virus Postfix rifiuta il messaggio e I messaggi puliti vengono poi analizzati da Spamassassin per verificare che non sia indesiderato Spamassassin aggiunge quindi una riga X Header per consentire ad Amavisd new di analizzare ulteriormente il messaggio Per esempio se un messaggio ha un punteggio spam di oltre 50 questo pu essere scartato automaticamente senza nemmeno farlo arrivare al ricevente Un altro metodo per gestire i messaggi con una segnalazione quello di lasciarli arrivare al Mail User Agent MUA consentendo all utente di gestirli come meglio crede 5 1 Installazione Per maggiori informazioni sull installazione e la configurazione di Postfix consultare Sezione Postfix 236 Per installare le restanti applicazioni in un terminale digitare 254 Servizi email sudo apt get install amavisd new spamassassin clamav daemon sudo apt get install opendkim postfix policyd spf python Esistono dei pacchetti opzionali che si integrano con Spamassassin per rilevare pi efficientemente la posta indesiderata sudo apt get install pyzor razor Oltre
455. ziona il profilo degli utenti Windows all interno della loro directory home possibile anche configurare una condivisione profiles posizionando tutti i profili all interno di una sola directory e logon drive specifica il percorso locale della directory home e logon home specifica la posizione della directory home 289 Reti Windows e logon script determina quale script eseguire localmente una volta che un utente ha eseguito l accesso Lo script deve essere all interno della condivisione netlogon e add machine script uno script che crea automaticamente lo Machine Trust Account necessario per accedere al dominio In questo esempio il gruppo machines deve essere creato usando l utilit addgroup Per maggiori informazioni consultare Sezione 1 2 Aggiungere e rimuovere utenti 155 4 Togliere il commento alla condivisione homes per consentire la mappatura di logon home homes comment Home Directories browseable no read only no create mask 0700 directory mask 0700 valid users S 5 Quando configurato come controller di dominio necessario configurare una condivisione netlogon Per abilitarla togliere il commento a netlogon comment Network Logon Service path srv samba netlogon guest ok yes read only yes share modes no Il percorso della condivisione predefinita di netlogon home samba net logon ma in base allo Filesystem Hierarchy Standard FHS srv
456. zione l ordine di questi file molto importante 4 2 4 Main Tutti i file di configurazione appartenenti al tipo main sono archiviati nella directory etc exim4 conf d main possibile aggiungere il seguente contenuto a un nuovo file di configurazione chiamato 04_exim4 config_mailman start Home dir for your Mailman installation aka Mailman s prefix directory On Ubuntu this should be var lib mailman 18 http www exim org 250 Servizi email This is normally the same as mailman MM_HOME var lib mailman User and group for Mailman should match your with mail gid switch to Mailman s configure script Value is normally mailman MM_UID list MM_GID list Domains that your lists are in colon separated list you may wish to add these into local domains as well domainlist mm _domains hostname com These values are derived from the ones above and should not need editing unless you have munged your mailman installation The path of the Mailman mail wrapper script MM_WRAP MM_HOME mail mailman The path of the list config file used as a required file when verifying list addresses MM_LISTCHK MM_HOME lists lc local_part config pck end 4 2 5 Transport Tutti i file di configurazione appartenenti al tipo transport sono archiviati nella directory etc exim4 conf d transport possibile aggiungere il seguente contenuto a un nuovo file di configurazion
457. zione predefinita in etc network interfaces sono presenti due righe responsabili della configurazione automatica dell interfaccia di loopback Si raccomanda di mantenere le impostazioni predefinite a meno che non ci sia una specifica necessit di modificarle Di seguito viene mostrato un esempio delle due righe predefinite auto lo iface lo inet loopback 1 3 Risoluzione del nome La risoluzione del nome in relazione alle reti IP il processo con cui vengono stabilite corrispondenze tra gli indirizzi IP e i nomi host rendendo pi semplice l identificazione delle risorse su una rete La seguente sezione spiega come configurare correttamente il proprio sistema per la risoluzione del nome usando record statici per i nomi host 1 3 1 Configurazione del client DNS Tradizionalmente il file etc resolv conf era un file di configurazione statico che raramente necessitava di essere modificato o di ricevere modifiche automatiche tramite indirizzatori client 39 Rete DHCP Al giorno d oggi un computer pu spostarsi da una rete all altra abbastanza frequentemente e l infrastruttura resolvconf viene utilizzata per conservare traccia di queste modifiche e aggiornare automaticamente la configurazione del resolver Agisce come intermediario fra i programmi che forniscono le informazioni sul server dei nomi e le applicazioni che necessitano di queste informazioni Resolvconf viene popolato di informazioni da un insieme di scrip
458. zza minima delle password impostandola a 8 caratteri modificare la variabile appropriata con min 8 Ecco un esempio della modifica password success 2 default ignore pam_unix so obscure sha512 min 8 fy I controlli basilari di entropia e le regole sulla lunghezza minima non si applicano all amministratore mentre utilizza comandi di livello sudo per impostare un nuovo utente 1 4 2 Scadenza delle password Quando vengono creati dei nuovi utenti possibile impostare una durata minima e massima per le loro password obbligando gli stessi a modificarla alla scadenza e Per visualizzare facilmente lo stato attuale di un account utente utilizzare il seguente comando sudo chage 1 NOME UTENTE L output seguente mostra informazioni interessanti sull account dell utente in particolare che non ci sono politiche applicate Ultimo cambio della password gen 20 2008 Scadenza della password mai Inattivit della password mai Scadenza dell account mai Numero minimo di giorni tra i cambi di password 0 Numero massimo di giorni tra i cambi di password 99999 Giorni di preavviso prima della scadenza della password 7 e Per impostare uno qualsiasi di questi campi utilizzare il seguente comando e seguire le istruzioni 157 Sicurezza sudo chage NOME_UTENTE Quello che segue un esempio di come sia possibile modificare manualmente la data di scadenza dell account E al 31 01 2008 inserirla nel forma
459. zzato il valore predefinito DirectoryIndex la pagina predefinita proposta dal server alle richieste dell indice di una directory specificate attraverso l uso di una barra come suffisso al nome della directory Per esempio quando un utente richiede la pagina http www example com questa_directory potr ottenere la pagina DirectoryIndex se questa esiste un elenco di directory generato dal server se la pagina non esiste ma l opzione indexes specificata oppure una pagina di accesso negato se nessuna delle precedenti condizioni vera Il server cerca uno dei file elencati nella direttiva DirectoryIndex e restituisce il primo trovato Se non trova nessuno di questi file e se Options Indexes impostato per quella cartella il server genera e restituisce un elenco in formato HTML delle sotto directory e dei file contenuti nella directory Il valore predefinito presente in etc apache2 mods available dir conf index html index cgi index pl index php index xhtml index htm Pertanto se Apache2 trova nella directory indicata un file con uno di questi nomi verr visualizzato il primo e La direttiva ErrorDocument permette di specificare un file che sar utilizzato da Apache per errori specifici Per esempio se un utente richiede una risorsa che non esiste si verifica un errore 404 per impostazione predefinita Apache2 semplicemente restituisce un codice HTTP 404 Per maggiori informazioni sull utilizzo di Error Docume
460. zzazione di rete 92 Autenticazione di rete 1 Server OpenLDAP Lightweight Directory Access Protocol LDAP un protocollo per interrogare e modificare un servizio di directory basato su X 500 funzionante su TCP IP La versione attuale di LDAP LDAPv3 come definita in RFC4510 e l implementazione di LDAP usata in Ubuntu OpenLDAP attualmente alla versione 2 4 25 Oneiric Questo protocollo accede alle directory LDAP ecco alcuni concetti e termini basilari e Una directory LDAP un albero di voci organizzato gerarchicamente chiamato Directory Information Tree DIT e Una voce consiste in un insieme di attributi e Unattributo ha un tipo un nome o una descrizione e uno o pi valori e Ogni attributo deve essere definito in almeno una classe oggetto objectClass e Attributi e classi oggetto sono definiti in schemi una classe oggetto in definitiva considerata come uno speciale tipo di attributo e Ogni voce ha un identificativo unico il Nome distinto Distinguished Name DN o dn che consiste del Nome distinto relativo Relative Distinguished Name RDN seguito dal DN della voce superiore e Il DN della voce non un attributo e non considerato parte della voce stessa fy I termini oggetto contenitore e nodo hanno determinate connotazioni ma essenzialmente indicano tutti la medesima cosa di voce il termine tecnicamente corretto Per esempio di seguito viene mostrata una singola voce co
461. zzo del gateway l indirizzo IP attraverso il quale una particolare rete o un host su una rete pu essere raggiunta Se un host di rete desidera comunicare con un altro host di rete senza essere localizzato nelle stessa rete allora deve essere usato un gateway In molti casi l indirizzo del gateway coincide con quello di un router della medesima rete che ha il compito di far transitare il traffico ad altre reti o host come Internet L impostazione del valore dell indirizzo del gateway deve essere corretta altrimenti il sistema non in grado di raggiungere gli host che non si trovano sulla rete cui appartiene e Indirizzo del server dei nomi l indirizzo del server dei nomi rappresenta l indirizzo IP del sistema DNS Domain Name Service che traduce il nome host della rete in un indirizzo IP reale Esistono tre livelli di indirizzo del server dei nomi che possono essere specificati in ordine di precedenza il server dei nomi primario quello secondario e il terziario Affinch il sistema possa tradurre i nomi host in indirizzi IP necessario specificare degli indirizzi validi per i server dei nomi che possibile utilizzare all interno della configurazione TCP IP del sistema Nella maggior parte dei casi questi indirizzi vengono forniti dal proprio fornitore di servizio Internet ma ne sono disponibili anche di gratuiti e liberamente utilizzabili come i server di terzo livello di Verizon con indirizzi IP da 4 2 2 1 a 4 2 2 6 Gli i
462. zzo della stessa interfaccia possibile definire politiche delle password creare risorse condivise e assegnare permessi e zentyal printers integra CUPS con Samba e consente non solo di configurare stampanti ma anche di concedere loro permessi basati su utenti e gruppi LDAP Per installare Zentyal in un terminale sul server digitare il seguente comando in cui lt zentyal module gt uno dei moduli dell elenco precedente sudo apt get install lt zentyal module gt bA Zentyal pubblica un principale rilascio stabile una volta all anno in settembre basato sul pi recente rilascio LTS di Ubuntu i rilasci stabili hanno numeri secondari pari per es 2 2 3 0 mentre i rilasci beta hanno numeri secondari dispari per es 2 1 2 3 In Ubuntu 12 04 incluso il pacchetto Zentyal 2 3 Per effettuare il suo aggiornamento a un nuovo rilascio stabile pubblicato dopo il rilascio di Ubuntu 12 04 possibile usare Zentyal Team PPA L aggiornamento a un rilascio stabile pi recente pu fornire correzioni a piccoli bug non applicate alla versione 2 3 in Precise e pi recenti funzionalit If you need more information on how to add packages from a PPA see Add a Personal Package Archive PPA J In Zentyal Team PPA possibile trovare questi ulteriori moduli non presenti nei repository di Ubuntu Lal e zentyal antivirus integra l antivirus ClamAV con altri moduli come il proxy la condivisione di file o
Download Pdf Manuals
Related Search