<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE> Configuration HOWTO: Compiti di amministrazione comuni</TITLE> <LINK HREF="Config-HOWTO-4.html" REL=next> <LINK HREF="Config-HOWTO-2.html" REL=previous> <LINK HREF="Config-HOWTO.html#toc3" REL=contents> </HEAD> <BODY> <A HREF="Config-HOWTO-4.html">Avanti</A> <A HREF="Config-HOWTO-2.html">Indietro</A> <A HREF="Config-HOWTO.html#toc3">Indice</A> <HR> <H2><A NAME="s3">3. Compiti di amministrazione comuni</A></H2> <P> <P>Ci sono così tante cose da fare e così poco tempo! Ecco che inizia il divertimento. Questa sezione è dedicata alla rete, anche se molti altri task vi aspettano. <P>La rete è un argomento talmente vasto che non può essere trattato esaurientemente qui. Dovete fare riferimento al NET-3 HOWTO e alla documentazione sulle impostazioni dei servizi di rete della maggior parte delle distribuzioni. In questo caso verranno trattati solo pochi punti. <P>Ecco un breve elenco di servizi che potreste installare: attività cronologiche e sincronizzate, quali calendari o promemoria, Http, Samba, accesso telnet/ssh, ftp anonimo, server POP/IMAP, servizi NFS... <P> <P> <H2><A NAME="ss3.1">3.1 Configurazione di rete</A> </H2> <P> <P>Anche se il metodo vero e proprio per avviare i servizi di rete della distribuzione può essere molto più complesso, lo script che segue dovrebbe essere sufficiente perché possiate iniziare: <P> <BLOCKQUOTE><CODE> <PRE> #!/bin/sh # net-up.sh: imposta l'accesso di rete DEVICE=eth0 IPADDR=192.168.1.100 NETMASK=255.255.255.0 NETWORK=192.168.1.0 GATEWAY=192.168.1.1 ifconfig $DEVICE $IPADDR netmask $NETMASK up route add -net $NETWORK netmask $NETMASK $DEVICE route add default gw $GATEWAY </PRE> </CODE></BLOCKQUOTE> <P>Questo script è utile per attivare l'accesso di rete quando utilizzate un disco di ripristino. Ovviamente, questo consente solo l'utilizzo di ping, ftp e telnet verso l'esterno. <P> <P> <H2><A NAME="ss3.2">3.2 Condivisione di Internet</A> </H2> <P> <P>Si tratta di uno dei task più utili per un server Linux. Attualmente, la maggior parte dei kernel di stock dispongono del firewall IP, di masquerade e di invio attivati per default. Se avete dei dubbi, consultate IP-Masquerade mini-HOWTO per apprendere come abilitarli. Installate quindi ipfwadm (kernel 2.0.x; <A HREF="http://www.xos.nl/linux/ipfwadm/">http://www.xos.nl/linux/ipfwadm/</A>) o ipchains (kernel 2.2.x; <A HREF="http://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html">http://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html</A>). Non dimenticate di attivare i moduli dei kernel per i servizi necessari, ad esempio per ftp verrà aggiunta questa linea a /etc/rc.d/rc.sysconfig: <P> <BLOCKQUOTE><CODE> <PRE> /sbin/modprobe ip_masq_ftp </PRE> </CODE></BLOCKQUOTE> <P>Altri moduli sono in genere disponibili in /lib/modules/KERNEL-VERSION/ipv4. <P>L'attivazione del masquerade IP per altre macchine della rete locale è molto semplice. Innanzitutto, controllate gli script di inizializzazione della rete (/etc/sysconfig/network dovrebbe essere la collocazione corrette) per comprendere se contengono la linea <CODE>FORWARD_IPV4=true</CODE>. Viene utilizzata per impostare /proc/sys/net/ipv4/ip_forward a 1 quando il sottosistema di rete viene attivato. <P>Aggiungete queste linee a /etc/rc.d/rc.sysinit: <P> <BLOCKQUOTE><CODE> <PRE> # default: i pacchetti non possono raggiungere l'esterno /sbin/ipfwadm -F -p deny # consente a tutte le macchina della rete locale di raggiungere Internet /sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 # in alternativa, lo consente solo a queste due macchine # /sbin/ipfwadm -F -a m -S 192.168.1.100/24 -D 0.0.0.0/0 # /sbin/ipfwadm -F -a m -S 192.168.1.101/24 -D 0.0.0.0/0 </PRE> </CODE></BLOCKQUOTE> <P>Se utilizzate un kernel della serie 2.2.x, servitevi di <CODE>ipfwadm-wrapper</CODE> invece di <CODE>ipfwadm</CODE> per iniziare in modo rapido. <P>Ora dovete disporre di qualcosa che consenta alle macchine client di contattare il provider. Io utilizzo Mserver ( <A HREF="http://cpwright.villagenet.com/mserver/">http://cpwright.villagenet.com/mserver/</A>). Modificate etc/mserver.conf; le uniche voci che dovrete modificare sono ``checkhost'', ``shadow'' e ``cname''. Definite quindi le connessioni. Ovviamente, installate uno dei client disponibili sulle macchine client. <P> <P> <P> <H2><A NAME="Restricting"></A> <A NAME="ss3.3">3.3 Limitazione dell'accesso di rete </A> </H2> <P> <P>Supponiamo di connetterci a Internet tramite il protocollo PPP. Dopo esserci connessi, la macchina può diventare vulnerabile agli attacchi. Inserite questa linea in /etc/hosts.allow: <P> <BLOCKQUOTE><CODE> <PRE> # consente l'accesso solo al localhost ALL: 127. </PRE> </CODE></BLOCKQUOTE> <P>e questa linea in /etc/hosts.deny: <P> <BLOCKQUOTE><CODE> <PRE> # nega l'accesso a tutti ALL: ALL </PRE> </CODE></BLOCKQUOTE> <P>Se siete in una rete con accesso diretto a Internet, fareste meglio a disabilitare finger, telnet e possibilmente gli altri servizi per motivi di sicurezza. Utilizzate <CODE>ssh</CODE> invece di telnet. Il file da modificare è /etc/inet.conf. In alternativa, potete limitare l'accesso di rete immettendo questa linea in /etc/hosts.allow: <P> <BLOCKQUOTE><CODE> <PRE> in.telnetd: 192.168.1., .another.trusted.network in.ftpd: 192.168.1., .another.trusted.network </PRE> </CODE></BLOCKQUOTE> <P>e questa in /etc/hosts.deny: <P> <BLOCKQUOTE><CODE> <PRE> in.telnetd: ALL in.ftpd: ALL </PRE> </CODE></BLOCKQUOTE> <P> <P> <H2><A NAME="ss3.4">3.4 Esportazioni NFS</A> </H2> <P> <P>È cosa comune esportare le directory principali sul server. Si pone un problema se UID e GID non sono coerenti in macchine diverse. Se l'utente guido dispone di UID/GID uguali a 500 su <CODE>server</CODE> e UID/GID uguali a 512 su <CODE>client</CODE>, una configurazione utile può essere: <P> <BLOCKQUOTE><CODE> <PRE> # /etc/exports /tmp my.client.machine(rw) /home/guido my.client.machine(rw,map_static=/etc/nfs/client.map) </PRE> </CODE></BLOCKQUOTE> <P>In /etc/nfs/client.map verrà inserita: <P> <BLOCKQUOTE><CODE> <PRE> # /etc/nfs/client.map # NFS mapping for client # remote local uid 512 500 gid 512 500 </PRE> </CODE></BLOCKQUOTE> <P> <P> <P> <H2><A NAME="ss3.5">3.5 Server del nome</A> </H2> <P> <P>Non ancora disponibile. <P> <P> <HR> <A HREF="Config-HOWTO-4.html">Avanti</A> <A HREF="Config-HOWTO-2.html">Indietro</A> <A HREF="Config-HOWTO.html#toc3">Indice</A> </BODY> </HTML>