Gestione dei servizi nei server Linux

Transcript

1 Gestione dei servizi nei server Linux

2 Servizi e Demoni Nei server Linux ogni attività è gestita da un programma Ogni programma dispone, al minimo, di 3 possibilità di comunicazione (stdin, stdout, stderr) Ci sono programmi che dialogano direttamente con un utente in modo non grafico (stdin=tastiera, stdout e stderr=video) Ci sono programmi che usano l'interfaccia grafica Ci sono programmi che non dialogano direttamente con l'utente (demoni) Nella gestione dei servizi di rete viene fatto largo uso dei demoni

3 Schema di servizio di rete Il demone crea un socket e ci si mette in ascolto. Il socket è una struttura di comunicazione che viene connessa ad una porta IP Alla ricezione di un pacchetto di connessione il demone si duplica (fork): una parte rimane in ascolto per ulteriori connessioni, l'altra gestisce le connessioni sul socket ereditato. Esiste un programma che può ascoltare su molti socket e, dopo la duplicazione, lanciare un programma od un altro a seconda del socket su cui è stato collegato, connettendo stdin, stderr e stdout di questo programma con il socket.

4 Inetd Il programma che agisce lanciando vari programmi è detto inetd ed è controllato dal file di configurazione /etc/inetd.conf Nel file di configurazione ogni riga corrisponde alle seguente serie di informazioni: Servizio (nome della porta come in /etc/services) Tipo di socket ( stream o datagram ) Protocollo ( TCP o UDP ) Flags ( wait o nowait ) Utente ( quale utente sembrarà aver lanciato il programma ) Programma ( pathname completo ) Argomenti del programma (di solito al massimo 5 )

5 Attivazione e disattivazione in inetd La cosa più semplice da fare è disattivare un servizio attivo: Commentare la riga relativa in /etc/inetd.conf Trovare il numero del processo inetd usando il comando ps afuxwww grep inetd (il numero del processo è il primo numero che appare sulla riga) Eseguire il comando kill -1 xxx dove xxx è il numero del processo appena trovato Per riattivare il servizio: Levare il commento in /etc/inetd.conf Trovare il numero del processo inetd con il comando appena visto Eseguire il comando kill come appena visto

6 Demoni Inetd è il metodo più comodo per attivare molti servizi: ad esempio è utilizzato per: Ftp Pop Imap Swat Inetd è lento per cui alcuni servizi non lo utilizzano: Http / Https Ssh / scp Samba Sendmail

7 Configurazione di avvio con inetd ftp ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd pop pop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper -s imap imap stream tcp nowait root /usr/sbin/tcpd imapd swat swat stream tcp nowait.400 root /usr/sbin/swat swat tcpd è un programma che filtra l'accesso consentendo o meno l'instaurarsi della connessione

8 Http / Https I file di configurazione stanno di solito in /etc/http Il file di gran lunga più importante è /etc/httpd/httpd.conf L'installazione crea un file con dei default ragionevoli. Tale file contiene anche delle spiegazioni sul come modificarlo Nelle diapositive seguenti verranno illustrate alcune sezioni del file di configurazione Anche il server https viene configurato a partire dallo stesso file, con l'aggiunta di riferimenti ai necessari certificati crittografici.

9 Httpd - nomi dei file (1) Nella prima parte del file di configurazione sono indicati dei nomi di vari file necessari al funzionamento: File aggiuntivi di configurazione File dove registrare informazioni quali il PID del processo Non è normalmente necessario modificare tali valori Salvo la root directory del server stesso Si noti, proprio all' inizio, la selta se demone o lanciato da inetd

10 Httpd Nomi dei file (2) ### Section 1: Global Environment # ServerType is either inetd, or standalone. ServerType standalone # ServerRoot: The top of the directory tree under which the server's # configuration, error, and log files are kept. ServerRoot "/opt/web" # The LockFile directive sets the path to the lockfile LockFile /var/lock/subsys/httpd/httpd.accept.lock # PidFile: The file in which the server should record its process # identification number when it starts. PidFile /var/run/httpd.pid

11 Httpd Nomi dei file (3) # ScoreBoardFile: File used to store internal server process # information. ScoreBoardFile /var/run/httpd.scoreboard # In the standard configuration, the server will process httpd.conf # (this# file, specified by the -f command line option), srm.conf, # and access.conf in that order. The latter two files are now # distributed empty, as it is recommended that all directives be # kept in a single file for simplicity. #ResourceConfig conf/srm.conf #AccessConfig conf/access.conf

12 Httpd Prestazioni (1) Nella sezione seguente vi sono i dati che influenzano le prestazioni del server. Quanti processi sono in attesa di connessioni (il lancio di un nuovo processo può essere 'lento' per cui avere dei processi pronti aumenta le prestazioni Limite massimo al numero di processi attivi per evitare di appesantire troppo il server Limite di richieste gestite da una connessione persistente Timeout Normalmente non vi è necessità di variare i numeri: se il server tende a non rispndere si può aumentare il numero di processi in attesa.

13 Httpd Prestazioni (2) # Server-pool size regulation. Rather than making you guess # how many server processes you need, Apache dynamically adapts # to the load it sees... MinSpareServers 1 MaxSpareServers 1 # Number of servers to start initially StartServers 1 # Limit on total number of servers running, i.e., limit on the # number the system with it as it spirals down... MaxClients 150 # MaxRequestsPerChild: the number of requests each child process is # allowed to process before the child dies. MaxRequestsPerChild 0

14 Httpd Prestazioni (3) # Timeout: The number of seconds before receives and sends time out. Timeout 300 # KeepAlive: Whether or not to allow persistent connections # (more than one request per connection). # Set to "Off" to deactivate. KeepAlive On # MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. # Set to 0 to allow an unlimited amount. MaxKeepAliveRequests 100 # KeepAliveTimeout: Number of seconds to wait for the next request # from the same client on the same connection. KeepAliveTimeout 15

15 Httpd Connessioni (1) Quando si usa httpd come un server allora occorre indicare la porta su cui ascolta (normalmente la porta 80) L'indirizzo od il nome del server (nel caso che seguiremo viene utilizzato un asterisco che rimande alla configurazione dei server virtuali, tecnica con la quale si possono disporre di più siti all'interno dello stesso computer. Se si utilizza il nome del server allora questo deve essere risolubile da un DNS il quale fornisce il numero corrispondente. Fatta, al più, la prima installazione questi dati non necessitano ulteriori modifiche. Di solito l'installazione stessa inserisce dei dati di default già corretti.

16 Httpd Connessioni (2) # Listen: Allows you to bind Apache to specific IP addresses and/or # ports, in addition to the default. #Listen 3000 #Listen :80 # BindAddress: You can support virtual hosts with this option. # This directive is used to tell the server which IP address to # listen to. It can either contain "*", an IP address, # or a fully qualified Internet domain name. # See also the <VirtualHost> and Listen directives. #BindAddress *

17 Httpd Moduli (1) Apache permette di inserire moduli per gestire le più varie necessità: Autenticazioni Scripting basato su PERL o PHP Connessioni con database per avere pagine dinamiche SSI (server side include come le setensioni di frontpage) La sezione relativa ai moduli viene riportata qui di seguito ma non va toccata se non da persone esperte. L'installazione crea già le liste corrette evitando mali di testa

18 Httpd Moduli (2) # The following Modules are loaded when the according package has # been installed on your system. The Variables are defined in # /sbin/init.d/apache and control which modules are dynamically # loaded... <IfDefine PERL> LoadModule perl_module /usr/lib/apache/libperl.so </IfDefine> <IfDefine SSL> LoadModule ssl_module LoadModule sxnet_module /usr/lib/apache/libssl.so /usr/lib/apache/mod_sxnet.so </IfDefine>...

19 Httpd Server principale (1) Per semplificare la gestione dei siti Apache usa la configurazione di un primo 'host' in modo da permettere poi la configurazione degli host virtuali per differenza. Per questa ragione la configurazione del server principale è particolarmente completa: comunque molte cose non richiedono cambiamenti anche se è utile comprenderle Nelle diapositive che seguiranno sono contenute le varie impostazioni

20 Httpd Server principale (2) # The directives in this section set up the values used by the # 'main' server, which responds to any requests that aren't handled # by a <VirtualHost> definition. These values also provide defaults # for any <VirtualHost> containers you may define later in the file. # All of these directives may appear inside <VirtualHost> # containers, in which case these default settings will be # overridden for the virtual host being defined. # If your ServerType directive (set earlier in the 'Global # Environment'section) is set to "inetd", the next few directives # don't have any effect since their settings are defined by the # inetd configuration. Skip ahead to the ServerAdmin directive. # Port: The port to which the standalone server listens. Port 80 Questo valore non viene praticamente mai toccato

21 Httpd Server principale (3) # SSL Support When we also provide SSL we have to listen to the # standard HTTP port (see above) and to the HTTPS port <IfDefine SSL> Listen 80 Questo valore non viene praticamente mai toccato Listen 443 Questo valore non viene praticamente mai toccato </IfDefine> # User/Group: The name (or #number) of the user/group to run httpd User wwwrun Questo valore non viene praticamente mai toccato Group nogroup Questo valore non viene praticamente mai toccato # Your address, where problems with the server should # be ed. # It appears on some server-made pages, such as error documents. #ServerAdmin giovanni@it-admin.it Questo valore dev'essere impostato all' indirizzo di mail dell'amministratore

22 Httpd Server principale (4) # ServerName allows you to set a host name which is sent back to # clients for your server if it's different than the one the program # would get (i.e., use "www" instead of the host's real name). # Note: You cannot just invent host names and hope they work. The # name you define here must be a valid DNS name for your host. If # you don't understand this, ask your network administrator. # If your host doesn't have a registered DNS name, enter its IP # address here. ServerName Questo valore dev'essere impostato # DocumentRoot: The directory out of which you will serve your # documents. By default, all requests are taken from this directory, # but symbolic links may be used to point to other locations. DocumentRoot "/opt/web/gio/it-admin-root"

23 Httpd Server principale (5) # Each directory to which Apache has access, can be configured with # respect to which services and features are allowed and/or disabled # in that directory (and its subdirectories). # First, we configure the "default" to be a very restrictive set of # permissions. <Directory "/opt/web/gio/it-admin-root"> Questo valore dev'essere impostato e corrispondere alla directory che viene usata realmente Options Indexes -FollowSymLinks +Includes MultiViews AllowOverride None Order allow,deny Allow from all <IfModule mod_dav.c> DAV Off </IfModule>

24 Httpd Server principale (6) Questi sono esempi di che tipo di impostazioni utilizzare # Enable server side includes (SSI) for the index.html pages, as # some of the content is created dynamically. Of course this should # be disabled when setting up a productive server. <Files /opt/web/gio/it-admin-root/index.htm*> Options -FollowSymLinks +Includes +MultiViews </Files> # Protect the php3 test page, so it cannot be viewed from an outside <Files test.php3> Order deny,allow deny from all allow from localhost </Files> </Directory>

25 Httpd Server principale (7) Questo è l'esempio di una directory secondaria utilizzata poi da un host virtuale <Directory "/opt/web/gio/itsecurity"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all AuthType Basic AuthName ExpertLanUse AuthUserFile /etc/httpd/passwd AuthGroupFile /etc/httpd/group require user anton berta karl </Directory>

26 Httpd Server principale (8) Questo è l'esempio di come modulare l'accesso alle pagine # AccessFileName: The name of the file to look for in each directory # for access control information. AccessFileName.htaccess # The following lines prevent.htaccess files from being viewed by # Web clients. Since.htaccess files often contain authorization # information, access is disallowed for security reasons. <Files ~ "^\.ht"> Order allow,deny Deny from all </Files>

27 Httpd Server principale (9) # ErrorLog: The location of the error log file. # If you do not specify an ErrorLog directive within a <VirtualHost> # container, error messages relating to that virtual host will be # logged here. ErrorLog /var/log/httpd/error_log Va eventualmente modificata per adattarla alla struttura del server # LogLevel: Control the number of messages logged to the error_log. # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn

28 Httpd Server principale (10) Normalmente questi valori non vanno modificati # The following directives define some format nicknames for use with # a CustomLog directive (see below). LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent} i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent # The location and format of the access logfile # (Common Logfile Format). CustomLog /var/log/httpd/access_log common #CustomLog /var/log/httpd/referer_log referer #CustomLog /var/log/httpd/agent_log agent #CustomLog /var/log/httpd/access_log combined

29 Httpd Server principale (11) Questi sono esempi di che tipo di impostazioni vengono utilizzate per gli alias (qui viene mostrato come raggruppare le icone in una directory specifica, fuori dalla root-directory, allo scopo di aumentare la protezione. Può essere necessario modificare il nome della directory. <IfModule mod_alias.c> # Note that if you include a trailing / on fakename then the server # will require it to be present in the URL. So "/icons" isn't # aliased in this example, only "/icons/".. Alias /icons/ "/usr/local/httpd/icons/" <Directory "/usr/local/httpd/icons"> Options Indexes MultiViews AllowOverride None Order allow,deny Allow from all </Directory>...

30 Httpd Server principale (12) Questo è un esempio di come viene 'spostata' la directory dei cgibin che è sempre una directory da proteggere con cura. Vedremo come questa directory venga spostata anche negli host virtuali # ScriptAlias: This controls which directories contain server # scripts. ScriptAliases are essentially the same as Aliases, except # that documents in the realname directory are treated as # applications and run by the server when requested rather than as documents sent to the client. # The same rules about trailing "/" apply to ScriptAlias directives # as to Alias. ScriptAlias /cgi-bin/ "/opt/web/apache/cgi-bin/"

31 Httpd Host virtuali (1) Gli host virtuali permettono di usare un solo server per più siti, tra di loro non legati Nell'esempio si vede come sono descritti solo alcuni valori, rimanendo gli altri identici a quelli del host principale appena visto. Ovviamente tutti i valori debbono essere inseriti a cura della persona che effettua la configurazione: l'esempio riportato è basato su un server reale e può essere utilizzato come guida per ulteriori configurazioni

32 Httpd Host virtuali (2) <VirtualHost :80> ServerAdmin DocumentRoot /opt/web/gio/www-it-administrator-it ScriptAlias /cgi-bin/ "/opt/web/gio/it-administrator-cgi-bin/" ServerName ServerPath / ErrorLog /var/log/httpd/apache/it-administrator-error_log CustomLog /var/log/httpd/apache/it-administrator-access_log common </VirtualHost>

33 Httpd Impostazioni ssl (1) Con SSL (Secure Socket Layer) si intende il protocollo che permette il funzionamento dei server sicuri, quelli, per intenderci, nella quale l'url incomincia per https: Nella sezione generale non vi sono valori che richiedono modifiche, se non in casi particolari. Si può decidere di spostare il file di log o quello relativo ai mutex in una posizione più comoda

34 Httpd Impostazioni ssl (2) <IfDefine SSL> AddType application/x-x509-ca-cert.crt AddType application/x-pkcs7-crl.crl </IfDefine> <IfModule mod_ssl.c> # Pass Phrase Dialog: # Configure the pass phrase gathering process. SSLPassPhraseDialog exec:/etc/httpd/ciccio # Inter-Process Session Cache: # Configure the SSL Session Cache: First either `none' # and, second the expiring timeout (in seconds). SSLSessionCache none SSLSessionCacheTimeout 300

35 Httpd Impostazioni ssl (3) # Semaphore: # Configure the path to the mutual explusion semaphore the # SSL engine uses internally for inter-process synchronization. SSLMutex file:/var/run/ssl_mutex # Pseudo Random Number Generator (PRNG): # Configure one or more sources to seed the PRNG of the # SSL library. The seed data should be of good random quality. SSLRandomSeed startup builtin SSLRandomSeed connect builtin #SSLRandomSeed startup file:/dev/random 512 #SSLRandomSeed startup file:/dev/urandom 512 #SSLRandomSeed connect file:/dev/random 512 #SSLRandomSeed connect file:/dev/urandom 512

36 Httpd Impostazioni ssl (4) # Logging: # The home of the dedicated SSL protocol logfile. Errors are # additionally duplicated in the general error log file. Put # this somewhere where it cannot be used for symlink attacks on # a real server (i.e. somewhere where only root can write). # Log levels are (ascending order: higher ones include lower # ones): none, error, warn, info, trace, debug. SSLLog /var/log/httpd/ssl_engine_log SSLLogLevel debug </IfModule>

37 Httpd Host virtuali ssl (1) Anche per gli host virtuali vale il principio che il primo stabilisce dei valori che, se non modificati, valgono per tutti. La cosa più importante è generare la coppia di chiavi e poi usare la chiave pubblica per ottenere il certificato da utilizzare nello scambio di dati. Questo è comunque argomento del modulo 5. Tutte le impostazioni dei file vanno verirficate anche se molte sono già corrette.

38 Httpd Host virtuali ssl (2) <IfDefine SSL> ## SSL Virtual Host Context NameVirtualHost :443 <VirtualHost :443> DocumentRoot "/opt/web/gio/ " ServerAdmin ServerName nemo.it-admin.it ServerPath / ScriptAlias /cgi-bin/ "/opt/web/gio/ /cgi-bin/" ErrorLog /var/log/httpd/apache/ error_log CustomLog /var/log/httpd/apache/ access_log common TransferLog /var/log/httpd/apache/ access_log

39 Httpd Host virtuali ssl (3) SSLEngine on SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL # Server Certificate: SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt # Server Private Key: SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key # Server Certificate Chain: #SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt # Certificate Authority (CA): #SSLCACertificatePath /etc/httpd/ssl.crt # Certificate Revocation Lists (CRL): #SSLCARevocationPath /etc/httpd/ssl.crl #SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl

40 Httpd Host virtuali ssl (4) # Client Authentication (Type): SSLVerifyClient none # With SSLRequire you can do per-directory access control based # on arbitrary complex boolean expressions containing server # variable checks and other lookup directives. #<Location /> #SSLRequire ( %{SSL_CIPHER}!~ m/^(exp NULL)-/ \ # and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ # and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ # and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ # and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \ # or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/ #</Location>

41 Httpd Host virtuali ssl (5) # SSL Engine Options:Set various options for the SSL engine. #SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire <Files ~ "\.(cgi shtml phtml php3?)$"> </Files> SSLOptions +StdEnvVars <Directory "/usr/local/httpd/cgi-bin"> SSLOptions +StdEnvVars </Directory> # SSL Protocol Adjustments: SetEnvIf User-Agent ".*MSIE.*" \ </VirtualHost> nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0

42 Httpd Host virtuali ssl (6) <VirtualHost :443> ServerAdmin DocumentRoot /opt/web/gio/docenti-it-admin ServerName docenti.it-admin.it ServerPath /docenti.it-admin.it ScriptAlias /cgi-bin/ "/opt/web/gio/docenti-it-admin-cgi-bin/" ErrorLog /var/log/httpd/docenti.it-admin-it-error_log CustomLog /var/log/httpd/docenti.it-admin-it-access_log common TransferLog /var/log/httpd/access_log SSLEngine on SSLCertificateFile /etc/httpd/ssl.crt/server.crt SSLCertificateKeyFile /etc/httpd/ssl.key/server.key SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown </VirtualHost>

43 Sendmail configurazione Il programma di gestione della posta non è semplice da configurare ma, per fortuna, viene configurato automaticamente all'atto della installazione del server. Eventuali modifiche, solo per esperti, possono essere fatte modificando il file sendmail.cf che può risiedere in /etc oppure in /etc/mail Una più semplice configurazione può essere fatta nel file aliases in modo da redirigere la posta in ingresso su altri server o differenti utenti

44 Sendmail Attivazione e disattivazione Come molti servizi anche sendmail viene lanciato automaticamente all' avvio del sistema operativo. Per attivare o disattivare questo servizio di solito si utilizza il comando /etc/init.d/mta seguito dalle parole start o stop Alle volte il comando sta in /sbin oppure si chiama sendmail

45 Samba - Configurazione Il programma samba permette ad un server Linux (o Unix o mac os X) di agire come un server Windows. Essendo molto flessibile le opzioni di confugurazione sono molteplici per cui saranno presentate solo quelle principali. Installazione quasi di default con Linux. Configurazione semplice: sia testo che web Opzioni globali ed opzioni di share

46 Samba - opzioni globali Nome del server Gruppo di lavoro Crittografia Livello di browsing Server di dominio Wins server Usare dominio Windows [global] workgroup = MGENG guest account = nobody keep alive = 30 os level = 99 kernel oplocks = false security = user encrypt passwords = yes

47 Samba - crittografia Serve per le 'nuove' versioni di Windows Da NT e 98 Comandi per disabilitarli nella registry dei sistemi windows Ma è meglio non farlo Comandi per gestire (smbpasswd) Smbpasswd -a utente

48 Samba - livello di browsing Tipo di imbustamento di SMB: in TCP/IP o in Ethernet Tutti i PC tendenzialmente cercano di divenire master browser Al cambio del master browser succede il finimondo Samba configurato per vincere: sui client o anche sui server os level = 99

49 Samba - usare i domini windows Configurare Samba per usare la validazione di NT ; Uncomment the following, if you want to use an existing ; NT-Server to authenticate users ; security = server ; password server = ; Uncomment this, if you want to integrate your server ; into an existing net e.g. with NT-WS to prevent nettraffic ; local master = no ; If you want Samba to act as a wins server, please set to yes wins support = no ; If you want Samba to use an existing wins server,uncomment ; wins server = ; Do you wan't samba to act as a logon-server for your windows clients, ; logon script =%U.bat ; domain logons = yes ; domain master = yes ; [netlogon] ; path = /netlogon

50 Samba - utenti Disabilitare le shell per limitare le possibilità di accesso In /etc/passwd la shell dev'essere /bin/false La conversione di più utenti in uno solo con smbuser Dove serve avere uno stesso schema di condivisione Utente guest Per le condivisioni generiche in lettura Home directory utenti Usa le home di Linux [homes] comment = Cartelle degli utenti read only = No create mask = 0640 directory mask = 0750 browseable = No

51 Samba - accessi Validazione con user Sul client va inserito user e password Validazione con Host Si possono inserire limitazioni basate sull'indirizzo IP (o sul nome) Permessi sui file creati Quando più utenti debbono operare sugli stessi file Mangle case / Preserve case Linux è case-sensitive, Windows no [Deposito] path=/salva comment = Salvataggi browseable = yes read only = no create mode = 0777