Installazione di Open-Xchange OpenSource Edition su CentOS 4.3

Transcript

1 Installazione di Open-Xchange OpenSource Edition su CentOS 4.3 Convenzioni I comandi che cominciano con il prompt # devono essere dati da root. I comandi con prompt $ devono essere eseguiti da un normale utente. 1 Requisiti del sistema. E necessario la presenza sul sistema da noi installato dei seguenti pacchetti software. openssl openssl-devel perl perl-cyrus perl-convert-asn1 perl-xml-namespacesupport perl-xml-sax perl-ldap perl-digest-sha1 perl-digest-hmac perl-net-ssleay perl-io-socket-ssl perl-authen-sasl gcc gcc-c++ openldap openldap-servers openldap-clients sudo unzip aspell aspell-en make postgresql postgresql-server postgresql-libs db4 apache2 mod_jk

2 NOTA: Assicurarsi che il pacchetto di OpenLDAP sia stato compilato con il supporto aci (--with-aci). Il pacchetto contiene il software openldap, openldap-servers e openldap-clients compilati con supporto aci. Per verificare se un pacchetto è installato sul sistema utilizzare il comando. rpm q NOME_PACCHETTO. Iinserire le seguenti righe al file /etc/profile: CUT JAVA_HOME=/usr/local/java CATALINA_HOME=/usr/local/tomcat ANT_HOME=/usr/local/ant OX_HOME=/usr/local/openxchange TOMCAT_HOME=$CATALINA_HOME PATH=$PATH:$JAVA_HOME/bin:$CATALINA_HOME/bin:$ANT_HOME/bin:$OX_HOME/bi n:$ox_home/sbin export PATH JAVA_HOME CATALINA_HOME ANT_HOME OX_HOME TOMCAT_HOME CUT Si consiglia di chiudere il proprio terminale ed eseguire nuovamente la login per rendere effettive le modifiche al sistema oppure eseguire lo script di profile. $ /etc/profile Verificare l avvenuto cambio di variabili globali con il comando $ echo $NOME_VARIABILE Es. $ echo $JAVA_HOME $ echo $CATALINA_HOME 2 Installazione pacchetti java-based. IMPORTANTE: Non installare la JavaVM della distro in uso, potrebbe andare in conflitto con la la JDK 5.0 Update 7, nel caso fosse già stata installata assicurarsi di cancellare tutti i binari e varibiali di sistema ad essa riferiti. Scarichiamo la JDK 5.0 Update 7 da Installiamo la JDK in /usr/local/jdk-versione/ e creiamo un link a questa directory. # ln s /usr/local/jdk-versione/ /usr/local/java Scaricare Tomcat 5 da Installiamo tomcat5 in /usr/local/jakarta-tomcat / e creiamo il link: # ln s /usr/local/jakarta-tomcat / /usr/local/tomcat Scarichiamo i pacchetti ANT, Javamail, Jaf, Xerces, Jdom che andranno estratti in # /usr/local/nome_pacchetto-versione/ e linkati a /usr/local/nome_pacchetto

3 Scaricare il connettore Java al DB postgre al link e copiarlo nella directory /usr/local/jdbc. 3 Compilazione di OX. Scaricato il pacchetto di OX decomprimiamolo ed entriamo in /root/open-xchange /configure --prefix=/usr/local/openxchange \ --with-mailjar=/usr/local/javamail/mail.jar \ --with-activationjar=/usr/local/jaf/activation.jar \ --with-jdomjar=/usr/local/jdom/build/jdom.jar \ --with-xercesjar=/usr/local/xerces/xercesimpl.jar \ --with-jsdkjar=/usr/local/tomcat/common/lib/servlet-api.jar \ --with-jdbcjar=/usr/local/jdbc/pg jdbc3.jar \ --with-htdocsdir=/var/www/html/ \ --with-cgibindir=/var/www/cgi-bin/ \ --with-runuid=nobody \ --with-rungid=nobody \ --with-domain=os4e.org \ --with-organization="datanet" \ --with-basedn="dc=os4e,dc=org" \ --with-rootdn="cn=admin,dc=os4e,dc=org" \ --with-dbname=openxchange \ --with-dbuser=openxchange \ --with-dbpass=secret \ --with-dbhost= \ --enable-webdav Prestare attenzione a cambiare i parametri --with-domain=, --with-organization=, --with-basedn=, --with-rootdn=. Ora dare i comandi make e make install che si occuperanno, prima della compilazione, e successivamente dell installazione in /usr/local/openxchange come dai noi impostato. NOTA IMPORTANTE: E consigliabile eseguire OX con gli stessi privilegi di tomcat ed apache per non avere problemi di lettura dei file di configurazione tra i vari processi 4 Configurazione di Tomcat5. Nel file /usr/local/tomcat/bin/catalina.sh editare il parametro JAVA_OPTS in questo modo: JAVA_OPTS="-Dopenexchange.propfile=/usr/local/openxchange/etc/groupware/system.properties" Aggiungere la seguente riga evidenziata al file /usr/local/tomcat/conf/tomcat-users.xml <tomcat-users> <user name="tomcat" password="tomcat" roles="tomcat" /> <user name="role1" password="tomcat" roles="role1" /> <user name="both" password="tomcat" roles="tomcat,role1" /> <user name="admin" password="password" roles="manager" /> </tomcat-users> Sostituire PASSWORD con una password.

4 Aggiungere le seguenti righe al file /etc/logrotate.conf /usr/local/tomcat/logs { weekly rotate 4 postrotate endscript compress } Creiamo l utente nobody. # userdel nobody && useradd nobody NOTA: Controllare il file di configurazione d'apache per assicurarsi che i thread figli siano eseguiti con user nobody Cambiamo i diritti di accesso alla directory di tomcat. # chown nobody.nobody /usr/local/tomcat* -R Creiamo il file di avvio di tomcat /etc/init.d/tomcat #!/bin/bash # # tomcat # # chkconfig: # description: Start up the Tomcat servlet engine. RETVAL=$? CATALINA_HOME="/usr/local/tomcat" case "$1" in start) if [ -f $CATALINA_HOME/bin/startup.sh ]; then echo $"Starting Tomcat" /bin/su - nobody -c $CATALINA_HOME/bin/startup.sh fi stop) if [ -f $CATALINA_HOME/bin/shutdown.sh ]; then echo $"Stopping Tomcat" /bin/su - nobody -c $CATALINA_HOME/bin/shutdown.sh fi

5 *) echo $"Usage: $0 {start stop}" exit 1 esac exit $RETVAL Impostiamo l avvio di tomcat al boot della macchina. # chkconfig add tomcat # chkconfig tomcat on 5 Configurazione di Open-Xchange. Utilizziamo i seguenti comandi per copiare le nostre webapps. # mkdir -p /usr/local/tomcat/webapps/servlet/web-inf/classes # mkdir /usr/local/tomcat/webapps/servlet/web-inf/lib # cp /usr/local/openxchange/share/servlets/*.class \ /usr/local/tomcat/webapps/servlet/web-inf/classes/ # cp /root/open-xchange-0.8.2/system/servlet/web.xml \ /usr/local/tomcat/webapps/servlet/web-inf/ # cp /usr/local/openxchange/lib/*.jar \ /usr/local/tomcat/webapps/servlet/web-inf/lib/ # cp /usr/local/jdom/build/jdom.jar /usr/local/tomcat/webapps/servlet/web-inf/lib/ # cp /usr/local/jdbc/pg jdbc3.jar \ /usr/local/tomcat/webapps/servlet/web-inf/lib/ # cp /usr/local/jaf/activation.jar /usr/local/tomcat/webapps/servlet/web-inf/lib/ # cp /usr/local/javamail/mail.jar /usr/local/tomcat/webapps/servlet/web-inf/lib/ # cp /usr/local/openxchange/lib/umin.war /usr/local/tomcat/webapps/ ln -s /etc/openldap/ldap.conf /usr/local/openxchange/etc/groupware/ldap.conf ln -s /etc/openldap/ldap.conf /usr/local/openxchange/etc/webmail/ldap.conf

6 Cambiare le seguenti righe nel file /usr/local/openxchange/etc/webmail/system.cfg AVAILABLE-ENCODINGS="ISO ,ISO ,UTF-8" In AVAILABLE-ENCODINGS="ISO ,ISO ,UTF-8,ISO " Cambiare anche: USER-CAN-SELECT-ENCODING="false" In USER-CAN-SELECT-ENCODING="true" Nel file /usr/local/openxchange/etc/webmail/webmail.properties cambiare la seguente riga: user.default.folder.autocreate=false In user.default.folder.autocreate=true Creiamo lo script di startup di openxchange in /etc/init.d/openxchange e inseriamo le seguenti istruzioni. #! /bin/sh # # openxchange # # chkconfig: # description: Start up the Openxchange services. including: groupware, webmail and sessiond PROG_NAME="OX" groupware="/usr/local/openxchange/etc/init.d/groupware" webmail="/usr/local/openxchange/etc/init.d/webmail" sessiond="/usr/local/openxchange/etc/init.d/sessiond" case "$1" in start) echo "Starting all" start="$sessiond start" $start start="$groupware start" $start start="$webmail start" $start stop) echo "Stoping all" stop="$sessiond stop" $stop

7 stop="$groupware stop" $stop stop="$webmail stop" $stop restart) echo "Restarting all" restart="$sessiond restart" $restart restart="$groupware restart" $restart restart="$webmail restart" $restart status) echo "Checking all" status="$sessiond status" $status status="$groupware status" $status status="$webmail status" $status *) echo "Usage: $0 {start stop status restart}" >&2 exit 1 esac #chmod 770 /etc/init.d/openxchange #chkconfig add openxchange #chkconfig openxchange on 6 Configurazione di Apache. La configurazione base di apache è sufficiente ai nostri scopi, semplicemente rendiamo apache in fase di startup. #chkconfig httpd on

8 6.1 Configurazione di mod_jk. Installato l rpm di mod_jk creiamo il file /etc/httpd/conf.d/mod_jk.conf LoadModule jk_module modules/mod_jk.so <IfModule mod_jk.c> JkWorkersFile /etc/httpd/conf.d/workers.properties JkLogFile /etc/httpd/logs/mod_jk.log JkLogLevel warn JkMount /*.jsp localhost JkMount /servlet/* localhost JkMount /umin/* localhost JkMount /examples/* localhost JkMount /servlet/webdav.contacts* localhost </IfModule> Creiamo il file /etc/httpd/conf.d/workers.properties worker.list=localhost worker.localhost.port=8009 worker.localhost.host=localhost worker.localhost.type=ajp13 worker.localhost.lbfactor=1 workers.tomcat_home=/usr/local/tomcat workers.java_home=/usr/local/java Riavviamo apache per rendere effettive le modifiche. # service httpd restart 7 Configurazione di PostgreSQL. Fermiamo il servizio postmaster. # service postgresql stop Eliminiamo dati e configurazioni del servizio. #rm rf /var/lib/pgsql/* Avviamo il server. #service postgresql start

9 Editiamo il file /var/lib/pgsql/data/pg_hba.conf e assicuriamoci che le seguenti righe siano le uniche a non essere commentate. host all all trust host all all trust local all all trust Cambiamo la seguente riga nel file /var/lib/pgsql/data/postgresql.conf #tcpip_socket = false In tcpip_socket=true Riavviamo il database: #service postgresql restart Rendiamo il database avviabile al boot: #chkconfig postgresql on Configuriamo il db eseguendo i seguenti comandi. # su postgres $ createuser -A -d openxchange pwprompt Enter password for new user: secret Enter it again: secret $ createdb -O openxchange -E UNICODE openxchange $ psql -U openxchange openxchange < /usr/local/openxchange/share/init_database.sql $ psql -U openxchange openxchange -c \ "INSERT INTO sys_gen_rights_template values('now','admin','now','','default_template','y',\ 'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y',\ 'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y','y');" $ exit

10 8 Configurazione di OpenLDAP. Fermiamo il demone slapd. #service ldap stop Modifichiamo il file /etc/openldap/ldap.conf e inseriamo, se non sono già presenti, le seguenti righe. BASE dc=my-domain,dc=com HOST localhost Creiamo il file /etc/openldap/slapd.conf e inseriamo le seguenti righe portando attenzione a cambiare i campi dc relativi al dominio. # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. include /usr/openldap/etc/openldap/schema/core.schema include /usr/openldap/etc/openldap/schema/cosine.schema include /usr/openldap/etc/openldap/schema/inetorgperson.schema include /usr/openldap/etc/openldap/schema/nis.schema include /usr/ox/share/openxchange.schema # Allow LDAPv2 client connections. This is NOT the default. allow bind_v2 # Do not enable referrals until AFTER you have a working directory # service AND an understanding of referrals. #referral ldap://root.openldap.org pidfile argsfile /usr/openldap/var/run/slapd.pid /usr/openldap/var/run/slapd.args database bdb suffix "dc=sogeas,dc=it" rootdn "cn=admin,dc=sogeas,dc=it" rootpw PASSWD # rootpw {crypt}ijfyncsnctbyg directory /usr/openldap/var/openldap-data index objectclass eq index uid,mailenabled,cn,sn,givenname,lnetmailaccess,alias,logindestination eq,sub index memberuid eq #Gestione Password #Da diritto agli utenti di cambiare la propria password #Permette all'utente anonimo di autenticarsi access to * attr=userpassword by self write by anonymous auth #ACL propieta' User #Permette ad un utente di cambiare i propri attributi

11 #attr=uid,objectclass,entry filter=(objectclass=oxuserobject) access to dn.regex="ou=addr,uid=(.*),ou=users,ou=oxobjects,dc=sogeas,dc=it" by dn.regex="uid=$1,ou=users,ou=oxobjects,dc=sogeas,dc=it" write #ACL dell'addressbook #Permette al gruppo suddetto di accedere in scrittura al GAB #Permette l'accesso in lettura all'gab agli utenti generici access to dn.subtree="o=addressbook,ou=oxobjects,dc=sogeas,dc=it" by group="cn=addressadmins,o=addressbook,ou=oxobjects,dc=sogeas,dc=it" write by users read #ACL che regola l'accesso a partucolari attributi #permette a tutti gli utenti di leggere questi attributi access to * attr=uid,objectclass,entry filter=(objectclass=oxuserobject) by self write by * read #aggiunta riga by self write; #ACL che regola le impostazioni utente # permette all'utente di modifidare i propri attributi # permette agli utenti di leggere gli attributi # #access to dn.regex="uid=[^,]+,ou=users,ou=oxobjects,dc=sogeas,dc=it" #attr=imapserver,maildomain,smtpserver,sn,givenname access to dn.regex=".*,ou=users,ou=oxobjects,dc=sogeas,dc=it" by self write by users read #Permette di apportare le modifiche al proprio sottoalbero access to dn.regex="ou=addr,.*,ou=users,ou=oxobjects,dc=sogeas,dc=it" by self write by dn.regex="uid=$1,ou=users,ou=oxobjects,dc=sogeas,dc=it" write # Permette agli utenti di leggere il sottoalbero Groups,OxObjects,sogeas,it access to dn="cn=users,ou=groups,ou=oxobjects,dc=sogeas,dc=it" by users read # Permette agli utenti di leggere il sottoalbero Users,OxObjects,sogeas,it access to dn.subtree="ou=users,ou=oxobjects,dc=sogeas,dc=it" by self write by users read # Permette agli utenti di leggere il sottoalbero OxObjects,sogeas,it access to dn="ou=oxobjects,dc=sogeas,dc=it" by users read # Permette agli utenti di leggere il sottoalbero sogeas,it access to dn="dc=sogeas,dc=it" by dn.regex=".*,ou=users,ou=oxobjects,dc=sogeas,dc=it" read #permette agli utenti di leggere l'intero db ove non sono state specificate #apposite acl access to * by users write by self write

12 Apriamo il file / usr/local/openxchange/share/init_ldap.ldif e modifichiamo la stringa. userpassword: secret in userpassword: PASSWORD Possiamo cifrare la password con # perl -e 'print crypt("password",pack("c2",(int(rand 26)+65),(int(rand 26)+65)))."\n";' ed inserirla in questo modo: userpassword: {CRYPT}OUTPUT_CRIPTATO Ricreiamo il database LDAP: # rm rf /var/lib/ldap/* # slapadd -l /usr/local/openxchange/share/init_ldap.ldif # chown ldap.ldap /usr/lib/ldap -R # chkconfig ldap on 9 Riavvio Riavviamo il tutto. # /etc/init.d/httpd restart # /etc/init.d/tomcat stop # /etc/init.d/tomcat start # /etc/init.d/ldap restart # /etc/init.d/postgresql restart # /etc/init.d/openxchange restart Arrivati a questo punto abbiamo la possibilità di loggarci nella sezione Groupware di Open- Xchange. Per rendere funzionante la funzione Webmail è necessario avare dei server SMTP, POP3 ed IMAP avviati e configurati.

13 10 Configurazione di Postfix. Postfix puo essere gia installato nel sistema, nel caso non fosse presente è sufficiente installarlo con: #yum install postfix Ecco qui il file di configurazione di Postfix /etc/postfix/main.cf queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix mail_owner = postfix myhostname = INSERIRE IL FQDN mydomain = INSERIRE IL DOMINIO myorigin = $mydomain biff= no broken_sasl_auth_clients= yes smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain= smtpd_sender_restrictions = permit_sasl_authenticated inet_interfaces = all mydestination = $mydomain, localhost.$mydomain, localhost, $myhostname local_recipient_maps = unknown_local_recipient_reject_code = 550 relayhost = [HOSTNAME DEL NOSTRO SMARTHOST] alias_maps = hash:/etc/aliases alias_maps = ldap:ldapsource ldapsource_server_host = localhost ldapsource_search_base = CAMBIARE CON IL BASEDN ldapsource_query_filter = (mail=%s) ldapsource_result_attribute = mail alias_database = hash:/etc/aliases mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp lmtp_cache_connection = NO debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin/newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man

14 sample_directory = /usr/share/doc/postfix-2.1.5/samples readme_directory = /usr/share/doc/postfix-2.1.5/readme_files Creare il file /etc/postfix/master.cf con le seguenti righe. smtp inet n - n - - smtpd pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n qmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - n - - smtp relay unix - - n - - smtp showq unix n - n - - showq error unix - - n - - error local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil maildrop unix - n n - - pipe flags=drhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient} old-cyrus unix - n n - - pipe flags=r user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -m ${extension} ${user} cyrus unix - n n - - pipe user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -r ${sender} -m ${extension} ${user} uucp unix - n n - - pipe flags=fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=f user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient Configuriamo il sistema per rendere automatico l avvio di Postfix. #chkconfig postfix on #service postfix restart

15 11 Configurazione di Cyrus-IMAPD. Riporto qui di seguito il file /etc/cyrus.conf START { recover cmd="ctl_cyrusdb -r" delprune cmd="ctl_deliver -E 3" tlsprune cmd="tls_prune" } SERVICES { # add or remove based on preferences imap cmd="imapd" listen="imap" prefork=5 #imaps cmd="imapd -s" listen="imaps" prefork=0 pop3 cmd="pop3d" listen="pop3" prefork=3 #pop3s cmd="pop3d -s" listen="pop3s" prefork=0 sieve cmd="timsieved" listen="localhost:sieve" prefork=0 #lmtp cmd="lmtpd" listen="localhost:24" prefork=1 lmtpunix cmd="lmtpd" listen="/var/run/cyrus/socket/lmtp" prefork=0 } EVENTS { checkpoint cmd="ctl_cyrusdb -c" period=30 delprune cmd="cyr_expire -E 3" at=0401 tlsprune cmd="tls_prune" at=0401 } Riporto il file /etc/imapd.conf allowanonymouslogin: no allowplaintext: yes unixhierarchysep: yes servername: localhost virtualdomains: yes defaultpartition: default defaultdomain: os4e.org loginrealms: os4e.org autocreatequota: 5000 quotawarn: 90 configdirectory: /var/lib/imap partition-default: /var/spool/cyrus/ partition-news: /var/spool/cyrus/news/ newsspool: /var/spool/news/ admins: cyrus sievedir: /var/lib/imap/sieve sendmail: /usr/sbin/sendmail hashimapspool: true sasl_pwcheck_method: saslauthd ldap

16 lmtpsocket: /var/run/cyrus/socket/lmtp idlesocket: /var/run/cyrus/socket/idle notifysocket: /var/run/cyrus/socket/notify sasl_mech_list: PLAIN tls_cert_file: /usr/share/ssl/certs/cyrus-imapd.pem tls_key_file: /usr/share/ssl/certs/cyrus-imapd.pem tls_ca_file: /usr/share/ssl/certs/ca-bundle.crt Entriamo nella directory /var/spool/ e creiamo la directory cyrus. # mkdir cyrus # chown cyrus cyrus R Entriamo nella directory /var/run e diamo il seguenti comandi: # mkdir p cyrus/socket # chgrp mail cyrus R # chmod g+rwx cyrus R Avviamo Cyrus # chkconfig cyrus-imapd on # service cyrus-imapd restart NOTA: Ricordarsi di creare un utente cyrus nella base dati LDAP prima di modificare gli script di avvio relativi alla creazione degli utenti e mailbox. Le modifiche apportate a tali file sono descritte nel documento Guida ai servizio di Open-Xchange.doc 12 Configurazione del demone SASL 12.1 saslauthd.conf Editiamo /etc/saslauthd.conf e scriviamo al suo interno il seguente testo. ldap_servers: ldap:// :389/ ldap_bind_dn: cn=admin,dc=os4e,dc=org *** MODIFICARE CON IL BASEDN ldap_bind_pw: secret *** LAPASSWORD ldap_search_base: dc=os4e,dc=org *** MODIFICARE IL BASEDN saslauthd Editioamo /etc/sysconfig/saslauthd SOCKETDIR=/var/run/saslauthd MECHANISMS="ldap" CONFIG_FILE="/etc/saslauthd.conf" START=yes

17 12.3 Fine di init del demone Adesso dobbiamo modificare lo script di avvio del demone SASL in modo da fargli utilizzare il MECH ldap. Per farlo editiamo il file /etc/init.d/saslauthd. /etc/init.d/functions # Source our configuration file for these variables. SOCKETDIR=/var/run/saslauthd MECH=ldap FLAGS= if [ -f /etc/sysconfig/saslauthd ] ; then. /etc/sysconfig/saslauthd fi RETVAL=0 prog=saslauthd path=/usr/sbin/saslauthd if test -x ${path}.${mech} ; then path=/usr/sbin/saslauthd.$mech fi start() { echo -n $"Starting $prog: " PARAMS="${PARAMS} -a ${MECHANISMS} -O ${CONFIG_FILE}" daemon $path -m $SOCKETDIR -a $MECH $FLAGS RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/$prog return $RETVAL } stop() { echo -n $"Stopping $prog: " killproc $path RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/$prog return $RETVAL } restart() { stop start } case "$1" in start) start stop) stop

18 restart) restart status) status $path condrestart) [ -f /var/lock/subsys/$prog ] && restart : *) echo $"Usage: $0 {start stop status reload restart condrestart}" exit 1 esac exit $? 13 Implementare la sicurezza. Per implementazione sicura su un sistema Unix/Linux vi sono svariati metodi, essi vanno dalla ricompilazione e configurazione opportuna del kernel, implementazione di IDS, firewall alla definizione dei diritti generali di accesso locale o remoto a file e servizi. In questo capito ci occuperemo dell analisi dei servizi in listening sulle intefaccie di rete, cominciando ad eliminare processi in listen() inutili ai nostri scopi, finendo con il definire le interfaccie d ascolto e definendo delle regole generali di collegamento in INBOUD e OUTBOUD per mezzo del firewall di linux Eliminazione dei servizi. Verifichiamo quali servizi sono in ascolto sulle interfaccie, i metodi classici sono un portscanning, effettuato con un tool apposito (nmap), o il comando netstat che permette di vedere tutte le socket aperte sul sistema e i relativi processi propietari. Per avere una lista dei servizi diamo il comando: #netstat l p n L output sarà cosi: tcp : :* LISTEN 302/slapd tcp : :* LISTEN 17468/Xvnc tcp : :* LISTEN 17468/Xvnc tcp : :* LISTEN 7949/cyrus-master tcp : :* LISTEN 12535/portmap Il primo campo descrive il tipo di trasporto (tcp o udp), il secondo ed il terzo sono il numero di connessione in coda, il quarto descrive l interfaccia di ascolto e la porta, il quinto descrivi l ip con il quale è stata stabilita la connessione (in questo esempio stiamo vedendo solo socket in listening), il sesto dice lo stato della socket ed il settimo ci da il PID e il nome del processo. Possiamo notare da subito che ci sono processi che non è necessario lasciare in ascolto, in questo esempio incontriamo il servizio portmap; per arrestare tale servizio ci appoggiamo a due utility messe a disposizione dalla distro, service e chkconfig.

19 Arrestiamo il servizio con: #service portmap stop Togliamolo dalla lista dei servizi in avvio automatico con: #chkconfig portmap off E facile notare come il demone di OpenLDAP (slapd) è in ascolto su tutte le interfaccie del sistema il che rappresenta la possibilità, per un host remoto, di collegarsi al servizio mentre il nostro obiettivo è quello di rendere questo server disponibile solo a processi e account del sistema. Per far ciò dobbiamo indicare al demone slapd il paramentro h : #slapd h ldap://ip_interfaccia:porta Nel nostro caso è sufficiente, nel file /etc/init.d/openldap, modificare la seguente variabile: IP="*" In IP=" " Il simbolo *, come l ip , indica al demone di mettersi in ascolto su tutti gli ip disponibili. Riavviamo il servizio per rendere effettive le modifiche. Lo stesso problema lo si riscontra nella configurazione default di postgresql; tcp : :* LISTEN 13095/postmaster per mettere in ascolto il servizio soltanto sull interfaccia che a noi interessa dobbiamo modificare il file data/postgresql.conf presente nella root directory del servizio (variabile in base al tipo d installazione effettuata). La variabile interessara è listen_addresses che andrà settata in questo modo: listen_addresses = ' ' Per rendere effettive le modifiche dobbiamo riavviare il servizio Impostare un firewall basilare. Principalmente, essendo il nostro server dietro in una DMZ, abbiamo bisogno di loggare eventuali connessioni ai servizi di controllo remoto, essenzialmente sshd e vncserver, e i pacchetti in arrivo causa attacchi DDoS. Creiamo due chain iptables: #iptables N logdrop #iptables N flood Nella chain di logdrop inseriamo le seguenti regole: #iptables A logdrop j LOG log-level 4 #iptables A logdrop j DROP La chain flood sarà: #iptables A flood j LOG log-level 4 log-prefix Iptables-DDOS #iptables A flood j DROP Impostiamo la chain di FORWARD con policy DROP: #iptables P FORWARD DROP

20 E inseriamo le regole relative la chain di INPUT: #iptables A INPUT m limit j flood #iptables A INPUT m state state NEW m multiport destination-ports 5801,5901,6001 j LOG log-prefix Iptables-VNC log-level 4 #iptables A INPUT p tcp dport 8080 j logdrop Questa è una configurazione basilare imprantata con un unica interfaccia di rete Syslog Per ricevere i file di log su un unico file riguardante il kernel modificare il file /etc/syslog.conf Ed aggiungere quella riga in intestazione: kern.warn /var/log/syslog Riporto qui un file syslog.conf configurato per avere una maggior verbosità dei log del sistema: kern.* /var/log/syslog *.info;mail.none;authpriv.none;cron.none;!kern.* /var/log/messages authpriv.* /var/log/secure authpriv.* root mail.* -/var/log/maillog cron.* /var/log/cron *.emerg * uucp,news.crit /var/log/spooler local7.* /var/log/boot.log 14 Openxchange hacks. In questa sezione sono descritti i file che è necessario modificare per apportare modifiche alle sezioni di openxchange, sui link e sulle firme. Il primo file da modificare è il configure situato nella root directory dei sorgenti di openxchange, le modifiche da apportare sono: la variabile ox_codename deve avere valore nullo la variabile ox_webmail_signature deve avere valore nullo Per eliminare la varie sezioni del groupware che non si ritengono utili è necessario editare il file src/com/openxchange/groupware/topmanagement.java nella directory dei sorgenti di openxchange. La modifica consiste nel commentare il codice partendo dalla riga 194 alla riga 241, apportata questa modifica è necessario mare un make clean dei sorgenti, fermare il servizio di open-xchange, e fare il make e make install, quindi riavviare openxchange.

21 Per modificare, nella sezione groupware le firme riguardo OX e il maintainer modificare il file $OX_FOLDER/share/groupware/data/templates /EN/portal/portal.htm Modificare a proprio piacimento il file $OX_FOLDER/share/groupware/data/templates/noAuth.htm in caso di errore inreversibile del sistema (!! SYSTEM ERROR!!) Per modificare l interfaccia di login per aggiungere/modificare la signature o altro modificare il file login.pm in APACHE_ROOT/cgi-bin/ 15 Configurazione del connettore. Per permettere ad un client di collarsi al server, fornito di connettore MAPI/Outlook, è necessario che il file etc/webamail/system.properties sia leggibile dal processo tomcat, che gira con diritti di nobody. Inoltre è necessario configurare la variabile JAVA_OPTS nel file /usr/tomcat/bin/catalina.sh in questo modo: JAVA_OPTS= -Dopenexchange.propfile=/usr/OX/etc/groupware/system.properties Non resta che rendere gli utenti parte di un gruppo, ad esempio users, per permettere loro l accesso tramite connettore. (addusertogroup_ox)