V určitých chvílích člověk nutně potřebuje operační systém, protože Windows jsou v problémech (nebo i z jiných důvodů, které na tomto serveru určitě nemusím rozebírat).
Nejjednodušší je samozřejmě sáhnout po vhodné distribuci Linuxu, zabít Windows a užívat si ten příjemný pocit stability a bezpečí. To samozřejmě není možné vždy. Někdy holt Windows musejí zůstat tam kde jsou (třeba proto, že jde o firemní počítač a firma se přísně drží několika diskriminujících (nebo snad lobujících) ISO norem.
V takovou chvíli přicházejí ke slovu livedistribuce a minidistribuce. Jistě jste na ně již narazili – většinou ve formě CD zasuň mě do mechaniky, restartuj a nebudeš věřit, že nejsem nainstalovaný. Některé takové distribuce Vám poskytují maximální komfort za cenu místa a požadovaného výkonu počítače. Jiné jsou specializované, čímž se dá dosáhnout zmenšení celé distribuce (klidně i na disketu).
V našem seriálku začneme právě úzce specializovanými distribucemi na disketách a dostaneme se až k těm na "kreditkách" a CD. Budeme řešit konkrétní problémy za pomoci některé konkrétní distribuce (minidistribucí je totiž nepřeberné množství a mluvit o všech je nemožné). Pokud vy sami máte svou oblíbenou distribuci pro daný účel, budu rád, když ji doplníte v diskusi.
Nechme již obecného tlachání a přistupme k činu.
Potřebuji rychle server
Tímto serverem je myšlen firewall, IP maškaráda (Network Address Translation) a podobné služby.
Coyote Linux floppy firewall
Tato distribuce Vám nabízí jednoduché vytvoření živé diskety (není nutné instalace) a to jak v prostředí Linuxu tak i Windows.
Informace
- jádro 2.4.25 (ve verzi 1.x je jádro 2.2.x)
- firewall iptables ver 1.2.9 (ve verzi 1.x je firewall ipchains)
- DHCP server
- ssh server (ssh ver 2.0)
- webové rozhraní pro správu (na portu 8180)
Vytvoření diskety
Projedeme si (rychle) vytvoření diskety pomocí průvodce a to pod Windows. Nejprve stáhnete, rozbalíte a spustíte průvodce.
Kroky:
- Průvodce se Vám představí (to ještě není zajímavé)
- Nastavení IP adresy a masky podsítě pro budouci linuxový stroj
(Základní konvence je číslovat servery od konce rozsahu IP adres dané sítě)
pozn: všechny ostatní hodnoty síťového nastavení se dopočítají automaticky.
- Nastavení hesla uživatele root
- Logovací server, na který bude Coyote ukládat logy.
(Pokud si nejste jisti, nenastavujte nic. Coyote bude (v omezené míře) logovat stejně.) - Výběr způsobu připojení k Internetu
- Zapnutí Coyota jako DHCP serveru
Zde můžete pouze nastavovat kolik adres chcete přidělit - rozsah se vypočítá automaticky. - Vyberete typ síťové karty, jejíž ovladač se má přidat na disketu.
(Jistě chápete, že tato volba je klíčová :-) - No a už to jede
Nabootujte počítač z této diskety a za chvilku se můžete nalogovat.
Ještě jednou vás budu podceňovat, ale už je to opravdu naposled. Pro správnou funkci serveru není nutné aby na něm byl kdokoli přihlášen. Právě naopak: z hlediska bezpečnosti je nejlepší, když je server v očekávání kdo (z hackerů) se na něj naloguje.
Pracujete-li přímo se serverem a nebo se připojíte přes ssh, uvítá vás textové menu. Pokud jej chcete opustit zvolte q. Návrat do menu je pomocí příkazu menu (překvapivě :-).
Veškeré nastavování probíhá editací textových souborů (jak taky v linuxu jinak) a určitě vyžaduje znalost služby, kterou se zrovna snažíte nastavit. Editor má nápovědu, kterou vyvoláte Alt+h a dozvíte se například, že ukončení editoru je Ctrl+q.
Webové rozhraní pro správu můžete naštívit na http://server:8180 (v našem případě http://10.0.0.254:8180). Přihlásíte se jako root svým heslem a ... jedno oko nezůstane suché. U webového rozhraní bych jako základní bezpečnostní nedostatek viděl nešifrovaný přístup k serveru. Takže i průměrný uživatel dokáže (za použití průměrné utilitky) vyčenichat celou komunikaci se serverem (tedy i heslo).
Show configuration vám řekne, jak na tom je váš server teď. Která síťová rozhraní (ne)jsou nahozená a jaké jsou jim přiděleny adresy. Je zde rovněž informace o tom, jak dlouho již Váš firewall plane (nebo spíš hasí).
LAN configuration umožní nastavit adresy pro jednotlivá síťová rozhraní.
Internet configuration - v této kategorii nastavíte parametry nutné pro připojení k Internetu
DHCP configuration - při vytváření diskety jsme měli možnost nastavit pouze počet IP adres, které budou přidělovány. Tady již můžete nastavit rozsah adres, ze kterého se bude přidělovat a hlavně další údaje, které budou klientům předány (je zde i WINS server, který umožňuje připojení starším Windowsovým klientům podle jména).
Administrative configs - zde jsou některá klíčová nastavení týkající se administrace. Můžete zakázat ping nebo ssh připojení zvnějšku. Je rovněž možné zakázat webové administrační rozhraní nebo změnit port, na kterém běží (doporučuji - už jen změna portu může útočníka začátečníka zmást) a rovněž změna portu na kterém naslouchá sshd není od věci.
Optional configs - zde je opět možnost nastavení vzdáleného logovacího serveru a time serveru (pokud vám vadí odchylky systémových hodin :-)
QoS configuration - můžete zvolit, v jakém režimu poběží zabezpečení dostupnosti služeb serveru.
Configuration file - tady zavzpomínáte na textové rozhraní. Moje skromné doporučení je: Nenastavujte proměnné, pokud si nejste jisti tím, co děláte, protože všechny změny je možné provádět na jiných místech tohoto rozhraní.
Read the system log - to je to slíbené logování
Backup configuration - své nastavení zazálohujete na disketu (na tu stejnou, ze které se startuje systém). Doporučuji.
Reboot system - tkv (to každý ví). Pokud byste chtěli počítač vypnout, připojte se přes ssh, vyskočte z menu a zadejte příkaz ... třeba halt.