LINUX DEBIAN ETCH I servizi di rete

Dott.Ing.Ivan Ferrazzi 

LINUX DEBIAN ETCH 

I servizi di rete 

1/17


Copyright ©2008 Dott.Ing. Ivan Ferrazzi 

Permission is granted to copy, distribute and/or modify this 

document under the terms of the GNU Free Documentation 

License, Version 1.2 or any later version published by the 

Free Software Foundation; with no Invariant Sections, no 

Front-Cover Texts, and no Back-Cover Texts. 

2/17


Introduzione 

IL LOGSYSTEM DI LINUX 

Il sistema operativo Linux, come tutti i sistemi operativi, è molto 

complesso e difficile da gestire. Ogni processo può generare dei 

messaggi informativi, di errore o di controllo, che permettono l'analisi 

dello stato di funzionamento dei singoli processi. Cercare di raccogliere 

manualmente i singoli messaggi inviati da diversi processi diventerebbe 

un'impresa molto ardua ai limiti dell'impossibile. Per questo motivo Linux 

utilizza un “logsystem”. Un sistema che permette di “dirottare” tutti i 

segnali generati dai vari processi e classificati per priorità all'interno di 

file diversi. Tutti questi file vengono, di norma, generati e aggiornati 

all'interno della cartella /var/log. Questo permette ad un 

amministratore di rete la verifica dell'intero sistema concentrandosi 

solamente sul contenuto di una cartella. 

Il processo che si occupa di raccogliere i vari messaggi e di ordinarli per 

priorità si chiama syslogd e viene configurato con il file 

/etc/syslog.conf. 

Il file di configurazione /etc/syslog.conf 

Questo file di configurazione può contenere delle righe che iniziano con il 

# che identificano righe di commento e non vengono prese in 

3/17


considerazione durante l'elaborazione del file di configurazione. Tutte le 

altre righe hanno il seguente formato 

processo di provenienza.priorità azione 

I processi di provenienza e le priorità 

All'interno di un'unica riga è possibile definire azioni per più processi di 

provenienza o priorità. In caso di più processi di priorità questi verrebbero 

scritti in sequenza separati da una virgola (,), mentre più priorità 

verrebbero scritte sempre in sequenza, ma seperate da un punto e 

virgola (;). Sia per i processi che per le priorità e possibile utilizzare anche 

l'asterisco (*) che identifica rispettivamente tutti i processi, oppure tutte 

le priorità. 

Qui di seguito verranno elencati tutti i processi di provenienza 

riconosciuti da syslogd: 

kern Messaggi di sistema direttamente dal kernel 

auth Messaggi dal sistema di sicurezza (login,...) 

authpriv Messaggi riservati del sistema interno di sicurezza 

mail Messaggi del sistema delle mail 

news Messaggi del sistema delle news 

uucp Messaggi del sistem uucp 

lpr Messaggi del sistema di stampa 

cron Messaggi del sistema cron per le operazioni pianificate 

syslog Messaggi dello stesso syslog 

daemon Messaggi degli altri processi in esecuzione 

user Messaggi da normali programmi applicativi 

local0-local7 Liberamente utilizzabili 

Priorità in ordine decrescente 

emerg L'ultimo messaggio prima di un crash di sistema 

alert Messaggio allarmante che necessita immediato controllo 

crit Messaggio relativa a situazione critica andata a buon fine 

err Messaggio di errore di ogni tipo 

warn Messaggio di allerta di ogni tipo 

notice Messaggi di segnalazione di situazioni anormali 

info Messaggi di protocollo di normale amministrazione 

debug Messaggi di debug in caso di ricerca di errori in programmi 

none Non necessariamente un messaggio 

syslog utilizza come criterio di registrazione la priorità definita nel file di 

configurazione, oppure un messaggio con priorità più alta. Nel caso si 

volessero registrare messaggi che appartengono solo alla classe di 

priorità definita bisognerebbe inserire un = davanti alla stessa priorità, 

es. 

4/17


Le azioni 

news.=crit /var/log/news/news.crit 

Le azioni identificano dove verranno mandati, oppure scritti, i messaggi 

raccolti. Le azioni possono essere definite in varie maniere: 

(a)Scrivere il messaggio all'interno di un file. 

Per far scrivere il messaggio all'interno di un file basta inserire 

come azione il nome, con percorso assoluto (quindi iniziando con /), 

del file da utilizzare come destinazione. Normalmente viene 

eseguita una sincronizzazione del filesystem dopo ogni operazione 

di scrittura del processo syslog. La sincronizzazione necessita di 

molto tempo. Per questo motivo possiamo iniziare il percorso 

assoluto del file con un “-” per evitare la sincronizzazione, es. 

*.auth -/var/log/auth.log 

(b)Invio del messaggio ad un processo syslog presente 

all'interno di un altro PC. 

Per motivi di sicurezza può essere importante non tenere i file log 

all'interno dello stesso PC che mette a disposizione un tipo di 

servizio in internet o all'interno della rete locale. E' quindi possibile 

inviare il messaggio ad un altro processo syslog presente su un 

altro PC. In questo caso bisogna inserire una @ (chiocciola) seguita 

dal hostname del PC, oppure il relativo indirizzo IP. Il processo 

syslogd del PC che deve ricevere i messaggi deve essere fatto 

partire con il parametro -r (remote). Es. 

*.auth @logserver 

(c)Invio del messaggio sul terminale di un utente online. 

Nel caso in cui venisse inserito il nome di login di un utente, o una 

lista di nomi di login separati da una virgola, il messaggio verrebbe 

visualizzato direttamente sul terminale del o degli utenti online nel 

momento dell'invio del messaggio. Es. 

*.auth root,alberto 

(d)Invio del messaggio su tutti i terminali degli utenti online. 

In questo caso inseriamo un asterisco (*) come identificatore di 

azione. Es. 

*.auth * 

5/17


NFS 

Network File System 

In una rete informatica diventa indispensabile la condivisione di risorse 

tra le macchine collegate. Il File System più conosciuto nel mondo Unix è 

NFS, originariamente sviluppato dalla Sun per Solaris. NFS è il Network 

File System che permette di condividere risorse tra sistemi Unix e Mac OS 

X. 

Installazione di NFS. 

Far diventare la nostra macchina un server o client NFS è molto semplice. 

Il sistema base è già presente all'interno del kernel. Quello che bisogna 

quindi fare è installare i componenti che sfruttano il sistema base. 

Per installare i componenti necessari ad un clienti NFS digitiamo 

apt-get install nfs-common portmap 

per un server NFS invece 

apt-get install nfs-kernel-server nfs-common portmap 

6/17


Configurazione base lato server. 

Il sistema NFS si basa sul file di configurazione /etc/exports. Per 

rendere effettivo ogni cambiamento all'interno di questo file è 

indispensabile l'utilizzo del seguente comando 

exportfs -a 

Il file /etc/exports ha la seguente struttura: 

cartella condivisa utenti(opzioni) utenti(opzioni) ecc. 

Come cartella condivisa viene inserito il percorso assoluto alla cartella 

che si vuole condividere all'interno della rete. All'interno della stessa riga 

inseriamo poi l'indirizzo IP, l'indirizzo di rete, oppure il dominio dei 

computer che devono avere accesso alla cartella con, tra parentesi, le 

opzioni per gestire i permessi di condivisione. 

Esempio: 

/media/share 192.168.0.12(rw) www.miodominio.it(ro) 

/media/docs 192.168.0.0/24(ro) 

In questo caso vengono condivise le cartelle /media/share e 

/media/docs. La cartella /media/share è accessibile dal computer con 

indirizzo IP 192.168.0.12 in lettura e scrittura; dal dominio 

www.miodominio.it, invece, in sola lettura. Alla cartella /media/docs ha 

accesso tutta la rete 192.168.0.0 in sola lettura. 

NFS utilizza un sistema chiamato squashing che evita di utilizzare le ID 

degli utenti che si collegano al sistema all'interno del computer server. 

Questo per evitare che un utente root in collegamento (ID=0) venga 

riconosciuto come root del sistema stesso. Gli utenti che effettuano il 

collegamento vengono identificati sul computer server come utente 

nobody, se questo esiste, come ID negativa, se questo non dovesse 

essere presente all'interno del sistema. 

Per questo motivo diventa indispensabile settare in maniera corretta 

l'utente e il gruppo proprietario delle cartelle condivise. Nel caso in cui 

venisse utilizzato nobody come utente bisognerà modificare le 

appartenenze come segue 

chown nobody /media/share 

chown nobody /media/docs 

Si ricorda comunque la scarsa sicurezza di NFS e si consiglia quindi di 

utilizzare NIS solamente per condivisioni all'interno di una rete sicura. 

Configurazione base lato client. 

Il collegamento ad una risorsa condivisa via NFS si può fare manualmente 

7/17


da root direttamente da riga di comando 

mount -t nfs IP_server:/media/share /mnt 

dove IP_server è l'indirizzo IP del server NFS, oppure automaticamente 

inserendo il collegamento all'interno del file /etc/fstab 

IP_server:/media/share /mnt/share nfs defaults 0 0 

IP_server:/media/dosc /mnt/docs nfs defaults 0 0 

Per le possibili opzioni si faccia riferimento a man mount, oppure, man 

exports. 

8/17


SAMBA 

Samba è la soluzione ideale per condividere risorse all'interno di una rete 

composta da client/server Linux e Microsoft. Samba, infatti, è in grado di 

comunicare con il protocollo SMB (Server Message Block), utilizzato 

come protocollo di comunicazione dai sistema Microsoft. 

Installazione di Samba. 

L'installazione di samba è molto semplice. Basta digitare 

apt-get install samba 

per avere un completo sistema Samba funzionante. Per poter utilizzare 

condivisioni samba, o da server Windows, su Linux utilizziamo il comando 

smbclient e smbmount. 

apt-get install smbclient 

Configurazione base di Samba. 

Samba utilizza il file di configurazione /etc/samba/smb.conf per gestire il 

comportamento delle condivisioni. Un possibile file di configurazione ha la 

seguente struttura: 

9/17


[global] 

workgroup = WORKGROUP 

netbios name = DEBIAN 

security = share 

guest account = nobody 

server string = Linux Samba Server 

comment = File condivisi 

[public] 

comment = Materiale pubblico 

path = /public 

guest ok = Yes 

read only = Yes 

All'interno delle parentesi quadre identifichiamo i blocchi che verranno 

configurati individualmente. Uno dei blocchi standard presente all'interno 

di questo file di configurazione è il blocco global. Questo viene utilizzato 

per configurare il comportamento base del server Samba. Il blocco 

seguente [public] invece identifica un blocco per la condivisione di 

risorse. 

Il blocco global contiene la configurazione standard come il nome del 

gruppo di lavoro (workgroup), il nome netbios da utilizzare per il 

riconoscimento da client Windows (netbios name), il nome descrittivo 

(server string) e il commento da visualizzare (comment). 

La direttiva security impostata su share permette di condividere le 

risorse senza l'utilizzo di autenticazione da parte del client che si 

connette. Infatti, viene detto al sistema Samba di gestire ogni utente 

remoto con i diritti dell'utente nobody presente sul sistema (guest 

account). 

Nel blocco public definiamo il commento da utilizzare per la cartella 

condivisa (comment), il percorso assoluto della cartella condivisa (path), 

l'utilizzo di un utente guest, quindi senza autenticazione, (guest ok = 

Yes) e il diritto di sola lettura (read only = Yes). La condivisione verrà 

identificata dal nome messo tra parentesi quadre (nel nostro caso 

public). 

Ad ogni modifica di questo file è indispensabile il riavvio del servizio 

come segue 

/etc/init.d/samba restart 

E' possibile creare delle condivisioni con autenticazione nome 

utente/password modificando leggermente il blocco global come segue: 

[global] 







encrypt passwords = Yes 

[public] 


10/17





In questo file di configurazione abbiamo abilitato la direttiva user per 

quanto riguarda il controllo degli accessi (security = user) e in più 

abbiamo attivato la possibilità di utilizzare password criptate (encrypt 

passwords = Yes). 

L'utilizzo di autenticazione rendono indispensabile una gestione separate 

dei nomi utente e delle password. Il sistema per le autenticazioni Linux e 

Windows non sono compatibili. Bisogna quindi rendere i due sistemi 

compatibili. Questo si ottiene facendo gestire il tutto da Samba. Per dare 

ad un utente la possibilità di accedere ad una condivisione Samba non 

basta l'utilizzo di un utente di sistema. Dobbiamo ora, come prima cosa, 

creare l'utente e “formattare” la sua password in maniera compatibile ai 

sistemi Windows. 

Questo si ottiene con il comando 

smbpasswd -a utente 

Con il parametro -a diciamo al comando di verificare che l'utente sia 

presente come utente di sistema. Il comando eseguito crea il file 

/etc/samba/smbpasswd che contiene i dati necessari al riconoscimento 

dell'utente. 

L'utilizzo di nome utente e password per la condivisione permette 

l'utilizzo del blocco [homes]. Anche questo, come global, è un blocco 

predefinito, e permette l'utilizzo della home directory dell'utente stesso. 

In questo caso possiamo aggiungere ancora la direttiva browseable = No 

che permette di disabilitare la visualizzazione della cartella /home. Il file 

di configurazione verrà modificato come segue: 

[global] 







encrypt passwords = Yes 

[public] 





[homes] 

comment = Cartella home 

read only = No 

create mask = 0750 

browseable = No 

Da ora in poi gli utenti presenti all'interno del sistema e create con il 

11/17


comando smbpasswd avranno la possibilità di gestire il contenuto della 

propria cartella home. 

Configurazione di Samba lato client. 

Samba può essere utilizzato su PC Linux per accedere alle risorse 

condivise da server Windows. Da root possiamo digitare 

mount -t smbfs //ip_server/cartella /mnt 

dove ip_server è l'indirizzo ip del server (o il nome host del server 

riconosciuto all'interno della rete) e cartella il nome della cartella 

condivisa. Oppure possiamo utilizzare 

smbmount //ip_server/cartella /mnt 

In automatico possiamo effettuare l'inserimento del collegamento 

all'interno del file /etc/fstab come segue: 

//ip_server/cartella /mnt smbfs defaults,username=user,password=psswd 0 0 

Le opzioni username e password permettono di definire all'interno di 

questo file il nome utente e la parola chiave da utilizzare per l'accesso 

alla condivisione. Il file /etc/fstab è un file che ogni utente può leggere. 

Per questo motivo non è consigliabile mettere il nome utente e la 

password all'interno di questo file. Possiamo però utilizzare l'opzione 

credentials=nome file che ci permette di mettere il nome utente e la 

password su un file esterno non leggibile da altri utenti. Il file identificato 

da credentials ha il seguente formato: 

username=utente 

password=parola chiave 

12/17


Server FTP 

Il servizio FTP permette di effettuare l'upload o il download di file che si 

trovano su un computer remoto configurato come FTP-Server. Vedremo 

ora come creare un FTP-Server utilizzando il programma pure-ftpd. 

Installazione di pure-ftpd. 

Per installare il server pure-ftpd digitiamo il seguente comando come 

root 

apt-get install pure-ftpd-common pure-ftpd 

Dopo l'installazione troveremo la cartella /etc/pure-ftpd che sarà la 

cartella all'interno della quale pure-ftpd cercherà le impostazioni di 

configurazione per il servizio. Il demone che viene fatto partire è il 

/usr/sbin/pure-ftpd-wrapper, demone che viene fatto partire dei 

tcpwrapper all'interno del file di configurazione /etc/inetd.conf. 

Configurazione di pure-ftpd. 

pure-ftpd utilizza la gestione degli utenti virtuali. Questo significa che 

tutti gli utente creati per la gestione del servizio ftp non saranno utenti 

riconosciuti a livello di sistema, ma solamente all'interno del servizio ftp. 

13/17


Tutti gli utenti virtuali utilizzeranno un utente e un gruppo creati apposta 

all'interno del sistema Linux. Come prima cosa dovremmo quindi creare il 

gruppo e l'utente come segue: 

groupadd ftpgroup 

useradd -g ftpgroup -d /dev/null -s /etc ftpuser 

Creiamo quindi il gruppo ftpgroup e di seguito l'utente ftpuser come 

utente del gruppo ftpgroup e senza home directory (-d /dev/null). 

Ora possiamo creare il primo utente virtuale che verrà poi utilizzato per 

gli effettivi collegamenti tramite client FTP: 

pure-pw useradd test1 -u ftpuser -d /home/ftpusers/test1 

Con questo comando creiamo l'utente virtuale test1 che verrà gestito 

dal sistema con i diritti di ftpuser e avrà come home directory la cartella 

/home/ftpusers/test1. Nel caso in cui il demone pure-ftpd-wrapper 

fosse fatto partire con il parametro -j il sistema creerebbe la home 

directory automaticamente. Altrimenti dovremmo creare le cartelle 

manualmente. 

Creando le cartelle manualmente dobbiamo naturalmente fare attenzione 

all'utente proprietario della relativa cartella (ftpuser). 

Gli utenti creati verranno inseriti all'interno del file /etc/pureftpd/pureftpd.passwd. 

Questo file non viene però letto direttamente 

dal demone in esecuzione. Per questo motivo diventa indispensabile 

eseguire il comando 

pure-pw mkdb 

che creerà il file /etc/pure-ftpd/pureftpd.pdb, un file binario che verrà 

letto direttamente dal demone in questione. E' importantissimo, quindi, 

ricordarsi di eseguire questo comando ogni volta si vada a modificare il 

file pureftpd.passwd. 

Per modificare la password di un utente già esistente basta digitare 

pure-pw passwd test1 

oppure 

pure-pw userdel test1 

per eliminare l'utente dal servizio. 

Anche dopo queste operazioni va eseguito il pure-pw mkdb. 

L'ultimo passaggio che dobbiamo ricordarci di fare è di attivare la relativa 

gestione dei permessi. All'interno della cartella /etc/pure-ftpd/conf 

14/17


troviamo una serie di file di configurazione che possono essere utilizzati 

per definire il sistema di verifica dei permessi da utilizzare. Nel nostro 

caso il sistema da utilizzare è PureDB, ossia la banca dati creata con 

pure-pw. I sistemi utilizzati per la verifica dei permessi pure-ftpd lo va a 

cercare all'interno della cartella /etc/pure-ftpd/auth. pure-ftpd prende 

quindi i file in sequenza (alfabeticamente parlando) presenti all'interno di 

questa cartella per verificare se l'utente ha accesso o meno. 

Per attivare il PureDB basta creare un link simbolico all'interno della 

cartella auth come segue: 

cd /etc/pure-ftpd/auth 

ln -s ../conf/PureDB 50pure 

Facciamo ripartire il demone con 

/etc/init.d/pure-ftpd restart 

Da ora in poi sarà possibile utilizzare un client ftp come FileZilla (o simili) 

per effettuare l'upload o il download dei file. 

15/17


Server di posta 

Il server di posta elettronica si divide in servizio di invio e di ricezione 

della posta. Il protocollo utilizzato per l'invio della posta elettronica è 

SMTP, mentre uno dei protocolli utilizzati per la ricezione è il protocollo 

POP3. Come server SMTP installeremo il programma sendmail, come 

POP3 server popa3d. 

Installazione di sendmail. 

Per installare il server sendmail digitiamo il seguente comando come 

root 

apt-get install sendmail 

La cartella utilizzata da sendmail come deposito dei file di configurazione 

è la cartella /etc/mail/. 

Configurazione di sendmail. 

Il file di configurazione base di sendmail è /etc/mail/sendmail.cf che 

permette di configurare il sistema base di sendmail. Questo file è molto 

complesso e non è mia intenzione spiegare tutte le opzioni possibili. 

Cercheremo di concentrarci solamente sulle opzioni più importanti. 

16/17


DS 

Nel caso in cui il nostro server SMTP non sia collegato direttamente ad un 

sistema DNS e non sia quindi in grado di risolvere le email di destinazione 

diventa necessario l'utilizzo di un server SMTP primario. Al nostro server 

SMTP possiamo quindi indicare il server da utilizzare per l'invio delle 

email. In questo caso inseriamo l'indirizzo IP del server da utilizzare come 

segue 

DS192.168.0.1 

Dove 192.168.0.1 è il server SMTP primario che viene utilizzato per 

l'invio della posta elettronica. 

Per quanto riguarda le altre impostazioni il server dovrebbe funzionare in 

maniera corretta anche con le impostazioni standard. 

Utilizzare /etc/aliases. 

In alcuni casi può essere interessanti reindirizzare email con precise 

destinazioni ad un'altra email presente all'interno del sistema. In questo 

caso possiamo utilizzare il file /etc/aliases come segue: 

webmaster: root 

info: root 

root: user 

Le email inviate a webmaster@miodominio.it e info@miodominio.it 

verranno indirizzate a root, che a sua volta verranno indirizzate a 

user@dominio.it. 

Dopo aver modificato il file /etc/aliases è indispensabile eseguire il 

comando 

newaliases 

Installazione di popa3d. 

Per installare il server popa3d digitiamo il seguente comando come root 

apt-get install popa3d 

Il sistema di POP3 non deve essere configurato perché utilizza gli utenti 

registrati all'interno del sistema Linux come utenti di posta elettronica. 

17/17

LINUX DEBIAN ETCH I servizi di rete

Create successful ePaper yourself

Delete template?

Save as template?