» Сервер на FreeBSD 4.7 пошаговая установка

Доброговремени суток всем.

Может кто сталкивался с ядром OpenBSD 3.3 какие опции необходимо включить для работы ее в качестве роутера (фаервол, проки,маршрутизация), DNS сервера, WINS сервера, www и ftp сервера. Подскажите где можно почитать об этом на руском.

Заранее спосибо всем.

Цитата:

....вам пока не нужна поддержка протокола IP6?
#options FFS# - и этой файловой системы...
#options FFS_ROOT# - и этой ее фичи...

а может нам вообще не надо чтобы оно работало? там жеж сказано keep this! потому как это надо для работоспособности системы, вообще кому интересно пересобирание ядра рекомендую почитать Паскаля хендбук и естессно LINT

Кто может написать как ПРАВИЛЬНО обновлять систему&ставить security фиксы на freeBSD ??
P.S. имеется в виду конечно же не перставлять систему
P.P.S описании только держать полное дерево сырцов, патчить и компилить

bukaa
http://forum.ru-board.com/topic.cgi?forum=8&topic=4501#1

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/makeworld.html

Дошел до пункта 2.3.1

2.3.1. Установщик портов обратится в интернет для получения пакета исходных текстов. Если у вас есть откомпилированный пакет программы, можно установить ее командой:
pkg_add decoXXXXXXXX.tgz
или:
pkg_add ftp://servername/serverpath/decoXXXXXXXX.tgz
где XXXXXXXX - номер версии программы, например, deco-3.8.3_1.tgz


Так как инета нету на том компе, на котором фряху ставлю, скачал я этот архив из инета на другом компе, переписал на дискету.
Как мне этот архив к фряхе прикрутить? Если не в лом, пошагово... я еще ламер во фряхе

Sergey21102
mkdir /mnt/floppy
mount_msdosfs /dev/fd0 /mnt/floppy (или mount_msdos)
pkg_add -v /mnt/floppy/deco*

Цитата:

mount_msdosfs /dev/fd0 /mnt/floppy (или mount_msdos)

прошла команда mount_msdos

Спасибо Demetrio !!!



Добавлено
А при смене дискеты демонтировать-монтировать floppy не надо?
А то записал другой файлик, а он его не видит

Добавлено
Предыдущий вопрос снят, сделал инсталяцию заново, Deco поставилась!!!!

Ну а с DECO теперь будет все значительно проще.

Замечательное руководство для чайников, вот только надо бы добавить как deco поставить с дискеты.

Решил по ходу дела сюда свои замечания по шаговой установке писать применительно к версиям 4.10 и 5.2.1

1.
Цитата:

1.7. Разбейте раздел в пункте меню label. Создайте своп сервера мегабайт на 100-300 командой c 200MB SWAP и корневой раздел командой c <enter> FS с точкой монтирования /. Выход Q.

Ну во первых мы, чайники, все буквально понимаем поэтому так и пишем корневой раздел "/." а надо "/" .
Во вторых на сервере недопустимо создание только этих двух разделов, для "потренироваться" этого достаточно, для работы нет. Необходимы еще /var /tmp /usr


Цитата:

Список устанавливаемых на сервер программ выберите в меню distributions. Для сервера или файрволла будут нужны [x]minimal, затем в пункте >>custom добавьте [x]doc, [x]man, [x]ports и в подменю [ ]src исходники ядра [x]sys. Выйдите в меню установки <<<exit <<<exit <<<exit.

Это уж совсем минимальный набор, с ним даже DECO не ставиться. Оптимальным я считаю в меню distributions выбрать "Developer".


Цитата:

1.11. После того, как будут выполнены все операции, система спросит, не хотите ли вы вернуться в меню, чтобы сделать еще какие-нибудь настройки. Ответьте на вопрос "Visit the..." [y]

после выполнения этого пункта и перед установкой пароля root-а опять таки ,что бы не лазить не искать всякие там библиотеки для установки того же самого MC полезно в том же меню сначала выбрать "Distributions" и выбрать все и после того как "Distributions" установиться установить все из "Packages".

Самих DECO и МС в /usr/ports/misc/ нету, в дистрибутиве 4.10 и в 5.2.1 лежат только ссылки на исходный код , поэтому их нужно отдельно скачать из инета (скачивать нужно не исходный код, а уже откомпилированную программу) и записать на дискету, после этого

mkdir /mnt/floppy
для 5.2.1
mount_msdosfs /dev/fd0 /mnt/floppy
для 4.10
mount_msdos /dev/fd0 /mnt/floppy
pkg_add -v /mnt/floppy/deco*

(Спасибо Demetrio за подсказку)

С DECO уже можно спокойно лазить по каталогам и править файлы.
Советую сразу же в /etc/natd.conf разкоментарить FTP и TELNET, после перезагрузки к фряхе уже можно подцепиться по FTP (например из Far-a и не root-ом) с другого компа и писать программы не влезающие на дискету.

я считаю что для сервака необходимо:
- FS разбить в духе
/ - 128Mb
swap - RAMx1.5
/usr - MAX
/usr/home - 32Mb в зависимости от количества юзверей
/var - 1-2Gb должно хватить за глаза если вы конечно не думаете ставить сюда мускул
/var/tmp - 128-256Mb
еще бы желательно добавить /root и какой нить /pub для всяких апачей/профтпд

- в дистрибутивах выбирать custom и пихать туда sys, include, а так же lib, sbin для IPFW2 и etc (у мя без этого на 4.10 отказалось работать) хотя вы можете вообще выбрать режим kernel developer и вам напхается туда все что надо для пересборки ядра

- из всех пакаджей установить только cvsup т.к. после установки сразу же надо будет проапгрейдить порты, а вот потом уже из них ставить всякие mc и прочие deco, в противном случае установка mc потянет за собой кучу устаревших библиотек. которые после апдейта будут нужны только самому mc если правда вы portupdate юзать не намереваетесь

Sergey21102

Цитата:

Самих DECO и МС в /usr/ports/misc/ нету,

В /usr/ports вообще пакетов нету. Там инструкции для сборки и установки, наборы патчей etc.

Вырезки из личного опыта:



1. Разделение дисковой подсистемы:
Для безопасности и удобства категорически рекомендуется делать как минимум /usr /tmp /var /home отдельными точками монитирования.
Корневой раздел "/" -- 200M-350M.
/usr -- "Основной" раздел, весь софт ставится сюда, squid по умолчанию хранит кэш, размер зависит от общей емкости дисковой подсистемы.
/home -- Раздел с домашними каталогами пользователей, если не планируется использовать Samba, то можно сделать не очень большим ( 2 - 4 GB), иначе зависит от количества пользователей.
/var -- Раздел с логами, размер зависит от того как часто вы сохраняете(ли) старые логи на внешних носителях, какой объем почты (если вы не используете MySQL или другую БД в качестве хранилища для почты). Рекомендуется не скупится на этом разделе, так как например логи апача имееют тендецию расти довольно быстро :).
/var/db -- Раздел, где обычно храняться файлы БД всяких типов (MySQL, OpenLDAP, ...), при их интенсивном использовании категорически рекомендуется вынос в отедльную точку монитирования для удобства. Размер напрямую зависит от интенсивности использования.
/tmp -- Раздел с временными файлами, обычно >500M хватает за глаза.
swap -- Рекомендуемая формула: размер_оперативной_памяти * 2.

1.2 Выбирать устанвливаемые компоненты руками (лучше потратить на это время, поверьте), и выбирать только то, что вам нужно, причем желательно не ставить серверы с диска, а установить их позже из обновленных портов.

2. Флаги для монтируемых разделов (в /etc/fstab):

/rw
/usrrw
/homerw, nosuid
/varrw, noexec (с noexec могут возникнуть проблемы при помещении в /var чего-нибудь в chroot)
/var/dbrw, noexec
/tmprw, noexec, nosymlink

3. Рекомендации при установке:
При установке, обязательно установите пакет cvsup, так как при сборке из портов он потребует компиляции тяжелых зависемостей.

4. Рекомендуемые действия сразу после установки FreeBSD:
Пересобрать ядро, убрав оттуда опции отладки, которые включены туда по умолчанию в пятой ветке. Добваить следующие опции:

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options DUMMYNET

Обновить дерево портов, для этого вам необходима программа cvsup и выход в интернет. Создаем файл /etc/cvsupfile с примерно таким содержанием:

######## /etc/cvsupfile start #########

*default host=cvsup7.FreeBSD.org
*default base=/usr
*default prefix=/usr
*default release=cvs tag=.
*default delete use-rel-suffix

ports-all

######## /etc/cvsupfile end #########

В /usr/ports/.cvsignore добавляем название директорий портов, которые не имеет смысла обновлять на сервере (например все, что относится к X-ам...) на сервере.

Далее выполняем
host# cvsup -g -L 2 /etc/cvsupfile

Рекомендуется выполнять эту команду cron-ом еженедельно или еще чаще. И с такой же переодичностью смотреть вывод pkg_version на предмет поялвения обновленного софта, можно просто сделать скрипт, который шлет мыло админу со списком устаревшего ПО).

5. Увеличение уровня безопасности:

man security

Не ставить не необходимое серверное ПО и вообще стараться меньше лишнего ПО ставить.

Удаленно администрировать минимум по ssh и обращать внимание на дату и место последнего входа.

В /etc/sysctl.conf добваляем следующие строчки:
security.bsd.see_other_uids=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

В /etc/rc.conf
kern_securelevel_enable="YES"
kern_securelevel=2 # В случае, если сетевая часть уже сконфигурирована и правила ipfw и dummynet НЕ БУДУТ меняться, выставляется уровень 3.

Установка программы tripwire, очень полезная вещь.

Если не будут использоваться бинарники (что на сервере вряд ли) от linux то из /boot/loader.conf уберитие строчку linux_load="YES" если она там есть.
Подписаться на freebsd-security и читать что там пишут :)

Обеспечить физическую безопасность сервера.
Переодически просканивать сервер nmap-ом извне и смотреть на результаты. (можно запросто автоматизировать)

cron-ом раз в неделю пытаться подобрать пароли пользователей с помощью программы типа crack или JTR.

6. Общие положения:
Если используете Samba то man tuning категорически рекомендуем (с) www.opennet.ru . Кстати, там же, откуда эта цитата есть хорошие статьи по Samba и FreeBSD.

Не ленитесь делать бэкапы. :)

knick
Спасибо, вырезки очень ценные!!!

Я как раз сегодня ядро 5.3 пересобирал, заметил что в 5.3 отличается формат некоторых записей в файле конфигурации, да и теперь в каталоге /usr/src/sys/i386/conf далеко не два файла.

Есть вопрос

Цитата:

Пересобрать ядро, убрав оттуда опции отладки, которые включены туда по умолчанию в пятой ветке.

Что за пятая ветка?

Sergey21102

Цитата:

Что за пятая ветка?

FreeBSD 5.x

Цитата:

Цитата:Что за пятая ветка?

FreeBSD 5.x

А где там опции отладки?

А NOTES это теперь бывший LINT?

Sergey21102

Цитата:

/*....*/
# Debugging for use in -current
options DDB #Enable the kernel debugger
options INVARIANTS #Enable calls of extra sanity checking options INVARIANT_SUPPORT #Extra sanity checks of internal structures, required by INVARIANTS #options WITNESS #Enable checks to detect deadlocks and cycles
#options WITNESS_SKIPSPIN #Don't run witness on spinlocks for speed
/*...*/

Цитата:

А NOTES это теперь бывший LINT?

host# cd /usr/src/sys/i386/conf && make LINT

Следующая засада...


Цитата:

1.16. Сетевые настройки. Сначала нужно настроить интерфейс, смотрящий в локальную сеть, а потом смотрящий в инет, чтобы в качестве шлюза по умолчанию был роутер или файрволл.
Networking -> Interfaces -> xl1 -> IPv6 [NO] -> DHCP [NO] -> HOST: www.mydomain.ru; DOMAIN: mydomain.ru; IPv4 Gateway: 192.168.1.1; Name Server:10.0.0.1; IPv4 Address: 10.0.0.1; Netmask: 255.0.0.0 [OK] -> Would you like to bring... [YES]
Interfaces -> xl0 -> IPv6 [NO] -> DHCP [NO] -> HOST: www; DOMAIN: mydomain.ru; IPv4 Gateway: 192.168.1.1; Name Server:10.0.0.1; IPv4 Address: 192.168.1.2; Netmask: 255.255.255.252 [OK] -> Would you like to bring... [YES]

сразу два интерфейса настроить не получится, ни в 4.10, ни в 5.2.1 и в 5.3.
Программа почему то после настройки первой сетевой карты и при входе в настройку второй сетевой карты копирует в это окно настройки первой сетевой карты и если поменять эти настройки, то в rc.conf попадут совершенно одинаковые настройки для двух интерфейсов. Кстати, возможно в этом есть глубокий смысл, но в любом случае после первой перезагрузки необходимо править /etc/rc.conf. Глубокий смысл наверное в том, что после перезагрузки при любом раскладе сетевых концов всегда попадаешь именно в ту сеть, настройки которой писал последней.

Цитата:

сразу два интерфейса настроить не получится, ни в 4.10, ни в 5.2.1 и в 5.3.
Программа почему то после настройки первой сетевой карты и при входе в настройку второй сетевой карты копирует в это окно настройки первой сетевой карты и если поменять эти настройки, то в rc.conf попадут совершенно одинаковые настройки для двух интерфейсов. Кстати, возможно в этом есть глубокий смысл, но в любом случае после первой перезагрузки необходимо править /etc/rc.conf. Глубокий смысл наверное в том, что после перезагрузки при любом раскладе сетевых концов всегда попадаешь именно в ту сеть, настройки которой писал последней.

как раз попался на это, а как нужно делать?

Я второй интерфейс ручками прописывал в rc.conf. Хотя недавно у меня в 4.11 получилось оба интерфейса прописать. После того как один интерфейс прописал вышел не на один уровень меню, а на два и после этого вернулся второй интерфейс заполнять. Попробуй, вдруг получиться...