• 1. Gyorstalpalás
  • 1.1 A szoftver beszerezése: CD-set, vagy FTP tükör.
  • 1.2 A telepítés menete
    • 1.2.1 Indítás CD-ről vagy floppy-ról
    • 1.2.2 Szükséges alapbeállítások, partícionálás
    • 1.2.3 A hálózat beállítása
    • 1.2.4 Alaprendszer telepítése, újraindítás a merevlemezről
    • 1.2.5 A jelszórendszer beállítása. (“MD5”, “Shadow password”)
    • 1.2.6 Az “apt” program beállítása
    • 1.2.7 A “dselect” program
      • A csomagok kiválasztása
    • 1.2.8 A feltelepített programok konfigurálása
• 2. Finomítás
  • 2.1 Első lépések
  • 2.2 Az Inetd.conf finomhangolása - a nem biztonságos szolgáltatások letiltása
  • 2.3 A levelező démon beállítása
    • A titkosítás beállítása
  • 2.4 Másik gép használata a fordításokhoz, miért?
  • 2.5 Személyre szabott kernel konfigurálása és fordítása kézzel és a “kernel-package” csomaggal. A “lilo” beállításai.
  • 2.6 Az Apache finomhangolása, esetleges újrafordítása hardver és feladatorientáltan
    • Az Apache fordítása
  • 2.7 Az SSH konfigurációjának finomhangolása
  • 2.8 Szoftveres figyelő (“watchdog”) beállítása
  • 2.9 E-mail titkosító kulcspárok létrehozása a “gpg” programmal
  • 2.10 A rendszernapló (log) és kezelése
    • 2.10.1 A “syslog” démon kiválasztása
    • 2.10.2 A naplófájlok rotálásának beállítása
    • 2.10.3 A Web-szerver naplófájljai
    • 2.10.4 A napló automatikus ellenőrzése
  • 2.11 A Web-szerver statisztikái
  • 2.12 Az “upsd” beállítása
  • 2.13 A biztonsági mentés időzítése
  • 2.14 A szükséges felhasználók/csoportok létrehozása és a lemezkvóták beállítása
  • 2.15 A “/etc/fstab” és az “init script”-ek beállítása
  • 2.16 A “tripwire” program beállítása és használata

1.1 A szoftver beszerezése: CD-set, vagy FTP tükör.

• A standard, általános célú készlet egyben megtalálható a fenti könyvtárban. Ez méretben a legnagyobb, szinte minden modul le lett fordítva. Ha nem tudjuk, hogy mire lesz szükség, ezt érdemes használni. Előnye, hogy szinte mindennel működik, amit a Linux támogat, hátránya a nagy mérete.



• A compact változat sokkal kisebb, csak egy modul lemez tartozik hozzá. Természetesen kevesebb hardvert támogat. Előnyös olyan esetekben, ahol tudjuk, hogy mire számíthatunk, és a megfelelő vezérlők benne vannak ebben a csomagban. Ez a készlet az azonos nevű alkönyvtárakban található. Olvassuk el a README.txt fájlt bővebb információkért.



• Az idepci készlet olyan esetben használatos, amikor nincsenek SCSI-s eszközeink (merevlemez) és PCI buszos IDE vezérlős merevlemezre akarjuk telepíteni a rendszert.



• Az udma66 készletre akkor van szükségünk, ha a merevlemezünk ATA-66-os IDE vezérlőre van csatlakoztatva. (pl. HPT366)

2. kép - Üdvözlőkép

3. kép - Speciális indítási paraméterek

4. kép - Indítási metódusok

5. kép - Merevlemez partícionálás

6. kép - A cfdisk program

7. kép - Modulok kiválasztása és betöltése a modconf programmal

8. kép - Hálózati modulok tallózása

9. kép - Az APT program beállítása

• csomag: deb: bináris csomag, vagyis a .deb fájlok kellenek (forráskód esetén “deb-src”)



• protokoll: lehet “ftp”,“file”¹¹⁸ vagy “http”



• szervernév: a tükör helye, domén-név, vagy IP cím



• tükörgyökér: az adott szerveren belül hol kezdődik a tükör (melyik alkönyvtárban)



• változat: lehet “stable” “unstable” “frozen”. Ez mind a három egy-egy szimbolikus kötés (link) az adott állapotban lévő változathoz. Az írás pillanatában a Potato még “frozen” állapotban van¹¹⁹, ezért inkább direkt módon határozom meg annak a helyét.



• szekciók: a használni kívánt szekciók egymástól üres közzel elválasztva.

• az apt-get update paranccsal frissíthetjük a csomaglistát,



• az apt-get upgrade paranccsal frissíthetjük a csomagokat,



• az apt-get dselect-upgrade paranccsal a dselect által kiválasztott új csomagokat is telepíthetjük,



• az apt-get install csomagnév paranccsal letölthetünk és telepíthetünk egy csomagot



• az apt-get remove csomagnév paranccsal eltávolíthatunk csomagokat



• és még sok mást is tehetünk, ha elolvastuk a dokumentációt.

10. kép - dselect - Főmenü

• 0. Access: ki tudjuk választani, hogy milyen médiáról telepítjük a csomagokat. Ez a módszer lehet most apt, floppy és nfs. (CD esetében cdrom, multicd is), továbbá később lehet http, ftp is. Mivel az apt már be van állítva, ezzel ne is foglalkozzunk.



• 1. Update: itt indíthatjuk a csomaglista frissítését. Esetünkben ez az apt-get update parancsnak felel meg.



• 2. Select: Ez az egész program szíve-lelke. A csomaglistában tallózhatunk, és a kívánt csomagokat kijelölhetjük telepítésre, megtartásra, törlésre, vagy teljes törlésre.¹²⁰ Részletesen később.



• 3. Install: Ezzel indíthatjuk a csomagok letöltését (Internet esetén) vagy bemásolását (CD esetén). Miután a csomag a rendszerbe került, ki lesz csomagolva, majd be lesz állítva. Bizonyos csomagok interaktivitást igényelnek a rendszergazdától beállítás közben.



• 4. Config: Ha egy csomagot az előző menetben nem tudott a rendszer beállítani, de már ki lett bontva, akkor itt újra próbálkozhatunk.



• 5. Remove: A törlésre jelölt csomagok eltávolítását itt lehet elindítani.



• 6. Quit: A dselect programból való kilépés.

11. kép - dselect - Súgó

12. kép - dselect - Csomaglista

Az “unpacking” fázisban:

netbase:

1. adjuk meg, hogy mely IP tartomány helyi: 127.0.0.1/8 (mivel igazi IP címünk van, nem adunk meg belső hálózati tartományokat.)



2. adjuk meg mely hálózati interfészekkel rendelkezünk, pl.: eth0 eth1

logcheck:Engedélyezzük, hogy felülírja az /etc/cron.d/logcheck fájlt, ha ezt kéri.

mysql-server:

1. figyelmeztet, hogy adjunk meg egy adatbázis rendszergazda felhasználót. Ezt majd később megtesszük.



2. Megkérdezi, hogy ha a mysql-server teljes eltávolítását kérjük, akkor letörölje-e az adatbázisainkat is. Válaszoljunk nemmel.

snort: (portscan-detektor): adjuk meg azt az IP tartományt, ahonnan portscan támadásokat várunk. Mivel az interneten vagyunk, ez legyen a saját IP címünk/tartományunk. (Vagy az Internet Kijárat IP-je, stb.)

ssh: az ssh kliens kapjon-e SUID bitet. Semmiképp, mivel nem akarunk .rhosts azonosítást. Nem a válasz.

lilo: megkérdi, hogy az új LILO fájlok segítségével hozzon-e létre új indítót. Igen.

A következőkben számos csomag kerül kibontásra és telepítésre. Ezek nem igényelnek interaktivitást.

A következő kérdés az /etc/motd (Message of the day) cseréje. Y,I: igen, N,O: nem, D: megmutatja a kettő közötti különbséget, Z: majd később döntök. Válasszuk az Y-t. A csomagok telepítése folytatódik.

A “setting up” fázisban:

netbase:

1. kikapcsoljuk-e az inetd.conf-ban a DoS veszélyes szolgáltatásokat? Igen.



2. Az ipfwadm parancs legyen-e ipchains kompatibilis átjátszó? Igen.



3. Akarunk-e IPv6-os címeket az /etc/hosts-ban. Nem.

apache-ssl:Az SSL szerverhez készül egy azonosító. A cégünkről kell adatokat megadnunk, hogy majd a kliens azonosíthassa szerverünket. Írjuk be az ország nevét (HU), a megye nevét (pl. Zala), a város nevét, a cég nevét, az eszköz titulusát: Web-szerver, majd végül a szerver nevét: www.boresszormegyar.hu, email címét (pl. info@boresszormegyar.hu.

postfix-tls:

1. kérdést tesz fel, hogy a levéltovábbítás előtt az átmeneti fájlok olvashatóak legyenek-e a gépen fenn levő felhasználók által (gyorsabb út), vagy legyen egy külön felhasználó (postdrop) létrehozva, és ekkor csak a rendszergazda láthatja ezeket a fájlokat (lassabb, de biztonságosabb út). Válaszunk Igen.



2. Adjuk meg a gépünk nevét: alfa.boresszormegyar.hu



3. Elindítsa-e a levelező démont? Igen.

13. kép - a “snort” program beállítása

snort:

1. Mikor induljon el a portscan detektor? “boot” vagyis induláskor.



2. Melyik interfészen figyeljen? Amelyiken az Internetre vagyunk kapcsolódva. Nekem eth0.



3. A hálókártya hallgatózó üzemmódját kikapcsolja-e? Igen.¹²³



4. A következő kérdésre Igen legyen a válasz, itt nem részletezem.



5. Addicionális paraméterek: nyomjunk egy Enter-t.



6. Ki kapja meg email-ben a napi statisztikákat: adjuk meg e-mail címünket.



7. Itt is nyomjunk Enter-t

webalizer:

1. hova tegye a kész statisztikákat? Ha ki akarjuk tenni a Web-re, akkor nyomjunk Enter-t (nem ajánlott). Adjunk meg neki egy nem nyilvános könyvtárat.



2. Melyik gépnek nézzük meg a statisztikáit? Adjuk meg az egyik virtuális Web-szerverünk nevét.

php3: elindítsam az apache-ssl beállítóját, hogy a modult betöltse? Igen.

apache-ssl: ki a Web-szerver rendszergazdája (e-mail). Az alapértelmezés jó lesz, lásd későbbiekben.

1. Mi legyen a nyilvános neve a Web-szervernek? www.boresszormegyar.hu



2. megkeresi a dinamikusan betölthető modulokat. Ezekeket majd később beállítjuk kézzel. Elmentsem a beállításokat? Igen.



3. Újraindítsam az Apache-ot? Igen.

lshell: (korlátozott shell, az átlagfelhasználók jogait tudjuk vele korlátozni belső DoS támadások kivédésre) A kérdésre válaszoljunk Igennel. Figyelem! Azoknak a felhasználóknak, melyeknek sok erőforrást biztosítunk, adjuk vissza később a /bin/bash rendes shell-t az /etc/passwd fájlban!

lynx-ssl: adjuk meg kezdőoldalnak a saját gépünket.

tripwire: (fájl integritás auditáló program) kinek küldje el a rendszeren észlelt változásokat? Adjuk meg a gyakran olvasott e-mail címünket.

watchdog: (hasznos őrszem DoS ellen): elindítsa-e minden induláskor a démonját? Igen. És most? Igen.

1. Első lépésként tegyük a /root könyvtárat olvashatatlanná mások számára: chmod o-xr /root Tegyük meg ezt továbbá minden felhasználói könyvtárral is, hogy a felhasználók egymás személyes anyagába ne nézhessenek bele: chmod o-xr /home/* ¹²⁴



2. Állítsuk be a TCP SYN-flood elleni védekezést¹²⁵: szerkesszük meg az /etc/network/options fájlt és írjuk be ezt a sort: syncookies=yes, továbbá egy ilyen sornak is szerepelnie kell: spoofprotect=yes¹²⁶ Ezután állítsuk le, majd indítsuk újra a hálózati interfészt: /etc/init.d/networking stop; /etc/init.d/networking start



3. Változtassuk meg az /etc/default/rcS fájl utolsó sorát FSCKFIX=no -ról yes-re. Ezzel elérjük, hogy ha a rendszer hibásan állna le és az fsck program beindul, annak minden kérdésére válaszoljon yes-el a rendszer, különben rendszergazdai beavatkozásra lenne szükség a helyszínen. (Vagyis minden felmerülő hibát automatikusan kijavít.)



4. Készítsük el a következő ipchains táblát, pl. a /root/szabalyok.sh fájlba:

   #!/bin/sh
   
   MYIP=”sajátIP”
   
   # IPChains szabályok
   
   # Az alapártelmezett viselkedés tiltó (-P = Policy)
   
   ipchains -P input DENY
   
   ipchains -P output DENY
   
   ipchains -P forward DENY
   
   # Kitöröljük az előző szabályokat (-F = Flush)
   
   ipchains -F
   
   # Befelé jövő kérések (-A = Add, -p procotol, -i interface, -s source, -d destination)
   
   # Ezeken a portokon lehet kérni szolgáltatást 
   
   ipchains -A input -p tcp -i eth0 -j ACCEPT -s 0.0.0.0/0 -d $MYIP 80
   
   # a többihez nem írom oda a -s 0.0.0.0/0 (bárhonnan)-t mert ez az alapértelmezés
   
   ipchains -A input -p tcp -i eth0 -j ACCEPT -d $MYIP 443
   
   ipchains -A input -p tcp -i eth0 -j ACCEPT -d $MYIP 22
   
   ipchains -A input -p tcp -i eth0 -j ACCEPT -d $MYIP 25
   
   # Ahhoz, hogy a belső gépről is tudjunk kapcsolódni kifelé, szükség van egy 
   
   # befelé jövő kapcsolati portra is. Mivel ez tetszőleges lehet, ezért tiltsunk
   
   # le minden olyan csomagot, mely kapcsolódni próbálna a portjainkra (-y = SYN flag)
   
   ipchains -A input -p tcp -y -i eth0 -j REJECT -d $MYIP 
   
   # itt viszont megnyitunk minden portot (ACK, FIN, ACK+SYN flag-es csomagok jöhetnek)
   
   ipchains -A input -p tcp -i eth0 -j ACCEPT -s 0.0.0.0/0 -d $MYIP 
   
   
   #Megendedunk néhany ICMP típust a helyes működés érdekében 
   
   # A “nagyok” javaslata alapján ezeket szabad beengedni:
   
   # echo-reply (echo-request) time-exceeded destination-unreachable source-quench
   
   # (a következőket egyenként egy sorba kell írni)
   
   ipchains -A input -p icmp -i eth0 -j ACCEPT -d $MYIP --icmp-type echo-reply
   
   ipchains -A input -p icmp -i eth0 -j ACCEPT -d $MYIP --icmp-type echo-request
   
   ipchains -A input -p icmp -i eth0 -j ACCEPT -d $MYIP --icmp-type time-exceeded
   
   ipchains -A input -p icmp -i eth0 -j ACCEPT -d $MYIP --icmp-type destination-unreachable
   
   ipchains -A input -p icmp -i eth0 -j ACCEPT -d $MYIP --icmp-type source-quench
   
   
   # a localhost-nak megengedhetjuk a működést az lo interfészen
   
   ipchains -A input -p all -i lo -j ACCEPT -s 127.0.0.0/8 -d 127.0.0.0/8
   
   ipchains -A output -p all -i lo -j ACCEPT -s 127.0.0.0/8 -d 127.0.0.0/8
   
   # viszont meg kell tiltanunk azt, hogy valaki a 127.0.0.0-s tartományból 
   
   # küldjön csomagot a nem-hurok interfészeken:
   
   ipchains -A input -j DENY -l -s 127.0.0.0/8 -i ! lo
   
   
   # a kifelé mehet minden, tcp, udp, icmp, stb.
   
   ipchains -A output -p all -i eth0 -j ACCEPT -s $MYIP -d 0.0.0.0/0
   
   

   A fenti lista feltételezi, hogy csak egy Ethernet interfészünk és egy IP címünk van. Több hálózati kártya és IP cím esetén értelemszerűen módosítsuk, vagy egészítsük ki a listát. Ha nem gépeltünk el semmit, és a teszt is működőképesnek mutatja a rendszert, akkor szerkesszük meg. Ha kész, futtassuk le a fájlt: sh /root/szabalyok.sh majd tároltassuk el a beállításokat az ipchains-save > /etc/default/ipchains.rules paranccsal. A szerver leállása esetén ezt a listát induláskor újra be kell tölteni. Lényeges, hogy a lista még a hálózati interfészek felhúzása előtt töltődjön be. Ezt megtehetjük úgy is, hogy átszerkesztjük a networking script-et, vagy írunk egy egyszerű indító script-et /etc/init.d/ipchains-rules.sh néven.

   #!/bin/sh
   
   echo “Restoring IPChains rules…”
   
   /sbin/ipchains-restore < /etc/default/ipchains.rules
   

   Tegyük a fájlt futtathatóvá: chmod a+x /etc/init.d/ipchains-rules.sh Hogy induláskor ez el is induljon, egy szimbolikus linket kell elhelyeznünk az /etc/rcS.d könyvtárban:
   
   ln -s /etc/init.d/ipchains-rules.sh /etc/rcS.d/S38ipchains-rules.sh (Ugyanis a networking a 40-es számot viseli.)



5. Szerkesszük meg az /etc/host.conf¹²⁷ fájlt a következőképp:

   order hosts,bind # mi a név-lekérdezés sorrendje
   
   multi on # egy névhez az összes hozzá tartozó IP-t adja vissza
   
   nospoof on # a DNS átejtést próbálja kiküszöbölni
   
   spoofalert on # az átejtési kísérletet naplózza
   




6. ippl: IP Protocol Logger, vagyis egy csomagforgalom naplózó. Később segítségünkre lehet betörés utáni nyomozásra. Olvassuk el a manuált¹²⁸, szerkesszük meg az /etc/ippl.conf-ot, majd indítsuk újra a démont (/etc/init.d/ippl restart).

   runas nobody # Milyen jogokkal fusson
   
   noresolve all # nem kell DNS feloldás, mert lassít
   
   # ident # nem kell ident kikeresés, mer ez is lassít
   
   # Alapesetben a syslog()-on keresztül naplóz, de
   
   #a három protokollt külön logfájlba is helyezhetjük
   
   #log-in tcp /var/log/ippl/tcp.log
   
   #log-in udp /var/log/ippl/udp.log
   
   #log-in icmp /var/log/ippl/icmp.log
   
   run icmp tcp # csak az icmp-t és a tcp-t naplózzuk
   
   logformat normal all # a log bőeszédűsége: short / normal / detailed
   
   ignore icmp type echo_reply # a ping csomagokat nem naplózzuk
   
   log options ident,resolve tcp port 22 # az ssh-s kapcsolatokat lenyomozzuk
   

   Ahhoz, hogy szét tudjuk válogatni az ippl üzeneteit, helyezzük el ezt a három sort az /etc/syslog-ng/syslog-ng.conf-ba, majd indítsuk újra a syslog-ng-t.

   destination ippl { file(“/var/log/ippl.log”); }; # ide fognak kerülni az üzenetek
   
   filter f_ippl { program(ippl); }; # ennek a szűrőnek a segítségével
   
   log { source(src); filter(f_ippl); destination(ippl); };
   




7. Ha szükség van rá, állítsunk be a kernelnek számunkra megfelelő értékeket a systune program segítségével (ha telepítve lett.) Szerkesszük meg az /etc/systune.conf fájlt.

   # 2.2 és 2.4 kernelek beállításai
   
   # az alapértelmezett egyszerre nyitott fájlok száma 4096
   
   # Amennyiben TÉNYLEG szükség van rá a nagy forgalom és a sok fájl 
   
   # miatt, (olvassuk el először a dokumentációt!) az értéket megnövelhetjük így:
   
   /proc/sys/fs/file-max:16384
   
   # a következő paraméter hasonlóképpen szabályozza az inode számokat:
   
   /proc/sys/fs/inode-max:16384 # eredetileg 8192
   

   Ha változtattunk valamit a beállításokon, érvényesítsük ezeket:
   
   /etc/init.d/systune restart



8. Mentsük el floppy lemezre a partíciós táblát. Ez nagyon előnyös lehet később, ha esetleg valamilyen hiba miatt megsérülne az.
   
   mount /floppy
   
   dd if=/dev/hda of=/floppy/mbr.gépnév.dátum bs=512 count=1
   
   Visszatölthetjük később ezzel a paranccsal:
   
   

   dd if=/floppy/mbr.gépnév.dátum of=/dev/hda bs=1 count=64 skip=446 seek=446 
   




9. Készítsünk egy mysql rendszergazda¹²⁹ jelszót, mely különbözzön a rendszergazdai jelszótól: mysqladmin -u root password új-jelszó
   
   Ezután végezzük el a következőket:¹³⁰
   
   
   • hozzunk létre szövegszerkesztővel egy /root/.my.cnf fájl ezzel a tartalommal:
     

     	[mysqladmin]
     
     	user = root
     
     	password = új-jelszó
     

     
     
   • ha esetleg nem root-ként készítettük volna a fájlt:
     
     chown root:root /root/.my.cnf
     
     chmod 0600 /root/.my.cnf
   
   
   Ezzel elértük, hogy titkos jelszavat adtunk az adatbázis rendszergazdának és még a szerver is jól fog funkcionálni (különben induláskor és leálláskor is jelszót kérne, ami nem lenne jó, ha nem is vagyunk gépközelben). Ezt a jelszót adjuk át az adatbázis-rendszergazdának is, hogy egyáltalán tudjon valamit kezdeni a rendszerével és létrehozhassa a felhasználóit.
   
   Ahhoz, hogy a mysql hibaüzeneti magyarul jelenjenek meg, keressük meg ezt a sort és módosítsuk az /etc/mysql/my.cnf fájlban

   	language=/usr/share/mysql/hungarian
   

set meta-flag on # ezek a magyar bill. kezeléshez szükségesek

set convert-meta off

set output-meta on

PS1='[\u@\h:\w]\$' # ez állítja be a shell prompt-ot

#\u az felhasználó neve, \h a gépnév, \w pedig az aktuális könyvtár

export PS1 # ezzel pedig közzétesszük azt magunknak

umask 027 # állítsuk be az umask értékét

# ez annyit tesz, mint umask -S u=rwx,g=rx,o=

export LS_OPTIONS='--color=auto -h' # kellemes színeket kapunk az ls parancshoz

eval `dircolors`

alias ls='ls $LS_OPTIONS' # ezzel érvényesítjük

alias ll='ls $LS_OPTIONS -l' # legyen egy-két rövidebb parancs a hosszú

alias l='ls $LS_OPTIONS -lA' # paraméterezés helyett

HISTFILESIZE=0 # ez biztonsági okok miatt hasznos, ekkor nem

# olvasható el, hogy milyen parancsokat használtunk eddig

EDITOR=/usr/bin/joe # ha nem adjuk meg, az alap szövegszerkesztő a “vi”

• Titkosított e-mail szállítás a gépek között



• A fogadó gép beazonosítása, hogy azonos-e azzal, akinek mondja magát.



• A küldő gép beazonosítása, levéltovábbítás céljából (relaying)

• A felhasználók leveleinek biztonságát megőrizni - ez a titkosítás csak szállítási rétegre vonatkozik



• A küldő azonosítása

myhostname = alfa.boresszormegyar.hu # a saját gépünk neve

mydomain = boresszormegyar.hu # mi a bejegyzett domén-nevünk

# myorigin = $mydomain # ha ez lenne a fő mail szerver, akkor ezt adnánk forráscímnek 

# milyen gépeknek vagyunk a levelező szervere: ( “A” típusú DNS rekord kell)

mydestination = $myhostname, localhost.$mydomain, www.$mydomain

canonical_maps = hash:/etc/postfix/canonical

# user Név.Név

rgazda Kis.Jozsef

webgazda Nagy.Istvan

abgazda Kovacs.Lajos

#stb.

virtual_maps = hash:/etc/postfix/virtual

# ezeket a doméneket is bejegyeztük, ezért nekik is fogadjuk a leveleket.

borgyar.hu

szormegyar.hu

# ==================================================================

# service type private unpriv chroot wakeup maxproc command + args 

# (yes) (yes) (yes) (never) (50) 

# ==================================================================

smtp inet n - n - 10 smtpd

# a postamesternek szánt leveleket a rendszergazda kapja meg két helyre is

postmaster: rgazda@gyakranolvasom.hu root

# a webmesternek szánt leveleket ketten is megkaphatják

webmaster: rgazda@gyakranolvasom.hu webgazda, wgazda@gyakranolvassa.hu 

# minden root-nak szánt levelet továbbítsunk

root: rgazda@gyakranolvasom.hu

info: titkarno

• 1 db titkos kulcs a szerverhez



• 1 db nyilvános kulcs a szerverhez, melyet egy CA¹⁴⁵ hitelesített (~digitálisan aláírt), mely azt bizonyítja, hogy cégünké az adott gépnév (és domén).



• 1 db CA igazolás a CA nyilvános kulcsával

1. Megkeresünk egy segédprogramot és beállítjuk azt igényeinkhez.



2. Legyártunk magunknak egy saját CA kulcsot, hogy CA-vá válhassunk.



3. Legyártunk a levelező szerver számára egy szerver kulcsot.



4. Ezt aláíratjuk a CA kulccsal.



5. Bemásoljuk a fájlokat a helyükre.



6. Megszerkesztjük a konfigurációs fájlt



7. Újraindítjuk a levelezőt.

1. A dokumentáció¹⁴⁶ elolvasása után keressük meg a következő fájlt: /usr/lib/ssl/misc/CA.pl Másoljuk át a /root könyvtárába és hívjuk be kedvenc szövegszerkesztőnkbe. Az alábbi minta alapján szerkesszük át a fájlt (csupán egy -nodes paramétert kell beírnunk két helyre¹⁴⁷):

   […]
   
   # create a certificate
   
   system ("$REQ -new -x509 -nodes -keyout newreq.pem -out newreq.pem $DAYS");
   
   $RET=$?;
   
   print "Certificate (and private key) is in newreq.pem\n"
   
   } elsif (/^-newreq$/) {
   
   # create a certificate request
   
   system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS");
   
   […]
   

   Erre azért van szükség, mert az indításkor nem szabad, hogy a kulcs fájl kódolt legyen, különben a postfix nem fogja tudni beolvasni. Keressük meg továbbá a $DAYS=’-days 365’ sort. Ennyi nap után jár le az igazolás, évente meg kell újítanunk saját magunknak. Sajnos nem jöttem rá, hogyan lehetne ezt működőképesen megnövelni.



2. Most futtassuk ezt a programot: ./CA.pl -newca Ez a kis programocska legyártja nekünk a megfelelő igazolást (CA). Előszöris adjunk meg neki egy jelszót kétszer (erre később emlékeznünk kell!). Majd - az Apache-SSL-hez hasonlóan - töltsük ki itt is az azonosítói adatokat. Ekkor már mi vagyunk a saját azonosító-szolgáltatónk (CA).



3. A következő lépésben futtassuk a ./CA.pl -newreq -t, és töltsük ki ezt is hasonlóképpen:
   
   
   
   14. kép - Postfix - igazolás készítése a CA.pl programmal
   
   A challenge password és optional company name mezőket üresen is hagyhatjuk. (Ezzel elkészítettünk egy igazolást).



4. Ha ez kész, futtassuk le ezt: ./CA.pl -sign Írjuk be a jelszót, a felmerülő kérdésekre válaszoljunk Igen-nel. (Ezzel aláírtuk az igazolást.)



5. Másoljuk be a fájlokat a helyükre:
   
   cp /root/demoCA/cacert.pem /etc/postfix/CA.pem
   
   cp /root/newcert.pem /etc/postfix/igazolas.pem
   
   cp /root/newreq.pem /etc/postfix/privatkulcs.pem



6. Szerkesszük meg a main.cf-et:

   smtp_tls_key_file = /etc/postfix/privatkulcs.pem # a titkos kulcsunk
   
   smtp_tls_cert_file = /etc/postfix/igazolas.pem # a nyilvános igazolás, kik vagyunk
   
   smtp_tls_CAfile = /etc/postfix/CA.pem # a CA igazolása (ezt is mi csináltuk most)
   
   smtpd_tls_key_file = /etc/postfix/privatkulcs.pem # a “d” re végződő paraméterek
   
   smtpd_tls_cert_file = /etc/postfix/igazolas.pem # segítségével kliens is lehet
   
   smtpd_tls_CAfile = /etc/postfix/CA.pem # a szerverünk és így is lehet azonosítani
   

   A titkos kulcsot csak a rendszergazdának szabad látnia:
   
   chown root /etc/postfix/privatkulcs.pem
   
   chmod 400 /etc/postfix/privatkulcs.pem



7. Indítsuk újra a levelezőt: /etc/init.d/postfix restart

2.3 Másik gép használata a fordításokhoz, miért?

1. Csomagoljuk ki a kernelforrást, pl. az /usr/src könyvtár alá:

   tar -xzvf linux-2.2.16.tar.gz; cd linux
   

2. Ha kell, foltozzuk be a szükséges plusz kódokkal. Pl.:

   cat folt.txt | patch -p1 -E -N -s -d /usr/src/linux
   

   Ha úgy döntünk, alkalmazzuk az OpenWall-féle kódot, csomagoljuk ki:

   tar -xzvf linux-2.2.16-ow1.tar.gz
   

   Majd pedig foltozzunk:

   cat linux-2.2.16-ow1/linux-2.2.16-ow1.diff | patch -p1 -E -N -s -d /usr/src/linux
   

   Ha használni akarjuk a LIDS rendszert is, olvassuk el a függelékben lévő útmutatót.



3. Mivel már tudjuk, hogy melyik hardver elemet milyen vezérlővel fogunk használni, ezért keressük elő ezt a jegyzetünket. Végezzük el a kernel konfigurálását. Ezt háromféleképpen is megtehetjük: make config, make menuconfig, make xconfig parancsokkal. Az első elég kényelmetlen, mert egyenként rákérdez minden egyes lehetőségre. A második már jó, ekkor egy színes, menüs, de még szöveges programocska fut, melyből kényelmesen kiválogathatjuk, hogy mi kell nekünk. Ehhez szükséges az ncurses-dev csomag, mivel ez a programocska is le kell, hogy forduljon és ncurses képernyőkezelő rutinokat használ. Kérésre angol nyelvű rövid leírást kapunk minden egyes opcióról.
   
   
   
   15. kép - make menuconfig
   
   A harmadik változat a legkényelmesebb, egy TCL/Tk függvénykönyvtárat használó grafikus X11 felületű beállító-programot kapunk.
   
   
   
   16. kép - make xconfig

• Code maturity level options / Prompt for development and/or incomplete code/drivers: a félkész/fejlesztés alatt lévő eszközvezérlők és funkciók megjelenítése választási lehetőségként. Kell.



• Processor type and features / Processor family: válasszuk ki, hogy milyen processzor van a gépünkben. Math emulation - ez semmiképp sem kell, ha van FPU¹⁵⁰ a gépünkben. MTRR¹⁵¹ support: ha i686-os processzorunk van akkor ennek a használata gyorsítja a végrehajtást, kellhet. SMP support: ha egynél több processzor van a gépünkben, akkor kell.



• Loadable module support / Enable …: kell, hiszen szeretnénk modulokat használni. Kernel module loader: mindenképp kell - kernelszintű modul betöltő.



• General setup / Networking support: [y], hiszen épp hálózatra tesszük a gépet. Itt be lehet állítani a PCI buszt, ha van tegyük. A System V IPC, a BSD process Accounting, Sysctl support, kernel support for ELF bin., mindenképp kell. Ha akarjuk használni a párhuzamos portot, tegyük be, de ez is egy betörési lehetőség lehet a gépre, igaz helyi. Én javaslom az APM¹⁵² support kernelbe-fordítását és megfelelő beállítását (SMP módban nem megy). Egyrészt áramot és ezzel pénzt spórolhatunk meg, másrészt megnöveljük a szerver élettartamát, mivel kevesebbet “pörög” a gép processzora. Figyelem! A suspend funkciót tiltsuk le a BIOS-ban, csak a doze mode-ot engedélyezzük (esetleg a stand by módot is), mely - ha nincs szükség rá - leszabályozza a processzor frekvenciáját.¹⁵³ A suspend funkció hatására a gép alvó-üzemmódra kapcsol és csak pl. a billentyűzet megnyomásával ébreszthető fel - ez szervereken nem előnyös. Ha a gép nagyon nagy forgalmat bonyolít, akkor az egész APM-et hagyjuk ki. Ha viszont keveset forgalmaz, akkor fontoljuk meg használatát. Javaslom továbbá az RTC GMT¹⁵⁵-hez való állítását is.



• Plug and Play support: ha van ilyen kártya a gépben, akkor kapcsoljuk be.



• Block devices: válasszuk ki, milyen blokkos eszközöket (floppy, merevlemez) akarunk használni. Azt az eszközt, amiről a rendszer indul, fordítsuk kernelbe, a többi mehet modulba is. Ha nincs szükség rá, a floppy-t ki is hagyhatjuk. Ha alaplapi IDE vezérlő chipset-ünk van és a Linux támogatja ezt, akkor válasszuk azt is¹⁵⁶. Loopback Device support, Network block device support kell. Ha valamilyen RAID, vagy párhuzamos portra csatlakoztatható IDE eszközünk van, válasszuk ki.



• Networking options: itt ki kell választanunk, hogy milyen hálózati funkciókra lesz szükség. Packet socket: [m], K./U. netlink socket: [y], Network firewalls: [y], Unix domain sockets: [y], Socket filtering: [y], TCP/IP networking: [y], IP firewalling: [y], IP firewall packet netlink dev.: [y] Ezek többek között a tűzfal és csomagszűrő funkciók. Masq és proxy nem kell, mert ennek a szervernek nem az a feladata. IP aliasing: [y] - ez kell, ha IP-s virtualhost-ot szeretnénk. TCP syncookie support: [y] - ez a DoS típusú támadásoktól véd. Allow large windows: [y] Ha szükségünk van egyéb hálózati protokollokra, funkciókra, akkor jelöljük ki azokat is.



• SCSI support: ha van ilyen eszközünk, válasszuk ki. (pl. merevlemez)



• Network device support: [y], Dumy:[y], Ha van pl. üvegszálas hálózati eszközünk, akkor válasszuk ki. Ha van ARCnet, Ethernet, Appletalk, Token ring, WAN, Amateur Radio hálózati eszközünk válasszuk a megfelelő vezérlőt.



• Nem hiszem, hogy a szerverben infravörös, ISDN, és / vagy régi kártyás CD-ROM eszközeink lennének. Ezeket kihagyhatjuk.



• Character devices / Virtual terminal: [y], Support for console…:[y], ha kell, soros port vezérlőnket is válasszuk ki. Unix98 PTY support: [y], Watchdog support: [y], (lesz majd szoftveres) Eanched Real Time Clock Support: [y] Egérre nem hiszem, hogy itt szükség lesz. Nyomtatóra, botkormányra, képfeldolgozó eszközre sem.



• Watchdog cards: / software watchdog: [m], ezt később tárgyalom.



• Ha van Ftape (floppy portra kapcsolható szalagos egység), akkor azt is.



• Filesystems / Second extended fs support: [y] - erről fogunk ui. indulni. /proc…, /dev/pts…: [y] Itt még sok egyéb választásunk is van. Ha esetleg más operációs rendszereket is tartanánk ugyanazon a gépen (a mi esetünkben nem), akkor válasszuk ki, ami kell.



• Network file systems / NFS fs supp.: [m] ez a klienshez kell, szervert meg nem tanácsos üzemeltetnünk, az kimarad. Ha van a környezetben más gyártótól rendszerszoftver és szükség is van rá, hogy rendszerünk lássa azokat, akkor válasszuk ki ami kell.



• Partition types: ha ugyanazon a gépen más op’rendszereket is tartunk, jól jöhet a nekik megfelelő speciális partíciós tábla vezérlője, egyébként semmi szükség rájuk.



• Native language support / NLS ISO 8859-1 és -2 modulba.



• Console drivers / VGA text console:[y], - ha VGA kártya van a gépben. Támogathatjuk továbbá az MDA egyszínű monitorokat is. Szerverben a Frame buffer-nek nem sok értelme van, úgysincs rajta monitor. Ha nem választunk itt ki semmit, akkor nem jutunk be a gépbe, csak a soros porton!



• Sound - itt hangkártyának semmi értelme, nem kell.



• Ha betettük az OpenWall-féle foltot, akkor itt van egy Security Options menü is, ami alatt az összes kérdésre válaszoljunk yes-el.



• Ha a LIDS rendszert is befoltoztuk, olvassuk el a részletesebb útmutatót a Függelékben!



• Kernel hacking - Magic SysRq key : [y] - ha a rendszer lefagyna, akkor az alt-printscreen billentyűvel még esetleg feléleszthetjük a konzolt, vagy legalább kiíratjuk a veremtárat és a gyorsítótárakat. (Olvassuk el a doksiját!)

1. Ebben a lépésben a fordító a .config fájl alapján beállítja a függőségeket - csak az fog lefordulni a forrásból, amire szükség van a mi beállításainkhoz. Ezt a make depend paranccsal tehetjük meg. Ezt a lépést nem lehet kihagyni!



2. Most elindítjuk a kernel fordítását: make -j2 bzImage¹⁵⁷



3. Ha nem kapunk hibaüzenetet, akkor indítsuk a modulok fordítását: make -j2 modules



4. Ha itt se kaptunk hibaüzenetet, akkor a make modules_install paranccsal felteszi a /lib/modules/kernelverzió könyvtárba a kész modulokat. Ha kész mozgassuk át őket a szerverre.



5. Másoljuk a magot, a térképet és a konfigot a /boot-ba
   
   scp arch/i386/boot/bzImage root@alfa:/boot/vmlinuz-kernelverzió
   
   scp System.map root@alfa:/boot/System.map-kernelverzió
   
   scp .config root@alfa:/boot/config-kernelverzió-gépnév



6. (Innentől minden a szerveren történik) Szerkesszük meg az /etc/lilo.conf fájlt, hogy az új kernelünk felkerülhessen az indítható kernelek közé. Ha kész futtassuk a lilo-t. Itt látható egy mintapélda:

boot=/dev/hda # az eszköz, ahova a boot menedzser települjön

install=/boot/boot.b # ez az i386 arhitektúra miatt szükséges valós módú kód

map=/boot/map # és lemeztérképe

vga=5 # milyen VGA szöveges módba váltson a konzol, itt 80x34 

delay=50 # várakozás tizedmásodpercben, mielőtt a kernelt indítja.

prompt # mindenképp jelezze ki a választómenüt 

timeout=50 # ha nekikezdünk gépelni, de abbahagyjuk…

default=sajat # melyik kernel induljon el, ha nem választunk

message=/boot/message # a lilo prompt elé írhatunk üzenetet.

root=/dev/hda3 # hol van a gyökér fájlrendszer

read-only # csak olvasható módban fűzze fel először a rendszert

#a gyári kernel mindig legyen fenn, hátha kell.

image=/vmlinuz # a kernel helye 

password=jelszo # mi legyen a jelszó, arra az esetre

restricted # ha paraméterek akarunk átadni a kernelnek induláskor158

label=gyari # mi legyen a kernel neve a lilo prompt-nál

image=/boot/vmlinuz-2.2.16

password=mehet 

restricted 

label=sajat 

append="idebus=45” # paraméterezhetjük az egyes kódrészeket az append

# parancs segítségével. (opcionális)

cd <kernel forráskönyvtár>

make config / make menuconfig / make xconfig , beállítás

maintainer: Kis József # a csomag készítőjének a neve

email: kjozsi@akarmi.hu # és a címe

debian: gepnev.datum # az alapbeállítás, ha véletlenül nem adnánk meg

image_in_boot:true # ekkor a /vmlinuz szimbolikus link a /boot-ba kerül, 

# így lehet még egy gyári csomagunk is.

1. make-kpkg clean - Ez a parancs letörli az előző próbálkozásaink által generált átmeneti fájlokat. Az export CONCURRENCY_LEVEL=2 paranccsal létrehozunk egy változót, amely a make parancsnak megadja a -j2 paramétert.¹⁶¹



2. (rendszergazdai jogkör), majd make-kpkg --revision=alfa.20000420 --bzimage kernel_image - Ez a parancs elkészíti a Debian csomagot. A revision paramétere mindig kezdődjön betűvel, hogy egy frissítésnél ne cserélje le a rendszer a saját kernelünket egy “gyárira”. (Esetleg tegyük “Hold” állapotba.) Ebbe a saját verziószámban nem lehet “_” jel, ne legyen “:” jel, de lehet “-, +, =” jel. Én a következő módszert javaslom: gépnév.dátum. Ekkor egy csomag neve így fog kinézni:
   
   kernel-image-2.2.16_2.2.16-alfa.20000420_i386.deb

1. dpkg -i kernel-image-2.2.16_2.2.16-alfa.20000420_i386.deb



2. Vizsgáljuk át az /etc/lilo.conf-ot, ha kell, tegyük meg a szükséges változtatásokat, majd futtassuk a lilo-t.



3. shutdown -r now Csak akkor lehet újraindítani a gépet, ha a lilo rendesen lefutott.

• Kényelmes, hiszen kevesebb parancsot kell kiadni, a script elvégzi helyettünk a munka nagy részét



• Könnyebben tarthatunk több kernelt is egy gépen



• Olyanok készítették el, akik nagyon járatosak a témában, ezért mi nem is hibázhatunk egy kis lépésben sem



• A csomagkezelőre bízhatjuk az összes feltelepített programot, nem kell kézi telepítéssel és törléssel vesződni



• Megőrzi a konfigurációs fájlokat későbbi használatra



• Installációs script-ekkel jön, melyek segítik a telepítést és a letörlést is



• Nem kell a modulok másolgatásával foglalkozni



• Egy gyorsabb gépen is fordíthatjuk a lassabb gép számára a kernelt

# - Általános beállítások----------------------------------------

ServerType Standalone # a szerver indításkor betöltődik, nem az inetd indítja

#Port 443 # 

#Port 80 #

Listen 443 # ezeket a portokat figyelje, ez a HTTPS

Listen 80 # ez a szabványos HTTP port162

HostNameLookups off # ne keresse meg a kliens nevét, elég az IP címe

# a DNS keresés nagyon lelassíthatja a működést

User www-data

Group www-data # milyen jogokkal fusson a szerver, semmiképp se root!

ServerAdmin webmaster@boresszormegyar.hu # hova küldje a leveleket hiba esetén

ServerRoot /etc/apache-ssl # hol vannak a konfig’ fájlok

BindAddress agépünkIPcíme # ezen a címen vagyunk elérhetőek (ha esetleg több IP

# címünk is lenne - több hálókártya )

NameVirtualHost agépünkIPcíme:80 # virtuális szervereink ezt az IP címet fogják

NameVirtualHost agépünkIPcíme:443 # figyelni a 80-as és 443-as portokon

# ServerName # mi legyen a fő szerver neve? - erre itt nincs szükség 

UseCanonicalName on # linkek kiegészítése a saját névvel

Timeout 300 # kacsolat bontása másodpercben

KeepAlive on # tartós kapcsolatok fenntartása a kliensekkel

MaxKeepAliveRequests 100 # hány db kérést tartson fenn

KeepAliveTimeout 15 # Mennyi másodpercig tartsa fenn a kapcsolatot

MinSpareServers 5 # Minimálisan hány “felesleges” szerver fusson

MaxSpareServers 10 # Maximálisan hány “felesleges” szerver fusson

StartServers 5 # Induláskor hány szervert indítson el

MaxClients 200 # Maximálisan hány kapcsolat élhet

MaxRequestsPerChild 50 # 50 kérés teljesítése után “megöli gyermekét”163

#---------------------- Modulok ---------------------------------

# Melyik modulokat töltsük be? Azokat, amelyeket én nem láttam szükségesnek

# kikommenteztem. Ha az olvasónak szüksége van valamelyikre, válasszon tetszés 

# szerint

# A virtuális szerverek álnév támogatása

LoadModule vhost_alias_module /usr/lib/apache/1.3/mod_vhost_alias.so

# Könrnyezeti változók átadása CGI script-eknek

# LoadModule env_module /usr/lib/apache/1.3/mod_env.so

# Testre szabható naplózás

LoadModule config_log_module /usr/lib/apache/1.3/mod_log_config_ssl.so

# Objektum típus megállapítása tartalomból

LoadModule mime_magic_module /usr/lib/apache/1.3/mod_mime_magic.so

# Objektumtípus megállapítása fájlkiterjesztésből

LoadModule mime_module /usr/lib/apache/1.3/mod_mime_ssl.so

# Tartalom “tárgyalás”

LoadModule negotiation_module /usr/lib/apache/1.3/mod_negotiation.so 

# a szerver állapotának megjelenítése weblapként (autentikáció szükséges) 

LoadModule status_module /usr/lib/apache/1.3/mod_status.so

# Szerver beállítási információk

LoadModule info_module /usr/lib/apache/1.3/mod_info.so 

# Szerveroldalon előállított objektumok 

LoadModule includes_module /usr/lib/apache/1.3/mod_include.so 

# Automatikus könyvtár listázás

LoadModule autoindex_module /usr/lib/apache/1.3/mod_autoindex.so 

# Alapszintű könyvtárkezelés

LoadModule dir_module /usr/lib/apache/1.3/mod_dir.so 

# CGI script-ek meghívása 

#LoadModule cgi_module /usr/lib/apache/1.3/mod_cgi.so 

# Az “.asis” fájl kezelő

# LoadModule asis_module /usr/lib/apache/1.3/mod_asis.so 

# Kép-térkép fájlkezelő

# LoadModule imap_module /usr/lib/apache/1.3/mod_imap.so 

# Automatikus hibajavitás félregépelt url-ekben

LoadModule speling_module /usr/lib/apache/1.3/mod_speling.so 

# A felhasználók könyvtárait kezeli (listázás, letöltés)

# LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so

# HTTP gyorsítótár

# LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so 

# Álnevek és átirányítások

LoadModule alias_module /usr/lib/apache/1.3/mod_alias.so 

# Az access.conf értelmezéséhez

LoadModule access_module /usr/lib/apache/1.3/mod_access.so 

# Felhasználó azonosítás szöveg fájlokkal

LoadModule auth_module /usr/lib/apache/1.3/mod_auth_ssl.so 

# ftp stílusú anonimusz felhasználó azonosítás

# LoadModule anon_auth_module /usr/lib/apache/1.3/mod_auth_anon.so 

# felhasználó azonosítás DBM fájlokkal

# LoadModule dbm_auth_module /usr/lib/apache/1.3/mod_auth_dbm.so 

# felhasználó azonosítás a Berkeley-féle DB (adatbázis) fájlokkal 

# LoadModule db_auth_module /usr/lib/apache/1.3/mod_auth_db.so 

# MD5 felhasználó azonosítás

LoadModule digest_module /usr/lib/apache/1.3/mod_digest.so 

# HTTP fejléc metafájlok támogatása

LoadModule cern_meta_module /usr/lib/apache/1.3/mod_cern_meta.so 

# Fejlécek erőforrásokhoz (pl. meddig érvényes egy oldal)

LoadModule expires_module /usr/lib/apache/1.3/mod_expires.so 

# Tetszőleges HTTP fejlécek beépítése 

LoadModule headers_module /usr/lib/apache/1.3/mod_headers.so 

# Felhasználó-követés sütik segítségével

# LoadModule usertrack_module /usr/lib/apache/1.3/mod_usertrack.so 

# egységes kérés azonosító generálása minden lekéréshez

LoadModule unique_id_module /usr/lib/apache/1.3/mod_unique_id.so 

# Környezeti változók beállítása kliens információk alapján

LoadModule setenvif_module /usr/lib/apache/1.3/mod_setenvif.so 

# Szerverek online statisztikái.

LoadModule throttle_module /usr/lib/apache/1.3/mod_throttle.so 

# SSL rendszerhívások

AddModule apache_ssl.c 

# LDAP alapú azonosítás 

# LoadModule auth_ldap_module /usr/lib/apache/1.3/auth_ldap.so 

# Eszlözfájlok kezelése

# LoadModule allowdev_module /usr/lib/apache/1.3/mod_allowdev.so 

# PostgreSQL adatbázis alapú azonosítás

# LoadModule pgsql_auth_module /usr/lib/apache/1.3/mod_auth_pgsql.so 

# A fontos PHP3 modul

LoadModule php3_module /usr/lib/apache/1.3/libphp3.so 

# Netscape 4.x roaming támogatása

# LoadModule roaming_module /usr/lib/apache/1.3/mod_roaming.so


#----- Naplózás -----------------------------------------------------------

# itt tárolja induláskor a folyamat azonosító számát 

PidFile /var/run/apache-ssl.pid

ErrorLog /var/log/apache-ssl/error.log # A hibaüzenetek ide menjenek

LogLevel warn # mit loggoljon? debug/info/notice/warn/error/crit

# mi legyen a naplózás formája?

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T %v" full 

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined 

LogFormat "%h %l %u %t \"%r\" %>s %b" common 

LogFormat "%{Referer}i -> %U" referer 

LogFormat "%{User-agent}i" agent

# Egyéni naplófájlok:

# Vigyázat! Ha nagy a forgalom nagyra dagadhat a fájl. Biztonsági szempontból 

# előnyös, hiszen minden egyes kérés naplózva lesz IP címmel. Ha támadás gyanú van, 

# akkor mindenképp kapcsoljuk be. Továbbá a statisztikákat is ezekből készítjük.

CustomLog /var/log/apache-ssl/access.log common # naplózhatjuk a hozzáférést is

# Ezzel naplózzuk azt az oldalt, ahonnan idelépett a kliens

# CustomLog /var/log/apache-ssl/referer.log referer 

# A kliens böngészőinformációit naplózza 

# CustomLog /var/log/apache-ssl/agent.log agent 


# SSL beállítások --------------------------------

#Globális szerver-gyorsító a kulcsok számára 

SSLCacheServerPath /usr/lib/apache-ssl/gcache 

SSLCacheServerPort /var/run/gcache_port # a használandó port (unix domain socket) 

SSLSessionCacheTimeout 50 # időzítő

SSLCACertificatePath /etc/apache-ssl # a CA igazolás helye

#SSLCACertificateFile CA.pem # ha van saját CA igazolásunk

SSLCertificateFile /etc/apache-ssl/apache.pem # az igazolás 

# SSLVerifyClient beállítása:

# 0 ha nincs szükség arra, hogy a kliensnek legyen igazolása 

# 1 ha a kliens adhat igazolást

# 2 ha a kliensnek kötelezően be kell mutatnia egy igazolást

# 3 ha a kliensnek lehet igazolása, de nem szükséges, hogy az érvényes CA-ja legyen

SSLVerifyClient 0 

SSLFakeBasicAuth # a BD és DBM kompatibilitás miatt 

#SSLRequireCipher # csak ilyen titkosító algoritmusokat fogadunk el

#SSLBanCipher # ezeket pedig letiltjuk 

# SSL tranzakciók naplózása:

CustomLog /var/log/apache-ssl/ssl.log "%t %{version}c %{cipher}c %{clientcert}c" 


# ---Virtuális gépek ------------------------

# Itt definiáljuk a két gyárrészleg külön oldalait

<VirtualHost www.szormegyar.hu:80> # virtuális szerver ezen a néven a 80-as porton

#ServerAdmin # lehetne külön webmestere mindnek

SSLDisable # itt kikapcsoljuk az SSL-t

DocumentRoot /var/www/szormegyar # mindenkinek a saját gyökerét

ServerName www.szormegyar.hu # és a saját nevét adjuk meg

ServerAlias szormegyar.hu *.szormegyar.hu # az erre hivatkozókat is ide irányítjuk

# külön is kérhetjük a log-okat.

ErrorLog /var/log/apache-ssl /szormegyar-error.log

# Az összes kérést és forgalmat is lehet külön naplózni, 

# ebből készülnek a statisztikák.

CustomLog /var/log/apache-ssl/szormegyar-access.log common

#TransferLog /var/log/apache-ssl/szormegyar-access.log

</VirtualHost>

<VirtualHost www.szormegyar.hu:443> # ugyanazt kikínáljuk SSL-el is

SSLEnable

DocumentRoot /var/www/szormegyar

ServerName www.szormegyar.hu

ServerAlias szormegyar.hu *.szormegyar.hu

ErrorLog /var/log/apache-ssl/szormegyar-ssl-error.log

CustomLog /var/log/apache-ssl/szormegyar-ssl-access.log common

</VirtualHost>

<VirtualHost www.borgyar.hu:80>

DocumentRoot /var/www/borgyar

SSLDisable

ServerName www.borgyar.hu

ServerAlias borgyar.hu *.borgyar.hu

ErrorLog /var/log/apache-ssl/borgyar-error.log

CustomLog /var/log/apache-ssl/borgyar-access.log common

</VirtualHost>

<VirtualHost www.borgyar.hu:443>

SSLEnable

DocumentRoot /var/www/borgyar

ServerName www.borgyar.hu

ServerAlias borgyar.hu *.borgyar.hu

ErrorLog /var/log/apache-ssl/borgyar-ssl-error.log

CustomLog /var/log/apache-ssl/borgyar-ssl-access.log common

</VirtualHost>

<VirtualHost www.boresszormegyar.hu:80>

DocumentRoot /var/www/boresszormegyar

SSLDisable

ServerName www.boresszormegyar.hu

ServerAlias boresszormegyar.hu *.boresszormegyar.hu

ErrorLog /var/log/apache-ssl/boresszormegyar-error.log

CustomLog /var/log/apache-ssl/boresszormegyar-access.log common

</VirtualHost>

<VirtualHost www.boresszormegyar.hu:443>

SSLEnable

DocumentRoot /var/www/boresszormegyar

ServerName www.boresszormegyar.hu

ServerAlias boresszormegyar.hu *.boresszormegyar.hu

ErrorLog /var/log/apache-ssl/boresszormegyar-ssl-error.log

CustomLog /var/log/apache-ssl/boresszormegyar-ssl-access.log common

</VirtualHost>

<Directory /var/www>

# none: semmi, all: az összes következő, Indexes: a kliens listázhatja, 

# Includes: futtathat szerver-oldali scripteket, 

# FollowSymlinks: követi a szimbolikus linkeket - veszélyes lehet!

# ExecCGI: CGI scripteket futtathatunk innen - veszélyes!

# olvassuk el a dokumentációt! /usr/share/doc/apache/manual/mod/core.html#options

Options none

AllowOverride none # olvassuk el a dokumentációt!

Order deny,allow

# deny from gonosz.betörő.domén

allow from all

</Directory>


#A CGI-ket tartalmazó könyvtár. Nézzük meg mi van benne. Ha üres, akkor 

# kommentezzük ki innen is.

<Directory /usr/lib/cgi-bin>

AllowOverride None

Options ExecCGI FollowSymLinks

</Directory>

<Location /szerver-statusz>

SetHandler server-status # ez esetben a server-status modul veszi át a tartalmat

order deny,allow

#deny from all 

allow from all # ide azt írjuk be, hogy honnan lehessen lekérdezni.

SSLRequireSSL # ide csak SSL-el lehet belépni 

# AuthPam_Enable off # ha betöltöttük a mod_auth_pam modult, most kapcs. ki

AuthType Basic # crypt() függvényt használó azonosítás

AuthName Státusz # ez jelenik meg a jelszó kérésekor

AuthGroupFile /dev/null # a csoport lista most üres (nem kötelező)

AuthUserFile /etc/apache-ssl/info.pwf # ebben a fájlban tároljuk a jelszavakat

require user rgazda wgazda # csak ezek a felhasználók férhetnek hozzá az infókhoz

</Location>


# A szerver beállításait tartalmazó információkkal is ugyanígy járjunk el:

<Location /szever-info>

SetHandler server-info

order deny,allow

#deny from all 

allow from all # ide azt írjuk be, hogy honnan lehessen lekérdezni.

SSLRequireSSL # ide csak SSL-el lehet belépni 

# AuthPam_Enable off # ha betöltöttük a mod_auth_pam modult, most kapcs. ki

AuthType Basic 

AuthName Infó 

AuthUserFile /etc/apache-ssl/info.pwf

require user rgazda wgazda

</Location>


# Ez a phf típusú betörési kísérleteket naplózza

Location /cgi-bin/phf*>

deny from all

ErrorDocument 403 http://phf.apache.org/phf_abuse_log.cgi

</Location>


# Kiadhatjuk a dokumentációt, hogy könnyebb legyen a konfigurálás.

<Directory /usr/share/doc>

Options Indexes FollowSymLinks

AllowOverride None

order allow,deny

allow from 127.0.0.1 “rendszergazdaIP-je”

deny from all

SSLRequireSSL # ide csak SSL-el lehet belépni 

AuthType Basic 

AuthName Doksik 

AuthUserFile /etc/apache-ssl/info.pwf

require user rgazda wgazda

</Directory>

Alias /doksik/ /usr/doc/

# Ez is veszélyes lehet, mert a betörő megtudhatja, hogy milyen programok 

# vannak a gépen, ezért mindenképp kössük azonosításhoz a hozzáférést.


<location /th-info> # az egyes virtuális gépek forgalmát monitorozhatjuk vele.

SetHandler throttle-info 

order deny,allow

#deny from all 

allow from all # ide azt írjuk be, hogy honnan lehessen lekérdezni.

SSLRequireSSL # ide csak SSL-el lehet belépni 

# AuthPam_Enable off # ha betöltöttük a mod_auth_pam modult, most kapcs. ki

AuthType Basic 

AuthName Th-Infó 

AuthUserFile /etc/apache-ssl/info.pwf

require user rgazda wgazda

</location>


#A felhasználók - bár nem lesznek - ne tudjanak symlink-támadást csinálni.

<DirectoryMatch ^/home/.*/public_html>

Options Indexes SymLinksIfOwnerMatch

AllowOverride None

</DirectoryMatch>


# Biztonsági okokból ezeknek a fájloknak a forgalmát letiltjuk

<Files .htaccess>

order allow,deny 

deny from all

</Files>

<Files .htpasswd>

order allow,deny 

deny from all

</Files>

• Nagy forgalmat fogunk bonyolítani és a processzorhoz akarjuk optimalizálni a kódot, a gyorsabb végrehajtás érdekében



• Olyan modulra van szükségünk, amelyet a “gyári” csomag nem tartalmaz



• Az 1.3.12-es vagy újabb verzióra van szükségünk az új funkciók miatt



• Egyszerűen szeretünk mindent a saját kezünkben tartani akkor üljünk át a rendszergazdai géphez.
• Ha megfelel az 1.3.9-es verzió és az apt-t úgy konfiguráltuk, hogy a forráskód csomaglistát is kezelje, akkor elég ezt a parancsot kiadnunk: apt-get source apache-ssl Ha minden jól ment, akkor néhány percen belül az /usr/src alatt találjuk a szükséges fájlokat.¹⁶⁵



• Ha az 1.3.12-es vagy újabb változatra van szükségünk, akkor adjuk ki a következő parancsokat (vagy töltsük le ftp-vel a következő fájlokat):

17. kép - rules fájl szerkesztése

• Ha léteznek a /etc/hosts.equiv vagy /etc/ssh/shost.equiv fájlok (megfelelően ki is vannak töltve) és mindkét gépen a felhasználónak ugyanaz a login neve, akkor azonosítás nélkül beléphet az egyik gépről a másikra. Ezt nekünk mindenképp le kell tiltanunk, mert komoly biztonsági veszélyforrást jelent. (RhostsAuthentication)



• Ez az eljárás kiegészülhet azzal, hogy a szerver ellenőrizheti a kliens gépének RSA kulcsát és csak ezek után engedélyezi a belépést. Ez már valamennyire biztonságosabb az előzőnél, de még mindig fennáll annak a veszélye, hogy valaki más ül a kliens előtt, mint akié a számla és ekkor az a jelszó ismerete nélkül is beléphet. Ezért ez a módszer is kerülendő. (RhostsRSAAuthentication)



• A harmadik azonosítási módszer a tiszta RSA autentikáció, mely nyilvános kulcsú azonosítást tesz lehetővé. Ez is felment minket a jelszók állandó gépelésétől, viszont generálni kell minden egyes felhasználónak (mindenki saját magának) egy saját titkos és nyilvános kulcsot. Ezután, ha a szerveren megvan a megfelelő kulcs párja, akkor egy kulcsteszt után beenged. (RSAAuthentication)



• A negyedik és egyben legbiztonságosabb azonosítási rendszer a hagyományos jelszó alapú rendszer. (PasswordAuthentication)

Host localhost # ezek a saját gépre vonatkoznak.

ForwardAgent yes # csak itt engedélyezzük az X11-es titkosított

ForwardX11 yes # csomagok átjátszását. Ha ezt engedélyeznénk

Host * # kívülre is, akkor komoly biztonsági problé-

ForwardAgent no # val kellene szembenézni.

ForwardX11 no

RhostsAuthentication no # .rhost fájl alapján ne engedjünk azonosítást

RhostsRSAAuthentication no # még RSA kulcsosat se

RSAAuthentication yes # RSA kulcsos azonosítás jelszó helyett 

PasswordAuthentication yes # a jelszós azonosítást engedélyezzük

FallBackToRsh no # hiba esetén ne térjünk vissza kódolatlan üzemmódba

UseRsh no # rsh használatát tiltsuk le

BatchMode no # ez a script-ekben használatos, de tiltsuk le, mert

# ekkor nincs jelszó-kérés!

CheckHostIP yes # ha név szerint kérjük, ellenőrizzük le a név-IP párost

# StrictHostKeyChecking yes # nem engedjük új gépek kulcsának elfogadását

IdentityFile ~/.ssh/identity # itt van a saját kulcsunk

Port 22 # általában itt kell keresgélnünk

Cipher blowfish # ez a titkosító algoritmus sokkal gyorsabb és bizton-

# ságosabb, mint a DES vagy a 3DES.

EscapeChar ~ # bővebb leírást ezekről a manuálban!

Compression yes # ha modemen keresztül vagyunk, akkor jól jöhet 

# a tömörítés, gyors hálózaton viszont lassít.

GatewayPorts no # más gépek ne kapcsolódhassanak a helyi továbbított 

# portokhoz

Port 22 #melyik portot használjuk

ListenAddress 0.0.0.0 # milyen tartományból engedjünk be hívásokat

HostKey /etc/ssh/ssh_host_key # a szerver kulcsa

ServerKeyBits 1024 #eredeti: 768 # a kulcs hossza 

LoginGraceTime 300 # hány másodperce van a kliensnek azonosításra

KeyRegenerationInterval 3600 # a kulcs óránként újragenerálódik

PermitRootLogin no # a root nem jelentkezhet be! 

#AllowGroups webcsap # csak ezek a csoportok jelentkezhetnek be

#AllowUsers webgazda system # csak ezek a felh. jelentkezhetnek be

#DenyGroups stuff nogroup # ezek semmiképp sem jelentkezhetnek be

#DenyUsers nobody

StrictModes yes # ellenőrzi belépés előtt a felh. fájlok jogait

X11Forwarding yes # szerverszinten engedélyezhető

X11DisplayOffset 10

KeepAlive yes # próbálja meg életben tartani a kapcsolatot

UseLogin no # ne használjuk, hátha trojan-os

PrintMotd no # mivel ezeket már a PAM kezeli, kikapcs.

CheckMail no

SyslogFacility AUTH # melyik syslog kategóriába tartozzon az 

# azonosítás

LogLevel INFO # naplózási szint

RhostsRSAAuthentication no

IgnoreRhosts yes # el se olvassuk ezeket

RhostsAuthentication no

IgnoreUserKnownHosts yes # ekkor csak a rendszergazda határozhatja meg,

# melyek az ismert gépek

RSAAuthentication yes

PasswordAuthentication yes

PermitEmptyPasswords no # ne engedjünk meg üres jelszavakat!

• a rendszer terhelése az elmúlt 1, 5, 15 percben nem ment-e adott értékek fölé



• egy általunk beállított memória mennyiség szabad-e



• a rendszer hőmérséklete elérte-e a határszintet (csak hardverkártyák esetén)



• egy adott fájlba tud-e írni, vagy azon történt-e változás (pl. naplófájlok)



• fut-e az adott szerverprogram (PID-fájlon keresztül)



• él-e a hálózaton valamely gép vagy tartomány (ping)



• egy adott hálózati interfészen van-e forgalom (eth)

admin rgazda@gyakranolvasom.hu

max-load-1 = 24 # 24-es terhelésnél indítson újra

max-load-5 = 18

max-load-15 = 12

watchdog-device=/dev/watchdog # ez a kernel eszközvezérlője

rgazda@rgazdagepe:~]#gpg --gen-key

gpg (GnuPG) 1.0.1; Copyright (C) 1999 Free Software Foundation, Inc.

This program comes with ABSOLUTELY NO WARRANTY.

This is free software, and you are welcome to redistribute it

under certain conditions. See the file COPYING for details.

Please select what kind of key you want:

(1) DSA and ElGamal (default)

(2) DSA (sign only)

(4) ElGamal (sign and encrypt)

Your selection? 1

DSA keypair will have 1024 bits.

About to generate a new ELG-E keypair.

minimum keysize is 768 bits

default keysize is 1024 bits

highest suggested keysize is 2048 bits

What keysize do you want? (1024) 2048

Do you really need such a large keysize? y

Requested keysize is 2048 bits 

Please specify how long the key should be valid.

0 = key does not expire

 = key expires in n days

w = key expires in n weeks

m = key expires in n months

y = key expires in n years

Key is valid for? (0) 

Key does not expire at all

Is this correct (y/n)? y

You need a User-ID to identify your key; the software constructs the user id

from Real Name, Comment and Email Address in this form:

"Heinrich Heine (Der Dichter) "

Real name: Kis Jozsef

Email address: rgazda@gyakranolvasom.hu

Comment: 

You selected this USER-ID:

"Kis Jozsef "

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

You need a Passphrase to protect your secret key. 

Enter passphrase:

We need to generate a lot of random bytes. It is a good idea to perform

some other action (type on the keyboard, move the mouse, utilize the

disks) during the prime generation; this gives the random number

generator a better chance to gain enough entropy.

..+++++++++++++++...++++++++++.+++++.+++++....+++++++++++++++....

[root@alfa:/var]#chmod o-rxw log; addgrp loggers; chgrp loggers log; adduser mysql loggers; adduser www-data loggers; 

[root@alfa:/var]#ls -ld log

drwxr-x--- 12 root loggers 8192 ÁPR 28 09:39 log

# először olvassuk el a logrotate manuál oldalát!

# az itt található beállítások globálisak, majd 

# külön-külön minden fájlra definiálhatunk szabályokat

# ------------------- Globális

# a naplófájlokat naponta rotáljuk

daily

# 14 napot megtartunk, azután töröljük. (minél több megmarad, annál jobb a biztonság

# szempontjából, de annál rosszabb a hely szempontjából.)

rotate 14

# a hibákat ide küldje

errors rgazga@gyakranolvasom.hu

# új üres naplófájlok létrehozása rotálás után, megadható, hogy milyen jogokkal 

# keletkezzen az új és ki legyen a tulajdonosa: create mód tulaj csoport

create 027 # ekkor a “többiek” számára nem lesz olvasható

# a rotált log-okat letömörítjük, hogy kevesebb helyet foglaljanak

compress

# ha üres a fájl, akkor ne forgassuk

noifempty

# egyes csomagok ebbe az alkönyvtárba teszik a logrotate-ra tartozó információkat

# ezért azokat így érvényesítjük.

include /etc/logrotate.d

# ide küldje el kódoltatlanul a rotált naplókat:

# mail rgazda@gyakranolvasom.hu

# Ezt kihagyjuk, mert egy script segítségével kódolva fogjuk küldeni a naplókat.

# Ha túlságosan kényelmetlennek találja az olvasó a dekódolást, és nem fél attól, 

# hogy a naplóit elolvassák, akkor válassza a hagyományos módszert.


# mivel ezt a két fontos fájlt egyik csomag sem birtokolja ezért a részletes 

# beállításaikat it közöljük (lokális)

/var/log/wtmp {

weekly

create 0664 root utmp

rotate 2

}

/var/log/btmp {

missingok

weekly

create 0664 root utmp

rotate 2

} 


#Ezt a részt átveszem a /etc/logrotate.d/syslog-ng fájlból és kiegészítettem.

# A syslog-ng-t újra kell indítani a rotálás után.

/var/log/syslog

{

postrotate

/etc/init.d/syslog-ng reload >/dev/null

# mivel a syslog fájl mindig telik, ez a script mindig le fog futni

# itt elindítjuk a titkosító scriptünket:

/bin/bash /root/logtit.sh

endscript

}

# ha ezt nem tesszük meg, a syslog továbbra is a törölt fájlba fogja küldeni

# az információkat és azok így elvesznek, továbbá logikai lemezhibát okozhatnak.

# Frissítések során ne engedjük ezt a fájlt felülírni!

PATH=$PATH:/bin:/usr/bin # Beállítjuk az elérési útvonalakat.

umask 077 # Csak a root tudja olvasni a keletkező fájlokat

cd /var/log # Belépünk 

rm -f naplok.tar.gz 2>&1 /dev/null # Ha esetleg lenne még itt ilyen fájl, töröljük

DATUM=`date +%Y.%m.%d-%H.%M` # A mai dátum

tar -czf naplok.tar.gz *.0* # Minden épp most rotált fájlt elcsomagoljuk,

cat naplok.tar.gz | gpg -e -a -q -r rgazda@gyakranolvasom.hu \ 

| mail -s naplorotalas-$HOSTNAME-$DATUM rgazda@gyakranolvasom.hu 

rm -f naplok.tar.gz # # titkosítjuk és postázzuk. Végül töröljük az átmeneti fájlt.

CustomLog “|/usr/sbin/cronolog /var/log/apache-ssl/access.%Y-%m-%d.log” combined

1. Másoljuk az eredeti programot le két példányba:
   
   cp /usr/sbin/logcheck.sh /root/logcheck.sh.orig
   
   cp /usr/sbin/logcheck.sh /root/



2. Szerkesszük át a fájlt: pl. joe /root/logcheck.sh

   […]
   
   # If there are results, mail them to sysadmin
   
   if [ "$ATTACK" -eq 1 ]; then
   
   # Ha vészriadó van, nem kódoljuk le a levelet, hogy gyorsan el tudjuk olvasni
   
   cat $TMPDIR/checkreport.$$ | \
   
   $MAIL -s "$HOSTNAME $DATE A RENDSZER OSTROM ALATT! ACTIVE SYSTEM ATTACK!" $SYSADMIN
   
   elif [ "$FOUND" -eq 1 ]; then 
   
   # Viszont, ha csak valami gyanúsat talált, akkor azt kódoljuk.
   
   cat $TMPDIR/checkreport.$$ | /bin/gzip - | \
   
   /usr/bin/gpg -e -a -q -r $SYSADMIN | \
   
   $MAIL -s "$HOSTNAME $DATE rendszerellenőrzés - system check" $SYSADMIN
   
   fi
   
   […]
   

   A $SYSADMIN változó megegyezik azzal az e-mail címmel, melyet a konfig’ fájlba írtunk. Ha ehhez az e-mail címhez nincs publikus kulcsunk (a root felhasználónak!), akkor hibaüzenettel le fog állni a kódolás.



3. Másoljuk vissza az átjavított fájlt: cp /root/logcheck.sh /usr/sbin/

LogFile /var/log/apache-ssl/szormegyar-access.log

HostName www.szormegyar.hu

OutputDir /var/www/szormegyar/webstat

ReportTitle Jelentés

Quiet yes #ha cron-ból futtatjuk, akkor ne szövegeljen

18. kép - Webalizer statisztika

58 06 * * * www-data webalizer >/dev/null

LANGFILE /usr/lib/analog/lang/huh.lng

Quotas for user sablon

/dev/hda6: blocks in use: 4, limits (soft = 2000, hard = 4000)

inodes in use: 5, limits (soft = 500, hard = 1000)

# /etc/fstab: statikus file-rendszer információk. # # 

/dev/hda3 / ext2 defaults 0 1 

/dev/hda2 none swap sw 0 0 

proc /proc proc defaults 0 0 

# Vedd ki a kommentből a következő sort, ha 2.2.x vagy újabb kernelnél 

# UNIX98-szerű pty kezelést szeretnél 

none /dev/pts devpts gid=5,mode=620 0 0 

#/dev/fd0 /floppy auto defaults,user,noauto 0 0 

#/dev/cdrom /cdrom iso9660 defaults,ro,user,noauto 0 0 

/dev/hda1 /boot ext2 ro,nosuid,noexec,nodev,defaults 0 2 

/dev/hda5 /usr ext2 ro,nodev,defaults 0 2 

/dev/hda6 /home ext2 defaults,nosuid,nodev,noexec,usrquota 0 2 

/dev/hda7 /tmp ext2 nosuid,noexec,nodev,defaults,usrquota 0 2 

# /var noexec esetén nem futnak pre és postinst scriptek csomagok telepítésekor!

/dev/hda8 /var ext2 nosuid,noexec,nodev,defaults 0 2 

/dev/hda9 /var/www ext2 nosuid,noexec,nodev,defaults 0 2

[…]

# elméletileg ez csak akkor indul el, ha a / rw-ben van. Azért szedjük ki, mert

# elpiszkálja a szimbolikus linkünket.

if [ "$mode" = rw ] 

then 

rm -f /var/nologin #/etc/mtab~ 

#: > /etc/mtab

[…]

DELAYLOGIN=no

[…]

if [ "$DELAYLOGIN" = yes ] 

then 

echo "System bootup in progress - please wait" > /var/nologin 

cp /var/nologin /var/nologin.boot 

fi

[…]

# Update /etc/motd. 

# 

if [ "$EDITMOTD" != no ] 

then 

uname -a > /var/motd.tmp 

sed 1d /var/motd >> /var/motd.tmp 

mv /var/motd.tmp /var/motd 

fi

[…]

[…]

if [ -f /var/nologin.boot ] 

then 

rm -f /var/nologin /var/nologin.boot 

fi

[…]

EDITMOTD=no

[…]

start) 

if [ ! -f /var/adjtime ] 

then 

echo "0.0 0 0.0" > /var/adjtime 

fi

[…]

source src { unix-stream(“/var/run/log”); internal(); };

[…]

/ R # ezek a partíciók jobb esetben ro-ban vannak

/usr R # tehát ezekről készítünk lenyomatot, mert nem

/boot R # szabad, hogy változzanak

/dev @@DEVSEARCH # speciális keresést kap

=/home # ezek egy minimális tesztet kérünk

=/tmp @@TMPSEARCH

=/var/tmp @@TMPSEARCH

!/mnt # ezeket nem kell ellenőrizni

!/floppy

!/cdrom

!/var

!/var/www

!/usr/doc # ezeket a fájlokat nem szükséges ellenőrizni

!/usr/share/doc # de ha valakinek ez is fontos, akkor vegye ki innen

!/usr/dict # a “!” jelet és ellenőriztesse.

!/usr/info

!/usr/man # a többi beállítást hagyjuk meg. 

[…]

#!/bin/sh

cd /var

# hol az adatbázis? Lehet törömített is.

DATABASE="/root/databases/tw.db_`hostname`"

DATABASEGZIP="/root/databases/tw.db_`hostname`.gz"

LOG=/var/log/tripwire

# hova köldjük a levelet?

MAILTO=rgazda@gyakranolvasom.hu

[…]

# if the temporary file is empty do not send mail

# azt akarjuk, hogy ha nincs változás ne küldjön levelet, 

[ ! -s $LOG -o -z "$MAILTO" ] && exit 0

# ha mindig szeretnénk levelet kapni, akkor kommentezzük ki.

# ha gondoljuk, írjuk át a levél szövegét magyarra:

(cat <<EOF; 

This is an automated report of possible file integrity changes, generated by

the Tripwire integrity checker.

Ezt egy automatikusan készülő levél, mely a lehetséges fájlintegritás-változásokat 

tartalmazza, és melyet a Tripwire program készít.

Changed files/directories include:

A megváltozott fájlok / könyvtárak listája:

EOF

cat $LOG

) | /usr/bin/mail -s "Fájl integritás-jelentés - File integrity report" $MAILTO

) | /bin/gzip - | \

/usr/bin/gpg -e -a -q -r $MAILTO | \

/usr/bin/mail -s "Fájl integritás-jelentés - File integrity report" $MAILTO