Další část případové studie o nasazení GNU/Linuxu na přerovské základní škole se věnuje základu sítě, tedy serveru a také bezpečnosti.
V této části se zaměřím nejen na nejdůležitější služby běžící na serveru, ale též na serverové služby na pracovních stanicích.
-
Hardware: na server jsem použil nejvýkonnější počítač, jaký jsme v té době měli (procesor AMD Duron 950 MHz, 256 MB, 40 GB, CD)
-
DHCP server: velmi spolehlivě a jednoduše jsem jej nastavil pomocí Drakwizardu z Ovládacího centra MDK. Nemám-li nainstalován DHCP server, kouzelníkto pozná a požádá mě o vložení příslušného instalačního CD. Pokud potřebuji jména počítačů, MAC adresy síťových karet a jim přiřazené IP adresy, ve Webminu si kliknu na oddíl servery a v položce DHCP si zobrazím potřebnou stránku.
-
NFS server: Rychlý síťový souborový systém. Na první pohled jeho fungování trochu připomíná síťové disky v MS Windows. Nejprve si vybírám adresář pro export, mohu do detailů nastavit, jak a pro koho se má export provést (zde již podobnost s MS Windows končí). Na klientech jsem zvolil, aby při každém startu systému se vyexportované adresáře připojovaly do /mnt (nastavení se provede buď v Ovládacím centru MDK nebo ve Webinu). Zprovoznění: Nejprve jsem si nainstaloval balíček nfs-utils. Ve Webminu: síťování - NFS export - add new export; po výběru adresáře a případném doladění výchozího nastavení, stačí zmáčknout tlačítko Vytvořit.
-
NIS server: Síťová informační služba poskytuje údaje o uživatelských jménech, heslech, domovských adresářích všem počítačům patřícím do stejné domény. Tento server by se dal přirovnat v MS Windows k primárnímu řadiči domény. Tuto službu jsem použil poněkud nestandardně. Místo centrálního úložiště uživatelů na serveru jsem použil lokální domovské adresáře. Na naší škole se vzdělává asi 600 žáků, nevidím důvod, proč by každý měl mít vlastní účet. Na serveru jsou pouze uložená hesla dvou žákovských účtů (pro výukové programy a běžnou práci) a jeden učitelský. Centrální úložiště pro uživatele je suplováno vyexportováním /home na serveru do všech pracovních stanic pomocí NFS.
-
Samba server: souborový server, který v síti plně nahradí MS Windows servery. Je možné jej nastavit jako PDC. V učebně běží na všech linuxových počítačích. Jen Samba servery jsou viditelné přes položku „okolní počítače“ libovolných MS Windows. Všechno běží v tzv. user levelu, není tedy možné, aby se žáci bez znalosti příslušných hesel vloupali na windowsovské stanice vedení školy. Navíc v kombinaci s Konquerorem (souborový manažer a webový prohlížeč v jednom) jsem velice snadno na ploše v KDE vytvořil „okolní počítače“ (odkaz na umístění). Konqueror podporuje řadu protokolů; objeví-li se v panelu pro adresu (umístění) smb:/, stává se z něj Samba prohlížeč.
-
WINE server: Wine je open source implementace MS Windows API, která se snaží, aby bylo možné MS Windows aplikace spouštět v Linuxu stejně, jako by byly nativními linuxovými aplikacemi. Bez Wine by nebylo vůbec myslitelné používat v Linuxu kvalitní komerční výukové programy, které jsou z větší části určeny pro MS Windows. Wine instaluji společně s balíčkem Winesetuptk, což je grafická utilita určená ke snadnému a pohodlnému nastavení Wine.
-
CUPS server: Moderní unixový tiskový server. Naprosto bezchybně zajišťuje sdílení našich třech tiskáren (OKI OkiPage 10ex, HP DeskJet 3550, Epson Stylus 3200CX) v učebně. Instalace? Stačí v Ovládacím centru MDK najet na tiskárny, pokud jsem zde poprvé, dostane se mi výzvy na vložení příslušného CD, poslechnu – odměnou mi bude automatická instalace potřebného softwaru a konfigurace tiskárny. CUPS umožňuje tisknout i z tiskáren instalovaných na MS Windows serveru. Pro nastavení do větších detailů nebo ke správě tiskových úloh občas používám nástroj pro nastavení využívající rozhraní webového prohlížeče (dostupný z hlavní nabídky).
Bezpečnost
Zabezpečení systému sestává ze dvou základních částí: ochrana proti vnějšímu nepříteli (firewall) a ochrana proti vnitřnímu nepříteli (přístupová práva a Linux jako takový). Někde výše jsem uváděl jako nespornou výhodu Linuxu jeho virovou nezranitelnost. Uvidíte, že argumenty „odborníků“ tvrdících, že na Linuxu nejsou viry, protože je ho na desktopu málo (cca 1 %), jsou absolutně liché.
-
Firewall a router: V Linuxu běžná kombinace, jen výjimečně se setkáte s firewallem, který neumožňuje routování. Firewall je zabudován přímo v jádře a realizován pomocí iptables. Jedná se o stavový firewall. Jeho nastavování není nic pro mě, naštěstí existují grafické nadstavby, které vygenerují skript pravidel. Nejvíce se mi osvědčil Firestarter. Je to open source produkt, umožňuje routování, sledování událostí v reálném čase, přesměrování, blokování určitých počítačů atd. Doslova během minuty jsem pomocí průvodce zabezpečil naši síť a umožnil sdílení internetového připojení na všech počítačích lokální sítě. Jak si mohu dovolit tvrdit, že mám síť opravdu zabezpečenou? Zkuste si, stejně jako já otestovat kvalitu nastavení vašeho firewallu pomocí služby ShieldsUP!. Na prvním obrázku vidíte Firestarter a události během testování, na druhém obrázku je výsledek testu. Pokud byste chtěli mít něco podobného pro Windows… Bez komentáře: Kerio WinRoute Firewall 6 pro 31-110 uživatelů (jiné počty uživatelů – informujte se na select@novy-jicin.cz), doba platnosti 12 měsíců, 22 967 Kč. (Informace viz www.select.cz; všechny uváděné ceny produktů pro MS Windows pochází z Ceníku SELECT pro školy a školská zařízení zařazené v síti škol MŠMT ČR.)
-
Vnitřní bezpečnost: jistě sami víte, jak snadno se dají pracovní stanice s nainstalovanými Windows zvídavými žáky přivést do nepoužitelného stavu. Pak přichází ke slovu image stanic anebo si zajistíte prevenci tohoto jevu nákupem drahého zabezpečovacího systému (OptimAccess verze 9.0 multilicence 1 modul, 11 305 Kč). V GNU/Linuxu mě tento problém vůbec netrápí. Vzhledem k tomu, že uživatelé mají právo zápisu pouze ve svém domovském adresáři, nemohou systém žádným způsobem poškodit či přenastavit (občas žáci poškodí konfigurační soubory ve svém domovském adresáři – stačí je smazat a při novém přihlášení se automaticky znovu vytvoří. Jak jednoduché!). S tím úzce souvisí nastavování práv k adresářům a souborům: např. adresář se všemi výukovými programy mám nastaven tak, aby žáci mohli číst, zapisovat, vstupovat (spouštět), ale nemohli mazat a přejmenovávat.
-
Viry: „… ano, ulož si to na disketu, může být i zavirovaná, mně je to jedno…“ (J. Krejčí). Viry v GNU/Linuxu prostě nenajdete (kromě několika experimentálních z laboratoří). Proč? Neexistuje žádný obecně spustitelný soubor (jako ve MS Windows .exe, .bat, .com, .pif)! Spustitelnost se nastavuje jako příznak souboru (číst, vykonat, zapisovat). Případný uživatel by musel ručně učinit napadený soubor spustitelným a navíc by nutně potřeboval heslo root, aby mohl případný virus poškodit systém.
Jaroslav Krejčí
0 komentářů:
Okomentovat