2016. április 7., csütörtök

Nginx server block-ok (vrtualhost-ok) Debian 8 Jessie-n

Ebben a cikkben Debian 8 Jessie rendszeren beállítunk egy nginx webszervert, rajta két server block-kal. Az apache-on nevelkedettek a server block kifejezést virtualhost néven ismerhetik - mindkét dolog azt takarja, hogy a webszerver más-más weboldalt szolgál ki a beérkező kérés URL-jében lévő szerver neve alapján.

A két server block a két Debian-tükröt szolgálja ki, amelyeket az előző cikkben készítettünk el.

Telepítsük a webszervert:
apt-get install nginx

Másoljuk a site-fájlt:
cp /etc/nginx/sites-available/default /etc/nginx/sites-available/ftp.hu.debian.org
Természetesen nem én vagyok az ftp.hu.debian.org, de egy versenyen ezt kell szimulálnom - lásd a linket a Debian-tükrökkel pár sorral előbb. Aztán szerkesszük az új fájlt. Kezdjük azzal, hogy kipusztítjuk az üres és a komment sorokat:
sed -i '/\s*#.*$/d;/^\s*$/d' /etc/nginx/sites-available/ftp.hu.debian.org
Alakítgassunk a fájlon. Íme a végső változat:
server {
        listen 80;
        listen [::]:80;
        root /mnt/mirror/ftp.hu.debian.org;
        server_name ftp.hu.debian.org;
        location / {
                try_files $uri $uri/ =404;
                autoindex on;
                index index.html;
        }
}
Győződjünk meg róla, hogy a www-data felhasználó olvashatja-e a megfelelő könyvtár tartalmát, aztán
ln -s /etc/nginx/sites-available/ftp.hu.debian.org /etc/nginx/sites-enabled/
service nginx restart
Jaja, az utolsó sorból azt látjuk, hogy a systemctl még nem teljesen van otthon a Debian-on.
Második server block:
cp /etc/nginx/sites-available/ftp.hu.debian.org /etc/nginx/sites-available/security.debian.org
Szerkesszük ilyenre:
server {
        listen 80;
        listen [::]:80;
        root /mnt/mirror/security.debian.org/debian-security;
        server_name security.debian.org;
        location / {
                try_files $uri $uri/ =404;
                autoindex on;
                index index.html;
        }
}
Aztán meg:
ln -s /etc/nginx/sites-available/security.debian.org /etc/nginx/sites-enabled/
service nginx reload
És elvileg minden oké.

2016. április 6., szerda

Helyi Debian tükör készítése

A posztban Debian 8 Jessie-n példálózom, de nyilván másmilyenre is jó a módszer, legalábbis, amikor a posztot írom, akkor tutira.

Szóval, a egy reggel arra ébredsz, hogy mindenképp Debian tükörszerverre van szükséged, akkor a következőképp érdemes eljárnod:
  • Tükrözöd az egész hóbelevancot
  • Teszel elé egy webszervert
Itt persze akár abba is hagyhatnánk, mert végül is ennyi az egész, de mégis inkább elmondjuk részletesebben:

A Debian tároló tükrözése

A régi szép időkben ezt például az apt-mirror használatával végezte az ember. Már a linkelt cikkben is említettem, hogy néha nem annyira értettem, hogy mi a francot művel a drága, na de van ilyen.
Most meg itt a jó kis ftpsync szkriptegyüttes, vagy mifene. Ez a javasolt mód. És működni látszik. Hogy miért ftp? Nemtom, mert rsync-kel dolgozik.

Első dolog: készíteni egy jóóóóóóó naaaaaaaaagy helyet. Én csak az amd64-es Jessie-t tükrözöm és majd' 300 GB.

Ha elkészült, tölthetjük az ftpsync-cuccot:
wget https://ftp-master.debian.org/ftpsync.tar.gz

2016. február 19., péntek

DHCP és DDNS Debian 8 Jessie-n

Ez az abszolút nagyképű bejegyzés, ugyanakkor ha valaki keresi, akkor a Google így fogja megtalálni.

Szóval az van, hogy a pár évvel ezelőtti, Ubuntu 12.04-re készített cikkeim egy irinyó különbségtől eltekintve pontról pontra használhatók Debian 8 Jessie-n is.

Kezdjük a különbséggel:

Nincs már ugye sem a régi jó init-rendszer, sem upstart, van helyette systemd. Ezér' amit Ubuntun a
service AKARMI restart
Helyette van:
systemctl restart AKARMI 

És akkor itt vannak azok a cikkek, amelyekből az ember dinamikus DNS-t készít magának, méghozzá immáron Debian 8 Jessie-n. Na persze fordított sorrendben listázódnak a cikkek, de aki tud az tud:) És itt a sima DHCP-szerver is.

2016. február 17., szerda

A nyúlon túl: SSH ProxyCommand

Ugyebár minden esetben használ az ember konfigurációs fájlt az SSH-kapcsolataihoz, mert gépelni lusták vagyunk. Meg mert unjuk, hogy a nyomi szerverek kidobnak, amíg ilyen-olyan internetes kereséseket végzünk.

$cat .ssh/config 
Host *
    ServerAliveInterval 60

Host deb1
    Hostname 192.168.168.250
    Port 22
    User juzer
Ilyen szép config-fájllal már csak annyi a dolgunk, hogy kiadjuk az
$ssh deb1
parancsot.

Na de, mi van, ha a deb1 túloldalán lévő szerverhez akar eljutni az ember? Ekkor segít a ProxyCommand:
$ cat .ssh/config 
Host *
    ServerAliveInterval 60

Host deb1
    Hostname 192.168.168.250
    Port 22
    User juzer

Host deb2
    Hostname 172.16.10.201
    User juzer
    Port 22
    ProxyCommand ssh -q -W %h:%p deb1
Azaz a deb2-t a deb1-en keresztül érjük el. Hú!:)

Ja, és akinek nem volna világos a poszt címe, mert mondjuk túl fiatal: https://www.youtube.com/watch?v=Pkt7rL_X9n4

Irodalom:
https://heipei.github.io/2015/02/26/SSH-Agent-Forwarding-considered-harmful/

2015. október 15., csütörtök

Nyílt forráskódú operációs rendszerek alkalmazási lehetőségei a köznevelési intézményekben

Tavaly ilyenkor rohammunkában készítettem tananyagot a fenti címmel. A feladatom az volt, hogy Linux-hoz nem értő iskolai rendszergazdáknak készítsek bevezetőt iskolai rendszerek üzemeltetéséről, ez a címben jelzett főprojekt egyik részeként valósult meg. Pár napja publikálták a cuccot, úgyhogy ide is elhelyezem a kapcsolódó linkeket.

A tananyag főleg Ubuntu 14.04 alapú, de a specifikáció miatt foglalkoztam OpenLab és SuliX rendszerrel is. A megrendelő csak nagyon kevés videót kért, de én jó sokat csináltam, és szerintem az a tanagyag legértékesebb része.

Maga a tananyag: http://moodle.sulinet.hu/course/view.php?id=142
A teljes projekt: http://hirmagazin.sulinet.hu/hu/s/opensulinet

És a videók:

2013. február 27., szerda

Gép leállítása, amikor valaki (más) be van jelentkezve - Ubuntu 12.04

Az én felhasználóim egy része (a tanárok) gyakran csak a szünetben ül a gép elé, mondjuk két percre, aztán elfelejt kijelentkezni. Aktiválódik a képernyővédő és a zárolás. A következő odaülőnek két lehetősége van: megadja a jelszót, vagy "felhasználót vált".
Hogy lehet bejelenkezett felhasználók esetében leállítani a gépet a bejelentkezőképernyőről?

2013. február 21., csütörtök

KIR3 Ubuntu 12.04 alatt

A közelmúltban írtam már egy posztot, amire aligha kíváncsi más, mint a Linuxon dolgozó magyar iskolák - amiből pedig nem túl sok van. Akkor most még egy ilyen.

2013. január 15., kedd

ADAFOR Ubuntu Linux 12.04-en Wine használatával

Ez a cikk aligha fog néhány középiskolai rendszergazda kivételével másokat is érdekelni, de őket esetleg nagyon. Főleg, ha Linuxos átállással ügyködnek.
Nálunk az átállás egyre inkább közelít a 100% felé, a legújabb fejlemény az ADAFOR beüzemelése.
A telepítés lépései egy pontig egyszerűek, de most, hogy a megoldás ismert, utána sem lesz nehéz a dolog. A telepítéshez Wine-t, Windows Emulátort használunk.

2012. december 11., kedd

OpenLDAP ACL három felhasználói csoportra

Ez a cikk sokat késet, de azért megérkezett. Nagyon hosszú időt ült félkész állapotban a piszkozatok között...

Múltkor végre sikerül elég bonyolultan megoldani azt, hogy az LDAP-on belül mindenki csak ahhoz férhessen hozzá, amihez szabad neki (legalábbis remélem:)).
Ma bonyolítom a helyzetet.

2012. november 3., szombat

Ubuntu 12.04: alapértelmezetten magyarul

Még béta volt az Ubuntu 12.04, amikor megírtam, hogy én miként telepítem preseeding használatával.
Akkoriban volt benne egy kis hiány: szólt, hogy a telepítő (debian-installer) nincs teljesen magyarra fordítva. Gondoltam, ez majd javul - de nem. Így az előző cikkben megadott preseeding fájl használatával mindmáig rákérdez, hogy tutira magyarul akarjuk-e? Ez meg zavart, így a fájl elő két sorát átírtam:
d-i debian-installer/locale string en_US
d-i localechooser/supported-locales hu_HU, en_US.UTF-8, de_DE.UTF-8
Igen ám, de így a rendszerünk alapértelmezetten angol. Szomorú. Mit tehetünk ellene? Írjuk át az /etc/default/locale fájlt:
LANG="hu_HU.UTF-8"
LANGUAGE="hu_HU.UTF-8"
És még esetleg egy
sudo dpkg-reconfigure locales
Akkor ez is megvan.

2012. november 2., péntek

Bind users for PAM, Samba and Kerberos on Ubuntu 12.04

At this moment the ACL of our OpenLDAP server is the following (command in bold, rest is the output):
sudo ldapsearch -Q -LLL -Y EXTERNAL -b cn=config '(olcDatabase={1}hdb)' olcAccess
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by dn="cn=
 admin,dc=itthon,dc=cucc" write by * none
olcAccess: {1}to attrs=shadowLastChange,shadowMax by self write by dn="cn=admi
 n,dc=itthon,dc=cucc" write by * read
olcAccess: {2}to dn.base="" by * read
olcAccess: {3}to * by self write by dn="cn=admin,dc=itthon,dc=cucc" write by *
  read
The by * read does not look too nice. We changes this and others today.
(Ez a cikk magyarul is olvasható)

2012. október 31., szerda

Kapcsolati felhasználók PAM-hoz, Samba-hoz és Kerberos-hoz Ubuntu 12.04-en

Jelen pillanatig az OpenLDAP-szerverünk ACL-je a következő (vastaggal a parancs, a többi a kimenet):
sudo ldapsearch -Q -LLL -Y EXTERNAL -b cn=config '(olcDatabase={1}hdb)' olcAccess
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by dn="cn=
 admin,dc=itthon,dc=cucc" write by * none
olcAccess: {1}to attrs=shadowLastChange,shadowMax by self write by dn="cn=admi
 n,dc=itthon,dc=cucc" write by * read
olcAccess: {2}to dn.base="" by * read
olcAccess: {3}to * by self write by dn="cn=admin,dc=itthon,dc=cucc" write by *
  read
A by * read nem olyan szép. Ezen és másokon változtatunk ma.
(You can read this article in English too.)

2012. október 30., kedd

NFS4 autofs homes on Ubuntu 12.04

Last time he have arranged the mount of the directories exported by our NFS4 server using Kerberos auth. Well but what if we have lots of users? Why sould we mount the whole /home on the client? Today we help this problem.
(Ez a cikk magyarul is olvasható)

2012. október 28., vasárnap

NFS4 autofs home-könyvtárak Ubuntu 12.04-en

A múltkor megoldottuk, hogy a Kerberos-hitelesítést használó NFS4-szerver által kiajánlott /home-könyvtárakat mountolni tudtuk a kliensünkön. Igen ám, de ha van jó sok felhasználónk, akkor miért is kellene az egész /home-nak látszódni a kliensen? Ma ezen segítünk.

2012. október 27., szombat

MIT Kerberos V and NFS4 on Ubuntu 12.04

Last time we solved the problem of LDAP based Kerberos login to our PCs (and as a "satellite project" we solved the synchronisation of the Kerberos, LDAP and Samba passwords). Today we make progress in solving the centrally stored home directory mount of the user logging in to a Linux workstation.
(Ez a cikk magyarul is olvasható)

2012. szeptember 28., péntek

MIT Kerberos V és NFS4 Ubuntu 12.04-en

A múltkorjában megoldottuk az LDAP-ra támaszkodó Kerberos használatával való bejelentkezést a gépeinkre (meg, mintegy mellékesen, megoldottuk az LDAP és a Kerberos - és a Samba - jelszavak szinkronizálását). Ma a Linux munkaállomásra bejelentkező felhasználó home-jának központi tárhelyről való mountolását igyekszünk megoldani.
(Read this article in English)

2012. szeptember 16., vasárnap

OpenLDAP Password Policy on Ubuntu 12.04-en - Part Six

Last time we managed to set up a policy handling almost every aspect of the passwords of the users stored in OpenLDAP. This means the minimal and maximal password length; the already used password which cannot be reused for a while and we arranged to get warned of the passwords about to expire.
This works more or less with Kerberos too with the exception of remembering the last passwords. The Kerberos man page says it does not work when using LDAP backend. And we happen to use one.

2012. szeptember 12., szerda

OpenLDAP jelszóházirend Ubuntu 12.04-en - hatodik rész

Az előző alkalommal odáig jutottunk, hogy az OpenLDAP-ban tárolt felhasználóink jelszavainak be tudjuk állítani szinte mindenét: minimális-maximális hosszát, eltárolt és egy darabig újból meg nem adható jelszavaik számát, és azt, hogy figyelmeztessen a rendszerünk, ha a jelszó lejáróban van.
Mindez többnyire megy a Kerberos-jelszavak esetében is, a kivételt a már használt jelszavak tárolása képezi, ami a Kerberos man-oldala szerint nem megy, ha LDAP-backendet használunk. Mi meg azt használunk.

2012. szeptember 11., kedd

OpenLDAP Password Policy on Ubuntu 12.04 - Part Five

Creating the password policy is about to get longer than a Brasilian TV-series. Last time we completed the work with the ppolicy overlay but smbkrb5pwd and Windows will cause headaches.
Today we try to solve the smbkrb5pwd problem. May I remark right here at the beginning that although I solved the problem more or less it was not by design.

2012. szeptember 10., hétfő

OpenLDAP jelszóházirend Ubuntu 12.04-en - ötödik rész

A jelszóházirend megoldása lassan hosszabb, mint egy brazil tévésorozat. A múltkor megbeszéltük, hogy a ppolicy overlay a helyén van és működik, de az smbkrb5pwd és a Windows okoz még gondot.
Ma az smbkrb5pwd problémájának igyekszünk a végére járni. Előrebocsátom, hogy tiszta véletlen, hogy a dolog működik.