Linux jako server/Sarge: Porovnání verzí

Přidáno 123 bajtů ,  před 4 lety
m
Robot: kosmetické úpravy
m (Editace uživatele „103.28.141.2“ (diskuse) vráceny do předchozího stavu, jehož autorem je „Tchoř“)
m (Robot: kosmetické úpravy)
Vítejte ve sbírce záznamů z instalace linuxového serveru ve škole.
 
Originál této dokumentace najdete na [[http://grumpa.net/]]. Wiki verzi
pak na [[http://grumpa.eurowiki.net/]]. Připojte se k tvorbě této dokumentace
a navštivte wiki! :o)
 
dodavateli.
 
== Škola ==
Především se slušně představit a vysvětlit, co jim vlastně chceme nabídnout. Nezabíhat
do technických detailů, nenudit. Budou mít vlastní web a mail. To potěší. Data na serveru
MS Windows serveru, podotkněme, že srovnávají špatně:
 
* Linux je zdarma a platí se za práci spojenou s instalací a konfigurací. Do budoucna bude systém průběžně aktualizován; přechod na novou verzi je bezbolestný.
* MS Windows Server se musí koupit. Instalace a konfigurace rovněž není zadarmo a za dva za tři roky budou stát před otázkou, zda pořídit drahý upgrade na novou verzi MS Windows Serveru.
 
o to více síťovek :o) O tomto řešení se v tomto elaborátu nezmiňuji.
 
== Poskytovatel internetového připojení ==
Nestačí jen připojení směrem ven. Škola bude provozovat i vlastní webové stránky,
mail server a pro údržbu bude potřeba ssh server. K tomu všemu je nutná veřejná
to jste nevěděli?) a jsou v pohodě.
 
== Registrace domény ==
Registrátorů je poměrně hodně. Takže koho vybrat?
 
Mně se osvědčil pes.cz. Zná-li někdo další, ať dá vědět.
 
== Instalace a konfigurace serveru ==
Teprve jako poslední bod přichází příjemné introvertní uzavření se do laboratoře
a nastavování serveru. Během této práce bude ještě určitě dobíhat komunikace
na dalších stranách.
 
== Konfigurace pracovních stanic ==
Školy obvykle chtějí i nadále provozovat MS Windows. Pro práci v doménách je
ideální použít MS Windows XP Professional. Další, o něco horší varianta je
použít Windows 98. XP Home domény neumějí ani jako klient!
 
== Škola podruhé: Nabídka dalších možností ==
Určitě nabídneme nainstalovat Linux i na pracovní stanice vedle MS Windows (že
by někdo chtěl MS-Win úplně pryč jsem ještě neslyšel - ostatně žáci se seznámit
logů, ladění antispamu,... důvodů je dost.
 
= Instalace serveru =
== Instalační média ==
Pro instalaci použijte CD Grumpa.net Server. Jedná se o originální Debian
Linux verze Stable, ale nachází se na něm jen to, co potřebujete k
ap. Navíc jeho koupí podpoříte tento projekt, že? :o)
 
CD Grumpa.net Server si můžete objednat na [[http://grumpa.net/]], nebo na
[[http://qwert.cz/]]. Nebo si můžete ze stránek [[http://grumpa.net/]] stáhnout
''jigdo'' soubor a CD si vyrobit pomocí ''jigdo''. Bližší informace o
''jigdo'' si přečtěte na [[http://www.debian.org/CD/jigdo-cd/]]. Možnost
stažení přímo iso obrazů CD Grumpa.net Server v době psaní tohoto textu
nebyla. Koukněte na grumpa.net, jestli se to nezměnilo.
 
== Průběh instalace ==
Celý instalační proces Debian Linuxu je podrobně popsán v instalačním
manuálu, který najdeme buď na CD, nebo na internetových stránkách [Debianu
popisovat, jen se podělím o pár zkušeností.
 
=== Úvodní menu ===
Při startu instalace je možné vybrat z několika režimů. Určitě si vybereme
režim ''expert''. I když se tak třeba necítíme, je to lepší - instalátor se
bude použito na produkčním systému se vybírá později při instalaci.
 
=== Rozložení klávesnice ===
Vyberte typ PC, i když máte USB. Bude fungovat a navíc vám bude následně
nabídnuta i správná česká klávesnice (u volby USB bůhvíproč není).
 
=== Nastavení sítě ===
Tady asi odmítneme automatickou konfiguraci přes DHCP a nastavíme parametry
ručně. Jená se o IP adresu (vnějšího rozhraní - vnitřní se nastaví po
napoví, zda 100GB disk bude moc, nebo málo.
 
== Po prvním nastartování - úvodní konfigurace ==
 
Úvodní dotazy v menu jsou dost jasné (jazyk, časové pásmo, lokální čas)
 
=== Nastavit uživatele a hesla ===
 
Povolíme stínová hesla, zadáme heslo pro superuživatele ''root'' (zatím nějaké jednodušší, budeme ho teď často zadávat). Dále přidáme účet pro běžného uživatele (dávám mu jméno ''bfu'' :o). Tento účet budeme v budoucnu používat pro příjem systémové pošty a také to bude jediný uživatel s právem vzdáleného přihlašování do systému. Takže ho určitě vytvoříme už nyní.
 
=== Nastavit jméno počítače ===
 
Ačkoli jsme ho zadávali už při instalaci, tady se nás to ptá znovu. Na rozdíl od instalace je tady potřeba zadat jméno celé! Tedy ''srv.nase-skola.cz''.
 
=== Nastavit apt ===
Na první dotaz "Přístup k archívům" vybereme CD-ROM (musíme ho mít zasunuté v mechanice, jinak bude hlásit chybu).
 
Následuje otázka, zda do seznamu přidat i zdroj bezpečnostních oprav na http://security.debian.org/ . Zadáme samozřejmě Ano.
 
=== Vybrat a nainstalovat balíky ===
 
Tohle teď přeskočte. V tuto chvíli máme nainstalovaný základní systém. Po prvním přihlášení (za chvíli) si provedeme doinstalaci základu serveru sami.
 
=== Nastavit poštovní server ===
 
Dostaneme tyto otázky a dáme tyto odpovědi:
Samozřejmě si odpovědi upravte podle vašich konkrétních podmínek.
 
=== program base-config ===
 
Právě jsme prošli menu pro základní nastavení systému. Budeme-li se chtít k tomuto menu někdy vrátit, použijeme příkaz:
# base-config
 
=== Ukončit nastavení základního systému ===
 
Takže teď menu opustíme a poprvé se přihlásíme do nově nainstalovaného systému jako ''root''.
 
= Nastavení systému po instalaci =
 
== Česká konzole ==
 
Nastavuje se zvlášť klávesnice a obrazovkové fonty
 
=== Klávesnice ===
 
Definice je uložena v souboru:
# /etc/init.d/keymap.sh reload
 
=== Obrazovka ===
 
Definice je uložena v souboru:
/etc/init.d/console-screen.sh
 
== Instalace základu serveru ==
 
Máte-li CD Grumpa.net Server, dejte ho do mechaniky a proveďte následující příkazy:
Po spuštění apt-get udělá pár testů a pak začne tvrdé dotazování:
 
=== FireWall IPMasq ===
 
Se nás ptá anglicky:
 
''Should PPP connections recompute the firewall?'' Odpovíme Ne, protože ppp spojení nebudeme vůbec používat (nebo máte server za vytáčenou linkou?).
 
Dál je tu upozornění, že kdybychom přeci jen chtěli, jak si můžeme ppp v budoucnu nastavit. Dáme OK.
''Should I start IPMasq?'' Ano, necháme FireWall/maškarádu hned nastartovat. Můžete si z nějakého počítače na vnitřní síti zkusit načíst internetové stránky. Mělo by to už teď běžet. :o)
 
=== ClamAV ===
 
# Má aktualizátor virové databáze běžet jako: démon, if-up/down, cron, manual? Z vysvětlivek je jasné, že budeme chtít první volbu - démon pro průběžnou aktualizaci.
# Má být po aktualizaci databáze démon ''clamd'' upozorňován, aby si ji okamžitě přečetl? Ne. Antivir nepoběží v režimu démona, ale bude spouštěn ad hoc MailScannerem, tudíž není koho upozorňovat.
 
=== Gpm - myš v konzoli ===
Někdo to možná zavrhuje, ale já mám myš rád. Program ''gpm'' umožní dělat operace copy/paste i v konzoli pomocí myši, včetně přenášení schránky mezi virtuálními konzolami.
 
a zadejte správné údaje.
 
==== Jak gpm s myší funguje ====
 
Pracuje to tak, že se stisklým levým tlačítkem přejedte přes text, který chcete kopírovat (tím je text obarven a také rovnou vložen do schránky - žádné machrování z klávesnice typu ctrl/c).
Text ze schránky se vložíte stiskem prostředního tlačítka u třítlačítkové myši (tj. i kolečkem), nebo pravým tlačítkem u dvoutlačítkové myši. Text se vloží do místa, kde bliká '''klávesnicový''' kurzor. Nikoli tedy do místa kam kliknete! Je tedy úplně jedno kde kliknete - záleží pouze a jedině na poloze klávesnicového kurzoru (ale to už jsem říkal:o).
 
=== FTP server ProFTPd ===
Zde je jediný dotaz - zda ho spouštět jako démona či přes inetd. Dávám inetd, protože ftp provoz bude téměř stále na nule, takže proč nechávát v paměti strašit nějakého démona, že?
 
=== Nastavení Quota ===
 
Dotazy:
Tyto dva kontakty budou uvedeny v e-mailu, který systém automaticky posílá uživatelům, kteří překročili soft-limit pro ukládání svých dat.
 
=== Nastavení Samba serveru ===
Tím se budeme podrobně zabývat později. Teď ale musíme odpovědět na pár otázek:
 
* Vytvořit databázi hesel? Ano Vytvoří soubor <code>/var/lib/samba/passdb.tdb</code>
 
=== Ispell dictionary ===
 
Nebudeme asi potřebovat, ale v základní instalaci je. Takže jednoduše všude odpovíme "american". :o)
Slovník pro češtinu na Debian Sarge není. Dá se doinstalovat. To může mít smysl, budeme-li používat webmail ''squirrelmail'', který kontrolu pravopisu nabízí. Ale jelikož maily často píšeme bez hacku a carek, je nám tato kontrola stejně většinou k ničemu.
 
=== Hotovo ===
 
Tím festival dotazů končí. Následující konfigurace si budeme už spouštět sami, takže to bude víc v klidu.
 
== Nastavení textového editoru ==
V Linuxu je zvykem, že veškeré konfigurace se ukládají do textových souborů v adresáři <code>`/etc`</code>. Změna nastavení se provádí editací těchto souborů. Na to budete potřebovat nějaký textový editor. Doporučuji se časem seznámit aspoň povrchně s klasickým unixovým editorem <code>`vi`</code>. I když ho asi nebudete používat (má dost neobvyklé ovládání), styl jeho příkazů používá i řada dalších programů (třeba znak '''/''' pro spuštění vyhledávání).
 
Vybrat si samozřejmě můžete cokoliv jiného. Nabídka je široká.
 
== Midnight commander - souborový manažer ==
Doporučuji si zapnout v nastaveních/konfiguraci "Lynx-like pohyb", který umožňuje otevírat adresáře pomocí šipky vpravo a opouštět je šipkou vlevo. Na tohle si rychle zvykne každý.:o) (Nezapomeňte si nastavení uložit: F9/Nastavení/uložit Nastavení).
 
Jinak si přečtěte vestavěnou nápovědu. Je opravdu co číst.:o)
 
== ruční přidávání / odebírání balíčků ==
 
Debian používá pro správu balíčků celkem namakaný systém.
 
=== apt - zdroje balíčků ===
Většina debianích programů, které manipulují softwarovými balíčky využívá databázi zdrojů ''apt''. Tu najdeme v souboru:
 
Sem si aptoidní programy ukládají balíčky stažené z Internetových zdrojů, které jste chtěli instalovat. Viz dále apt-get.
 
=== aptitude ===
 
Je velmi pohodlný program pro správu softwarových balíčků pro konzolové prostředí.
Když pracujeme v grafickém režimu (což se nám na našem serveru nepoštěstí), můžeme použít program <code>`synaptic`</code> - grafická obdoba <code>`aptitude`</code>. Nahlédneme-li do dokumentace obou programů, zjistíme, že ten grafický je jen slabým odvarem toho konzolového. Jako obvykle.
 
=== apt-get ===
Další možností je použít klascký příkaz <code>`apt-get`</code>. Zvláště v hotovém systému je príma udržovat vše aktuální pomocí této trojice příkazů:
 
odstraní z cache zastaralé balíčky.
 
=== dpkg ===
Dál tu máme příkaz <code>dpkg</code>, který pracuje na nižší úrovni než apt-get. Umožňuje například nainstalovat balíček, který jsme si stáhli odjinud, než z debianích zdrojů:
 
vypíše obsah balíčku aptitude - všimněme si, že se zadává jen první část jména balíčku.
 
=== Znovuspuštění konfigurace balíčku ===
Při instalaci si všimnete, že některé balíčky se vyptávají na výchozí nastavení, jak si ho přejeme. Potřebujeme-li tuto základní konfiguraci zopakovat, použijeme příkaz:
 
# dpkg-reconfigure jmeno-balicku
 
== Framebuffer pro konzoli ==
Lépe se nám v konzoli bude pracovat, využijeme-li možnosti zvětšit si rozlišení monitoru. To se zajistí parametrem pro jádro vga=nnn. Výchozí nastavení je vga=normal, to zajišťuje rozlišení 25 řádků a 80 znaků v řádku. Změna nastavení se projeví po restartu počítače.
 
|}
 
=== grub ===
 
Otevřeme /boot/grub/menu.lst, najdeme řádek "kernel" a přidáme (třeba na konec) onen kouzelný parametr. Takže ten řádek pak může vypadat třeba takto:
kernel /boot/vmlinuz-2.6.8-2-686 root=/dev/hda3 ro vga=791
 
=== lilo ===
 
V obecné sekci souboru /etc/lilo.conf (první část) najdeme a upravíme řádek:
vga=791
 
== LogWatch - výpisy logů ==
 
Systém, jakož i řada programů vypisuje zprávy o své činnosti do systémových logů, které najdeme v
Příjemné počteníčko! :o)
 
= Hlavní serverové služby =
== Quotas - hlídání obsazeného prostoru ==
 
Systém quotas umožňuje nastavit pro jednotlivé uživatele, kolik mohou maximálně obsadit diskového prostoru. Je možno nastavit limit pro objem dat a pro počet souborů. My vystačíme s hlídáním objemu.
Kromě průběžného hlídání, systém quotas pravidelně spouští test na překročení soft limitu a sám automaticky pošle varovný e-mail uživatelům, kteří jsou přes.
 
=== Předpoklady ===
 
Hlídání uživatelských kvót má svoji podporu v linuxovém jádru. Ale aby to mohlo fungovat, budete muset ještě splnit podmínku, že hlídané prostory jsou namountovány na souborovém systému, který kvóty ovládá. O tom jsem psal už v kapitole instalace serveru - rozdělení disku. Vybrali jsme souborový systém <code>`xfs`</code>.
Při startu systému se to samozřejmě zapne samo.
 
=== Nastavení kvót ===
 
Pokud budete přidávat uživatele pomocí dodávaného programu <code>`ug-start.sh`</code>, pak se kvóty budou nastavovat automaticky podle hodnot uvedených v konfiguračním souboru tohoto programu - viz. kapitola věnující se tomuto programu.
Jen ještě jednu informaci. Chcete-li někoho neomezit, nastavíte mu kvóty na 0. Nula znamená "neomezeně".
 
== Správa uživatelů a skupin ==
 
Děláme to pro lidi, že? Tohle byl dost kritický moment, protože školy potřebují správu skupin a uživatelů provádět ve vlastní režii, ale nemají administrátory, kteří by ovládali Linuxové systémy. Vyřešil jsem to napsáním skupiny skriptů, které nabízejí systém menu v prostředí konzole (program Dialog), takže není nutné dělat to úplně ručně.
Pro začátek si ale zkusme představit, že by se to ručně dělat muselo, aby bylo jasné, co ty skripty dělají.
 
=== pojmenovávání skupin ===
 
Uspořádávat uživatele do skupin možná není tak úplně nutné. Vystačili bychom možná s jedinou skupinou <code>`users`</code>. Debian má ve zvyku vytvořit každému uživateli stejnojmennou skupinu a zařadit ho do ní (uživatel franta, skupina franta). Nicméně škola je členěna do ročníků a tříd a my to zohledníme, protože nám to usnadní práci s těm, kdo hromadně školu opustí po deváté třídě.
Další skupiny si můžeme samozřejmě vymyslet pro učitele a pro personál. Budeme-li potřebovat pracovat s celou skupinou naráz, jednoznačné pojmenování nám hodně pomůže.
 
=== pojmenovávání uživatelů ===
 
Jméno uživatele je současně jménem domovského adresáře, který bude vidět jak z Linuxu, tak MS Windows. Také je jménem poštovní schránky. Z toho vyplývá, že by mělo být bez diakritických znamének.
Další důležitá věc je, že jméno uživatele musí být uvnitř celého systému jednoznačné - a to i napříč skupinami. Nemohou být dva uživatelé téhož jména. Na to je potřeba dát pozor zvláště při hromadném vkládání uživatelů. Duplicitní uživatel přidán nebude, protože to prostě není možné.
 
=== domovské adresáře ===
 
Pro přehlednost doporučuji seskupovat uživatelské adresáře do adresářů s názvy skupin takto:
```/home/z1998b/fr.horak/
 
=== ruční přidávání ===
 
Naštěstí nebude potřeba, protože máme zmíněný <code>`ug-start.sh`</code>, ale pro představu: Uživatele je potřeba přidat do systému a přidělit mu heslo pro přihlašování. Je třeba vytvořit skupinu, pokud ještě neexistuje. Je potřeba přidat uživatele do <code>`samby`</code> a také mu musíme nastavit diskové kvóty.
Takže asi proto máme na těžkou práci stroje.
 
=== program ug-start.sh ===
 
Nabízí správu skupin a uživatelů pomocí menu. Umožňuje vytvářet, mazat, přejmenovávat a vypisovat skupiny. Dále vytvořit uživatelský
Program <code>`ug-start.sh`</code> je dodáván ve formě [[Linux:tar|tar]] balíčku, který si vybalíme, nejlépe do podadresáře v adresáři <code>`/root/`</code>.
 
== DNS a DHCP ==
Obě tyto služby vyřešíme jedním balíčkem s názvem <code>`dnsmasq`</code>. Funguje jako DNS cache i jako DHCP server. A hlavně je dost jednoduchý.
 
=== DNS ===
 
DNS (Domain Naming System) je služba, která převádí doménové názvy na Internetu na jejich IP adresy. Doménová jména používají lidé, IP adresy používají počítače mezi sebou. Zhruba řečeno.
DNSmasq není plnohodnotný DNS server, ale jen cache. Kešuje DNS dotazy, které z vnitřní sítě vysílají prohlížeče Internetu. První dotaz na nějakou doménu program ještě neumí odpovědět, takže se zeptá nadřízeného DNS serveru. Následující dotaz na stejnou doménu je už vyřízen z keše, tedy podstatně rychleji.
 
=== DHCP ===
 
DHCP server slouží k poskytování informací o síti počítačům, které nemají pevnou konfiguraci sítě. Takový počítač může vyslat do sítě dotaz na DHCP server a ten mu potřebné údaje pošle. Mezi tyto informace patří především: IP adresa pro dotazující se stroj a příslušná maska sítě. Dále je to adresa DNS serveru, název domény v níž se stroj nalézá, případně další informace.
Doporučuji nechat DHCP serveru přidělovat IP adresy z rozsahu řekněme 30-99. Adresy 100-250 nechat pro pevně nastavené stroje. Adresy 1-29 a 251-255 pak rezervujeme pro servery ap. Pro pracovní stanice s používat nebudou. Uvedená čísla jsou míněna jako poslední číslo v IP adrese ze sítě 192.168.x.y. Je to tedy to y. X je číslo sítě - obvykle 1, pokud nemáme podsítí více.
 
=== Nastavení ===
 
Nastavení je prováděno pomocí konfiguračního souboru <code>`/etc/dnsmasqconf`</code>. Tento soubor je opatřen kvalitními komentáři. Nastavíme tu tyto položky:
souboru <code>`/etc/resolv.conf`</code>.
 
=== resolv.conf ===
 
Ten by měl vypadat nějak takto:
Říká, aby požadavky na vyřízení DNS dotazů byly nejdřív vyřizovány tímto strojem (adresa 127.0.0.1), pak budou žádány nadřízené DNS servery. Jejich adresy nám sdělí poskytovatel připojení.
 
== NAT a Firewall ==
Opět jsem použil jednoduché řešení, balíček <code>`ipmasq`</code>, který je postaven na <code>`iptables`</code> - standardním firewallu pro Linux. Program <code>`ipmasq`</code> nabízí především NAT - překlad adres, tzv. "maškarádu", což umožňuje počítačům
na LAN vidět do Internetu, avšak počítačům z Internetu je vnitřní síť neviditelná.
 
Počítač v doméně "zlegalizujeme" tak, že mu vytvoříme normální uživatelský účet
v Sambě. Podle dokumentace je nutné ho přidat i do ''passwd'', ale jen u
Samby do verze 2.2. Můžu vám prozradit, že to je potřeba i u Samby verze 3.0.:o)
Takže ho přidáme do obou databází.
po přihlášení se ten uživatel svých výjimečných práv nedočkal...
 
Třetí volba namapuje ostatní (tedy neznámé) uživatele na uživatele ''nobody''.
 
== 6.6. Webserver Apache ==
Po restartu Apache by měly fungovat už i adresy s protokolem <code>`https://`</code>.
 
== E-mail server Exim4 ==
 
Debian Linux používá jako výchozí smtp server program Exim4. Jeho možnosti jsou značné, konfigurační soubory nekonečné,... Naštěstí pro jednoduché podmínky se nabízí i poměrně jednoduché řešení.
Nefunguje? Zkusme se podívat do konfiguračního souboru Exim4. A také na:
 
=== Práva k adresáři s e-maily ===
 
Z nějakého záhadného důvodu má adresář ''/var/mail/'', kam se ukládá došlá pošta uživatelů špatně nastavená práva. Vlastníkem adresáře má být ''root.mail'' a práva nastavená na 775.
 
=== Konfigurační soubor Exim4 ===
 
Ten není žádná sranda. Naštěstí nám situaci usnadňuje "nadstavba" použitá v Debian Linuxu, konfigurační soubor:
 
 
=== Neobvyklý restart serveru Exim4 ===
 
Po případných změnách v konfiguračním souboru restartujeme server Exim4 trochu neotřelým způsobem:
 
 
=== Pár užitečných příkazů ===
 
 
'''pfqueue''' oceníme v konzoli - je to obdoba geximonu napsaná pro konzoli. To si na našem serveru užijeme.
 
=== Open Realy ===
 
Pokud si myslíte, že nejhorší věc, která vás v souvislosti s provozováním mail serveru může potkat je, že nefunguje, mýlíte se. Nejhorší je, když mail server funguje moc!
Další možností je využít nějakou testovací službu. Například:
 
* [[http://www.ordb.org/]] - oficiální databáze. Tady pozor, skončí-li váš test "úspěšně" (tj. budete otestování jako open-relay pozitivní), stanete se také hned součástí databáze open-relay serverů, tedy se ocitnete na black listu!
* [[http://www.antispam-ufrj.pads.ufrj.br/test-relay.html]] - tady to není tak divoké. Poztivní test vás jen upozorní, ale nikam nezapíše.
* [[http://www.abuse.net/relay.html]] - i zde se jen testuje bez následků.
* [[http://spamlinks.net/prevent-secure-relay-test.htm]] - tady najdete spoustu odkazů na další možnosti jak testovat (včetně výše zmíněných).
 
Otestování funuje zpravidla takto: Zadáte adresu vašeho poštovního serveru a za chvíli se vám začne vypisovat seznam různých pokusů (až špinavých triků), které by na váš server případný spamer mohl zkoušet. Pokud všechny skončí neúspěchem, můžeme si pogratulovat a jít na pivo.
Pokud byste se na blacklistu ocitli, můžete se po opravě mail serveru nechat na ordb.org znovu otestovat a v případě, že je vše O.K., tak vás z blacklistu opět vyřadí.
 
== POP3 a IMAP server Dovecot ==
 
Po naistalování Dovecotu tyto služby neběží, je nutno je zpřístupnit v konfiguračním souboru:
Proto nakonec volím výchozí nastavení - zasílání nešifrovaných hesel s možností komunikace klienta se serverm přes šifrovanou vrstvu ssl.
 
=== Dovecot a SSL ===
 
Dovecot si během instalace sám vygeneruje ceritfikáty, což si lze ověřit v <code>/etc/ssl</code>. Ve svém poštovním klientu tedy můžete použít místo stadnardních portů pro pop3(110) a imap(443) porty zabezpečené: pop3s(995), imaps(993).
 
== WebMail - Squirrelmail ==
Webmail přidává nad e-mailový systém uživatelské rozhraní ovládané z prostředí internetového prohlížeče. Je to to, co známe třeba ze seznam.cz.
 
Ve webmailu pak objevíme v sekci "nastavení" podsekci "kontrola pravopisu", v níž vedle anglického bude i český slovník. Nastavíme ho jako výchozí a naše nové majly od teď budou bez překlepů a tak...:o)
 
== MailScanner - maily bez spamu a virů ==
=== Instalace ===
 
Nainstalujeme balíčky:
=== 6.10.2. Nastavení - MailScanner ===
 
==== MailScanner.conf ====
 
Otevřeme konfigurační soubor
Tím jsme s konfiguračním souborem hotovi.
 
==== Další nastavení pro MailScanner ====
 
Aby MailScanner spolupracoval s e-mailovým serverem je potřeba ho do procesu
# chmod -R 750 /var/spool/exim4_incoming
 
Pokud jste si nakonfigurovali Exim4 s parametrem <code>`Split Exim Spool = yes`</code>, což v našem řešení není, tak koukněnte do originál návodu, je tam pár věcí navíc.
 
Vytvoříme logovací adresář pro příchozí frontu:
a už to frčí!
 
=== Nastavení ClamAV - antivirus ===
 
V našem řešení je antivirus spouštěn MailScannerem. Výchozí konfigurace antivirového programu bude nejspíš vyhovovat. Chcete-li se tím trochu víc zabývat, například proto, že chcete spouštět ClamAV bez MailScanneru, hledejte v dokumentaci.
 
=== Nastavení SpamAssassin - antispam ===
 
V našem řešení je SpamAssassin spouštěn prostřednictvím MailScanneru. Pokud bychom chtěli systém pouze se spamovým filtrem (bez AntiViru), pak by byl MailScanner zbytečný. V tom případě by stačilo provozovat samotný SpamAssassin. To ale není předmětem této dokumentace.
* <code>~/.spamassassin/user_prefs</code> - osobní nastavení uživatelů (spamd ignoruje!)
 
== FTP server ==
 
Slouží k přenášení souborů mezi serverem a počítačem u kterého právě sedíme. Určitě ho využije webmaster pro úpravu internetových stránek - umožní mu to spojit se s kořenovým adresářem stránek odkudkoliv z lokální sítě i z Internetu. Samozřejmě může použít i Sambu - tedy na lokální síti.
Pokud jde o uživatele ''webmaster'', při jeho vytváření jsme mu zadali jako domovský adresář <code>`/var/www/nase-stranky`</code>, ale o tom píšu v kapitole o Apache web serveru.
 
== SSH server ==
Neboli SecureShell (SSH) slouží ke vzdálenému přihlašování. Nainstalujeme ho proto, abychom se mohli k serveru přihlásit odkudkoliv z Internetu a spravovat ho, jako bychom u něj seděli. Na jednu stranu to zní lákavě, na druhou nebezpečně. Takže jak být opatrný.
 
# /usr/lib/yp/ypinit -m
 
kterým inicializujeme server jako master server. Bude se nás to ptát na jména všech dalších nis serverů v doméně. Máme-li jen ten jeden, ukončíme zadávání CTRL+D a správnost potvrdíme <code>"y"</code>. Pak sledujeme, jak se generují tabulky jednotlivých sdílených souborů (passwd, group,...).
* restartovat:
 
To by mělo stačit. Další možnosti viz. originální dokumentace.
 
==== Aktualizace sdílených souborů na serveru ====
 
Kdykoliv v budoucnu něco změníme ve sdílených souborech (přidáme počítač do <code>/etc/hosts</code>, přidáme/odstraníme uživatele ze systému,...) musíme aktualizovat tabulky služby nis takto:
'''Poznámka:''' Příkaz ''adduser'' se v Debianu se snaží chovat inteligentně, takže při přidávání uživatele provede aktualizaci tabulek nis automaticky. To uvidíte. Jenže pak výše zmíněnou aktualizaci (<code>make</code> v <code>/var/yp</code>) spusťte raději ještě jednou ručně. Po ''adduser'' to nebylo zcela košer.
 
=== Na klientských stanicích ===
 
==== Úprava /etc/nsswitch.conf ====
 
Nejdříve upravíme {{{/etc/nsswitch.conf}}}. Tady si ujasnime, co má stanice brát z vlastních souborů a co z nis serveru. Navrhuji toto:
Soubor ''netgroup'' je čistě záležitostí služby ''nis'' - bez ní by tento soubor stejně neměl smysl (např, když ''nis'' nefunguje), takže je tu jen to nis - vždy se vyžádá verze ze serveru.
 
==== Instalace balíku nis na stanici ====
Nainstalujeme balík nis na všech klietnským počítačích. Při instalaci budeme požádáni o zadání jména domény pro službu nis. Zadáme stejné, jako jsme zadali při instalaci serveru.
 
je v malé síti naprosto vyhovující.
 
==== Ověření funkčnosti ====
 
K tomu máme pár prima příkazů, které si můžeme zkusit z klientské stanice:
Hledejte zde: http://grumpa.net/works/soubory/server/
 
* '''grumpa.net-sarge-zaklad''' - je seznam balíčků pro apt-get, který použijeme po nainstalování serveru k doinstalování nezbytných balíčků pro náš server.
* '''grumpa.net-sarge-extras''' - zde jsou balíčky, které najdete na CD Grumpa.net server navíc oproti těm základním. Jelikož na CD zbývá ještě poměrně dost místa, je tu prostor pro vaše návrhy, co ještě na CD přihodit. Pište mi!
* '''nastaveni''' - v tomto adresáři jsou konfigurační soubory, které jsou upravené pro potřeby našeho serveru. Obsahují tedy ta nastavení, o kterých se píše v tomto pojednání. Použijte je po zralé úvaze - v žádném případě je slepě nepřekopírujte!
Přidán návod na zprovoznění MailScanneru pod Exim4. Návod přeložen z originálu v <code>/usr/share/doc/mailscanner/README.exim4</code>
 
= TODO - co ještě udělat =
Je toho ještě dost k doladění. Ale dá se říct, že v tuto chvíli je tento návod použitelný pro každého, kdo není úplný začátečník. A o to mi šlo.
 
2 768

editací