KnowHow Redaktsioon February 2016

KnowHow Redaktsioon 1.0 16. February 2016

Võrgurakendused 1 Virtualiseerimiskeskkond 3 1.1 Info.................................................... 3 1.2 Võrgukonfiguratsioon.......................................... 3 1.3 Kontroll.................................................. 3 1.4 Hostname................................................. 4 1.5 SSH.................................................... 4 1.6 Tulemus................................................. 4 2 Ansible 5 2.1 Info.................................................... 5 2.2 FQDN.................................................. 5 2.3 Ansible.................................................. 5 2.4 Playbook................................................. 6 2.5 Tulemus................................................. 6 3 Mail 7 3.1 Info.................................................... 7 3.2 Meiliserver................................................ 7 3.3 Dovecot.................................................. 8 3.4 SquirellMail............................................... 8 3.5 Tulemus................................................. 9 4 Aliased 11 4.1 Info.................................................... 11 4.2 Võrgukonfiguratsioon.......................................... 11 4.3 Apache konfiguratsioon......................................... 11 4.4 Tulemus................................................. 12 5 DNS 13 5.1 Info.................................................... 13 5.2 Bind9................................................... 13 5.3 Kliendile külge.............................................. 14 5.4 Tulemus................................................. 14 6 Owncloud 15 6.1 Info.................................................... 15 6.2 Owncloud................................................ 15 6.3 MySQL.................................................. 15 6.4 PostgreSQL................................................ 16 i

6.5 Owncloud i andmekaust......................................... 16 6.6 Tulemus................................................. 17 7 Fail2Ban 19 7.1 Info.................................................... 19 7.2 Fail2Ban................................................. 19 7.3 SSH.................................................... 19 7.4 Owncloud................................................ 20 7.5 Mail.................................................... 20 7.6 Tulemus................................................. 21 8 Nagios 23 8.1 Info.................................................... 23 8.2 Nagios.................................................. 23 8.3 Nagiose Pluginad............................................. 24 8.4 NRPE................................................... 24 8.5 Nagiose konfigureerimine........................................ 25 8.6 Apache konfigureerimine........................................ 25 8.7 Kliendi eelseadistus........................................... 26 8.8 Hosti lisamine.............................................. 26 8.9 Apache ja MySQL monitoorimise lisamine............................... 27 8.10 Tulemus................................................. 28 9 Ubuntu Unattended 29 9.1 Info.................................................... 29 9.2 Eelnevalt vaja............................................... 29 9.3 Ligipääs ISO failidele.......................................... 29 9.4 Failimuudatused............................................. 30 9.5 Preseed.................................................. 30 9.6 ISO taasgenereerimine.......................................... 31 9.7 Tulemus................................................. 31 ii

Siin on erinevate installatsioonide & süsteemide seadistamise ajal/järgselt tekkinud dokumentatsioonid. Enamjaolt Linux. Märkasid dokumentatsioonis viga? Anna sellest teada GitHubis! Autor Rando Hinn Võrgurakendused 1

2 Võrgurakendused

PEATÜKK 1 Virtualiseerimiskeskkond 1.1 Info Võrgurakenduste dokumentatsioon on testitud & koostatud järgneval virtualiseerimiskeskkonna seadistusel. Keskkonnas eksisteerib 2 virtuaalmasinat - klient ja server. Mõlemal masinal on 2 võrguadapterit - neist esimene pääseb internetti, ning teine on internal network adapter. Mõlemate OS on Debian 8. 1.2 Võrgukonfiguratsioon Server Failis /etc/network/interfaces tuleb teha täiendusi. Olemasolev allow-hotplug eth0 tuleb muuta auto eth0-iks. Vastasel juhul ei suuda masin hiljem välisvõrku ping-ida. Lisaks tuleb faili lisada ka teine adapter. auto eth1 iface eth1 inet static address 10.0.0.1 netmask 255.255.255.0 gateway 10.0.0.254 Klient Korrata serverimasinas tehtut. NB! Kindlasti TULEB Kliendile määrata mingi muu IP aadress, nt 10.0.0.2!! Võrguadapterite restart mõlemas masinas /etc/init.d/networking restart 1.3 Kontroll Server ping-ime klienti: ping 10.0.0.2 Kui ping annab tulemuseks tagasi tulevad paketid, on seadistus korras. Klient ping-ime serverit: ping 10.0.0.1 Kui ping annab tulemuseks tagasi tulevad paketid, on seadistus korras. 3

Mõlemad Kuna Kõigi ülesannete tarvis on internetile ligipääsu, siis peavad mõlemad masinad olema suutelised ping-ima ka välisvõrku. Jooksutada ping google.com. Kui annab tulemuseks tagasi tulevad paketid, on kõik korras. 1.4 Hostname Serveri hostname võiks olla selline, et sellele peale vaadates saab aru, mis masinaga tegu on. Nt owncloud või ansible. Hostname muutmine käib failist /etc/hostname, mille sisuks tulebki kirjutada soovitud hostname. Seejärel tuleb muudatus süsteemis ka rakendada: hostname -F /etc/hostname. 1.5 SSH Virtualboxi ei saa copy-paste ida, ja see kaaperdab ka hiire ja klaviatuuri. Lihtsam on kasutada näiteks Putty t. Ligipääsuks tuleb serverile installida ssh server. apt-get install openssh-server. Kuna tavakasutaja õigustega pole eriti midagi pihta hakata, siis tuleb lubada root-ina sisse logimine. /etc/ssh/sshd_config failis rida 28 tuleb muuta selliseks: PermitRootLogin yes. Seejärel on tarvis ssh server taaskäivitada: systemctl restart sshd. Mõningate Võrgurakenduste dokumentatsioonide jaoks on tarvis ka kliendil ssh serverit (nt Ansible). Seega võiks sama korrata ka kliendis. 1.6 Tulemus Selliselt seadistatud virtualiseerimiskeskkond on aluseks siinolevate Võrgurakenduste dokumentatsioonidele. 4 Peatükk 1. Virtualiseerimiskeskkond

PEATÜKK 2 Ansible 2.1 Info Aluseks on Virtualiseerimiskeskkond, kus serveri peale on installeeritud Ansible, millega klienti hallata. Kliendil GUI puudub. 2.2 FQDN Ansible server vajab lisaks veel FQDN-i. Selle loomine käib /etc/hosts failis, mille lõppu tuleb lisada alljärgnev rida: 10.0.0.1 ansible.local ansible NB! Antud failis on OLULINE, et vahed ei oleks loodud tühikuga, vaid kasutades TAB klahvi! Seejärel tuleb server taaskäivitada. 2.3 Ansible Serveris Ansible installeerimine. apt-get update apt-get upgrade apt-get install software-properties-common ansible **Paroolivaba ligipääsu kliendile loomine.** ssh-keygen -t rsa - antud käsk küsib küll palju informatsiooni, kuid sellest võib enter-iga läbi joosta - millegi sisestamine vajalik ei ole. Tulemusena tekib vaikeasukohas olev paroolita fail. Võtmete lisamine Äsja loodud võtmed tuleb ssh agendile lisada. ssh-agent bash ssh-add ~/.ssh/id_rsa 5

Seejärel saab avaliku võtme kopeerida üle võrgu kliendi arvutisse: ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.2 Ansible konfigureerimine Ansible-le tuleb lisada kliendid, need lisatakse faili /etc/ansible/hosts. Antud näite puhul tuleb faili lõppu lisada järgmised read. [test] 10.0.0.2 Seejärel saab Ansible konfiguratsiooni testida, ping-ides äsjaloodud test grupis olevaid IP-aadresse: ansible test -m ping. 2.4 Playbook Anible playbookid on oma olemuselt.yml failid, mis defineerivad Ansible jaoks tegevused ja nende järjekorrad. Siinkohal on loodud playbook-iks fail playbook.yml. Playbooki sisuks on Apache2 veebiserveri installatsioon ja käivitamine test grupile. --- - hosts: test tasks: - name: Install apache apt: pkg=apache2 state=installed update_cache=true notify: - start apache2 handlers: - name: start apache2 service: name=apache2 state=started NB! Antud failis on oluline, et kõikideks vahedeks on TÜHIKUD. Kaasaarvatud ridade algused! Playbooki saab käivitada nii: ansible-playbook playbook.yml 2.5 Tulemus Edukas Ansible installatsioon ja playbook peaks käivitamisel andma sellise tulemi. 6 Peatükk 2. Ansible

PEATÜKK 3 Mail 3.1 Info Aluseks on Virtualiseerimiskeskkond, kus serveri peale on installeeritud meiliserver koos webmailiga, kuhu kliendile installeritud GUI-st saab browseriga ligi. Lisaks peab server olema võimaline maili saatma ka välisvõrku. 3.2 Meiliserver Serveris Mailname Alustuseks tuleb ära muuta süsteemi mailname. Failis /etc/mailname muuta seal olev väärtus mailiks. Meiliserver Meiliserverina kasutusel postifx. Install apt-get install postfix. Installimise ajal konfguratsioonisäteteks valida No configuration, niiviisi on hiljem võimalik konfigureerida rohkem seadeid. Meiliserveri konf Ümberkonfigureerimise alustamiseks dpkg-reconfigure postfix. Järgnevatel ekraanidel võiks teha sellised valikud, loomaks meiliserverit fun.loc. OK Internet Site Mail Name: fun.loc Root & Postmaster recipient: rando Destinations to accept for mail: fun.loc fun.fun.loc localhost.loc localhost Force Synchronous Updates: Yes Local Networks: 127.0.0.0/8 10.0.0.0/24 Use procmail: Yes Size limit: Local address Extension char: + Internet protocols to use: ipv4 Meiliserveri testimine Meili saadab esmalt välisele meilikontole. mail meil@gmail.com Subject: Test Lorem Ipsum dolor sit amet 7

.#enter cc: #enter NB! #enter tähistab ENTER klahvi füüsilist vajutamist! Kui e-mail jõudis kohale, on süsteem õigesti konfigureeritud. 3.3 Dovecot Serveris Dovecot on IMAP ja POP3 server. Installimine: apt-get install dovecot-core dovecot-pop3d dovecot-imapd. Konfigureerimine Failis /etc/dovecot/conf.d/10-master.conf teha järgnevad muudatused. Real 19. port: 143 Real 40. port: 110 Real 96 algav bracket välja kommenteerida, tulemus jääb selline. unix_listener /var/spool/postfix/private/auth { mode = 0660 user = postfix group = postfix } 3.4 SquirellMail SquirellMail on veebipõhine meiliklient Severis Installeerimine apt-get install apache2 a2dissite 000-default a2dissite default-ssl apt-get install squirrelmail Konfigureerimine Kõigepealt default konf ümber kopeerida cp /etc/squirrelmail/apache.conf /etc/apache2/sites-available/squirrelmail.conf. Seejärel konfiguratsiooni muuta. Ehk failis /etc/apache2/sites-available/squirrelmail.conf Rida 1 kustutada. Read 21-24 eemaldada kommentaarid (eest kustutada # märk), ning lisada IP aadressid. 8 Peatükk 3. Mail

<VirtualHost 10.0.0.1> DocumentRoot /usr/share/squirrelmail ServerName 10.0.0.1 </VirtualHost> Seejärel võib veebiserveri taaskäivitada: service apache2 restart. 3.5 Tulemus Õigesti seadistatud süsteemi puhul peaks kliendi masinast brauseriga aadressile http://10.0.0.1 minnes olema näha squirrelmail, ning süsteemi kasutajaga (nt. root) peaks saama ka sisse logida, ning e-maile saata nii välisvõrku, kui ka teistele UNIX-i kasutajatele, kellel on serveris konto. 3.5. Tulemus 9

10 Peatükk 3. Mail

PEATÜKK 4 Aliased 4.1 Info Aluseks on Virtualiseerimiskeskkond, kus serveri peale on installeeritud Network Alias i kasutav apache2, kliendi GUI-st saab brauseriga kahele eri IP-le minnes kahte eri lehte, mis mõlemad on ühes ja samas serveris. Antud näites kuvab üks minu ees- ja teine perekonnanime. 4.2 Võrgukonfiguratsioon Varasemast seadistatud võrgukonfiguratsioonile tuleb lisada võrgualias. Selleks /etc/network/interfaces faili lisada. auto eth1:0 iface eth1:0 inet static address 10.0.0.3 netmask 255.255.255.0 gateway 10.0.0.254 Nagu järeldada võib, loob see veel ühe adapteri, IP-aadressiga 10.0.0.3, kuna 10.0.0.2 on teatavasti kliendi IP. 4.3 Apache konfiguratsioon Serveris VirtualHost id saab nüüd külge ühendada nii IP-dele 10.0.0.1 kui ka :code: 10.0.0.3. Failis /etc/apache2/sites-available/000-default.conf. <VirtualHost 10.0.0.1:80> ServerName 10.0.0.1 DocumentRoot /var/www/ees </VirtualHost> <VirtualHost 10.0.0.3:80> ServerName 10.0.0.3 DocumentRoot /var/www/pere </VirtualHost> Nii /var/www/ees, kui /var/www/pere kaustades on vastava sisuga index.html failid. Veebiserveri restart service apache2 restart. 11

4.4 Tulemus Eeldusel, et /var/www/ees, ja /var/www/pere kaustad on veebiserverile loetavad (testimiseks kõlbab chmod 777), avanevad mõlemal IP-l vastavasisulised saidid. 12 Peatükk 4. Aliased

PEATÜKK 5 DNS 5.1 Info Aluseks on Virtualiseerimiskeskkond kuhu on seadistatud serverile bind9 DNS server. Antud DNS server on seotud kliendi külge, ning pingida on võmalik kasutades domeeninime. NB! Klient ei ole graafiline. Graafilises keskkonnas DNS-i külge haakimine antud viisil ei pruugi tomida! 5.2 Bind9 Installerimine käib nii - apt-get install bind9. Hosti lisamine Faili /etc/hosts tuleb lisada eth1 adapteri IP, koos soovitud domeeninimega. Siinkohal kasutatud domeeninime jr.local. Ehk siis lisada selline rida, NB! vahekohad TAB-iga. 10.0.0.1 dns.jr.local dns Resolv.conf Eelnevalt vaja installida resolvconf package. apt-get install resolvconf. Järgnevalt tuleb seadistada DNS serverile nimeserverid. Faili /etc/resolvconf/resolv.conf.d/head sisse alljärgnev. nameserver 10.0.0.1 nameserver 8.8.8.8 nameserver 8.8.4.4 search jr.local Siinkohal tulenevad IP-d 8.8.8.8 ja 8.8.4.4 Google i avalikest nimeserveritest. Head faili kasutatakse staatiliseks resolv.conf sätete muutmiseks - vastasel juhul resolv.cofn kirjutataks igal buudil üle. Keelame võrgult saadava ära. Failis /etc/dhcp/dhclient.conf eemaldada request väärtuse tagant domain-name-servers ja domain-search. Bind9 konfigureerimine Faili /etc/bind/named.conf.local lõppu tuleb lisada järgnevad read. 13

zone "jr.local" { type master; file "forward"; }; zone "10.in-addr.arpa" { type master; file "reverse"; }; Tsoonifail Kopeerime bind9 algse tsoonifaili, et saaksime seda turvaliselt muuta. cd /etc/bind/ cp db.local /var/cache/bind/forward cd /var/cache/bind Teeme muudatused saadud forward failis. Tulemus võiks välja näha selline. Kopeerime selle faili uueks failiks nimega reverse. cp forward reverse Reverse fail mapib IP domeeninime külge. Antud fail peaks pärast muudatusi välja nägema selline. DNS Käima Teeme DNS Serverile taaskäivituse, ja kui kõik on korras, peaks asi toimima /etc/init.d/bind9 restart. Test Käsk nslookup jr.local peaks tulemuseks tagasi andma ilusti meie IP aadressi. 5.3 Kliendile külge Kliendile on eelnevalt vaja installida resolvconf package. apt-get install resolvconf. Kliendi internal network adapterile tuleb faili /etc/network/interfaces lisada sellised read ja muuta gateway: gateway 10.0.0.1 dns-nameservers 10.0.0.1 dns-search jr.local dns-domain jr-local Masinale reboot. Test Nüüd peaks nslookup andma ka kliendist tagasi IP aadressi, ning töötama peaks ka ping jr.local. 5.4 Tulemus Seadistatud on töötav DNS server, mis suudab kliendimasinas ära resolve-ida domeeni jr.local. 14 Peatükk 5. DNS

PEATÜKK 6 Owncloud 6.1 Info Aluseks on Virtualiseerimiskeskkond, kus serveri peale installeerin owncloudi, ning kliendi masinale installitud GUI-s saab veebibrauseriga owncloudile ligi. 6.2 Owncloud Lisan Owncloud i repository apt-get i allikate nimekirja echo 'deb http://download.opensuse.org/repositories/isv:/owncloud:/community/debian_8.0/ /' >> /etc/a Installin Release.key ja uuendan apt-get i cd /tmp wget http://download.opensuse.org/repositories/isv:owncloud:community/debian_8.0/release.key apt-key add - < Release.key apt-get update Installin owncloud i apt-get install owncloud Installiprotsessi käigus määran MySQL ile parooli mysqlpass. 6.3 MySQL Login MySQl i mysql -u root -p Loon owncloudi jaoks andmebaasi ja kasutaja CREATE DATABASE owncloud; CREATE USER owncloud@localhost IDENTIFIED BY 'ocpass'; GRANT ALL PRIVILEGES ON owncloud.* TO owncloud@localhost; flush privileges; quit 15

6.4 PostgreSQL Alternatiivne variant MySQL ile on kasutada PostgreSQL i. Alustuseks tuleb owncloud küll installeerida, kuid MySQL andmebaasi ja kasutajat mitte luua (root kasutaja parooli määramisest siiski mööda ei pääse, aga see selleks), ning mite käivitada veel ka veebiinstallerit. Seejärel installida postgresql ise, PHP PostgreSQL i laiendus ning veebiserverile restart teha. apt-get install postgresql apt-get install php5-pgsql service apache2 restart Igaks juhuks tuleks üle vaadata ka php konfifail /etc/php5/conf.d/pgsql.ini või owncloudiga kaasa tuleva apache puhul /etc/php5/apache2/conf.d/20-pgsql.ini. Fail võiks välja näha järgmine: # configuration for PHP PostgreSQL module extension=pdo_pgsql.so extension=pgsql.so [PostgresSQL] pgsql.allow_persistent = On pgsql.auto_reset_persistent = Off pgsql.max_persistent = -1 pgsql.max_links = -1 pgsql.ignore_notice = 0 pgsql.log_notice = 0 Loon andmebaasi ja kasutaja psql -hlocalhost -Upostgres või kui sedasi postgres ile ligipääs nurjub, siis sudo -u postgres psql postgres ning andmebaasi ja kasutaja loomine. CREATE USER username WITH PASSWORD 'password'; CREATE DATABASE owncloud TEMPLATE template0 ENCODING 'UNICODE'; ALTER DATABASE owncloud OWNER TO username; GRANT ALL PRIVILEGES ON DATABASE owncloud TO username; \q 6.5 Owncloud i andmekaust Loon owncloud ile ka üleslaetud failide hoiustamiseks andmekausta. mkdir /var/owncloud chown www-data:www-data /var/owncloud chmod 750 /var/owncloud Nüüd saan kliendi arvuti brauserist installatsiooni jätkata http://10.0.0.1/owncloud Loon admin kasutaja. Advanced Settings alt muudan ära data kausta ja valin sobiva andmebaasimootori, ning sisestan ab. andmed. 16 Peatükk 6. Owncloud

6.6 Tulemus Owncloud töötab 6.6. Tulemus 17

18 Peatükk 6. Owncloud

PEATÜKK 7 Fail2Ban 7.1 Info Aluseks on Owncloud, 8.2.1 kuhu serverile installin veel Fail2Ban-i. Fail2Ban ban-ib peale kolme ebaõnnestunud login katset kas SSH-sse, või owncloudi, IP vastavalt teenusele kümneks minutiks ära, ning saadab e-maili. 7.2 Fail2Ban Serveris Installin Fail2Ban-i. apt-get install fail2ban 7.3 SSH Konfigureerimine Fail2Ban vaikekonfiguratsioonifaili muuta ei tohiks, seega kopeerime selle failiks, mida muuta saame: cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local. Faili avades, võib selle täielikult tühjendada. SSH ban-i saab konfigureerida väga minimaalse jail.local failiga. [DEFAULT] bantime = 600 findtime = 600 [ssh] enabled = true filter = sshd action = iptables[name=ssh, port=ssh, protocol=tcp] sendmail-whois[name=ssh, dest=demo@example.com] logpath = /var/log/auth.log maxretry = 3 Selliselt konfigureeritud jail.local fail ban-ib pärast kolmandat valet sisselogimiskatset SSH-ga IP aadressi 10-ks minutiks ära. 19

Peale konfigureerimise lõpetamist tuleb fail2ban taaskäivitada service fail2ban restart. Kontroll Kliendi arvutist ssh kasutajakedapole@10.0.0.1. Mingi suvalise parooli sisestamisel 3 korda, peaks edasi timeout tulema. Serveris saab vaadata, kas kirje ka lisati: iptables -L. Kui seal on IP näha, on kõik OK. 7.4 Owncloud Siin läheb asi tiba keerulisemaks. Luua tuleb fail2ban filter, failina /etc/fail2ban/filter.d/owncloud.conf. Faili sisuks järgnev. [Definition] failregex={"reqid":".*","remoteaddr":".*","app":"core","message":"login failed: '.*' \(Remote IP: '<H ignoreregex = Jail.local faili tuleb lisada ka owncloudi jail. See võiks välja näha järgmine. [owncloud] enabled = true filter = owncloud port = http maxretry = 3 logpath = /var/owncloud/owncloud.log Peale konfigureerimise lõpetamist tuleb fail2ban taaskäivitada service fail2ban restart. Kontrollimine Kliendi arvutist 3 korda aadressil http://10.0.0.1/owncloud valesti sisse logides peaks leht 10-ks minutiks andma andma Unable to connect errorit. 7.5 Mail Lisame siia külge ka e-mailide saatmise. jail.local failis asendame selle alguse, kuni [ssh-iptables]-ini, alljärgnevaga. [DEFAULT] bantime = 600 findtime = 600 destemail = meil@provider.domeen banaction = iptables-multiport mta = mai protocol = tcp action_ = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] action_mw = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois[name=%( name )s, dest="%(destemail)s", protocol="%(protocol)s] action_mwl = %(banaction)s[name=%( name )s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois-lines[name=%( name )s, dest="%(destemail)s", logpath=%(logpath)s] action = %(action_mw)s #Siin saad muuta by default actionit 20 Peatükk 7. Fail2Ban

Märkus: action_mw ja action_mwl vajaksid ka whois package t. Märkus 2: action_mw ban-ib ja saadab meili, action_mwl paneb meili juurde ka logiread E-maili, kuhu saadetakse saab muuta destemail väärtusest. Peale konfigureerimise lõpetamist tuleb fail2ban taaskäivitada service fail2ban restart. 7.6 Tulemus Korrektse seadistuse korral järgneval ban-il blokeeritakse nii IP- aadress, kui saadetakse ka järgneva sisuga e-mail. Ban kestab 10 minutit. 7.6. Tulemus 21

22 Peatükk 7. Fail2Ban

PEATÜKK 8 Nagios 8.1 Info Aluseks on Virtualiseerimiskeskkond & Postfix-i osa Mail ist, kus serveri peale on installeeritud Nagios ning Apache2&php5(antud dokk installib apache ja php5 automaatselt), nagios seadistatud monitoorima mingi muu VM-i pingidele vastamist Antud näites seadistatud monitoorima kliendimasinat. Kui antud masin ei vasta 1 minuti jooksul pingimistele, saadetakse e-kiri. Lisaks pääseb vaid klientmasinast ligi Nagiose liidesele veebikeskkonnas. 8.2 Nagios Kasutaja ja grupp Luua Nagiosele kasutaja ning grupi. useradd nagios groupadd nagcmd usermod -a -G nagcmd nagios Eeldused Kompileerime oma süsteemis uusima nagiosi. Selleks on vaja aga eelnevalt teatud pakette. Installi need. apt-get update apt-get install curl build-essential libgd2-xpm-dev openssl libssl-dev xinetd apache2 php5 libapache Nagios Core Uusima Nagios Core saamiseks tuleks külastada Nagiosi Allalaadimislehte, ning kopeerida sealt uusima allalaadimise lingi (Antud dokumentatsiooni kirjutamise ajal 4.1.1.tar.gz). Laadida saadud lingilt alla Nagios Core arhiivi. cd ~ curl -L -O https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.1.1.tar.gz Arhiiv tuleb lahti pakkida, ning saadud kausta siseneda. tar xvf nagios-*.tar.gz cd nagios-* Nagios Core kompileerimine 23

Enne kompileerimise alustamist, peab selle kompileerimisprotsessi tarbeks konfigureerima, söötes konfiguratsioonile ette eelnevalt loodud kasutaja ja grupi../configure --with-nagios-group=nagios --with-command-group=nagcmd Ning nüüd võib kompileerida. make all Kui pikk kompileerimisprotsess on lõppenud, käivitada järgnevad käsud, installimaks nagiose, selle skriptid ja näidiskonfiguratsioonifailid. make install make install-commandmode make install-init make install-config /usr/bin/install -c -m 644 sample-config/httpd.conf /etc/apache2/sites-available/nagios.conf Et veebiliidesest oleks võimalik nagiost käsutada, peab kasutaja www-data lisama eelnevalt loodud gruppi. usermod -G nagcmd www-data 8.3 Nagiose Pluginad Ka Nagiose pluginad kompileerime süsteemis. Otsida allalaadimislehelt uusim link ning sealt arhiiv alla laadida (Kirjutamise ajal 2.1.1.tar.gz). cd ~ curl -L -O http://nagios-plugins.org/download/nagios-plugins-2.1.1.tar.gz Lahti tuleb pakkida ka see arhiiv. tar xvf nagios-plugins-*.tar.gz cd nagios-plugins-* Kompileerimine Konfigureerida tuleb ka see kompileerimisprotsess../configure --with-nagios-user=nagios --with-nagios-group=nagcmd --with-openssl Nüüd võib kompileerida ja installida. make make install 8.4 NRPE Viimane asi, mis manuaalselt kompileerida tuleb, on NRPE. Otsida SourceForge_st uusima versiooni arhiivi link (Kirjutamise hetkel 2.15.tar.gz). Alla laadimine ja lahtipakkimine. cd ~ curl -L -O http://downloads.sourceforge.net/project/nagios/nrpe-2.x/nrpe-2.15/nrpe-2.15.tar.gz tar xvf nrpe-*.tar.gz cd nrpe-* 24 Peatükk 8. Nagios

Kompileerimine Kompileerimisprotsessi konfigureerimine../configure --enable-command-args --with-nagios-user=nagios --with-nagios-group=nagcmd --with-ssl=/us Kompileerimine ja install make all make install make install-xinetd make install-daemon-config Konfiguratsioon Piirame esmalt ligipääsu NRPE-le nii, et ainult nagiose server saaks sellele ligi. Modifitseerida tuleb faili /etc/xinetd.d/nrpe only_from = 127.0.0.1 10.0.0.1 Seejärel tuleb taaskäivitada ligipääsuga tegelev teenus: :code: service xinetd restart. 8.5 Nagiose konfigureerimine Lõpuks saab teostada esialgse nagiose konfigureerimise. Muudatus faili: /usr/local/nagios/etc/nagios.cfg. Kommentaar (#) tuleb eemaldada realt cfg_dir=/usr/local/nagios/etc/servers Vastav kaust tuleb ka luua: mkdir /usr/local/nagios/etc/servers. Järgnevalt tuleks konfigureerida nagiose e-maili saatmine. Failis /usr/local/nagios/etc/objects/contacts.cfg leida ja muuta e-maili väärtus. email email@provider.domeen 8.6 Apache konfigureerimine Aktiveerida tuleb paar moodulit. sudo a2enmod rewrite sudo a2enmod cgi Nagiose veebiliidesel on vaja ligipääsuks ka kasutajat & parooli. Nende loomine käib nii. htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin Nagiose konfiguratsioonifail tuleb link-ida apache hostitavate saitide kausta. ln -s /etc/apache2/sites-available/nagios.conf /etc/apache2/sites-enabled/ Nüüd on lõpuks võimalik käivitada nii nagios kui apache2. service nagios start service apache2 restart Laseme nagiosel automaatselt käivituda koos serveriga: ln -s /etc/init.d/nagios /etc/rcs.d/s99nagios. Veebiliidese ligipääsu piiramine 8.5. Nagiose konfigureerimine 25

Seda võib teha, aga ei pea. Hetkel teeme. Failis /etc/apache2/sites-available/nagios.conf tuleb teha järgnevad muudatus. Need read välja kommenteerida (Lisada #): Order allow,deny Allow from all Nendelt ridadelt kommentaar eemaldada (# ära). Allow from reale lisada oma kliendi privaatne IP. Order deny,allow Deny from all Allow from 127.0.0.1 10.0.0.2 Antud muudatused tuleb teha failis kahes kohas! Teenuste restart service nagios restart service apache2 restart Veebiliidesele ligipääs Nüüd peaks kliendi masinast, minnes brauseriga aadressile: http://10.0.0.1/nagios olema olemas ligipääs nagiose veebiliidesele, seda eelnevalt loodud kasutajanime ja parooliga. Vasakult Paneelilt Hosts valides, peaks näha olema, et hetkel monitoorib nagios vaid iseennast. 8.7 Kliendi eelseadistus Kliendiarvutis tuleb installeerida monitoorimiseks nagios plugins ja nrpe server, sedapuhku apt-get iga. apt-get update apt-get install nagios-plugins nagios-nrpe-server Lubame ligipääsu meie nagios serverilt failis /etc/nagios/nrpe.cfg Reale allowed_hosts lisada nagios serveri IP ja reale server_address selle masina privaatne IP allowed_hosts=127.0.0.1,10.0.0.1 NRPE server vajab siinkohal taaskäivitust: service nagios-nrpe-server restart 8.8 Hosti lisamine Nagiose serveris tuleb luua konfifail igale masinale, mida monitoorida tahetakse: touch /usr/local/nagios/etc/servers/hosti-nimi.cfg. Näiteks touch /usr/local/nagios/etc/servers/klient.cfg. Faili sisu on järgnev. define host { use linux-server host_name klient alias Kliendimasin address 10.0.0.2 max_check_attempts 3 normal_check_interval 1 retry_check_interval 1 26 Peatükk 8. Nagios

notification_interval 1 contact_groups admins } define service { use generic-service host_name klient service_description PING check_command check_ping!100.0,20%!500.0,60% } Monitooringu käivitamiseks service nagios restart. Veebiserveris peaks nüüd olema näha uus host. 8.9 Apache ja MySQL monitoorimise lisamine Teen ühe Virtualiseerimiskeskkonna juurde, kuhu installin LAMP Stack-i. IP 10.0.0.3. MySQL MySQL jookseb vaikimisi pordil 3306, aga ip-l 127.0.0.1. Seda tuleb LAMP serveris muuta, kommenteerides failis /etc/mysql/my.cnf välja (# ette) rea bind-address = 127.0.0.1. Lisaks tuleb lubada nagios kasutajal ligipääs igaltpoolt. Teen monitoorimiseks ka testandmebaasi. mysql -u root -p CREATE USER 'nagios'@'localhost' IDENTIFIED BY 'nagios-pass'; GRANT ALL PRIVILEGES ON *.* TO 'nagios'@'localhost'; CREATE USER 'nagios'@'%' IDENTIFIED BY 'nagios-pass'; GRANT ALL PRIVILEGES ON *.* TO 'nagios'@'%'; FLUSH PRIVILEGES; exit; Nagios teenuste lisamine Ei monitoori enam klienti, kirjutan klient.cfg faili üle Serverifaili sisu võiks olla. define host { use host_name alias address 10.0.0.3 max_check_attempts 3 normal_check_interval 1 retry_check_interval 1 notification_interval 1 contact_groups linux-server lambikas Lamp admins } define service { use host_name service_description check_command contact_groups generic-service lambikas MySQL Connectivity check_tcp!3306 admins } define service { 8.9. Apache ja MySQL monitoorimise lisamine 27

use host_name service_description check_command contact_groups generic-service lambikas Apache server check_http admins } service nagios restart 8.10 Tulemus Nagios töötab ja saadab e-maile seni, kuni server ise / serveris Apache või MySQL taas püsti on. 28 Peatükk 8. Nagios

PEATÜKK 9 Ubuntu Unattended 9.1 Info Tegemist Ubuntu Unattended Installeerimise iso loomise dokumentatsiooniga. Loodud Ubuntu 14.04 LTS Desktop versioonile. Ühilduvus hilisemate versioonidega ei ole garanteeritud. 9.2 Eelnevalt vaja Ubuntu Desktopi-ga virtuaalmasin. Teadmine, et siinseid käske tuleb jooksutada ilma rando@masin:~$ eesliiteta. 9.3 Ligipääs ISO failidele Windowsis Kasutades HowToGeek i õpetust, tuleb seadistada jagatud machine kaust. Peale seadistamist, tuleb kopeerida VM-i seadistamiseks kasutatud iso fail loodud kausta. Ubuntus Ubuntus tuleb lisada esmalt kasutaja vboxsf gruppi: rando@masin:~$ sudo usermod -a -G vboxsf rando. Seejärel masinale taaskäivitus. Loodud jagatud kaust on Linuxis kättesaadav asukohas /media/sf_share. ISO külgehaakimine Iso tuleb eraldada kausta, kus sellega tööd on võimalik teha. rando@masin:~$ rando@masin:~$ rando@masin:~$ rando@masin:~$ rando@masin:~$ mkdir iso_mount sudo mount -o loop /media/sf_share/ubuntu-14.04.3-desktop-i386.iso iso_mount mkdir ubuntu_files rsync -a iso_mount/ ubuntu_files/ sudo chmod -R 777 ubuntu_files 29

9.4 Failimuudatused isolinux Isolinux-i menüü fail tuleb sundida automaatselt käivitama loodavat unattended installiprotsessi. rando@masin:~$ nano ubuntu_files/isolinux/txt.cfg Terve faili sisu kustutada, ja asendada alljärgnevaga. default auto label auto menu label ^Automatically Install Ubuntu kernel /casper/vmlinuz append file=/cdrom/preseed/ubuntu.seed initrd=/casper/initrd.lz automatic-ubiquity quiet langlist Ubuntu vaikimisi laeb alla sigapalju keeli. Limiteerime keele vaid inglise keele peale, kustutades failis isolinux/langlist ära kogu sisu, ning asendades selle lihtsalt en-iga. 9.5 Preseed Viimane muudetav fail on see, mille abil Ubuntu installi eelkonfigureerida annab. Asub see asukohas preseed/ubuntu.seed. Faili võib seal eelnevalt olevast puhastada. Alljärgnevalt on toodud selle faili uus sisu, antud ülesande järgi. Lihtsuse huvides on fail jagatud pealkirjade kaupa. Installer ja klaviatuur d-i debian-installer/locale string en_us d-i console-setup/ask_detect boolean false d-i debian-installer/language string en d-i debian-installer/country string NL d-i debian-installer/locale string en_gb.utf-8 d-i console-setup/layoutcode string ee d-i keyboard-configuration/layoutcode string ee Võrk d-i netcfg/enable boolean false d-i netcfg/choose_interface select auto d-i netcfg/get_hostname string ubuntu d-i netcfg/get_domain string ubuntu.local d-i netcfg/wireless_wep string d-i hw-detect/load_firmware boolean true Märkus: Kui DHCP serveril on Teie süsteemile anda omapoolne hostname ja domeen, siis seda ta ka teeb ning sel juhul siin määratud sätted ei rakendu. Tavakasutaja loomine d-i passwd/user-fullname string Juuser Luuser d-i passwd/username string juuser d-i passwd/user-password luuser insecure d-i passwd/user-password-again luuser insecure d-i passwd/auto-login boolean true d-i user-setup/allow-password-weak boolean true 30 Peatükk 9. Ubuntu Unattended

Märkus: Millegipärast see ühe installatsiooni korral ei toiminud :( Märkus 2: NB! Parool tuleb ka siin sisestada kaks korda. Kell ja Ajavööndid d-i clock-setup/utc boolean true d-i time/zone string Europe/Tallinn d-i clock-setup/ntp boolean true d-i clock-setup/ntp-server string ntp.example.com Märkus: Esimese ja viimase sätte muutmine võib tekitada tõsiseid anomaaliaid süsteemi töös! Partitsioonid d-i partman-auto/disk string /dev/sda d-i partman-auto/method string regular d-i partman-auto/choose_recipe select atomic d-i partman/confirm_write_new_label boolean true d-i partman-md/confirm boolean true d-i partman-partitioning/confirm_write_new_label boolean true d-i partman/choose_partition select finish d-i partman/confirm boolean true d-i partman/confirm_nooverwrite boolean true d-i partman/mount_style select uuid Süsteemi install, rakenduspaketid d-i base-installer/kernel/image string linux-image-486 d-i apt-setup/services-select multiselect security, updates d-i apt-setup/security_host string security.debian.org tasksel tasksel/first multiselect standard popularity-contest popularity-contest/participate boolean false d-i finish-install/reboot_in_progress note d-i debian-installer/exit/poweroff boolean true Märkus: Popularity Contest on Ubuntu kasutajastatistika kogumisteenus. 9.6 ISO taasgenereerimine Alljärgnev käsk genereerib automaatse installi iso loodud jagatud kausta, failina autoinstall.iso. rando@masin:~$ cd ubuntu_files rando@masin:~/ubuntu_files$ mkisofs -D -r -V $IMAGE_NAME -cache-inodes -J -l -b isolinux/isoli 9.7 Tulemus Ülalkirjeldatud protsessiga valmib käivitatav.iso fail, mille pealt süsteemi käivitades installitakse automaatselt Ubuntu Desktop OS. 9.6. ISO taasgenereerimine 31