Käsikirja

2 FreeBSD Käyttöjärjestelmä

2.1 Esitellään FreeBSD

2.2 Asennetaan FreeBSD

2.3 Yleistä UNIX järjestelmistä

2.4 Peruskomennot

2.5 Komentotulkit

2.6 Ohjelmien asentaminen ja päivittäminen

2.7 Käynnistysjonot

2.8 Asetustiedostot

2.9 Levykiintiö eli quota

2.10 FreeBSD:n kerneli

2.11 Yhteyden jakaminen NATD:llä

2.12 Palomuuriohjelmistot

2.13 Cvsup ja verkosta päivittäminen

2.14 Käyttöjärjestelmän päivittäminen

2.15 XFree86 Ikkunointijärjestelmä

2.16 Sysinstall Ohjelmisto

2.17 Yleisiä ongelmia

2.18 Muuta

2.19 Levyjärjestelmän laitteiden-nimet

3 Asennetut palvelinohjelmistot ja niiden käyttäminen

3.1 Samba ja toimialuepalvelin

3.2 Squid, Internetin välityspalvelin (proxy)

3.3 Apache, Web-palvelin

3.4 Postfix, Sähköpostipalvelin

3.5 Popd, Sähköpostin hakupalvelin

3.6 Openwebmail

3.7 Bind9, DNS-palvelin

3.8 OpenSSH

3.9 OpenSSL sertifikaatti

2.8 Asetustiedostot

Yleistä:

Unix järjestelmissä on tavallista, että asetukset kirjoitetaan tekstin muokkaus sovelluksella, erilaisiin asetustiedostoihin, joista varsinaiset sovellukset käyvät hakemassa omat asetuksensa. Merkittävin ero syntyy tässä Windows ympäristöön nähden, jossa asetukset muokataan erilaisilla graafisilla työkaluilla, eikä itse asetustiedostosta usein pääse itse muokkaamaan ollenkaan. Unix ympäristössä käyttäjän täytyy tietää asetustiedosto, johon haluttavat muutokset suoritetaan.

/etc polusta löytyvät kaikki tärkeimmät asetustiedostot järjestelmästä. Asetustiedostoja on jaoteltu muihinkin polkuihin, kuten /usr/local/etc, josta löytyvät kaikki kolmannen osapuolen sovellusten asetustiedostot yleisesti. Tämä koskee vain FreeBSD:stä eri levitysversiossa kolmannen osapuolen tiedostot voivat löytyä eripaikoista esim. Linux Mandrakella yleisesti kaikki löytyvät /etc/ohjelma pulusta.

etc asennustiedostoista yleisesti ja hieman joidenkin tiedostojen asettamisesta:

Yleiset polut, joista voit etsiä ohjelmien asetustiedostoja FreeBSD:llä:

Ohjelmat voivat kirjoittaa oman asetustiedosto kansion seuraavaan:

Ohjelmat kirjoittavat yleensä oman asetustiedosto kansion seuraavaan:

Muuta:

Oletuskansion merkitys järjestelmässä. Oletuskansioon kirjoitetaan kaikki esimerkki asetustiedot, vaikka default kansiossa olevat tiedot ajetaan. Niin sinun ei tule kirjoittaa sinne yleisesti muutoksia, sillä päivityksen yhteydessä, nämä tiedostot YLIKIRJOITETAAN.

fstab "Kartta tiedostojärjestelmän liitospisteistä"

Mihin fstabia käytetään?

fstab tiedostosta löytävät kaikki liitettävien kiintolevyosoiden tiedot swap osoita myöten, tämä tiedosto yksi järjestelmän tärkeimpiä asetustiedostoja. Se on eräänlainen kartta järjestelmälle, mitä liitetään minnekin ja millä tavalla.

Fstabin muokkaaminen?

Voit muokata fstab tiedostoa, ihan normaali teksti editorilla

Fstabin käyttö nopeasti:

Ensimmäisenä: määritetään, laitteen polku /dev/ hakemistossa
Toisena: liitettävä piste järjestelmässä, mikäli liitetään swap käytetään none määrettä.
Kolmantena annetaan osion tyyppi, näitä ovat mm ufs, swap, ext2,smbfs, udf, ntfs,msdos ja jne
Neljäntenä: määritetään tiedostojärjestelmän asetukset, onko tiedosto järjestelmä vai voidaanko järjestelmään kirjoittaa jne.
Viidentenä: (fs_freq), käytetään dump komentoon päättämään mitkä tiedostojärjestelmät pitää vedostaa. Jos viidettä kenttää ei ole annettu, arvo 0 palautuu ja dump olettaa että tiedsosto- järjestelmää ei tarvitse vedostaa.
Kuudentena: (fs_passno), käytetään fsck komentoon päättämään missä järjestyksessä tiedostojärjestelmät tarkistetaan käynnistäessä. Root osio tulisi määrittää fs_passno 1 ja muut tiedostojärjestelmä fs_passno 2. Tiedostojärjestelmät jotka ovat samalla levyllä tarkistetaan peräkkäin mutta eri levyilla olevat tarkistetaan samaan aikaa rinnakkain. Jos kuudes kenttä on tyhjä tai arvo 0 arvo 0 palautetaan ja fsck(8) olettaa että tiedostojärjestelmää ei tarvitse tarkistaa.

Mahdolliset oikeudet:

Älä tulkistse merkkejä tai lohkon erikoislaitteita tiedostojärjestelmään. Tämä asetus on käytännöllinen palvelimilla, jotka sisältävä erikoislaitteita, jotka ovat muuta arkkitehtuuria kuin omat. Tämä asetus asettaa automaattisesti, kun käyttäjällä ei ole super-käyttäjän (rootin) oikeuksia

Seuraavat edellyttävät quota asetuksen kerneliin (lisää levy rajoituksista)

Entä jos jokin meni pieleen?

Suosittelen sinua testaamaan aina uuden liitospisteen kirjoittamalla "mount /liitos/piste" näin selviää oletko antanut kaikki halutut parametrit oikein fstabiin.

Kerkesin jo käynnistää koneeni uudelleen ja se ei käynnisty

Koneen käynnistyttyä uudelleen viallinen fstab aiheuttaa väliaikaisen koneen käynnistämättömyyden, tällöin kone aukeaa "single modessa" sinun tulee tällöin ajaa lävitse fsck juuriosiolle, missä oletettavasti /etc hakemistosi sijaitsee. Tämän jälkeen liitä juuri osiosi kirjoitus tilassa mount komennolla mount -o rw /. Tämän jälkeen voit poistaa vahingoittuneen rivin fstabista ja käynnistää koneesi uudelleen.

hosts "osoitenimi tietokanta"

Mihin hosts tiedostoa käytetään?

hosts tiedosto sisältää jotakin koskien tunnettuja osoitteita verkossa, sitä voidaan käyttää DNS ja NIS kartojen yhteydessä esimerkiksi. Jokainen yksittäinen rivi tulee kertoa seuraavat tiedot, mikäli sitä ei ole kommentoitu # merkillä.

Internet osoite, virallinen osoitteen-nimi ja mahdolliset peitenimet

Host tiedostoon voidaan asettaa paikallisesti kartoitettavia domain, nimiä. Tämä toiminto on kätevä esimerkiksi voit, luoda kaverillesi osoitteen kaveri.

#Asetetaan paikalliset koneet, ja loobackin nimi localhostiksi

#Virtuaaliset domain-nimet (virtuaaliset nimet)

10.0.0.2 minun.oma.domain.fi oma
10.0.0.3 kaverin.oma.domain.fi kaveri

hosts.allow "TCP Palveluiden yhteyksien suodatus"

Host.allow tiedostolla voidaan määrittää käyttöoikeuksia eri palveluihin, eri verkon osoitteista. Esimerkiksi voit sallia tässä tiedossa ssh:n tulevat yhteydet ainoastaan .fi päätteisistä domain nimistä tai jostakin verkkoalueesta. Tämä tiedosto toimii ikään kuin palomuurin tavoin, muttei se ole palomuuri eikä tarjoa palomuurilta vaadittavia ominaisuuksia. Tämä tiedosto on hyvä lisä turvallisemman ympäristön rakentamiseen, käytä palomuuria kuitenkin rajoittamaan verkkoasi.

Mitä eroa nyt tässä palomuuriin on?

hosts.allow tiedoston määritykset astuvat, kehin vasta kuin TCP yhteys on muodostettu. Palomuuri sen sijaan puuttuu ennen TCP yhteyden muodostamista tulevaan kyselyyn.

Kuinka rajoitan hosts.allow tiedostolla käyttöoikeuksia järjestelmääni TCP palvelimiin?

Seuraavassa ohjeessa käymme läpi liikenteen rajoituksia palveluihimme:

# Start by allowing everything (this prevents the rest of the file
# from working, so remove it when you need protection).
# The rules here work on a "First match wins" basis.
#ALL : ALL : allow

Kommentoi ylempi rivi tiedostostasi. Tämä sallii kaikki yhteydet kaikkialta. Tämän jälkeen vain määritetyt yhteydet pääsevät, alla mainittuihin palveluihin käsiksi

Esimerkki palvelu TCP yhteyksien rajoittamisesta SSH:lla. Lisää palveluista itse tiedostossa

Syntaksi nopeasti:

Palvelu: Osoite/DNS : Sallitaanko/Estetäänkö

Salli kaikki verkot joista haluat yhteyden muodostuvan kyseiseen palvelimeesi. Huomio. oletuksena käytetään ALL : denny sääntöä, joka poistaa muista verkoista tulevat yhteydet pois käytöstä, eli määritä vain yhteydet, jotka haluat sallia.

Halutessasi esimerkiksi sallia kaikki .fi päätteiseltä dns nimeltä tulevat yhteydet voi laittaa piste merkin fi:n eteen jolloin se tarkoittaa kaikki fi dns päätteitä tällöin kaikki ennen pistettä olevat merkit ovat merkkaamattomia. Toinen esimerkki 192.168. tällöin kaikki 192.168 jälkeiset merkit voivat olla mitä tahansa "haetaan vain 192.168." alkuosaa

Muuta asetustiedostosta:

Suosittelen kommentoimaan finger komennon pois käytöstä.

fingerd : ALL \
#       : spawn (echo Finger. | \
#        /usr/bin/mail -s "tcpd\: %u@%h[%a] fingered me!" root) & \
#       : deny

Tästä tiedostosta löytyvät oletuksena mm hallinta sshd, ftpd, rpcbind, ypserv, exim, sendmail palveluille.

make.conf "Käännös asetukset kääntäjille"

Mihin make.conf tiedostoa käytetään?

Make.conf sisältää tiedot kääntäjille annettavista optimoinneista ja muihin kääntämiseen liittyvistä asioista. Lue lisää optimoinnista

defvs.conf "DEVFS hallinta (Laite osoitteiden oikeuksien hallinta)"

Mitä devfs:ällä voidaan suorittaa?

Devfs.conf" tiedostolla voidaan asettaa laiteosoite linkkejä, oikeuksien muuttamista ja jne.

Lue lisää man devfs

periodic "Ajastettujen töiden asetukset"

Työkalu ajastettuihin tehtäviin on cron.

Yksi tai useampi seuraavista argumenteistä tulee määrittää:

Jos argumentti on absoluuttinen hakemiston nimi hakemiston nimi, sitä käytetään sinäänsä. Muussa tapauksessa sitä etsitään /etc/periodic tai muista paikoista jotka määritetty periodic.conf

resolv.conf "Verkon-nimipalvelin asetukset"

Nimipalvelin :

Nimipalvelimen internet osoite ratkaistaan jonossa. Enemmän kuin MAXNS(nykyään: 3) palvelinta voidaan määrittää kerralla, yksi per hakusana. Jo on monia palvelimia, selvittää jonojen kyselyt järjestyksen. Jos nimipalvelinta ei ole annettu, oletuksena käytetään paikallista konetta. (algoritmi on, lähetetään kysely ja jos se aika katkaistaan siirrytänän seuraavaan kunnes nimipalvelimet loppuvat, sitten aloitetaan alusta kyselyt kunnes suurin määritetty ajo määrä on saavutettu.

Paikallinen domain nimi, useimmat kyselyt nimistä tällä domainilla voidaan käyttää lyhyitä nimiä samankaltaisesti kuin paikallisella domainilla. Jos domain merkintää ei ole esitetty, domain on määritetty paikalliseen "host name" nimeen, joka palautetaan gettyhostnamelle. Domain osa ottaa kaikki jälkeen ja ennen `.'. Lopuksi, jos "hostname" osoiteen-nimi ei sisällä domain osaa, juuri domain on oletettu.

Search

Search on lista isäntänimien(hostname) etsintään. Search lista on yleensä tehty paikallisesta domain nimestä. Oletuksena se sisältää vain paikallisen domain nimen. Tämän voi muuttaa listaamalla haluttu domain haun polku jonka perään etsintä sanat eroteltuna välilyönnillä tai tabulaattorilla. Kaikista selvimmät kyselyt kyselyt yrittävät käyttää haku polun jokaista komponenttia kunnes täsmäävä löytyy. huomaa että tämä operaatio voi olla hidas ja syö paljon verkko resursesja jos listatut domainit eivät ole paikallisia, ja kyselyt tippuvat(time out)jos jollekkin domainille ei löydy palvelinta. Etsintä lista on rajoitettu kuuteen domainiin 256:lla merkillä.

Yleisesti resolv.conf näyttää seuraavalta:

search dsl.inet.fi
nameserver 10.16.10.16
nameserver 10.16.11.16

login.conf "Käyttäjien kirjautumisluokat"

Login.conf sisältää erillaisia määritteitä ja kykyjä kirjautumisluokille. Kirjautumisluokka (Vapaasti huomautus jokaiselle tallennetulle käyttäjälle tunnus tietokannassa, /etc/master.passwd) Määrittää istunnon tilin resurssi rajoitukset ja käyttäjän työskentely ympäristön. Sitä käyttävät eri ohjelmat järjestelmän kirjantumis ympäristönä ja pakottamaan poliikan, tileille ja hallinnolliset rajoitukset. Se, myös tarjoaa keinot jota käyttäjät käyttävät tunnistautumisessaan (Salasana käytännön salauksen) järjestelmään ja niiden tyypit joita on mahdollista käyttää tunnistuksessa. Määreiden lisäykset, jotka kuvaillaan täällä. Ovat saatavilla kolmannen- osapuolen paketteina (tarkoittaen tunnistus mekanismiä esim. DES3).

passwd "Käyttäjä tietokanta"

passwd tiedostosta löytyy tietokanta, käyttäjäntunnuksista joille on luotu salasanat master.passwd tiedostoon.

group "Ryhmä tietokanta"

group tiedosto sisältää tiedot ryhmistä ja niiden jäsenistä, tämän tiedoston sisältöä voit muuttaa käsin tai pw sovelluksella.

Mitä master.passwd tiedostolla tehdään?

Tietokanta tiedosto, jossa käyttäjien salasanat ovat salattuna.

motd "Käyttäjien tervehdys teksti"

Motd tiedostoon voit muotoilla vapaamuotoisen tervehdys tekstin käyttäjillesi, jotka kirjautuvat järjstelmääsi.

services "Palvelut tietokanta"

Services tiedosto sisältää tietoa tunnetuista palveluista internetissä. Jokainen palvelu tulee esitellä yksittäisellä rivillä seuraavin tiedoin:

Virallinen palvelunnimi
portin numero
protokollan nimi
peitenimet

Esimerkki rivi services tietokannasta:

Palvelu	Portti/protokolla	Peitenimi "alias"
chargen          19/tcp    		#Character Generator

chargen          19/udp    		#Character Generator

shells "Käytettävissä olevat komentulkit"

Tätä tiedostoa sinun ei yleensä tarvitse editoida, mikäli et ole varma mitä shell "komentotulkkeja" sinulla on käytettävissäsi voit katsoa shellit cat /etc/shells

Esim.

/bin/sh
/bin/csh
/bin/tcsh
/usr/bin/passwd
/usr/local/bin/bash
/usr/local/bin/zsh

Miten voin lisätä komentotulkin itse tiedostoon?

Shells tiedostoon voit lisätä omia komentotulkkejasi, kertomalla vain komentotulkin polku. Yleensä tätä toimenpidettä ei tarvitse käyttäjän suorittaa, itse koska asennettaessa komento tulkki kirjoitetaan, myös sen polku shells tiedostoon. Yleensä tätä toimenpidettä ei tarvitse käyttäjän suorittaa, itse koska asennettaessa komento tulkki kirjoitetaan, myös sen polku shells tiedostoon.

ipfw "palomuuri ohjelmiston asetustiedosto"

rc.firewall sisältää oletus asetukset palomuurille, sinun tulee muokata nämä ennen palomuurin käyttöön ottamista. Lue lisää palomuureista.

inetd.conf "Internet Superpalvelin"

inetd viittaa 'internet super-serveriin'('Internet Super-Server') koska se ottaa yhteyksiä useisiin daemoneihin(daemon). Ohjelmat jotka tuottavat verkkoyhteyksiä kutsutaan yleisesti daemoneiksi(daemon). Inetd tarjoaa yhdistävän palvelun muille daemoneille. Inetd:n välittämät palvelut kerrotaan sille tiedostossa /etc/services. Kun yhteys on muodostettu inetd:llä, se päättää mille daemonille yhteys annetaan, liittää daemoniin ja valtuuttaa soketin sille. Pääasiassa inetd käskee muita daemoneja mutta jotkut toimivat myös itsenäisesti kuten auth, daytime jne.
Asetus tiedosto löytyy /etc/inetd.conf

rc.conf "Järjestelmän asetukset"

Mitä rc.conf tiedostossa voidaan asettaa?

rc.conf tiedosto on yleis- asetustiedosto FreeBSD:llä, tässä tiedossa asetetaan, mm näppäimistö, verkko, Daemonit ja jne.

Muutama asetus nopeasti, joita rc.conf riveille voidaan tehdä

Näppäimistö:

Asetukset suomalaiselle näppämistölle

#Suomalainen näppäimistö kartta
keymap="finnish.iso"

#Asetetaan näytettävä näppäimistökartta
scrnmap="iso-8859-1_to_cp437"

#Asetetaan fontit
font8x8="cp850-8x8"
font8x14="cp850-8x14"
font8x16="cp850-8x16"

Verkko:

Koneen hostname (osoitteen-nimi)
hostname="oma.hostaname.fi"

Verkon osoitteet:

Syntaksi:

Manuaalinen osoitteen määritys:

ifconfig_rajapinta="inet 192.168.0.1 netmask 255.255.0.0"

Automaattinen osoitteen määritys: (edellyttää että voit määrittää automaattisesti korttisi osoitteen)
ifconfig_rajapinta="DHCP"

Yhdyskäytävän määrittäminen:

defaultrouter="yhdyskäytävänip"

Daemonit

Mikäli daemonisi vaatii käynnistystä rc.conf rivillä voit määrittää sen seuraavalla syntaksilla: daemonisi_enable="YES"

Esimerkki daemonin käynnistys:

samba_enable="YES"

Kernelin Turvallisuus asetus:

kern_securelevel_enable
(bool) määritä "YES" halutessasi kernelin turvatasolle(security level) käynnistyessä.

kern_securelevel
(int)Kernelin turvataso käynnistäessä. käytettävät arvot -1 - 3 jossa 3 on turvallisin.

"syslog.conf" "arkistoitavat asiat"

Syslog.conf on asetustiedosto syslogd:lle. Se koostuu jaksoittaisista riveistä eroteltuna ohjelman tai isäntänimen määreillä, jokainen rivi sisältää kaksi kenttää: valitsimen kenttä, joka määrittää viestien tyypin ja prioriteetin mikä rivi toteutuu, ja, ja toiminto kentän joka määrittää toiminnon joka suoritetaan jos syslogd vastaa valintaperusteita. Valitsimen kenttä on erotettu toiminto kentästä yhdellä tai useammalla sarkainnäppäimellä tai välilyönnillä.

syslogd työkalu lukee ja kirjaa viestit järjestelmä konsolista, kirjaukset, ja muut muutettavat asiat ovat newsyslog.conf:ssa.

newsyslog "Arkiston hoito"

Käynnistäesä, newsyslog lukee asetustiedoston ja päättää mitkä logit tulee arkistoida. Oletuksena tämä asetustiedosto tiedosto on /etc/newsyslog.conf. Jokainen rivi tästä tiedostosta pitää sisällään tietoa tietystä kirjaus(log) tiedostosta jota newsyslog tulisi käsitellä. # merkillä aloitetut rivit ovat kommentteja, ja jos # on keskellä riviä, loput rivistä tulee kommentiksi.

Esimerkki konffista:

ttys "Terminaalien tiedot ja alustus

tty työkalu kirjoittaa terminaalin nimen joka on standardissa i/o:ssa. Nimi on kirjoitettu merkkijonona palautettuna ttyname. Jos standardi syöte ei ole ternminaali "not tty" kirjoitetaan.

Syntaksi nopeasti

name = Terminaali laitteen nimi.

Getty Ohjelma joka alkaa pyöriä terminaalilla. Tyypillisesti getty ohjelma, kuten nimessä viitattu. muut yhteiset entropiat mukaan lukien "none", kun getty:ä ei tarvita, ja xdm käynnistää X Window ohjelman.

type terminaalin tyyppi tälle portille. Terminaali riveille, tämä sisältää käytetyn terminaalin tyypin. Virtuaalisille konsoleille, oikea tyyppi on yleensä "cons25", mutta "vt220" toimii paremmin jos joudut olemaan yhteydessä muiden käyttöjärjestelmien kanssa. Muut yhteiset arvot sisältävät verkon verkon yhteyksille psuedo terminaaleissa, puhelinverkossa tulevia portti yhteyksiä varten, ja "unknown" kun terminaalin tyyppiä ei voida määrätä ennalta.

status Pitää olla "on" tai "off". Jos "on", init suoritta getty ohjelman tietyssä portissa. Jos sana "secure" löytyy, tty sallii pääkäyttäjänä kirjautumisen.

Esimerkkipätkä tiedostosta

konsolin arvo on "insecure", sillon init kysyy pääkäyttäjän salasanaa kun mennään single-moodiin.

Muita järjestelmälle tärkeitä asetustiedostoja

loader.conf "Järjestelmän käynnistyksen asetustiedot"

Loader.conf sisältää kuvaavaa tietoa, järjestelmän käynnistyksestä. Sinä voit määrittää minkä kernelin haluat käynnistää, ja parametreja käynnistettävälle kernelillesi. Lisäksi ladattavia moduuleita ja yleisesti asetettavia muuttujia lataajassa.

Syntaksi ja käyttäminen nopeasti

Voit kirjoittaa arvosi seuravasti:

Muuttuja="arvo"

Esimerkiksi

kernel="kernel.old"

Käytössä olevat toiminnot, joita käytät latauksessa

exec
Välittömästi suorittaa "loaden" käskyn. Tämän tyyppistä käskyä ei pysty muut ohjelmat käyttämään joten ole varovainen.
loader_conf_files
Määrittää lisä asetus tiedostoja jotka käsitellään heti esitellyn tidoston hälkeen.
kernel
Ladattavan kernelin nimi. Jos kernelin nimeä ei ole määritetty, lisämoduulit ladataan.
kernel_options
Flagit jotka otetaan kerneliin.
password
Salasana joka vaaditaan ennenkuin ajoa voidaan jatkaa.
verbose_loading
Jos "YES" niin modulien nimet näytetään ladatessa.
*_load
Jos "YES" niin moduuli ladataan. jos ei nimeä määritetty, moduulin nimi otetaan etuliitteestä.
*_name
Määrittää moduulin nimen.
*_type
Määrittää moduulin tyypin, jos mitään ei ole annettu, oletetaan kld moduulia.
*_flags
Flagit ja parametrit jota moduulille annetaan.
*_before
Käskyt jota suoritetaan ennen moduulin lataamista(tätä komentoa pitäisi välttää).
*_after
Käskyt jotka ajetaan moduulin lataamisen jälkeen..
*_error
Käskyt jotka ladataan jos moduulin lataaminen epäonnistuu. paitsi jos käytetään "abort".

Moduulejen lataaminen loader.conf:issa?

Voit ladata erilaisia moduuleita loader.conf tiedostossa käynnistyksen yhteydessä. Esimerkiksi nvidia ajurit voidaan ladata automattisesti, koneen käynnistyttäessä täällä tai äänikortin.

Syntaksi: moduuli_load="YES"

nvidia_load="YES" #lataa nvidian moduuli
pcm_load="YES" #lataa pcm moduuli