29 августа 2008

Статья "Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail"


В августовском номере журнала «Системный администратор» опубликована моя статья "Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail".

"При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).

STARTTLS (RFC 2487) является расширением протокола SMTP. И в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как мы увидим далее он с успехом может применяться и почтовыми клиентами."

Спустя два месяца с разрешения редакции статья будет размещена на моем сайте.

28 августа 2008

Новый "Мастер" в system-config-selinux

Ден Уолш рассказал о добавлении в утилиту system-config-selinux мастера Boolean Lockdown Wizard. Он позволяет включать/выключать/сбрасывать в значение по умолчанию переключатели SELinux (booleans). Самое приятное отличие этого мастера от пункта Boolean в system-config-selinux - это возможность на финальном шаге через GUI сохранить текущее значение переключателей в файл.


Когда поддержка сформированных таким образом файлов будет добавлена в IPA, системный администратор сможет централизованно применять соответствующие настройки ко всем или части машин на предприятии.

Пока же можно воспользоваться командой:

[root@f9 ~]# semanage boolean -m -F my_boolean_file.txt

Обновленный пакет находится в репозитории updates-testing. Чтобы попробовать работу с новым мастером, нужно включить этот репозиторий.

22 августа 2008

Spacewalk - загружаем содержимое канала и регистрируем систему

После установки Spacewalk-сервера необходимо как минимум :
  1. Создать один базовый канал, содержащий пакеты определенной ОС. В настоящий момент из-за технческих ограничений на одном сервере нельзя одновременно создавать каналы нескольких дистрибутивов (Fedora, CentOS, или RHEL), но можно создавать каналы разных версий одного дистрибутива,например, CentOS 5 и 4.
  2. Создать ключ активации
  3. Зарегистрировать на сервере вашу систему
Естественно, перед этим вам нужно выкачать пакеты, которые мы будем заливать в соответствующий канал.

Для Fedora 9 утилитой wget:


мы получаем директорию с оригинальными пакетами дистрибутива, которая содержит порядка 13Гбайт.

Скачиваем со странички с инструкцией по созданию канала скрипт create_channel.py и запускаем:

[root@sw Packages]# ./create_channel.py --user=satadmin --password=****** --label=fedora-9-i386 --name "Fedora 9 32-bit" --summary "32-bit Fedora 9 channel"

Далее на сервере необходимо создать директорию

[root@sw Packages]# mkdir /var/satellite
[root@sw Packages]# chown apache.apache /var/satellite

Переходим в директорию, куда мы скачали содержимое канала, и даем команду:

[root@sw Packages]# find . -name "*rpm" | xargs rhnpush --channel=fedora-9-i386 --server=http://localhost/APP -v --tolerant -u satadmin -p *******

Процесс загрузки довольно долгий и может продолжаться несколько часов. По окончании его в web-интерфейсе Spacewalk-сервера, щелкнув по каналу Fedora 9 32-bit, мы увидим примерно такую картину:

После чего идем в раздел меню:

Системы -> Ключи активации -> Создать ключ

Ключ нам пригодится при регистрации наших систем на сервере Spacewalk.
И после команды на регистрируемой системе:

# rhnreg_ks --force --serverUrl=http://sw.example.com/XMLRPC --activationkey=ключ

На сервере Spacewalk появляется наша система:

19 августа 2008

Spacewalk - open source решение для управления Linux-инфраструктурой уровня предприятия

В июне 2008 года компания Red Hat анонсировала проект Spacewalk, являющийся open source решением для управления Linux-инфраструктурой. Spacewalk представляет собой открытый по лицензии GPL2 продукт Red Hat Network Satellite Server, имеющий давнюю, с 2001 года, историю разработки.


Сервер Spacewalk обслуживает весь жизненный цикл Linux-инфраструктуры и решает следующие задачи:

  • Сбор информации о системах (аппаратное обеспечение и установленное ПО)
  • Установка и обновление операционных систем
  • Установка и обновление программного обеспечения
  • Установка систем при помощи kickstart-файлов
  • Управление и распространение конфигурационных файлов
  • Мониторинг систем
  • Установка виртуальных машин
  • Запуск/остановка/настройка виртуальных машин
  • Работа с географически-распределенной сетью
  • Автоматизация задач системного администрирования
  • Распределение ролей администраторов и группировка систем
Установка Spacewalk несколько сложнее, чем Satellite Server, в основном за счет того, что сервер баз данных нужно ставить отдельно.
Последняя версия Satellite Server 5.1 Устанавливается на Red Hat Enterprise Linux 4 AS и поставляется вместе со встроенной базой данных (Oracle Server 9.2 Embedded Database), но при желании можно использовать отдельную БД на отдельном сервере. Самый простой способ инсталляции Spacewalk - установить бесплатный Oracle Database 10g Express Edition.
На сайте помимо исходных кодов анонсированы два репозитория с бинарными rpm-пакетами для Red Hat Enterprise Linux 5 (CentOS) и Fedora 9. Пакеты серверной части решения в настоящий момент присутствуют только в репозиториях для Red Hat Enterprise Linux 5 (CentOS).

Имеется достаточно подробная инструкция по установке.

Устанавливаем и настраиваем Oracle XE согласно инструкции, добавляем репозиторий spacewalk и даем комманду:

rpm -e specspo php && yum install spacewalk

В итоге на свежеустановленнном RHEL 5.1 получаем картину:

Install 200 Package(s)
Update 3 Package(s)
Remove 0 Package(s)
Total download size: 120 M

Далее запускаем скрипт настройки:

spacewalk-setup --disconnected

В итоге получаем сообщение:

Installation complete.
Visit https://.... to create the satellite administrator account.

Создаем учетную запись администратора:


И вуаля! У нас есть свой "домашний RHN" :)

Далее необходимо создать каналы, загрузить содержимое каналов и зарегистрировать системы.

15 августа 2008

Создание "живой флешки" с Fedora 9 одним кликом - liveusb-creator

Если вы хотите попробовать работу с Fedora, но не хотите удалять существующую операционную систему и возиться с записью дисков, у вас есть возможность создать так называемую "живую флешку" (Live USB Key). У "флешки" есть одно неоспоримое приемущество перед "живым диском" (LiveCD) - на самом же носителе можно сохранять какие-либо данные между перезагрузками и настройки операционной системы.


Для того, чтобы понизить "порог вхождения" пользователей с других операционных систем, была разработанна кросплатформенная графическая утилита для создания "живой флешки" одним кликом мыши. При необходимости сама утилитка выкачает необходимый iso-образ. Можно выбрать между 32- и 64-разрядными образами Fedora 9 или 8. Также можно выбрать образ с KDE вместо Gnome.

Ссылка на домашнюю страничку утилиты

Ссылка на дистрибутив для Windows

11 августа 2008

Руководства по подготовке к экзаменам RHCA.

Руководство по подготовке к лабораторным сертификационным экзаменам RHCE/RHCT доступно уже давно. В том числе и в переводе на русский язык. А вот руководства по подготовке к "старшим" экзаменам на RHCA/RHCSS/RHCDS я заметил только несколько недель назад, хотя они выложены уже около года. Самое главное в этих руководствах - список тем соответствующего экзамена на Certificate of Expertise (с сентября прошлого года Certificates of Expertise отмечают каждую из сданных "лаб").
В прошлую пятницу сдавал в Farnborough самый длинный из всех экзаменов - EX333 Security: Network Services (3+3 часа). Экзамен показался сложнее, чем EX423 Directory Services and Authentication (по широте охвата тем), но в принципе отведенного времени вполне хватило. Вторую часть даже закончил на сорок минут раньше :). Кстати, Farnborough - является местом проведения одноименного авиасалона. На фотографии рядом с офисом Red Hat, который перебрался туда из Guilford, видно огромное металлическое сооружение (71 на 26 метров), назначение которого в первый раз меня поставило в тупик. Оказалось, что оно исключительно декоративное/познавательное.


Это - ангар для дирижаблей, один из шести, имеющихся в UK на начало первой мировой войны. Сооружен в 1912 году и восстановлен в сентябре 2006.


05 августа 2008

Sectool — утилита аудита безопасности систем основанных на Fedora/RHEL

sectoolактивно развивающийся инструмент аудита настроек безопасности и локальная IDS для дистрибутивов, основанных на Fedora. Включает в себя ряд тестов для различных аспектов настройки системы, служб и т.д. В настоящий момент их около тридцати. Тесты независимы от языка программирования (Perl, Python, Bash, ...) и их можно писать самостоятельно (на сайте проекта доступна документация).

Имеется как графический, так и интерфейс командной строки. В графике проверка сводится к выбору настраиваемого класса тестов (Базовый, Рабочая станция, Сеть, Сервер, «Параноик») и нажатию кнопки запуска анализа системы. Естественно имеется гибкая система настроек, сравнение результатов проверок, отправка отчетов по электронной почте и т.д.

Установка:

[root@fedora9 ~]# yum install # yum install sectool sectool-gui

Запуск графического интерфейса:

[root@fedora9 ~]# sectool-gui

Сайт проекта:

https://fedorahosted.org/sectool

02 августа 2008

О будущем RHEL в on-line журнале Red Hat Magazine

В on-line журнале Red Hat Magazine опубликована статья в двух частях, позволяющая заглянуть в будущее дистрибутива Red Hat Enterprise Linux. Как известно, программные продукты серии Enterprise Linux строятся на основе наработок проекта Fedora. Узнать что будет "завтра" в Red Hat Enterprise Linux можно посмотрев на Fedora сегодня. В статье рассмотрены новшества в следующих подсистемах:

  • Работа с дисплеем (XRandr)
  • Новое в управлении пакетами
  • PolicyKit - замена userhelper для запуска в GUI непривилегированным пользователем приложений, требующих расширенных полномочий
  • Новое в управлении питанием (по одному из исследований Red Hat Enterprise Linux 5 потребляет на 12% меньше, чем Microsoft® Windows® на том же оборудовании)
  • Новшества в NetworkManager
  • Шифрованные разделы диска
  • Новое в PulseAudio
  • Переключение пользователей
  • Виртуальная файловая система GVFS
  • О смене гипервизора с Xen на KVM
Часть 1.
Часть 2.