Linux-EduCD

Na serwerze ICM dostępny jest obraz Linux-EduCD 1.0 o nazwie kodowej “Valis”. Po ostatniej edycji 0.9 – jest to kolejna wersja dystrybucji naukowo-edukacyjnej, zawierającej również oprogramowanie multimedialne, biurowe, deweloperskie. System bazuje na PCLinuxOS i części rozwiązań z Mandriva One. W obecnej wersji m.in: kernel 2.6.26.8 z dodatkowymi łatkami, poprawiona obsługa SATA, dodatkowe sterowniki WIFI (Intel, Atheros),  rozbudowane Centrum Administracyjne,  poprawiony konfigurator LiveUSB. Ponadto Firefox 3.0.10, OpenOffice 3.0.1 UX, Gimp 2.6.6, MySQL 5.0.45, Apache 2.2, prekonfigurowany Wordpress 2.7.1, SciLab 4.1.1, Celestia 1.4.1, Xephem 3.7.2, OpenDX 4.4, GenChemLab, narzędzia deweloperskie (m.in SWI-Prolog, GNAT, Ruby) i wiele innych. Przykładowe zrzuty ekranów:

5.XII.2008 odbyła się w Płocku konferencja z okazji 10-lecia SIMP Studium Techniki oraz 5-lecia projektu Linux-EduCD. Poniżej krótka relacja zdjęciowa:

Na serwerze ICM dostępna jest kolejna wersja Linux-EduCD 0.9. Bazuje na PCLinuxOS i części rozwiązań z Mandriva One 2008. Dodane zostały także łatki zapewniające lepsze wsparcie dla ploterów HP. W tej edycji ponadto nowe graficzne konfiguratory (w tym Mandriva Control Center), opcja tworzenia własnego live’a oraz live’a na dysku USB, lepsze wsparcie dla kart wifi, kolejne wersje aplikacji edukacyjnych, naukowych, multimedialnych, gier. Ponadto: kernel 2.6.22.15, KDE 3.5.8, OpenOffice 2.3.1, PVM, Octave 3, IBM OpenDX 4.4, Firefox 2.0.12, Opera 9.25, Wordpress 2.3.3, VirtualBox Open Source Edition 1.5.2. Poniżej kilka przykładowych zrzutów ekranów:

Do podręcznika “Informatyka. Podręcznik dla ucznia Gimnazjum” (Wydawnictwo Szkolne i Pedagogiczne) dołączona została płytka ze specjalną wersją Linux-EduCD o nazwie GimLin. Więcej informacji: http://www.wsipnet.pl/dane/pliki/kluby/8/edukacyjny_sys_operacyjny_gl.pdf

Wydawnictwo Operon przygotowało właśnie podręcznik do informatyki, do którego dołączona jest płyta z Linux-EduCD. W podręczniku znajduje się materiał poświęcony bazom danych, systemom operacyjnym i sieciom komputerowym: http://www.operon.pl/www/index4.php?num=24&sub=188

Wyróżnienie PCWorld Komputer dla Linux-EduCD PC World Komputer Online opublikował test polskich dystrybucji Linuksa – w którym głównym kryterium oceny było ukierunkowanie na początkującego użytkownika. Sam test poprzedziła ankieta, która stanowiła podstawę do wyboru określonych projektów. Linux-EduCD otrzymał wyróżnienie.
Treść artykułu: http://www.pcworld.pl/news/79841_3.html

Msec (Mandriva Security) jest zestawem skryptów definiujących tzw: “poziomy bezpieczeństwa systemu”. Jest 5 predefiniowanych poziomów – i możemy przełączać się pomiędzy nimi wydając polecenie:

msec numer_poziomu

Przykładowo najwyższy poziom (msec 5) wprowadza cały szereg restrykcji związanych z dostępem do zasobów systemowych. Prawa do katalogów zawierających pliki binarne zawężone zostają do 711 (użytkownik musi wówczas znać nazwę polecenia które chce wykonać, nie działa listowanie katalogów, użytkowników, dopełnianie nazw tabulatorem). Wprowadzone zostają również inne ograniczenia – przykładowo żeby uruchomić dowolną aplikację graficzną (chociażby xterm’a) – użytkownik musi należeć do grupy xgrp. Również umask przy poziomie 5 ustawiony jest domyślnie na 077. Regularnie (ta regularność zdefiniowana jest w cronie) weryfikowane są również uprawnienia, konta z pustymi hasłami, porty, sprawdzane są sumy kontrolne plików binarnych, określone uprawnienia są systematycznie zerowane wg wzorca zawartego w pliku /usr/share/msec/level.5. Dodatkowo broadcasted_icmp_echo, czy icmp_echo są wyłączone (system nie odpowiada na pingi). Skrypty msec kontrolują również czy którykolwiek ze skonfigurowanych w systemie interfejsów sieciowych jest w trybie PROMISCOUS (tryb wymagany przez typowe sniffery).

Plik /var/lib/msec/security.conf zawiera konfigurację bieżącego poziomu bezpieczeństwa. Jeśli chcemy zmienić nieco ustawienia w i nadpisać niektóre z opcji – możemy posłużyć się plikiem: /etc/security/msec/security.conf. Przykładowa zawartość pliku /var/lib/msec/security.conf:

CHECK_OPEN_PORT=yes
CHECK_UNOWNED=no
CHECK_SECURITY=yes
CHECK_PASSWD=no
CHECK_SUID_ROOT=yes
MAIL_EMPTY_CONTENT=no
CHECK_PROMISC=no
TTY_WARN=no
CHECK_PERMS=no
CHECK_SGID=yes
SYSLOG_WARN=yes
CHECK_SHADOW=no
CHKROOTKIT_CHECK=no
RPM_CHECK=no
CHECK_WRITABLE=yes
CHECK_SUID_MD5=yes

Możemy również posłyżyć się graficzną nakładką na msec – konfiguratorem draksec:

Poprzez optymalny dobór ustawień parametrów w /proc/sys/net, możemy znacząco zoptymalizować połączenie sieciowe.

Poniższe opcje można dopisać do /etc/sysctl.conf lub do pliku startowego /etc/rc.local:

echo 256960 > /proc/sys/net/core/rmem_default
echo 256960 > /proc/sys/net/core/rmem_max
echo 256960 > /proc/sys/net/core/wmem_default
echo 256960 > /proc/sys/net/core/wmem_max

echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/tcp_sack
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling

Konfigurację sysctl można wykonywać również następujący sposób:

# sysctl -w net.core.rmem_default=256960

Ma to tę zaletę, że do zmiany parametru używanego przez kod kernela nie trzeba mieć podmontowanego procfs.

W Linux-EduCD 0.9 można używać nadal apt-get’a. Przykładowo żeby zainstalować
aplikację RealPlayer, wystarczy z konta root wydać polecenie:

apt-get update ; apt-get install RealPlayer

Odnajdywanie pakietów, po fragmentach nazwy, słowach kluczowych z opisu pakietu np:

apt-cache search Real

Jest również graficzna nakładka na apt’a – synaptic, dostępna z paska zadań, lub Kmenu-> System -> Konfiguracja -> Pakiety ->Synaptic.

W momencie kiedy chcemy sami zarządzać pakietami RPM w systemie, możemy posłużyć się interaktywnym narzędziem rpm.

Instalacja pobranego z sieci pakietu rpm (z ewentualną aktualizacją jeśli istnieje w systemie starsza wersja):

rpm -Uvh nazwa_pakietu.rpm

Weryfikacja, czy pakiet jest kompletny, nie przekłamany i mam poprawny podpis PGP:

rpm -K -vv nazwa_pakietu.rpm

Informacje o rozmieszczeniu plików wchodzących w skład danego pakietu rpm:

rpm -ql nazwa_pakietu

Szczegółowe informacje o pakiecie:

rpm -qi nazwa_pakietu

Deinstalacja pakietu:

rpm -e nazwa_pakietu

Przebudowa (np. uszkodzonej) bazy pakietów RPM:

rm -f /var/lib/rpm/__db* && rpm –rebuilddb

Przeszukanie zainstalowanych aplikacji na podstawie fragmentu nazwy:

rpm -qa |grep pvm

Wykaz innych pakietów/bibliotek wymaganych do poprawnego działania naszej aplikacji, np:

rpm -qR pvm

co da w wyniku:

[root@nb-rajmund ~]# rpm -qR pvm
/sbin/chkconfig
initscripts >= 5.54
bash >= 2
shadow-utils
openssh-server
openssh-clients
/bin/sh
/bin/sh
/bin/sh
rpmlib(PayloadFilesHavePrefix) <= 4.0-1
rpmlib(CompressedFileNames) <= 3.0.4-1
bash
tcsh
libc.so.6
libc.so.6(GLIBC_2.0)
libc.so.6(GLIBC_2.1)
libc.so.6(GLIBC_2.3)

Rajmund Radziewicz

NIS (Network Information Service), czyli usługa informacji sieciowej — jest uniksową usługą udostępniania komputerom w sieci takich informacji, jak loginy, hasła, klucze, czy np. dane o grupach.

Jest doskonałym sposobem na scentarlizowane zarzadządzanie użytkownikami i katalogami domowymi. Sprawdza się w przypadkach — kiedy mamy dużą ilość kont (lub planujemy mieć dużą) i chcielibyśmy zakładać/kasować te konta tylko na jednym komputerze. Oczywiście logować się na nie użytkownicy będą mogli z dowolnego hosta.
NIS jest ściśle powiązany z NFSem, który posłuży nam tutaj do eksportowania katalogów domowych z serwera.
Rozwiązanie jakie postaram się przybliżyć, z pewnością może okazać się przydatne w szkolnej sieci, gdzie z jednej pracowni komputerowej może korzystać przykładowo kilkaset osób. W momencie kiedy administrator chce, aby każda z takich osób miała swoje unikalne konto – NIS jest tym, co znacznie ułatwi mu życie.

Żeby działał NIS, w sieci musi być komputer pełniący rolę tzw. nadrzędnego serwera NIS (podrzędne – zapasowe, nie są konieczne. Posiadają one tylko kopię baz danych NIS i otrzymują te kopie od nadrzednego serwera tylko wtedy, kiedy robione są jakieś zmiany w głównej bazie. Przydatne stają się przy bardzo dużych sieciach, o zastosowaniach krytycznych, gdzie niezwykle ważna jest bezawaryjność).

Bazy danych NIS przechowywane są w tak zwanym formacie DBM. Jest to format dużo bardziej zoptymalizowany pod kątem odczytu — niż zwykły plik tekstowy. W bazach tych są właśnie informacje na temat kont, czy grup i są one udostępniane klientom przez nadrzędny serwer NIS. Takie eksportowane bazy określa sie jako mapy (maps).

Zacznijmy więc od konfiguracji klienta. W naszym przypadku klient to komputer o nazwie ‘Linux-EduCD’ i adresie ip: 192.168.0.11. Serwer to komputer o nazwie ‘educd-serv’ i ip: 192.168.0.1

Na kliencie powinny być uruchomione dwa demony – ypbind, zajmujący się obsługą żądań, oraz ypwhich – który odpowiada za lokalizacje nadrzednego serwera NIS. Ponadto wymagany jest działajacy demon portmap. Zanim to wszystko uruchomimy, musimy jednak ustawić wcześniej kilka rzeczy.

Poleceniem “domainname” ustawiamy na kliencie nazwę naszej domeny NIS. Jest to coś zupełnie innego niż “typowa” nazwa domeny, czy np. dns. Działa tylko na potrzeby NISa i powinna różnić się od nazwy dns-owej.
Powiedzmy, że nasza domena będzie się nazywała “Knoppixdomain”. Jako użytkownik root, ustawiamy więc tę nazwę, wpisując w terminalu:

domainname Knoppixdomain

Żeby nazwa domeny była ustawiana przy każdym starcie komputera, należy ją umieścić w pliku /etc/defaultdomain (skasujmy tę, która już tam jest). Nie powinna być to również nazwa tożsama z nazwą hosta.

Następnie w /etc/yp.conf (główny plik konfiguracyjny demona ypbind) umieszczamy tę nazwę + nazwę serwera NIS:

domain Knoppixdomain server educd-serv

Następnie (WAŻNE) należy umieścić również odpowiedni wpis w /etc/hosts razem z numerem ip:

192.168.0.1     educd-serv
ypserver        educd-serv

Istotne  jest teraz, żeby ustawić zakres informacji, jakie będą przekazywane
w ramach usług NIS. Zakres ten jest zdefiniowany w pliku /etc/nsswitch.conf

W /etc/nsswitch.conf powinno się zatem znaleźć:

passwd:   compat
group:    compat
shadow:   compat
netgroup: nis

Oraz przy dyrektywie “hosts” wpis:

hosts:  files dns nis

Ważny jest wpis ‘dns’ przy “hosts” na drugim miejscu. Bez niego nie będą działały serwery nazw ustawione w /etc/resolv.conf na klientach!

Teraz konieczna będzie modyfikacja plików z hasłami i grupami. W /etc/passwd dodajemy na końcu pliku
linijke:

+::::::

Możemy także użyć znaczków +/-, aby włączyć/wyłączyć lub zmienić użytkowników, korzysatjących z NIS.
Przykładowo:

+rajmund::::::
+moodle::::::
+wujek_franek::::::

Jeśli używasz pliku /etc/shadow, taki wpis musi się znaleźć również tam.

Do /etc/group dodajemy natomisat:

+:::

Wystartujemy teraz usługę NIS i portmappera (jeśli pamiętasz definicję portmapa z artykułu o NFS, to jest on serwerem, który zamienia numery programowe RPC na numery portów protokołu TCP/IP . Musi być uruchomiony, aby działało oprogramowanie klienta NIS):

cd /etc/init.d

./nis start

./portmap start

Możesz sprawdzic, czy klient komnikuje się z serwerem przez wpisanie:

ypwhich educd-serv

Ustawiamy teraz serwer NIS

W /etc/hosts dopisujemy:

192.168.0.1     educd-serv    educd-serv
192.168.0.11    Linux-EduCD

W /etc/defaultdomain ustawiamy znaną już nazwę domeny (w sposób analogiczny, jak na kliencie).

Teraz powinniśmyy w /etc/init.d/nis ustawić następującą wartość, przy NISSERVER:

NISSERVER=master

Ustawiamy teraz taką samą opcję w /etc/default/nis

Teraz przyszła kolej na edycję pliku /etc/ypserv.securenets. Jego zawartość określa, które
komputery w sieci będą miały dostęp do map serwera nisowego. Domyślnie jest tam wpis,
mówiący, że każdy komputer, który może połączyć się z serwem nadrzędnym — ma do nich dostęp
i może korzystać z usług NIS. Zakres można ustawić podając kombinację maski i adresu sieci, np:

255.0.0.0       127.0.0.0

To powyżej, pozwoli na dostęp wyłącznie z adresu localhost. Możemy więc ustawić tu wartość:

255.0.0.0    192.168.0.0

Jako że na serwerze najważniejsze jest ustawienie zawartości naszej eksportowane bazy danych (mapy), zajrzyjmy jeszcze do jej definicji w /var/yp/Makefile

Upewnijmy się, że w /var/yp/Makefile, jest odkomentowana linia z wpisami:

ALL =   passwd group hosts rpc services netid protocols netgrp shadow

(istotny jest ’shadow’, jeśli go nie ma — należy dopisać).

oraz że opcje:

‘MERGE_PASSWD’ i ‘MERGE_GROUP’ ustawione są na ‘true’.

Opcje ‘MINUID’ (minimalne id klienta) ustawiliśmy na ‘100′ Niżej są już konta admninistracyjne, więc nie będzie to zbyt zalecane.

Teraz tylko:

cd /etc/init.d
./nis stop
./nis start
./portmap start

Na koniec musimy wygenerować mapę, żeby mogła być “widoczna” w domenie NIS. Wykonujemy polecenie:

/usr/lib/yp/ypinit -m

W tym momencie mamy już scentarlizowane zarządzanie kontami. Pozostaje nam tak
skonfigurować NFS, żeby można było udostępniać katalogi domowe z serwera.

Na serwerze startujemy tylko odpowiednie usługi. Katalog /home już jest
udostępniony w /etc/exports (sprawiła to domyślna konfiguracja LTSP, jaką zapewne
mamy w Linux-EduCD po instalacji). Więc:

cd /etc/init.d
./nfs-kernel-server start

rpc.mountd && rpc.nfsd

Na kliencie natomiast montujemy katalog /home z serwera – w miejsce oryginalnego /home
(nam zależy na możliwości zakładania kont wyłącznie z serwera NIS):

mount -t nfs 192.168.0.1:/home /home

Teraz (KONIECZNIE) musimy dopisać polecenie montowania do skryptów startowych (najlepiej w pliku umieszczonym w /etc/init.d klienta i z dowiązaniem do niego w /etc/rcS.d)

Odpowiednio inne wpisy powinny się także znaleźć w skryptach startowych serwera (naszego educd-serv z ip: 192.168.0.1). Wystarczy jak w /etc/init.d umieścimy mały skrypcik (np. startuj_nis) o zawartości:

——–
#!bin/bash

cd /etc/init.d ; ./nfs-kernel-server start

rpc.mountd && rpc.nfsd

./nis start
———-

Należy pamietać także o dowiązaniu w /etc/rcS.d:

cd /etc/rcS.d/
ln -s /etc/init.d/startuj_nis S40cokolwiek

Pamiętajmy również, że po każdorazowym dodaniu konta na serwerze, zanim zalogujemy się na klienta, należy zrestartować nisa i wykonać:

/usr/lib/yp/ypinit -m

Teraz wystarczy na serwerze założyć dowolną liczbę kont (np. za pomocą adduser), wywołać:

cd /etc/init.d ; ./nis restart

/usr/lib/yp/ypinit -m

… i możemy logować się na nie z komputera o adresie 192.168.0.11