From: Andrea Manni Date: Mon, 18 May 2009 16:59:41 +0000 (+0200) Subject: Sistemata la parte di Squid per servizi.txt X-Git-Url: http://git.piffa.net/web?a=commitdiff_plain;h=e9f87918ea6f2aef34ef7afa824a3a9a61c7cfea;p=doc%2F.git Sistemata la parte di Squid per servizi.txt --- diff --git a/servizi.html b/servizi.html index 9c85f5e..8facfa0 100644 --- a/servizi.html +++ b/servizi.html @@ -319,7 +319,7 @@ Version: - 0.4 + 0.5 @@ -395,315 +395,325 @@ squid.conf
  • 2.2   Negoziazione degli + "#negoziazione-degli-accesi-al-servizio" id="id22" + name="id22">2.2   Negoziazione degli accesi al servizio
  • 2.3   Testare + id="id24" name="id24">2.3   Testare Squid
  • - 3   Apache + 3   Apache
  • 4   Domain Name + id="id47" name="id47">4   Domain Name System
  • -
  • 5   DNSmasq
  • +
  • 5   DNSmasq
  • - 6   Samba + 6   Samba
  • - 7   Firewall + 7   Firewall
  • -
  • 8   NOTE
  • +
  • 8   NOTE
  • @@ -724,7 +734,14 @@

    Qui riportati per comodita' degli studenti (e del docente che non sara' mai piu' costretto a - ripeterli! )

    + ripeterli continuamente! ). Gli altri lettori potranno + tenerli presenti per cercare di comprendere gli esempi nel + testo. Ad esempio: quando leggerete 10.10.208.254:3128 saprete che si tratta + del nostro proxy http, stara' quindi a voi + sostituire i dati con gli ip della vostra + rete.

    @@ -735,8 +752,8 @@ - - + + @@ -785,6 +802,12 @@ + + + + + +
    10.10.208.250 persistente
    proxy http10.10.208.254:3128
    @@ -795,7 +818,9 @@ Andrea non e' in aula (o ancora peggio non c'e' il suo portatile Net) gli studenti dovranno darsi un indirizzo ip manualmente e disabilitare il proxy (che pero' e - trasparente, quindi fate pure come se non ci fosse ;) .

    + trasparente, quindi fate pure come se non ci fosse ;) . + Questo in attesa che si sappia se sara' nuovamente + utilizzabile il vecchio server Bender.

    @@ -1155,6 +1180,42 @@ Acquire::http::Proxy "http://10.10.208.254:3128";

    2   Squid

    +

    Squid e' un proxy cache http (ma anche FTP e https) + robusto e strutturato, puo' essere usato sia in reti + relativamente piccole grazie alla semplicita' di + configurazione che in scenari piu' complessi grazie alla + possibilita' di gestirne in modo granulare le risorse + partendo dalle configurazioni piu' semplici per la semplice + condivisione della navigazione internet, la gestione + degli accessi, il filtraggio dei contenuti (Squid e' una + applicazione che si muove nel 4' livello del modello TCP/IP a + differenza di un ipfilter limitato al 2') nel l + bilanciamento del carico tra piu' hosts.

    + +
    +
    Inoltre svolge la funzione di anonymizer:
    + +
    nasconde i client http alla rete internet: risulta solo + il server proxy nei log dei server web frequentati dagli + utenti di Squid.
    +
    + +

    Cosa a volte sottovalutata, squid permette la navigazione + web a una rete basata su indirizzi ip privati (es + una 192.168.0.0/24). E se la rete privata deve solo + navigare in internet, non serve un NAT od + altro, basta il solo Squid. Per altro non servira' neanche un + servizio DNS dato che sara' il solo squid a risolvere i + nomi di dominio per i suoi client http.

    + +

    Squid ascolta di default sulla porta 3128, per impostare + apt per utilizzarlo si aggiunga ad /etc/apt/apt.conf

    +
    +Acquire::http::Proxy "10.10.208.254:3128";
    +
    +

    Per installare Squid si usino i pacchetti:

     squid3
    @@ -1165,9 +1226,73 @@ squid3
             "#id17">2.1   Configurazione:
             squid.conf
     
    -        

    Segue un estratto del file di configurazione:

    -
    -#TAG: cache_dir (1628)
    +        

    Segue un estratto delle direttive principali viste in + aula presenti nel file di configurazione /etc/squid3/squid.conf .

    + +
    +

    2.1.1   Cache_dir

    + +

    Cache dir serve per impostare dimensione e percorso + della cache creata sul supporto di storaggio. Essendo la + dimensione di default della cache pari a ~100 + MB e' altamente + consigliabili aumentare questo parametro se si vuole + poter utilizzare la funzione di cache http del + software.

    + +

    La dimensione ovviamente dipendera' dallo spazio + disponibile, dimensioni tipiche e massime degli oggetti + che si vuole tenere in cache (un solo file .iso e' + circa ``700 MB``, il pacchetto *Openoffice.org cira + 150 + MB, un pacchetto debian + circa 20 MB), numero + dei client.

    + +

    Si presti poi attenzione alla natura dei dati che + saranno salvati nella cache: sono tutti dati facilmenti + sostituibili (gli originali sono on-line) la cui + perdita non arreca danni permanenti. Questo rende la + cache di Squid un possibile candidato ad un RAID + stripe (livello 0), con vantaggi sia per le + prestazioni (e la velocita' di navigazione e' uno dei + motivi per cui si installa Squid) che per l'utilizzo + estensivo dello spazio di storaggio. Questo fino al + momento in cui per voi non sia piu' importante + garantire la disponibilita' del servizio (se il + RAID stripe dovesse rompersi gli utenti non potrebbero + piu' navigare, cosa che per natura dello stripe e' + maggiormente probabile rispetto ad un mirror o a + un filesytem normale) con un RAID mirror o + 5.

    + +

    Altra considerazione: i dati del proxy vengono slavati + sul filesytem del server dietro richiesta di utenti + esterni talvolta sconosciuti. Come per i servizi di file + sharing o per la posta elettronica non c'e' motivo che il + filesystem su cui sono ospitati questi dati abbia i + privilegi di eseguibilita' o suid (in genere si puo' + anche usare noatime per renderlo piu' veloce, + che si usi o meno il journal dipende dalle preferenze: + affidabilita' oppure prestazioni):

    + +

    /etc/fstab

    +
    +...
    +# Filesystem per Squid http cache
    +/dev/md3/       /var/spool/squid/       ext3,noexec,nosuid,noatime  0 3
    +
    + +

    Ora possiamo impostare la cache direttamente nel file + /etc/squid3/squid.conf:

    +
    +#TAG: cache_dir (riga 1628)
     #       Usage:
     #
     #       cache_dir Type Directory-Name Fs-specific-data [options]
    @@ -1185,27 +1310,34 @@ cache_dir aufs /var/spool/squid3 300 24 256
     #                                       secondo livello di directory
     
    -

    Se si modifica la struttura del filesytem della cache di - Squid, ad esempio variando il numero delle directory, puo' - essere (ed in genere lo e') opportuno rigenerare la - struttura della cache di squid. Tipicamente e' opportuno - cancellare la vecchia cache e poi generarne una nuova:

    -
    +          

    Se si modifica la struttura del filesytem della cache + di Squid, ad esempio variando il numero delle directory, + puo' essere opportuno rigenerare la struttura della cache + di squid (per lo meno se si aumenta il numero delle + directory di primo o secondo livello). Tipicamente e' + opportuno cancellare (se si ha *ridotto il numero + delle diectory) la vecchia cache e poi generare una nuova + struttura. Se si vuole star nel sicuro ogni + volta che si modifica l'impostazione delle directory + si svuoti la vecchia cache e se ne generi una + nuova

    +
     # /etc/init.d/squid3 stop
     # rm -r /var/spool/squid3/??
     # squid3 -z
     # /etc/init.d/squid3 start
     
    +

    2.1.1   TAG: + "#id19">2.1.2   TAG: maximum_object_size

    Questa direttiva imposta la dimensione massima degli oggetti che vengono slvati sul supporto di storaggio, - oggetti di dimensioni superiori verranno scaricati ma non - tenuti in cache.

    + oggetti di dimensioni superiori saranno comunque + scaricati ma non tenuti in cache.

    TAG: maximum_object_size (1760):

    @@ -1229,14 +1361,34 @@ maximum_object_size 150 MB
     
             

    2.1.2   TAG: cache_mem

    + "#id20">2.1.3   TAG: cache_mem -

    Cache_mem imposta quanta memoria RAM - utilizzare per la cache di Squid. Questo dipendera' dalla +

    Cache_mem imposta quanta memoria RAM venga + utilizzata per la cache di Squid. Questo dipendera' dalla RAM disponibile sul sistema, e da quanta di questa volete - mettere a disposizione di Squid. Questo paramentro - influisce sulle prestazioni e sul degrado dei supporti di - storaggio (sopratutto se magnetici).

    + mettere a disposizione di Squid (altri servizi + iimportanti girano sulla stessa macchina?). Questo + paramentro influisce sulle prestazioni e sul degrado dei + supporti di storaggio (sopratutto se magnetici).

    + +

    Se si stesse pensando di usare dell'hardware + embedded a basse prestazioni / consumo per + realizzare un server gateway / NAT / Squid si tenga + presente che Squid e' relativamente esoso di risorse: + avra' bisogno di una macchina con ~25MB + (MegaByte) di RAM e ~150MHZ di CPU ARM per + servire decorosamente una decina di client http su una + rete ethernet 10/100. In questo caso non fate scendere + cache_mem sotto i 2/4 + MB pena un accesso continuo + al supporto di storaggio.

    + +

    Se invece si disponesse di una macchina dedicata a + Squid con gigabytes di RAM non si esiti a dedicarne buona + parte a cache_mem.

    TAG: cache_mem (1566):

    @@ -1253,15 +1405,16 @@ cache_mem 100 M
     
             

    2.1.3   TAG: + "#id21">2.1.4   TAG: minimum_object_size

    -

    Questo paramentro imposta la dimensione minima degli +

    Questo parametro imposta la dimensione minima degli oggetti salvati nella cache. Settato a 0 o a valori molto piccoli puo' influire negativamente sulla deframmentazione del filesytem e consumare un numero - elevato di inode.

    + elevato di inode (cosa non piu' importante con + ext4 o altri filesytem).

    TAG: minimum_object_size:

    @@ -1280,16 +1433,59 @@ minimum_object_size 0 KB
           

    2.2   Negoziazione degli accesi al + "#id22">2.2   Negoziazione degli accesi al servizio

    Squid e' uno di quei servizi soggetto a problemi di tipo - open relay, si deve quindi limitare la rete che + open relay , si deve quindi limitare la rete che puo' accedere al servizio.

    +
    +
    Open Relay:
    + +
    Un servizio a cui possono accedere tutti + indiscriminatamente. La cosa puo' andare bene per servizi + come i server web, che aspirano per loro natura al + maggior numero possibile di utenti, ma non a servizi come + i proxy http oppure ai server di posta elettronica (che + permetterebbero l'invio di SPAM).
    +
    + +

    Generalmente non volete che il vostro proxy http venga + usato da persone sconosciute le quali sostanzialmente + navigherebbero sotto l'identita' del vostro proxy + (probabilmente per visionare materiali che non vorrebbero + fossero ricondotti direttamente a loro, per motivi che sta + a voi prendere in considerazione) consumando traffico e + banda della vostra connessione a internet. Tenere Squid in + modalita' Open relay e' al giorno d'oggi un buon + modo per essere inseriti in una black list.

    + +

    Per poter limitare gli accessi a Squid dal punto di + vista dell'applicazione (quarto livello TCP/IP) si + identifichera' inizialmente l'entita' rete locale + (es: localnet) con una ACL di tipo + src (indirizi IP sorgenti) indicando la classe + / range di ip della nostra rete.

    + +
    + Dopodiche l'accesso (http_access) si concedera' + (allow) a questa entita' (es: localnet) negando chiunque altro. +
    + +

    Per maggiori dettagli sulla sintassi utilizzabile per + esprimere i range di ip: + http://www.visolve.com/squid/squid24s1/access_controls.php

    +

    2.2.1   ACL e http access

    + "#id23">2.2.1   ACL e http access

    Si proceda a creare una ACL di @@ -1323,6 +1519,7 @@ minimum_object_size 0 KB #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network # acl localnet src 10.10.208.0/24 + # Riga 606 # TAG: http_access # Allowing or Denying access based on defined access lists @@ -1349,7 +1546,7 @@ http_access allow localnet

    2.3   Testare Squid

    + "#id24">2.3   Testare Squid

    Configurato squid e' fondamentale testarne il corretto funzionamento per assicurarsi di non aver creato un @@ -1359,9 +1556,9 @@ http_access allow localnet "docutils literal">wget da riga di comando.

    -
    +

    2.3.1   wgetrc

    + "#id25">2.3.1   Client: ~/.wgetrc

    Nel file .wgetrc (si noti il punto iniziale: e' @@ -1393,19 +1590,31 @@ http_access allow localnet

     wget http://www.google.it
     
    +
    + +
    +

    2.3.2   Server: + access.log

    Si puo' controllare il corretto funzionamento del server seguendo i log di accesso a Squid:

     # tail -f /var/log/squid3/access.log
     
    + +

    In oltre e' possibile configurare diversi + analizzatori di log come Webalizer per studiare i log di + Squid.

    3   Apache

    + "#id27">3   Apache

    Apache HTTP Server, o piu' comunemente Apache, e' il nome dato alla piattaforma server Web modulare piu' diffusa (ma @@ -1423,7 +1632,7 @@ wget http://www.google.it

    3.1   Pacchetti da + "#id28">3.1   Pacchetti da installare::

    @@ -1437,7 +1646,7 @@ wget http://www.google.it

    3.2   Configurazione di + "#id29">3.2   Configurazione di Apache

    I file di configurazione di apache si trovano nella @@ -1496,7 +1705,7 @@ wget http://www.google.it

    3.3   apache.conf

    + "#id30">3.3   apache.conf

    File di configurazione del servizio Apache, contiene le impostazioni generiche (ad esempio utilizzo della RAM e @@ -1553,7 +1762,7 @@ wget http://www.google.it

    3.4   Installazione di PHP

    + "#id31">3.4   Installazione di PHP

    Pacchetti da installare: php5 @@ -1561,7 +1770,7 @@ wget http://www.google.it

    3.4.1   Test del modulo + "#id32">3.4.1   Test del modulo php

    Creare nella cartella

    3.4.2   Installazione del supporto + "#id33">3.4.2   Installazione del supporto per Mysql

    Installare i pacchetti:

    @@ -1608,7 +1817,7 @@ php5-mysql phpmyadmin

    3.4.3   phpmyadmin

    + "#id34">3.4.3   phpmyadmin

    L'interfaccia web Phpmyadmin non richede necessariamente la presenza di un database Mysql locale, @@ -1633,7 +1842,7 @@ php5-mysql phpmyadmin

    3.4.4   Installazione del supporto + "#id35">3.4.4   Installazione del supporto per Postgresql

    Installare i pacchetti:

    @@ -1650,7 +1859,7 @@ php5-pgsql phppgadmin

    3.4.5   phppgadmin

    + "#id36">3.4.5   phppgadmin

    L'interfaccia web Phppgadmin per il database server PostgreSQL non richede necessariamente la presenza di un @@ -1675,7 +1884,7 @@ php5-pgsql phppgadmin

    3.5   Virtual hosts

    + "#id37">3.5   Virtual hosts
      @@ -1716,7 +1925,7 @@ php5-pgsql phppgadmin

      3.5.1   Gestione DNS

      + "#id38">3.5.1   Gestione DNS

      Prima di tutto per poter impostare i virtual hosts dovete avere un server DNS che risolva i vostri nomi di @@ -1799,7 +2008,7 @@ php5-pgsql phppgadmin

      3.5.2   Virtual host

      + "#id39">3.5.2   Virtual host

      Esempio di Virtual host:

      @@ -1911,7 +2120,7 @@ php5-pgsql phppgadmin
       
             

      3.6   Negoziazione accessi

      + "#id40">3.6   Negoziazione accessi

      Tipicamente quando si installa un server web il proprio desiderio e' di dare accesso ai materiali disponibili al @@ -1924,7 +2133,7 @@ php5-pgsql phppgadmin

      3.6.1   Limiti su base ip

      + "#id41">3.6.1   Limiti su base ip

      La forma piu' semplice di restrizine degli accessi e' su base degli indirizzi IP dei client: tipicamente i siti @@ -1979,7 +2188,7 @@ php5-pgsql phppgadmin

      3.7   User Authentication

      + "#id42">3.7   User Authentication

      A volte conviene negoziare gli accessi ad un area di un sito tramite autenticazione basata sull'accopiata nome @@ -1996,7 +2205,7 @@ php5-pgsql phppgadmin

      3.7.1   Definire la + "#id43">3.7.1   Definire la cartella

      Decidere quale sara' il path della cartella @@ -2013,7 +2222,7 @@ php5-pgsql phppgadmin

      3.7.2   Creazione del database + "#id44">3.7.2   Creazione del database delle passwords

      Un modo semplice per gestire una database di @@ -2051,7 +2260,7 @@ htpasswd -c /home/utente/passwords luca

      3.7.3   Configurazione di + "#id45">3.7.3   Configurazione di Apache

      Ora possiamo passare alla configurazione vera e @@ -2126,7 +2335,7 @@ require valid-user

      3.8   Cavets

      + "#id46">3.8   Cavets

      Problemi di cache:

      @@ -2151,7 +2360,7 @@ require valid-user

      4   Domain Name System

      + "#id47">4   Domain Name System

      Domain Name System (spesso indicato con DNS) e' un servizio utilizzato per la risoluzione di nomi di host in @@ -2176,7 +2385,7 @@ require valid-user

      4.1   Nomi di dominio

      + "#id48">4.1   Nomi di dominio

      Un nome a dominio e' costituito da una serie di stringhe separate da punti, ad esempio it.wikipedia.org. A @@ -2198,7 +2407,7 @@ require valid-user

      4.2   Tipologie di record

      + "#id49">4.2   Tipologie di record

      Ad un nome DNS possono corrispondere diversi tipi di informazioni. Per questo motivo, esistono diversi tipi di @@ -2253,7 +2462,7 @@ require valid-user

      4.3   Utilizzo

      + "#id50">4.3   Utilizzo

      I computer vengono identificati in rete grazie agli indirizzi IP, questi pero' non sono comodi per gli @@ -2270,7 +2479,7 @@ PING www.l.google.com (74.125.43.104) 56(84) bytes of data.

      4.4   Risoluzione dei nomi di + "#id51">4.4   Risoluzione dei nomi di dominio

      Ci sono vari strumenti per interrogare i server DNS e @@ -2335,7 +2544,7 @@ ns4.mydomain.com. 96208 IN A 63.251.83.74

      4.5   Dig

      + "#id52">4.5   Dig

      Vediamo alcune opzioni utili nell'utilizzo di dig per @@ -2412,7 +2621,7 @@ l.google.com. 80856 IN NS g.l.google.com.

      5   DNSmasq

      + "#id53">5   DNSmasq

      Dnsmasq puo' svolgere le funzioni di un DNS cache / forwarder e un server DHCP caratterizzato dalla facilita' di @@ -2451,7 +2660,7 @@ l.google.com. 80856 IN NS g.l.google.com.

      6   Samba

      + "#id54">6   Samba

      Samba e' un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS.

      @@ -2472,7 +2681,7 @@ l.google.com. 80856 IN NS g.l.google.com.

      6.1   Pacchetti

      + "#id55">6.1   Pacchetti

      Pacchetti da installare per utilizzare Samba in modalita' client

      6.2   Passwords e + "#id56">6.2   Passwords e autenticazione

      Per poter configurare Samba in modo che usi un sistema @@ -2586,7 +2795,7 @@ dpkg-reconfigure samba-common

      6.3   Creazione Utenti

      + "#id57">6.3   Creazione Utenti

      Creiamo per primo l'utente sotto GNU/Linux, facendo attenzione a non dargli una shell di sistema. Gli @@ -2623,7 +2832,7 @@ smbpasswd sambo

      6.4   Creare la + "#id58">6.4   Creare la condivisione

      La condivisione altro non e' che una cartella sul server @@ -2650,7 +2859,7 @@ smbpasswd sambo

      6.4.1   Sicurezza: permessi di + "#id59">6.4.1   Sicurezza: permessi di esecuzione sul server

      Bisognerebbe notare sul server i permessi di @@ -2680,7 +2889,7 @@ smbpasswd sambo

      6.5   Configurazione + "#id60">6.5   Configurazione dell'applicativo Samba vero e proprio.

      Avendo preparato gli utenti (ancora una volta: non si @@ -2720,7 +2929,7 @@ smbpasswd sambo

      6.6   Testare il Servizio

      + "#id61">6.6   Testare il Servizio

      Come testare il servizio

      @@ -2760,7 +2969,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo

      7   Firewall

      + "#id62">7   Firewall

      In Informatica, nell'ambito delle reti di computer, un firewall (termine inglese dal significato originario di @@ -2810,7 +3019,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo