- ... tényező1.1
- A felsorolás nem teljes, számtalan egyéb
dologtól is függhet az optimális beállítás.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... lesznek1.2
- A
samba kivételével a
többi szolgáltatás ugyanúgy működhetne linuxos hálózatban is,
mint windowsos hálózatban (igazából a samba tisztán
linuxos környezetben való működtetésének sincs akadálya).
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... kommunikáció2.1
- Ez is indokolja az
időszinkronizálásról szóló 4. fejezet
létjogosultságát.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
interfészen.2.2
- Ennek a csomagszűrő beállításánál látjuk
hasznát, hiszen így pontosan korlátozni tudjuk, hogy egyes DNS
szervereink melyik portról fogják indítani kérdéseiket. Viszont
egy esetleges támadó is élhet azzal a feltételezéssel, hogy
rögzítettük a portszámot, ezáltal nagyságrendekkel könnyebb dolga
lesz egy dns támadás (blind DNS forgery) esetén. Persze ahhoz,
hogy sikeres támadást hajthasson végre kell az, hogy a tűzfal
belső lábának IP címét spoofolja (azt hazudja, hogy ő a tűzfal),
el kell találnia mind a kérdésben szereplő úgynevezett nonce-ot
(ami egy 16 bites szám), mind a forrásportot. Amennyiben
kikommentezve hagyjuk, akkor a szerverünk úgy fog viselkedni
(lekérdezés szempontjából), mint egy egyszerű kliens (az 1024-es
portjánál magasabb portról fogja indítani a lekérdezéseket).
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
belso.db2.3
- Önkényesen választottam ezt
a fájlnevet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
interfészen.2.4
- Ennek a csomagszűrő beállításánál látjuk
hasznát, hiszen így pontosan korlátozni tudjuk, hogy egyes DNS
szervereink melyik portról fogják indítani kérdéseiket. Viszont
egy esetleges támadó is élhet azzal a feltételezéssel, hogy
rögzítettük a portszámot, ezáltal nagyságrendekkel könnyebb dolga
lesz egy dns támadás (blind DNS forgery) esetén. Persze ahhoz,
hogy sikeres támadást hajthasson végre kell az, hogy a tűzfal
belső lábának IP címét spoofolja (azt hazudja, hogy ő a tűzfal),
el kell találnia mind a kérdésben szereplő úgynevezett nonce-ot
(ami egy 16 bites szám), mind a forrásportot. Amennyiben
kikommentezve hagyjuk, akkor a szerverünk úgy fog viselkedni
(lekérdezés szempontjából), mint egy egyszerű kliens (az 1024-es
portjánál magasabb portról fogja indítani a lekérdezéseket).
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
belso.db2.5
- Önkényesen választottam ezt
a fájlnevet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
ntpdate4.1
- Önkényesen választottam ezt a nevet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
előállításáról5.1
- Az egyes alkalmazások emiatti
konfigurációs igényeiről az adott alkalmazásról szóló fejezetben
esik szó.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
léphet\dots5.2
- Ugyanez igaz a levelezést kezelő
szerverünkre, tehát a levelek eléréséhez használt alkalmazásnak
is meg kell adnunk a CA-nk tanúsítványát.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
tanúsítványunkat5.3
- Ha valóban csak 1 éves érvényességgel
hoztuk létre őket.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
felhasználóéba).5.4
- Az
amanda-val végzett mentés
miatt szükséges.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... magamnak6.1
- Ez nem szép, bár működő
megoldás. Csak akkor használjuk, ha biztosak vagyunk benne, hogy
nem kell más LDAP szerverekkel együttműködnünk a későbbiekben.
Ha erre szükségünk van, akkor igényeljünk (a
http://www.iana.org/ oldalon) magunknak OID-ket, és
készítsünk saját schema fájlt vagy használjunk egy már meglévőt.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...replicator6.2
- A nevet önkényesen választottam.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... jelszavát6.3
- De így nem változik a
sambaLMPassword és a sambaNTPassword mezők értéke
(magyarul a windowsos jelszava).
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... problémái6.4
- Lehetséges oly módon is
használni az LDAP-t, hogy a unixos és a sambás jelszavak ne
legyenek szinkronban egymással, tehát külön lehessen
változtatni őket, egymástól függetlenül.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... kérdésekre.6.5
- Most direkt nem lokális
LDAP-szerverrel mutatom be a proxy konfigurálását, hanem úgy,
hogy egy másik gépen futó szolgáltatástól szerzi be a
felhasználói adatokat. De csak azért, hogy erre is lássunk egy
példát, és nem pedig azért, mert így jobb lenne a proxy-nak.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... fájlt6.6
- Ha más nevet választunk neki, akkor a
pam_auth parancs -n opciójának azt a másik nevet
kell megadnunk a squid konfigurációs állományában.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... jogokat7.1
- A delegálható jogosultságok táblázata
ebben a fejezetben
látható.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... csoportnak7.2
- Nem csak
csoportoknak, hanem egyes felhasználóknak is lehetséges jogokat
delegálni.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... &Nem7.3
- A
samba dokumentációja szerint nem lényeges, de a
samba mégis keresi az elinduláskor, és reklamál, ha nem
találja. Ezért én inkább mégis létre szoktam hozni - lásd a
nobody felhasználó létrehozását
itt.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
módon.7.4
- Természetesen nem kötelező a tartományi
rendszergazdáknak adni ezt a jogot, de akkor figyelnünk kell a
kapcsolódó beállításokra, mint például a könyvtárjogosultságok.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... magyarázata8.1
- Még néhány hiányzik.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
kézbesítésről8.2
- Az utolsó előtti sort ,,eltörtem'', hogy
kiférjen az oldalra.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
szolgáltatják10.1
- Ennél persze árnyaltabb a dolog, például
a https-en elérhető tartalmat nem tárolják a proxy-k.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
wpad.11.1
- Ezt meg lehetne oldani egyetlen
szerverrel (hiszen a ServerAlias opció segítségével
megadhatnánk neki a wpad.akarmi.intra nevet is), csak a példa
kedvéért csináltam két virtuális szerverrel.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... fájlban12.1
- Más nevet is
választhatunk.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
magyarázatok13.1
- Még hiányzik néhány.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... láthatjuk13.2
- Ha
felcseréljük a
setdisk és setdate parancsokat
(probléma nélkül fel lehet), akkor a később kiadott esetében
kapunk értesítést az indexfájlok hiányáról.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
5314.1
- Ez is konfigurálható, az újabb szoftverek
alapértelmezésben már egyszerű kliensként viselkednek inkább,
tehát az 1023 fölötti portról indítják a kapcsolatot (az 53-as
portra).
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... jelentkezik14.2
- A
kiadott parancsokra kapott válaszcsomag is adatnak számít!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
ntpdate15.1
- Önkényesen választottam ezt a nevet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ... paraméter15.2
- A generálás ideje alatt a
beidézettnél jóval több pont és összeadás-jel jelent meg a
képernyőn. A gép erősségétől függ, hogy mennyi ideig húzódik el a
generálás.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
cím.15.3
- Fix IP cím esetén a MASQUERADE helyett érdemesebb
az SNAT megoldást használni.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
- ...
elvet15.4
- Azt hiszem, hogy ebben sincs teljes egyetértés a
biztonsággal foglalkozó szakemberek között, ezért mindenkinek
saját belátása szerint kell döntenie.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.