[opensuse-hu] Opensuse Xen+virtuális serverek

14 Nov 2011

      Sziasztok!

Saját cégünknél Opensuse alapon van kialakítva a hálózat jellemzően 
10-15 működő munkaállomással. Nyár végén kicsit átalakítottam az 
alábbiak szerint:

Xen Dom0 (Opensuse 11.4)

Xen DomU - 1: Full virt/Opensuse 11.4 Samba,Ldap, DNS,DHCP (később a 
routolást is ide akarom tenni, de egyelőre azt a wifi router csinálja), 
SAMBA PDC, DNS, DHCP LDAP támogatással megy.

Xen DomU - 2: Full virt/Opensuse 11.4 Mysql+Apache

Xen DomU -3: Full virt/Opensuse 11.4 Postfix-Dovecot-Fetchmail első 
kettő LDAP támogatással, (DOMU1-LDAP)

A teljes virtualizációra azért volt szükség mert sehogy sem sikerült 
megoldanom paravirt konfigurációval, ez meg működött, és akkor nem 
néztem jobban utána(konkrét problémát most nem tudok írni de azt tudom, 
hogy napokat szenvedtem vele mire meguntam és feltettem full virt-ben az 
meg elsőre működött). Még ez sem volt tökéletes, mert le kellett 
tiltanom két frissítést, hogy még véletlenül se települjön, mert ha igen 
szétvágja a rendszert.

A fenti konfig sok-sok szívás árán (LDAP) működik. Most épp azon 
dolgozom, hogy megfelelően beállítsam a loggolásokat, mivel a 
levelezőkiszolgálóra érkeznek kintről a levelek ( (Domu3/MX record 
beállítva a webszolgáltatóknál, a server emiatt 24 órában üzemel).

Szóval egyrészt szeretném a lehető legbiztonságosabbá tenni a rendszert 
(Ezen még majd sokat kell dolgoznom), másrészt a különböző biztonságot 
érintő eseményekről szeretnék valamilyen szinten értesülni (első körben 
logwatch elég, azt be is tudom állítani).

A jelenlegi problémám (régebben is volt, csak akkor még nem volt fontos 
megoldanom), hogy hogyan lehet egyértelműen meghatározni, hogy milyen 
programok akarnak hozzáférni az LDAP kiszolgálóhoz?

Mailserver: egyszerűen szűrhető mert ott egyedi címről/egyedi CN-el 
kapcsolódnak a kliensek, szóval ez a része még szűrhető is
Samba: Na ez már problémásabb mert nem tudom milyen lekérdezéseket 
csinál a SAMBA (már azt sem értem, hogy miért kell neki anonymous bind, 
miért nem használja az adott user CN-jét ugyanerre)
Egyéb: na ezt már passzolom mert azt, hogy mire való a PAM még kb 
megértettem, de hogy pl hogyan tudom egyértelműen megmondani, hogy 
milyen sorrendben használja pl a SAMBA az már rejtély előttem.

Vannak olyan keresések a /var/log/messages fájlban amikkel egyszerűen 
nem tudok mit kezdeni, és nem értem miért történik. Pl csak gyanítom, 
hogy a SAMBA keresgél a címtárban, de ha épp nincs bejelentkezve senki 
akkor mi a fenének?

lásd alább a log egy részét:

2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 fd=17 
ACCEPT from IP=127.0.0.1:37990 (IP=0.0.0.0:389)
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=0 EXT 
oid=1.3.6.1.4.1.1466.20037
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=0 STARTTLS
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=0 
RESULT oid= err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 fd=17 TLS 
established tls_ssf=256 ssf=256
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=1 BIND 
dn="" method=128
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=1 
RESULT tag=97 err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=2 SRCH 
base="ou=people,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uid=root))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=2 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 op=2 
SEARCH RESULT tag=101 err=0 nentries=1 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2004 fd=17 
closed (connection lost)

2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 fd=17 
ACCEPT from IP=127.0.0.1:37991 (IP=0.0.0.0:389)
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=0 EXT 
oid=1.3.6.1.4.1.1466.20037
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=0 STARTTLS
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=0 
RESULT oid= err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 fd=17 TLS 
established tls_ssf=256 ssf=256
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=1 BIND 
dn="" method=128
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=1 
RESULT tag=97 err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=2 SRCH 
base="ou=people,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=0))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=2 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 op=2 
SEARCH RESULT tag=101 err=0 nentries=1 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2005 fd=17 
closed (connection lost)

2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 fd=17 
ACCEPT from IP=127.0.0.1:37992 (IP=0.0.0.0:389)
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=0 EXT 
oid=1.3.6.1.4.1.1466.20037
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=0 STARTTLS
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=0 
RESULT oid= err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 fd=17 TLS 
established tls_ssf=256 ssf=256
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=1 BIND 
dn="" method=128
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=1 
RESULT tag=97 err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=2 SRCH 
base="ou=people,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=100))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=2 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=2 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=3 SRCH 
base="ou=users,ou=Samba,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=100))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=3 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=3 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=4 SRCH 
base="ou=Computers,ou=Samba,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=100))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=4 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 op=4 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2006 fd=17 
closed (connection lost)

2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 fd=17 
ACCEPT from IP=127.0.0.1:37993 (IP=0.0.0.0:389)
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=0 EXT 
oid=1.3.6.1.4.1.1466.20037
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=0 STARTTLS
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=0 
RESULT oid= err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 fd=17 TLS 
established tls_ssf=256 ssf=256
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=1 BIND 
dn="" method=128
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=1 
RESULT tag=97 err=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=2 SRCH 
base="ou=people,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=76))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=2 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=2 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=3 SRCH 
base="ou=users,ou=Samba,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=76))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=3 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=3 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=4 SRCH 
base="ou=Computers,ou=Samba,dc=cegnev2,dc=loc" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uidNumber=76))"
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=4 SRCH 
attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell 
gecos description objectClass
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 op=4 
SEARCH RESULT tag=101 err=0 nentries=0 text=
2011.11.12 11:44    cegnevserver2    slapd[1532]    conn=2007 fd=17 
closed (connection lost)

És így tovább...(ezek a bejegyzések szinte egész nap ismétlődnek 5-10 
percenként, még nem volt időm pontos kimutatást csinálni róla), engem a 
különböző uidNumber=76 és társai zavarnak elsősorban. Nem derül ki, hogy 
a Samba akar ezekkel kapcsolódni vagy esetleg más program.(LDAP 
rendkívüli hátránya, hogy a kereséseknél nem derül ki milyen program 
akar hozzáférni a rendszerhez, és más bejegyzés csak hiba esetén keletkezik)

(nsswitch.conf állományban passwd, shadow, group esetében ldap files 
sorrend van).

Nos fentiek alapján a jelenlegi céljaim lennének:

1. Pontosan tudni melyik program mit, mikor csinál a rendszeren, loggolva
2. A felesleges ldap lekérdezések megszüntetése
3. Később esetleg átállni 12.4-es opensuse-ra, ez elviekben csak a SAMBA 
PDC miatt trükkös a többi rendszeren nem okozhat gondot.
4. Átállásnál jó lenne összerakni esetleg célorientált rendszereket 
SuSeStudio-n keresztül, de ez meghaladja az én tudásom.

Fentiek alapján kérnék esetleges segítséget, tanácsot ha van valakinek 
egy kis ráérő ideje. Magamról annyit mondanék, hgoy egyáltalán nem 
vagyok profi, csak az átlag usernél kicsit többet olvastam utána a 
dolgoknak+ a fenti konfigot én csináltam meg (jól rosszul az majd 
kiderül). Ha van rá nyitottság/érdeklődés és van nálam hozzáértőbb ember 
szívesen részt veszek egy HOWTO létrehozásában is a fenti témában 
gondolom nem csak nálunk fordulna elő hasonló igény.

Elnézést, hogy ilyen hosszú voltam a további részletekkel már nem 
terhelném a listát hanem esetleg szűkebb körben beszélhetnénk róla, 
ismét csak akkor ha a fentiekre valakinek van ráérő ideje, kedve 
+érdekli a téma. Amennyiben nem úgy elnézést a zavarásért :)

Üdvözlettel:
Bátyi Tamás