previous next table of contents vsakodnevna opravila po splošnem opisu sistema smo prišli do dela kjer si bomo morali umazati roke in odtipkati določene stvari na našem sistemu branje tega dela priporočam ob računalniku vsak primer je dobro tudi v živo preizkusiti Šele s svojim prizkusom in eventualno večkratno ponovitvijo nam bo uporaba tukaj opisanih ukazov in postopkov postala domača in pregledna dodajanje uporabnikov Še tako učinkovit sistem nam ne pomaga nič če ga uporabniki ne morejo uporabljati seveda je res da lahko sistem postavimo kot popolnoma odprt datotečni strežnik www strežnik in podobno za kar mogoče pojma uporabnik niti ne rabimo vendar je kljub vsemu pravilneje imeti pregled in možnost kontrole dostopa do sistema in njegovih servisov to je še posebej pomembno če je sistem odprt v internet passwd datoteka v skoraj vseh sistemih unix in s tem seveda tudi v linux so podatki o uporabniku zapisani v datoteki etc passwd vsak uporabnik dobi svoj diskovni prostor v podimeniku home in njegov imenik nosi njegovo uporabniško ime tako je na primer imenik home gody imenik uporabnika z uporabniškim imenom gody uporabniška skupina vsak uporabnik je lahko član določene skupine uporabnikov skupine so zapisane v datoteki etc group uporaba skupin je pomembna za skupinsko delo na datotekah ki so skupne večim uporabnikom glede na uporabniško ime in skupine v katerih član je uporabnik se v sistemih unix določa možnost dostopa do datotek kar bo opisano v nadlajevnaju pri ukazih chmod in chown princip uporabljen v caldera openlinux pri dodeljevanju uporabnikov v skupine poznamo na sistemih linux dva osnovna principa ena možnost je da administrator dodeli vsakemu uporabniku članstvo v skupini users tako so vsi uporabniki člani ene skupine in lahko praviloma berejo datoteke drugih uporabnikov če si uporabnik ne spremeni svojih nastavitev pri izdelavi datotek tak princip je primeren za manjše strežnike kjer uporabniki večkrat delajo na skupnih projektih drugi princip je princip en uporabnik ena skupina kar pomeni da se ob dodajanju vsakega uporabnika naredi tudi njegova osebna skupina tako se naredi ob kreiranju uporabniškega imena 'gody' tudi skupina z imenom 'gody' uporabnik 'gody' lahko sedaj sistemskega administratorja zaprosi da določene druge uporabnike sistema vpiše v skupino 'gody' in jim na ta način omogoči dostop do datotek ki jih uporabnik 'gody' naredi dostopne tudi skupini ta princip je privzet v distribuciji redhat razlikuje od pricipa privzetega pri drugih distribucijah v katerih so vsi novi uporabniki v osnovi pripadniki skupine users omogoča pa lažjo knotrolo dostopa do posameznih datotek vendar je tak princip manj pregleden za sisteme ki imajo veliko število uporabnikov na primer nekaj tisoč uporabnikov ki imajo klicni dostop caldera openlinux vsebuje dva sistemska orodja za dodajanje uporabnikov v primeru uporabe osnovnega orodja programa lisa ima sistemski administrator možnost ročnega vpisa skupine ki ji uporabnik pripada privzeta pa je osnovna skupina users drugo orodje skript adduser pa privzema princip po katerem ima vsak uporabnik svojo skupino ta skript najdemo v imeniku usr sbin in ga lahko spremenimo po svojem okusu odločitev kateri prinicp bomo uporabljali na svojem strežniku je stvar sistemskega administratorja in njegove odločitve o upravljanju sistema za varno nastavitev sistema in čim večje varovanje osebnih podatkov si mora administrator vzeti čas in razdelati svojo strategijo varnostni problemi pri manipulaciji uporabnikov pa moramo nujno omeniti tudi varnostne probleme v osnovnih distribucijah sistemov unix je namreč različno urejena zaščita šifer potrebnih za dostop poznamo tako sisteme ki imajo šifre zapisane v navadni ascii obliki kot sisteme ki imajo zakodirane šifre shranjene skupaj z drugimi podatki v datoteki etc password trenutno velja za najbolj varen sistem tak ki ima osnovne podatke shranjene v datoteki etc passwd ki jo lahko prebere vsak uporabnik sistema in kodirane šifre v datoteki etc shadow ki je dostopna le korenskemu root uporabniku sistem caldera openlinux v osnovi uporablja način z uporabo kodiranih šifer v datoteki etc passwd kar je dovolj dobro v primeru uporabe v okolju kjer lahko uporabnikom zaupamo in kjer ni veliko uporabnikov in predvsem nobenega gostujočega uporabnika na primer uporabniško ime brez šifre iz varnostnih razlogov pa pri instalaciji ki jo izvedemo pri večjih uporabnikih obvezno nadgradimo osnovni sistem s shadow podsistemom v vseh novejših distribucijah sistema linux tudi v caldera openlinux je vgrajen nov princip kontrole dostopa uporabnikov imenovan pam plugable authentication module ki omogoča enostaven prehod med različnimi načini avtentikacija uporabnikov ne da bi pri tem morali menjavati ali na novo prevajati kopico programov ki zahtevajo prijavo v sistem tako sistem pam omogoča enostaven prehod na prinicp shadow avtentikacije vse kar moramo storiti je izdelava datoteke etc shaddow in vpis potrebnih polj za uporabnika ob naslednji spremembi šifre bo sistem pam poskrbel za vpis kodirane šifre v to datoteko in jo zbrisal iz osnovne datoteke etc passwd drugi uporabniški parametri poleg šifre pa lahko po želji spremenimo še druge parametre za določeno uporabniško ime zelo pomembni parametri so namenjeni obstojnosti šifre in pri spremembi le teh določimo kako dolgo je določena šifra lahko nespremenjena in podobne stvari poleg tega lahko uporabniku spremenimo privzeto ukazno okolje ali školjko shell mu začasno onemogočimo dostop in pogledamo stanje njegovega uporabniškega imena da bomo lažje razumeli kateri podatki se shranjujejo v omenjenih datotekah si poglejmo strukturo le teh datoteka etc passwd vsebuje osnovne podatke o uporabniku sistema podatki uporabnika so zapisani v poljih ene vrstice ki jih ločuje dvopičje primer vrstice izgleda takole login name passwd uid gid user name directory shell posamezna polja pomenijo login name je uporabniško ime vsebino tega polja vpiše uporabnik ob prijavi v sistem polje je iz zgodovinskih razlogov lahko dolgo znakov vsebuje pa naj samo male alfanumerične znake passwd je kodirano geslo pri branju datoteke na tem mestu najdemo samo kup nečitljivih znakov to polje lahko spreminjamo samo s programom passwd ki poskrbi za pravilno kodiranje ključa Če želimo določenemu uporabniku začasno preprečiti dostop do sistema na začetek tega polja vpišemo klicaj v kolikor smo naredili shadow sistem je tem polju zapisan znak x uid je uporabnikova identifikacijska številka sistem namreč uporabnike ločuje glede na to številko in ne glede na ime Številka mora biti praviloma enoznačna torej vsakuporabnik mora imeti svojo identifikacijsko številko gid je številka osnovne skupine ki ji uporabnik pripada uporabnike je lahko član večih skupin kar pa se zapiše v datoteki etc group user name je opisno polje v katerega vpišemo polne podatke o uporabniku directory je uporabnikov domač imenik v sistemih linux je to ponavadi podimenik imenika home ki ima ime enako uporabnikovemu uporabniškemu imenu administrator lahko po svoji presoji seveda takšen način spremeni shell je program vpisati moramo celotno pot ki se bo pognal ob prijavi uporabnika v sistem v sistemu caldera openlinux je privzet program programska lupina bin bash ker določeni sistemski servisi ob prijavi preverjajo pravilno nastavitev tega polja mora biti polna pot omenjenega programa zapisana tudi v datoteki etc shells datoteka etc shadow vsebuje podatke o uporabniku ki jih lahko dostopa samo root uporabnik zapis je podoben zgoraj omenjenemu polja pa imajo naslednji pomen login name uporabniško ime passwd kodirano uporabnikovo geslo last change datum zadnje spremembe gesla min change zahtevano minimalno število dnevov med spremembami gelsa max change zahtevano maximalno število dnevov med spremembami gesla day warn število dni pred zapadlostjo trenutnega gesla ko sistem opozarja uporabnika da mora geslo spremeniti day inact število dni po zapadlosti gesla prede uporabniško ime postane neaktivno expire število dni od ko uporabnipko ime postane neaktivno unused polje rezervirano za bodoče dodatne podatke omeniti še moram da v trenutnem pam sistemu vsa polja niso aktivna dodajanje e mail uporabnikov caldera openlinux sistem lahko igra vlogo mail huba to je računalnika ki globalno sprejema in oddaja elektronsko pošto za več protokolov čeprav je najpogostejši smtp protokol Če želimo uporabiti caldera openlinux za sprejem elektronske pošte z interneta in nato distribuirati le to po post ofice protocol pop protokolu med uporabniki lokalnega omrežja moramo vsakemu takšnemu uporabniku narediti primerno uporabniško ime varnostni problemi tukaj pa lahko naletimo na določene varnostne probleme uporabnikov ki bodo na ta način sprejemali elektronsko pošto je praviloma precej več kot uporabnikov ki bodo na sistemu delali to hkrati pomeni da ne bomo mogli tako natančno nadzirati kdo ima dostop do sistema in kaj na njem počne Če namreč nekomu damo normalno uporabniško ime na sistemu ima v osnovi tudi možnost priklopa v sistem na interaktivni način no možnost priklopa na interaktivni način lahko dokaj enostavno rešimo in za uporabnike ki uporabljajo samo e mail to tudi močno priporočamo da bomo vedeli kaj počnemo naj na kratko opišem postopek prijave v sistem ko sistemu povemo svoje uporabniško ime in v sifro se kot prvi požene program zapisan v zadnjem polju vrstice v datoteki etc passwd to je praviloma ukazna školjka ki omogoča interaktivno delo v sistemu da preprečimo možnost interaktivnega dela moramo torej spremeniti program ki se po vpisu šifre požene na srečo imamo kar nekaj programov ki navidezno ne naredijo nič in te lahko izkoristimo za naš namen privzeto ukazno lupino bomo zato nadomestili na primer s programom bin false le ta ne stori nič in kar je najvažnejše takoj prekine svoje delovanje tako da uporabniku ne dopušča nobenega dela na sistemu tako nam uporabnik ne more narediti škode pa naj bo to namerno ali nenamerno včasih je priporočljivo omogočiti uporabnikom prijavo v sistem in prebiranje elektronske pošte na sistemu v tem primeru lahko vpišemo v zadnje polje vrstice v datoteki etc passwd ime programa za prebiranje elektornske pošte na primer usr bin elm ali usr bin pine ne pozabimo pa izbranega programa dodati v datoteko etc shells e mail aliase no ko smo končali dodajanje novega uporabnika in mu spremenili ukazno lupino lahko dotični prične sprejemati elektronsko pošto s programom na svojem osebnem računalniku ki podpira pop protokol kaj kmalu pa ugotovimo da smo na ta način dokaj omejeni saj moramo upoštevati dejstvo da mora biti uporabniško ime zavoljo delovanje elektronske pošte napisano s samimi malimi črkami ne uporabljajmo specifičnih slovenskih znakov šumnikov in sičnikov pa tudi omejitev na osem znakov ni preveč prijetna zato ima sistem elektronske pošte vpeljane tako imenovane aliase ta možnost nam omogoča da damo posameznemu uporabniškemu imenu na sistemu tudi poljubno dodatno ime za elektronsko pošto ta dodatna imena imenujemo aliase in jiv vpišemo v datoteko etc aliases format datoteke je enostaven saj na levo vpišemo željeno dodatno ime ločimo z dvopičjem in na desno vpišemo še pravo uporabniško ime Če želimo uporabniku z uporabniškim imenom gody narediti navidezno ime oziroma aliaso matjaz godec potem v omenjeno datoteko dodamo vrstico matjaz godec gody kot lahko tudi tukaj opazimo se zaradi mednarodne kompatibilnosti izogibajmo specifičnih slovenskih znakov po vpisu navideznih imen v datoteko poženemo še program newaliases ki bo novo navidezno ime aktiviral osnove administracije imenskega strežnika imenski strežnik je program ki pomaga pretvarjati imena računalnikov v njihove ip številke in obratno hosts datoteka v manjših omrežjih so se še do nedavnega izogibali uporabe imenskega strežnika in so namesto njega v datotekah etc hosts na vsakem računalniku v omrežju vpisali imena in ip številke vseh v omrežje povezanih računalnikov to je sicer zamudno a še znosno opravilo pri lokalnih mrežah z do deset ali dvajset računalniki pri večjih pa se je kljub vsemu boljše naučiti osnovne administracije imenskega strežnika rutinska dela Čeprav tako instalacija kot začetna konfiguracija imenskega strežnika še zdaleč ni enostavno opravilo in ga tukaj ne bomo opisovali pa je administracija imenskega strežnika routinska naloga ki jo izvajamo ob dodajanju kakšnega računalnika v omrežje oziroma ob preštevilčenju računalnikov v omrežju za potrebe tega pisanja bomo privzeli da v omrežju uporabljamo ip v številke x in da imamo registrirano domeno naša domena si po instalaciji je v imeniku var named nekaj datotek in v dve od njih vpišemo podatke ko dodamo računalnik v omrežje ti datoteki smo naredili ob instalaciji imenskega strežnika in naj imata imena oblike naša domena hosts za datoteko v katero vpišemo pretvorbo iz imen v ip številke in hosts za pretvorbo iz ip številk v imena oblika osnovnega zapisa primer oblike vpisa v datoteko za pretvorbo imena v ip številko je www in a Če pa želimo da se računalnik odzove še na kakšno ime lahko dodamo še vpis ftp in cname www po do sedaj vpisanem bo imenski strežnik vrnil številko če ga bomo povprašali tako za ip številko računalnika z imenom www naša domena si kot tudi ftp naša domena si Če smo prikljčeni na internet in sami skrbimo za imenski strežnik svoje domene moramo ob vsaki spremembi datoteke tudi povečati serijsko številko v soa polju datotek ker želimo da imenski strežnik vrne ime računalnika ko ga povprašamo po določeni ip številki naredimo še kazalčni vpis v datoteko hosts in ptr www naša domena si pozorni bodite na končno piko in na dejstvo da smo od cele ip številke vpisali samo številko vse ostale števillke so namreč že vpisane v osnovni datoteki imenskega strežnika etc named boot oziroma v novejših različicah imenskega strežnika etc named conf tudi v tem primeru ne pozabimo povečati serijske številke v soa polju po spremembi oziroma dodanem vpisu moramo sporočiti imenskemu strežniku da naj obnovi podatke iz datotek v starejših verzijah imenskega strežnika to storimo s programom named reload v novejših pa ndc reload konfiguracija in administracija www strežnika www strežnik apache world wide web je medijsko najbolj reklamirana internet storitev ki jo uporablja na miljone v internet priključenih ljudi kljub vsej svoji popularnosti pa bomo kaj kmalu spoznali da je vzdrževanje www strežnika sila enostavno in neproblematično ko imamo www enkrat zinstaliran in skonfiguriran konfiguracija konfiguracijske datoteke potrebne za nastavitve delovanja samega strežnika so v imeniku etc httpd apache conf strežnik nastavljamo s tremi datotekami na kratko opisanimi v naslednjih vrsticah httpd conf je datoteka v kateri so vpisane tehnične nastavitve strežnika tukaj lahko nastavimo kako in kje se bo strežnik oglašal kam bo vpisoval log datoteke koliko pomožnih strežnikov bo pognal za hitrejši odziv in podobno privzete nastavitve ki jih naredi instalacija operacijskega sistema so praviloma dovolj dobre za srednje obremenjen strežnik srm conf pove kako naj strežnik interpretira datoteke ki jih prebere na disku glede na njihovo ime oziroma končnico in podobno tukaj se nastavljajo tudi podatki o glavnem imeniku kjer bo strežnik iskal datoteke in o imenu imenika ki ga lahko uporabljajo uporabniki za svoje domače strani access conf je datoteka v kateri zapisujemo dovoljenja za dostop do posameznih dokumentov ki jih naš strežnik objavlja natančna navodila o zgoraj omenjenih datotekah so na voljo on line na strežniku apache www strežnika netscape fast track www strežnik v caldera openlinux standard distribuciji je vključen komercialni www strežnik priloženo navodilo nas pouči tako o instalaciji kot konfiguraciji strežnika zato se na tem mestu ne bomo spuščali v opis teh nastavitev povdariti želim samo dejstvo da omenjeni strežnik podpira kompletno kofiguracijo in administriranje preko web vmesnika tudi iz računalnikov povezanih v omrežje administracija za sistemskega administratorja je pomembno predvsem to kako bo omogočil administratorju www webmaster dostop do imenikov na www strežniku in pri tem ne bo ogrozil varnosti sistema Če sistemski administrator in webmaster ni ena in ista oseba bi lahko namreč prišlo do zlorabe v kolikor bi webmaster poznal vstopno geslo korenskega uporabnika ki je praviloma rezervirano za sistemskega administratorja poleg tega pa je pomembno da sistemski administrator pravilno nastavi delovno okolje za izdelovalce www strani saj morajo biti dokumenti dostopni vsem na internetu načinov kako pripraviti uporabno okolje je veliko zato naj bodo naslednje vrstice obravnavane le kot predstavitev nekaterih izmed večih možnih okolje za interaktivno delo na linux strežniku glavnemu izdelovalcu www strani naredimo uporabniško ime na primer www njegov domač imenik nastavimo na osnovni imenik www strežnika v primeru uporabe caldera openlinux je privzet imenik home httpd html če v konfiguracijskih datotekah tega nismo spremenili naredimo lahko tudi skupino www vse uporabnike ki bodo izdelovali centralne informacijske strani moramo vpisati v to skupino to pa ne velja za tiste ki bodo delali samo svoje domače strani v okviru svojega domačega imenika web strežnik apache namreč dopušča možnost da vsak uporabnik v vnaprej določenem podimeniku v okviru svojega imenika objavlja svoje www strani vsakemu uporabniku nastavimo način kreiranja datotek z ukazom umask najbolje je da imamo takšno masko nastavljeno globalno kar dosežemo z vpisom omenjenega ukaza v datoteko etc profile ko bo uporabnik s to nastavitvijo naredil datoteko bodo po datoteki lahko pisali poleg njega še člani skupine www brali pa jo bodo lahko poljubni uporabniki sistema in s tem tudi www strežnik več o uporabi programov za nastavitev upravičenosti do dostopa do datoteke sledi v nadaljevanju uporabniki izdelovalci www strani se sedaj prijavijo v sistem in izvršijo ukaz newgroup www tako so pripravljeni na izdelavo www strani z orodjem po lastnem okusu ki pa ga moramo pred tem še insktalirati na sistem spremembo v novo skupino lahko administrator ali uporabnik avtomatizira s primernim vpisom v zagonsko datoteko ukazne lupine praviloma pa sistemski administratorji interaktivnega dostopa do strežnikov sploh ne dovolijo www strani se v tem primeru urejajo preko ftp programov iz v omrežje priključenih računalnikov www izdelovalci pripravljajo predstavitvene strani na lokalnem računalniku kar je lahko vzrok precejšnjim problemom zaradi nekompatibilnosti dokler se ljudje ne navadijo na način dela okolje za urejanje www preko ftp tudi v tem primeru naredimo uporabnika www enako kot v zgornjem primeru vendar sedaj spremenimo ukazno lupino kot pri uporabnikih ki imajo samo e mail dostop administratorju www strani namreč sploh ne bomo omogočili interaktivnega dela na strežniku ftp strežniku v datoteki etc ftpaccess dodamo gostujočo skupino www kar nam bo omogočilo poseben varnejši način dela domač imenik sedaj zapišemo malo drugače zapis v etc passwd naj izgleda takole www x www administrator home httpd html bin false tako bo www uporabnik po priklopu na naš ftp strežnik lahko dostopal le na tiste imenike ki ležijo pod njegovim domačim imenikom Če nismo tega storili do sedaj ne pozabimo dodati vpisa bin false v datoteko etc shells saj je ftp strežnik eden izmed tistih programov ki ob prijavi uporabnika pregledujejo ali je v polju za ukazno lupino pravilen vpis sedaj se bo uporabnik lahko prijavil na sistem vendar ne bo česar videl zato da bo ftp deloval kot je treba moramo namreč pod izbranim imenikom v našem primeru torej home httpd narediti okolje s potrebnimi knjižnicami in ostalim programjem to bomo najlažje naredili tako da posnamemo okolje kot je pripravljeno v imeniku home ftp namenjeno prijavljanju anonimnih uporabnikov več o opisanih nastavitvah lahko preberemo z ukazom man ftpaccess datotečni strežnik zgoraj opisana varianta je najpogosteje uporabljana saj lahko s tako nastavljenim sistemom delamo tako preko klicnega omrežja preko ovir v obliki firewall zaščit in podobno obstaja pa še ena zelo elegantna rešitev ki pa je problematična prav zato ker praviloma ne deluje če je med uporabnikovim računalnikom in strežnikom nameščena firewall zaščita sistem caldera openlinux lahko namreč uporabimo tudi kot datotečni strežnik za okolja windows in dos z uporabo smb protokola ali pa za network file system strežnik če na windows računalnike namestimo primerne odjemalce v tem primeru pa lahko nastavimo imenike v katerih so www strani tako da so dosegljivi enako kot lokalni diski na računalnikih uporabnikov ftp administracija ftp oziroma file transfer protokol je eden najosnovnejših mrežnih strežnikov v mrežah ki uporabljajo tcp ip protokol je pa tudi eden najpogostejših krivcev za varnostne luknje v sistemu na hitro bi rekli da nevarnost tiči v tem da imajo dostop do ftp strežnika tudi neznani uporabniki vendar so praktično vse do sedaj odkrite varnostne luknje tega programa zahtevale da ima uporabnik na sistemu svoje uporabniško ime kot na primer zgoraj webmaster in dostop do ukazne lupine tako so krivci za vdor v sistem praviloma uporabniki ki imajo na sistemu uporabniško ime zato je priporočljivo imeti kar se da velik nadzor nad uporabniškimi imeni oziroma uporabniki ki delajo na sistemu nalaganje datotek na strežnik kako se nastavi ftp strežnik tako da določenim uporabnikom omejimo možnost dostopa smo opisali že v odseku o www strežniku zdaj pa si poglejmo še eno izmed zanimivih nastavitev strežnika ftp Če želimo neznanim uporabnikom anonymous ftp users omogočiti da odlagajo datoteke v praviloma incoming podimenik moramo v datoteki etc ftpaccess vpisati določene nastavitve da preprečimo zlorabo našega ftp strežnika moramo pravilno nastaviti možnosti nalaganja datotek s strani nepoznanih uporabnikov datoteke ki jih nepoznani uporabniki odložijo v za to pripravljen imenik morajo namreč ostati nevidne tako dolgo dokler jih sistemski ali ftp administrator ne preverita in razporedita na mesta v javno dostopnem delu za tehnično izvedbo nastavitev si oglejmo navodila z ukazom man ftpaccess e mail administracija sendmail konfiguracija konfiguracija programa za prenos elektronske pošte je nadvse komplicirana saj je sintaksa konfiguracijske datoteke namenjena predvsem hitri obdelavi med sprejemanjem in oddajanjem pošte in ne človeškemu branju za podrobne podatke o konfiguraciji programa sendmail priporočam knjigo z istim naslovom v kateri so vse podrobnosti o delu tega programa po splošnem mnenju celo preveč na internetu ima program sendmail tudi svojo predstavitveno stran kjer lahko dobimo veliko koristnih informacij o nastavitvah programa potrebne domače spremembe k sreči pa so osnovne nastavitve programa sendmail ki so shranjene v datoteki etc sendmail cf praviloma že dovolj uporabne in jih ni potrebno preveč spreminjati nekaj malenksoti pa le ostane in poglejmo si kaj moramo spremeniti če želimo naslednji način sprejemanja elektornske pošte računalnik ki ga konfiguriramo naj sprejema pošto za vse računalnike v podjetju če ima pošta končnico naša domena si vsa pošta ki jo pošiljajo uporabniki mora imeti obliko kot da prihaja iz našega računalnika oziroma imeti mora končnico naša domena si prva zahteva bo naš računalnik spremenila v centralni poštni nabiranik za podjetje da to dosežemo moramo programu povedati na katero ime naj se javlja poleg svojega osnovnega imena to pripišemo v vrstico ki se začne s cwlocalhost tako da dodamo še naša domena si drugi zahtevi pa rečemo maskiranje elektronske pošte in jo nastavimo v vrstici ki se začne z dm tukaj vpišemo še naša domena si in zadeva je opravljena Čeprav zgornji opis izgleda zelo enostavno pa naj še enkrat povdarim da je kompletna konfiguracija programa sendmail precej zahtevna reč zgornji kuharski recept namreč velja samo ob uporabi caldera openlinux medtem ko lahko ima katera druga distribucija povsem drugačne predhodne nastavitve zato bodimo pri delu s to datoteko nadvse previdni in pred vpisovanjem sprememb dodobra preučimo razpoložljivo literaturo natančnejši opis nastavitev in vzorčne primere nastavitvenih datotek najdemo v podimenikih imenika usr share sendmail napake pri pošiljanju in sprejemanju v vsakem sistemu moramo določiti uporabnika ki bo sprejemal sporočila o neuspešnem pošiljanju oziroma sprejemanju elektronske pošte praviloma mu damo ime postmaster v datoteko alias pa določimo dejanskega uporabnika ki bo ta sporočila sprejemal najpogostejša sporočila o napakah so povezana predvsem z nedosegljivostjo računalnika ki bi moral sprejeti elektronsko pošto v tem primeru nam poštni sistem najprej sporoču opozorilo warning da pošte ni mogel poslati in da bo poskusal s pošiljanjem še naslednjih pet dni v kolikor tudi po petih dnevih pošte ne more predati naslovnemu računalniku vrne zaključno sporočilo o svoji neuspešnosti v vsakem sporočilu je tudi opis napake iz katere lahko z nekaj izkušnjami razberemo kje se je poštna pot pretrgala oziroma zakaj pošta ni bila predana naslovniku najpogostejša sporočila ki jih relativno lahko rešimo so povezana z naslednjimi dogodki dns napaka v tem primeru je uporabnik po vsej verjetnosti vpisal napačno ime računalnika racunalnik sprejemnikovega naslova lahko se tudi zgodi da so vsi imenski strežniki ki imajo podatke o naslovnikovem računalniku trenutno nedostopni in zato naš poštni sistem enostavno ni mogel dobiti pravilne informacije praviloma ta napaka ne predstavlja problema na naši strani zato se zaradi nje ni potrebno razburjati računalnik nedosegljiv v tem primeru je poštni sistem sicer dobil podatke o naslovnikovem računalniku vendar se z njim ni uspel povezati za to napako je lahko veliko vzrokov najbolj pomembno pa je da preverimo in izločimo tiste ki bi lahko bili na naši strani preveriti moramo ali je računalnik ki bi moral pošto sprejemati dosegljiv z orodji tipa traceroute računalnik ki je odgovoren za sprejem elektronske pošte za določen naslov omrežje najdemo z orodnjem nslookup Če računalnik ni dosegljiv in se pot pri iskanju dosegljivosti ustavi v okviru našega omrežja imamo problem z nastavitvjio usmerjevalnikov velikokrat gre tudi pri takšni napaki samo za problem trenutne nedosegljivosti računalnika ali strežnika elektronske pošte na naslovnikovi strani v tem primeru sami ne moremo storiti kaj dosti uporabnik neznan to napako bomo dobili kadar pošiljatelj napačno napiše prvi del sprejemnikovega naslova pomeni da sta se poštna agenta povezala in predala vso informacijo vendar pri sprejemniku uporabnik z napisanim imenom ne obstaja napake v sistemu v tem primeru ni vendar je dobro takšno opozorilo shraniti saj uporabniki prav radi krivijo sistemskega administratorja tudi za svoje lastne napake messages file tail f in sestavljanje ukazov datoteka sistemskih sporočil ob delu s sistemom moramo večkrat preveriti kaj se trenutno s sistemom dogaja in kaj se je dogajalo v preteklosti tako kot je caldera openlinux nastavljen ob instalaciji najdemo poročila o dogajanju na sistemu v datoteki var log messages to datoteko sistem crontab tudi redno pošilja administratorju oziroma korenskemu uporabniku root po elektronski pošti da jo pred brisanjem pregleda v primeru da imamo na voljo veliko diskovnega prostora pa je priporočljivo te datoteke zadržati na disku in jih regularno pregledovati in analizirati zbrišemo jih šele po temeljitem pregledu in analizi za analizo omenjenih datotek potrebujemo nekaj izkušenj in seveda kakšno priročno orodje zelo pripraven je program grep ki išče poljube zapise v datoteki Številne opcije pri uporabi tega programa man grep nam bodo hitro pomagale najti pomembne in izločiti nepomembne informacije iz sistemskih sporočil sprotno sledenje spremembam za sproten pregled datotek pa imamo na voljo znimiv ukaz tail file name ta nam izpiše samo zadnjih nekaj vrstic iz zahtevane datoteke no to za naše potrebe še ni dovolj zato mu lahko dodamo obliko tail f file name sedaj bo ta program sproti izpisoval tudi vse naknadne dogodke vpisane v datoteko spajanje ukazov uporabo tega ukaza lahko še izpopolnimo z uporabo unix možnosti spajanja ukazov za primer pokažimo kako bi naredili sledenje vsem dogodkom ki so kakorkoli povezani s korenskim root uporabnikom poleg ukaza tail f bomo uporabili še ukaz grep ki v tekstu najde določeno besedo in izpiše vrstico v kateri jo je našel ukaz igleda takole tail f var log messages grep root in pomeni usmeri izhod iz programa tail v program grep na enak način lahko tako sestavljamo poljubno mnogo ukazov zapored gnezdenje ukazov poznamo pa še en način sestavljanja ukazov ki bi mu lahko rekli tudi vrinjanje ukazov v tem primeru kot parameter določenega ukaza izvršimo nek drug ukaz kot primer skombinirajmo ukaza chmod ki ga bomo podrobneje spoznali v nadaljevanju in find katerega opis pa boste našli z ukazom man find recimo da želimo spremeniti upravičenosti vsem podimenikom imenika v katerem se trenutno nahajamo upravičenost spremenimo tako da člani skupine imenikov ne bodo mogli ne brati ne pisati in niti vstopati v njih za to izvršimo chmod g rwx `find type d` pri tem moram e posebej opozoriti na narekovaje ki so obrnjeni in ne navadni za analizo delovanja zgornjega sestavljenega ukaza je najbolje da izvršimo vrinjeni ukaz posebej in spremljamo njegov izhod naj na tem mestu omenim še možnost uporabe enostavnih shell script programov ki jih omogoča sistemsko okolje skritpi so programi pisani z ukazi ukazne lupine in kontrolnimi ukazi ki omogočajo avtomatizacijo določenih sistemskih opravil skoraj vsaka ukazna lupina omogoča nek skript jezik poleg tega pa je za sistemske administratorje in še posebej za webmaster administratorje na voljo uporaben skript programski interpreter perl dovoljenja za dostop do datotek povsem na začetku dokumenta smo izpisali osnovni imenik v načinu ki prikaže praktično vse pomembne informacije o datotekah oziroma imenikih sedaj je čas da povemo nekaj o pomenu tam izpisanih oznak in kako to kar pomenijo spreminjamo na skrajno levi strani so zapisane oznake ki povejo ali je datoteka imenik navadna datoteka znakovna naprava ali blokovna naprava ter dovljenja za dostop podrobneje si oglejmo oznake za imenik bin drwxr xr x root root oct bin oznake so razdeljene v vodilen znak ki pove tip in v tri polja ki jih sestavljajo trije znaki ta polja so namenjena določevanju dostopnosti do datoteke za uporabnika skupino in ostale uporabnike sistema world oznake v teh poljih pomenijo sledeče r pomeni da je dovoljeno branje w pomeni da je dovoljeno pisnaje x pomeni da je dovoljen vstop v imenik oziroma da je datoteka izvršilna program s ima poseben pomen in pomeni da se bo ob izvajanju programa le ta sistemu identificiral tako kot da ga je pognal lastnik programa to je važno za programe ki morajo imeti dostop do naprav do katerih lahko ima dostop le korenski uporabnik root obenem pa so te datoteke oziroma programi tudi stalen vir varnostnih lukenj zato je dobro odstraniti tako imenovan sticky bit iz vseh programskih datotek ki jih ne uporabljamo drugače kot za administracijo t najdemo samo v primeru imenikov Če je v imenik dovoljeno pisati vsem potem je načeloma možno da datoteke v njem tudi vsi brišejo Če pa dodamo primerno dovoljenje ki se v izpisu kaže kot t potem bo datoteke v imeniku lahko brisal samo tisti ki jih je naredil naslednja v vrstici je številka ki pomeni število linkov na omenjeno ime in nas sedaj ne zanima na tem mestu sta za nas pomembnejša naslednja dva podatka prvo ime pove kdo je lastnik datoteke torej kdo je datoteko naredil drugi pa kateri skupini pripada datoteka ali imenik v našem primeru vidimo da je imenik bin v lastništvu korenskega uporabnika root in pripada skupini z imenom root kaj rado se zgodi da izbrišemo kakšnega uporabnika pri tem pa ne izbrišemo vseh njegovih datotek v takšnem primeru se bo namesto uporabniškega imena izpisala njegova bivša identifikacijka številka uid ostali podatki so še velikost datoteke datum zadnjega vpisa v datoteko in ime datoteke oziroma imenika več o možnostih prikaza datotek je možno izvedeti z ukazom man ls chmod sedaj ko vemo kaj kateri izmed podatkov pomeni si še poglejmo kako te podatke spreminjamo za to imamo na voljo naslednje ukaze chmod chown chgrp za definicijo kakšna privzeta dovoljenja bodo imele datoteke ki jih bomo naredili pa je na voljo ukaz oziroma sistemska nastavitev umask ki ga poženemo iz zagonske datoteke ukazne lupine s chmod ukazom spreminjamo dovoljenja za datoteko ukaz lahko uporabljamo v opisnem načinu ali številčnem načinu poglejmo si najprej opisni način forma ukaza je naslednja chmod guo rwx ime datoteke pri tem lahko zgoraj navedene parametre izberemo pač glede na to katero skupino dovoljenj želimo spremeniti parameter g uporabimo ko želimo spremeniti dovoljenje za skupino group permission u pove da želimo spremeniti dovoljenja za uporabnika lastnika datoteke ki jo spreminjamo user o pa da bomo spremenili dovoljenja za ostali svet other pomeni da dovoljenje ki sledi dodamo pomeni da dovoljenje odvzamemo rwx pa določijo za katera dovoljenja gre ali za branje pisanje ali dostop oziroma izvršilnost druga oblika istega ukaza pa je sicer manj pregledna a ko se je navadimo hitrejša za določanje nastavitev primer njene oblike je naslednji chmod ime datoteke kot vidimo je parameter ukaza v tem primeru številka ki pa si jo moramo predstavljati kot niz štirih cifer da bomo pomen lažje razumeli najprej povemo čemu je namenjena posamezna cifra nato pa še kaj posamezna cifra pomeni in kako jo določimo prva cifra z leve strani je namenjena določitvi dodatnih lastnosti s in t druga cifra določi navadna dovoljenja za uporabnika oziroma lastnika tretja za skupino in četrta za ostale uporabnike ker je način določanja enak za zadnje tri cifre si poglejmo kaj posamezna cifra lahko pomeni Še prej pa za tiste ki so domači z binarnim sistemom omenimo da lahko pomen cifer enostavno razberemo če jih napišemo v binarni obliki in dovoljenja primerjamo z zgoraj omenjenimi pomeni dovoljenje za izvršbo datoteke executable pomeni dovoljenje pisanja v datoteko write pomeni dovoljenje branja datoteke read Če želimo določiti cifro seštejemo številke pred dovoljenji ki jih želimo nastaviti za dovoljenje branja in pisanja bi torej dobili v binarni obliki bi to število zapisali kot in izpis je nadvse podoben izpisu rw seveda moramo na ta način določiti željeno nastavitev tako za uporabnika lastnika skupino in ostali svet prva cifra z leve pa nam kot že rečeno določi posebne nastavitve in sicer da se program izvrši kot da ga je izvršil lastnik programa program se izvrši kot da ga je izvršil nekdo v skupini nastavi prej opisani t bit na imeniku umask parametri ukaza umask pa so samo numerični in nastavijo masko za privzeto kreiranje datotek sam način dela bomo razbrali z ukazom man umask izbiro primerne maske pa bomo pridobili predvsem z vajo in izkušnjami chown in chgrp programa chown in chgrp pa sta namenjena spreminjanju lastništva datoteke in spreminjanju skupine ki ji datoteka pripada oblika ukaza je enostavna chown lastnik ime datoteke podrobnosti pa so spet na voljo v ustreznih opisnih straneh man chown spremljanje in manipulacija procesov za sistemskega administratorja je nadvse pomembno da sproti spremlja kateri procesi tečejo na sistemu in da lahko s temi procesi tudi upravlja v sistemu je za ta dela na voljo veliko ukazov in poglejmo si nekaj od njih eden od zanimivejših programov je program top ki nam sproti prikazuje kateri procesi so najaktivnejši in koliko sistemskih zmogljivosti zasedajo program ima na voljo tudi nekaj interaktivnih ukazov ki pa si jih lahko ogledamo z man top sistemska številka procesa Še bolj koristen je program ps ki nam izpiše status procesov v sistemu tudi za njega je na voljo opisna stran man ps a si na tem mestu oglejmo dva primera uporabe Če program poženemo kot ps ax nam bo izpisal vse procese ki tečejo na sistemu če pa dodamo še u na program postreže še s podatkom kateri uporabnik določen proces poganja program ps pa sam po sebi niti ne bi bil tako pomemeben če nam ne bi omogočal razbrati identifikacijske številke procesa pid le ta je v izpisu napisana kot prva številka na levi strani ta številka namreč služi kot parameter programom ki jih uporabimo za manipulacijo s procesi pošiljanje signalov procesom najpomembnejši od teh programov je program kill ta je namenjen pošiljanju signalov procesom ki tečejo na sistemu ukaz ima obliko kill signal pid najpogosteje bomo procesom poslali signal kill ali pa signal hup signale lahko namreč pošljemo tako v obliki številke kot v obliki teksta brez predpone sig zbirko signalov in njihovih številk bo program naštel če ga poženemo kot kill l no prej omenjen signal zahteva takojšnjo prekinitev procesa in ga uporabimo ko želimo proces takoj prekiniti signal hup pa v večini primerov zahteva od programa da na novo prebere svoje nastavitvene datoteke kaj natančno program naredi ko sprejme katerega od signalov pa je potrebno prebrati v navodilih posameznega programa procesi v ozadju uporabniki imajo za kontrolo svojih procesov na voljo še nekaj drugih ukazov najprej pa poglejmo kako lahko posamezne procese poganjamo v ozadju oziroma jih v ozadje pošljemo med delom program poženemo v ozadju tako da ukazu na koncu dodamo še znak primer takšnega izvajanja bi lahko bil na primer yes Če ste trenutno pred računalnikom in ste ta ukaz tudi izvršili so se preko zaslona pričele poditi črke y za zaustavitev programa imamo na voljo dve možnosti prva je da najprej program spravimo v prvi plan foreground z ukazom fg in ga nato prekinemo s pritiskom na tipko ctrl c druga možnost pa je da programu pošljemo signal kot smo omenili prej toda kako naj izvemo za pid številko omenjenega programa no na srečo nam to ni potrebno programu kill lahko pošljemo tudi številko opravila job number ki pa se šteje vsakemu uporabniku posebej za vsako opravilo v ozadju ker je naš proces edini v ozadju ima številko opravila in ga lahko ustavimo z ukazom kill za pregled opravil v ozadju ima uporabnik na voljo še ukaz jobs ki mu našteje številke opravil omenimo pa še ukaz bg ki omogoči nadaljevanje delovanja ustavljenega procesa v ozadnju interaktivne procese pa lahko v ozadje pošljemo tudi s pritiskom na tipko ctrl z izvajanje takega procesa poženemo s prej omenjenim ukazom bg spreminjanje prioritete poleg pošiljanja signalov programom pa lahko le tem spreminjamo tudi prioriteto izvajanja praviloma se program izvaja s prioriteto lahko pa ga poženemo tudi z nižjo prioriteto če želimo da program manj intenzivno porablja procesorski čas možne prioritete so za navadnega uporabnika od do za korenskega uporabnika root pa od do pri tem moramo upoštevati obrnjeno logiko saj številka pomeni najvišjo prioriteto in program ki ga poženemo s takšno prioriteto zlahka zablokira izvajanje ostalih programov na sistemu prioriteto lahko procesom spreminjamo skozi program top ali pa s programo renice program pa lahko tudi že poženemo s spremenjeno prioriteto če uporabimo ukaz nice več o sintaksi bomo našli v opisnih straneh man nice previous next table of contents