FreeBSD Logo               

Skąd pobrać FreeBSD? Wybierz serwer ftp:
 

 


Dokumentacja
 
manuale  
  faq 
 
handbook

Jak to zrobić?
  Instalacja
  Komendy
  Usługi
  Upgrade
  NFS
  Jądro
  SDI-PPP
  Identyfikacja
  Quota
  OpenSSH
  TelnetSSL 
  Agenci MTA
  POP3 i SMTP
  Autoryzacja
  Serwer WWW
  Serwer NEWS
  Serwer Nazw
  ProFTPD
  IPv6
  Squid
  Samba
  DHCP
  Dummynet
  Ipfilter
  PF
  Polonizacja
  VMvare
  Udostępnianie
  Mały Router
 
Terminal
  Linux2FreeBSD

Niusy
  pl.comp.os.bsd

Po polsku
  bsdzine.org
  freebsd.pl
  www.bsd4u.org
  www.bsdguru.org
  bofh.vt.pl

Po innemu
  bsdvault.net
  freebsdhowtos.com
  freebsd-howto.com

Linkownia



Studio reklamowe

Usługi informatyczne MAC



 

 

 Identyfikacja

 

Ident

Aby uzyskać identa dla użytkowników servera najprostszym rozwiązaniem jest właczenie internal identa. Robi się to w pliku /etc/inetd.conf. Robi się to usuwając znak komentarza (#).

killall -HUP inetd

 

Pident

Bardzo dobrym rozwiązanie (moje zdanie) jest zainstalowanie pakietu pident. Aby to uczynić należy przy pomocy ftp sciągnąć z servera ftp://ftp.freebsd.org lub innego odpowiedni pakiet i przy pomocy

pkg_add pident-wersja-numerki.tgz 

dodać go do systemu, a następnie w pliku /etc/inetd.conf dodać wpis:

Aby zmiany zadziałały musimy wydać polecenie:

killall -HUP inetd

 

Ident w maskaradzie

Bardzo często spotykamy się z problemem identa dla maskarady. W OpenBSD i Linuksach bardzo dobrze z takim identem dla maskarady radzi sobie Oident. Niestety nie posiada on suportu dla FreeBSD (nie obsługuje opcji -m) i jest to dla mnie jedyny mankament FreeBSD (posiada od września 2001 - opis poniżej). Oczywiście można sobie właczyć Oidenta w trybie random ident. Dla tych którzy korzystają z IRC nie polecam ze względu na brak funkcjonalności takiego rozwiązania.

 Tircproxy

Jest to pakiet który ma za zadanie tworzenie (wspomaganie) identa dla maskarady. Pierwszą czynnością jaką musimy zrobić to oczywiście "zassanie" przy pomocy ftp pakietu tircproxy. 

Następnie przy pomocy pkg_add należy dodać pakiet do systemu. Następna czynnością jest tworzenie użytkowników korzystających z tircproxy. Można to osiągnąć pisząc prosty skrypt do tworzenia użytkowników tircproxy. oto przykład:

 

Skrypt ten najlepiej umieścić w /usr/local/etc/rc.d/ i dać mu atrybut 700 aby podczas uruchamia systemy sam się wykonywał i zakładał nam użytkowników tircproxy. Oczywiście na serverze muszą istnieć konta komp1, komp2, komp3, itd.

Jeśli mamy już zainstalowany pakiet tircproxy i użytkowników należy jeszcze zmodyfikować pliki /etc/inetd.conf i /etc/services. W pliku /etc/inetd.conf dokonać wpisów, np.

 

zaś w pliku /etc/services dokonać analogicznie wpisu:

Niestety aby zmiany w /etc/services zadziałały należy zrobić reboot servera.   

UWAGA! Po zrobieniu tircproxy klienci aby dostać się na irca łączą się na adres serwera i porty podane w /etc/services, np. /server moj.serwer.pl. 7665.

 

Ipv6

Jeśli jesteśmy szczęśliwymi posiadaczami ipv6, aby mieć na nim identa można w pliku /etc/inetd.conf właczyć internal identa dla ipv6.

I oczywiście killall -HUP inetd 

 


Autor: Grzegorz Jaros

Warto zajrzeć:

tircproxy: http://bre.klaki.net/programs/tircproxy/


czerwiec 2001


Oidentd

Oidentd jest demonem identyfikacji działający na wielu systemach, miedzy innymi *BSD, Solaris, Linux. Jego zaletą jest to że w przeciwieństwie do innych demonow potrafi obsługiwać połączenia NAT. Jednakże w FreeBSD support ten pojawił się dopiero 29 września 2001 roku. Co należało by dodać we FreeBSD obsługuje tylko ipnat'a. Ktorego jednak uznać należałoby za najbardziej dojrzałego nata.

Aby zainstalować oidentd należy zciągnać najlepiej najbardziej aktualna wersje źródeł oidentd (w obecnej chwili jest to wersja 2.0.1 ) przykładowo z:
http://prdownloads.sourceforge.net/ojnk/oidentd-2.0.1.tar.gz
Spakowany plik należy rozpakować:

# tar -zxvf oidentd-2.0.1.tar.gz
# cd oidentd-2.0.1

a następnie rozpakowane już źródła konfigurujemy z parametrem masq.
# ./configure --enable-masq
Nie pozostaje nam nic innego jak skompilować źródła, i zainstalować pakiet.
# make all && make install
Wypadało by teraz dopisać linijkę do inetd aby nasz pakiet uruchamiany był przez
tegoż demona, chyba ze ktoś woli uruchamiać oidentd jako standalone. Należy jednak
pamiętać iż aby nie narażać bezpieczeństwa systemu uruchamiać go polecał bym z 
prawami zwykłego użytkownika. Linijka ta mogła by wyglądać na przykład tak:

w /etc/inetd.conf: 
auth stream tcp wait root /usr/local/sbin/oidentd oidentd -m -i -u 65534

Pomimo iż odpalany jest przez roota działa z prawami zwykłego użytkownika a to dzięki opcji "-u" która wskazuje (w moim przypadku) na użytkownika "nobody".
Teraz wystarczy zrestartować demon inetd. W przypadku uruchamiania oidentd'a z funkcją maskowania nat, powinniśmy także uzupełnić pliki oidentd.conf i oidentd_masq.conf.

Plik oidentd.conf może znajdować się w katalogu /etc lub katalogu domowym użytkownika
kiedy ten pragnie indywidualnej konfiguracji identyfikowania. Przykładowy plik 
/etc/oidentd.conf może wyglądać następująco.

oidentd.conf:
default {
default {
deny spoof
deny spoof_all
deny spoof_privport
allow random_numeric
allow numeric
allow hide
}
}

opcje "deny spoof" i "deny spoof_all" niepozwalaj użytkownikowi używać wymyślonych ident'ów oraz ident'ów innych użytkowników systemu. "deny spoof_privport" zabrania używać identowi jako nadawania portów poniżej 1024. Dzieki "numeric" daemon na poprawne zapytania odpowiada odpowiada UID'em użytkownika. "random_numeric" -- analogicznie do numeric tyle że po uidzie znaduje sie liczba (0 - 100000). Opcja "allow hide" pozwala na odpowiedź "HIDDEN-USER" w przypadku powodzenia identyfikacji.

oidentd_masq.conf zazwyczaj znajduje się w /etc, powinien zawierać wpisy komputerów
które maja być identyfikowane, w formacie: "adres-ip/maska ident system" np.:

oidentd_masq.conf:
192.168.0.1/24     dyziu       UNIX
192.168.1.1/24     bolek      WINDOWS
192.168.0.2          czesiek   WINDOWS
192.168.1.2          jacek      WINDOWS 

 


Autor: Mirek L - dagoon


grudzień 2001


 

 






Kontakt  

© 2001-2009 FreeBSD Projekt
Wszelkie Prawa Zastrzeżone.