"Likainen tusina" tarkemmin järjestelemättömiä ylläpidon ohjeita ja vinkkejä tätä serveriä varten Kirjoittajat (toivottavasti muitakin): [mea] Matti Aarnio [hks] Harri Salminen AIHE: MILLOIN: ---------------------------------------------------- ---------- Uudeksi ylläpitäjäksi haluaville 961015/hks Uuden käyttäjän ensiaskeleet 911129/mea Tiedostojen omistajuuden sieppaus omi-file komennolla 911129/mea Ryhmistä ja suojauksista 911129/mea Olioiden (tiedostot/symlinkit) piilottaminen 911129/mea "incoming" hakemistot 920110/mea "message" -tiedostot (ftp:n) CWD:n käyttöön 920110/mea Salasanalliset pelkästään ftp-käyttöön olevat tunnukset 920224/mea ---------------------------------------------------- ---------- PROLOGI: Nämä artikkelit on kirjoitettu hetken tarpeeseen, eivätkä tietenkään kata kaikkea mitä käyttäjän tulisi tietää. Silti puutteiden täydentäminen kannattaa ja jos voitte auttaa, sen parempi. Raportteja puutteista/uusia ohje-artikkeleita voi lähettää ylläpitoon: managers@nic.funet.fi Uudeksi ylläpitäjäksi haluaville: Uusia vapaahehtoisia ylläpitäjiä otetaan jatkuvasti vastaan nic.funet.fi koneelle tarpeen mukaan. Kuuluminen FUNETin jäsenorganisaation henkilökuntaan tai opiskelijoihin on eduksi mutta ei välttämätöntä. Akateeminen Internet-henki kylläkin ;-) Riittävästi vapaata aikaa ja Internet yhteys toki tarvitaan myös. Nykyisten muidenkin alueiden ylläpitäjien suosituksia kannattaa toki myös laittaa mukaan. Vanhat ylläpitäjät osannevat muutenkin kertoa NIC.FUNET.FI:n aluiden sisällöstä parhaiten. Jos havaitsette mielestänne kokonaan nicistä puuttuvan (ali) alueen, niin ehdottakaa sille sopivaa paikkaa nicin /pub puussa levytila ja käyttömääräarvion kera. Kertokaa myös erikoistoivomuksista kuten CGI-scripteistä, javasta, peilauksista tms. Lisäksi olisi hyvä kertoa miksi kyseinen alue sopisi nimenomaan opetusministeriön tukemaan NIC.FUNET.FI palvelimeen. Ylläpitäjiä otetaan myös niille NICin nykyisille aluille, joilla nykyisten ylläpitäjien aika ja into kenties on jo hieman vähentynyt. Kyseeseen voi tulla myös valittujen osa-alueiden ylläpito, kunhan kyseisen /pub alueen ylläpitäjät yhdessä huolehtivat incoming hakemistosta ja -adm sähköpostialiakselle tulevista tiedusteluista. Alueiden ylläpitoa koskeavat tiedustelut voi lähettää osoitteeseen NICin koordinaattori Harri Salmiselle hks@nic.funet.fi (09) 457 2005. Lisäksi olisi suotavaa lähettää sähköpostitiedustelu ehdotuksesta myös kyseiselle -adm alueelle kommentteja varten varsinkin, jos kyseessä on selvästi aktiivinen ylläpitäjäjoukko johon halutaan mukaan. 1996-10-15/hks Uuden käyttäjän ensiaskeleet: - Tutustua /ftp/staff-docs -hakemiston tiedostoihin. (Suomeksi/englanniksi -- vertaa kernaasti dokumentteja, niissä voi olla ristiriitaisuuksia! ) - Myös hakemistoissa /p/doc/, /l/doc ja /p/contrib voi olla hyödyllistä tietoa. man sivujen lisäksi Digital Unixin käsikirjat saa luettavaksi Xwindowssia käyttävällä dxbook ohjelmalla. Aika monien tarvitsemasta peilausjärjestelmästä löytyy tietoa tiedostosta /l/lib/mirror/README.mirror - Omatoimisesti liittyä arkiston ylläpidon "henkilökunnan" listalle (maints), sekä omille intressialueilleen sekä, jos ao. intressi- alueelle ei vielä ole listaa, pyytää perustamaan moisen. - Kullekin /pub alueelle on perustettu oma ryhmänsä, johon voi liittyä join-group komennolla, jos ei ole jo mukana. Omat ryhmänsä saa selville esim. komennolla id. Kullakin /pub tason alihakemistolla on myös oma postialiaksensa, joka ohjataan automaattisesti kaikille kyseiseen ryhmään kuuluville. Kts. myös join-group kohtaa. Mail mailserver@lists.funet.fi Subject: Tämä teksti tulee takaisin etuliitteellä "Re:" ; Suomalaista neuvotaan suomeksi apua ; Englantiakin saa käyttää. help ; Lue palautuva ohjeisto läpi ja opettele lisää asioita ; erityisesti koskien listoja ja niiden tilaus/poistumis ; menettelyä. tilaa maints Oma Nimi tilaa ftp-reports Oma Nimi - Älä ole liian ujo/ylpeä kysyäksesi neuvoa jos jotakin ei ole kerrottu näissä ohjeissa. Systeemin ylläpito voi pitää jotain asiaa niin itsestään selvänä, ettei niistä tehdä dokumentteja.. - Huomaa kuitenkin: UNIXin yleinen (alkeellinen?) hallinta tulisi opetetta jossain muualla, kuin täällä. Tämä ei ole niinkään UNIXin opiskelua varten, kuin työn tekoon.. ( Työn ?? ;-) ) 910924/mea 911128/mea 931013/mea 1996-10-15/hks Arkiston ali-alueiden ylläpitoryhmiin liittyminen (join-group) Jos haluat liittyä (esimerkiksi) msdos-adm -ryhmään, anna komento: join-group msdos-adm Paikallinen tiedosto /l/etc/join-group.dat luettelee ne ryhmät, joihin voi liittyä mukaan. Käyttäjälle EI ole komentoa, jolla voisi poistua/luopua ryhmästä. Vain ylläpito (managers) voi poistaa käyttäjän. Ryhmään liittyminen tuottaa automaattisesti vastaavan-nimisen postituslistan jäsenyyden -- itse asiassa /etc/group -tiedostoa käytetään listan expansiossa. 910920/mea 911129/mea Tiedostojen omistajuuden sieppaus omi-file komennolla: /usr/local/bin/omi-file [-d] [-g group] [-m mode] [-o owner] tiedostot Jos käyttäjän oikeudet täsmäävät ohjelman tietokannassa annettuihin (pikainen helppi ja viitteet: "omi-file" ilman parametreja) kykenee ao. käyttäjä muokkaamaan tiedoston omistajuutta, ryhmää ja suojauksia. Tämän voi tehdä useille tiedostoille samalla komennolla. Katso jäljempää join-group:sta, miten saat tarvittavan alueen- hallintaryhmän jäsenyyden itsellesi. Jos tiedosto sijaitsee hakemistossa, jonka käyttäjä omistaa, hän saa tehdä mitä ikinä haluaa; kunhan ao. tiedostolla ei ole useita hard- linkkejä, jolloin omi-file ei salli kenenkään koskevan siihen. (Hakemistot ovat poikkeus tuosta kiellosta.) Bugit: Niitä ilmeisesti on. Raportit -> mea@nic.funet.fi 910920/mea 911129/mea Ryhmistä ja suojauksista: Suositeltava asetelma: hakemistot suojaus 2775, ryhmä ftp tiedostot suojaus 444, ryhmä (mitä vain)* Vanha asetelma: hakemistot suojaus 775, ryhmä ftp tiedostot suojaus 664, ryhmä ftp* (*) Niin kauan, kuin HAKEMISTOJEN ryhmäoikeudella pääsee muokkaamaan HAKEMISTOJA (mm. poistamaan tiedostoja), tiedostojen ryhmällä ja ryhmäkohtaisella suojauksella ei juuri ole merkitystä. Tausta-ajatuksena on asetelma, jossa tiedoston korvaaminen toisella tapahtuu hieman vaikeutetusti varmistaen sen, ettei tiedoston omistajana ole jotain puutaheinää -- siis ettei tiedoston päälle kirjoiteta ryhmäoikeuden voimalla jolloin omistaja ei muutu, mutta sisältö muuttuu.. Hakemiston suojausbitti 2000 (oktaali) on ns. "BSD directory semantics" ja sen vaikutuksesta hakemistoon luotavat tiedostot saavat saman ryhmän, kuin hakemistolla on. Tämän on erityisen kätevää uusia HAKEMISTOJA luotaessa. Yllämainitulla asetelmalla varsinaisten TIEDOSTOJEN suojaus voi olla mahdollisimman tiukka (444/644) pakottaen tiedoston omistajan pysymään ennallaan tiedoston koko eliniän. Kun uusi versio halutaan tallettaa samalle nimelle, vanha pitää poistaa ensin. (mv komento on kätevä.) ÄLÄ KÄYTÄ vanhaa suojausmenetelmää (dir:775/ftp; file:664/ftp), jollei sinulla ole HYVÄÄ syytä! Huom: Suojausbitti 2000 on hieman hankalasti aseteltavissa: chmod g+s hakem.nimi Se EI onnistu komennolla "chmod 2775 hakem.nimi" ! (Tämä on dokumentoitu SunOSin `man 1 chmod':ssa.) (Voit myös keksiä käyttöä hakemiston suojausbitille 1000 - ns. sticky-bit, joka estää tiedoston tuhoamisen muilta, kuin sen omistajalta ja rootilta. Onko se hyödyllinen ominaisuus ? Kerro mielipiteesi -> mea,ojala) 910920/mea 911129/mea Olioiden (tiedostot/symlinkit) piilottaminen: Serverissä kykenee piilottamaan KAIKKEA seuraavin menetelmin: - Suojaus josta global-read puuttuu (bitti 004). Sellaiset tiedostot ja hakemistot ovat näkymättömissä ja saavuttamattomissa Anonymous FTP:ltä. - ".ignored.names"-tiedosto. Sisältää sort(1) järjestetyn listan tiedostonimistä, joita EI saa listata, mutta joita saa hakea jos tietää nimen. (Jos edellä mainittu suojaus ei estä.) Erimerkkiä tiedostosta: /ftp/.ignored.names Sen suojaukseksi 644, sillä anonyymin käyttäjän tulee voida lukea sitä. - ".recursion.ignored.names"-tiedosto on edellisen kaltainen, mutta sitä käytetään vain, kun "ls -R" operaatio tehdään. Esimerkki: /pub/gnu/.recursion.ignored.names Suojaus: 644 - ".links.as.reals"-lippu (tiedosto) Sen olemassaolo (pituus 0) kääntää HAKEMISTOLISTAUKSESSA symlinkit koviksi, mutta mm. tar ei huomaa sitä. Jos se luettelee symlinkkien nimiä, niin vain ne esitetään kovina muiden ollessa ennallaan. Sisällön pitää olla sort(1) järjestyksessä ja jos sillä on sisältöä, suojaukseksi suositellaan 644:ää. 910920/mea 911129/mea "incoming" hakemistot Tiedostojen vastaanottoon tarkoitettujen "incoming" hakemistojen suojaukseksi suositellaan 777:aa, tai 2777:aa (BSD semantiikka). Molemmissa tapauksissa FTP PALVELIJA pitää huolen, ettei kukaan anonyymi käyttäjä pääse käsiksi anonyymisti sisään syötettyihin tiedostoihin ennen kuin alueen ylläpitäjät niihin koskevat! Eli "incoming" hakemiston suojaukseksi Funicissa EI suositella 733 (rwx-wx-rx) tms. stop-gap juttuja joita joutuu käyttämään tyhmemmissä systeemeissä. (Eli kaikkialla joissa ei käytetä Funicin ftp serveriä.) On hyvän tavan vastaista pelkästään muuttaa tiedoton suojaus avoimemmaksi ja jättää se yhä "incoming" hakemistoon. Tiedostot tulisi AINA tarkistaa, jotta niissä ei ole vikoja, väärää materiaalia, viruksia jne, ENNEN kuin ne laitetaan yleisön saataville. ** Ylläpitäkää mainettamme; tarkistakaa kaikki mitä laitatte ** arkistoon saataville! * Kaikki vastaanotetut tiedostot logataan ftp palvelijan * * logeihin ja systeemi tuottaa niistä päivittäin raportin, * * jossa on hieman tilastollisia yhteenvetoja, sekä kaikki * * ao. ajanjaksona koneeseen vastaanotetut tiedostot * * lähettäjän antaman passwd:n kera. Raportti lähetetään * * "usagereports" -listalle. TILAA se MAILSERVERin kautta. * Jokaisesta arkistossamme olevasta tiedostosta PITÄISI löytyä tieto sen alkuperästä. Nykyään näin ei ole, mutta jokaisen ylläpitäjän tulisi ottaa tavakseen rekisteröidä lähettäjän tiedot ja hänen mahdollisesti kertomat alkuperätiedot kaikista arkis- toimistaan tiedostoista. Mukaanlukien oma-aloitteisesti noutamansa materiaali. Erityisesti: MITÄÄN NIMETTÖMÄSTI arkistoomme syötettyä materiaalia EI SAA päästää julkiseksi. Jokaisen tulisi ottaa vakiotavakseen lähettää kirje tiedoston lähettäjälle ja pyytää lisätietoja/varmennusta. Kun kirjeeseen saa järkevän vastauksen, se kelpaa (em. tarkistuskriteerit täyttäen) arkistoon -- tietysti kunnioittaen Copyright yms. asioita (jotka tulee myös selvittää.) Järjestelmä lähettää kerran yössä kertyneiden syöttöjen luettelon mailserver:n tukemalle UPLOADREPORT -listalle. Nuo raportit taltioidaan /usr/local/log/upload-notes/daily tiedostoon, josta ne on saatavilla myöhemminkin. 911125/mea 911129/mea 920110/mea "message" -tiedostot (ftp:n) CWD:n käyttöön: Kun hakemistossa on julkisesti luettavaksi avoin tiedosto, jonka nimi on "message", kyseinen tiedosto tulostetaan ftp:n komentokanavalle CWD:n vastauksessa. Esimerkkitiedosto: /pub/localsrc/message nic> ftp nic.funet.fi Login: anonymous Password: demo@nic.funet.fi ftp> cd /pub/localsrc 221-..... .... 221 CWD command successfull. ftp> jne.. 920110/mea Salasanalliset pelkästään ftp-käyttöön olevat tunnukset: Tällaiset tunnukset ovat normaalista tunnuksesta vain vähän rajoitettuja. Ne toimivat melkein kuten normaali käyttäjätunnus, mutta niille tehdään sama chroot(), kuin anonyymille ftp:lle. Tunnuksille ei sallita telnet-käyttöä. Tunnuksilla ei voi tallettaa mitä tahansa tiedostoja (sama rajoitus kuin anonyymin "incoming" hakemistoissa.) - Tee tunnus (esim: "linux2") tavalliseen tapaan /etc/passwd- tiedostoon antaen sille kuoreksi: /usr/local/lib/ftp-only-shell ÄLÄ SUORITA /p/etc/adduser:ia ! - Lisää tunnus tiedostoon /etc/ftpusers: +linux2 For user xxx@yyy for mirroring the archive (Siis + tunnuksen eteen ja perässä jotain kommenttia..) - Aseta tunnuksen kotihakemistoksi "/ftp" (sama kuin "ftp" tunnuksella.) - Lisää tunnukselle alias /etc/aliases -tiedostoon joka osoittaa tunnuksen varsinaiseen omistajaan. 920224/mea