Slacky.eu - Contributi utente [it]

Autenticazione con LDAP per Samba

2008-10-03T09:10:57Z

Chrix: /* Autore */

[[Category:Scritti_misti]]

== Introduzione ==

Come installare e configurare samba come controllore di dominio di primo livello (PDC).

Questa guida descrive come installare e configurare Samba come PDC autenticando gli utenti con LDAP. Il sistema imposta un potente e sicuro file/print server oltre ad un robusto Directory Server.

Inoltre il server samba fa anche da logon server per i client Windows® che con l'aiuto dei “logons script” accedono automaticamente ai propri dischi condivisi in base al gruppo di appartenenza.

== Prima di cominciare ==

Questa guida descrive il setup di un PDC con OpenLdap e Samba:

* come installare e configurare ldap (installando e configurando OpenLDAP, gli script IDEALX per samba, i file slapd.conf e /etc/ldap.conf, Pluggable Authentication Modules (PAM) e infine avvio di OpenLDAP);
* come installare e configurare samba (installazione e avvio di samba, creazione delle cartelle e dei dischi condivisi, configurazione del file smb.conf e impostazione del database delle password LDAP, inizializzazione del database e integrazione di PAM, aggiunta di utenti e workstation windows® nella Directory;
* come abilitare e testare la sicurezza del sistema (TLS per OpenLDAP, PAM e Samba).

== Prerequisiti ==

Sono necessari una buona conoscenza dei sistemi UNIX®/LINUX® dal punto di vista della shell (riga di comando) e nozioni anche di base di networking e di programmazione in python o perl (per la creazione degli logon script, qui è stato usato python).

La distribuzione di riferimento è una Fedora Core 5, però la procedura qui descritta funziona su tutte le altre distribuzioni (es. Slackware®) e le varianti UNIX® come AIX e HP-UX.

È raccomandato procurarsi una versione precompilata dei pacchetti per la propria distribuzione (es .rpm per Red Hat® e derivati oppure .tgz per Slackware® e derivati).

I seguenti pacchetti sono necessari:

* OpenSSL;
* OpenLDAP;
* Samba;
* Modulo Perl ''Crypt::SmbHash'';
* Module Perl ''Digest::SHA1'';
* Modulo Perl ''IO::Socket::SSL'';
* Modulo Perl ''Net::SSLeay''.

== Schema della rete ==

La semplicità della rete in esame la rende facilmente adattabile ad una piccola rete domestica. E' stato usato un router a banda larga con firewall integrato.

+------------+
| PC LINUX |
| con Server |
| Samba |
+------+-----+ +----------+ __________
| | ROUTER | | |
-----+------+------+-------+ + +---- >> --- >>| INTERNET |
| | | FIREWALL | |__________|
+----+----+ +----+----+ +----------+
| WINDOWS | | WINDOWS |
| CLIENT | | CLIENT |
+---------+ +---------+

Questa picola rete ha tre gruppi: finanze, ricerca e amministrazione.

Gli utenti dei gruppi finanze e ricerca hanno dei dischi condivisi in cui salvare i propri file; i membri dei due gruppi hanno solo
accesso alle condivisioni del proprio gruppo.

Gli utenti del gruppo amministrazione hanno dei dischi accessibili solo dgli amministratori, hanno però dei privileggi che consentono loro di accedere alle condivisioni sia di finanze sia di ricerca.

== Introduzione a LDAP ==

LDAP : Lightweight Directory Access Protocol, è un protollo per far comunicare più computer con un Directory Server (rfc 1777 e 2251); è stato progettato per permettere un accesso leggero ad alberi derivati da Directory X.500 OSI Directory Access Protocol (DAP).

I dati sono organizzati in una struttura gerarchica (con supporto nativo della replicazione) e non di tabelle come nei DBMS relazionali, quali oracle oppure postgresql.

Una Directory è una collezione gerarchica di oggetti e di attributi associati agli ogetti stessi.

Esempio di Directory:

_
(_) dc=vicenza, dc=linux, dc=it

|
|
+---------+---------+
| | |
| | |
_ _ _
(_) (_) (_) ou=soci, dc=vicenza, dc=linux, dc=it

|
|
+---------+---------+
| | |
| | |
_ _ _
(_) (_) (_) cn=ottavio, ou=soci, dc=vicenza, dc=linux, dc=it

== Integrazione LDAP - SAMBA ==

Esistono tre principali punti d'integrazione di Samba in un server LDAP:

* il primo è l'inclusione dello schema samba nel server LDAP;
* il secondo è la configurazione di samba per autenticare via il server LDAP, grazie all'utility PAM che crea uno strato di astrazione nel processo di autenticazione, nascondendone la complessità (decidendo ad esempio se usare un file, LDAP, oppure un altro meccanismo di autenticazione);
* il terzo consiste nel usare un insieme di strumenti: i così detti “ IDEALX LDAP toolkit per Samba”, noti anche come gli "smbldap-tools", prodotti da terzi, ma rilasciati sotto licenza GPL.

== Configurazione di LDAP ==

=== Installazione di OpenLDAP ===

Per installare OpenLDAP verificare che nella propria distribuzione non sia già installato, con i seguenti comandi (per fedora):

rpm -qa | grep ldap

se non si ottiene un risultato simile a openladp-2.3.24 o superiore sarà necessario scaricarlo su uno dei
mirror e installarlo con il comando:

rpm -ivh openladp-2.3.24-2.i386.rpm

oppure usando YUM (il sistema di aggiornamento online di fedora, qui non ne parleremo).

Questo è un esempio di output che ottengo sulla mia Slackware:

root@chrix:~# ls /var/log/packages/ | grep -i ldap
nss_ldap-244-i486-1wsa
openldap-2.3.24-i486-2kjz

in caso contrario è possibile scaricare il pacchetto precompilato su uno dei repository di Slackware oppure installarlo direttamente con swaret o altri strumenti di aggiornamento online.

=== Installazione degli smbldap-tools ===

Essi sono richiesti per automatizzare la maggior parte delle interazioni tra samba e il server LDAP, contengono ad esempio script che samba richiama automaticamente per aggiungere/rimuovere utenti e/o gruppi, agiungere computer... Sono scritti in perl e quindi eseguibili da shell. Di solito sono già inclusi in vari distribuzioni col pacchetto samba, questo è l'output che ottengo sulla mia Slackware:

root@chrix:~# cd /usr/share/doc/samba-3.0.21c/examples/LDAP/smbldap-tools-0.9.1
root@chrix:~# ls
CONTRIBUTORS INSTALL doc/ smbldap-groupshow smbldap-userdel smbldap_bind.conf
COPYING Makefile smb.conf smbldap-passwd smbldap-userinfo smbldap_tools.pm
ChangeLog README smbldap-groupadd smbldap-populate smbldap-usermod
FILES TODO smbldap-groupdel smbldap-tools.spec smbldap-usershow
INFRA configure.pl smbldap-groupmod smbldap-useradd smbldap.conf

per installare gli IDEALX scripts:

* andare sul [http://samba.idealx.org/dist/ sito] e scaricare la versione 0.9.1 o superiore (smbldaptool-0.9.1.tar.gz);
* scompattare l'archivio in una cartella temporanea col comando:
tar -xvzf smbldap-tool-0.9.1.tar.gz
* creare una cartella per gli script quindi impostare i permessi giusti:
mkdir -p /var/lib/samba/sbin
chmod -R 755 /var/lib/samba/
* entrare nella cartella scompattata e copiare gli script nella cartella precedentemente creata, all'invito di comandi scrivere:
cd smbldap-tool-0.9.1
cp smbldap* configure.pl /var/lib/samba/sbin
* impostare i permessi corretti nella cartella /var/lib/samba/sbin, impartendo i seguenti comandi:
chmod 755 *
chmod 640 smbldap_bind.conf smbldap.conf smbldap_tools.pm
* infine rimuovere la cartella temporanea in cui è stato scompattato l'archivio.

Il toolkit IDEALX richiede moduli perl aggiuntivi che di default non sono sempre installati nel sistema.

* Andare sul [http://cpan.org sito] e scaricare i seguenti moduli perl (è disponibile un motore di ricerca interno):

** ''Crypt::SmbHash'';
** ''Digest::SHA1'';
** ''IO::Socket::SSL'';
** ''Net::SSLeay''.

* Scompattare tutti gli archivi appena scaricati usando questo comando:

for archivio in *; do tar -xvzf $archivio; done

* Compilare ed installare ( da root) ognuno dei quattro moduli, entrando ogni volta nella rispettiva cartella con i comandi:

perl Makefile.PL
make test
make install

=== Configurazione degli schema, delle chiavi ssl e delle cartelle usate da OpenLDAP ===

Chi usa un pacchetto precompilato ( rpm o tgz ) avrà la cartella /etc/openldap contenente il file di configurazione slapd.conf, prima di editare quel file è necessario copiare il file samba.schema nella cartella /etc/openldap/schema se non già presente! E impostare i permessi corretti:

chmod 644 /etc/openldap/schema/samba.schema

Potete usare locate oppure find per trovarlo, sulla mia Slackaware usando locate:

root@chrix:~# cd /etc/openldap
root@chrix:~# locate samba.schema
/etc/samba/samba.schema.oc.IBM-ds
/etc/samba/samba.schema.at.IBM-ds
/etc/samba/samba.schema
/etc/openldap/schema/samba.schema
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema.oc.IBM-ds
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema.at.IBM-ds
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema

Ora creare una cartella per il database di LDAP

mkdir -p /var/lib/ldap/miodominio.com
chmod 700 /var/lib/ldap/miodominio.com
chown ldap:ldap /var/lib/ldap/miodominio.com

In Fedora l'utente ldap viene creato all'installazione di OpenLDAP, in altre distribuzioni bisogna spesso crearlo a mano!

Infine creare le chiavi che OpenLDAP usa per la criptazione dei dati, per fare ciò è necessario il pacchetto OpenSSL già incluso nella maggior parte delle distribuzioni; altrimenti potete scaricarlo dal [http://www.openssl.org/ sito].

Questo howto descrive come autofirmare i propri cerficati (cioè essere una Certificate Authority: CA).

* Con il comando locate openssl.cnf individuare il file openssl.cnf ed editarlo a secondo la vostra configurazione, ad esempio cambiare il paese in IT, il nome dell'orgarnizazione in miodominio.com ( di default si trova in /etc/ssl/openssl.cnf );
* Nella stessa cartella di openssl.cnf digittare i seguenti comandi:

mkdir -p CA/certs CA/crl CA/newcerts CA/private
chmod 700 CA/private
touch CA/index.txt
echo 01 > CA/serial

* Creare il certificato della CA e la chiave con il comando:

openssl req -nodes -config openssl.cnf -new -x509 -keyout CA/private/cakey.pem -out CA/cacert.pem -days 3650

* Creare la chiave per OpenLDAP con questi comandi:

openssl req -config openssl.cnf -nodes -new -keyout /etc/openldap/slapd-key.pem -out slapd.csr
openssl ca -config openssl.cnf -out /etc/openldap/slapd-cert.pem -in slapd.csr

* Impostare i permessi corretti:

chown root:ldap /etc/openldap/slapd-key.pem
chmod 640 /etc/openldap/slapd-key.pem
chmod 644 /etc/openldap/slapd-cert.pem

* Copiare il certificato CA nella cartella di configurazione in modo vari apllicazioni possano accedervi:

cp CA/cacert.pem /etc/openldap
chmod 644 /etc/openldap/cacert.pem

* Configurare il file slapd.conf. Il demone di OpenLDAP si chiama slapd, e legge le configurazioni dal file slapd.conf, prima di editare quel file bisogna generare l'impronta della password per l'admin rootdn (root distinguished name), per fare ciò usare l'utility slappasswd come segue:

slappasswd -h {SSHA} -s password_desiderata

Salvare l'output di quel comando in un file ad esempio utilizzando le redirezioni “>”, perché verrà usato in seguito.

Con la mia Slackware ottengo:

root@chrix:/etc/openldap# slappasswd -h {SSHA} -s slacky123
{SSHA}edkSLDngACZohmpeSlzsz7/P8u3Hr4jD
root@chrix:/etc/openldap#

esempio di file /etc/openldap/slapd.conf da modificare in funzione della propria configurazione:

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#include /etc/openldap/schema/core.schema
include /etc/openldap/schema/samba.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
# Load dynamic backend modules:
# modulepath /usr/libexec/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# BDB database definitions
#######################################################################
database bdb
suffix "dc=chrix,dc=lan"
rootdn "cn=Manager,dc=chrix,dc=lan"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# qui la password con slappasswd
rootpw {SSHA}edkSLDngACZohmpeSlzsz7/P8u3Hr4jD
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/openldap-data
# Indices to maintain
index objectClass eq

=== Configurare /etc/ldap.conf ===

il file /etc/ldap.conf è usato dai client LDAP sul computer locale quali PAM che è l'interfaccia usata da samba per l'autenticazione via il server LDAP, il file ldap.conf da usare è quello impostato per funzionare con PAM, per sapere quale configurazione usare impartire i seguenti comandi:

strings /lib/libnss_ldap.so.2 | grep conf

il valore ritornato dovrebbe essere:

/etc/ldap.conf

Esempio di file /etc/ldap.conf da modificare in funzione della propria configurazione:

#$Id: ldap.conf,v 2.43 2005/05/25 00:05:08 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#
# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 127.0.0.1
# The distinguished name of the search base.
base dc=chrix,dc=lan
# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap://127.0.0.1/
uri ldaps://127.0.0.1/
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator
# The LDAP version to use (defaults to 3
# if supported by client library)
#ldap_version 3
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=Manager,dc=chrix,dc=lan
# The credentials to bind with.
# Optional: default is no credential.
bindpw {SSHA}gk/Q2Imacloss8Kobm6MvQF3MrHVZNnJ
# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbinddn cn=manager,dc=chrix,dc=lan
# The port.
# Optional: default is 389.
port 389
# The search scope.
#scope sub
#scope one
#scope base
# Search timelimit
#timelimit 30
# Bind/connect timelimit
#bind_timelimit 30
# Reconnect policy:
# hard_open: reconnect to DSA with exponential backoff if
# opening connection failed
# hard_init: reconnect to DSA with exponential backoff if
# initializing connection failed
# hard: alias for hard_open
# soft: return immediately on server failure
#bind_policy hard
# Idle timelimit; client will close connections
# (nss_ldap only) if the server has not been contacted
# for the number of seconds specified below.
#idle_timelimit 3600
# Pagesize: when configured with --enable-paged-results allow
# to set the pagesize to a custom value
#pagesize 1000
# Filter to AND with uid=%s
pam_filter objectclass=account
# The user ID attribute (defaults to uid)
pam_login_attribute uid
# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes
# Check the 'host' attribute for access control
# Default is no; if set to yes, and user has no
# value for the host attribute, and pam_ldap is
# configured for account management (authorization)
# then the user will not be allowed to login.
#pam_check_host_attr yes
# Check the 'authorizedService' attribute for access
# control
# Default is no; if set to yes, and the user has no
# value for the authorizedService attribute, and
# pam_ldap is configured for account management
# (authorization) then the user will not be allowed
# to login.
#pam_check_service_attr yes
# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com
# Group member attribute
#pam_member_attribute uniquemember
# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0
# Template login attribute, default template user
# (can be overriden by value of former attribute
# in user's entry)
#pam_login_attribute userPrincipalName
#pam_template_login_attribute uid
#pam_template_login nobody
# HEADS UP: the pam_crypt, pam_nds_passwd,
# and pam_ad_passwd options are no
# longer supported.
#
# If you are using XAD, you can set pam_password
# to racf, ad, or exop. Make sure that you have
# SSL enabled.
# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password clear
# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_password crypt
# Remove old password first, then update in
# cleartext. Necessary for use with Novell
# Directory Services (NDS)
#pam_password nds
# RACF is an alias for the above. For use with
# IBM RACF
#pam_password racf
# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
pam_password ad
# Use the OpenLDAP password change
# extended operation to update the password.
#pam_password exop
# Redirect users to a URL or somesuch on password
# changes.
#pam_password_prohibit_message Please visit http://internal to change your password.
# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=Users,dc=chrix,dc=lan?one
nss_base_passwd ou=Computers,dc=chrix,dc=lan?one
nss_base_shadow ou=Users,dc=chrix,dc=lan?one
nss_base_group ou=Groups,dc=chrix,dc=lan?one
#nss_base_hosts ou=Hosts,dc=padl,dc=com?one
#nss_base_services ou=Services,dc=padl,dc=com?one
#nss_base_networks ou=Networks,dc=padl,dc=com?one
#nss_base_protocols ou=Protocols,dc=padl,dc=com?one
#nss_base_rpc ou=Rpc,dc=padl,dc=com?one
#nss_base_ethers ou=Ethers,dc=padl,dc=com?one
#nss_base_netmasks ou=Networks,dc=padl,dc=com?ne
#nss_base_bootparams ou=Ethers,dc=padl,dc=com?one
#nss_base_aliases ou=Aliases,dc=padl,dc=com?one
#nss_base_netgroup ou=Netgroup,dc=padl,dc=com?one
# attribute/objectclass mapping
# Syntax:
#nss_map_attribute rfc2307attribute mapped_attribute
#nss_map_objectclass rfc2307objectclassmapped_objectclass
# configure --enable-nds is no longer supported.
# NDS mappings
#nss_map_attribute uniqueMember member
# Services for UNIX 3.5 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount User
#nss_map_attribute uid msSFU30Name
#nss_map_attribute uniqueMember msSFU30PosixMember
#nss_map_attribute userPassword msSFU30Password
#nss_map_attribute homeDirectory msSFU30HomeDirectory
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFU30Name
#pam_filter objectclass=User
#pam_password ad
# configure --enable-mssfu-schema is no longer supported.
# Services for UNIX 2.0 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid msSFUName
#nss_map_attribute uniqueMember posixMember
#nss_map_attribute userPassword msSFUPassword
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup Group
#nss_map_attribute cn msSFUName
#pam_login_attribute msSFUName
#pam_filter objectclass=User
#pam_password ad
# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad
# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword
# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
pam_password md5
# For pre-RFC2307bis automount schema
#nss_map_objectclass automountMap nisMap
#nss_map_attribute automountMapName nisMapName
#nss_map_objectclass automount nisObject
#nss_map_attribute automountKey cn
#nss_map_attribute automountInformation nisMapEntry
# Netscape SDK LDAPS
#ssl on
# Netscape SDK SSL options
#sslpath /etc/ssl/certs/cert7.db
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
ssl off
# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is to use libldap's default behavior, which can be configured in
# /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for
# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
#tls_checkpeer yes
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
#tls_cacertfile /etc/ssl/ca.cert
#tls_cacertdir /etc/ssl/certs
# Seed the PRNG if /dev/urandom is not provided
#tls_randfile /var/run/egd-pool
# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1
# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key
# Disable SASL security layers. This is needed for AD.
#sasl_secprops maxssf=0
# Override the default Kerberos ticket cache location.
#krb5_ccname FILE:/etc/.ldapcache

=== Configurare PAM ===

La Fedora core include un tool a riga di comando per la configurazione di PAM chiamato authconfig, gli utenti di altre distribuzioni possono usare il tool webmin, esiste un modulo perl per la configurazione di PAM.
oppure quelli più esperti possono editare a mano il file di configurazione.
Da shell digitare (per fedora core):

authconfig

e selezionare Use LDAP, Use MD5 Passwords, Use shadow Passwords e Use LDAP Authentication nelle impostazioni di LDAP, abilitare TLS, alla voce Server mettere l'indirizzo 127.0.0.1, e infine nella voce Base DN mettere i valori relativi alla vostra configurazione ad esempio: dc=miodominio,dc=com (sostituite “miodominio” e “com” con i valori che desiderate!)

Per Slackware:
;
spostarsi nella cartella /etc/pam.d
;
creare il file common-auth se già non esiste, e aggiungerci le seguenti righe:
#Autencicazione pam per ldap
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok shadow
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
#Account
account requisite pam_unix.so
account sufficient pam_localuser.so
account required pam_ldap.so
#Password
password required pam_cracklib.so retry=3
password sufficient pam_unix.so nullok use_authtok shadow md5
password sufficient pam_ldap.so use_authtok use_first_pass
password required pam_deny.so
#Session
session required pam_limits.so
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066
session optional pam_ldap.so

ora configuare /etc/nsswitch.conf, perché possa usare ldap per autenticare gli utenti
passwd: files ldap
group: files ldap
shadow: files ldap

=== Avviare OpenLDAP ===

su Fedora:

/etc/init.d/ldap start

su Slackware:

/etc/rc.d/rc.ldap start

== Configurazione di Samba ==

Se non è già presente nel sistema, è possibile scaricarlo dal [http://samba.org sito] oppure prelevare la versione precompilata per la propria distribuzione nei repository.

Esempio di file /etc/samba/smb.conf completo da modificare a seconda della vostra configurazione (ad esempio cambiare il percorso da /opt/IDEALX a /var/lib/samba/... )

# Global parameters
[global]
workgroup = TUX-NET
netbios name = PDC-SRV
security = user
enable privileges = yes
server string = Samba Server %v
encrypt passwords = Yes
min passwd length = 3
unix password sync = Yes
passwd program = /var/lib/samba/sbin/smbldap-passwd -u %u
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
log level = 0
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = 850
Unix charset = ISO8859-1
logon drive = H:
logon home =
logon path =
domain logons = Yes
domain master = Yes
os level = 65
preferred master = Yes
wins support = yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=Manager,dc=chrix,dc=lan
ldap suffix = dc=chrix,dc=lan
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
add user script = /var/lib/samba/sbin/smbldap-useradd -m "%u"
delete user script = /var/lib/samba/sbin/smbldap-userdel "%u"
add machine script = /var/lib/samba/sbin/smbldap-useradd -t 0 -w "%u"
add group script = /var/lib/samba/sbin/smbldap-groupadd -p "%g"
delete group script = /var/lib/samba/sbin/smbldap-groupdel "%g"
add user to group script = /var/lib/samba/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /var/lib/samba/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /var/lib/samba/sbin/smbldap-usermod -g '%g' '%u'
# printers configuration
printer admin = @"Print Operators"
load printers = Yes
create mask = 0640
directory mask = 0750
nt acl support = No
printing = cups
printcap name = cups
deadtime = 10
guest account = nobody
map to guest = Bad User
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes
; to maintain capital letters in shortcuts in any of the profile folders:
preserve case = yes
short preserve case = yes
case sensitive = no
[netlogon]
path = /home/netlogon/
browseable = No
read only = yes
#lo script logon.py permette di montare automaticamente i dischi all'accesso verrà discusso più avanti
root preexec = /home/netlogon/logon.py %U %I
[finanze]
path = /home/finanze
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[ricerca]
path = /home/ricerca
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[amministrazione]
path = /home/amministrazione
force group = amministrazione
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = yes
csc policy = disable
# next line is a great way to secure the profiles
#force user = %U
# next line allows administrator to access all profiles
#valid users = %U "Domain Admins"
[printers]
comment = Network Printers
printer admin = @"Print Operators"
guest ok = yes
printable = yes
path = /home/spool/
browseable = No
read only = Yes
printable = Yes
print command = /usr/bin/lpr -P%p -r %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
[print$]
path = /home/printers
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775

=== Impostare la password per l'accesso al database LDAP ===

smbpasswd -w la_vostra_password

Dovreste avere una risposta simile a questa:

setting stored password for “cn=Manager,dc=chrix,dc=lan” in secrets.tdb

Esempio di script scritto in python per montare automaticamente le home degli utenti/gruppi dopo all'accesso al dominio, da modificare a seconda della vostra configurazione!

#!/usr/bin/env python
"""
ntlogon.py written by Timothy (rhacer) Grant
Copyright 1999 - 2002 by Timothy Grant
is distributed under the terms of the GNU Public License.
The format for the configuration file is as follows:
While there is some room for confusion, we attempt to process things in
order of specificity: Global first, Group second, User third, OS Type
forth. This order can be debated forever, but it seems to make the most
sense.
# Everything in the Global section applies to all users logging on to the
# network
[Global]
@ECHO "Welcome to our network!!!"
NET TIME \\\\servername /SET /YES
NET USE F: \\\\servername\\globalshare /YES
# Map the private user area in the global section so we don't have to
# create individual user entries for each user!
NET USE U: \\\\servername\\%U /YES
# Group entries, User entries and OS entries each start with the
# keyword followed by a dash followed by--appropriately enough the Group
# name, the User name, or the OS name.
[Group-admin]
@ECHO "Welcome administrators!"
NET USE G: \\\\servername\\adminshare1 /YES
NET USE I: \\\\servername\\adminshare2 /YES
[Group-peons]
@ECHO "Be grateful we let you use computers!"
NET USE G: \\\\servername\\peonshare1 /YES
[Group-hackers]
@ECHO "What can I do for you today great one?"
NET USE G: \\\\servername\\hackershare1 /YES
NET USE I: \\\\servername\\adminshare2 /YES
[User-fred]
@ECHO "Hello there Fred!"
NET USE F: \\\\servername\\fredsspecialshare /YES
[OS-WfWg]
@ECHO "Time to upgrade it?"
# End configuration file
usage: ntlogon [-g | --group=groupname]
[-u | --user=username]
[-o | --os=osname]
[-m | --machine=netbiosname]
[-f | --templatefile=filename]
[-d | --dir=netlogon directory]
[-v | --version]
[-h | --help]
[--pause]
[--debug]
"""
#
#" This quote mark is an artifact of the inability of my editor to
# correctly colour code anything after the triple-quoted docstring.
# if your editor does not have this flaw, feel free to remove it.
import sys
import getopt
import re
import string
import os
version = "ntlogon.py v0.8"
def buildScript(buf, sections, group, user, ostype, machine, debug, pause):
"""
buildScript() Takes the contents of the template file and builds
a DOS batch file to be executed as an NT logon script. It does this
by determining which sections of the configuration file should be included
and creating a list object that contains each line contained in each
included section. The list object is then returned to the calling
routine.
All comments (#) are removed. A REM is inserted to show
which section of the configuration file each line comes from.
We leave blanklines as they are sometimes useful for debugging
We also replace all of the Samba macros (e.g., %U, %G, %a, %m) with their
expanded versions which have been passed to us by smbd
"""
hdrstring = ''
script = []
#
# These are the Samba macros that we currently know about.
# any user defined macros will also be added to this dictionary.
# We do not store the % sign as part of the macro name.
# The replace routine will prepend the % sign to all possible
# replacements.
#
macros = {
'U': user,
'G': group,
'a': ostype,
'm': machine
}
#
# Process each section defined in the list sections
#
for s in sections:
# print 'searching for: ' + s
idx = 0
while idx < len(buf):
ln = buf[idx]
#
# We need to set up a regex for each possible section we
# know about. This is slightly complicated due to the fact
# that section headers contain user defined text.
#
if s == 'Global':
hdrstring = '\[ *' + s + ' *\]'
elif s == 'Group':
hdrstring = '\[ *' + s + ' *- *' + group + ' *\]'
elif s == 'User':
hdrstring = '\[ *' + s + ' *- *' + user + ' *\]'
elif s == 'OS':
hdrstring = '\[ *' + s + ' *- *' + ostype + ' *\]'
elif s == 'Machine':
hdrstring = '\[ *' + s + ' *- *' + machine + ' *\]'
#
# See if we have found a section header
#
if re.search(r'(?i)' + hdrstring, ln):
idx = idx + 1 # increment the counter to move to the next line.
x = re.match(r'([^#\r\n]*)', ln) # Determine the section
# name and strip out CR/LF
# and comment information
if debug:
print 'rem ' + x.group(1) + ' commands'
else:
# create the rem at the beginning of each section of the
# logon script.
script.append('rem ' + x.group(1) + ' commands')
#
# process each line until we have found another section
# header
#
while not re.search(r'.*\[.*\].*', buf[idx]):
#
# strip comments and line endings
#
x = re.match(r'([^#\r\n]*)', buf[idx])
if string.strip(x.group(1)) != '' :
# if there is still content after stripping comments and
# line endings then this is a line to process
line = x.group(1)
#
# Check to see if this is a macro definition line
#
vardef = re.match(r'(.*)=(.*)', line)
if vardef:
varname = string.strip(vardef.group(1)) # Strip leading and
varsub = string.strip(vardef.group(2)) # and trailing spaces
if varname == '':
print "Error: No substition name specified line: %d" % idx
sys.exit(1)
if varsub == '':
print "Error: No substitution text provided line: %d" % idx
sys.exit(1)
if macros.has_key(varname):
print "Warning: macro %s redefined line: %d" % (varname, idx)
macros[varname] = varsub
idx = idx + 1
continue
#
# Replace all the macros that we currently
# know about.
#
# Iterate over the dictionary that contains all known
# macro substitutions.
#
# We test for a macro name by prepending % to each dictionary
# key.
#
for varname in macros.keys():
line = re.sub(r'%' + varname + r'(\W)',
macros[varname] + r'\1', line)
if debug:
print line
if pause:
print 'pause'
else:
script.append(line)
idx = idx + 1
if idx == len(buf):
break # if we have reached the end of the file
# stop processing.
idx = idx + 1 # increment the line counter
if debug:
print ''
else:
script.append('')
return script

# End buildScript()
def run():
"""
run() everything starts here. The main routine reads the command line
arguments, opens and reads the configuration file.
"""
configfile = '/etc/ntlogon.conf' # Default configuration file
group = '' # Default group
user = '' # Default user
ostype = '' # Default os
machine = '' # Default machine type
outfile = 'logon.bat' # Default batch file name
# this file name WILL take on the form
# username.bat if a username is specified
debug = 0 # Default debugging mode
pause = 0 # Default pause mode
outdir = '/usr/local/samba/netlogon/' # Default netlogon directory
sections = ['Global', 'Machine', 'OS', 'Group', 'User'] # Currently supported
# configuration file
# sections
options, args = getopt.getopt(sys.argv[1:], 'd:f:g:ho:u:m:v',
['templatefile=',
'group=',
'help',
'os=',
'user=',
'machine=',
'dir=',
'version',
'pause',
'debug'])
#
# Process the command line arguments
#
for i in options:
# template file to process
if (i[0] == '-f') or (i[0] == '--templatefile'):
configfile = i[1]
# print 'configfile = ' + configfile
# define the group to be used
elif (i[0] == '-g') or (i[0] == '--group'):
group = i[1]
# print 'group = ' + group
# define the os type
elif (i[0] == '-o') or (i[0] == '--os'):
ostype = i[1]
# print 'os = ' + os
# define the user
elif (i[0] == '-u') or (i[0] == '--user'):
user = i[1]
outfile = user + '.bat' # Setup the output file name
# print 'user = ' + user
# define the machine
elif (i[0] == '-m') or (i[0] == '--machine'):
machine = i[1]
# define the netlogon directory
elif (i[0] == '-d') or (i[0] == '--dir'):
outdir = i[1]
# print 'outdir = ' + outdir
# if we are asked to turn on debug info, do so.
elif (i[0] == '--debug'):
debug = 1
# print 'debug = ' + debug
# if we are asked to turn on the automatic pause functionality, do so
elif (i[0] == '--pause'):
pause = 1
# print 'pause = ' + pause
# if we are asked for the version number, print it.
elif (i[0] == '-v') or (i[0] == '--version'):
print version
sys.exit(0)
# if we are asked for help print the docstring.
elif (i[0] == '-h') or (i[0] == '--help'):
print __doc__
sys.exit(0)
#
# open the configuration file
#
try:
iFile = open(configfile, 'r')
except IOError:
print 'Unable to open configuration file: ' + configfile
sys.exit(1)
#
# open the output file
#
if not debug:
try:
oFile = open(outdir + outfile, 'w')
except IOError:
print 'Unable to open logon script file: ' + outdir + outfile
sys.exit(1)
buf = iFile.readlines() # read in the entire configuration file
#
# call the script building routine
#
script = buildScript(buf, sections, group, user, ostype, machine, debug, pause)
#
# write out the script file
#
if not debug:
for ln in script:
oFile.write(ln + '\r\n')
if pause:
if string.strip(ln) != '': # Because whitespace
oFile.write('pause' + '\r\n') # is a useful tool, we
# don't put pauses after
# an empty line.
# End run()
#
# immediate-mode commands, for drag-and-drop or execfile() execution

if __name__ == '__main__':
run()
else:
print "Module ntlogon.py imported."
print "To run, type: ntlogon.run()"
print "To reload after changes to the source, type: reload(ntlogon)"
#
# End NTLogon.py
#

=== Avviare Samba ===

su Fedora:

/etc/init.d/samba start

su Slackware:

/etc/rc.d/rc.samba start

== Inizializzazione del database di LDAP ==

Eseguire lo script configure.PL in /var/lib/samba/sbin ( o comunque dove avete scelto di salvarlo) poi popolare il database di ldap eseguendo lo script smbldap-populate per creare l'amminstratore del dominio, alcuni gruppi e vari altri elementi.

Creare i dischi condivisi e gli utenti per l'amministrazione di quelle condivisioni:

cd /var/lib/samba/sbin
./smbldap-groupadd ricerca
./smbldap-groupadd finanze
./smbldap-groupadd amministrazione
./smbldap-useradd -s /sbin/nologin -m -g ricerca ricerca
./smbldap-useradd -s /sbin/nologin -m -g finanze finanze
./smbldap-useradd -s /sbin/nologin -m -g amministrazione amministrazione

Aggiungere l'utente samba alla Directory con:

smbldap-useradd -s /bin/false -d /dev/null -P samba.

Impostare la password quando richiesta, nel file ldap.conf modificare il campo binddn con

uid=samba,ou=Users,dc=miodominio,dc=com e bindpw con la password di prima,

(cambaiate i parametri a seconda della vostra configurazione! io ho dc=chrix,dc=lan)

Dopo aver aggiunto alcuni utenti al sistema, potete aggiungere una workstation windows xp professional o windows 2000 al dominio.

Per semplicità potete usare un tool grafico come phpLdapAdmin per amministrare la Directory, Da shell, per aggiungere l'utente pippo al gruppo ricerca, la sintassi è la seguente:

smbldap-useradd -a -G “Domain Users”, ricerca pippo
smbldap-passwd pippo

Ora godetevi il vostro nuovo Directory Server! Soluzione meno costosa di RHEL... (Red Hat Enterprise Linux)

== Autore ==

è garantito il permesso di copiare e/o modifiacre questo documento secondo i termini della licenza per documentazione libera GNU v.1.1 o successiva pubblicata dalla Free Software Foundation.

autore: [[Utente:Chrix|Chrix]]

Utente:Chrix

2008-10-03T09:09:03Z

Chrix: /* contatti */

Utente:Chrix

2008-10-03T09:08:43Z

Chrix: /* contatti */

= About Me =
Nome: Christian Eric Edjenguele

Sopranome: Chrix

= Interessi =
* Sicurezza Informatica: Protezione Perimetrale, Web Application Secrurity, Security Assessment, Information Gathering, Network Ennumeration
* Linguaggi di Programmazione: Python, Java, C/C++
* Reti, DataBase e Sistemi Oprerativi

= contatti =
--[[Utente:Chrix|chrix]] 22:04, 27 Nov 2006 (CET)

* [http://www.linkedin.com/in/edjenguele Visualizza il mio profilo pubblico su linkedIn]

Slackware For Dummies Project

2008-08-31T19:22:10Z

Chrix: /* Gli argomenti nuovi */

= Slackware For Dummies Project =
Slackware For Dummies è un progetto ideato e gestito da Mauro Sacchetto che raccoglie circa 350 pagine di esperienze testate sulla famosa distribuzione
GNU/Linux Slackware. Per comodità e per aumentare l'importanza di questo testo abbiamo pensato di renderlo un'opera collettiva. Autore principale e
capo progetto rimane sempre Mauro Sacchetto, che avrà la responsabilità dei testi. Quindi il collaboratore dovrà stendere del testo, che poi verrà, se e dove necessario, modificato nel contenuto e nella forma per garantire l'omogeneità del lavoro.

= Formato e sorgenti =
Il formato finale dell'opera è il pdf, i sorgenti sono scritti in LaTeX, forse il migliore linguaggio di markup usato per la preparazione di testi
professionali. Di conseguenza, il risultato finale sarà un testo ben disposto, di facile lettura e adatto anche alla stampa/rilegatura. I sorgenti
sono disponibili a questo indirizzo http://www.slacky.eu/s4d/S4d_sources.tar.bz2, mentre l'ultimo pdf stabile è disponibile a questo indirizzo http://www.slacky.eu/s4d/S4d.pdf. Presto inseriremo anche i links delle versioni current.

= Collaborare con nuovi capitoli =
Nel capitolo successivo troverete un breve elenco dei nuovi argomenti da trattare. Se siete interessati a redigere uno dei capitoli proposti dovete
fare richiesta all'indirizzo mail '''s4d@slacky.it''' specificando i vostri dati (nome utente del forum e nome cognome), e quindi una breve introduzione su
come avete pensato di pianificare il vostro lavoro. Resta inteso che tutto quello che scrivete deve essere frutto di una esperienza testata sulla
Slackware Current, in modo tale da garantire al momento dell'uscita della nuova release stabile di Slackware anche la relativa documentazione.

= Gli argomenti nuovi =
<table border="0" width="100%">
<tr bgcolor="lightblue">
<td width="50%">
<div class="headings" align="center">Capitolo:</div>
</td>
<td width="30%">
<div class="headings" align="center">Prenotato da:</div>

</td>
<td width="20%">
<div class="headings" align="center">Stato:</div>
</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Nuovi servizi aggiunti in Slackware 12.0</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Configurazione del server X</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistema di montaggio dei dispositivi (hal)</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistemi di aggiornamento pacchetti (slackpkg)</td>
<td width="20%" align="center">Loris</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Introduzione alla sicurezza</td>
<td width="20%" align="center">Chrix</td>

<td width="50%" align="center">100%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Ssh</td>
<td width="20%" align="center">Puzuma</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Iptables</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Gruppi di default del sistema</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Manutenzione hd</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Caratteristiche e uso dei log</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Personalizzazione DVD Slackware</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sicurezza con NFS</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Dual boot con vista</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Wireless</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Bluetooth</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Qualche nuovo tip&trick</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Tecnica base di compilazione del kernel</td>
<td width="20%" align="center">Bart</td>

<td width="50%" align="center">50%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Multimedia, gestire i file sonori, video e multimediali</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Appendice "come fare cosa"</td>
<td width="20%" align="center">Mauro Sacchetto</td>

<td width="50%" align="center">Da fare</td>
</tr>
</table><br>

= Proposte di ampliamento =
I temi già proposti in questa pagina costituiscono un notevole aggiornamento e ampliamento della passata edizione di "S4d". In ogni caso, è possibile
proporre altri temi, soprattutto da parte di coloro che volessero poi assumersi l'impegno di svilupparne la trattazione.

= Revisione old version=
In linea di massima la versione attuale, basata sulla Slackware 11.0, è compatibile con la versione 12.0/current ma sicuramente ci sono delle parti che vanno modificate. Il metodo migliore per proporre le modifiche è il diff dei sorgenti, mi spiego meglio. Scaricate i sorgenti
wget http://www.slacky.eu/s4d/S4d_sources.tar.bz2
scompattate
tar xjf S4d_sources.tar.bz2
vi spostate all'interno della dir
cd s4d_source
modificate il capitolo (vedi estensione .tex) con il vostro editor preferito, salvate con l'estensione .new e generate il file .diff
diff -u file_originale.tex file_modificato.tex.new > file_originale.tex.diff
a questo punto dovete solo inviare il file file_originale.tex.diff a questo indirizzo '''s4d@slacky.it'''

= Contatti e forum =
Mauro Sacchetto mauro.sacchetto@gmail.com

Loris Vincenzi slacky@slacky.it

[http://www.slacky.eu/forum/viewforum.php?f=12 Wikislacky]

Utente:Chrix

2008-08-20T13:50:54Z

Chrix: /* contatti */

Slackware For Dummies Project

2008-08-20T13:48:20Z

Chrix: /* Gli argomenti nuovi */

= Slackware For Dummies Project =
Slackware For Dummies è un progetto ideato e gestito da Mauro Sacchetto che raccoglie circa 350 pagine di esperienze testate sulla famosa distribuzione
GNU/Linux Slackware. Per comodità e per aumentare l'importanza di questo testo abbiamo pensato di renderlo un'opera collettiva. Autore principale e
capo progetto rimane sempre Mauro Sacchetto, che avrà la responsabilità dei testi. Quindi il collaboratore dovrà stendere del testo, che poi verrà, se e dove necessario, modificato nel contenuto e nella forma per garantire l'omogeneità del lavoro.

= Formato e sorgenti =
Il formato finale dell'opera è il pdf, i sorgenti sono scritti in LaTeX, forse il migliore linguaggio di markup usato per la preparazione di testi
professionali. Di conseguenza, il risultato finale sarà un testo ben disposto, di facile lettura e adatto anche alla stampa/rilegatura. I sorgenti
sono disponibili a questo indirizzo http://www.slacky.eu/s4d/S4d_sources.tar.bz2, mentre l'ultimo pdf stabile è disponibile a questo indirizzo http://www.slacky.eu/s4d/S4d.pdf. Presto inseriremo anche i links delle versioni current.

= Collaborare con nuovi capitoli =
Nel capitolo successivo troverete un breve elenco dei nuovi argomenti da trattare. Se siete interessati a redigere uno dei capitoli proposti dovete
fare richiesta all'indirizzo mail '''s4d@slacky.it''' specificando i vostri dati (nome utente del forum e nome cognome), e quindi una breve introduzione su
come avete pensato di pianificare il vostro lavoro. Resta inteso che tutto quello che scrivete deve essere frutto di una esperienza testata sulla
Slackware Current, in modo tale da garantire al momento dell'uscita della nuova release stabile di Slackware anche la relativa documentazione.

= Gli argomenti nuovi =
<table border="0" width="100%">
<tr bgcolor="lightblue">
<td width="50%">
<div class="headings" align="center">Capitolo:</div>
</td>
<td width="30%">
<div class="headings" align="center">Prenotato da:</div>

</td>
<td width="20%">
<div class="headings" align="center">Stato:</div>
</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Nuovi servizi aggiunti in Slackware 12.0</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Configurazione del server X</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistema di montaggio dei dispositivi (hal)</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistemi di aggiornamento pacchetti (slackpkg)</td>
<td width="20%" align="center">Loris</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Introduzione alla sicurezza</td>
<td width="20%" align="center">Chrix</td>

<td width="50%" align="center">99%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Ssh</td>
<td width="20%" align="center">Puzuma</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Iptables</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Gruppi di default del sistema</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Manutenzione hd</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Caratteristiche e uso dei log</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Personalizzazione DVD Slackware</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sicurezza con NFS</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Dual boot con vista</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Wireless</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Bluetooth</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Qualche nuovo tip&trick</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Tecnica base di compilazione del kernel</td>
<td width="20%" align="center">Bart</td>

<td width="50%" align="center">50%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Multimedia, gestire i file sonori, video e multimediali</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Appendice "come fare cosa"</td>
<td width="20%" align="center">Mauro Sacchetto</td>

<td width="50%" align="center">Da fare</td>
</tr>
</table><br>

= Proposte di ampliamento =
I temi già proposti in questa pagina costituiscono un notevole aggiornamento e ampliamento della passata edizione di "S4d". In ogni caso, è possibile
proporre altri temi, soprattutto da parte di coloro che volessero poi assumersi l'impegno di svilupparne la trattazione.

= Revisione old version=
In linea di massima la versione attuale, basata sulla Slackware 11.0, è compatibile con la versione 12.0/current ma sicuramente ci sono delle parti che vanno modificate. Il metodo migliore per proporre le modifiche è il diff dei sorgenti, mi spiego meglio. Scaricate i sorgenti
wget http://www.slacky.eu/s4d/S4d_sources.tar.bz2
scompattate
tar xjf S4d_sources.tar.bz2
vi spostate all'interno della dir
cd s4d_source
modificate il capitolo (vedi estensione .tex) con il vostro editor preferito, salvate con l'estensione .new e generate il file .diff
diff -u file_originale.tex file_modificato.tex.new > file_originale.tex.diff
a questo punto dovete solo inviare il file file_originale.tex.diff a questo indirizzo '''s4d@slacky.it'''

= Contatti e forum =
Mauro Sacchetto mauro.sacchetto@gmail.com

Loris Vincenzi slacky@slacky.it

[http://www.slacky.eu/forum/viewforum.php?f=12 Wikislacky]

Slackware For Dummies Project

2008-08-19T17:24:32Z

Chrix: /* Gli argomenti nuovi */

= Slackware For Dummies Project =
Slackware For Dummies è un progetto ideato e gestito da Mauro Sacchetto che raccoglie circa 350 pagine di esperienze testate sulla famosa distribuzione
GNU/Linux Slackware. Per comodità e per aumentare l'importanza di questo testo abbiamo pensato di renderlo un'opera collettiva. Autore principale e
capo progetto rimane sempre Mauro Sacchetto, che avrà la responsabilità dei testi. Quindi il collaboratore dovrà stendere del testo, che poi verrà, se e dove necessario, modificato nel contenuto e nella forma per garantire l'omogeneità del lavoro.

= Formato e sorgenti =
Il formato finale dell'opera è il pdf, i sorgenti sono scritti in LaTeX, forse il migliore linguaggio di markup usato per la preparazione di testi
professionali. Di conseguenza, il risultato finale sarà un testo ben disposto, di facile lettura e adatto anche alla stampa/rilegatura. I sorgenti
sono disponibili a questo indirizzo http://www.slacky.eu/s4d/S4d_sources.tar.bz2, mentre l'ultimo pdf stabile è disponibile a questo indirizzo http://www.slacky.eu/s4d/S4d.pdf. Presto inseriremo anche i links delle versioni current.

= Collaborare con nuovi capitoli =
Nel capitolo successivo troverete un breve elenco dei nuovi argomenti da trattare. Se siete interessati a redigere uno dei capitoli proposti dovete
fare richiesta all'indirizzo mail '''s4d@slacky.it''' specificando i vostri dati (nome utente del forum e nome cognome), e quindi una breve introduzione su
come avete pensato di pianificare il vostro lavoro. Resta inteso che tutto quello che scrivete deve essere frutto di una esperienza testata sulla
Slackware Current, in modo tale da garantire al momento dell'uscita della nuova release stabile di Slackware anche la relativa documentazione.

= Gli argomenti nuovi =
<table border="0" width="100%">
<tr bgcolor="lightblue">
<td width="50%">
<div class="headings" align="center">Capitolo:</div>
</td>
<td width="30%">
<div class="headings" align="center">Prenotato da:</div>

</td>
<td width="20%">
<div class="headings" align="center">Stato:</div>
</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Nuovi servizi aggiunti in Slackware 12.0</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Configurazione del server X</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistema di montaggio dei dispositivi (hal)</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistemi di aggiornamento pacchetti (slackpkg)</td>
<td width="20%" align="center">Loris</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Introduzione alla sicurezza</td>
<td width="20%" align="center">Chrix</td>

<td width="50%" align="center">90%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Ssh</td>
<td width="20%" align="center">Puzuma</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Iptables</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Gruppi di default del sistema</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Manutenzione hd</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Caratteristiche e uso dei log</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Personalizzazione DVD Slackware</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sicurezza con NFS</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Dual boot con vista</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Wireless</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Bluetooth</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Qualche nuovo tip&trick</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Tecnica base di compilazione del kernel</td>
<td width="20%" align="center">Bart</td>

<td width="50%" align="center">50%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Multimedia, gestire i file sonori, video e multimediali</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Appendice "come fare cosa"</td>
<td width="20%" align="center">Mauro Sacchetto</td>

<td width="50%" align="center">Da fare</td>
</tr>
</table><br>

= Proposte di ampliamento =
I temi già proposti in questa pagina costituiscono un notevole aggiornamento e ampliamento della passata edizione di "S4d". In ogni caso, è possibile
proporre altri temi, soprattutto da parte di coloro che volessero poi assumersi l'impegno di svilupparne la trattazione.

= Revisione old version=
In linea di massima la versione attuale, basata sulla Slackware 11.0, è compatibile con la versione 12.0/current ma sicuramente ci sono delle parti che vanno modificate. Il metodo migliore per proporre le modifiche è il diff dei sorgenti, mi spiego meglio. Scaricate i sorgenti
wget http://www.slacky.eu/s4d/S4d_sources.tar.bz2
scompattate
tar xjf S4d_sources.tar.bz2
vi spostate all'interno della dir
cd s4d_source
modificate il capitolo (vedi estensione .tex) con il vostro editor preferito, salvate con l'estensione .new e generate il file .diff
diff -u file_originale.tex file_modificato.tex.new > file_originale.tex.diff
a questo punto dovete solo inviare il file file_originale.tex.diff a questo indirizzo '''s4d@slacky.it'''

= Contatti e forum =
Mauro Sacchetto mauro.sacchetto@gmail.com

Loris Vincenzi slacky@slacky.it

[http://www.slacky.eu/forum/viewforum.php?f=12 Wikislacky]

Slackware For Dummies Project

2008-08-18T13:08:43Z

Chrix: /* Gli argomenti nuovi */

= Slackware For Dummies Project =
Slackware For Dummies è un progetto ideato e gestito da Mauro Sacchetto che raccoglie circa 350 pagine di esperienze testate sulla famosa distribuzione
GNU/Linux Slackware. Per comodità e per aumentare l'importanza di questo testo abbiamo pensato di renderlo un'opera collettiva. Autore principale e
capo progetto rimane sempre Mauro Sacchetto, che avrà la responsabilità dei testi. Quindi il collaboratore dovrà stendere del testo, che poi verrà, se e dove necessario, modificato nel contenuto e nella forma per garantire l'omogeneità del lavoro.

= Formato e sorgenti =
Il formato finale dell'opera è il pdf, i sorgenti sono scritti in LaTeX, forse il migliore linguaggio di markup usato per la preparazione di testi
professionali. Di conseguenza, il risultato finale sarà un testo ben disposto, di facile lettura e adatto anche alla stampa/rilegatura. I sorgenti
sono disponibili a questo indirizzo http://www.slacky.eu/s4d/S4d_sources.tar.bz2, mentre l'ultimo pdf stabile è disponibile a questo indirizzo http://www.slacky.eu/s4d/S4d.pdf. Presto inseriremo anche i links delle versioni current.

= Collaborare con nuovi capitoli =
Nel capitolo successivo troverete un breve elenco dei nuovi argomenti da trattare. Se siete interessati a redigere uno dei capitoli proposti dovete
fare richiesta all'indirizzo mail '''s4d@slacky.it''' specificando i vostri dati (nome utente del forum e nome cognome), e quindi una breve introduzione su
come avete pensato di pianificare il vostro lavoro. Resta inteso che tutto quello che scrivete deve essere frutto di una esperienza testata sulla
Slackware Current, in modo tale da garantire al momento dell'uscita della nuova release stabile di Slackware anche la relativa documentazione.

= Gli argomenti nuovi =
<table border="0" width="100%">
<tr bgcolor="lightblue">
<td width="50%">
<div class="headings" align="center">Capitolo:</div>
</td>
<td width="30%">
<div class="headings" align="center">Prenotato da:</div>

</td>
<td width="20%">
<div class="headings" align="center">Stato:</div>
</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Nuovi servizi aggiunti in Slackware 12.0</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Configurazione del server X</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistema di montaggio dei dispositivi (hal)</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistemi di aggiornamento pacchetti (slackpkg)</td>
<td width="20%" align="center">Loris</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Introduzione alla sicurezza</td>
<td width="20%" align="center">Chrix</td>

<td width="50%" align="center">80%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Ssh</td>
<td width="20%" align="center">Puzuma</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Iptables</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Gruppi di default del sistema</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Manutenzione hd</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Caratteristiche e uso dei log</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Personalizzazione DVD Slackware</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sicurezza con NFS</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Dual boot con vista</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Wireless</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Bluetooth</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Qualche nuovo tip&trick</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Tecnica base di compilazione del kernel</td>
<td width="20%" align="center">Bart</td>

<td width="50%" align="center">50%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Multimedia, gestire i file sonori, video e multimediali</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Appendice "come fare cosa"</td>
<td width="20%" align="center">Mauro Sacchetto</td>

<td width="50%" align="center">Da fare</td>
</tr>
</table><br>

= Proposte di ampliamento =
I temi già proposti in questa pagina costituiscono un notevole aggiornamento e ampliamento della passata edizione di "S4d". In ogni caso, è possibile
proporre altri temi, soprattutto da parte di coloro che volessero poi assumersi l'impegno di svilupparne la trattazione.

= Revisione old version=
In linea di massima la versione attuale, basata sulla Slackware 11.0, è compatibile con la versione 12.0/current ma sicuramente ci sono delle parti che vanno modificate. Il metodo migliore per proporre le modifiche è il diff dei sorgenti, mi spiego meglio. Scaricate i sorgenti
wget http://www.slacky.eu/s4d/S4d_sources.tar.bz2
scompattate
tar xjf S4d_sources.tar.bz2
vi spostate all'interno della dir
cd s4d_source
modificate il capitolo (vedi estensione .tex) con il vostro editor preferito, salvate con l'estensione .new e generate il file .diff
diff -u file_originale.tex file_modificato.tex.new > file_originale.tex.diff
a questo punto dovete solo inviare il file file_originale.tex.diff a questo indirizzo '''s4d@slacky.it'''

= Contatti e forum =
Mauro Sacchetto mauro.sacchetto@gmail.com

Loris Vincenzi slacky@slacky.it

[http://www.slacky.eu/forum/viewforum.php?f=12 Wikislacky]

Slackware For Dummies Project

2008-08-07T12:00:46Z

Chrix: /* Gli argomenti nuovi */

= Slackware For Dummies Project =
Slackware For Dummies è un progetto ideato e gestito da Mauro Sacchetto che raccoglie circa 350 pagine di esperienze testate sulla famosa distribuzione
GNU/Linux Slackware. Per comodità e per aumentare l'importanza di questo testo abbiamo pensato di renderlo un'opera collettiva. Autore principale e
capo progetto rimane sempre Mauro Sacchetto, che avrà la responsabilità dei testi. Quindi il collaboratore dovrà stendere del testo, che poi verrà, se e dove necessario, modificato nel contenuto e nella forma per garantire l'omogeneità del lavoro.

= Formato e sorgenti =
Il formato finale dell'opera è il pdf, i sorgenti sono scritti in LaTeX, forse il migliore linguaggio di markup usato per la preparazione di testi
professionali. Di conseguenza, il risultato finale sarà un testo ben disposto, di facile lettura e adatto anche alla stampa/rilegatura. I sorgenti
sono disponibili a questo indirizzo http://www.slacky.eu/s4d/S4d_sources.tar.bz2, mentre l'ultimo pdf stabile è disponibile a questo indirizzo http://www.slacky.eu/s4d/S4d.pdf. Presto inseriremo anche i links delle versioni current.

= Collaborare con nuovi capitoli =
Nel capitolo successivo troverete un breve elenco dei nuovi argomenti da trattare. Se siete interessati a redigere uno dei capitoli proposti dovete
fare richiesta all'indirizzo mail '''s4d@slacky.it''' specificando i vostri dati (nome utente del forum e nome cognome), e quindi una breve introduzione su
come avete pensato di pianificare il vostro lavoro. Resta inteso che tutto quello che scrivete deve essere frutto di una esperienza testata sulla
Slackware Current, in modo tale da garantire al momento dell'uscita della nuova release stabile di Slackware anche la relativa documentazione.

= Gli argomenti nuovi =
<table border="0" width="100%">
<tr bgcolor="lightblue">
<td width="50%">
<div class="headings" align="center">Capitolo:</div>
</td>
<td width="30%">
<div class="headings" align="center">Prenotato da:</div>

</td>
<td width="20%">
<div class="headings" align="center">Stato:</div>
</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Nuovi servizi aggiunti in Slackware 12.0</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Configurazione del server X</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistema di montaggio dei dispositivi (hal)</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sistemi di aggiornamento pacchetti (slackpkg)</td>
<td width="20%" align="center">Loris</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Introduzione alla sicurezza</td>
<td width="20%" align="center">Chrix</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Ssh</td>
<td width="20%" align="center">Puzuma</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Iptables</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Gruppi di default del sistema</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Manutenzione hd</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Caratteristiche e uso dei log</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Personalizzazione DVD Slackware</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Sicurezza con NFS</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Dual boot con vista</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Wireless</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Bluetooth</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Qualche nuovo tip&trick</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Tecnica base di compilazione del kernel</td>
<td width="20%" align="center">Bart</td>

<td width="50%" align="center">50%</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Multimedia, gestire i file sonori, video e multimediali</td>
<td width="20%" align="center">Nessuno</td>

<td width="50%" align="center">Da fare</td>
</tr>
<tr bgcolor="#f5fbff">
<td width="30%">Appendice "come fare cosa"</td>
<td width="20%" align="center">Mauro Sacchetto</td>

<td width="50%" align="center">Da fare</td>
</tr>
</table><br>

= Proposte di ampliamento =
I temi già proposti in questa pagina costituiscono un notevole aggiornamento e ampliamento della passata edizione di "S4d". In ogni caso, è possibile
proporre altri temi, soprattutto da parte di coloro che volessero poi assumersi l'impegno di svilupparne la trattazione.

= Revisione old version=
In linea di massima la versione attuale, basata sulla Slackware 11.0, è compatibile con la versione 12.0/current ma sicuramente ci sono delle parti che vanno modificate. Il metodo migliore per proporre le modifiche è il diff dei sorgenti, mi spiego meglio. Scaricate i sorgenti
wget http://www.slacky.eu/s4d/S4d_sources.tar.bz2
scompattate
tar xjf S4d_sources.tar.bz2
vi spostate all'interno della dir
cd s4d_source
modificate il capitolo (vedi estensione .tex) con il vostro editor preferito, salvate con l'estensione .new e generate il file .diff
diff -u file_originale.tex file_modificato.tex.new > file_originale.tex.diff
a questo punto dovete solo inviare il file file_originale.tex.diff a questo indirizzo '''s4d@slacky.it'''

= Contatti e forum =
Mauro Sacchetto mauro.sacchetto@gmail.com

Loris Vincenzi slacky@slacky.it

[http://www.slacky.eu/forum/viewforum.php?f=12 Wikislacky]

Utente:Chrix

2008-05-19T19:36:25Z

Chrix: /* contatti */

Utente:Chrix

2008-05-19T11:56:57Z

Chrix: /* contatti */

Utente:Chrix

2008-05-19T11:56:29Z

Chrix: /* contatti */

= About Me =
Nome: Christian Eric Edjenguele

Sopranome: Chrix

= Interessi =
* Sicurezza Informatica: Protezione Perimetrale, Web Application Secrurity, Security Assessment, Information Gathering, Network Ennumeration
* Linguaggi di Programmazione: Python, Java, C/C++
* Reti, DataBase e Sistemi Oprerativi

= contatti =
--[[Utente:Chrix|chrix]] 22:04, 27 Nov 2006 (CET)

* [http://http://www.linkedin.com/in/edjenguele Il mio profilo pubblico su linkedIn]
[mailto:chrix@slacky.it chrix@slacky.it]

2006-11-16T13:50:22Z

Chrix: /* APPENDICE A */

[[Category:Networking]]
= Introduzione =
Firestater è un frontend grafico basato su GTK+/gnome ai vari sottoinsiemi per il firewalling disponibili nel kernel di Linux, per esempio Netfilter. E' nato per
fornire un funzionale pratico ma tuttavia semplice approccio per le tecnologie di firewalling avanzzate.
Questo documento descrive le versioni 1.0 e successivamente di firestarter. Dovrebbeessere considerato come "work in progress".

== Firewalls in una nutshell ==

I firewall sono perlopiù usati nei PC che fungono da gateway per le connessioni ad internet. Uno dei requisiti fondamentali del firewall deve essere quella di protegere da una serie di attacchi i calcolatori. Firestarter può essere installato su una macchina diversa dal gateway per fornire le funzioni di firewalling anche solo per un segmento di LAN, o può essere installato su singole stazioni di lavoro Linux.
La sicurezza è un processo non un prodotto. Un firewall non garantisce la sicurezza ma è nella maggior parte degli ambienti la prima linea di difesa contro i crackers.

== Caratteristiche di Firestarter ==
Facile da usare, tuttavia potente.
* interfaccia grafica facile da usare e ottimizzata per GNOME 2
* wizard ed assistenti per essere utile sia ai principianti che agli esperti
* Temi e regolazioni globali per GNOME
* Traduzione disponibili per molte lingue (25 lingue a partire da luglio del 2002)

= Concetti Avanzzati del Firewalling =
* Ha preimpostate delle regole interne, ma accetta anche quelle prestabilite dall'utente
* Filtrazione incorporata delle backdoors conosciute e dei Trojan
* Contributo alla configurazione dei servizi
* Sostegno per la sintonizzazione dei parametri dell'ICMP per arrestare gli attachi di interruzione del servizio (DOS)
* Sostegno per la sintonizzazione dei parametri del TOS per migliorare i servizi per i calcolatori collegati in rete
* Sostegno per le funzioni di NAT e port fowarding

Caratteristiche di sintonia del Kernel Avanzzate

* Sostiene "Sysctl" dei glibc per la protezione del firewall contro il flooding, broadcasting e spoofing
* Kernel supportati: 2.4.x e 2.6.x

E molto più

= Installazione =

Installazione dei pacchetti precompilati
Firestarter è convenientemente disponibile in un pacchetto precompilato per le distribuzioni di Linux basate su precompilato come Red Hat, Mandriva e Slackware.
Una volta che avete trasferito il pacchetto di firestater dal server, aprite un termila e andate nella directory dove avete scaricato il precompilato. Scivete i
seguenti comandi per installare il pacchetto:

[bash]$ su
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# rpm -Uvh firestarter*.rpm

Eccetto tutte le dipendenze insolute o altri problemi, firestarter dovrebbe ora essere installato.

Installando dai .DEB
Firestarter è stao creato in Debiam e può essere trasferito ed installato per mezzo di apt-get semplicemente scrivendo
apt-get install firestarter

Installando in Gentoo
Firestarter è completamente sostenuto nella distribuzione Gentoo dal sistema '''portage''', per installare il programma, eseguite:
emerge firestarter

compilando ed installando dal sorgente
Scompattare il tarball ed entrare nella directory appena creata:
[bash]$ tar -xvzf firestarter-versione.tar.gz
[bash]$ cd firestarter
eseguite lo script '''configure", digittando '''./configure --help''' verrano mostrate tutte le opzioni disponibili.
[bash]$ ./configure --sysconfdir=/etc

Con l'opzione impostata, firestarter installerà i file di configurazione in '''/etc/firestarter'''. Di default, firestarter sarà installato nella directory '''/usr/local'''
Se la fase di compilazione viene completata senza problemi potete compilare ed installare il program,ma:
[bash]$ make
[bash]$ su
Password [vostra password di root seguita dalla pressine del tasto "invio"]
[bash]# make install

Il passaggio '''make instaòll''' è opzionale, potete tranquillamente eseguire firestarter dalla directory '''src'''.
se volete usufruire degli stessi privilegi che potete avere installando dai pacchetti, ma avete compiltato a mano, eseuite '''./postinstall'''. E' uno script
che aggiunge firestarter ai processi caricati all'avvio.

Installare in Slackware
Io personalmente, consiglio di usare '''swaret''' come tool d'intallazione. E' molto semplice da usare e da configurare, ed inoltre risolve in modo automatico
eventuali dipendenze. Se avete settato come repository '''slacky.it''' (vi rimando al sito per maggiori informazioni e dettagli per come fare http://www.slacky.it).
dopo un
# swaret --update
Possiamo installare firestarter con questo comando:
# swaret --install firestarter

== Iniziare ==
Se avete installato firestarter da un pacchetto binario come il DEB o il TGZ, ci sarà un icona del programma di firestarter nel menu di applicazioni di GNOME,
sotto il menu internet. se non avate questa icona, eseguite '''firestarter''' da un terminale o dal menu di funzionamento di GNOME (ALT-F2).

1. Dare la password di root quando fate partire firestarter, il sistema può chiedervi la parola d'accesso per l'utente root. se non riuscite ad inserire la password
di root (o non la conoscete) bisognerà far partire firestarter direttamente dal terminale di root. ciò si fa solitamente con '''su -'''. usate "'''man'''"
per maggiori informazioni. Per una maggiore versatilità, in KDE possiamo cliccare sull'icona "'''K'''" e inserire come comando, "'''kdesu firestarter'''"
per evitare di occupare una shell.

2. Finestra di configurazione automatica
La prima volta che avviate firestarter dovreste trovarvi davanti alla finestra di configurazione automatica. Premi il tasto foward per continuare.

3. Configurazione dell'interfaccia di rete collegata all'esterno
L'interfaccia di rete collegata all'esterno, è quella collegata ad internet. Se non avete le schede di rete multiple, modem o configurazioni VPN, va bene il valore suggerito
Gli utenti collegati a voi (LAN, DSL o CAVO) dovrebbero permettere l'opzione di rilevamento del DHCP. ci sono molte altre opzioni nel wizard,
che conoscerete quando diventerete più esperti. Per la vostra prima volta tuttavvia potete continuare a semplicemente premere il tasto di andata fino a
completare il wizard.

Ora l'interfaccia grafica principale del programma vi sarà mostrata, e sarete liberi di esplorare le funzioni principali del programma ed iniziare a modificare il firewall.
O anche sedersi comodo e guardare il firewall fare il suo lavoro :)

Se non avete nessun link nel menu, potete aprire una shell e dare "'''kdesu firestarter'''" o loggarvi come root e dare "'''firestarter'''".

== I componenti di firestarter ==
L'interfaccia grafica principale di firestarter è divisa in sottosezioni denominate linguette. Attualmente tre linguette sono disponibili:
* La linguetta dove è possibile vedere le hits:
cioè dove i pacchetti di dati che si ottengono vengono arrestati dal firewall sono annotati. Potete realizzare le azioni su una hit, come ad esempio
trasformarlo in una regola che interesserà tutti i pacchetti futuri.

* La linguetta delle regole
è la sezione che modella il firewall, la sala di controllo di tutto il trafico della rete.

Oltre l'interfaccia principale ci sono altre due sezioni di interesse:

Il wizard è la prima cosa che vedete quando avviate per la prima volta firestarter. Permette il cambiamento rapido di un'ampia varietà di tregolazioni che
controllano il firewall
Le prferenze, che contengono tutte le opzioni necessarie a modificare/personalizzare il firewall. Sia l'interfaccia utente che la parte refrattaria possono
essere modificate di qui.

== Esecuzione del Firewall ==
Una domanda frequente è: in che stato è il firewall quando non viene lanciato firestarter? La risposta breve è: dipende. se firestarter è stato installato con
pacchetti precompilati il firewall rimarrà sempre in esecuzione (tranne per gli utenti dial-up), perfino dopo un reboot. In questi casi il firewall è in esecuzione come
un servizio e può essere gestito usando il servizio standard di sistema Linux e i tool di gestione dei runlevel.
se firestarter è stato compilato ed installato da sorgente e si sta usando una distribuzione come Red Hat o Mandriva, bisognerebbe eseguire il "postinstall" script,
disponibile tra i sorgenti di firestarter, ottenendo gli stessi effetti di un'installazione tramite pacchetti precompilato o DEB.
Il firewall rimarrà persistente dopo un reboot e sarà generato uno script di init.
Se firestarter è stato compilato da sorgente ma non si usa una distribuzione come Red Hat o Mandriva, il firewall sarà attivo dal suo avvio fino al reboot successivo.
Vedere più avanti la sezione riguardante l'avvio manuale di firestarter per aumentare la copertura del firewall.
In aggiunta ai componenti descritti sopra, l'uso di un demone DHCP aumenta ulteriormente la copertura.Quando al disposito di rete collegato al sevizio DHCP viene
assegnato un indirizzo ip ( sia quando si connette per la prima volta sia quando l'indirizzo viene rinnovato) il firewall viene aggiornato. Da notare che questo
succede persino se il firewall è stato precedentemente stoppato da firestarter o dagli script di init. attualmente questo servizio è usufruibile usando DHCPD
oppure un programma '''dhcp-client''' (forniti dalla maggioranza delle distribuzioni).

== Gli script di init del sistema ==
Firestarter è distribuito con uno script nello stile SysV per gestire il firewall. Gli script forniscono le seguenti funzioni:
* Start: avvia il firewall
* Stop: ferma il firewall
* Status: dà un'accurata descrizione dello stato interno del firewall
* restart: ferma, poi avvia il firewall
* panic: blocca il firewall

Queste funzioni possono essere invocate aggiungendole come parametri allo script. Ad esempio, è possibile avviare
firestarter con "firestarter start". La maggior parte delle distribuzioni, inoltre includono dei tpools come
"chkconfig", per gestire gli script di servizio. Questi tools consentono di cambiare la priotà d'avvio e molti parametri
dei servizi.

== Lanciare il firewall all'avvio ==
Aggiungere la riga "'''/usr/bin/firestarter -s". che rappresenta lo script di attivazione del firewall.
Sulle distribuzioni SysV-based (come slackware) questo script è il file "'''/etc/rc.d/rc.local'''".

== Dial-Up ==
Il firewall deve essere avviato dopo che è stata stabilita la connessione con il proprio ISP.
Nel wizard di firestarter esiste un'opzione per avviare automaticamente il firewall.
Quest'opzione non funziona con qualche dialer. Per esempio,se si sta usando l'applicazione dialer Kppp si dovrà
settare il dialer per fargli avviare firestarter dopo che la connessione è stata stabilita.
Kppp include un'opzione per lanciare gli script solo quando la connessione è stata stabilita.

= Configurare firestarter =
Eccoci alla parte più interessante dell'Howto. Abbiamo già visto come è possibile utilizzare il wizard:
ore ci addenteremo nella configurazione più avanzzata.
Partiamo subito:
Edit--> Preferences.
Tralascio le configurazioni per l'interfaccia grafica (comandi facilmente intuibili e assolutamente ininfluenti
sulla configurazione anti-lamer del firewall.) pasiamo quindi alla sezione "'''firewall'''"
Io direi di abilitare senza ombra di dubbio "'''Start/Restart firewall on program startup'''".
così quando avviamo (da root) l'interfaccia grafica, il firewall vero e proprio partirà automaticamente.
Le altre 2 le lascio a vostra discrezione: riguardano sempre l'avvio e l'arresto delle regole.
Passiamo a
Network Settings
Le due device (rispettivamente per l aLAN e per internet) dovrebbero già essere settate (ricordate il wizard?)
e quindi non ci soffermeremo più di tanto.
Importante notare che, se vi servite di un server DHCP, dovete assolutamente settare "'''enable DHCP for the local network'''"
(vedi APPENDICE A)
Ora diamo un'occhiata a
ICMP Filtering
Io consiglio vivamente di attivare il filtro per i pacchetti ICMP. Attenzione però: se non abilitiamo
"'''Echo request'''" e "'''Echo reply'''" non potremo effettuare il "'''ping'''".
Gli altri servizi sono a vostra discrezione: se vi servono, lasciateli passare mettendo un tick nel quadratino relativo.
Se non sapete neanche cosa sono lasciateli stare.
ToS Filtering
Permette invece di ottimizzare la rete privileggiando determinati programmi, in modo tale da ottimizzare la connessione.
Io personalmente non l'ho attivato, non ne sento la necessità.
Advanced Options
qui possiamo scegliere come effettuare il "'''reject'''" (letteralmente rifuitare i pacchetti): con un '''Drop silently'''
o con un messaggio. sceglierei senza ombra di dubbio un "'''Drop silently'''".
Broadcast traffic
Blocca o permette TUTTO il traffico verso la rete esterna o interna. Li ho disabilitati tutti i due...
voglio navigare e fare da gateway. se non avete la necessità di fare da gateway potete mettere il tick accanto a
"'''Block Broadcast from internal network'''". Dobbiamo abilitare, per forza
il "'''Block traffic from reversed addresses on public interfaces'''" per abilitare il MASQUERADING
(rimando agli howto presenti su slacky.it per il maggiori informazioni du di esso -'''VEDI APPANDICE A''')

== Abilitare/Disabilitare il traffico ==
Andiamo nella linguetta "'''Policy'''".
Editiamo "'''outbound traffic policy'''", e abilitiamo "'''Restrictive by default,whitelist traffic"
che in sintesi blocca tutto: saremo noi che andremo ad abilitare, ad uno ad uno, iltraffico
che può passare. L'altra opzione ("'''Permissive by default'''") è meno difficile da settare,
ma è sconsigliata visto che in pratica non effettua nessun nessun controllo
(anzi dovremo andare a settare tutto ciò che non è consentito).
Ora nel menù policy (in alto) applichiamo le regole con "'''apply'''". se tutto è andato bene,
non dovremmo essere in grado di fare nulla: non riusciremo a navigare, ne a chattare...
ma andiamo nella linguetta "'''Events'''" vedete i vostri tentativi loggati? Se per
esempio aprite il browser, dovreste vedere una voce con "'''port'''" settato ad "'''80'''" e
protocol "'''TCP'''". Ci basta fare click con il pulsante destro del mouse e scegliere
"'''Allow inbound/outbound service'''": decidendo se abilitarlo solo per la LAN, solo per l'IP
sorgente/destinazione o per tutti quanti "'''Evryone'''".
Con "'''lookup hostnam'''" potete vedere il nome dell'host sorgente o destinazione.
Con il pulsantino "'''Clear'''" potrete cancellare tutta la lista (utile se diventa troppo lunga).
Ora applichiamo la regola con "'''Apply Policy'''" e torniamo nella linguetta "'''Policy'''".
Uau! vedete la vostra regola,in basso? e provate ad utilizzare il browser sulla porta 80...
funziona!!!
Ora proviamo a vedere di editare le "'''inbound traffic policy'''", cioè le regole che
gesticono chi entra nel nostro PC.
L'interfaccia è praticamente la stessa, il funzionamento pure:quando ci servirà abilitare
un servizio, basta farlo dalla linguetta "'''Events'''" e in seguito abilitarlo.
Ricordo che tutto deve essere esplicitamente concesso, altrimenti non funzionarà nulla.
e' un pò come avere un router. E se poi vi dilettate nel fileshare
(mi raccomando,solo distribuzioni Linux, niente materiale coperto da copyright) bisogna
stare l' e ragionarci, perché spesso si "'''apropriano'''" di porte stranissime...
e in questo caso il mio consiglio spassionato è di aprire solo quelle che sono esplicitamente
scritte nelle configurazioni dei vari programmi (VEDI APPENDICE B)

Nella linguetta status invece, possiamo vedere le statistiche relative alla nostra connessione:
i MB ricevuti e inviati, la banda utilizzata e i servizi attualmente in uso.
Per fermare il firewall, basta cliccare sul pulsante "'''Stop firewall'''". Per bloccare
TUTTO, basta dare un "'''Lock Firewall'''" (mmm... molto panic mode ^_^).
Ora,piano piano dovrete andare ad aprire le porte che vi servono... un bel lavoretto,eh?
Ma almeno sarete ben protetti ^_^

= APPENDICE A =
== NAT - Condivisione della connessione a Internet ==
NAT - Condivisione della connessione a Internet

Network Adress Translator (traduzione degli indirizzi di rete) è una tecnica grazie alla
quale svariate macchine possono accedere a internet attraverso una singola connessione
condivisa. verso il mondo esterno queste macchine appariranno come una sola macchina
con un singolo indirizzo IP.
Per fare funzionare il NAT c'è bisogno di due o più interfacce di rete su un computer.
In questo esempio assumeremo una configurazione di due computer, ma la procedura è
essenzialmente la stessa quando si conette il firewall a un hub di retre che connette
svariati computer. Assumiamo inoltre che il dispositivo "'''esterno'''" è una scheda di rete,
ma andrà ugualmente bene con un modem.
Se tutto l'Hardware è configurato bene, abilitare il NAT dovrebbe essere molto facile e
ricchiedere solo pochi minuti.

== Il Setup Fisico ==
Il computer firewall/gateway connesso a internet avrà due schede di rete e il client ne avrà una.
La prima scheda di rete è solitamente configurata tramite DHCP. La seconda seconda scheda
di rete nel firewall sarà collegata al client tramite un cavo Ethernet incrociato. Se si
ha l'intenzione di frapporre un hub tra firewall e il client, il cavo dovrà invece essere dritto.

== Configurazione del Gateway ==
Ci sono molti modi per configuare un'interfaccia di rete, e dipendono dalla distribuzione
che si usa. Le maggiori distribuzioni offrono un semplice tool chiamto '''netconfig''',
molto comodo e veloce da usare. Questo è il modo in cui configuare le schede di rete:

Il dispositivo esterno (generalmente eth0):
* abilitare la configurazione dell'IP dinamico
* tutto qui, non si dovra toccare questa scheda oltre.
Il dispositivo interno (generalmente eth1):
* disabilitare la configuarzione dell'IP dinamico
* indirizzo IP: 192.168.0.1
* Netmask: 255.255.255.0
* Default gateway (IP): <lasciare vuoto>
* Nameserver primario: settarlo uguale al nameserver del dispositivo esterno. come sapere
quale sia? se il dispositivo esterno è in funzione, il nameserver apparirà in "'''/etc/resolv.conf'''".
Qualsiasi cambiamento che fai avrà effetto dopo il reboot o il riavvio dei servizi di rete.
Se ci riferiamo alla Slackware, guardate i numerosi howto presenti su slacky.it su come
configurare un gateway.

== Configurazione del client ==
Si configuri la scheda di rete del client con le seguenti impostazioni:
* disabilitare la configurazione dell'IP dinamico
* indirizzo IP: 192.168.0.2
* Netmask: 255.255.255.0
* Default gateway:(IP): 192.168.0.1
* nameserver primario: configuralo come quello usato dal gateway. si possono vedere le
impostazioni corrette dal file '''/etc/resolv.conf''' del gateway.
Riavvia la rete, procedura finita.

== Testare la configurazione ==
I due computer dovrebbero ora essere connessi e la configurazione a livello hardware
essere terminata. Per testare che ogni cosa sia a posto, si provi a pingare il gateway
dal client e viceversa.

Se qualcosa non funziona il problema risiede nella configurazione hardware. Forse si tratta
di dettagli sbagliati del gateway, comunque si controlli nuovamente.
a questo punto:
* il gateway dovrebbe raggiungere internet
* il client e il gateway si dovrebbero pingare
* il client non dovrebbe essere in grado di raggiungere internet
(potrebbe anche essere in grado di farlo, ma non è comunque un problema)

== abilitare NAT in firestarter ==
Lanciare firestarter sul gateway/firewalkl e iniziare il wizard. Sulla terza pagina del
wizard. quella della "'''internet Connection sharing'''" ("condivisione connessione internet")
selezionare "'''Enable Network Address Trasnlation'''" ("Abilitare NAT").
Assicurarsi che la scheda di rete interna sia stata rilevata correttamente (solitamente eth1)
e completare il wizard.

Ora dovrebbe essere tutto funzionante. I client dovrebbero essere in grado di raggiungere
internet e funzioni avanzzate come il port fowarding saranno possibli con firestarter.
Se abbiamo bisogno di condividere la connessione con un PC Windows(R),è consigliato andare nella
sezione Howto di slacky.it nella categoria relativa al Networking, l'howto dettagliato di
DaNiMoTh.

= APPENDICE B =
== Requisiti del kernel ==
== Configurazione del kernel ==
== Locazione delle funzioni del kernel ==
= Ringraziamenti =
= Note finali =

Introduzione a Firestarter

2006-11-16T13:47:45Z

Chrix: /* Configurare firestarter */

Introduzione a Firestarter

2006-11-16T13:46:32Z

Chrix: /* Concetti Avanzzati del Firewalling */

Introduzione a Firestarter

2006-11-16T13:40:24Z

Chrix: /* Introduzione */

Introduzione a Firestarter

2006-11-16T13:38:41Z

Chrix:

[[Category:Networking]]
= Introduzione =
== Firewalls in una nutshell ==
== Caratteristiche di Firestarter ==
= Concetti Avanzzati del Firewalling =
== Iniziare ==
== I componenti di firestarter ==
== Esecuzione del Firewall ==
== Gli script di init del sistema ==
== Lanciare il firewall all'avvio ==
== Dial-Up ==
= Configurare firestarter =
== Abilitare/Disabilitare il traffico ==
= APPENDICE A =
== NAT - Condivisione della connessione a Internet ==
== Il Setup Fisico ==
== Configurazione del Gateway ==
== Configurazione del client ==
== Testare la configurazione ==
== abilitare NAT in firestarter ==
= APPENDICE B =
== Requisiti del kernel ==
== Configurazione del kernel ==
== Locazione delle funzioni del kernel ==
= Ringraziamenti =
= Note finali =

Djbdns on Slackware: l'alternativa al BIND

2006-11-09T20:34:08Z

Chrix: /* Note finali */

[[Category:Networking]]
= Introduzione =
Mi è capitato di dover utilizzare su di sistema con distribuzione 9.0 Djbdns, programma alter alternativo al BIND
scritto dal noto Daniel J. Bernstein. Mi sono un pò documentato e ho inizialmente pensato che gestire questo programma
come dns server fosse complesso ( i DNS in genere lo sono, almeno per me!).
In realtà la complessità di questo programma è dovuta alla poca documentazione e alla sua scarsa diffusione,
ma in realtà il suo funzionamento è abbastanza semplice specie per chi ha dimestichezza con i programmi del noto
Daniel J. Bernstein, come Qmail e daemontools ad esempio.
E' vero, rispetto al Bind manca di molte features, e la sua licenza non è GPL (un limite non da poco), ma chi volesse
utilizzarlo potrebbe puntare su di un aspetto non secondario, la sicurezza. Sul sito ufficiale trovate una pagina
"The djbdns security guarantee" dove DJB offre in maniera esplicita 500$ a chi gli segnala dei bugs di sicurezza del programma,
citto testualmente:
http://cr.yp.to/djbdns/guarantee.html

"I offer $500 to the first person to publicly report a verifiable security hole in the latest version of djbdns."

Questo sembra essere un buon motivo, anche se in realtà credo che molto dipenda dalle abitudini e dalle necessità di chi
attiva il servizio, il quale sceglie il programma che meglio conosce o che meglio si adatta alla situazione che deve affrontare.
In realtà alla fine della configurazione, mi sono accorto che questo programma è abbastanza semplice
(almeno per un uso standard) e molto leggero per il sistema, inoltre abbinandolo a daemontools abbiamo la sicurezza che in
caso di caduta, il servizio venga rilanciato.

Un pò al pari di Qmail, altro prodotto famoso di DJB, djbdns si caratterizza per un'archetettura strutturale completamente
diversa al BIND, che con un solo demone e alcuni file di configurazione fa tutto. Qui invece, come per lo stesso Qmail,
abbiamo diversi programmi, ognuno per una funzione specifica.
Prima di iniziare mi sono letto l'HOWTO pubblicato da Luca Morettoni

http://morettoni.net/docs/djbdns.html

indispensabile per capèirne il funzionamento, da cui ho tratto alcuni spunti per scrivere questo breve documento.

Il mio interesse era semplificare al minimo i passaggi e quindi la documentazione necessaria per arrivare a raggiungere
il mio obbiettivo, ovvero quello di impostare un resolver per una rete locale che fosse anche autoritativo su di un dominio
interno (zona). Autoritativo per una zona, come sappiamo, significa essere il responsabile della risoluzione finale degli host
per quel dominio.
Quindi il compito è duplice il primo forse più semplice del secondo, prevede un pò più di conoscenze teoriche sull'utilizzo dei DNS.
Per far funzionare il tutto nella maniera più coretta, le risorse necessarie sono rappresentate da due pacchetti:
'''djbdns''' e '''daemontools''' reperibili su
http://cr.yp.to/djbdns.html
http://cr.yp.to/daemontools.html

Daemontoools è necessario per l'avvio e la gestione del demone, consente di monitorarlo e di averlo sempre attivo.
L'uso di daemontools è già descritto in questo breve documento che trovate su
http://www.sistemistiindipendenti.org/modules/news/article.php?storyid=47

== Installare daemontools ==
L'istallazione di daemontools è semplice dopo aver scompattato il pacchetto basta eseguire

root@box:/usr/src/admin/daemontools-0.76# ./package/install

In pratica daemontools fa partire in modalità "respawn" dall'inttab il programma '''svscanboot''' (per tutti i run level),
il quale a sua volta esegue e controlla il programma '''svscan'''. Quest'ultimo analizza il contenuto della directory /service,
che viene creata anch'essa sul sistema all'atto dell'installazione di daemontools, e grazie al programma supervise potrà
controllare i processi che abbiamo deciso di monitorare e li rieseguirà nel caso in cui questi non dovessero più essere in esecuzione.
Ovviamente il fatto di utilizzare l'inittab è legato al fatto che '''init''' il padre di tutti i processi, riavvia in automatico tutti i processi
che sono sotto il suo diretto controllo

SV:123456:respawn:/command/svscanboot

Questo programma controlla ogni 5 secondi le directory (link simbolici alle directory radice dei programmi da monitorare)
contenute in /service che contengono, a loro volta, i file di configurazione per eseguire i vari servizi.
Appena svscan trova una nuova directory e quindi un nuovo servizio da gestire, '''svscan''' lancia un nuovo processo,
supervice. Ogni demone supervice esegue il servizio cui è associato e lo fa ripartire nel caos in cui questo terminasse
in modo imprevisto.

== Installare Djbdns ==
L'installazione di djbdns non è complessa, ma al pari della sua configurazione, molto diversa dal bind.
cd /usr/src
tar zxvf djbdns-1.05.tar.gz

make - compila
make setup check - installa

Gli eseguibili vengono installati in /usr/local/bin

root@box:/service# which tinydns
/usrlocal/bin/tinydns
tinydns tinydns-conf tinydns-data tinydns-edit tinydns-get

L'uso del servizio si basa sostanzialmente su due di questi eseguibili:

* dnscache: è un DNS cache server che consente la risoluzione di domini esterni effettuandone la cache sul sistema
* tinydns: è il DNS vero e proprio con cui poter gestire le zone di un dominio.

Il nostro obbiettivo preveda come prima cosa l'installazione di un resolver (dns cache server) in grado di fornire il servizio
per i client della rete locale. Per prima cosa abbiamo installato e configurato dnscache, il programma che nel pacchetto
consente di abilitare questo servizio

= Installazione di Dnscache =
Per prima cosa creiamo sul sistema l'utente ed il gruppo con cui girerà il DNS cache server. Questa operazione è
importante e viene descritta in maiera dettagliata sull'HOWTO ufficiale

root@box:/service# groupadd dns
root@box:/service# useradd -g dns -s /bin/false -d /dev/null dnscache
root@box:/service# useradd -g dns -s /bin/false -d /dev/null dnslog

Adesso si può lanciare il dns cache server:
dnscache-conf dnscache dnslog /usr/local/etc/dnscache

Questo crea la dir /usr/local/etc/dnscache in cui vengono depositati tutti i file necessari al funzionamento del cache server.

root@box:/usr/local/etc/dnscache# ls
env/ log/ run* seed

Per poter far partire dns cache basta sfruttare daemontolls creando il link simbolico nella directory /service
ln -s /usr/local/etc/dnscache /service

A questo punto possiamo provare una risoluzione dal nostro sistema

root@box:/usr/local/etc/dnscache/log/main# dig www.linux.it localhost
; <<>> DiG 9.2.1 <<>> www.linux.it localhost
;; QUESTION SECTION:
;www.linux.it. IN A
;; ANSWER SECTION:
www.linux.it 85381 IN CANME picard.linux.it
picard.linux.it 85381 IN A 62.177.1.107

oppure
root@box:/usr/local/etc/dnscache/log/main# nslookup www.linux.it localhost
Server: localhost
Address: 127.0.0.1#53
Non-authoritative answer:
Name: www.linux.com
Address 66.35.250.170

Il nostro dns cache server funziona regolarmente per la risoluzione dei nomi esterni e può essere impostato
nel file resolv.conf del nostro host locale. In questo modo comincerà a funzionare come dns cache server vero e proprio.
I log delle richieste dns possono essere analizzati nella directory '''/usr/local/etc/dnscache/log/main
Il dns in questo modo è utilizzabile solo dal localhost, ma se volessimo aprire il servizio a host esterni, ad esempio ai client
della rete locale, occore effettuare l'operazione di <<external cache for your network>>,
come viene definita nella documentazione ufficiale consultabile su:
http://cr.yp.to/djbdns/run-cache-x.html

L'operazione è simile alla precedente, occore solo avere l'indirizzo del network verso cui effettuare l'apertura e l'indirizzo IP
del server, per cui avremo:
dnscache-conf dnscache dnslog /usr/local/etc/dnscache_external 192.168.17.224
In questo caso viene anche specificato l'indirizzo IP del dns cache server per la rete locale.
Ovviamente per attivare il servizio occore creare il solito link simbolico:
ln -s /usr/local/etc/dnscache_external /service
Per ultimo occore abilitare le richieste dei client della rete per cui occore creare un file
touch /usr/local/etc/dnscache_external/root/ip/192.168.17
Nella directory ip era ovviamente presente solo il file 127.0.0.1 ora invece tutti gli host del network 192.168.17 possono
effettuare richieste al server dns e sfruttarne appieno le potenzialità di risolutore.

root@box:/usr/local/etc/dnscache/log/main# nslookup www.ibm.com 192.168.17.224
Server: 192.168.17.224
Address: 192.168.17.224#53
Non-authoritative answer:
Name: www.ibm.com
Address 129.42.19.99
Name: www.ibm.com
Address 129.42.16.99
Name: www.ibm.com
Address 129.42.17.99
Name: www.ibm.com
Address 129.42.18.99

= Installazione di Tinydns =
La seconda necessità consiteva nel rendere il dns in grado di gestire un dominio, in pratica essere autoritario per la zona.
In questo caso sitratta quindi di risolvere i nomi di host interni ad una specifica zona, operazione per cui viene utilizzato
'''tinydns''', il cui compito specifico è proprio questo.
Questo programma è forse il più importante, ed è quello del pacchetto djbdns, che ci consente di svolgere pienamente
le funzioni di un dns server. ovviamente di far girare tinydns e dnscache sullo stesso sistema può creare un problema dovuto
al fatto che entrambi sono in ascolto sulla stessa porta, per cui è bene creare un '''ip alias''' su cui far girare tinydns.
Quindi avremo:
ifconfig eth1:0 192.168.17.227 netmask 255.255.255.0
come per dnscache si crea un account specifico
useradd -g dns -s /bin/false -d /dev/null tinydns
Il servizio tinydns viene creato con tinydns-conf in modo simile a quanto visto prima per dnscache:
tinydns-conf tinydns dnslog /usr/local/etc/tinydns 192.168.17.227
il servizio si avvia con il solito link simbolico:
ln -s /usr/local/etc/tinydns /service

I servizi attivi che dovremmo avere sono questi:

root@box:/# ps -ax | grep dns
4616 ? S 0:00 supervise dnscache
4618 ? S 0:00 /usr/local/bin/dnscache
6172 ? S 0:00 supervise dnscache_external
6174 ? S 0:00 /usr/local/bin/dnscache
6191 ? S 0:00 supervise tinydns

A questo punto dobbiamo costruire i nostri file di zona, un pò come avremmo fatto con il BIND. In realtà la sintassi è un pò
diversa, anche se tutto sommato la logica resta quella. In più djbdns ci mette a disposizione una serie di comandi che
semplificano la creazione delle nostre zone.
Sotto '''/usr/local/etc/tinydns/root''' troveremo una serie di script specifici:

* add-ns: aggiunge il record per il Name Server
* add-host: aggiunge un host
* add-mx: aggiunge un record MX (Mail eXchanger)
* add-alias: aggiunge un alias per un host
* add-childdns
proviamo ad inserire qualche host della rete

cd /usr/local/etc/tinydns/root

#Aggiungo il record per il Name Server
./add-ns .192.168.17.227 # è il Name Server

#Aggiungo un host della mia rete
./add-host server2.dominio.it 192.168.17.9

#Aggiungo un IP di un host della rete (Reversal)
./add-host .0.17.168.192.in-add.arpa 192.168.17.227

#Aggiungo un alias per un IP della mia rete
./add-alias www.dominio.it 192.168.17.9

#Compilo il file di zona
make

Il comando make da lanciare alla fine, compila il file di zona con un formato '''.cdb''' specifico di tinydns, che rende
la lettura dei file di zona molto più veloce rispetto ai normali file di testo del BIND

A questo punto per poter utilizzare entrambi i servizi sul sistema ed avviare sia la risoluzione per i domini esterni che per
gli host della zona interna occore far dialogare dnscache e tinydns, in modo che uno passi le query all'altro. Per fare questo
occore creare i seguenti file nelle root directory di dnscache e dnscache_external, in modo che questo consulti anche
il dns server che risponde sull'IP alias, nel nostro caso 192.168.17.227:

echo 192.168.17.227 > /usr/local/etc/dnscache/root/servers/dominio.it
echo 192.168.17.227 > /usr/local/etc/dnscache/root/servers/17.168.192.in-addr.arpa
echo 192.168.17.227 > /usr/local/etc/dnscache_external/root/servers/dominio.it
echo 192.168.17.227 > /usr/local/etc/dnscache_external/root/servers/17.168.192.in-addr.arpa

A questo punto occore riavviare i servizi
svc -t /service/dnscache
svc -t /service/dnscache_external
svc -t /service/tinydns

Adesso possiamo provare a risolvere gli host della nostra rete
root@box:/# nslookup -silent www.dominio.it
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: www.dominio.it
Address 192.168.17.9

root@box:/# nslookup -silent www.linux.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: www.linux.com
Address 66.35.250.170

Un ultimo strumento che mi sento di consigliarvi e che ho utilizzato è '''axfr-get''', in abbinamento con '''tcpclient'''
che fa parte del pacchetto '''ucspi-tcp''' ed è prelevabile da:
http://cr.yp.to/ucspi-tcp.html

Questo programma consente di trasferire una zona da un server DNS (BIND) che consenta lo zone transfer,
generando un file contenente le informazioni della zona, in un formato compatibile con tinydns:

root@box:/etc/tinydns/root# tcpclient nameserver 53 axfr-get zona_int zona_int.txt zona_int.tmp

* nameserver - sara il nameserver da cui prelevare le informazioni di zona
* zona_int - è il nome della zona di cui voglio prelevare le informazioni (host)
* zona_int.txt - conterrà le informazioni da caricare in tinydns, già nel suo formato originale.

Il file avrà un formato di questo tipo:

#Nome host:IP Host:TTL
Cpop3.dominio.it:server2.dominio.it.:86400
Cproxy.dominio.it:server2.dominio.it.:86400
Cra.dominio.it:server2.dominio.it.:86400
+rh.dominio.it:192.168.17.76:86400
Crh7.dominio.it:rh.dominio.it.:86400
+router.dominio.it:212.110.6.169:86400
+sco.dominio.it:192.168.17.61:86400

* C -> è un Cname
* + -> è un host da aggiungere

A questo punto per caricare le informazioni:
root@box:/usr/local/etc/tinydns/root# cat zona.txt >> data
make
Senza dover riavviare tinydns possiamo risolvere i nuovi host della zona

root@box:/etc/tinydns/root# nslookup rh
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: rh.dominio.it
Address 192.168.17.76

Anche per la diagnosi il pacchetto offre delle utility specifiche da utilizzare al posto dei classici dig e nslookup
ad esempio:

* dnsip - restituisce l'IP da un dato nome di dominio
root@box:/tmp# dnsip www.linux.it
62.177.1.107
* dnsipq - restituisce l'IP e nome per un nome di dominio
root@box:/tmp# dnsipq www.linux.it
www.linux.it 62.177.1.107
* dnsname - restituisce il nome per un nome per un dato IP
root@box:/tmp# dnsname 62.177.1.107
picard.linux.it
* dnsmx - restituisce l'MX (Mail eXchanger) per il dominio richiesto
root@box:/tmp# dnsmx www.netlink.it
10 mail.netlink.it

= Note =
Questo breve documento può essere di aiuto per una prima installazione e per capire le funzionalità di questo
programma, ma per una sua completa configurazione, onde evitare errori che possono compromettere il sistema,
ricordiamo la lettura della documentazione ufficiale: http://cr.yp.to/djbdns.html

e dell'HOWTO di Luca Morettoni: http://morettoni.net/docs/djbdns.html

e anche di "Life with djbdns" by Bennett Todd: http://www.lifewithdjbdns.org
dove si trovano informazioni sulle altre funzionalità di djbdns non trattata in questo breve documento

= Note finali =
* Il presente documento è a semplice scopo divulgativo
* L'autore non si assume la responsabilità di eventuali danni diretti o indiretti derivanti dall'uso dei programmi, o dall'applicazione delle configurazioni menzionate nel seguente articolo
* I marchi citati sono di proprietà dei rispettivi proprietari e sono stati utilizzati solo a scopo didattico o divulgativo.
* L'uso o il riutilizzo del presente articolo è liberamente consentito per scopi didattici o informativi previa citazione della fonte
* Sono possibili errori o imprecisioni, segnalatemele a [mailto:pavan@netlink.it pavan@netlink.it]
* Chi volesse integrare il presente documento, può scrivere a [mailto:pavan@netlink.it pavan@netlink.it]