28/11/2011

MySQL op openSUSE: standaard en/of veilig

Filed under: — cybrarian @ 12:56 am

Na een standaardinstallatie van openSUSE 11.4 “Celadon”, waarbij je MySQL installeert, kan je gebruikmaken van een handig script om de MySQL installatie een wat veiligere beginsituatie te geven.

MySQL heeft de gewoonte na installatie een (MySQL-) “root” login te hebben waarop je moet inloggen om het wachtwoord van root in te stellen. Als je dat niet doet blijft die beschikbaar staan om dat te doen, wat natuurlijk een veiligheidsrisico inhoudt.

In OpenSUSE (11.4, mogelijk ook andere) is een script aanwezig dat je kan draaien om de standaardinstellingen wat veiliger te zetten, en een (MySQL-) root wachtwoord in te geven:

start:
mysql_secure_installation

Eerst wordt geprobeerd of er een wachtwoord is ingesteld; er wordt je gevraagd het eventuele wachtwoord in te geven (dat van mysql root account). Als je nog geen MySQL root account wachtwoord hebt aangemaakt moet je gewoon “enter” doen om er voorbij te gaan.

Enter current password for root (enter for none):

Daarna kom je in de stap om dat wachtwoord dan effectief op te geven, met een bevestiging en een reaktie:

Set root password? [Y/n]
New password:
Re-enter new password:
Password updated successfully!
Reloading privilege tables..
… Success!

Dan wordt gevraagd of de “anonymous user”, een standaard aangemaakte gebruikers-account op de MySQL server, moet verwijderd worden:

Remove anonymous users? [Y/n]
… Success!

Dan wordt gevraagd of de (MySQL-) root vanop afstand mag inloggen, met de suggestie om dat af te zetten. Alleen op de server zelf ingelogd kan je dan nog met root in MySQL inloggen (nog wel bv via ssh).
Als bv alleen webapplicaties op dezelfde server de MySQL databank gebruiken, kan je dat zeker doen – je kan phpMyAdmin installeren (dat ook op de server zelf draait) om je beheer te doen als je meer nodig hebt dan een ssh sessie naar de server met de databank.

Disallow root login remotely? [Y/n]
… Success!

En dan de vraag om de “test” databank die voor iedereen toegankelijk is (die ook standaard bestaat na installatie) te verwijderen :

Remove test database and access to it? [Y/n]
– Dropping test database…
… Success!
– Removing privileges on test database…
… Success!

En dan om zeker te zijn dat alle wijzigingen aan de rechten ook aktief worden, het voostel om de instellinge van de rechten opnieuw te laden:

Reload privilege tables now? [Y/n]
… Success!

Zelfs als je dit script niet hebt, geeft het wel een goed overzicht van stappen die je ook zelf kan nemen om je installatie een beetje veiliger in te stellen.

OpenSuse 11.4 Server: prutsen in FSTAB

Filed under: — cybrarian @ 12:36 am

Op bescheiden hardware (0,5 Gb intern geheugen, hda 1 TB, hdb 320 GB) een openSuse 11.4 gebruikt om een eenvoudige server te installeren.

Na indeling van de harde schijven (installatie op 1TB schijf, zal andere voor backup gebruiken) verloopt de installatie vlot; er werd gekozen voor KDE en standaard is mc voorzien. Dan wordt de serversoftware gekozen onder Yast, software installatie; de weergave “patterns” deelt de software in volgens mogelijk gebruik, waaronder Server Functions nog eens de onderverdeling bestaat: “File Server”, “Print Server”, “Mail en News”, “Web en Lamp”, “internet gateway”, enz.

Ik neem File Server (samba en vsftpd) en Web and LAMP server (apache2, php en mysql – met alternatieve mogelijkheid van postresql als database). Extra wordt php5-gd (grafische functies), php5-mbstring (conversies), php5-zlib (compressie en decompressie van bestanden) toegevoegd uit de keuze van paketten. Het aanbod van een hele lijst van extra packages om aan alle dependencies te voldoen wordt bevestigd.

Vervelend als je nadien tot de conclusie komt dat je toch beter partities had gemaakt ipv de hele harddisk als één grote datastal te laten.

Ik boot een live dvd, en verander de partities naar

– / 100 Gb (systeem, start hiervan- dit door inkrimpen van de bestaande partitie die de hele disk in beslag nam)
– /var/log 10 Gb (log files – kunnen uit de hand lopen)
– /tmp 1 Gb (tmp wordt door alles en iedereen gebruikt, ik pas aan naar /tmp 20 Gb voor als ik ook cd/dvd’s zou branden vanop de server)

– twijfel over /var; bevat soms ook de servers, var/www in RedHat, of bv /var/lib/mysql de databases

– /svr 250 Gb : in openSuse de webserverruimte en ftp ruimte
– /home 250 Gb : de user home directories; misschien mount ik een eigen werkdirectory van hier op een desktop of laptop.
– /music 300 Gb : muziek verzameling

sdb:
/backup

Het wijzigen van de fstab via een boot-systeem en Yast is een tijdrovende bezigheid.

Je kan wel manueel de /srv directory inhoud kopieren naar sda8
en de /home directory naar /sda9, en /var/log naar sd6, enz,
maar hoe krijg je ze juist gemount in het serversysteem?

fstab editen als root, ziet er voordien zo uit:

/dev/disk/by-id/ata-ST…
/dev/disk/by-id/ata-WDC…
proc /proc proc defaults 0 0
sysfs /sys sysfs noauto 0 0
debugfs /sys/kernel/debug debugfs noauto 0 0
devpts /dev/pts devpts mode=0620,gid=5 0 0

In de documentatie wordt gesproken over de volgorde van het mount commando, waarbij je dus een disk koppelt aan een locatie waar die gemount wordt, en dan de parameters. Ik veronderstelde eerst dat de derde kolom een soort naam of label is die/dat je zelf kan geven, en deed :

/dev/sda5 /tmp tmp defaults 0 0
/dev/sda9 /home home defaults 0 0
/dev/sda8 /srv srv defaults 0 0
/dev/sda6 /var/log var/log defaults 0 0
/dev/sda7 /music music defaults 0 0
/dev/sdb1 /backup backup defaults 0 0

Maar de bovenste waren nogal speciale filesystemen blijkbaar, het is inderdaad (zoals de documentatie zegt) het filesysteem, bv ext4.

Aanpassing (vanuit het lopend systeem zelfs, daarna direct reboot:)

/dev/sda5 /tmp ext4 defaults 0 0
/dev/sda9 /home ext4 defaults 0 0
/dev/sda8 /srv ext4 defaults 0 0
/dev/sda6 /var/log ext4 defaults 0 0
/dev/sda7 /music ext4 defaults 0 0
/dev/sdb1 /backup ext4 defaults 0 0

“My Computer” (konqueror sysinfo:) op de desktop geeft onmiddellijk uitsluitsel: mooi gemounte sytemen met de vrije ruimte, behalve voor

/dev/sda7
/dev/sdb1

Eén probleem nog, dat ik voordien ook over het hoofd gezien had: er moeten directories gemaakt worden voor de “bijkomende” mount punten (waar die geen bestaande directory vervangen; nl

/music
/backup

Als root natuurlijk!

Daarna start … en de partities worden allemaal gemount.
Ik krijg in konqueror nog wel foutmeldinge dat een directory gezien wordt ipv een bestand, geen idee of dat iets hiermee te maken heeft.

9/11/2011

Fedora 15 + KDE

Filed under: — cybrarian @ 1:44 am

Deze Fedora wordt geïnstalleerd van een handige “live” dvd; dwz dat je de computer opstart van de DVD, en een “levend” systeem krijgt, volleidig draaiende van de DVD; traag dus. Maar je hebt een test of je systeem herkend wordt, en de installatie gebeurt vanuit een grafische omgeving. Bij het opstarten wordt de KDE versie gekozen; deze installeert KDE 4.6.3.

Fedora 15 biedt een handige keuze aan voor het gebruik en de formattering van de harde schijf/schijven; het houdt rekening met bestaande systemen en laat zowel toe een systeem te overschrijven, te verkleinen, updaten, enz.

Ik laat een bestaande installatie op hdd met mirroring op hdb en hdc intact en installeer op hda met een swap partitie van ongeveer 1 Gb en de rest voor een ext4 partitie.

Bij het herstarten mis ik even de keuzes die de DVD normaal biedt, het systeem was al gestart van harde schijf (meestal standaardkeuze bij installatie cd/dvd).

Daarna start ik het softwarecenter en kijk bij installatie nieuwe software; dat duurt heel erg lang.

Ik probeer bij upgrade om te kijken of hij daar misschien mee bezig is (gezien het netwerkverkeer ook), maar ook deze keuze reageert niet betekenisvol.

Na verloop van tijd geeft hij toch een hele rij van software en updates.

Ik bevestigde de 361 aangeboden updates, maar bij bevestiging liep hij al snel vast op iets met -64 in. Ik sla de update even over en installeer eerst nieuwe software bij. Er is goede keuze; als ik zoek op gambas biedt hij zowel gambas2 als gambas3 (nog in development of toch zeer vers zover ik weet) aan.

Als test selecteer ik de Gambas3 development environment met alle beschikbare onderdelen; die moet je allemaal individueel aanklikken, om ze allemaal te selecteren en in “install” modus te zetten. Er werden wel automatisch een aantal bijkomende compenenten geselecteerd (meer over de Gambas install en combinatie met Gambas3 op gambas.copyleft.be).

Ik miste blijkbaar het geven van het wachtwoord, want ik zie een foutmelding staan, en ik krijg geen tweede kans. Ik bevestig terug de (gelukkig nog geselecteerde) gambas2 bestanden, en krijg een venster “simulating the install – kpackagekit: waiting for service to start” of zoiets, ik ga weer even elders verderdoen omdat het te lang duurt.

Na een foutmelding alt-tab-te ik het password-vraag-venster naar de voorgrond en gaf het in (ja dat zit telkens ergens onder).

Ik zag de handige mogelijkheid om in de software-installatie packages de nog te installeren packages te tonen.

En ik zag er ook een instellingen venster met mogelijkheid om in te stellen hoe dikwijls je wil controleren op updates en hoe automatisch de installatie moet gebeuren.

Na een paar keer net te lang wachten was ik toch eens op tijd voor het wachtwoord maar liep de installatie toch niet verder, dus ik sloot software installatie en startte het terug op.

Ik zoek op gambas2, krijg een lijst met alle gambas2 componenten. Zoals gezegd werkt CTRL-A niet (select all), en moet ieder pakket afzonderlijk aangeklikt worden. Ik zoek naar een verwijzing naar het complete pakket, of de IDE, dan wordt zoveel mogelijk mee geïnstalleerd. Gambas IDE, the complete gambas development environment.
Ik krijg een foutmelding dat een component dezelfde functionaliteit levert als een eerder geinstalleerde (nl bij Gambas3), en ik kan niet “skip” of “ignore” doen, alleen “ok”, wat eenvoudigweg afbreekt.

Ik de-installeer het pakket waar de overlapping vandaan komt (scripter), en dan is het tijd voor een poging om de scripter van gambas3 terug te installeren: dat lukt niet (dezelfde foutmelding van overlapping). Misschien bestaat er nog een command-line manier om de installatie alsnog te forceren… mijn mijn experimentijd was om.

Fedora 15 heeft Libre Office 3.4.1 aan boord als variatie op OpenOffice.org, en eigenaardig genoeg enkel “Konqueror” als browser. Uit de software-installatie kan wel gemakkelijk Firefox bijgeïnstalleerd worden.

Het KDE-menu wordt mooi aangevuld met de nieuwe geïnstalleerde programma’s, zowel vaste waarden als Firefox, als de programmeeromgeving.

Ik overweeg nog wel om met kleinere stapjes de updates te proberen, hopelijk geraak ik rond de foutmelding heen. Na de Yast-1 kinderschoenen te zijn ontgroeid is het ondertussen lang gebruikte Yast2 in OpenSUSE toch nog steeds het beste software-installatie en upgrade systeem dat ik ken. Fedora en KDE ziet er toch ook niet zo optimaal uit als bij OpenSuse of Mandriva, traditionele KDE-distributies. Vergelijkingen zijn relatief en distro-tenen zijn lang, maar de omstandigheden van beoordeling zijn “Desktop” met “lichte LAMP-server” en “development toepassingen”.

De handige editor Kate is helaas niet aanwezig (of niet te vinden bij zoeken op “kate”). Als je wat doorzoekt op editors, kom je uiteindelijk uit bij KDESDK; de software development kit van KDE, waar Kate in blijkt te zitten als broncode-editor. Je haalt dan ook ineens Kompare (om twee bestanden of directories te vergelijken), Cervesia (SVN GUI), Umbrella (flowchartachtige UML schema’s), een hexeditor en andere toepassingen binnen.

Een even handige editor en bestandsbeheerder voor de commandline, Midnight commander, is ook niet standaard geïnstalleerd, die vind je onder “mc”.

Niet erg sociaal: Na installatie is de andere distributie (op de andere harde schijf/ven) niet mee opgenomen in het opstartmenu (ik veronderstel dat ze niet zijn overschreven en dat het gecorrigeerd kan worden).

De installatie gebeurde vanaf DVD (Bij Admin Network & security 04/2011).

2/11/2011

Opensuse 11.4 en RAID

Filed under: — cybrarian @ 3:02 am

Installatie van OpenSUSE 11.4 op een pc met 4 harde schijven:
– ST 150 G
– ST 150 G
– MX 120 G
– MX 80 G

Log:
– Gestart van Linux DVD OpenSuse 11.4
– installatieprocedure gestart.
– bestaande partities verwijderd
– op SDC (3e schijf) een swap en een systeem partitie aangemaakt: Linuxe native Ext4 112 GB mount point /
– op /dev/sdc2 een Linux swap partitie van 2.49 GB, type swap
– sda en sdb moeten een RAID worden.
– sda primary, volledige grootte, Formatting options: (do not format partition): File system ID: 0xFD : Linux RAID, en “do not mount partition”

Na deze instellingen blijft in het overzicht staan:
– Device: /dev/sda1, size: 149,05GB, Type Linux RAID, FS Type NTFS, Label Windows, mount piont – , Start 0, End 19456.

Waarschijnlijk komen die Windows gegevens door van de oorspronkelijke inhoud, want ze konden nergens ingegeven of verwijderd worden bij de RAID instelling.

Hetzelfde gedaan voor sdb; had ander oorspronkelijk gebruik en kwam niets door in label of FS Type.

Het overzicht bevestigen.

Aanmaken gebruiker, naam copyleft, wachtwoord PPRubens, zelfde voor system admin, automatic login aan, receive system mail aan.

Er komt een waarschuwing voor de installatie, “install”.

Na de installatie ziet de “My computer” informatie ze zo uit:
(screenprint)

Na installatie zijn sda en sdb zichtbaar maar niet bruikbaar, en ze vertonen nog de “oude” eigenschappen (label en file system format)

De RAID configuratie moet nog gebeuren (even overgeslagen bij installatie): Via YAST kan je naar de hardeschijf tool:
Yast Control Center, System, Partitioner.

Kies het type van RAID:
Raid 0 (striping)
Raid 1 (Mirroring)
Raid 5 (Reduntant Striping)
Raid 6 (Dual Redundant Striping)
Raid 10 (Mirroring and Striping)

Kies bv RAID 1, voeg beide disks toe (available naar selected devices).
Resulting size vermeldt 149.05 GB.
Bevestig.
Raid Options, Chunk Size: keuze tussen 4kB – … – 4 Mb
Een chunk blijkt de grootte te zijn van het kleinste stukje data dat geschreven wordt.
Voor RAID 1 zou die 4 Kb een goede keuze zijn, maar algemeen wordt aangenomen dat die chunk size afhankelijk is van het gebruik van de disk, maw de data die erop geschreven wordt; bv database of andere toepassing.

Dan kom je op de format optie; bv
/dev/md0 File System Ext4, Do not mount.

Status van de RAID bekijken, rechtstreeks in het “file-system”: (als root)
cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 sda1[0] sdb1[1]
156288952 blocks super 1.0 [2/2] [UU]
bitmap: 0/2 pages [0KB], 65536KB chunk

Maak – als root- een mapje aan om de RAID disk te koppelen (beschikbaar te maken):

mkdir /data

Tenslotte moet je (met root-rechten) het bestandssysteem aankoppelen:
mount -t ext4 /dev/md0 /data/

Als je “My Computer” nog hebt openstaan zie je onmiddellijk de nieuwe drive beschikbaar.

En dan moet je beginnen nadenken over de rechten op deze drive …


Gebruikt: LXF DVD OpenSUSE 11.4

Powered by WordPress