Product SiteDocumentation Site

8.9. Andre konfigurasjoner: Synkronisering av tid, logger, dele tilgang …

De mange delene som er listet i denne seksjonen, er nyttig å kjenne til for alle som ønsker å mestre alle aspekter ved konfigurering av GNU/Linux-systemet. De er imidlertid behandlet i korthet, og referer ofte til dokumentasjonen.

8.9.1. Tidssone

Tidssonen som ble konfigurert ved den første installasjonen, er et konfigurasjonselement for tzdata-pakken. For å endre den bruk dpkg-reconfigure tzdata-kommandoen, som lar deg velge tidssonen som skal brukes interaktivt. Konfigurasjonen er lagret i /etc/timezone-filen. I tillegg er den tilsvarende filen i /usr/share/zoneinfo-mappen kopiert til /etc/localtime. Denne filen inneholder reglene som styrer datoene for sommertid, for land som bruker det.
Når du trenger å endre tidssonen midlertidig, bruk TZ miljøvariabelen, som tar prioritet over den konfigurerte systemstandarden:
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

8.9.2. Tidssynkronisering

Tidssynkronisering som kan virke overflødig på en datamaskin, er meget viktig i et nettverk. Siden brukerne ikke har adgang til å endre dato og tid, er det viktig at denne informasjonen er nøyaktig for å unngå forvirring. Videre, å ha synkronisert alle datamaskiner i et nettverk gir bedre kryssreferanseinformasjon fra loggene på forskjellige maskiner. Dermed, i tilfelle av angrep, er det lettere å rekonstruere den kronologiske rekkefølge av handlinger på de forskjellige maskinene som er kompromittert. Data som samles inn på flere maskiner for statistiske formål vil ikke gjøre mye nytte hvis de ikke er synkronisert.

8.9.2.1. For arbeidsstasjoner

Ettersom arbeidsstasjonene regelmessig blir omstartet (selv om det bare er for å spare energi), er det nok å synkronisere dem med NTP ved oppstart. For å gjøre dette, kan du installere ntpdate-pakken. Du kan om nødvendig endre NTP-tjeneren som brukes ved å endre /etc/default/ntpdate-filen.

8.9.2.2. For tjenere

Tjenere er bare sjelden restartet, og det er svært viktig at tidssystemet deres er korrekt. For å opprettholde riktig klokkeslett permanent må du installere en lokal NTP-tjener, en tjeneste som tilbys i ntp-pakken. I standardkonfigurasjonen vil serveren synkroniseres med pool.ntp.org, og gi tid som svar på forespørsler som kommer fra det lokale nettverket. Du kan konfigurere den ved å redigere /etc/ntp.conf-filen. Den viktigste endringen er NTP-tjeneren som den viser til. Hvis nettverket har mange tjenere, kan det være nyttig å ha en lokal tidstjener som synkroniseres med offentlige tjenere, og brukes som en tidskilde av de andre tjenerne i nettverket.

8.9.3. Roterende loggfiler

Loggfiler kan vokse, raskt, og det er nødvendig å arkivere dem. Den vanligste ordningen er et roterende arkiv: Loggfilen blir regelmessig arkivert, og bare de siste X-arkivene beholdes. logrotate, programmet som er ansvarlig for disse rotasjonene, følger retningslinjer gitt i /etc/logrotate.conf-filen, og alle filene i /etc/logrotate.d/-mappen. Administratoren kan endre disse filene hvis de ønsker å innrette seg etter loggrotasjonsopplegget som Debian definerer. Manualsiden logrotate(1) beskriver alle de tilgjengelige valgene i disse konfigurasjonsfilene. Du kan, om du ønsker det, øke antall filer som beholdes i loggrotasjonen, eller flytte loggfilene til en bestemt mappe øremerket til å arkivere dem, i stedet for å slette dem. Du kan også sende dem via e-post for å arkivere dem andre steder.
logrotate-programmet kjøres daglig av cron-kjøreplanprogram (beskrevet i Seksjon 9.7, «Planlegge oppgaver i tide med cron og atd»).

8.9.4. Å dele administratorrettigheter

Ofte arbeider flere administratorer på det samme nettverket. Å dele rotpassordet er ikke veldig elegant, og åpner døren for misbruk på grunn av anonymitet slik deling medfører. Løsningen på dette problemet er sudo-programmet, som tillater visse brukere å utføre visse kommandoer med spesielle rettigheter. I det vanligste tilfelle lar sudo en klarert bruker å utføre enhver kommando som rot. For å gjøre dette kjører brukeren bare sudo command, og autentiserer ved å bruke sitt personlige passord.
Etter installasjonen gir sudo-pakken fulle rotrettigheter til medlemmer av sudo Unix-gruppe. For å delegere andre rettigheter må administratoren bruke visudo-kommandoen som tillater dem å modifisere /etc/sudoers-konfigurasjonsfilen (her igjen, dette tar i bruk vi-redigereren, eller hvilken som helst annen redigerer, indikert i EDITOR-miljøvariabelen). Å legge til en linje med brukernavn ALL=(ALL) ALL lar den aktuelle brukeren utføre enhver kommando som rot.
Mer avanserte konfigurasjoner tillater bare godkjenning av bestemte kommandoer til bestemte brukere. Alle detaljene i de forskjellige mulighetene er gitt i manualsiden sudoers(5).

8.9.5. Liste med monteringspunkter

Filen /etc/fstab gir en liste over alle mulige fester som skjer enten automatisk ved oppstart, eller manuelt for flyttbare lagringsenheter. Hvert monteringspunkt er beskrevet av en linje med flere felter atskilt med mellomrom:
  • enheten for å montere: Dette kan være en lokal partisjon (harddisk, CD-ROM), eller et eksternt filsystem (for eksempel NFS).
    Dette feltet er ofte erstattet med den unike ID-en til filsystemet (som du kan fastslå med blkid enhet) med prefiksen UUID=. Dette beskytter mot endring av navnet på enheten i tilfelle disker legges til eller fjernes, eller hvis disker blir funnet i en annen rekkefølge.
  • monteringspunkt: Dette er plasseringen i det lokale filsystemet der enheten, eksternt system, eller partisjonen vil bli montert.
  • skrive: Dette feltet definerer filsystemet som brukes på den monterte enheten.ext4, ext3, vfat, ntfs, btrfs, xfs er noen få eksempler.
    En fullstendig liste over kjente filsystemer er tilgjengelig i manualsiden mount(8). swap-spesialverdien for partisjonsbytte; auto-spesialverdien ber mount-programmet om å finne filsystemet automatisk (som er spesielt nyttig for disklesere og USB-minnepenner, siden hver og en kan ha et annet filsystem);
  • alternativer: det er mange av dem, avhengig av filsystemet, og de er dokumentert i manualsiden mount. De vanligste er
    • rw eller ro, som respektivt betyr at enheten vil bli montert med lese/skrive eller skrivebeskyttede tillatelser.
    • noauto deaktiverer automatisk montering ved oppstart.
    • nofail tillater oppstarten å fortsette selv når enheten ikke er til stede. Sørg for å sette dette alternativet for eksterne harddisker som kan være koblet fra når du starter, fordi systemd virkelig sikrer at alle monteringspunkter som må være automatisk montert , faktisk er montert før oppstartsprosessen blir ferdigstilt. Merk at du kan kombinere dette med x-systemd.device-timeout=5s for å be systemd om ikke å vente mer enn 5 sekunder før enheten vises (se systemd.mount(5)).
    • user autoriserer alle brukere til å montere dette filsystemet (en operasjon som ellers ville være begrenset til rotbrukeren).
    • defaults betyr gruppen av standardvalg: rw, suid, dev, exec, auto, nouser og async, som hver individuelt kan bli deaktivert etter defaults ved å legge til nosuid, nodev og så videre for å blokkere suid, dev og så videre. Å legge til user-valget reaktiverer den, da defaults inkluderer nouser.
  • backup: Dette feltet er nesten alltid satt til 0. Når det er 1, formidler den til dump-verktøyet at partisjonen inneholder data som skal sikkerhetskopieres.
  • sjekke rekkefølge: Dette siste feltet indikerer om integriteten til filsystemet bør sjekkes ved oppstart, og i hvilken rekkefølge denne sjekken skal utføres. Hvis det er 0, blir ingen sjekk utført. Rotfilsystemet skal ha verdien 1, mens andre permanente filsystemer får verdien 2.

Eksempel 8.5. Eksempel /etc/fstab fil

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / was on /dev/sda1 during installation
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
Den siste posten i dette eksempelet tilsvarer et nettverk filsystem (NFS): /shared/-mappen på arrakis -tjeneren er montert på /shared/ på den lokale maskinen. Formatet på /etc/fstab-filen er dokumentert i manualsiden fstab(5).

8.9.6. locate og updatedb

locate-kommandoen kan finne plasseringen av en fil når du bare kjenner en del av navnet. Det sender et resultat nesten umiddelbart, siden det konsulterer en database som lagrer plasseringen av alle filene i systemet. Denne databasen oppdateres daglig av updatedb-kommandoen. Det er flere implementeringer for locate-kommandoen, og Debian valgte mlocate som sitt standard system.
mlocate er smart nok til å bare å gi tilbake filer som er tilgjengelige for brukeren som kjører kommandoen selv om den bruker en database som kjenner til alle filer på systemet (fordi updatedb-gjennomføringen kjører med rotrettigheter). For ekstra sikkerhet kan administratoren bruke PRUNEDPATHS i /etc/updatedb.conf til å utelukke kataloger fra å bli indeksert.