OpenBSD. Первые шаги

Денис Назаров

Продолжим наше знакомство с OpenBSD (начало см. в июньском номере журнала). Мы остановились на успешной установке системы и предложением перезагрузиться, что, собственно говоря, и выполняем. Итак, первая загрузка уже по традиции для BSD-систем выполняется на синем фоне, и вы можете видеть, как ядро системы опрашивает все устройства, которые находит. Отлично, ядро загрузилось, дальше пошел init системы (процесс, который запускает все остальные процессы). Мы видим, как поднимается сетевой интерфейс (в моем случае le1), добавляется маршрут по умолчанию (в большинстве случаев надо прописать его в /etc/mygate, я расскажу об этом файле при конфигурировании сети), запускаются демоны sendmail inetd и sshd. Торжественный момент...

OpenBSD/i386 (princess) ttyC0

login:

Волшебная дверь в систему, которая тщательно выбирает себе друзей, но если вы станете ее другом – она сделает все для вас. Твердо и уверенно вводим root, затем пароль, который мы указали при инсталляции.

Первое, о чем стоит позаботиться – проверка наличия патчей (исправлений) для вашей системы. Конечно, шанс, что критические исправления присутствуют, очень мал, однако он есть. Итак, нам прямая дорога на http://www.openbsd.org/errata.html. Веб-страница содержит листинги всех патчей, доступных для вашей версии системы и описания к ним. И вообще в дальнейшем, если у вас не CURRENT-система с постоянным обновлением – рекомендую регулярно навещать эту страницу.

Зайти как пользователь root вы можете в систему с консоли и используя ssh (1) по сети. Доступ пользователя root в систему из сети сложно назвать простой глупостью, это огромная глупость! Он разрешен по умолчанию лишь для тех случаев, когда система ставится удаленно (как раз все мои случаи) и других пользователей в системе просто нет. Успешно зайдя в систему под root, вы увидите сообщение «Don’t login as root, use su» – даже тут система подсказывает, как надо обращаться с ней. Еще одно маленькое НО. Прежде чем запрещать вход пользователя root по сети, обязательно добавьте простого пользователя и занесите его в группу «wheel», иначе при удаленном администрировании вы потеряете все шансы вернуть права суперпользователя. Кстати, при adduser указание группы «wheel» бесполезно! Вручную отредактируйте файл /etc/group, чтобы он выглядел следующим образом:

wheel:*:0:root,myusername

Теперь смело устанавливайте опцию:

PermitRootLogin no

в файле /etc/ssh/sshd_config и перезапускайте демон sshd. Зайдя в систему под добавленным пользователем, вы сможете использовать команды su (1) и sudo (8) для получения привилегий суперпользователя. Используя команду «su», система просто меняет ваш UID на 0, а используя команду «su –», система дополнительно перечитывает файл профиля (например, /root/.profile или /root/.bash_profile и т. д.).

Пароль суперпользователя

Я думаю, не стоит описывать в этой статье, как правильно выбрать пароль, слишком много уже подобных статей, просто скажу, что пароль As52DjZ921cOx считается нормальным для root. Изменить пароль можно уже знакомой командой:

/usr/sbin/passwd

Маленькое дополнение: привыкайте сразу использовать полные пути к критически важным командам. Используйте, например, «/usr/sbin/su –», а не просто «su –», порой такие мелочи бывают очень важны. Об этом в следующих статьях.

Проверьте переменную окружения PATH (echo $PATH) – в ней ни в коем случае не должно быть относительных путей (начинающихся с «./») и в дальнейшем PATH суперпользователя ни за что не должна содержать путь текущей директории «.».

Системное время

Системное время устанавливается с помощью date (1). Если требуется поменять временной пояс системы, то это делается пересозданием символической ссылки /etc/localtime на правильный пояс в директории /usr/share/zoneinfo.

Примеры установки времени:

Установить время и дату 22 июля 2003, 18:25 PM:

# date 200306221825

Изменить часовой пояс:

# ln -fs /usr/share/zoneinfo/Asia/Bishkek /etc/localtime

Системные демоны

Файл /etc/rc.conf отвечает за процесс загрузки системы. В нем содержатся опции для разных загружаемых демонов (например, sshd и sendmail). Администратор должен сделать копию этого файла в /etc/rc.conf.local и уже в нем вносить все исправления, которые нужны. Но я так никогда не делаю. Просто привык работать напрямую с /etc/rc.conf.

Используя команду hostname (1), вы можете проверить имя хоста в сети. Можно изменить имя, используя эту же команду hostname (1) или изменив имя в файле /etc/myname и перезапустив систему.

Сетевая конфигурация

Самое первое, что надо сделать – это набрать команду «ifconfig –a» и посмотреть на все сетевые интерфейсы, найденные и отконфигурированные системой. Исправить настройки можно, отредактировав файл /etc/hostname.interface (где interface – имя сетевого интерфейса, например, le1) или использовать ifconfig (8) для исправления настроек. Прочитав страницу мануала hostname.if (5), у вас не останется никаких вопросов по формату файла.

# ifconfig –a