АДМИНИМ ПРАВИЛЬНО!
Руководство офисного пингвинистратора

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #033, стр. 033-034-3

Скачиваем teapop по ссылке: http://www.toontown.org/pub/teapop/teapop-latest.tar.gz. Распаковываем, конфигурим, инсталлируем. После этого немного поковыряем файл /etc/teapop.passwd, в котором указывается, кому можно снимать почту. Для обычной настройки сервиса достаточно вписать пару строк в этот файл.

empty:*:/etc/poppasswd:/var/mail::

default:*:reject

Смысл этих строк довольно простой. Параметр empty означает абсолютную маску для пользователей. В /etc/poppasswd будут содержаться шифрованные пароли юзеров, директория с почтовыми сообщениями /var/mail. Затем идет строка default, которая запрещает посторонним пользователям использовать teapop-авторизацию.

Файл /etc/poppasswd будет выглядеть примерно следующим образом:

postmaster:2de/DwBdsap2R

user:veMNdwYe287.D

Как ты догадался, он содержит всего два поля - имя пользователя и его пароль.

К слову, в дефолтовом teapop.passwd имеется значительный мануал, судя по которому почтовый сервис умеет работать с различными БД (например, mysql, postgresql). Мы не будем залезать в дебри баз данных - предлагаю освоить это самостоятельно :).

Последним штрихом будет редактирование /etc/inetd.conf, в который добавляется строчка для teapop. Надеюсь, ты разберешься с этим по аналогии с Ftpd, настройка которого была описана выше.

БЕЗОПАСНЫЙ SSHD

Как я уже говорил, мы стремимся к закрытию системных паролей офисных работников. Но бывают ситуации, когда необходимо дать работнику ssh-доступ. В этом случае залочить пароль не удастся. Если ты знаком с основными методами авторизации, то знаешь, что пароль - не единственный метод получить доступ на сервер. Существует такое понятие, как ssh-ключи. Это очень удобно, и сейчас мы попробуем создать индивидуальные ключики для нужного нам пользователя.

В комплекте пакета OpenSSH поставляется бинарник ssh-keygen, который, собственно, и занимается генерацией ключей. От тебя требуется указать в параметре -t тип ключа. Их 3 - rsa1, rsa и dsa. После запуска ssh-keygen ты увидишь примерно следующее:

[forb@ruhost4 forb]$ ssh-keygen -t rsa1 -C 'mykey'

Generating public/private rsa1 key pair.

Enter file in which to save the key (/home/users/forb/.ssh/identity): testkey

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in testkey.

Your public key has been saved in testkey.pub.

The key fingerprint is:

8c:b3:1f:67:ab:01:8c:ae:60:a1:98:39:32:a5:6c:61 mykey

После этих действий будут созданы файлы testkey и testkey.pub (приватный и публичный ключ, соответственно). Затем скопируй публичный ключ в папку .ssh под именем authorized_keys, а приватный транспортируй на машину работника офиса, которому необходимо предоставить шелл. Этот ключ должен находиться в папке .ssh под именем identity.

Что-то не работает? Запускай /usr/bin/ssh с параметром -v (дебаг), после этого ты увидишь полный логинг пакетов и быстро разберешься, в чем дело.

Теперь можешь залочить пользователям пароли, потому как мы поставили основные сервисы, которые не привязываются к /etc/shadow. Это можно сделать как вручную (прямым редактированием теневого файла), так и командой passwd -l username.