От точки А до точки Б... или что такое РРР 2
От точки А до точки Б... или что такое РРР
Продолжение. Начало в N№ 35
Настройка DNS
В то время, как люди присваивают имена разным предметам, компьютеры предпочитают обращаться друг к другу при помощи цифровых кодов. В сети TCP/IP (а именно такой сетью является сеть Интернет) мы присваиваем каждому компьютеру свое имя, и каждый компьютер живет в конкретном домене. Для примера возьмем компьютер с названием red, который находится в домене rainbow.by. Его адрес в виде, привычном для людей, выглядит так: red.rainbow.by.
Но другие компьютеры, подключенные к сети Интернет, используют при обращении к нему его IP адрес.
Над переводом символьных имен компьютеров в их цифровые адреса и обратно работает служба доменных имен - DNS.
Как это происходит:
- ваш компьютер хочет узнать сетевой адрес другого компьютера. Приложение, которому необходима эта информация, запрашивает ее у ресолвера операционной системы Linux;
- сначала проверяется локальный файл /etc/hosts. Процедура поиска зависит от настроек файла /etc/host.conf;
- если ответ найден в этом файле, этот ответ возвращается приложению, давшему запрос;
- если DNS сервер известен, запрос направляется к нему;
- если DNS сервер содержит ответ на запрос в своей базе данных, он возвращает этот ответ, если нет, то он запрашивает следующий DNS сервер.
При установке РРР-соединения Ваш компьютер хочет знать, где он может найти информацию о сетевых адресах других компьютеров по их символьному имени. Первый способ - это занести IP адреса всех компьютеров, с которыми Вы хотите обмениваться информацией в файл /etc/hosts (этот способ может успешно работать внутри небольшой локальной сети, но он неприменим, если Ваш компьютер подключен к сети Интернет). Второй способ - использовать только цифровые адреса компьютеров, что опять применимо только внутри локальной сети. Лучший способ - настроить Linux таким образом, чтобы он сам автоматически искал нужную информацию об адресах других компьютеров. Все, что нужно сделать, - это занести адрес ближайшего DNS сервера в файл /etc/resolv.conf.
Системный администратор Вашего РРР сервера должен сообщить Вам два адреса DNS серверов (одного достаточно, но с двумя Вы будете работать эффективнее). Как упоминалось ранее, Linux не может автоматически определить адрес DNS сервера, как это делает Windows95. Потому потребуйте (только вежливо!) эту информацию у своего провайдера!
Ваш файл /etc/resolv.conf выглядит примерно так:
domain your.isp.domain.name
nameserver 10.25.0.1
nameserver 10.25.1.2
Отредактируйте этот файл (если необходимо, то создайте) и занесите туда адреса, полученные от своего провайдера. Атрибуты и свойства этого файла (ls -l /etc/resolv.conf):
-rw-r-r- 1 root root 98 Aug 23 05:04 /etc/resolv.conf
Также следует проверить, правильно ли настроен файл /etc/hosts.conf
order hosts,bind
multi on
С этими параметрами поиск сначала будет производиться в файле /etc/hosts, а после этого - на DNSсервере.
РРР и пользовательские привилегии
Так как после своего запуска программа pppd требует изменения настройки сетевых устройств и таблицы маршрутизации кернела, а все эти настройки должны выполняться администратором системы - пользователем root, то права на запуск этой программы должны принадлежать администратору системы:
-rwsr-xr-x 1 root root 95225 Jul 11 00:27 /usr/sbin/pppd
Если атрибуты файла отличаются от этих, то root должен выполнить следующую команду:
chmod u+s /usr/sbin/pppd
Это позволит даже другим пользователям запускать эту программу со всеми необходимыми привилегиями, настраивать сетевые интерфейсы и таблицы маршрутизации кернела. Конечно же, программы, запуск которых разрешен всем пользователям, но при выполнении которых устанавливается режим доступа к системе на уровне системного администратора (root) ставят под угрозу безопасность системы. Но некоторые программы (например pppd) созданы с учетом этой опасности, так что можете быть спокойны, используя pppd в этом режиме.
В зависимости от того, как Вы хотите использовать свой компьютер, особенно если Вы разрешаете ЛЮБОМУ пользователю устанавливать РРР соединение, нужно установить соответствующие атрибуты на общий доступ по чтению и выполнению у файлов-скриптов, которые "включают" и "выключают" РРР. Если же Вы хотите ограничить число пользователей, удостоенных этой чести, можно создать отдельную группу пользователей и назвать ее ррр. Отредактируйте файл /etc/group (сделать это может только root):
- в атрибутах файла pppd задайте его принадлежность пользователю root и группе ppp. Эти атрибуты должны выглядеть так:
-rwsr-x-- 1 root ррр 95225 Jul 11 00:27 /usr/sbin/pppd
- в атрибутах файлов ppp-on и ppp-off задайте их принадлежность пользователю root и группе ppp
- сделайте их доступными для чтения и выполнения группой ррр:
-rwsr-x-- 1 root ррр 587 Mar 14 1995 /usr/sbin/ppp-on
-rwsr-x-- 1 root ррр 631 Mar 14 1995 /usr/sbin/ppp-off
- отключите все остальные права доступа к этим файлам
- добавляйте пользователей, которые будут запускать ррр в соответствующую группу.
Даже когда Вы сделаете это, обычные пользователи из группы ррр не смогут отключить ррр канал (запустить программу ppp-off может только пользователь root). Но любой человек может выключить модем или порвать телефонный провод:(
Альтернативой (и самой лучшей) описанному способу является использование программы sudo. Она позволяет неавторизованным пользователям выполнять операции по запуску и отключению ррр, причем делать это с максимальной надежностью и безопасностью.
Настройка файлов для РРР
Теперь пришло время войти в систему как root для того, чтобы создать необходимые каталоги и отредактировать некоторые файлы для настройки РРР. РРР использует несколько файлов для установки сетевого соединения. В зависимости от версии РРР (2.1.2 или 2.2) набор этих файлов различен. Для РРР 2.1.2:
/usr/sbin/pppd # программа РРР
/usr/sbin/ppp-on # скрипт установки соединения
/usr/sbin/ppp-off # скрипт обрыва соединения
/etc/ppp/options # файл настроек РРР
/etc/ppp/options.ttyXX # файл настроек каждого порта
Для версии РРР 2.2:
/usr/sbin/pppd # программа РРР
/etc/ppp/scripts/ppp-on # скрипт установки соединения
/etc/ppp/scripts/ppp-on-dialer # первая часть этого скрипта
/etc/ppp/scripts /ppp-off # скрипт обрыва соединения
/etc/ppp/options # файл настроек РРР
/etc/ppp/options.ttyXX # файл настроек каждого порта
Пользователи Red Hat Linux должны помнить, что Red Hat Linux размещает файлы скриптов в каталоге /usr/doc/ppp-2.2.0f-2/scripts.
В вашем каталоге /etc должен находиться каталог ррр:
drwxrwxr-x 2 root root 1024 Oct 9 11:01 ppp
Если его не существует, создайте его с соответствующими атрибутами и правами доступа. В этом каталоге находится файл шаблонов настроек ррр - options.tpl. Он содержит пояснения ко всем настройкам всех необходимых параметров ррр. Знакомство с содержимым этого файла, как и с сопутствующей документацией (man pppd) по РРР будет очень полезным. Вы можете использовать этот файл как хранилище всех параметров РРР, или создать свой собственный файл /etc/ppp/options, не содержащий подробных комментариев, короткий и удобный в обращении.
Если у Вас несколько последовательных портов с модемами (как обычно для РРР серверов), создайте файл /etc/ppp/options с настройками, общими для всех последовательных портов и набор отдельных файлов для каждого порта с его индивидуальными настройками. Этим файлам настроек последовательных портов присваиваются имена: /etc/ppp/options.ttyx1, /etc/ppp/options.ttyx2 и так далее... (символ "х" заменяет букву в названии последовательного порта). При использовании одного канала для связи вполне достаточно файла /etc/ppp/options. Или все нужные параметры программе pppd можно передавать в виде аргументов в строке ее запуска.
Если Вы планируете устанавливать соединение с несколькими РРР серверами, можно сохранить настройки для каждого сервера в файле /etc/ppp/options.site, а затем указать в командной строке нужный файл при запуске программы pppd.
Какие же параметры нужно установить для работы РРР? Это зависит от многих причин. Приведем здесь основные, которые будут работать с большинством серверов:
# /etc/ppp/options
#
# не порождать фоновые процессы
-detach
#
# использование сигналов модема
modem
# резервирование последовательного порта
lock
# использовать аппаратный контроль за потоком данных
crtscts
# добавить новый маршрут в таблицы маршрутизации
defaultroute
# отключение обработки <Esc> - последовательностей
asyncmap 0
# максимальный размер передаваемого пакета данных
mtu 552
# минимальный размер принимаемого пакета данных
mru 552
#
# ---- конец примера
Если сервер, к которому Вы подключаетесь, требует идентификации пользователей по протоколу РАР или СНАР, следует добавить еще несколько строк в файл /etc/ppp/options:
#
# использовать Ваше пользовательское имя, под которым Вы
# зарегистрированы у своего провайдера в качестве имени
# Вашего компьютера на время соединения
name <Ваше имя> # ЗАПОЛНИТЬ!
#
# Если Вы установили РРР сервер и хотите активировать
# соответствующий протокол идентификации пользователей,
# удалите знак "#" перед соответствующей строкой.
# В случае, если Вы используете РРР как клиент, оставьте
# эти строки в виде комментария.
# +pap
# +chap
#
# Если Вы используете шифрованные пароли из файла
# /etc/ppp/pap-secrets, удалите знак "#" перед следующей
# строкой. Помните, что эта система шифрования отличается
# от аналогичной системы MS RAS в MS Windows NT
# +papcrypt
Если Вы используете РАР (Password Authentication Protocol) или СНАР (Challenge/Handshake Authentication Protocol) на своем РРР сервере, нужно создать еще несколько файлов:
/etc/ppp/pap-secrets
/etc/ppp/chap-secrets
Они должны принадлежать пользователю root и группе root, параметры их задайте командой:
chmod *-secrets 740
Прежде всего хочу заметить, что эти протоколы служат для идентификации компьютерных систем, а не пользователей. Я слышу, как Вы спрашиваете: "Что??? Какая разница???". Я отвечу. Как только Ваш компьютер установит РРР-соединение с сервером, все пользователи этого компьютера (а не только Вы!) смогут использовать этот канал связи. Благодаря этому, Вы можете создать большую сеть, объединив друг с другом две малых через РРР канал связи.
Файл /etc/ppp/pap-secrets выглядит примерно так:
# Secrets for authentication using PAP
# client server secret acceptable_local_IP_address
Он содержит четыре поля, разделенных пробелами или символом табуляции, причем последнее поле может оставаться пустым (это зависит от того, как Ваш провайдер выделяет IP адреса - статически или динамически). Предположим, что провайдер снабдил Вас именем fred и паролем flinstone. Вставьте следующую строку в файл /etc/ppp/options{.ttySX}:
name fred
и отредактируйте файл /etc/ppp/pap-secrets:
# Secrets for authentication using PAP
# client server secret acceptable_local_IP_address
fred * flinstone
Теперь Вы присвоили своему компьютеру имя fred (для использования программой pppd - у Вашего компьютера может быть другое локальное имя) и при соединении с ЛЮБЫМ сервером Вы будете использовать пароль flinstone. Если Вы соединяетесь не с одним, а с несколькими РРР серверами, использующими PAP для идентификации, в этот файл можно добавлять новые строки, содержащие имена и пароли для соединения, а также названия серверов (вместо звездочки в приведенном примере)
Протокол CHAP требует обоюдной идентификации - Ваш компьютер проверяет имя и пароль сервера, с которым он соединяется, а сервер, в свою очередь, идентифицирует Вашу машину. Если Ваш компьютер носит имя fred, а удаленный сервер - имя barney, в файле /etc/ppp/options Вашего компьютера нужно добавить строки:
name fred
remotename barney
На компьютере barney - зеркальная картина этого же файла:
name barney
remotename fred
Ваш файл /etc/ppp/chap-secrets:
# Secrets for authentication using CHAP
# client server secret acceptable_local_IP_address
fred barney flinstone
barney fred wilma
И для компьютера barney:
# Secrets for authentication using CHAP
# client server secret acceptable_local_IP_address
barney fred flinstone
fred barney wilma
Это позволит обоим компьютерам благополучно распознать друг друга при установке сетевого соединения.
Игорь Грень, gren@isir.minsk.by
Продолжение следует - титульная страница
Продолжение. Начало в N№ 35
Настройка DNS
В то время, как люди присваивают имена разным предметам, компьютеры предпочитают обращаться друг к другу при помощи цифровых кодов. В сети TCP/IP (а именно такой сетью является сеть Интернет) мы присваиваем каждому компьютеру свое имя, и каждый компьютер живет в конкретном домене. Для примера возьмем компьютер с названием red, который находится в домене rainbow.by. Его адрес в виде, привычном для людей, выглядит так: red.rainbow.by.
Но другие компьютеры, подключенные к сети Интернет, используют при обращении к нему его IP адрес.
Над переводом символьных имен компьютеров в их цифровые адреса и обратно работает служба доменных имен - DNS.
Как это происходит:
- ваш компьютер хочет узнать сетевой адрес другого компьютера. Приложение, которому необходима эта информация, запрашивает ее у ресолвера операционной системы Linux;
- сначала проверяется локальный файл /etc/hosts. Процедура поиска зависит от настроек файла /etc/host.conf;
- если ответ найден в этом файле, этот ответ возвращается приложению, давшему запрос;
- если DNS сервер известен, запрос направляется к нему;
- если DNS сервер содержит ответ на запрос в своей базе данных, он возвращает этот ответ, если нет, то он запрашивает следующий DNS сервер.
При установке РРР-соединения Ваш компьютер хочет знать, где он может найти информацию о сетевых адресах других компьютеров по их символьному имени. Первый способ - это занести IP адреса всех компьютеров, с которыми Вы хотите обмениваться информацией в файл /etc/hosts (этот способ может успешно работать внутри небольшой локальной сети, но он неприменим, если Ваш компьютер подключен к сети Интернет). Второй способ - использовать только цифровые адреса компьютеров, что опять применимо только внутри локальной сети. Лучший способ - настроить Linux таким образом, чтобы он сам автоматически искал нужную информацию об адресах других компьютеров. Все, что нужно сделать, - это занести адрес ближайшего DNS сервера в файл /etc/resolv.conf.
Системный администратор Вашего РРР сервера должен сообщить Вам два адреса DNS серверов (одного достаточно, но с двумя Вы будете работать эффективнее). Как упоминалось ранее, Linux не может автоматически определить адрес DNS сервера, как это делает Windows95. Потому потребуйте (только вежливо!) эту информацию у своего провайдера!
Ваш файл /etc/resolv.conf выглядит примерно так:
domain your.isp.domain.name
nameserver 10.25.0.1
nameserver 10.25.1.2
Отредактируйте этот файл (если необходимо, то создайте) и занесите туда адреса, полученные от своего провайдера. Атрибуты и свойства этого файла (ls -l /etc/resolv.conf):
-rw-r-r- 1 root root 98 Aug 23 05:04 /etc/resolv.conf
Также следует проверить, правильно ли настроен файл /etc/hosts.conf
order hosts,bind
multi on
С этими параметрами поиск сначала будет производиться в файле /etc/hosts, а после этого - на DNSсервере.
РРР и пользовательские привилегии
Так как после своего запуска программа pppd требует изменения настройки сетевых устройств и таблицы маршрутизации кернела, а все эти настройки должны выполняться администратором системы - пользователем root, то права на запуск этой программы должны принадлежать администратору системы:
-rwsr-xr-x 1 root root 95225 Jul 11 00:27 /usr/sbin/pppd
Если атрибуты файла отличаются от этих, то root должен выполнить следующую команду:
chmod u+s /usr/sbin/pppd
Это позволит даже другим пользователям запускать эту программу со всеми необходимыми привилегиями, настраивать сетевые интерфейсы и таблицы маршрутизации кернела. Конечно же, программы, запуск которых разрешен всем пользователям, но при выполнении которых устанавливается режим доступа к системе на уровне системного администратора (root) ставят под угрозу безопасность системы. Но некоторые программы (например pppd) созданы с учетом этой опасности, так что можете быть спокойны, используя pppd в этом режиме.
В зависимости от того, как Вы хотите использовать свой компьютер, особенно если Вы разрешаете ЛЮБОМУ пользователю устанавливать РРР соединение, нужно установить соответствующие атрибуты на общий доступ по чтению и выполнению у файлов-скриптов, которые "включают" и "выключают" РРР. Если же Вы хотите ограничить число пользователей, удостоенных этой чести, можно создать отдельную группу пользователей и назвать ее ррр. Отредактируйте файл /etc/group (сделать это может только root):
- в атрибутах файла pppd задайте его принадлежность пользователю root и группе ppp. Эти атрибуты должны выглядеть так:
-rwsr-x-- 1 root ррр 95225 Jul 11 00:27 /usr/sbin/pppd
- в атрибутах файлов ppp-on и ppp-off задайте их принадлежность пользователю root и группе ppp
- сделайте их доступными для чтения и выполнения группой ррр:
-rwsr-x-- 1 root ррр 587 Mar 14 1995 /usr/sbin/ppp-on
-rwsr-x-- 1 root ррр 631 Mar 14 1995 /usr/sbin/ppp-off
- отключите все остальные права доступа к этим файлам
- добавляйте пользователей, которые будут запускать ррр в соответствующую группу.
Даже когда Вы сделаете это, обычные пользователи из группы ррр не смогут отключить ррр канал (запустить программу ppp-off может только пользователь root). Но любой человек может выключить модем или порвать телефонный провод:(
Альтернативой (и самой лучшей) описанному способу является использование программы sudo. Она позволяет неавторизованным пользователям выполнять операции по запуску и отключению ррр, причем делать это с максимальной надежностью и безопасностью.
Настройка файлов для РРР
Теперь пришло время войти в систему как root для того, чтобы создать необходимые каталоги и отредактировать некоторые файлы для настройки РРР. РРР использует несколько файлов для установки сетевого соединения. В зависимости от версии РРР (2.1.2 или 2.2) набор этих файлов различен. Для РРР 2.1.2:
/usr/sbin/pppd # программа РРР
/usr/sbin/ppp-on # скрипт установки соединения
/usr/sbin/ppp-off # скрипт обрыва соединения
/etc/ppp/options # файл настроек РРР
/etc/ppp/options.ttyXX # файл настроек каждого порта
Для версии РРР 2.2:
/usr/sbin/pppd # программа РРР
/etc/ppp/scripts/ppp-on # скрипт установки соединения
/etc/ppp/scripts/ppp-on-dialer # первая часть этого скрипта
/etc/ppp/scripts /ppp-off # скрипт обрыва соединения
/etc/ppp/options # файл настроек РРР
/etc/ppp/options.ttyXX # файл настроек каждого порта
Пользователи Red Hat Linux должны помнить, что Red Hat Linux размещает файлы скриптов в каталоге /usr/doc/ppp-2.2.0f-2/scripts.
В вашем каталоге /etc должен находиться каталог ррр:
drwxrwxr-x 2 root root 1024 Oct 9 11:01 ppp
Если его не существует, создайте его с соответствующими атрибутами и правами доступа. В этом каталоге находится файл шаблонов настроек ррр - options.tpl. Он содержит пояснения ко всем настройкам всех необходимых параметров ррр. Знакомство с содержимым этого файла, как и с сопутствующей документацией (man pppd) по РРР будет очень полезным. Вы можете использовать этот файл как хранилище всех параметров РРР, или создать свой собственный файл /etc/ppp/options, не содержащий подробных комментариев, короткий и удобный в обращении.
Если у Вас несколько последовательных портов с модемами (как обычно для РРР серверов), создайте файл /etc/ppp/options с настройками, общими для всех последовательных портов и набор отдельных файлов для каждого порта с его индивидуальными настройками. Этим файлам настроек последовательных портов присваиваются имена: /etc/ppp/options.ttyx1, /etc/ppp/options.ttyx2 и так далее... (символ "х" заменяет букву в названии последовательного порта). При использовании одного канала для связи вполне достаточно файла /etc/ppp/options. Или все нужные параметры программе pppd можно передавать в виде аргументов в строке ее запуска.
Если Вы планируете устанавливать соединение с несколькими РРР серверами, можно сохранить настройки для каждого сервера в файле /etc/ppp/options.site, а затем указать в командной строке нужный файл при запуске программы pppd.
Какие же параметры нужно установить для работы РРР? Это зависит от многих причин. Приведем здесь основные, которые будут работать с большинством серверов:
# /etc/ppp/options
#
# не порождать фоновые процессы
-detach
#
# использование сигналов модема
modem
# резервирование последовательного порта
lock
# использовать аппаратный контроль за потоком данных
crtscts
# добавить новый маршрут в таблицы маршрутизации
defaultroute
# отключение обработки <Esc> - последовательностей
asyncmap 0
# максимальный размер передаваемого пакета данных
mtu 552
# минимальный размер принимаемого пакета данных
mru 552
#
# ---- конец примера
Если сервер, к которому Вы подключаетесь, требует идентификации пользователей по протоколу РАР или СНАР, следует добавить еще несколько строк в файл /etc/ppp/options:
#
# использовать Ваше пользовательское имя, под которым Вы
# зарегистрированы у своего провайдера в качестве имени
# Вашего компьютера на время соединения
name <Ваше имя> # ЗАПОЛНИТЬ!
#
# Если Вы установили РРР сервер и хотите активировать
# соответствующий протокол идентификации пользователей,
# удалите знак "#" перед соответствующей строкой.
# В случае, если Вы используете РРР как клиент, оставьте
# эти строки в виде комментария.
# +pap
# +chap
#
# Если Вы используете шифрованные пароли из файла
# /etc/ppp/pap-secrets, удалите знак "#" перед следующей
# строкой. Помните, что эта система шифрования отличается
# от аналогичной системы MS RAS в MS Windows NT
# +papcrypt
Если Вы используете РАР (Password Authentication Protocol) или СНАР (Challenge/Handshake Authentication Protocol) на своем РРР сервере, нужно создать еще несколько файлов:
/etc/ppp/pap-secrets
/etc/ppp/chap-secrets
Они должны принадлежать пользователю root и группе root, параметры их задайте командой:
chmod *-secrets 740
Прежде всего хочу заметить, что эти протоколы служат для идентификации компьютерных систем, а не пользователей. Я слышу, как Вы спрашиваете: "Что??? Какая разница???". Я отвечу. Как только Ваш компьютер установит РРР-соединение с сервером, все пользователи этого компьютера (а не только Вы!) смогут использовать этот канал связи. Благодаря этому, Вы можете создать большую сеть, объединив друг с другом две малых через РРР канал связи.
Файл /etc/ppp/pap-secrets выглядит примерно так:
# Secrets for authentication using PAP
# client server secret acceptable_local_IP_address
Он содержит четыре поля, разделенных пробелами или символом табуляции, причем последнее поле может оставаться пустым (это зависит от того, как Ваш провайдер выделяет IP адреса - статически или динамически). Предположим, что провайдер снабдил Вас именем fred и паролем flinstone. Вставьте следующую строку в файл /etc/ppp/options{.ttySX}:
name fred
и отредактируйте файл /etc/ppp/pap-secrets:
# Secrets for authentication using PAP
# client server secret acceptable_local_IP_address
fred * flinstone
Теперь Вы присвоили своему компьютеру имя fred (для использования программой pppd - у Вашего компьютера может быть другое локальное имя) и при соединении с ЛЮБЫМ сервером Вы будете использовать пароль flinstone. Если Вы соединяетесь не с одним, а с несколькими РРР серверами, использующими PAP для идентификации, в этот файл можно добавлять новые строки, содержащие имена и пароли для соединения, а также названия серверов (вместо звездочки в приведенном примере)
Протокол CHAP требует обоюдной идентификации - Ваш компьютер проверяет имя и пароль сервера, с которым он соединяется, а сервер, в свою очередь, идентифицирует Вашу машину. Если Ваш компьютер носит имя fred, а удаленный сервер - имя barney, в файле /etc/ppp/options Вашего компьютера нужно добавить строки:
name fred
remotename barney
На компьютере barney - зеркальная картина этого же файла:
name barney
remotename fred
Ваш файл /etc/ppp/chap-secrets:
# Secrets for authentication using CHAP
# client server secret acceptable_local_IP_address
fred barney flinstone
barney fred wilma
И для компьютера barney:
# Secrets for authentication using CHAP
# client server secret acceptable_local_IP_address
barney fred flinstone
fred barney wilma
Это позволит обоим компьютерам благополучно распознать друг друга при установке сетевого соединения.
Игорь Грень, gren@isir.minsk.by
Продолжение следует - титульная страница
Компьютерная газета. Статья была опубликована в номере 36 за 1998 год в рубрике soft :: unix
