Differences between revisions 1 and 2
Revision 1 as of 2016-11-18 11:16:45
Size: 6116
Editor: crudo
Comment:
Revision 2 as of 2016-11-18 11:17:20
Size: 6117
Editor: crudo
Comment:
Deletions are marked like this. Additions are marked like this.
Line 169: Line 169:
=== Setup == === Setup ===

Caronte

Caronte è il router di Unit. Sarà anche il router di Macao? Verificare con Accio.

Nota: attualmente la macchina è accessibile solo tramite rete tor, in attesa del setup definitivo della rete. Chiedere a crudo le credenziali.

Hardware

Installazione

Scaricare l'immagine di OpenBSD 6.0 i386 (mirror GARR e masterizzarla su un CD.

Una volta avviato si presenterà un prompt che chiederà di avviare l'installazione o ottenere una shell sulla live. Premere S per ottenere la shell.

Selezionare il layout della tastiera con il comando kbd. Per una tastiera italiana kbd it.

Spostarsi in /dev con cd /dev ed eseguire i comandi 

sh MAKEDEV wd0
sh MAKEDEV wd1
sh MAKEDEV sd0

Il kernel creerà i device files necessari per il sistema.

wd0 e wd1 rappresentano i primi due devices IDE, sd0 rappresenta il device virtuale del mirror dei due dischi.

Inizializzare una nuova tabella delle partizioni MBR su entrambi i dischi con 

fdisk -iy wd0
fdisk -iy wd1

Quindi è necessario creare su entrambi i dischi due partizioni (nella corrente installazione da 32GB) da usare per il mirror. 

disklabel -E wd0
> a a
> offset: [enter]
> size: 32G
> FS type: RAID
> w
> x

disklabel -E wd1
> a a
> offset: [enter]
> size: 32G
> FS type: RAID
> w
> x
}}

Inizializzare quindi il mirror:

{{{
bioctl -c 1 -l wd0a,wd1a softraid0
dd if=/dev/zero of=/dev/rsd0c bs=1m count=1
fdisk -iy sd0

I dischi sono pronti. Avviare quindi l'installazione guidata: 

cd /

install
> keyboard layout: it
> hostname: caronte
> network: done
> root password: ****
> ssh: no
> X: no
> default console to com0: no
> setup user: no
> root disk: sd0
> choose partition: o
> choose layout: c

> a a
> offset: [enter]
> size: 5G
> FS type: [enter]
> mount point: /

> a e
> offset: [enter]
> size: 2G
> FS type: [enter]
> mount point: /var

> a f
> offset: [enter]
> size: 2G
> FS type: [enter]
> mount point: /usr

> a h
> offset: [enter]
> size: 2G
> FS type: [enter]
> mount point: /usr/local

> a j
> offset: [enter]
> size: 2G
> FS type: [enter]
> mount point: /usr/src

> a k
> offset: [enter]
> size: 2G
> FS type: [enter]
> mount point: /usr/obj

> w
> x

> other disks: done
> locations of sets: cd0
> pathname: [enter]
> -game60.tgz
> -x*
> done
> continue without verification: yes

Una volta terminato si presenterà una shell. È necessario ora installare il bootloader su entrambi i dischi: 

installboot -v wd0 /mnt/usr/mdec/biosboot /mnt/usr/mdec/boot
installboot -v wd1 /mnt/usr/mdec/biosboot /mnt/usr/mdec/boot

Una buona idea è tenere la cartella /tmp in ram. Il parametro -s consente di definire una dimensione: 

echo "swap /tmp mfs rw,noatime,nodev,nosuid,-s=512M 0 0" >> /mnt/etc/fstab

Il sistema è installato e pronto a bootare. Riavviare con reboot.

Cosa ti farà impazzire

  • Il sistema non si spegne con shutdown -h now come su Linux: -h significa halt. Il che vuol dire che il kernel effettuerà le scritture in sul disco, terminerà i processi, e tutto ciò che è necessario, ma non spegnerà la macchina. Il comando per tirarla giù è shutdown -p now, dove -p sta per poweroff.

Partizione cifrata

Il sistema non è totalmente cifrato. Questo permette che in caso di sospensione della corrente elettrica o arresti (del sistema) inaspettati può tornare su da solo senza intervento dell'utente.

Nella partizione cifrata andranno i dati che necessitano un certo livello di privacy ma che non impediscono il funzionamento base della rete.

Setup

Aggiungere una partizione al mirror sd0: 

disklabel -E sd0
> a n
> offset: [return]
> size: 4G
> FS type: RAID
> w
> x

Inizializzare la partizione cifrata:

{{ cd /dev sh MAKEDEV sd1 cd

bioctl -c C -l sd0n softraid0 > passphrase: ****

dd if=/dev/zero of=/dev/rsd1c bs=1m count=1 fdisk -iy sd1

disklabel -E sd4 > a > offset: [enter] > size: [enter] > FS type: [enter] > w > x

newfs sd1a

mkdir /crypto mount /dev/sd1a /crypto }}

Montare la partizione quasi automaticamente

Lo script /usr/local/bin/crypto_enable.sh (presente nel PATH) fa tutto il necessario per avere la partizione /crypto accessibile.

Se sono installati servizi che hanno bisogno dei dati cifrati essi non partiranno all'avvio, ma saranno avviati dallo script menzionato poc'anzi.

Smontare la partizione

Il sistema in fase di arresto smonterà tutti i dischi quindi non è davvero necessaqrio smontare la partizione e rilasciarla.

Tuttavia, al fine documentativo i comandi sono: 

umount /crypto
bioctl -d sd1

Software

DNS (unbound)

Come quasiquasi tutti i demoni di OpenBSD, unbound è eseguito con privilegi minimi all'interno di un chroot (/var/unbound). La configurazione è reperibile quindi in /var/unbound/etc/unbound.conf.

Il server dns è configurato come server dns recursive, caching, validating. Ciò significa che è in grado di effettuare richieste per conto dei client che le richiedono (attualmente limitato a 127.0.0.1 in attesa della configurazione di rete), le tiene in cache per un periodo di 60 minuti e soprattutto verifica l'autenticità delle risposte che riceve da altri server DNS usando DNSSEC. Il software è configurato per fare prefetch delle query in cache in scadenza.

Altre misure di sicurezza implementate sono: non fornire nome e versione del software DNS, randomizzare l'alternanza di maiuscole e minuscole nella query per evitare DNS spoofing e l'uso esclusivo di DNSSEC per richieste verso l'esterno.

Attualmente l'unico server DNS a cui fa riferimento è DNS.watch.

Una volta autenticati sulla macchina è possibile usare il comando unbound-control per ottenere informazioni sul funzionamento del server DNS.

Caronte (last edited 2017-06-19 15:59:10 by crudo)