Linux.fi - Käyttäjän muokkaukset [fi]

SSH

2010-10-12T07:24:19Z

Joell: /* X:n tietoturva */ -X:ää ei tarvita jos Y.

SSH eli Secure SHell on alunperin suomalaisen Tatu Ylösen kehittämä etäkäyttöohjelmisto, jolla voidaan ottaa [[wikipedia:fi:salaus|salattuja]] yhteyksiä järjestelmästä toiseen. SSH:sta löytyy avoin [[OpenSSH]]-toteutus, joka on peräisin [[OpenBSD]]-projektista. [[PuTTY]] on [[X|X:ssä]] toimiva ssh-asiakasohjelma UNIX-järjestelmille ja Windowsille. SSH on käytännössä täysin korvannut käytössä aikaisemman salaamattoman RSH (Remote SHell) -protokollan.

== Peruskäyttö ==
Monissa jakeluissa tulee mukana ssh-asiakasohjelma komentoriville, jolloin ssh-yhteyden voi ottaa palvelimelle yksinkertaisesti komennolla
ssh minun.palvelin.example
Tällöin kirjautumista yritetään samalla tunnuksella, millä järjestelmään on kirjauduttu sisälle. Muulla tunnuksella yhdistäminen onnistuu seuraavasti
ssh kayttajatunnus@minun.palvelin.example

Mikäli yllä olevan komennon kirjoittaminen toistuvasti tuntuu työläältä, on mahdollista luoda ssh:n asetustiedostoon (<tt>~/.ssh/config</tt>) oma profiili yhteyttä varten. Tämä onnistuu lisäämällä tiedostoon rivit:
Host lyhytnimi minun.palvelin.example
HostName minun.palvelin.example
User kayttajatunnus
Host määrittelee komentoriville syötetyt aliakset, jotka käyttävät tätä profiilia. Yllä olevaa profiilia käytettäessä seuraavat komennot saavat aikaan saman lopputuloksen:
ssh kayttajatunnus@minun.palvelin.example
ssh minun.palvelin.example
ssh lyhytnimi

== Graafiset ohjelmat ==
Jos halutaan ajaa [[X]]-ohjelmia SSH:n kautta on komentoon sisällyttävä parametri <tt>-X</tt> ([[#X:n tietoturva|tietoturvasyistä]] tämä ei yleensä ole oletuksena), esimerkiksi näin:
ssh -X guru@linuxburken.firma.example

Usein erityisesti X-ohjelmien ajossa pullonkaulaksi muodostuu hidas yhteys. Hitaan yhteyden aiheuttamia ongelmia voidaan kompensoida pakkaamalla tiedonsiirto:
ssh -X -C guru@linuxburken.firma.example

Jotta graafisten ohjelmien käyttäminen onnistuisi, on sshd:n (etäkoneen) asetustiedostossa (<tt>/etc/ssh/sshd_config</tt>) oltava rivi
ForwardX11 yes
Oletuksena tämä arvo on <tt>no</tt>, vaikkakaan tällä ei ole suurempaa merkitystä ''palvelinkoneen'' turvallisuudelle.

Jotta yhteystyö, esimerkiksi tekstin kopioiminen leikepöydän kautta, toimisi normaaliin tapaan paikallisten ja palvelimella ajettavien sovellusten välillä joutuu lisäksi hyväksymään "ForwardX11Trusted", komentorivillä <code>-Y</code>. Sekä tavallinen että varsinkin luotettu X-edelleenohjaus antaa vieraalle koneelle mahdollisuuden käyttää hyväkseen X-sovellusten välistä melko heikkoa tietoturvaa. Katso [[#X:n tietoturva|X:n tietoturva]] alla.

Oletusasetukset ForwardX11 ja ForwardX11Trusted voi asettaa tiedostoissa /etc/ssh_config ja /etc/.ssh/config, haluttaessa kone- ja verkkokohtaisesti:

Host *.luotettuverkko.example.org,omakone.example.net
ForwardX11 yes
ForwardX11Trusted yes
Host muu-x-palvelin.example.com
ForwardX11 yes
ForwardX11Trusted no
Host *
ForwardX11 no
ForwardX11Trusted no

== Yhteyksien uusiokäyttö ==
Mikäli samalle palvelimelle otetaan useampia yhteyksiä, voidaan yhtä yhteyksistä käyttää niin kutsuttuna isäntäyhteytenä, jolloin muut yhteydet otetaan sen kautta. Tällöin salasana on annettava vain kerran isäntäyhteyttä avatessa ja muiden yhteyksien ottaminen hoituu erittäin nopeasti.

Isäntäyhteyttä otettaessa ssh:lle on annettava parametri <tt>-M</tt>:
ssh -M mun.palvelin.example

Jonka jälkeen toinen yhteys voidaan ottaa tavalliseen tapaan
ssh mun.palvelin.example
Eikä salasanaa enää kysytä.

Jotta isäntäyhteyksien käyttö onnistuisi, on ssh:n asetustiedostoon (<tt>~/.ssh/config</tt>) lisättävä rivit
Host *
ControlPath ~/.ssh/ctl-%r-%h-%p
ControlMaster auto

Ominaisuus löytyy OpenSSH:n versiosta 4.2 ja sitä uudemmista.

== Tunnistaminen avainparilla ==
Salasanatunnistuksen ohella varteenotettava tapa autentikoida yhteys palvelimelle on avainparimenettely. Siinä asiakaskoneella luodaan avainpari, jonka yksityinen osa jätetään omalle koneelle, ja julkinen osa siirretään kaikille niille koneille, joilla avainparitunnistusta halutaan käyttää. Tässä menettelyohjeet:

*Luodaan avainpari ssh-keygen -ohjelmalla

ssh-keygen -t rsa

*Tässä vaiheessa ssh-keygen kysyy salasanaa avaimelle ja mahdollisesti polkua. Oletuspolkua (~/.ssh/id_rsa) ei yleensä pidä muuttaa, mutta salasana lisää turvallisuutta oleellisesti, jos joku pääsee käsiksi avaintiedostoon. Salasana saa olla mielivaltaisen pitkä. Tiedoston <tt>id_rsa</tt> turvallisuudesta on pidettävä huolta, sillä sen avulla kuka tahansa voi kirjautua käyttämillesi palvelimille tunnuksillasi (murrettuaan mahdollisen salasanan).
*Sitten kopioidaan julkinen osa kaikille palvelimille missä tätä avainparia halutaan hyödyntää. Huomaa, että <tt>authorized_keys</tt>-tiedostossa jokaisella rivillä määritetään yksi avain. Jos et ole aiemmin käyttänyt tätä menetelmää, tiedostoa ei ole, ja oman julkisen avaimen kopioiminen etäkoneen <tt>authorized_keys</tt>-tiedostoksi ei tuota ongelmia.
[[scp]] ~/.ssh/id_rsa.pub palvelin:/home/kayttaja/.ssh/authorized_keys
Mikäli sinulla on jo ennestään etäkoneessa <tt>~/.ssh/authorized_keys</tt>-tiedosto, voit komentaa näin:
[[cat]] ~/.ssh/id_rsa.pub | ssh käyttäjä@etäkone '[[cat]] >> ~/.ssh/authorized_keys'

*Nyt voit kirjautua kaikille palvelimille, joille olet julkisen avaimesi kopioinut käyttämättä palvelimen salasanaa. Salasanan ei siis enää tarvitse olla helposti muistettava – ja salasanalla kirjautumisen sshd:n kautta voi kieltää kokonaan. Käyttäen ohjelmaa ssh-agent säästytään myös avaintiedoston salasanan antamisesta, paitsi kerran X- tai pääteistunnon alussa, ssh-agentin käynnistämisen yhteydessä.

Jos haluaa kirjautua automaattisesti, esimerkiksi cron-työn yhteydessä, joutuu käyttämään salasanatonta avaintiedostoa. Tähän käyttöön voi luoda rinnakkaisen avaimen, jota pidetään eri tiedostossa (johon viitataan ssh:n vivulla <code>-i</code>) ja avaimen valtuuksia voi rajoittaa laittamalla tiedoston authorized_keys tämän avaimen kohdalle rivin alkuun "optioita", esimerkiksi (huomaa pilkkujen, lainausmerkkien ja välilyöntien käyttö):
from="*.kotiverkko.example.org,työkoneeni.example.com",no-port-forwarding,no-X11-forwarding jatässäitsejulkinenavainkaikkinensa

''HUOM! Jos SSH-palvelin on esim. Ubuntu ja siinä on eCryptfs:llä salatut kotihakemistot, joutuu SSH joka tapauksessa aina kysymään salasanaasi, koska sitä tarvitaan kotihakemiston salauksen avaamiseen.''

== Tunneli ==
SSH:n avulla voi tunneloida minkä tahansa TCP-portin käytettäväksi verkon yli. Tämä tapahtuu sovelluksille läpinäkyvästi, joten se tarjoaa hienon mahdollisuuden parantaa – tai huonontaa – tietoturvaa tilanteissa, joissa tietyn sovelluksen muokkaaminen ei ole mahdollista tai käytännöllistä.

Tässä esitellään yksittäisten porttien ohjausta SSH-yhteyden kautta. Tämä riittää yksinkertaisimmissa tapauksissa. IP-tunnelien muodostaminen SSH-yhteyden kautta on myös mahdollista. Lisätietoja asiasta saatavilla artikkelissa [[SSH-tunneli]].

Seuraavassa esimerkissä tunneloidaan paikallisen koneen ([[localhost]]) portti <tt>6060</tt> SSH:lla niin, että sen kautta voi käyttää etäkoneen porttia <tt>23</tt>.
ssh -L 6060:localhost:23 etäkone
Ottamalla nyt yhteyden paikallisella koneella porttiin <tt>6060</tt>, yhteys ohjautuu SSH-tunnelin yli etäkoneen porttiin <tt>23</tt>, [[telnet]].

Tunnelia ei ole pakko tehdä localhostiin, vaan mikä tahansa kone käy. Näin voit esimerkiksi päästä käsiksi sisäverkkoihin, joihin et suoraan Internetistä pääse. Esimerkki:
ssh -L 123:192.168.6.12:1337 etäkone

=== Käänteinen tunneli ===
Käänteisen tunnelin idea on sama kuin normaalinkin tunnelin, mutta se käynnistetään toisesta päästä. Käänteinen tunneli mahdollistaa vaikkapa palomuurin takana olevan koneen etäylläpidon. Seuraavassa esimerkissä tunneloidaan paikallisen koneen portti <tt>23</tt> SSH:lla niin, että se on käytettävissä etäkoneelta portissa <tt>1337</tt>.
ssh -R 1337:localhost:23 etäkone

Ottamalla nyt yhteyden etäkoneella porttiin <tt>1337</tt>, yhteys ohjautuu SSH-tunnelin ja mahdollisen palomuurin läpi paikalliselle koneelle porttiin <tt>23</tt>.

Huomio tunneleita rakentaessasi, että kuuntelevan [[pistoke|pistokkeen]] (engl. socket) asettaminen porttia <tt>1024</tt> alhaisempien portteihin vaatii kyseisessä järjestelmässä [[root]]-oikeudet.

==Tietoturva==
SSH-yhteys on salattu, mutta ei pidä tuudittautua valheellisen turvallisuuden tunteeseen, sillä erilaisia hyökkäyskeinoja on olemassa. Lue artikkelista [[SSH-turvatoimet]] vinkkejä SSH-palvelimesi turvaamiseen.

Salaus auttaa siihen, ettei verkkoa passiivisesti salakuunteleva pysty seuraamaan liikennettä ja ettei sitä pystytä muokkaamaan. Edellinen voi myös olla tietoturvaongelma, sillä yrityksen palomuurikaan ei pysty erottamaan ongelmallista liikennettä sallittusta.

===Koneiden avaimet===

SSH estää koneitten avainten avulla vieraan koneen esiintymisen luotettuna palvelimena (nimipalvelinhyökkäysten tms. avulla). ssh varoittaa, jos avaimet eivät täsmää. Varoituksesta ei ole hyötyä, jos siitä ei välitä, joten on oleellista kopioida koneitten avaimet /etc/ssh_host*_key.pub omalle koneelle tiedostoon /etc/ssh/ssh_known_hosts tai ~/.ssh/known_hosts.
Avainriville pitää lisätä myös koneesta mahdollisesti käytettävät aliakset
kone.example.com,kone,alias,alias.example.com,192.168.0.1 itseavainkaikkinensa

Varoituksen yhteydessä ssh kertoo koneen avaimen "sormenjäljen", jonka voi verrata oikean avaimen sormenjälkeen jopa puhelimitse. Jos vain yhden koneen kanssa on ongelmia, ssh-yhteyden voi ottaa toiselle koneelle toiseen verkkoon ja yrittää yhteyttä sitä kautta. Jos tältä koneelta katsottuna vieraan koneen sormenjälki on sama kuin omastakin koneesta katsottuna, kyseessä ei ole paikallinen nimipalvelinhuijaus.

===Murtautuminen===

Se, että ssh-liikenne on salattua, ei estä murtautumasta ssh-palvelimen kautta suoraan. Itse palvelimessa ei ole ollut kovin paljon reikiä, mutta heikkoja salasanoja voi hyödyntää ssh-palvelimen kautta. Joissakin [[jakelu]]issa palvelin on oletuksena päällä, koska koneita on tarkoitettu etäylläpidettäviksi. Tällöin on tärkeää rajoittaa miltä koneilta ja mille tunnuksille ssh:lla pystyy kirjautumaan ja varmistamaan, että näillä tunnuksilla on hyvät salasanat – ellei salasanalla kirjautumista ssh:lla estetä kokonaan (katso [[#Tunnistaminen avainpareilla|tunnistaminen avainpareilla]] yllä).

Katso myös [[SSH-turvatoimet]].

===X:n tietoturva===

Samalla [[X]]-palvelimella ajettavat ohjelmat luottavat yleensä toisiinsa ja X-palvelin luottaa ohjelmiin. Jos ohjelma niin haluaa se pystyy esimerkiksi valtaamaan leikepöydän juuri ennen sen sisällön kopioimista komentoriville ja siten ajamaan mielivaltaisia komentoja, tai luomaan läpinäkyvän näytön kokoisen ikkunan ja sen kautta salakuuntelemaan näppäimistöä. Tämä ei yleensä ole ongelma, sillä jos jokin ajettava ohjelma on trojan hevonen, se pystyy myös käyttämään tunnuksen oikeuksia suoraan. Verkon yli ajettaessa yhdellä koneella vallatulla tunnuksella voi kuitenkin murtautua myös samaa X-palvelinta käyttäville muille koneille.

Jotta voisi käyttää myös heikomman tietoturvan koneita tai koneita, joiden ylläpitoon ei luota, ssh ei yleensä pyytämättä anna toisella koneella ajettavien ohjelmien käyttää paikallista X-palvelinta. Nykyisissä X-palvelimissa on myös mahdollista rajoittaa X:n käyttöä niin, että jotkut, tässä tilanteessa erityisen vaarallisiksi huomatut toiminnot eivät ole vieraan ohjelman käytettävissä.

Jos etäyhteydessä ei ole tarkoituksena ajaa graafisia ohjelmia, X-yhteyttä ei siis kannata muodostaa. Jos käyttää graafisia ohjelmia, mutta epäilee etäkoneen tietoturvaa, X:n voi sallia vain kohtuullisen turvaallisesti koetuin osin.
ssh -x kone-ilman-x-ohjelmia.example.org
ssh -X kone-jossa-x-ohjelmia.example.org
ssh -Y kone-johon-luottaa.example.org

==SSH välityspalvelimen läpi==
SSH-yhteydet voidaan myös yhdistää HTTP-välityspalvelimen, kuten [[Squid]]in läpi. Seuraava asetus vaatii Corkscrew-ohjelman, joka löytyy useimpien jakelupakettien ohjelmavarastosta.

Lisää <tt>~/.ssh/config</tt>-tiedostoon seuraavat rivit vaihtaen <tt>cache.palvel.in 8080</tt>:n joksikin muuksi:
<pre>Host *
ProxyCommand corkscrew cache.palvel.in 8080 %h %p</pre>
Jos haluat esimerkiksi vain fi-, org- ja net-domainit menemään välityspalvelimen läpi, muuta Host-asetus <tt>*</tt>:n sijasta <tt>*.fi *.org *.net</tt>:ksi.

==Käyttöesimerkki: varakopiot verkon yli==
Varakopioi kotisivusi toisen koneen kotihakemistosta ssh:lla. Tähän käyttötarkoitukseen [[rsync]] tai [[rdiff-backup]] sopivat kylläkin huomattavasti paremmin.

ssh toinen.kone.fi 'cd public_html && tar -cjvf - .' | cat > kotisivut.tar.bz2

Palauta hakemistorakenne takaisin

cat kotisivut.tar.bz2 | ssh toinen.kone.fi 'cd public_html && tar xjvf -'

Vastaava [[Varmuuskopiointi#Rsync|perusteellisempi esimerkki]] löytyy artikkelissa varmuuskopioinnista.

==Käyttöesimerkki: graafinen VNC-yhteys kahden palomuurin takana olevan koneen välille ==
Koneet A ja B ovat [[palomuuri]]en takana, kone C ei. Tarkoituksena nähdä koneen A näytöllä koneen B näytön näkymä [[VNC#Yhdist.C3.A4minen_olemassaolevaan_X-istuntoon|VNC-yhteyden]] yli.

Kone A ottaa ensiksi yhteyden koneeseen C tunneloiden koneen C portin 5903 paikalliseen porttiin 5904:
ssh ckayttaja@ckone.com -L 5904:localhost:5903

Tämän jälkeen kone B ottaa yhteyden koneeseen C tunneloiden koneen C portti 8001 koneen B porttiin 22 (SSH):
ssh -R 8001:localhost:22 ckayttaja@ckone.com

Tämän jälkeen käyttäjä A ottaa koneelta C yhteyden koneeseen B tunneloiden koneen B portin 5900(VNC) koneen C porttiin 5903:
ssh bkayttaja@localhost -p 8001 -L 5903:localhost:5900

Nyt A käynnistää VNC:n koneen B porttiin 5900
x11vnc

Ja tämä B-koneen portti 5900 tunneloituu noin neljän portin läpi koneen A porttiin 5904, jolloin A saa VNC:n käyntiin:
vncviewer localhost:5904

==Katso myös==
*[[SSH-turvatoimet]]
*[[ClusterSSH]]
*[[SFTP]]
*[[SCP]]
*[[Telnet]]

==Aiheesta muualla==
* [[wikipedia:fi:SSH|SSH Wikipediassa]]
* [http://www.openssh.com/ OpenSSH]
* [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY]

[[Luokka:Etäkäyttö]]
[[Luokka:Verkko]]
[[Luokka:Palvelimet]]
[[Luokka:Tietoturva]]
[[Luokka:Komentorivin erikoisohjelmat]]

Irssi

2010-02-08T12:41:37Z

Joell: /* Merkistö */ linkki merkistöongelmien ratkaisusivulle

{{Ohjelma
| nimi = irssi
| kuva = [[Kuva:Irssi.png|220px]]
| kuvateksti = Irssi ''nickcolor''- ja ''usercount''-skripteillä.
| käyttöliittymä = [[ncurses]]
| lisenssi = [[GNU GPL|GNU General Public License]]
| kotisivu = [http://www.irssi.org/ www.irssi.org]
}}

'''Irssi''' on suosittu tekstipohjainen [[IRC]]-asiakasohjelma. Se toimii useimmissa UNIX-tyylisissä järjestelmissä, Linux mukaanlukien. Myöskin Windowsille on tehty oma versionsa. Useimmat käyttävät irssiä yhdessä [[Screen|GNU Screenin]] kanssa.

== Peruskäyttö ==

=== Käynnistäminen ===
Irssiä on suositeltavaa käyttää GNU Screenin kanssa. Irssin käynnistäminen screenin kanssa onnistuu käskyllä:
screen irssi
Seuraavalla kerralla kun kirjaudut palvelimelle, pääset kiinni käynnissä olevaan irssi-istuntoon käskyllä:
screen -r
Tarkemmat ohjeet screenin käyttöön löytyy [[screen]]-sivulta.

=== Kanavaikkunat ===
Tekstipohjaisena ohjelmana irssiä käytetään näppäinkomennoilla. Kanavien välillä liikutaan näppäinyhdistelmällä alt+numero (kanavat 1-10) ja alt+[q-p] (kanavat 11-20). Esimerkiksi alt+1 avaa ''status''-ikkunan jossa on palvelimen lähettämät viestit, alt+2 ensimmäisen kanavan jolle olet liittynyt ja alt+w ikkunan numero 12 (eli 11. kanava jolle olet liittynyt). Altin sijaan voi käyttää myös Esciä (esim. 4. kanavaikkuna avattaisiin painamalla ensin Esciä ja sitten numeroa 4 (ei siis samanaikaisesti). Kanavaikkunaan voi siirtyä myös komenolla <tt>/win numero</tt>. Kanavien selailemiseen käyvät myös näppäinyhdistelmät alt-vasen (ctrl+n) ja alt-oikea(ctrl+p), joilla siirrytään järjestyksessä edelliseen tai seuraavaan ikkunaan.

Jos haluat siirtyä kanavaikkunaan, jonka numero on suurempi kuin 20, se ei onnistu oletuksena millään näppäinyhdistelmällä. Tällöin on mahdollista asettaa uusia näppäinyhdistelmiä <tt>/bind</tt>-komennolla, jotka avaavat kyseiset ikkunat. Esimerkiksi kanava 21 saa aukeamaan näppäinyhdistelmällä alt+a komennolla
/bind meta-a change_window 21
Tässä <tt>meta-a</tt> tarkoittaa siis näppäinyhdistelmää alt+a ja sille asetetaan toiminto, joka siirtyy kanavaikkunaan 21.

Ikkunoiden numerointia voi muuttaa komennolla <tt>/window move</tt>. Esimerkiksi komento <tt>/window move 3</tt> siirtäisi nykyisen ikkunan ikkunaksi numero 3, jolloin siihen pääsisi näppäniyhdistelmällä alt+3. Ikkuna suljetaan komennolla <tt>/window close</tt> tai <tt>/wc</tt> (samalla poistutaan kyseiseltä kanavalta). Ikkunat, joissa on tapahtunut jotain, näkyvät kirjoitusalueen yläpuolella. Jos ikkunan numero on punainen (värit ovat toki vaihdettavissa), kyseisellä kanavalla on mainittu nimesi sen jälkeen, kun viimeksi katsoit kanavalle.

=== IRC-palvelimille yhdistäminen ===
Yksinkertaisin tapa yhdistää palvelimelle on käyttää lähes kaikissa IRC-asiakasohjelmissa toimivaa komentoa
/server irc.palvelin.org
Vastaavasti yhteys katkaistaan komennolla
/disconnect

Irssissä on lisäksi mahdollista käyttää kehittyneenpää IRC-verkkojen hallintaa, jossa Irssille kerrotaan tietyn IRC-verkon palvelimia, jonka jälkeen yhdistettäessä tähän IRC-verkkoon Irssi kokeilee vuorotellen näitä palvelimia kunnes saa yhteyden johonkin niistä.

Irssissä on oletuksena asetettu palvelimet monille yleisimmille IRC-verkoille, ja ne voi listata komennolla
/server list
Joka tulostaa suunnilleen seuraavaa
irc.stealth.net 6668 IRCnet
irc.efnet.net 6667 EFNet
irc.undernet.org 6667 Undernet

Luodaan nyt aluksi uusi verkko ja asetetaan siihen muutama palvelin. Kutsutaan verkko nimellä <tt>verkko</tt>. Luodaan se ja lisätään siihen palvelimet <tt>irc.verkko.org</tt> ja <tt>irc2.verkko.org</tt> komennoilla
/network add verkko
/server add -network verkko irc.verkko.org
/server add -network verkko irc2.verkko.org

Vastaavasti palvelimia voidaan poistaa tietokannasta komennolla
/server remove irc.verkko.org

Jos esimerkiksi halutaan korvata IRCnetin oletuspalvelin suomalaisella palvelimella, se tehtäisiin seuraavasti
/server remove irc.stealth.net
/server add -network ircnet irc.operaattorisi.fi

Nyt kun olemme asettaneet palvelimia verkolle, voimme yhdistää siihen komennolla
/connect verkko
Jolloin Irssi yrittää ensin yhdistää ensimmäiseen verkon palvelimeen (tässä <tt>irc.verkko.org</tt>) ja jos siihen ei saada yhteyttä, yritetään toista palvelinta (<tt>irc2.verkko.org</tt>).

==== Useampien verkkojen yhtäaikainen käyttö ====
Irssi tukee useampien verkkojen yhtäaikaista käyttöä. Yksinkertaisin tapa on yhdistää niihin komennolla <tt>/server palvelin</tt> lisäten palvelimen osoitteen eteen +-merkki silloin, kun aikaisempia yhteyksiä ei haluta katkaista. Esimerkiksi
/server irc.verkko1.org
/server +irc.verkko2.fi
Joka avaa uuden ikkunan toista verkkoa varten.

Kätevämpi tapa on käyttää edellä esiteltyä tukea eri IRC-verkoille. Tällöin verkkoihin yhdistäminen onnistuu helposti komennoilla
/connect verkko
/connect toinen_verkko
Ja vastaavasti yhteyden verkkoon voi katkaista komennolla
/disconnect verkko

Kun Irssillä on yhdistetty useampiin verkkoihin samanaikaisesti, voi Irssin ''status''-ikkunassa (ensimmäinen ikkuna) valita käytettävän verkon näppäinyhdistelmällä ctrl+x, jolloin Irssi vaihtaa verkkoa, johon annettavat komennot vaikuttavat ja kertoo sen käyttäjälle:
-!- Irssi: Changed to verkko server irc.verkko.org
Tästä ei tarvitse huolehtia silloin, kun komentoja ajetaan kanavaikkunoissa. Jos aktiivinen ikkuna on verkkon <tt>verkko2</tt> kanava ja suoritat komennot <tt>/j #kanava2</tt>, liityt verkon <tt>verkko2</tt> kanavalle <tt>#kanava2</tt>.

=== Kanaville liittyminen ja niiltä lähteminen ===
Kanaville liitytään komennolla
/join #kanava
tai lyhyemmin
/j #kanava
Jos kanavalla on käytössä salasana, se annetaan kanavan nimen jälkeen:
/j #salakanava salasana

Jos halutaan liittyä kanavalle joka on eri IRC-verkossa kuin nykyinen aktiivinen ikkuna, voidaan antaa myös haluttu verkko:
/j -verkko #kanava
Liittyisi verkon <tt>verkko</tt> kanavalle <tt>#kanava</tt>.

Kanavilta poistutaan komennolla
/leave
Poistumissyy voidaan myös antaa:
/leave syy
Myös kanavaikkunan sulkeminen komennolla <tt>/wc</tt> saa aikaan kanavalta poistumisen.

=== Kanavalla ===
Kanavalle voi lähettää viestejä normaalisti kirjoittamalla viestin tekstikenttään ja painamalla enteriä. Normaaliin tapaan voi lähettää myös ns. ''/me''-viestejä komennolla
/me tekee jotain

Nimimerkin vaihtaminen onnistuu komennolla
/nick uusi_nimi

Liittymisen jälkeen Irssi kertoo kanavan aiheen (engl. ''topic'') ja listaa paikalla olevat käyttäjät. Myöhemmin nämä tiedot saa näkyviin komennoilla <tt>/topic</tt> ja <tt>/names</tt>.

Kun kanavalle liittyy uusia henkilöitä, Irssi ilmoittaa siitä seuraavasti
13:31-!- nimimerkki [~nimi@hosti.fi] has joined #wikilinux
Vastaavasti poistumisista saat ilmoituksen muotoa
13:58 -!- nimimerkki [nimi@hosti.fi] has left #kanava [poistumissyy]
Tai jos henkilö poistuu koko verkosta, saat vastaavan ''quit''-viestin.

Jos jollekin käyttäjälle annetaan kanavaoperaattorin oikeudet (+o) tai puheoikeudet (+v), niistä ilmoitetaan seuraavasti
13:59 -!- mode/#kanava [+ov nimi1 nimi2] by Operaattori
Tarkoittaisi sitä, että käyttäjä <tt>Operaattori</tt> antoi kanavaoperaattorin oikeudet käyttäjälle <tt>nimi1</tt> ja puheoikeudet käyttäjälle <tt>nimi2</tt>.

=== Yksityisviestit ===
Yksityisviestejä voi lähettää toisille käyttäjille komennolla
/msg nimi viesti
Jos henkilö on toisessa verkossa kuin komentoa kirjoitettaessa aktiivisena oleva ikkuna, voidaan käyttää asetusta <tt>-verkko</tt>:
/msg -verkko nimi viesti
Kun sinulle tulee yksityisviesti, Irssi avaa uuden kanavaikkunan tätä keskustelua varten. Se voidaan avata myös valmiiksi komennolla
/query nimi

=== Lokit ===
Irssi ei oletuksena tallenna lokitiedostoja, mutta lokituksen saa päälle komennolla <tt>/set autolog on</tt>. Lokit tallennetaan oletusarvoisesti [[Linuxin hakemistorakenne|hakemistoon]] <tt>~/irclogs/</tt>, mutta sitäkin voi muuttaa antamalla uuden hakemiston komentamalla <tt>/set autolog_path polku</tt>.

=== Yleisimpiä asetuksia ===
Irssiä on mahdollista säätää muuttamalla lukuisia eri asetuksia. Yleisesti asetuksia muutetaan komennolla
/set asetus arvo
ja tietyn asetuksen arvon näkee komennolla
/set asetus
Jos tässä tapauksessa löytyy useita merkkijonolla <tt>asetus</tt> alkavia asetuksia, Irssi listaa ne kaikki ja näyttää niiden arvon.

Tehdyt asetukset tallennetaan komennolla
/save

Tarkka lista mahdollisista asetuksista löytyy [http://irssi.org/documentation/settings Irssin ohjeista].

==== Merkistö ====
Ääkkösten ja muidenkin erikoismerkkien kanssa voi tulla ongelmia, jos Irssiä ei ole asetettu käyttämään samaa merkistöä kuin päätettä. Merkistö asetetaan komennolla
/set term_charset merkistö
Esimerkiksi [[UTF-8]]-merkistö asetetaan komennolla
/set term_charset utf-8
Tai iso-8859-15 komennolla
/set term_charset iso-8859-15

Sama merkistö on asetettava myös päätteeseen, esimerkiksi [[Konsole]]ssa se asetettaisiin valitsemalla ''Asetukset'' - ''Merkkimuunnos'' - ''Unicode (UTF-8)''.

Tarkempia tietoja Irssin merkistöongelmien ratkaisusta: http://linkkijkl.fi/node/441

==== Aikaleima ====
Irssi ilmoittaa jokaisen viestin alussa aikaleiman. Oletuksena tämä on muodossa tunnit:minuutit, mutta sitä voidaan muuttaa muuttamalla asetusta <tt>timestamp_format</tt>. Sen arvo on merkkijono, johon tunnit merkitään %H:lla, minuutit %M:llä ja sekunnit %S:llä. Tarkka lista mahdollisista erikoismerkeistä löytyy Irssin ohjeen [http://irssi.org/documentation/settings asetukset-osion] liitteestä C. Esimerkiksi aikaleima asetettaisiin muotoon tunnit:minuutit:sekunnit komennolla
/set timestamp_format %H:%M:%S
Vastaavasti lokitiedoston aikaleiman muodon määrää asetus <tt>log_timestamp</tt>. Lisäksi asetuksen <tt>timestamps</tt> pitää olla ON-asennossa (<tt>/set timestamps ON</tt>).

=== Recode ===
Irkissä käytetään eri merkistökoodauksia eri kanavilla, mikä saattaa aiheuttaa ongelmia. Recode on työkalu, joka osaa muuntaa esimerkiksi ISO-8859-15-merkistöllä tulevan tekstin UTF-8-muotoon, jolloin se näkyy oikein UTF-8-merkistöä käyttävässä päätteessä.

Recodesta kerrotaan tarkemmin artikkelissa [[Unicode#Irssi|Unicode]].

=== Kanavaoperaattorin työkalut ===
Kanavaoperaattorit voivat käyttää samanlaisia komentoja kuin muissakin IRC-asiakasohjelmissa. Esimerkiksi irkkaajalle <tt>nimi1</tt> annettaisiin kanavaoperaattorin oikeudet ja irkkaajalle <tt>nimi2</tt> puheoikeudet komennolla
/mode #kanava +ov nimi1 nimi2
Ja vastaavasti ne voitaisiin ottaa pois käyttämällä plus-merkin sijaan miinusta. Operaattorin oikeuksia (''op'') ja puheoikeuksia (''voice'') voi antaa myös nopeammin komennoilla
/op nimi
ja
/voice nimi

Ja vastaavasti oikeuksia voidaan ottaa pois komennoilla
/deop nimi
ja
/devoice nimi

Vastaavasti kanavalle voidaan asettaa eri tiloja normaalisti komennolla
/mode #kanava +/- tila
esimerkiksi
/mode #kanva +m
Asettaisi kanavan ns. ''moderated''-tilaan, jolloin vain kanavaoperaattorit ja puheoikeuden saaneet saavat puhua.

Kanavan otsikkoa voidaan vaihtaa komennolla
/topic kanava

Henkilö potkitaan komennolla
/kick nimi syy
Ja porttikielto asetettaisiin komennolla
/ban nimi
Joka asettaa porttikiellon käyttäjän osoitteen (engl. ''host'') perusteella. Tämä osoite näkyy komennon tulosteessa:
14:20 -!- mode/#kanava [+b *!*nimi@*.hosti.fi] by operaattori
Näin asetettu porttikielto voidaan poistaa komennolla
/mode #kanava -b *!*nimi@*.hosti.fi
Porttikielto tietylle osoitteelle voidaan asettaa myös käsin:
/ban *!*nimi@*.hosti.fi
Osoite on muotoa <tt>nimimerkki!käyttäjänimi@osoite.fi</tt>. Kohtia voi korvata myös tähdellä, jolloin mikä tahansa merkkijono toteuttaa ehdon. Näin esimerkiksi nimimerkkiä "p33l0" käyttämällä ei pääse kanavalle, jos sille on asetettu porttikielto komennolla
/ban p33l0!*@*
Porttikiellot voi listata komennolla
/mode #kanava +b

=== Away-tila ja backlog ===
Itsensä voi asettaa poissaolevaksi komennolla
/away syy
''Away''-tilasta poistutaan vastaavasti komennolla
/away
Tällöin Irssi listaa status-ikkunaan (oletuksena alt+1) poissaollessasi sinulle osoitetut viestit (yksityisviestit ja kanavilla olleet sinulle osoitetut viestit muotoa "nimimerkkisi: moi"). Jos käytät irssiä [[screen]]in kanssa kuten tyypillistä on, saattaa Irssin [http://scripts.irssi.org/ skriptisivulta] löytyvä <tt>[http://scripts.irssi.org/scripts/screen_away.pl screen_away.pl]</tt> olla hyödyllinen, se nimittäin laittaa poissaoloviestin päälle kun screeniä ei käytetä. Lisätietoja skripteistä ja niiden käyttöönotosta löytyy tämän artikkelin osiosta [[Irssi#Skriptit|Skriptit]].

=== Korostukset ===
Jos haluat irssin korostavan oman nimimerkkisi, komenna <tt>/set hilight_nick_matches on</tt>. Voit muuttaa korostuksen väriä asetuksesta <tt>hilight_color</tt> ja korostetun kanavan väriä asetuksesta <tt>hilight_act_color</tt>. Oletuksena nämä ovat <tt>%Y</tt> eli keltainen ja <tt>%M</tt> eli magenta.

=== Skriptit ===
Irssi hakee Perl-skriptejä käyttäjän [[kotihakemisto]]n alta hakemistosta <tt>.irssi/scripts</tt>. Tiedoston voi ottaa käyttöön komentamalla <tt>/run skripti</tt>, jolloin ajetaan skripti jonka polku on <tt>~/.irssi/scripts/skripti.pl</tt>. Esimerkkinä ajetaan <tt>trackbar.pl</tt>-skripti:
/run trackbar

Jos haluat ajaa skriptejä joka kerta kun irssi käynnistyy, sijoita ne hakemistoon <tt>~/.irssi/scripts/autorun</tt>. Jos hakemistoja ei löydy, voit luoda ne komentorivikomennolla <tt>[[mkdir]] hakemisto</tt>.

=== DCC ===
DCC (''Direct Client to Client'') on IRC-protokollan osa, jonka välityksellä IRC-asiakasohjelmat voivat keskustella suoraan keskenään ilman IRC-palvelinta. DCC:n avulla on mahdollista lähettää tiedostoja ja käydä keskustelua IRC-palvelimesta riippumatta.

Koneella olevia tiedostoja voi lähettää toiselle käyttäjälle komennolla
/dcc send nimimerkki tiedosto1 tiedosto2
esimerkiksi
/dcc send kalle /home/pentti/lomakuva.png /home/pentti/lomakuva2.png
Tämän jälkeen vastaanottajan tulee hyväksyä lähetys.

Kun toinen irkkaaja tarjoaa Irssille tiedostoa, Irssi ilmoittaa siitä status-ikkunaan (ikkunaan 1) seuraavasti:
[IRCnet] DCC SEND from pentti [123.456.789.79 port 36730]: tiedosto.txt [345B]
Tällöin tiedoston vastaanottaminen voidaan hyväksyä komennolla
/dcc get
tiedosto tallennetaan työhakemistoosi (eli hakemistoon, jossa olit kun käynnistit Irssin). Jos useampi käyttäjä tarjoaa tiedostoja samanaikaisesti, voidaan <tt>/dcc get</tt>:ille antaa parametriksi sen käyttäjän nimi, jolta tiedosto vastaanotetaan. Lisäksi on mahdollista vastaanottaa vain tietty tiedosto, syntaksi on
/dcc get nimimerkki tiedostonimi
Jo osittain vastaanotetun tiedoston vastaanottamista voi myös jatkaa komennolla
/dcc resume [nimimerkki [tiedosto]]
Tässä siis nimimerkki ja tiedosto ovat vapaavalintaisia parametreja.

Jos DCC-yhteys ei toimi tiukan palomuurin takia on mahdollista käyttää passiivista yhteyttä, mutta tämä ei toimi kaikkien asiakasohjelmien kanssa. Passiivista yhteyttä käyttäen tiedosto lähetetään komennolla
/dcc send -passive nimimerkki tiedosto
Ja se vastaanotetaan normaaliin tapaan <tt>/dcc get</tt>:illä.

=== Ignore ===
Joskus halutaan suodattaa näkymästä pois tietyiltä henkilöiltä tulleet viestit tai esimerkiksi kanavalle liittymis- tai lähtemisviestit. Tämä tapahtuu komennolla <tt>/ignore</tt>.

Tietyn nimimerkin viestit voidaan suodattaa komennolla
/ignore nimimerkki
Suodatus voidaan tehdä myös käyttäjän ''hostin'' perusteella, esimerkiksi kaikilta puolalaisilta tulevat viestit suodatettaisiin komennolla
/ignore *!*@*.pl
Tietyn henkilön lähettämät yksityisviestit voidaan suodattaa komennolla
/ignore nimimerkki msgs
tällöin henkilön kanaville lähettämiä viestejä ei suodateta, vain yksityisviestit.

Liittymis- ja poistumisilmoitukset tietyltä kanavalta suodatetaan komennolla
/ignore #kanava joins parts

Voimassa olevat suodatukset listataan komennolla <tt>/ignore</tt>. Tällöin irssin ''status''-ikkunaan (oletuksena kanavaikkuna 1) tulostuu lista suodatuksista, esimerkiksi:
Ignorance List:
1 #isokanava: JOINS PARTS
2 Nimimerkki ALL
Tässä rivin alussa oleva numero on suodatuksen tunnus. Suodatus poistetaan käytöstä komennolla <tt>/unignore numero</tt>, esimerkiksi
/unignore 1

== Lisää ominaisuuksia ==
Irssi on monipuolisempi ohjelma kuin miltä se aluksi saattaa näyttää. Kun edellä läpikäydyt perusasiat ovat suurinpiirtein hallussa, voidaan alkaa tutustumaan edistyneempiin ominaisuuksiin jotka helpottavat osaavan käyttäjän elämää.

=== Tab-täydennys ===
[[Komentorivin perusteet|Komentoriviltä]] tuttu täydentäminen tabulaattorilla toimii myös Irssissä, jos esimerkiksi haluat muuttaa asetusta <tt>term_charset</tt>, kirjoita vain
/set ter
ja näpyttele tabulaattoria, kunnes haluamasi asetus ilmestyy näkyviin. Täydennys toimii myös nimimerkkien ja kanavien kanssa.

=== Automatisointi ===
Irssi on mahdollista asettaa yhdistämään käynnityksen yhteydessä automaattisesti IRC-palvelimelle ja liittymään halutuille kanaville. Tämä yhdistettynä kanavaikkunoiden järjestyksen tallentavaan <tt>/layout save</tt> -komentoon helpottaa huomattavasti tilannetta, jossa Irssi on syystä tai toisesta käynnistettävä uudelleen.

Palvelimelle yhdistäminen tapahtuu lisäämällä palvelin <tt>-auto</tt>-parametrin kera. Esimerkiksi Freenodea varten lisättäisiin tällainen palvelin komennolla
/server add -auto -network freenode irc.freenode.net
Jos sama palvelin on jo lisätty kyseiselle IRC-verkolle, muutetaan sen tilaksi "''autoconnect''". Palvelimen tilan näkee komennolla <tt>/server list</tt>.

Automaattisesti liityttävät kanavat lisätään komennolla <tt>/channel add</tt>. Esimerkiksi lisätään muutama IRCNetin kanava automaattisesti liityttäviksi:
/channel add -auto #wikilinux ircnet
/channel add -auto #linux^n00bs ircnet
Kanavan nimen jälkeen annetaan siis sen IRC-verkon nimi, jossa kanava sijaitsee. Kanavat on mahdollista listata komennolla <tt>/channel list</tt>.

Kanavat on mahdollista poistaa listalta komennolla
/channel remove #kanava verkko
ja palvelin komennolla
/server remove irc.palvelin.fi

===Monen ikkunan näkymä===
[[Kuva:Irssi-split-window.png|thumb|right|250px|Kaksi kanavaa näkyvissä samanaikaisesti]]
Irssissä on mahdollista myös ottaa näkyviin useita ikkunoita (engl. ''split windows'') yhtäaikaisesti, joskaan sitä ei ole välttämättä aiheellista opetella ennen kuin hallitsee irssin peruskäytön kunnolla. Ominaisuus on näppärä, jos osallistuu useaan keskusteluun yhtäaikaisesti ja näyttötilaa on paljon. Huonona puolena voi mainita väärälle kanavalle kirjoittamisen helppouden.

Oletusarvoisesti lisänäkymissä (engl. ''containers'') näytetään niitä ikkunoita, joilla ne on avattu, eikä näkyvää ikkunaa voi vaihtaa. Jos haluat vaihtaa ikkunaa, sinun tulee kytkeä ikkunan tahmeus (engl. ''window stickiness'') pois päältä. Näkymien välillä voit vaihtaa alt+ylös ja alt+alas -pikanäppäimillä.

Uusi lisänäkyvä voidaan lisätä komennolla <tt>/window show numero</tt>, missä <tt>numero</tt> on lisäikkunaan avattavan kanavaikkunan numero. Esimerkiksi ruudun yläreunaan voitaisiin lisätä uusi lisäikkuna jossa näkyy kanavaikkuna 2 komennolla
/window show 2

Näin avattu lisäikkuna voitaisiin piilottaa ja siis palata takaisin lähtötilanteeseen komennolla
/window hide 2
Tosin koska uudet lisäikkunat ovat oletuksena ''tahmeita'', niitä ei voi piilottaa. Valittuna olevan ikkunan tahmeus voidaan ottaa pois komennolla
/window stick off

Jos halutaan, että uudet ikkunat eivät ole automaattisesti tahmeita, voidaan tällainen asetus tehdä komennolla
/set autostick_split_windows off

Muita hyödyllisiä komentoja ovat
{| border=1
|'''Komento'''
|'''Kuvaus'''
|-
|<tt>/window balance</tt>
|Tasaa näkyvät lisäikkunat yhtä suuriksi
|-
|<tt>/window grow x</tt>
|Kasvattaa ikkunan kokoa x riviä (oletuksena 1)
|-
|<tt>/window shrink x</tt>
|Pienentää ikkunan kokoa x riviä (oletuksena 1)
|-
|<tt>/window size koko</tt>
|Asettaa ikkunan kooksi <tt>koko</tt> riviä
|}

Lisätietoja monen ikkunan näkymästä löytyy englanniksi ohjeesta [http://quadpoint.org/articles/irssisplit An Illustrated Guide to Split Windows in Irssi].

=== Aliakset ja näppäinyhdistelmät===
Kun joitain Irssin komentoja joutuu käyttämään usein, tulee mieleen että ne voisi muuttaa lyhyemmiksi tai helpommin muistettaviksi. Tämä tapahtuu komennolla <tt>/alias</tt>. Esimerkiksi kanavalla olevat käyttäjät näyttävälle <tt>/names</tt>-komennolle voitaisiin luoda alias <tt>/n</tt> komennolla
/alias n names
jonka jälkeen käyttäjien listaaminen onnistuu myös komennolla <tt>/n</tt>.

Käytössä olevat aliakset näkee komennolla <tt>/alias</tt>. Tällöin ''status''-ikkunaan ilmestyy lista aliaksista, esimerkiksi äskeisen komennon jälkeen
Aliases:
n names
Näin luodun aliaksen voisi poistaa komennolla
/unalias n

Kuten tunnettua, kanavien vaihtaminen tapahtuu Irssissä näppäinyhdistelmällä alt+numero. Vastaaville näppäinyhdistelmille voidaan luoda erilaisia toimintoja komennolla <tt>/bind</tt>. Komennon syntaksi on
/bind näppäimet toiminto
Näppäimet kirjoitetaan siten, että tavallisiin kirjaimiin viitataan kirjaimella itsellään. Control-näppäimeen viitataan potenssimerkillä ^ ja alt-näppäimeen sanalla ''meta''. Esimerkiksi näppäinyhdistelmään CTRL+W CTRL+C vastaisi merkintä <tt>^W^C</tt> ja yhdistelmää ALT-q vastaisi merkintä <tt>meta-q</tt>.

Näppäinyhdistelmän jälkeen tulee annettava komento. Komentoja ovat mm. <tt>next_window</tt>, <tt>previous_window</tt>, <tt>change_window</tt> ja <tt>delete_next_word</tt>. Jotkut komennot ottavat lisäksi parametreja, esimerkiksi <tt>change_window</tt>.

Muutamia esimerkkejä:
* Näppäinyhdistelmä alt+q sirtyy kanavalle 11:
/bind meta-q change_window 11
* Ctrl+u tyhjentää rivin
/bind ^u erase_line

Kaikki ''bindit'' näkee komennolla <tt>/bind</tt>. Tietty näppäinyhdistelmä poistetaan listalta komennolla <tt>/bind -delete</tt>, esim.
/bind -delete meta-q

Lisätietoja ja lista mahdollisista komennoista löytyy kirjoittamalla Irssissä komennon /help bind.

=== Muita vinkkejä ===
Irssissä on myös monia muita käteviä työkaluja, esimerkiksi tietyn henkilön viimeisimmät viestit saa näkyviin komennolla <tt>/lastlog nimi</tt>. Ikkunat järjestyvät yleensä palvelinyhteyksien ja liittymisten mukaiseen järjestykseen, mutta järjestyksen voi myös tallentaa jotta ikkunan avautuisivat seuraavalla käynnistyksellä samaan järjestykseen kuin ennen. Tämä tapahtuu komennolla <tt>/layout save</tt>.

Joskus näppäilyvirhe johtaa siihen, että kaksi kirjainta tulee kirjoitettua väärässä järjestyksessä. Tähän auttaa näppäinyhdistelmä ctrl+t, joka vaihtaa kahden viimeisimmän kirjaimen paikkaa.

Irssin englanninkielistä ohjetta pääsee katselemaan kirjoittamalla <tt>/help</tt> tai suoraan <tt>/help komento</tt>.

==Katso myös==
*[[IRC]]
*[[Irssiproxy]]
*[[Unicode]] (UTF-8 merkistön käyttö Irssissä)
*[[X-Chat]]
*[[Bitlbee]]

==Aiheesta muualla==
*[http://www.irssi.org/ Irssin kotisivut]
**[http://www.irssi.org/scripts/ Irssin skriptit]

[[Luokka:Pikaviestimet]]

IPv6-tunneli

2010-01-21T14:10:45Z

Joell: /* Suora IPv6 lähiverkossa */ link-local

{{vanhentunut|Ainakin Xs26:n osuus vanhentunut}}
IPv6 on Internetissä nykyisin käytetyn IP-protokollan version 4 seuraajaksi tarkoitettu protokollaversio, jonka tärkein uusi ominaisuus on suurempi osoiteavaruus. Ideaalitilanteessa operaattori tarjoaa käyttäjilleen IPv6-yhteyden IPv4:n rinnalla, mutta kuluttaja-asiakkaiden tapauksessa useinkaan näin ei ole. Tällöin voidaan IPv6-yhteys rakentaa myös tunneloimalla IPv6-liikenne IPv4-verkkojen yli, eli siirtämällä IPv6-liikenne paketoituna IPv4-pakettien sisällä.

Tunneleita voi olla joko kiinteästi määriteltyjä, yleensä jonkinlaisen rekisteröinnin vastapuolen kanssa vaativia, tai dynaamisia, jolloin tunneli muodostuu aina tarvittaessa automaattisesti. Dynaamiset mekanismit perustuvat usein anycast-tekniikkaan, jolloin liikenne osoitetaan tunnettuun IPv4-osoitteeseen (esim. 192.88.99.1), joka on määritelty useampaan laitteeseen ympäri maailmaa, ja reitityksellä liikenne välitetään aina näistä lähimpään.

Eri tunnelointimekanismit eroavat toisistaan myös paketointimenetelmän suhteen. Yksinkertaisimmissa menetelmissä IPv6-paketti sijoitetaan suoraan IPv4-otsikon perään, mikä minimoi otsikkotietoihin hukkaantuvan datan määrän. Toisaalta nämä mekanismit toimivat vain rajoitetusti palomuurien ja erityisesti NAT:n lävitse, joten on kehitetty myös menetelmiä, joissa IPv6 paketoidaan UDP-paketin sisään.

Seuraavissa luvuissa on kuvattu tarkemmin yleisimpien tunnelointimekanismien käyttöä:
* Kiinteä XS26 -tunneli (kiinteä, IPv6-over-IPv4)
* 6to4 (dynaaminen, IPv6-over-IPv4)
* Teredo (dynaaminen, IPv6-over-UDP-over-IPv4)

Tämän lisäksi on myös muita menetelmiä, kuten L2TP (kiinteä, IPv6-over-UDP-over-IPv4) jne.

==Kiinteä [http://www.xs26.net XS26:n] tunneli==

===Vaatimukset===
Sinulla on oltava GNU/Linux kone, jolla on suhteellisen pysyvä (mieluusti kiinteä) ip-osoite (aina kun ip-osoite vaihtuu, on sinun säädettävä tunnelia). Tämän lisäksi kernelissä on oltava tuki IPv6:lle (yleensä moduulina).

===Tunnelin rekisteröinti===
'''Huomautus!''' xs26:n sivut ovat uudistuneet, eivätkä tämän artikkelin ohjeet toimi suoraan, vaan joudut soveltamaan niitä!

Ensimmäinen vaihe on rekisteröidä IPv6-tunneli (tässä tapauksessa) osoitteessa [http://www.xs26.net www.xs26.net] seuraavalla tavalla:

Luo itsellesi tunneli kohdassa Tunnels. Tarvitset vain koneesi IP:n. Anna myös sijaintisi ja koneesi käyttöjärjestelmä (Linux)
Valitse aukeavasta listasta yksi (tai useampi) palvelin pingin perusteella, ja ota sen IP talteen.
Kun tunneli on valmis, on aika luoda itsellesi alue Zones-kohdasta.
Luo zone valisemalla Tunnel objectiksi juuri luomasi tunneli (eli koneesi IP-osoite). Kuvaukseksi kirjoita mitä haluat.
Kun zone on luotu, tulee Zones-kohtaan lähes tämäntyyppinen Zone: 3ffe:80ee:2e17::/48 (luultavasti vain 2e17 poikkeaa hieman).
Nyt on sitten aika laittaa tunneli toimimaan. Kopioi Help-kohdasta tunnelin käynnistysskripti, ja tee siihen seuraavat muutokset:

#Laita kohtaan MYIPv4 palvelimesi/koneesi IP-osoite 
#Kohtaan XSIPv4 laita aiemmin tunnelia luodessasi valitsemasi palvelimen IP 
#Kohtaan MYIPv6 laita haluamasi IPv6-osoite, jonka pitää kuulua rekisteröimääsi zoneen. Mikäli zonesi alue on 3ffe:80ee:2e17::/48, voit käyttää osoitteita 3ffe:80ee:2e17::1/128, 3ffe:80ee:2e17::2ab3/128 jne. IPv6 osoite koostuu heksa-merkistön merkeistä (1,2,3,4,5,6,7,8,9,0,a,b,c,d,e,f), joita yhdessä osassa voi olla korkeintaan 4. Neljän merkin osia IPv6-osoitteesa on 8. Samalla tavalla voit lisätä myös muita IPv6-osoitteita osoittamaan koneellesi (kohdat IP0, IP1 jne). Näitä kannattaa laittaa muutama IRC:n vhosteja varten. 
#Poista kommenttimerkki (#) riveiltä "ifconfig $TUNLIF add $IPX" sen mukaan, montako lisä-IPv6-osoitetta laitoit (IP0, IP1, IP2 jne). 

===Tunnelin käynnistys===
Anna skriptille suoritusoikeudet (<tt>chmod +x skriptinnimi</tt>) ja aja se komennolla ./skriptinnimi start. Katso sitten /sbin/ifconfig:in tulostetta, siitä pitäisi löytyä kutakuinkin seuraavanlainen tuloste:
xs26-0 Link encap:IPv6-in-IPv4
inet6 addr: 3ffe:80ee:2eda::b2/128 Scope:Global
inet6 addr: 3ffe:80ee:2eda::a1/128 Scope:Global
inet6 addr: fe80::51c5:38a7/128 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1
RX packets:8691 errors:0 dropped:0 overruns:0 frame:0
TX packets:7353 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6347901 (6.0 MiB) TX bytes:719143 (702.2 KiB)

Sitten voitkin kokeilla tunnelin toimintaa käytännössä vaikkapa komennolla ping6 eu.irc6.net.

===Anycast-tunnelin käyttöönotto===
Jos sinulla on julkinen ipv4-osoite voit myöskin käyttää siihen sisältyvää /48 blockia ipv6sia. Voit muuttaa ipv4-osoitteesi ipv4to6to4-muotoon sivua http://grox.net/utils/ipv6.php hyväksikäyttäen.
Anycast-tunnelia voi käyttää ilman rekisteröintiä käyttämällä IP-numeroa 192.88.99.1. Suomessa useimmilla tämä tarkoittaa, että verkkoliikenne ohjautuu Funetin ylläpitämään tunneliin, mutta 192.88.99.1 on siitä erikoinen IP-osoite, että sen jokainen operaattori voi ohjata omaan tunnelipurkkiinsa ja siten samalla IP-numerolla löytää aina lähimmän anycast-tunnelin.

Seuraavilla komennoilla saat tunnelin käyttöösi. Esimerkiksi on valittu 85.76.180.111 ipv4-osoite, joka on muutettu 6to4-muotoon 2002:554c:b46f:: ja sitten otettu käyttöön ::1 ja ::2 osoitteet sen ipv6-alueesta.

modprobe ipv6
ip tunnel add tun6to4 mode sit ttl 255 remote any local 85.76.180.111
ip link set dev tun6to4 up
ip -6 addr add 2002:554c:b46f::1/16 dev tun6to4
ip -6 addr add 2002:554c:b46f::2/16 dev tun6to4
ip -6 route add 2000::/3 via ::192.88.99.1 dev tun6to4 metric 1

===DNS ja reverset===
Nyt sinulla onkin jo toimiva IPv6-tunneli, ja seuraavat vaiheet vaikuttavat lähinnä IRCiin. Seuraava vaihe on saattaa DNS toimintaan, jotta esim. vhostit toimisivat. Tämä onnistuu kätevästi [http://freedns.afraid.org afraid.org:issa] seuraavalla tavalla:

#Luo itsellesi tunnus 
#Kohdassa Subdomains valitse tyypiksi AAAA. Kohtaan subdomain kirjoita mitä haluat, ja kohdasta Domain valitse jokin public-merkitty domain. Address-kohtaan kirjoita jokin IPv6-osoitteesi pakkaamattomassa muodossa. Pakkaamattomaan muotoon saat muutettua osoitteesta http://grox.net/utils/ipv6.php löytyvällä ohjelmalla (valitse Address to full uncompressed. Huomaa kuitenkin että et tee ns. dnsspammia. Tarkista hostisi kelpaavuus ja lue lisää dnsspammista osoitteessa [http://www.dnsspam.nl dnsspam.nl]. 
#Voit samalla luoda eri subdomainin muillekkin valitsemillesi IPv6-osoitteille. 
#Seuraavaksi mene kohtaan IPv6 Reverse ja paina Add IPv6 Subnet. Lisää subnetiksi XS26:een rekisteröimäsi Zone (jotain tyyliin 3ffe:80ee:2e17::/48). Seuraavaksi paina lisäämäsi subnetin kohdalla add record, ja lisää taas täysin pakkaamattomassa muodossa IPv6-osoitteesi (huomaa että alkuosa on valmiiksi). Hostnameksi pistä Subdomains-kohdassa samalle IPv6-osoitteelle rekisteröimäsi subdomain. 

===Nimipalvelimet===
Jotta reverset toimisivat, sinun on lisättävä nimipalvelimet tunneliin. Mene XS26:n sivuille, ja Zones-kohdassa paina tunnelisi kohdalta nappia DNS settings.
Käytä nimipalvelimina:
ns1.afraid.org
ns2.afraid.org
(voit halutessasi vielä lisätä ns3.afraid.org:in ja ns4.afraid.org:in)

Tämän jälkeen joudut odottamaan nimipalvelimien päivittymistä. Afraid.org:in palvelimet päivittyvät noin 5 minuutin välein, mutta jos käytät omalla koneellasi operaattorisi nimipalvelimia, voi kestää jopa 48 tuntia ennenkuin tiedot päivittyvät niille asti.

==Anycast-tunneli==

Anycast-tunnelin hyöty ylläkerrottuun kiinteään tunneliin on, ettei sitä tarvitse rekisteröidä, joten kynnys kokeiluun on pienempi. Toinen merkittävä hyöty on anycastista on se, että tunnelointi tapahtuu aina lähimmän anycast-palvelua tarjoavan reitittimen kautta, jolloin paketit usein kiertävät tunneloituna lyhyemmän matkan. Anycastiin perustuvia menetelmiä ovat 6to4 (IPv6-over-IPv4) ja Teredo (IPv6-over-UDP-over-IPv4).

=== 6to4 -tunnelin pystytys ===

Samoin kuin kiinteä tunneli, myös 6to4-tunneli vaatii julkisen IPv4-osoitteen tunnelin päätepisteenä olevalle koneelle. Yhteys muodostetaan luomalla tunneli omasta koneesta ulospäin, ja osoittamalla IPv6 reititys tuon tunnelin läpi osoitteen 192.88.99.1 kautta. [http://www.faqs.org/rfcs/rfc3068.html]

Esimerkissä on skripti, joka ajetaan [[PPPoE]]-yhteyden käynnistyessä. Käytössä ''iproute2''-paketin ''ip''-ohjelma sekä ''ipv6calc''-ohjelma, jotka yleensä löytyvät nykyisistä Linux-jakeluista valmiiksi paketoituna.

*Katso myös [http://www.csc.fi/funet/palvelut/yhd/ipv6/funet6to4 Funetin ohjeita].

===6to4-skripti===

Skriptissä käytetty $LOCALIP on verkkoyhteyden julkinen IP, ja $IPV6 on komennon "ipv6calc --ipv4_to_6to4addr $LOCALIP" tulos.

#!/bin/bash
LOCALIP="212.50.134.65"
IPV6=`ipv6calc --ipv4_to_6to4addr $LOCALIP`
/sbin/ip tunnel add tun6to4 mode sit ttl 64 remote any local $LOCALIP
/sbin/ip link set dev tun6to4 up
/sbin/ip -6 addr add ${IPV6}1/16 dev tun6to4
/sbin/ip -6 route add default via ::192.88.99.1 dev tun6to4 metric 1

Ylläolevassa skriptissäkin reittitietoja ei välttämättä tarvitse kuin tuon alimman, myöskin [[MTU]]-arvon laskeminen 1400 voi monella olla turha.

===6to4-reititys===

Mikäli Linux-koneesi on verkkosi laidalla [[NAT]]-reitittimenä, voidaan muutkin lanissa olevat koneet yhdistää nyt verkkoon julkisilla IPv6-osoitteilla. Alla mainitun radvd:nn käyttö ei ole pakollista, voit määrittää kaikille koneille myös käsin IPv6-osoitteet ja laittaa tunnelikoneen kautta reitityksen toimimaan, mutta käytettäessä radvd:tä kaikki sisäverkon koneet saavat automaattisesti IPv6-osoitteen.

====radvd====

Jotta sisäverkon koneille saadaan reititettyä IP-osoitteet, pitää niille kertoa, missä IPv6-reititin on. Tätä varten tunnelikoneelle tarvitaan radvd palvelu. Radvdn löydät [http://v6web.litech.org/radvd/ täältä], tai oman jakelusi [[Paketinhallinta|paketinhallinnasta]].

Kun radvd on asennettu, täytyy /etc-kansiossa oleva radvd.conf-tiedosto luoda/päivittää. Prefix rivin tulee olla muotoa ::/64 vaikka saatkin /48-verkon. Oletetaan että laniin päin menevä verkkokortti on eth1, tällöin konfiguraatio olisi seuraavanlainen:
(korvaa {$IPV6} heksamuodossa olevalla ip-osoitteellasi)

interface eth1
{
AdvSendAdvert on;

# Advertise at least every 30 seconds
MaxRtrAdvInterval 30;

prefix 2002:{$IPV6}::/64
{
AdvOnLink on;
AdvAutonomous on;

AdvValidLifetime 300;
AdvPreferredLifetime 120;
};
};

Nyt radvd on konfiguroitu. Tarkista vielä että sisäverkon verkkokortilla on ipv6 osoite:

/sbin/ifconfig eth1

Listauksessa pitäisi olla "inet6 addr: 2002:xxxx:xxxx" -muotoinen osoite.
Mikäli verkkokortilla ei ole 2002:xxxx:xxxx ipv6 osoitetta, voit lisätä sen seuraavasti:

/sbin/ip -6 addr add ${IPV6}:2/128 dev eth1

Tarkista ipv6 reititys tunnelikoneella:

/sbin/ip -6 route

Mikäli reitityslistassa ei näy reititystä sisäverkkoon
2002:xxxx:xxxx::/64 dev eth1 metric 1 mtu 1500 advmss 1340
tyylisellä rivillä, lisää se seuraavasti:
/sbin/ip -6 route add 2002:xxxx:xxxx::/64 dev eth1 metric 1

Varmista, että tunnelikoneella on päällä ipv6 forwarding:
cat /proc/sys/net/ipv6/conf/all/forwarding
Arvon pitäisi olla 1, mikäli se on 0,
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

Käynnistä radvd
radvd -C /etc/radvd/radvd.conf

Tarkista radvdump ohjelmalla, että reititin mainostaa olemassaoloaan:

$ radvdump
Router advertisement from fe80::xx:xx:xx:0 (hoplimit 255)
Received by interface eth1
...

====Suora IPv6 lähiverkossa====

Tarkista koneelta lähiverkossa, että sillä on IPv6-osoite

ifconfig eth0

Tarkista myös IPv6-reititys:

/sbin/ip -6 route

Reitityksessä pitäisi olla seuraavanlaista:

2002:xxxx:xxxx::/64 dev eth0
2000::/3 via 2002:xxxx:xxxx::2 dev eth0
default via 2002:xxxx:xxxx::2 dev eth0
default via fe80:xx:xx:xx:0 dev eth0

Tässä 2002:xxxx:xxxx::2 pitäisi olla reititinkoneesi sisäverkossa kiinni olevan verkkokortin IPv6-osoite.
Mikäli reittejä puuttuu, kokeile lisätä ne käsin:

/sbin/ip -6 route add 2000::/3 via 2002:xxxx:xxxx::2 dev eth0 metric 1
/sbin/ip -6 route add default via 2002:xxxx:xxxx::2 dev eth0 metric 1

Huomaa, että yhdyskäytäväkoneeseen ''on viitattava'' link-local -osoitteella, tai muuten yhteys toimii hyvin epävakaasti. Lisää tietoa: http://www.mail-archive.com/users@ipv6.org/msg02424.html .
Link-local-osoitteen saa selville komennolla

ip -6 addr

===6to4 reverset===

Jotta voisit käyttää reverse DNS:ää 6to4:n kanssa, pitää osoitealue ensin rekisteröidä, ja määrittää sille nimipalvelimet.
Tämä onnistuu [http://6to4.nro.net 6to4.nro.net:issä]. Avaa sivu IPv6 yhteensopivalla selaimella, ja syötä tarvittavat nimipalvelin tiedot. Voit käyttää nimipalvelimina kohdan 1.4 mukaisesti afraid.org:ia.

==Teredo==

Teredo on viimeinen toivo IPv6-yhteyden järjestämiseen. Se muistuttaa 6to4-tekniikkaa siinä, että yhteyden luominen on varsin dynaaminen eli mitään rekisteröintiä tms. ei tarvita. Merkittävä ero kuitenkin on, että IPv6-paketit tunneloidaan UDP-protokollan päällä, minkä ansiosta yhteyden muodostaminen onnistuu varmemmin [[NAT]]in tai palomuurin takaa. Teredo mahdollistaa esimerkiksi IPv6-yhteydet GPRS/3G-yhteyden yli, mutta esimerkiksi Soneran verkossa kannattaa käyttää prointernet-yhteyttä tavallisen internet-APN:n sijasta. [http://www.remlab.net/miredo/ Miredo] on Linuxissa toimiva Teredo-toteutus, joka on suhteellisen helppo asentaa, sillä se ei yleensä vaadi kernelin uudelleenkääntämistä.

== Osoitteen valinta ==

Aina kun jokin sovellus muodostaa esim. TCP-yhteyden jonnekin, täytyy valita käytettävät lähde- ja kohdeosoitteet. Käytännössä tehdään nimipalvelukysely, johon saadaan vastaukseksi joko IPv4- tai IPv6-osoite tai molemmat. [http://www.ietf.org/rfc/rfc3484.txt RFC 3484] määrittelee perusperiaatteet, joiden mukaan tehdään valinta, jos mahdollisuuksia on useampi.

Yksi perusperiaatteista on, että jos käytössä on sekä tunneloitu että tunneloimaton yhteys, käytetään tunneloimatonta. Tästä syystä kone, jonka IPv6-yhteys on hoidettu esimerkiksi 6to4-tekniikalla, muodostaa oletuksena IPv4-yhteyden molempia protokollia tukevalle palvelimelle. Uudehkoissa Linux-jakeluissa tämä on mahdollista muuttaa muokkaamalla /etc/gai.conf -tiedostoa:

<pre>
label ::1/128 0
label ::/0 1
#label 2002::/16 2
label ::/96 3
label ::ffff:0:0/96 4
precendence ::1/128 50
precendence ::/0 40
precendence 2002::/16 30
precendence ::/96 20
precendence ::ffff:0:0/96 10
</pre>

Toisin sanottuna kommentoimalla pois "label 2002::/16" -rivi varmistetaan että 6to4-osoitteita ei syrjitä muiden kustannuksella. Huom! gai.conf -tiedostoon tehdyt muutokset astuvat oletuksena voimaan vain käynnistämällä kone uudelleen.

==Valmis==

Nyt pitäisi vhostien toimia, voit testata niitä vaikka [[irssi]]llä: Käynnistä irssi ja aseta vhosti komennolla /set hostname rekisteroimasi.subdomain.jonka.olet.lisännyt.myös.ipv6.reverseksi. Sitten yhdistä vaikka EFNettiin komennolla /server -6 irc6.choopa.net. Jos yhdistys onnistuu, toimivat vhostit luultavasti. Tarkista vielä komennolla /whois nickisi, jolloin tulisi näkyä nickisi[~jotain@vhostisi].

Mikäli käytät jotain toista clienttiä, missä ei vielä ole IPv6 tukea, voit käyttää 6tunnel ohjelmaa.
Oletusosoitteelle:

6tunnel 1030 eu.irc6.net 6667

Mikäli koneella on useampi vhost:

6tunnel -s haluamasi.vhost 1031 eu.irc6.net 6667

===Lisää IRC-yhteyksiä===

Sitten haluat varmaan lisää yhteyksiä IRC-verkkoihin? No, EFNettiin tuo irc6.choopa.net hyväksyy aika monta yhteyttä (en ole jaksanut testata loppuun asti). IRCNettiin yksi hyvä palvelin on eu.irc6.net, johon saa i-linet osoitteessa www.irc6.net (tarvitset IPv6-tunnelin katsoaksesi tuota sivua). Ks. serveriltä saat tosin tuosta vaan vain yhden I-linen (tämä vaatii NIC handlen, katso seuraava kohta). 5 yhteyttä saat osoitteeseen irc6.starman.ee. Lisää servereitä voit etsiä googlella, ja yhteyksien määrää saat kasvatettua hakemalla lisää i-linejä palvelimille. XS26:n käyttäjät saavat myös 5 yhteyttä IRCNettiin serveriltä irc.xs26.net.
IRCnettiin irc.cc.tut.fi päästää sisään ilman i-line pyyntöjä .fi-reverseillä (ilmankin reverseä pääsee) 2 yhteyttä samasta ipv6 osoitteesta (korjatkaa jos löytyy tarkempaa tietoa)

===NIC-handle===
Joissain tapauksissa tarvitset NIC handlen. Tämän voit rekisteröidä lähettämällä sähköpostin 6bone:een, viestin generaattori&ohjeet viestin lähettämiseen osoitteessa http://www.sixxs.net/signup/6bone/.

===Virheitä===
Jos saat XS26:n skriptiä käynnistäessä virheen että puskuritila ei riitä, katso komennolla iptunnel mitä tunneleita sinulla on käytössä ja poista niistä kaikki mahdolliset komennolla iptunnel del nimi. Tämän jälkeen yritä ajaa skripti uudelleen.

==Aiheesta muualla==
*[http://www.faqs.org/docs/Linux-HOWTO/Linux+IPv6-HOWTO.html Linux IPv6 HOWTO]

[[Luokka:Verkko]]

Politiikkaa

2009-07-14T10:35:49Z

Joell: /* Argumentteja ja niiden tavallisia vasta-argumentteja */ vasta-vasta-argumentit

Linuxin käyttöönotto julkisissa laitoksissa kuten kouluissa ja kunnan virastoissa on yleensä poliittinen asia. Tällä sivulla on listattu joitain Linuxin käyttöönottoon liittyviä poliittisia toimenpiteitä.

Kannattaa kuitenkin muistaa, että myös yksittäisillä kouluilla rehtorin kautta aloitetut kokeilut ovat merkittävä tapa saada muutos alulle.

== Argumentteja ja niiden tavallisia vasta-argumentteja ==

* argumentti
** vasta-argumentti
*** vasta-vasta-argumentti

'''Vapaiden ohjelmien puolesta'''
* Kustannussäästöt, vapaat ohjelmat tulevat halvemmaksi
** On helppo sanoa "säästö" laskematta kokonaiskustannuksia.
*** Kokonaiskustannukset on laskettu. Katso esimerkiksi Kortepohjan koulun raportti.
** Lisenssikustannukset ovat vain pisara meressä.
* Vapaudet ja avoimuus ovat tärkeitä.
** Mitä väliä niillä on, jos saan työni tehtyä?
* Vapaat vaihtoehdot (esim. Linux-pääteympäristö vs. Windows-työasemat) toimivat usein vanhemmillakin koneilla, jolloin voidaan säästää energiaa ja pidentää laitteiden käyttöikää.
* Pääteympäristössä toimintavarmuus ja palvelimella taustalla (vs. koneen käynnistyessä) ajettavat päivitykset vähentävät oppitunneista hukkaan menevää aikaa.
** Windows-työasemat voidaan pitää päällä öiseen aikaa suoritettavia päivityksiä varten.
* Rahat menevät paikallisille toimijoille ja suomalaiseen osaamiseen eivätkä lisenssimaksuihin.
* Laaja valikoima sekä perus- että erikoisohjelmistoja käytettävissä vapaasti niin koulussa kuin kotonakin.

'''Vapaita ohjelmia vastaan'''
* Kaikki on paras tehdä samoin kuin aina ennenkin.
** ...joten eiköhän luovuta kopiokoneista, videoista, piirtoheittimistä ja dokumenttikameroista ja kaiveta esiin rihvelitaulut.
* Oppilaiden täytyy käyttää Microsoft-tuotteita, koska niitä he tarvitsevat työelämässä.
* Opettajat on koulutettu opettamaan Microsoft-tuotteiden käyttöä.
** Olikohan se kovin fiksu veto? (vrt. komission tilaaman raportin antama suositus, kohdassa "Hyödyllisiä raportteja")
* Opettajilla ja oppilailla on kotonakin todennäköisesti Windows-järjestelmät.
** ...ja niissä sama OpenOffice ja Firefox kuin koulullakin.

== Hyödyllisiä raportteja ==

* [http://openkimito.fi/Thinclient_Kemionsaarelle.pdf Kemiönsaaren selvitys 11.1.2009]
* [http://kasavuori.fi/images/stories/kauniainen_kustannusselite.pdf Selvitys koulutoimen tietotekniikkakustannuksista Kauniaisissa] (Microsoft vs. Opinsys), 2008.
* [http://www.peda.net/veraja/jyvaskyla/kortepohjankoulu/tukitoiminnot/linux Linux pääte-palvelin -järjestelmä Kortepohjan koulussa]
* [http://www.eoppimiskeskus.fi//images/stories/valo_opas_pedagoginen.pdf Hankintaopas – Vapaan ja avoimen lähdekoodin ohjelmistot kouluissa - Pedagoginen opas]
* [http://www.cs.uta.fi/research/theses/masters/Peltola_Pekka.pdf Avoimen lähdekoodin käyttö julkisyhteisön tietojärjestelmissä], Pro gradu –tutkielma, Pekka Peltola
* [http://ec.europa.eu/enterprise/ict/policy/doc/2006-11-20-flossimpact.pdf Study on the: Economic impact of open source software on innovation and the competitiveness of the Information and Communication Technologies (ICT) sector in the EU], Euroopan komission teettämän tutkimuksen loppuraportti poiminta suosituksista, s. 12: ''Avoid lifelong vendor lock-in in educational systems by teaching students skills, not specific applications; encourage participation in FLOSS-like communities''

== Kuntalaisaloite ==

Jokaisella kuntalaisella on oikeus tehdä kuntalaisaloite, johon kunnan täytyy vastata perustellusti. Aloite hoituu kirjoittamalla alle A4:n asiasta ja toimittamalla se kunnalle kirjeenä tai, jos sellainen mahdollisuus on, niin sähköisesti. Aloitteen painoarvoa voi lisätä keräämällä siihen useampia allekirjoittajia.

=== Tehtyjä kuntalaisaloitteita ===

* Jyväskylässä 11.5.2009 Joel Lehtonen ja Antti Yli-Tainio: Linuxin työpöytäkäytön laajentaminen Jyväskylän koulutoimessa

== Valtuustoaloite ==

Kunnanvaltuustoihin (ja kaupunginvaltuustoihin) aloitteet viedään valtuutettujen kautta. Jos aloitteen taakse saadaan useita valtuutettuja tai jopa valtuustoryhmiä, sen merkittävyys kasvaa.

=== Tehtyjä valtuustoaloitteita ===

* [[Valtuustoaloite Linuxin työpöytäkäytön laajentamisesta Jyväskylän koulutoimessa]], Jyväskylä, kevät 2009
* Valtuustoaloite vapaiden tietokoneohjelmien käytön lisäämiseksi kaupunkikonsernin tietokoneissa, Tampere 2004, http://www.tampere.fi/ekstrat/hallinto/aloite/04/164.htm
::Pekka Peltola on kommentoinut seurauksia gradussaan Avoimen lähdekoodin käyttö julkisyhteisön tietojärjestelmissä:
:::''"Valtuusto päätti kokouksessaan, että valtuuston työjärjestyksen määräysten mukaisesti aloitekirjelmä lähetetään kaupunginhallitukselle valmisteltavaksi. Lisäksi valtuustoaloite lähetettiin myös tietohallinnon johtoryhmälle kommentoitavaksi ja heiltä pyydettiin selvitys asiaan. Tietohallinnon johtoryhmä tilasi selvityksen Tietotekniikkakeskukselta, joka teki selvityksen ja vastasi aloitteeseen. Kaupunginvaltuusto käsitteli asiaa kokouksessaan 12.1.2005 ja päätti, että Oras Tynkkysen ym. valtuustoaloite ja siihen annettu vastaus merkitään tiedoksi ja että aloite ei anna aihetta muihin toimenpiteisiin [Tynkkynen, 2004]. Asia oli käsitelty ja se oli saanut poliittisen huomionsa, mutta muita toimenpiteitä se ei aiheuttanut. Valtuustoaloite oli huolella tehty ja sen takana oli neljäkymmentäkolme jäsentä Tampereen kaupunginvaltuuston kuudestakymmenestäseitsemästä jäsenestä. Aloite piti sisällään monia ajankohtaisia referenssitietoja muihin avoimen lähdekoodin käyttöönottoihin ja kuvauksen Tampereen tietotekniikan tilanteesta. Pääpaino aloitteessa oli lisätä avoimen lähdekoodin ohjelmien käyttöä työasemissa. Tietotekniikkakeskuksen selvityksessä ilmeni, että palvelimissa avointa lähdekoodia hyödynnettiin jo monissa projekteissa. Työasemien osalta selvityksessä todettiin suurimmaksi ristiriidaksi saada olemassa olevat ohjelmat toimimaan Linux-ympäristössä."''
* Valtuustoaloite Linux-Open Source -käyttöjärjestelmän pilottikäytöstä Espoossa, Espoo 2007 http://www.espoo.fi/asiakirja.asp?path=1;31;37423;37424;37425&id=672BF2B1FD7DF98BC22572B200415820&kanta=kunnari\\intrakun_e.nsf
* Avoimen lähdekoodin ohjelmistot käyttöön Oulun kaupungissa, valtuustoaloite, http://ktweb.ouka.fi/ktwebbin/docisael.dll?KH%5C0%5C82323501.doc

[[Luokka:Politiikka]]

SSH-tunneli

2009-02-11T21:56:26Z

Joell: /* Esiasettelu */ typo

Tunnelointiin on Linuxissa lukuisia tapoja. Kaikkein helpoiten tunnelointi onnistuu [[SSH#Tunneli|SSH:n porttiohjauksella]], joka tarvitsee ainoastaan käyttäjäoikeudet kumpaankin järjestelmään.

Tässä ohjeessa sen sijaan keskitytään IP-liikenteen tunnelointiin. Se onnistuu helpoiten tun-tunnelin ja SSH:n välityksellä. IP-tason tunnelointi on tarpeen esimerkiksi, kun on tarvetta tunneloida UDP-liikennettä tai silloin, kun TCP-yhteys ei saa katketa, vaikka IP-osoite vaihtuisikin. Käyttökohde voi olla esimerkiksi irssi-proxyyn yhdistäminen tunnelin välityksellä, jolloin IRC-yhteys ei katkea, vaikka nettiyhteyden IP-osoite vaihtuisi. Tästä on hyötyä esimerkiksi epäluotettavien "mobiililaajakaistojen" kanssa.

SSH-välitteisellä IP-tunnelilla saavutetaan seuraavat edut:

* Helposti asetettavissa
* Toimii kaikkien palomuurien kanssa, jotka läpäisevät tavallisen SSH-liikenteen
* Ei tarvitse asentaa ohjelmia

Ratkaisulla on myös muutamia haittapuolia:

* Tarvitsee root-oikeudet molemmista koneista (kuten useimmat muutkin tunneloinnit)
* Ei ole verkkoliikenteen kannalta optimaalinen, koska tunneli toimii TCP-yhteyden välityksellä

Tässä artikkelissa esitellään SSH-tunnelin asettelu siten, että se on otettavissa vaivatta käyttöön esimerkiksi kannettavalla.

==Esiasettelu==

Luo ssh-avaimet tarvittaessa. Tätä tarkoitusta varten voit myös luoda omat avaimet. Tässä esimerkissä käytetään samoja avaimia kuin tavallisella käyttäjällä.

Valitse IPv4-osoitteet, jotka eivät ole käytössä tunnelia varten. Tässä esimerkissä käytetään osoitetta ''192.168.24.1'' palvelimelle ja ''192.168.24.2'' asiakkaalle. Esimerkin osoitteet on valittu umpimähkäisesti sisäverkkojen osoitealueesta. Valitse osoitteet, joita ei ole lähiverkossasi käytössä.

Valitse myös käyttämäsi tunnelinumero. Se voi olla oikeastaan mitä tahansa nollasta ylöspäin, jos käytössä ei ole muita tunneleita. Tässä esimerkissä käytetään onnennumeroa 3, jolloin verkkolaitteen nimeksi tulee ''tun3''. Se saa olla eri palvelimella ja asiakkaalla.

==Palvelimen asettaminen==

Muokkaa tiedostoa <tt>~root/.ssh/authorized_keys</tt>. Lisää sinne rivi
command="/root/tunnelip.sh",no-port-forwarding,no-pty,no-agent-forwarding,no-X11-forwarding AVAIMESI TIEDOT

Komento antaa oikeudet suorittaa vain komennon <tt>/root/tunnelip.sh</tt> palvelimella.

Muokkaa tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää sinne rivi
PermitTunnel yes

Luo uusi tiedosto <tt>~root/tunnelip.sh</tt>, jonne seuraava sisältö:

#!/bin/bash
# muodostaa ssh-tunnelin ja tuhoaa aiemman tarvittaessa
CONNECTED=$(ip addr show dev tun3 to 192.168.24.1)

if [ "$CONNECTED" ]; then
RAWSSHPID=$(lsof -F p /dev/net/tun)
SSHPID=${RAWSSHPID:1}
echo Tunneli oli päällä, komento oli $(</proc/$SSHPID/cmdline)
kill "$SSHPID"
else
ifconfig tun3 192.168.24.1 pointopoint 192.168.24.2 &&
echo Tunneli asetettu palvelimelle
fi

Mikäli haluat reitittää tunneloitavia paketteja myös lähiverkon tai Internetin välillä, lisää seuraava rivi iptablesiin:
iptables -t nat -A POSTROUTING -s 192.168.24.2/32 -o eth0 -j MASQUERADE

Korvaa esimerkissä oleva ''eth0'' käyttämäsi verkkolaitteen nimellä.

==Asiakkaan asettaminen==

Asiakaskoneena voi toimia esimerkiksi kannettava tietokone, jolta haluat päästä lähiverkkoon. Linux-käyttöjärjestelmässä on tuki tunneloinnille mukana. Tuen tunneloinnille voi asentaa erikseen myös Mac OS X:lle. Paketti on ladattavissa osoitteesta http://tuntaposx.sourceforge.net/ .

Luo uusi tiedosto <tt>~root/tunnelconnect.sh</tt>, jonne sisällöksi:
#!/bin/bash
ifconfig tun3 192.168.24.2 192.168.24.1 &&
echo Tunneli asetettu paikallisesti

# elamaa helpottavat reitit
xargs -n 1 -I '{}' route add -host '{}' 192.168.24.1 <<END
svn.cc.jyu.fi
trac.cc.jyu.fi
mot.kielikone.fi
END

Esimerkissä olevat kolme palvelimen nimeä, esimerkiksi ''svn.cc.jyu.fi'', voidaan korvata niillä osoitteilla, jotka halutaan tunneloitavan osoitteen ''192.168.24.1'' lisäksi. Tämän avulla voidaan yksittäiseen IP-osoitteeseen menevä liikenne tunneloida samalla, kun muu liikenne kulkee normaalisti lyhintä reittiään. Ratkaisu on tarpeen palveluissa, joiden rajoitus perustuu IP-osoitteiden tarkistamiseen.

Muokkaa tiedostoa <tt>~root/.ssh/config</tt> ja lisää sen loppuun rivi

host tunnel
User root
Hostname tieto.kone.fi
IdentityFile /home/jaska/.ssh/id_dsa
Tunnel point-to-point
TunnelDevice 3:3
PermitLocalCommand yes
LocalCommand /root/tunnelconnect.sh

Muuta ''IdentityFile'' ja ''Hostname'' vastaamaan käyttämääsi ssh-avainta ja palvelimen osoitetta.

Näillä asetuksilla tarvisit rootin oikeudet joka kerta, kun haluat avata yhteyden. Tämän välttämiseksi asetetaan sudo-komento hyväksymään tunnelin avaaminen tavallisena käyttäjänä. Komenna <tt>visudo</tt> ja lisää tiedoston loppuun seuraava rivi:

jaska ALL = NOPASSWD: /usr/bin/ssh -T tunnel

Korvaa tässä esimerkissä ''jaska'' asiakaskoneen käyttäjänimelläsi.

Lopuksi voit luopua pääkäyttäjän oikeuksista ja muokata tiedostoa <tt>~jaska/.bash_profile</tt>. Lisää sinne rivi
alias tunneli="sudo /usr/bin/ssh -T tunnel"

==Yhdistäminen==

Komenna komentorivillä <tt>tunneli</tt>. Tunneli avautuu. Tunneli voidaan lopettaa Control-C -näppäinyhdistelmällä. Mikäli tunneli on katkennut yllättäen, ensimmäinen suorituskerta katkaisee aiemman tunnelin ja toisella kertaa yhteys muodostuu.

[[Luokka:Verkko]]
[[Luokka:Ohjeet]]

SSH-tunneli

2009-02-11T21:31:31Z

Joell: typo

Tunnelointiin on Linuxissa lukuisia tapoja. Kaikkein helpoiten tunnelointi onnistuu [[SSH#Tunneli|SSH:n porttiohjauksella]], joka tarvitsee ainoastaan käyttäjäoikeudet kumpaankin järjestelmään.

Tässä ohjeessa sen sijaan keskitytään IP-liikenteen tunnelointiin. Se onnistuu helpoiten tun-tunnelin ja SSH:n välityksellä. IP-tason tunnelointi on tarpeen esimerkiksi, kun on tarvetta tunneloida UDP-liikennettä tai silloin, kun TCP-yhteys ei saa katketa, vaikka IP-osoite vaihtuisikin. Käyttökohde voi olla esimerkiksi irssi-proxyyn yhdistäminen tunnelin välityksellä, jolloin IRC-yhteys ei katkea, vaikka nettiyhteyden IP-osoite vaihtuisi. Tästä on hyötyä esimerkiksi epäluotettavien "mobiililaajakaistojen" kanssa.

SSH-välitteisellä IP-tunnelilla saavutetaan seuraavat edut:

* Helposti asetettavissa
* Toimii kaikkien palomuurien kanssa, jotka läpäisevät tavallisen SSH-liikenteen
* Ei tarvitse asentaa ohjelmia

Ratkaisulla on myös muutamia haittapuolia:

* Tarvitsee root-oikeudet molemmista koneista (kuten useimmat muutkin tunneloinnit)
* Ei ole verkkoliikenteen kannalta optimaalinen, koska tunneli toimii TCP-yhteyden välityksellä

Tässä artikkelissa esitellään SSH-tunnelin asettelu siten, että se on otettavissa vaivatta käyttöön esimerkiksi kannettavalla.

==Esiasettelu==

Luo ssh-avaimet tarvittaessa. Tätä tarkoitusta varten voit myös luoda omat avaimet. Tässä esimerkissä käytetään samoja avaimia kuin tavallisella käyttäjällä.

Valitse IPv4-osoitteet, jotka eivät ole käytössä tunnelia varten. Tässä esimerkissä käytetään osoitetta ''192.168.24.1'' palvelimelle ja ''192.168.24.2'' asiakkaalle. Esimerkin osoitteet on valittu umpimähkäisesti sisäverkkojen osoitealueesta. Valitse osoitteet, joita ei ole lähiverkossasi käytössä.

Valitse myös käyttämäsi tunnelinumero. Se voi olla oikeastaan mitä tahansa nollasta ylöspäin, jos käytössä ei ole muita tunneleita. Tässä esimerkissä käytetään onnennumeroa 3, jolloin verkkolaitteen nimeksi tulee ''tun3''. Se saa eri palvelimella ja asiakkaalla.

==Palvelimen asettaminen==

Muokkaa tiedostoa <tt>~root/.ssh/authorized_keys</tt>. Lisää sinne rivi
command="/root/tunnelip.sh",no-port-forwarding,no-pty,no-agent-forwarding,no-X11-forwarding AVAIMESI TIEDOT

Komento antaa oikeudet suorittaa vain komennon <tt>/root/tunnelip.sh</tt> palvelimella.

Muokkaa tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää sinne rivi
PermitTunnel yes

Luo uusi tiedosto <tt>~root/tunnelip.sh</tt>, jonne seuraava sisältö:

#!/bin/bash
# muodostaa ssh-tunnelin ja tuhoaa aiemman tarvittaessa
CONNECTED=$(ip addr show dev tun3 to 192.168.24.1)

if [ "$CONNECTED" ]; then
RAWSSHPID=$(lsof -F p /dev/net/tun)
SSHPID=${RAWSSHPID:1}
echo Tunneli oli päällä, komento oli $(</proc/$SSHPID/cmdline)
kill "$SSHPID"
else
ifconfig tun3 192.168.24.1 pointopoint 192.168.24.2 &&
echo Tunneli asetettu palvelimelle
fi

Mikäli haluat reitittää tunneloitavia paketteja myös lähiverkon tai Internetin välillä, lisää seuraava rivi iptablesiin:
iptables -t nat -A POSTROUTING -s 192.168.24.2/32 -o eth0 -j MASQUERADE

Korvaa esimerkissä oleva ''eth0'' käyttämäsi verkkolaitteen nimellä.

==Asiakkaan asettaminen==

Asiakaskoneena voi toimia esimerkiksi kannettava tietokone, jolta haluat päästä lähiverkkoon. Linux-käyttöjärjestelmässä on tuki tunneloinnille mukana. Tuen tunneloinnille voi asentaa erikseen myös Mac OS X:lle. Paketti on ladattavissa osoitteesta http://tuntaposx.sourceforge.net/ .

Luo uusi tiedosto <tt>~root/tunnelconnect.sh</tt>, jonne sisällöksi:
#!/bin/bash
ifconfig tun3 192.168.24.2 192.168.24.1 &&
echo Tunneli asetettu paikallisesti

# elamaa helpottavat reitit
xargs -n 1 -I '{}' route add -host '{}' 192.168.24.1 <<END
svn.cc.jyu.fi
trac.cc.jyu.fi
mot.kielikone.fi
END

Esimerkissä olevat kolme palvelimen nimeä, esimerkiksi ''svn.cc.jyu.fi'', voidaan korvata niillä osoitteilla, jotka halutaan tunneloitavan osoitteen ''192.168.24.1'' lisäksi. Tämän avulla voidaan yksittäiseen IP-osoitteeseen menevä liikenne tunneloida samalla, kun muu liikenne kulkee normaalisti lyhintä reittiään. Ratkaisu on tarpeen palveluissa, joiden rajoitus perustuu IP-osoitteiden tarkistamiseen.

Muokkaa tiedostoa <tt>~root/.ssh/config</tt> ja lisää sen loppuun rivi

host tunnel
User root
Hostname tieto.kone.fi
IdentityFile /home/jaska/.ssh/id_dsa
Tunnel point-to-point
TunnelDevice 3:3
PermitLocalCommand yes
LocalCommand /root/tunnelconnect.sh

Muuta ''IdentityFile'' ja ''Hostname'' vastaamaan käyttämääsi ssh-avainta ja palvelimen osoitetta.

Näillä asetuksilla tarvisit rootin oikeudet joka kerta, kun haluat avata yhteyden. Tämän välttämiseksi asetetaan sudo-komento hyväksymään tunnelin avaaminen tavallisena käyttäjänä. Komenna <tt>visudo</tt> ja lisää tiedoston loppuun seuraava rivi:

jaska ALL = NOPASSWD: /usr/bin/ssh -T tunnel

Korvaa tässä esimerkissä ''jaska'' asiakaskoneen käyttäjänimelläsi.

Lopuksi voit luopua pääkäyttäjän oikeuksista ja muokata tiedostoa <tt>~jaska/.bash_profile</tt>. Lisää sinne rivi
alias tunneli="sudo /usr/bin/ssh -T tunnel"

==Yhdistäminen==

Komenna komentorivillä <tt>tunneli</tt>. Tunneli avautuu. Tunneli voidaan lopettaa Control-C -näppäinyhdistelmällä. Mikäli tunneli on katkennut yllättäen, ensimmäinen suorituskerta katkaisee aiemman tunnelin ja toisella kertaa yhteys muodostuu.

SSH

2009-02-11T21:30:14Z

Joell: /* Tunneli */ ip-tunneli

SSH eli Secure SHell on alunperin Tatu Ylösen kehittämä järjestelmä, jolla voidaan ottaa turvallisia yhteyksiä järjestelmästä toiseen. SSH:sta löytyy avoin [[OpenSSH]]-toteutus, joka on peräisin [[OpenBSD]]-projektista. [[PuTTY]] on [[X|X:ssä]] toimiva ssh-asiakasohjelma UNIX-järjestelmille ja Windowsille.

== Peruskäyttö ==
Monissa jakeluissa tulee mukana ssh-asiakasohjelma komentoriville, jolloin ssh-yhteyden voi ottaa palvelimelle yksinkertaisesti komennolla
ssh minun.palvelin.example
Tällöin kirjautumista yritetään samalla tunnuksella, millä järjestelmään on kirjauduttu sisälle. Muulla tunnuksella yhdistäminen onnistuu seuraavasti
ssh kayttajatunnus@minun.palvelin.example

Mikäli yllä olevan komennon kirjoittaminen toistuvasti tuntuu työläältä, on mahdollista luoda ssh:n asetustiedostoon (<tt>~/.ssh/config</tt>) oma profiili yhteyttä varten. Tämä onnistuu lisäämällä tiedostoon rivit:
Host lyhytnimi minun.palvelin.example
HostName minun.palvelin.example
User kayttajatunnus
Host määrittelee komentoriville syötetyt aliakset, jotka käyttävät tätä profiilia. Yllä olevaa profiilia käytettäessä seuraavat komennot saavat aikaan saman lopputuloksen:
ssh kayttajatunnus@minun.palvelin.example
ssh minun.palvelin.example
ssh lyhytnimi

== Graafiset ohjelmat ==
Jos halutaan ajaa [[X]]-ohjelmia SSH:n kautta on komentoon sisällyttävä parametri <tt>-X</tt> ([[#X:n tietoturva|tietoturvasyistä]] tämä ei yleensä ole oletuksena), esimerkiksi näin:
ssh -X guru@linuxburken.firma.example

Usein erityisesti X-ohjelmien ajossa pullonkaulaksi muodostuu hidas yhteys. Hitaan yhteyden aiheuttamia ongelmia voidaan kompensoida pakkaamalla tiedonsiirto:
ssh -X -C guru@linuxburken.firma.example

Jotta graafisten ohjelmien käyttäminen onnistuisi, on sshd:n (etäkoneen) asetustiedostossa (<tt>/etc/ssh/sshd_config</tt>) oltava rivi
ForwardX11 yes
Oletuksena tämä arvo on <tt>no</tt>, vaikkakaan tällä ei ole suurempaa merkitystä ''palvelinkoneen'' turvallisuudelle.

Jotta yhteystyö, esimerkiksi tekstin kopioiminen leikepöydän kautta, toimisi normaaliin tapaan paikallisten ja palvelimella ajettavien sovellusten välillä joutuu lisäksi hyväksymään "ForwardX11Trusted", komentorivillä <code>-Y</code>. Sekä tavallinen että varsinkin luotettu X-edelleenohjaus antaa vieraalle koneelle mahdollisuuden käyttää hyväkseen X-sovellusten välistä melko heikkoa tietoturvaa. Katso [[#X:n tietoturva|X:n tietoturva]] alla.

Oletusasetukset ForwardX11 ja ForwardX11Trusted voi asettaa tiedostoissa /etc/ssh_config ja /etc/.ssh/config, haluttaessa kone- ja verkkokohtaisesti:

Host *.luotettuverkko.example.org,omakone.example.net
ForwardX11 yes
ForwardX11Trusted yes
Host muu-x-palvelin.example.com
ForwardX11 yes
ForwardX11Trusted no
Host *
ForwardX11 no
ForwardX11Trusted no

== Yhteyksien uusiokäyttö ==
Mikäli samalle palvelimelle otetaan useampia yhteyksiä, voidaan yhtä yhteyksistä käyttää niin kutsuttuna isäntäyhteytenä, jolloin muut yhteydet otetaan sen kautta. Tällöin salasana on annettava vain kerran isäntäyhteyttä avatessa ja muiden yhteyksien ottaminen hoituu erittäin nopeasti.

Isäntäyhteyttä otettaessa ssh:lle on annettava parametri <tt>-M</tt>:
ssh -M mun.palvelin.example

Jonka jälkeen toinen yhteys voidaan ottaa tavalliseen tapaan
ssh mun.palvelin.example
Eikä salasanaa enää kysytä.

Jotta isäntäyhteyksien käyttö onnistuisi, on ssh:n asetustiedostoon (<tt>~/.ssh/config</tt>) lisättävä rivit
Host *
ControlPath ~/.ssh/ctl-%r-%h-%p
ControlMaster auto

Ominaisuus löytyy OpenSSH:n versiosta 4.2 ja sitä uudemmista.

== Tunnistaminen avainparilla ==
Salasanatunnistuksen ohella varteenotettava tapa autentikoida yhteys palvelimelle on avainparimenettely. Siinä asiakaskoneella luodaan avainpari, jonka yksityinen osa jätetään omalle koneelle, ja julkinen osa siirretään kaikille niille koneille, joilla avainparitunnistusta halutaan käyttää. Tässä menettelyohjeet:

*Luodaan avainpari ssh-keygen -ohjelmalla

ssh-keygen -t rsa

*Tässä vaiheessa ssh-keygen kysyy salasanaa avaimelle ja mahdollisesti polkua. Oletuspolkua (~/.ssh/id_rsa) ei yleensä pidä muuttaa, mutta salasana lisää turvallisuutta oleellisesti, jos joku pääsee käsiksi avaintiedostoon. Salasana saa olla mielivaltaisen pitkä. Tiedoston <tt>id_rsa</tt> turvallisuudesta on pidettävä huolta, sillä sen avulla kuka tahansa voi kirjautua käyttämillesi palvelimille tunnuksillasi (murrettuaan mahdollisen salasanan).
*Sitten kopioidaan julkinen osa kaikille palvelimille missä tätä avainparia halutaan hyödyntää. Huomaa, että <tt>authorized_keys</tt>-tiedostossa jokaisella rivillä määritetään yksi avain. Jos et ole aiemmin käyttänyt tätä menetelmää, tiedostoa ei ole, ja oman julkisen avaimen kopioiminen etäkoneen <tt>authorized_keys</tt>-tiedostoksi ei tuota ongelmia.
[[scp]] ~/.ssh/id_rsa.pub palvelin:/home/kayttaja/.ssh/authorized_keys
Mikäli sinulla on jo ennestään etäkoneessa <tt>~/.ssh/authorized_keys2</tt>-tiedosto, voit komentaa näin:
[[cat]] ~/.ssh/id_rsa.pub | ssh käyttäjä@etäkone '[[cat]] >> ~/.ssh/authorized_keys'

*Nyt voit kirjautua kaikille palvelimille, joille olet julkisen avaimesi kopioinut käyttämättä palvelimen salasanaa. Salasanan ei siis enää tarvitse olla helposti muistettava – ja salasanalla kirjautumisen sshd:n kautta voi kieltää kokonaan. Käyttäen ohjelmaa ssh-agent säästytään myös avaintiedoston salasanan antamisesta, paitsi kerran X- tai pääteistunnon alussa, ssh-agentin käynnistämisen yhteydessä.

Jos haluaa kirjautua automaattisesti, esimerkiksi cron-työn yhteydessä, joutuu käyttämään salasanatonta avaintiedostoa. Tähän käyttöön voi luoda rinnakkaisen avaimen, jota pidetään eri tiedostossa (johon viitataan ssh:n vivulla <code>-i</code>) ja avaimen valtuuksia voi rajoittaa laittamalla tiedoston authorized_keys tämän avaimen kohdalle rivin alkuun "optioita", esimerkiksi (huomaa pilkkujen, lainausmerkkien ja välilyöntien käyttö):
from="*.kotiverkko.example.org,työkoneeni.example.com",no-port-forwarding,no-X11-forwarding jatässäitsejulkinenavainkaikkinensa

== Tunneli ==
SSH:n avulla voi tunneloida minkä tahansa TCP-portin käytettäväksi verkon yli. Tämä tapahtuu sovelluksille läpinäkyvästi, joten se tarjoaa hienon mahdollisuuden parantaa – tai huonontaa – tietoturvaa tilanteissa, joissa tietyn sovelluksen muokkaaminen ei ole mahdollista tai käytännöllistä.

Tässä esitellään yksittäisten porttien ohjausta SSH-yhteyden kautta. Tämä riittää yksinkertaisimmissa tapauksissa. IP-tunnelien muodostaminen SSH-yhteyden kautta on myös mahdollista. Lisätietoja asiasta saatavilla artikkelissa [[SSH-tunneli]].

Seuraavassa esimerkissä tunneloidaan paikallisen koneen ([[localhost]]) portti 123 SSH:lla niin, että sen kautta voi käyttää etäkoneen porttia 1337.
ssh -L 123:localhost:1337 etäkone
Tunnelia ei ole pakko tehdä localhostiin, vaan mikä tahansa kone käy. Näin voit esimerkiksi päästä käsiksi sisäverkkoihin, joihin et suoraan Internetistä pääse. Esimerkki:
ssh -L 123:192.168.6.12:1337 etäkone

=== Käänteinen tunneli ===
Käänteisen tunnelin idea on sama kuin normaalinkin tunnelin, mutta se käynnistetään toisesta päästä. Käänteinen tunneli mahdollistaa vaikkapa palomuurin takana olevan koneen etäylläpidon. Seuraavassa esimerkissä tunneloidaan paikallisen koneen portti 123 SSH:lla niin, että se on käytettävissä etäkoneelta portissa 1337.
ssh -R 1337:localhost:123 etäkone

==Tietoturva==
SSH-yhteys on salattu, mutta ei pidä tuudittautua valheellisen turvallisuuden tunteeseen, sillä erilaisia hyökkäyskeinoja on olemassa. Lue artikkelista [[SSH-turvatoimet]] vinkkejä SSH-palvelimesi turvaamiseen.

Salaus auttaa siihen, ettei verkkoa passiivisesti salakuunteleva pysty seuraamaan liikennettä ja ettei sitä pystytä muokkaamaan. Edellinen voi myös olla tietoturvaongelma, sillä yrityksen palomuurikaan ei pysty erottamaan ongelmallista liikennettä sallittusta.

===Koneiden avaimet===

SSH estää koneitten avainten avulla vieraan koneen esiintymisen luotettuna palvelimena (nimipalvelinhyökkäysten tms. avulla). ssh varoittaa, jos avaimet eivät täsmää. Varoituksesta ei ole hyötyä, jos siitä ei välitä, joten on oleellista kopioida koneitten avaimet /etc/ssh_host*_key.pub omalle koneelle tiedostoon /etc/ssh/ssh_known_hosts tai ~/.ssh/known_hosts.
Avainriville pitää lisätä myös koneesta mahdollisesti käytettävät aliakset
kone.example.com,kone,alias,alias.example.com,192.168.0.1 itseavainkaikkinensa

Varoituksen yhteydessä ssh kertoo koneen avaimen "sormenjäljen", jonka voi verrata oikean avaimen sormenjälkeen jopa puhelimitse. Jos vain yhden koneen kanssa on ongelmia, ssh-yhteyden voi ottaa toiselle koneelle toiseen verkkoon ja yrittää yhteyttä sitä kautta. Jos tältä koneelta katsottuna vieraan koneen sormenjälki on sama kuin omastakin koneesta katsottuna, kyseessä ei ole paikallinen nimipalvelinhuijaus.

===Murtautuminen===

Se, että ssh-liikenne on salattua, ei estä murtautumaasta ssh-palvelimen kautta suoraan. Itse palvelimessa ei ole ollut kovin paljon reikiä, mutta heikkoja salasanoja voi hyödyntää ssh-palvelimen kautta. Joissakin [[jakelu]]issa palvelin on oletuksena päällä, koska koneita on tarkoitettu etäylläpidettäviksi. Tällöin on tärkeää rajoittaa miltä koneilta ja mille tunnuksille ssh:lla pystyy kirjautumaan ja varmistamaan, että näillä tunnuksilla on hyvät salasanat – ellei salasanalla kirjautumista ssh:lla estetä kokonaan (katso [[#Tunnistaminen avainpareilla|tunnistaminen avainpareilla]] yllä).

Katso myös [[SSH-turvatoimet]].

===X:n tietoturva===

Samalla [[X]]-palvelimella ajettavat ohjelmat luottavat yleensä toisiinsa ja X-palvelin luottaa ohjelmiin. Jos ohjelma niin haluaa se pystyy esimerkiksi valtaamaan leikepöydän juuri ennen sen sisällön kopioimista komentoriville ja siten ajamaan mielivaltaisia komentoja, tai luomaan läpinäkyvän näytön kokoisen ikkunan ja sen kautta salakuuntelemaan näppäimistöä. Tämä ei yleensä ole ongelma, sillä jos jokin ajettava ohjelma on trojan hevonen, se pystyy myös käyttämään tunnuksen oikeuksia suoraan. Verkon yli ajettaessa yhdellä koneella vallatulla tunnuksella voi kuitenkin murtautua myös samaa X-palvelinta käyttäville muille koneille.

Jotta voisi käyttää myös heikomman tietoturvan koneita tai koneita, joiden ylläpitoon ei luota, ssh ei yleensä pyytämättä anna toisella koneella ajettavien ohjelmien käyttää paikallista X-palvelinta. Nykyisissä X-palvelimissa on myös mahdollista rajoittaa X:n käyttöä niin, että jotkut, tässä tilanteessa erityisen vaarallisiksi huomatut toiminnot eivät ole vieraan ohjelman käytettävissä.

Jos etäyhteydessä ei ole tarkoituksena ajaa graafisia ohjelmia, X-yhteyttä ei siis kannata muodostaa. Jos käyttää graafisia ohjelmia, mutta epäilee etäkoneen tietoturvaa, X:n voi sallia vain kohtuullisen turvaallisesti koetuin osin.
ssh -x kone-ilman-x-ohjelmia.example.org
ssh -X kone-jossa-x-ohjelmia.example.org
ssh -X -Y kone-johon-luottaa.example.org

==SSH välityspalvelimen läpi==
SSH-yhteydet voidaan myös yhdistää HTTP-välityspalvelimen, kuten [[Squid]]in läpi. Seuraava asetus vaatii Corkscrew-ohjelman, joka löytyy useimpien jakelupakettien ohjelmavarastosta.

Lisää <tt>~/.ssh/config</tt>-tiedostoon seuraavat rivit vaihtaen <tt>cache.palvel.in 8080</tt>:n joksikin muuksi:
<pre>Host *
ProxyCommand corkscrew cache.palvel.in 8080 %h %p</pre>
Jos haluat esimerkiksi vain fi-, org- ja net-domainit menemään välityspalvelimen läpi, muuta Host-asetus <tt>*</tt>:n sijasta <tt>*.fi *.org *.net</tt>:ksi.

==Käyttöesimerkki: varakopiot verkon yli==
Varakopioi kotisivusi toisen koneen kotihakemistosta ssh:lla

ssh toinen.kone.fi 'cd public_html && tar -cjvf - .' | cat > kotisivut.tar.bz2

Palauta hakemistorakenne takaisin

cat kotisivut.tar.bz2 | ssh toinen.kone.fi 'cd public_html && tar xjvf -'

Vastaava [[Varmuuskopiointi#Rsync|perusteellisempi esimerkki]] löytyy artikkelissa varmuuskopioinnista.

==Käyttöesimerkki: graafinen VNC-yhteys kahden palomuurin takana olevan koneen välille ==
Koneet A ja B ovat [[palomuuri]]en takana, kone C ei. Tarkoituksena nähdä koneen A näytöllä koneen B näytön näkymä [[VNC#Yhdist.C3.A4minen_olemassaolevaan_X-istuntoon|VNC-yhteyden]] yli.

Kone A ottaa ensiksi yhteyden koneeseen C tunneloiden koneen C portin 5903 paikalliseen porttiin 5904:
ssh ckayttaja@ckone.com -L 5904:localhost:5903

Tämän jälkeen kone B ottaa yhteyden koneeseen C tunneloiden koneen C portti 8001 koneen B porttiin 22 (SSH):
ssh -R 8001:localhost:22 ckayttaja@ckone.com

Tämän jälkeen käyttäjä A ottaa koneelta C yhteyden koneeseen B tunneloiden koneen B portin 5900(VNC) koneen C porttiin 5903:
ssh bkayttaja@localhost -p 8001 -L 5903:localhost:5900

Nyt A käynnistää VNC:n koneen B porttiin 5900
x11vnc

Ja tämä B-koneen portti 5900 tunneloituu noin neljän portin läpi koneen A porttiin 5904, jolloin A saa VNC:n käyntiin:
vncviewer localhost:5904

==Katso myös==
*[[SSH-turvatoimet]]
*[[SFTP]]
*[[SCP]]
*[[Telnet]]

==Aiheesta muualla==
* [[wikipedia:fi:SSH|SSH Wikipediassa]]
* [http://www.openssh.com/ OpenSSH]
* [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY]

[[Luokka:Etäkäyttö]]
[[Luokka:Verkko]]
[[Luokka:Palvelimet]]
[[Luokka:Tietoturva]]
[[Luokka:Komentorivin erikoisohjelmat]]

SSH-tunneli

2009-02-11T21:23:40Z

Joell: selittelyä tarkemmin, mistä kyse

Tunnelointiin on Linuxissa lukuisia tapoja. Kaikkein helpoiten tunnelointi onnistuu [[SSH#Tunneli|SSH:n porttiohjauksella]], joka tarvitsee ainoastaan käyttäjäoikeudet kumpaankin järjestelmään.

Tässä ohjeessa sen sijaan keskitytään IP-liikenteen tunnelointiin. Se onnistuu helpoiten tun-tunnelin ja SSH:n välityksellä. IP-tason tunnelointi on tarpeen esimerkiksi, kun on tarvetta tunneloida UDP-liikenteelle tai silloin, kun TCP-yhteys ei saa katketa, vaikka IP-osoite vaihtuisikin. Käyttökohde voi olla esimerkiksi irssi-proxyyn yhdistäminen tunnelin välityksellä, jolloin IRC-yhteys ei katkea, vaikka nettiyhteyden IP-osoite vaihtuisi. Tästä on hyötyä esimerkiksi epäluotettavien "mobiililaajakaistojen" kanssa.

SSH-välitteisellä IP-tunnelilla saavutetaan seuraavat edut:

* Helposti asetettavissa
* Toimii kaikkien palomuurien kanssa, jotka läpäisevät tavallisen SSH-liikenteen
* Ei tarvitse asentaa ohjelmia

Ratkaisulla on myös muutamia haittapuolia:

* Tarvitsee root-oikeudet molemmista koneista (kuten useimmat muutkin tunneloinnit)
* Ei ole verkkoliikenteen kannalta optimaalinen, koska tunneli toimii TCP-yhteyden välityksellä

Tässä artikkelissa esitellään SSH-tunnelin asettelu siten, että se on otettavissa vaivatta käyttöön esimerkiksi kannettavalla.

==Esiasettelu==

Luo ssh-avaimet tarvittaessa. Tätä tarkoitusta varten voit myös luoda omat avaimet. Tässä esimerkissä käytetään samoja avaimia kuin tavallisella käyttäjällä.

Valitse IPv4-osoitteet, jotka eivät ole käytössä tunnelia varten. Tässä esimerkissä käytetään osoitetta ''192.168.24.1'' palvelimelle ja ''192.168.24.2'' asiakkaalle. Esimerkin osoitteet on valittu umpimähkäisesti sisäverkkojen osoitealueesta. Valitse osoitteet, joita ei ole lähiverkossasi käytössä.

Valitse myös käyttämäsi tunnelinumero. Se voi olla oikeastaan mitä tahansa nollasta ylöspäin, jos käytössä ei ole muita tunneleita. Tässä esimerkissä käytetään onnennumeroa 3, jolloin verkkolaitteen nimeksi tulee ''tun3''. Se saa eri palvelimella ja asiakkaalla.

==Palvelimen asettaminen==

Muokkaa tiedostoa <tt>~root/.ssh/authorized_keys</tt>. Lisää sinne rivi
command="/root/tunnelip.sh",no-port-forwarding,no-pty,no-agent-forwarding,no-X11-forwarding AVAIMESI TIEDOT

Komento antaa oikeudet suorittaa vain komennon <tt>/root/tunnelip.sh</tt> palvelimella.

Muokkaa tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää sinne rivi
PermitTunnel yes

Luo uusi tiedosto <tt>~root/tunnelip.sh</tt>, jonne seuraava sisältö:

#!/bin/bash
# muodostaa ssh-tunnelin ja tuhoaa aiemman tarvittaessa
CONNECTED=$(ip addr show dev tun3 to 192.168.24.1)

if [ "$CONNECTED" ]; then
RAWSSHPID=$(lsof -F p /dev/net/tun)
SSHPID=${RAWSSHPID:1}
echo Tunneli oli päällä, komento oli $(</proc/$SSHPID/cmdline)
kill "$SSHPID"
else
ifconfig tun3 192.168.24.1 pointopoint 192.168.24.2 &&
echo Tunneli asetettu palvelimelle
fi

Mikäli haluat reitittää tunneloitavia paketteja myös lähiverkon tai Internetin välillä, lisää seuraava rivi iptablesiin:
iptables -t nat -A POSTROUTING -s 192.168.24.2/32 -o eth0 -j MASQUERADE

Korvaa esimerkissä oleva ''eth0'' käyttämäsi verkkolaitteen nimellä.

==Asiakkaan asettaminen==

Asiakaskoneena voi toimia esimerkiksi kannettava tietokone, jolta haluat päästä lähiverkkoon. Linux-käyttöjärjestelmässä on tuki tunneloinnille mukana. Tuen tunneloinnille voi asentaa erikseen myös Mac OS X:lle. Paketti on ladattavissa osoitteesta http://tuntaposx.sourceforge.net/ .

Luo uusi tiedosto <tt>~root/tunnelconnect.sh</tt>, jonne sisällöksi:
#!/bin/bash
ifconfig tun3 192.168.24.2 192.168.24.1 &&
echo Tunneli asetettu paikallisesti

# elamaa helpottavat reitit
xargs -n 1 -I '{}' route add -host '{}' 192.168.24.1 <<END
svn.cc.jyu.fi
trac.cc.jyu.fi
mot.kielikone.fi
END

Esimerkissä olevat kolme palvelimen nimeä, esimerkiksi ''svn.cc.jyu.fi'', voidaan korvata niillä osoitteilla, jotka halutaan tunneloitavan osoitteen ''192.168.24.1'' lisäksi. Tämän avulla voidaan yksittäiseen IP-osoitteeseen menevä liikenne tunneloida samalla, kun muu liikenne kulkee normaalisti lyhintä reittiään. Ratkaisu on tarpeen palveluissa, joiden rajoitus perustuu IP-osoitteiden tarkistamiseen.

Muokkaa tiedostoa <tt>~root/.ssh/config</tt> ja lisää sen loppuun rivi

host tunnel
User root
Hostname tieto.kone.fi
IdentityFile /home/jaska/.ssh/id_dsa
Tunnel point-to-point
TunnelDevice 3:3
PermitLocalCommand yes
LocalCommand /root/tunnelconnect.sh

Muuta ''IdentityFile'' ja ''Hostname'' vastaamaan käyttämääsi ssh-avainta ja palvelimen osoitetta.

Näillä asetuksilla tarvisit rootin oikeudet joka kerta, kun haluat avata yhteyden. Tämän välttämiseksi asetetaan sudo-komento hyväksymään tunnelin avaaminen tavallisena käyttäjänä. Komenna <tt>visudo</tt> ja lisää tiedoston loppuun seuraava rivi:

jaska ALL = NOPASSWD: /usr/bin/ssh -T tunnel

Korvaa tässä esimerkissä ''jaska'' asiakaskoneen käyttäjänimelläsi.

Lopuksi voit luopua pääkäyttäjän oikeuksista ja muokata tiedostoa <tt>~jaska/.bash_profile</tt>. Lisää sinne rivi
alias tunneli="sudo /usr/bin/ssh -T tunnel"

==Yhdistäminen==

Komenna komentorivillä <tt>tunneli</tt>. Tunneli avautuu. Tunneli voidaan lopettaa Control-C -näppäinyhdistelmällä. Mikäli tunneli on katkennut yllättäen, ensimmäinen suorituskerta katkaisee aiemman tunnelin ja toisella kertaa yhteys muodostuu.

SSH-tunneli

2009-02-11T21:08:27Z

Joell: /* Asiakkaan asettaminen */ os x

Tunnelointiin on Linuxissa lukuisia tapoja. Tässä keskitytään kaikkein helpoimpaan, eli tun-tunneliin SSH:n välityksellä. Ratkaisulla saavutetaan seuraavat edut:

* Helposti asetettavissa
* Toimii kaikkien palomuurien kanssa, jotka läpäisevät tavallisen SSH-liikenteen
* Ei tarvitse asentaa ohjelmia

Ratkaisulla on myös muutamia haittapuolia:

* Tarvitsee root-oikeudet molemmista koneista (kuten useimmat muutkin tunneloinnit)
* Ei ole verkkoliikenteen kannalta optimaalinen, koska tunneli toimii TCP-yhteyden välityksellä

Tässä artikkelissa esitellään SSH-tunnelin asettelu siten, että se on otettavissa vaivatta käyttöön esimerkiksi kannettavalla.

==Esiasettelu==

Luo ssh-avaimet tarvittaessa. Tätä tarkoitusta varten voit myös luoda omat avaimet. Tässä esimerkissä käytetään samoja avaimia kuin tavallisella käyttäjällä.

Valitse IPv4-osoitteet, jotka eivät ole käytössä tunnelia varten. Tässä esimerkissä käytetään osoitetta ''192.168.24.1'' palvelimelle ja ''192.168.24.2'' asiakkaalle. Esimerkin osoitteet on valittu umpimähkäisesti sisäverkkojen osoitealueesta. Valitse osoitteet, joita ei ole lähiverkossasi käytössä.

Valitse myös käyttämäsi tunnelinumero. Se voi olla oikeastaan mitä tahansa nollasta ylöspäin, jos käytössä ei ole muita tunneleita. Tässä esimerkissä käytetään onnennumeroa 3, jolloin verkkolaitteen nimeksi tulee ''tun3''. Se saa eri palvelimella ja asiakkaalla.

==Palvelimen asettaminen==

Muokkaa tiedostoa <tt>~root/.ssh/authorized_keys</tt>. Lisää sinne rivi
command="/root/tunnelip.sh",no-port-forwarding,no-pty,no-agent-forwarding,no-X11-forwarding AVAIMESI TIEDOT

Komento antaa oikeudet suorittaa vain komennon <tt>/root/tunnelip.sh</tt> palvelimella.

Muokkaa tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää sinne rivi
PermitTunnel yes

Luo uusi tiedosto <tt>~root/tunnelip.sh</tt>, jonne seuraava sisältö:

#!/bin/bash
# muodostaa ssh-tunnelin ja tuhoaa aiemman tarvittaessa
CONNECTED=$(ip addr show dev tun3 to 192.168.24.1)

if [ "$CONNECTED" ]; then
RAWSSHPID=$(lsof -F p /dev/net/tun)
SSHPID=${RAWSSHPID:1}
echo Tunneli oli päällä, komento oli $(</proc/$SSHPID/cmdline)
kill "$SSHPID"
else
ifconfig tun3 192.168.24.1 pointopoint 192.168.24.2 &&
echo Tunneli asetettu palvelimelle
fi

==Asiakkaan asettaminen==

Asiakaskoneena voi toimia esimerkiksi kannettava tietokone, jolta haluat päästä lähiverkkoon. Linux-käyttöjärjestelmässä on tuki tunneloinnille mukana. Tuen tunneloinnille voi asentaa erikseen myös Mac OS X:lle. Paketti on ladattavissa osoitteesta http://tuntaposx.sourceforge.net/ .

Luo uusi tiedosto <tt>~root/tunnelconnect.sh</tt>, jonne sisällöksi:
#!/bin/bash
ifconfig tun3 192.168.24.2 192.168.24.1 &&
echo Tunneli asetettu paikallisesti

# elamaa helpottavat reitit
xargs -n 1 -I '{}' route add -host '{}' 192.168.24.1 <<END
svn.cc.jyu.fi
trac.cc.jyu.fi
mot.kielikone.fi
END

Esimerkissä olevat kolme palvelimen nimeä, esimerkiksi ''svn.cc.jyu.fi'', voidaan korvata niillä osoitteilla, jotka halutaan tunneloitavan osoitteen ''192.168.24.1'' lisäksi. Tämän avulla voidaan yksittäiseen IP-osoitteeseen menevä liikenne tunneloida samalla, kun muu liikenne kulkee normaalisti lyhintä reittiään. Ratkaisu on tarpeen palveluissa, joiden rajoitus perustuu IP-osoitteiden tarkistamiseen.

Muokkaa tiedostoa <tt>~root/.ssh/config</tt> ja lisää sen loppuun rivi

host tunnel
User root
Hostname tieto.kone.fi
IdentityFile /home/jaska/.ssh/id_dsa
Tunnel point-to-point
TunnelDevice 3:3
PermitLocalCommand yes
LocalCommand /root/tunnelconnect.sh

Muuta ''IdentityFile'' ja ''Hostname'' vastaamaan käyttämääsi ssh-avainta ja palvelimen osoitetta.

Näillä asetuksilla tarvisit rootin oikeudet joka kerta, kun haluat avata yhteyden. Tämän välttämiseksi asetetaan sudo-komento hyväksymään tunnelin avaaminen tavallisena käyttäjänä. Komenna <tt>visudo</tt> ja lisää tiedoston loppuun seuraava rivi:

jaska ALL = NOPASSWD: /usr/bin/ssh -T tunnel

Korvaa tässä esimerkissä ''jaska'' asiakaskoneen käyttäjänimelläsi.

Lopuksi voit luopua pääkäyttäjän oikeuksista ja muokata tiedostoa <tt>~jaska/.bash_profile</tt>. Lisää sinne rivi
alias tunneli="sudo /usr/bin/ssh -T tunnel"

==Yhdistäminen==

Komenna komentorivillä <tt>tunneli</tt>. Tunneli avautuu. Tunneli voidaan lopettaa Control-C -näppäinyhdistelmällä. Mikäli tunneli on katkennut yllättäen, ensimmäinen suorituskerta katkaisee aiemman tunnelin ja toisella kertaa yhteys muodostuu.

SSH-tunneli

2009-02-11T21:04:02Z

Joell: /* Esiasettelu */ kaunistelu

Tunnelointiin on Linuxissa lukuisia tapoja. Tässä keskitytään kaikkein helpoimpaan, eli tun-tunneliin SSH:n välityksellä. Ratkaisulla saavutetaan seuraavat edut:

* Helposti asetettavissa
* Toimii kaikkien palomuurien kanssa, jotka läpäisevät tavallisen SSH-liikenteen
* Ei tarvitse asentaa ohjelmia

Ratkaisulla on myös muutamia haittapuolia:

* Tarvitsee root-oikeudet molemmista koneista (kuten useimmat muutkin tunneloinnit)
* Ei ole verkkoliikenteen kannalta optimaalinen, koska tunneli toimii TCP-yhteyden välityksellä

Tässä artikkelissa esitellään SSH-tunnelin asettelu siten, että se on otettavissa vaivatta käyttöön esimerkiksi kannettavalla.

==Esiasettelu==

Luo ssh-avaimet tarvittaessa. Tätä tarkoitusta varten voit myös luoda omat avaimet. Tässä esimerkissä käytetään samoja avaimia kuin tavallisella käyttäjällä.

Valitse IPv4-osoitteet, jotka eivät ole käytössä tunnelia varten. Tässä esimerkissä käytetään osoitetta ''192.168.24.1'' palvelimelle ja ''192.168.24.2'' asiakkaalle. Esimerkin osoitteet on valittu umpimähkäisesti sisäverkkojen osoitealueesta. Valitse osoitteet, joita ei ole lähiverkossasi käytössä.

Valitse myös käyttämäsi tunnelinumero. Se voi olla oikeastaan mitä tahansa nollasta ylöspäin, jos käytössä ei ole muita tunneleita. Tässä esimerkissä käytetään onnennumeroa 3, jolloin verkkolaitteen nimeksi tulee ''tun3''. Se saa eri palvelimella ja asiakkaalla.

==Palvelimen asettaminen==

Muokkaa tiedostoa <tt>~root/.ssh/authorized_keys</tt>. Lisää sinne rivi
command="/root/tunnelip.sh",no-port-forwarding,no-pty,no-agent-forwarding,no-X11-forwarding AVAIMESI TIEDOT

Komento antaa oikeudet suorittaa vain komennon <tt>/root/tunnelip.sh</tt> palvelimella.

Muokkaa tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää sinne rivi
PermitTunnel yes

Luo uusi tiedosto <tt>~root/tunnelip.sh</tt>, jonne seuraava sisältö:

#!/bin/bash
# muodostaa ssh-tunnelin ja tuhoaa aiemman tarvittaessa
CONNECTED=$(ip addr show dev tun3 to 192.168.24.1)

if [ "$CONNECTED" ]; then
RAWSSHPID=$(lsof -F p /dev/net/tun)
SSHPID=${RAWSSHPID:1}
echo Tunneli oli päällä, komento oli $(</proc/$SSHPID/cmdline)
kill "$SSHPID"
else
ifconfig tun3 192.168.24.1 pointopoint 192.168.24.2 &&
echo Tunneli asetettu palvelimelle
fi

==Asiakkaan asettaminen==

Asiakaskoneena voi toimia esimerkiksi kannettava tietokone, jolta haluat päästä lähiverkkoon.

Luo uusi tiedosto <tt>~root/tunnelconnect.sh</tt>, jonne sisällöksi:
#!/bin/bash
ifconfig tun3 192.168.24.2 192.168.24.1 &&
echo Tunneli asetettu paikallisesti

# elamaa helpottavat reitit
xargs -n 1 -I '{}' route add -host '{}' 192.168.24.1 <<END
svn.cc.jyu.fi
trac.cc.jyu.fi
mot.kielikone.fi
END

Esimerkissä olevat kolme palvelimen nimeä, esimerkiksi ''svn.cc.jyu.fi'', voidaan korvata niillä osoitteilla, jotka halutaan tunneloitavan osoitteen ''192.168.24.1'' lisäksi. Tämän avulla voidaan yksittäiseen IP-osoitteeseen menevä liikenne tunneloida samalla, kun muu liikenne kulkee normaalisti lyhintä reittiään. Ratkaisu on tarpeen palveluissa, joiden rajoitus perustuu IP-osoitteiden tarkistamiseen.

Muokkaa tiedostoa <tt>~root/.ssh/config</tt> ja lisää sen loppuun rivi

host tunnel
User root
Hostname tieto.kone.fi
IdentityFile /home/jaska/.ssh/id_dsa
Tunnel point-to-point
TunnelDevice 3:3
PermitLocalCommand yes
LocalCommand /root/tunnelconnect.sh

Muuta ''IdentityFile'' ja ''Hostname'' vastaamaan käyttämääsi ssh-avainta ja palvelimen osoitetta.

Näillä asetuksilla tarvisit rootin oikeudet joka kerta, kun haluat avata yhteyden. Tämän välttämiseksi asetetaan sudo-komento hyväksymään tunnelin avaaminen tavallisena käyttäjänä. Komenna <tt>visudo</tt> ja lisää tiedoston loppuun seuraava rivi:

jaska ALL = NOPASSWD: /usr/bin/ssh -T tunnel

Korvaa tässä esimerkissä ''jaska'' asiakaskoneen käyttäjänimelläsi.

Lopuksi voit luopua pääkäyttäjän oikeuksista ja muokata tiedostoa <tt>~jaska/.bash_profile</tt>. Lisää sinne rivi
alias tunneli="sudo /usr/bin/ssh -T tunnel"

==Yhdistäminen==

Komenna komentorivillä <tt>tunneli</tt>. Tunneli avautuu. Tunneli voidaan lopettaa Control-C -näppäinyhdistelmällä. Mikäli tunneli on katkennut yllättäen, ensimmäinen suorituskerta katkaisee aiemman tunnelin ja toisella kertaa yhteys muodostuu.

BackZoup

2009-01-20T20:13:21Z

Joell: /* Viimeistely */ komennot ja sisennys

BackZoup on [[varmuuskopiointi]]järjestelmä, joka mahdollistaa tietojen varmuuskopioinnin tietoturvallisesti Internetin kautta sellaiselle kohdetietokoneelle, jonka luottamuksellisuutta ei voida varmistaa. Järjestelmässä tieto ensin salataan ja sitten siirretään salattua siirtotietä pitkin kohteeseen. Tällä saavutetaan seuraavat edut:

* Tieto ei ole urkittavissa tiedonsiirron aikana.
* Tieto ei ole urkittavissa kohdetietokoneella.
* Kohdetietokoneeseen ei tarvita [[pääkäyttäjä]]n oikeuksia.

Tällainen järjestelmä voidaan saavuttaa usealla tavalla, joista BackZoup perustuu yhdistelmälle [[NBD]] + [[ssh]] + [[LUFS]] + [[rdiff-backup]]. Mikäli käytössä on [[LVM]], saadaan varmuuskopioiden ottamiseen lisää joustavuutta. Näiden eri sovellusten tuntemus ei ole tarpeen, koska tarvittavat vaiheet neuvotaan tässä artikkelissa.

Lisätietoja muista vastaavista ratkaisuista löytyy artikkelin lopusta.

==Taustaa tekniikasta==
Kaikki [[käyttäjä]]t käyttävät samaa tunnusta, erottelu tapahtuu ssh-avaimilla.
Luodaan tunnus järjestelmään, jolle ei aseteta [[salasana]]a

# [[adduser]] --disabled-password netbackup

==NBD:n kääntäminen ja asennus==
NBD tarvitsee [[lähdekoodi]]muutoksen eli
[http://en.wikipedia.org/wiki/Patch_(computing) #Patches_in_software_development pätsin]
toimiakseen ssh:n kautta.

Tarvitset nbd:n version 2.9.11, koska SSH-tuen mahdollistava pätsi on olemassa ainoastaan tälle versiolle. NBD on ladattavissa osoitteesta http://sourceforge.net/projects/nbd/ . SSH-pätsi on saatavissa osoitteesta http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch .

Mikäli haluat varmuuskopioida kahteen suuntaan, eli tarjota
varmuuskopiointitilaa ystävällesi ja vastaavasti käyttää ystäväsi tietokonetta
oman datasi varmuuskopiointiin, kannattaa nbd paikata ja asentaa koko käyttöjärjestelmän osana. Tällöin suorita seuraavat komennot tavallisena käyttäjänä:

[[mkdir]] -p ~/tmp
[[cd]] ~/tmp
[[wget]] http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch
[[tar]] -xjf nbd-2.9.11.tar.bz2
cd nbd-2.9.11
[[patch]] -p0 <../nbd-2.9.11-ssh2.patch
./configure
[[make]]
[[sudo]] make install

Mikäli haluat ainoastaan tarjota varmuuskopiointitilaa, kannattaa nbd asentaa varmuuskopiokäyttäjän tunnuksella. Seuraava esimerkki asentaa nbd:n [[hakemisto]]on <tt>~netbackup/nbd</tt>:

[[su]] - netbackup
cd
mkdir -p tmp nbd/etc/nbd-server .ssh
cd tmp
wget http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch
tar -xjf nbd-2.9.11.tar.bz2
cd nbd-2.9.11
patch -p0 <../nbd-2.9.11-ssh2.patch
./configure --prefix=$HOME/nbd
make
make install

Asennuksen jälkeen voidaan poistaa väliaikaistiedostot:

cd
[[rm]] -r ~/tmp

Tehdään nbd:n [[asetustiedosto]]. Tätä ei tarvita varsinaisesti mihinkään, mutta
sillä saadaan nbd-server olemaan valittamatta puuttuvasta asetustiedostosta.
Suorita seuraavat rivit

[[cat]] >~/nbd/etc/nbd-server/config <<EOF
[generic]
[export]
exportname = /blah
port = 0
EOF

Palataan takaisin root-käyttäjäksi

[[exit]]

==Käyttäjäkohtaiset asetukset==
Nyt voidaan tehdä asetukset eri käyttäjille. Toista tätä tarvittaessa.

===Tallennustilan luonti===
Varmuuskopiointitila voi olla joko tavallisia tiedostoja tai osioita.
Mikäli järjestelmässäsi on LVM käytössä, suosittelen sen käyttämistä.

====LVM-osio====
Mikäli käytössäsi on LVM, voit luoda varmuuskopio-osion seuraavasti:

# lvcreate -L 10G -nmaakuth levy

Se luo uuden kymmenen gigatavun loogisen taltion nimeltään 'maakuth' LVM:n
taltioryhmään nimeltään 'levy'. Uusi looginen taltio löytyy polusta /dev/mapper/levy-maakuth.

Annetaan oikeudet osiolle:

# [[chown]] netbackup /dev/mapper/levy-maakuth

LVM-taltioiden sisältöä ei luontivaiheessa nollata. Jos taltio sattuu
levyllä kohtaan, jolla on ollut aiemmin jo dataa, kannattaa sisältö
nollata, jotta levytilan uusi omistaja ei pääsisi lukemaan aiempaa
sisältöä. Tämä vie aikaa lukuisia minuutteja osion koosta riippuen.

# [[dd]] if=/dev/zero of=/dev/mapper/levy-maakuth

====Tiedostojärjestelmä tiedostossa====
Jos käytössäsi ei ole LVM:ää, niin toiseksi paras tapa on käyttää
tavallisia [[tiedosto]]ja. Se onnistuu menemällä hakemistoon, jossa käyttäjällä
netbackup on [[tiedoston oikeudet|kirjoitusoikeudet]] (esimerkiksi ~netbackup) ja komentamalla:

# dd bs=1048576 count=0 seek=10000 of=maakuth.img

Tämä luo noin 10 gigatavun tiedoston nykyiseen hakemistoon, joka on
toistaiseksi tyhjä (se ei edes vie tilaa levyllä, ns. "sparse file").
Tätä tiedostoa voi käsitellä nbd:llä ikään kuin se olisi osio.

Tiedostoa ei tarvitse nollata LVM:n tapaan, koska se on tiedosto eikä osio.

===Käyttäjän varmennus===
Otetaan käyttäjän oikeudet

# su - netbackup

Pyydä käyttäjältä hänen julkinen SSH-avaimensa. Hän voi halutessaan luoda uuden
avaimen [[SSH|ssh-keygen]] -sovelluksella tai käyttää olemassa olevaa.

Muokkaa tiedostoa <tt>.ssh/authorized_keys</tt>. Huolehdi, että käyttämäsi [[tekstieditori]] ei rivitä tiedostoa automaattisesti. Lisää tiedoston loppuun rivi:

command="nbd/bin/nbd-server -s 0 LAITE",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty AVAIN

Korvaa LAITE tiedostolla, johon käyttäjä tallentaa datansa. Loit sen äskettäin.
Esimerkiksi <tt>/dev/mapper/levy-maakuth</tt>. Korvaa avain käyttäjän avaimella, alkaa
usein ssh-rsa tai ssh-dss.

==Yhteyden muodostaminen==
Asetukset on nyt tehty, ja voit kokeilla asiaa käytännössä. Pyydä kaveriasi kääntämään
nbd tämän tiedoston alun ohjeiden mukaan ja komentamaan pääkäyttäjänä:

# ~/nbd/bin/nbd-client -cmd ssh -i POLKU_AVAIMEEN -e none netbackup@kaverin.kone.fi ';' /dev/nbd0

Tässä POLKU_AVAIMEEN on polku salaisen avaimen tiedostoon. Jos käytät samaa
avainta tavallisena käyttäjänä, se löytyy polusta ~käyttäjä/.ssh/id_dsa tai
id_rsa.

Jos sovellus lopettaa ilman virhettä, on uusi etäinen kovalevysi laittessa
/dev/nbd0.

Voit vaikka heti luoda levylle [[tiedostojärjestelmä]]n [[mkfs]]:llä, liittää levyn
[[mount]]illa ja sen jälkeen ruveta käyttämään. Kuitenkin kannattaa tutustua
seuraavaan kappaleeseen, koska siinä neuvotaan salauksen käyttöönotto.

Laitteen saat poistettua järjestelmästäsi komentamalla:

# ~/nbd/bin/nbd-client -d /dev/nbd0

==Salattu tiedostojärjestelmä==
Mikäli käytettävissäsi on [[LUKS]], suosittelen sitä salaamiseen. Se tulee useimpien jakeluiden mukana[http://www.saout.de/tikiwiki/tiki-index.php?page=LUKSDistroSupportStatus].

Tehdään muutama oletus. Journalointia ja [[atime]]ä ei kannata verkon
yli liitettävässä tiedostojärjestelmässä käyttää tehokkuussyistä. Tämä ei
perustu mittaustuloksiin, joten tätä osiota kannattaa asiasta tietävien
täydentää. Siksi tässä käytetään tiedostojärjestelmänä [[ext2]]:ta <tt>noatime</tt>-asetuksella.

Luodaan salattu tiedostojärjestelmä. Tässä vaiheessa kannattaa keksiä
itselleen salasana. Salasanan keksimisessä auttaa komento <tt>[[pwgen]]</tt>.

# luksformat -t ext2 /dev/nbd0

Tämän jälkeen saat salatun osion näkymään komennolla:

# [[cryptsetup]] luksOpen /dev/nbd0 backup

Tämä luo järjestelmääsi laitteen /dev/mapper/backup, jossa selkokielinen
tiedostojärjestelmä sijaitsee. Voit esimerkiksi kokeilla osion liittämistä.
Oletetaan, että sinulla on tyhjä hakemisto /mnt/backup:

# mount -o noatime /dev/mapper/backup /mnt/backup

Voit kokeilla tiedostojen kirjoittamista levylle.

Lopuksi voit poistaa salatun osion näkyvistä järjestelmästäsi komentamalla:

# [[umount]] /mnt/backup
# cryptsetup remove backup

==Viimeistely==
Lopuksi kannattaa nähdä hetki vaivaa asetusten tekemiseen, koska näin säästää
aikaa tulevaisuudessa, kun ei tarvitse rutiinikäytössä muistella kaikkia
komentoja ulkoa.

Helpotetaan salatun osion liittämistä tekemällä pääkäyttäjälle ssh-config.
Lisää tiedoston <tt>~root/.ssh/config</tt> loppuun:

Host backup
EscapeChar none
BatchMode yes
User netbackup
HostName palvelin.fi
IdentityFile polku_salaiseen_avaimeesi
Port 22

Tämän jälkeen yhdistäminen pitäisi onnistua lyhyemmin komentamalla:

nbd-client -cmd ssh backup ';' /dev/nbd0

==Lähteet==
https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid

[[Luokka:Ohjeet]]
[[Luokka:Tietoturva]]

BackZoup

2009-01-13T19:47:50Z

Joell: /* NBD:n kääntäminen ja asennus */

TÄMÄ ARTIKKELI ON KESKEN!

BackZoup on varmuuskopiointijärjestelmä, joka mahdollistaa tietokoneen varmuuskopioinnin tietoturvallisesti Internetin kautta sellaiselle kohdetietokoneelle, jonka luottamuksellisuutta ei voida varmistaa. Järjestelmässä tieto ensin salataan ja sitten siirretään salattua siirtotietä pitkin kohteeseen. Tällä saavutetaan seuraavat edut:

* Tieto ei ole urkittavissa tiedonsiirron aikana.
* Tieto ei ole urkittavissa kohdetietokoneella.
* Kohdetietokoneeseen ei tarvita pääkäyttäjän oikeuksia.

Tällainen järjestelmä voidaan saavuttaa usealla tavalla, joista BackZoup perustuu yhdistelmälle [[NBD]] + [[ssh]] + [[LUFS]] + [[rdiff-backup]]. Mikäli käytössä on [[LVM]], saadaan varmuuskopioiden ottamiseen lisää joustavuutta. Näiden eri sovellusten tuntemus ei ole tarpeen, koska tarvittavat vaiheet neuvotaan tässä artikkelissa.

Lisätietoja muista vastaavista ratkaisuista löytyy artikkelin lopusta.

==Taustaa tekniikasta==

Kaikki käyttäjät käyttävät samaa tunnusta, erottelu tapahtuu ssh-avaimilla.
Luodaan tunnus järjestelmään, jolle ei aseteta salasanaa

# adduser --disabled-password netbackup

==NBD:n kääntäminen ja asennus==

NBD tarvitsee lähdekoodimuutoksen eli
[http://en.wikipedia.org/wiki/Patch_(computing)#Patches_in_software_development pätsin]
toimiakseen ssh:n kautta.

Tarvitset nbd:n version 2.9.11, koska SSH-tuen mahdollistava pätsi on olemassa ainoastaan tälle versiolle. NBD on ladattavissa osoitteesta http://sourceforge.net/projects/nbd/ . SSH-pätsi on saatavissa osoitteesta http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch .

Mikäli haluat varmuuskopioida kahteen suuntaan, eli tarjota
varmuuskopiointitilaa ystävällesi ja vastaavasti käyttää ystäväsi tietokonetta
oman datasi varmuuskopiointiin, kannattaa nbd paikata ja asentaa koko käyttöjärjestelmän osana. Tällöin noudata seuraavaa ohjelmaa tavallisena käyttäjänä:

mkdir -p ~/tmp
cd ~/tmp
wget http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch
tar -xjf nbd-2.9.11.tar.bz2
cd nbd-2.9.11
patch -p0 <../nbd-2.9.11-ssh2.patch
./configure
make
sudo make install

Mikäli haluat ainoastaan tarjota varmuuskopiointitilaa, kannattaa nbd asentaa varmuuskopiokäyttäjän tunnuksella. Seuraava esimerkki asentaa nbd:n hakemistoon ~netbackup/nbd:

su - netbackup
cd
mkdir -p tmp nbd/etc/nbd-server .ssh
cd tmp
wget http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch
tar -xjf nbd-2.9.11.tar.bz2
cd nbd-2.9.11
patch -p0 <../nbd-2.9.11-ssh2.patch
./configure --prefix=$HOME/nbd
make
make install

Asennuksen jälkeen voidaan poistaa väliaikaistiedostot:

cd
rm -r ~/tmp

Tehdään nbd:n asetustitiedosto. Tätä ei tarvita varsinaisesti mihinkään, mutta
sillä saadaan nbd-server olemaan valittamatta puuttuvasta asetustiedostosta.
Suorita seuraavat rivit

cat >~/nbd/etc/nbd-server/config <<EOF
[generic]
[export]
exportname = /blah
port = 0
EOF

Palataan takaisin root-käyttäjäksi

exit

==Käyttäjäkohtaiset asetukset==

Nyt voidaan tehdä asetukset eri käyttäjille. Toista tätä tarvittaessa.

===Tallennustilan luonti===

Varmuuskopiointitila voi olla joko tavallisia tiedostoja tai osioita.
Mikäli järjestelmässäsi on LVM käytössä, suosittelen sen käyttämistä.

====LVM-osio====

Mikäli käytössäsi on lvm, voit luoda varmuuskopio-osion seuraavasti:

# lvcreate -L 10G -nmaakuth levy

Se luo uuden kymmenen gigatavun osion nimeltään 'maakuth' lvm:n
volumegroupiin nimeltään 'levy'. Uusi osio löytyy polusta /dev/mapper/levy-maakuth.

Annetaan oikeudet osiolle:

# chown netbackup /dev/mapper/levy-maakuth

LVM-osioiden sisältöä ei luontivaiheessa nollata. Jos osio sattuu
levyllä kohtaan, jolla on ollut aiemmin jo dataa, kannattaa sisältö
nollata, jotta levytilan uusi omistaja ei pääsisi lukemaan aiempaa
sisältöä. Tämä vie aikaa lukuisia minuutteja osion koosta riippuen.

# dd if=/dev/zero of=/dev/mapper/levy-maakuth

====Tiedostojärjestelmä tiedostossa====

Jos käytössäsi ei ole lvm:ää, niin toiseksi paras tapa on käyttää
tavallisia tiedostoja. Se onnistuu menemällä hakemistoon, jossa käyttäjällä
netbackup on kirjoitusoikeudet (esimerkiksi ~netbackup) ja komentamalla:

# dd bs=1048576 count=0 seek=10000 of=maakuth.img

Tämä luo noin 10 gigatavun tiedoston nykyiseen hakemistoon, joka on
toistaiseksi tyhjä (se ei edes vie tilaa levyllä, ns. "sparse file").
Tätä tiedostoa voi käsitellä nbd:llä ikään kuin se olisi osio.

Tiedostoa ei tarvitse nollata LVM:n tapaan, koska se on tiedosto eikä osio.

===Käyttäjän varmennus===

Otetaan käyttäjän oikeudet

# su - netbackup

Pyydä käyttäjältä hänen julkinen SSH-avaimensa. Hän voi halutessaan luoda uuden
avaimen ssh-keygen -sovelluksella tai käyttää olemassa olevaa.

Muokkaa tiedostoa .ssh/authorized_keys. Huolehdi, että käyttämäsi editori ei
rivitä tiedostoa automaattisesti. Lisää tiedoston loppuun rivi:

command="nbd/bin/nbd-server -s 0 LAITE",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty AVAIN

Korvaa LAITE tiedostolla, johon käyttäjä tallentaa datansa. Loit sen äskettäin.
Esimerkiksi /dev/mapper/levy-maakuth . Korvaa avain käyttäjän avaimella, alkaa
usein ssh-rsa tai ssh-dss.

==Yhteyden muodostaminen==

Nyt homma on konffattu ja voit kokeilla käytännössä. Pyydä kaveriasi kääntämään
nbd tämän tiedoston alun ohjeiden mukaan ja komentamaan pääkäyttäjänä:

# ~/nbd/bin/nbd-client -cmd ssh -i POLKU_AVAIMEEN -e none netbackup@kaverin.kone.fi ';' /dev/nbd0

Tässä POLKU_AVAIMEEN on polku salaisen avaimen tiedostoon. Jos käytät samaa
avainta tavallisena käyttäjänä, se löytyy polusta ~käyttäjä/.ssh/id_dsa tai
id_rsa.

Jos sovellus lopettaa ilman virhettä, on uusi etäinen kovalevysi laittessa
/dev/nbd0.

Voit vaikka heti luoda levylle tiedostojärjestelmän mkfs:llä, liittää levyn
mountilla ja sen jälkeen ruveta käyttämään. Kuitenkin kannattaa tutustua
seuraavaan kappaleeseen, koska siinä neuvotaan salauksen käyttöönotto.

Laitteen saat poistettua järjestelmästäsi komentamalla:

# ~/nbd/bin/nbd-client -d /dev/nbd0

==Salattu tiedostojärjestelmä==

Mikäli käytettävissäsi on LUKS, suosittelen sitä salaamiseen. Se tulee
ainakin Ubuntu 8.10:n vakiovarusteena.

Teen muutaman oletuksen. Journalointia ja access timeä ei kannata verkon
yli liitettävässä tiedostojärjestelmässä käyttää tehokkuussyistä. Tämä ei
perustu mittaustuloksiin, joten tätä osiota kannattaa asiasta tietävien
täydentää. Siksi käytän tiedostojärjestelmänä ext2:ta noatime-asetuksella.

Luodaan salattu tiedostojärjestelmä. Tässä vaiheessa kannattaa keksiä
itselleen salasana. Salasanan keksimisessä auttaa komento <tt>pwgen</tt>.

# luksformat -t ext2 /dev/nbd0

Tämän jälkeen saat salatun osion näkymään komennolla:

# cryptsetup luksOpen /dev/nbd0 backup

Tämä luo järjestelmääsi laitteen /dev/mapper/backup, jossa selkokielinen
tiedostojärjestelmä sijaitsee. Voit esimerkiksi kokeilla osion liittämistä.
Oletetaan, että sinulla on tyhjä hakemisto /mnt/backup:

# mount -o noatime /dev/mapper/backup /mnt/backup

Voit kokeilla tiedostojen kirjoittamista levylle.

Lopuksi voit poistaa salatun osion näkyvistä järjestelmästäsi komentamalla:

# umount /mnt/backup
# cryptsetup remove backup

==Viimeistely==

Lopuksi kannattaa nähdä hetki vaivaa asetusten tekemiseen, koska näin säästää
aikaa tulevaisuudessa, kun ei tarvitse rutiinikäytössä muistella kaikkia
komentoja ulkoa.

Helpotetaan salatun osion liittämistä tekemällä pääkäyttäjälle ssh-config.
Lisää tiedoston ~root/.ssh/config perään:

Host backup
EscapeChar none
BatchMode yes
User netbackup
HostName palvelin.fi
IdentityFile polku_salaiseen_avaimeesi
Port 22

Tämän jälkeen yhdistäminen pitäisi onnistua lyhyemmin komentamalla:

# nbd-client -cmd ssh backup ';' /dev/nbd0

==Lähteet==
https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid

BackZoup

2009-01-13T16:44:25Z

Joell: aiemmin kirjoittamani runko

TÄMÄ ARTIKKELI ON KESKEN!

BackZoup on varmuuskopiointijärjestelmä, joka mahdollistaa tietokoneen varmuuskopioinnin tietoturvallisesti Internetin kautta sellaiselle kohdetietokoneelle, jonka luottamuksellisuutta ei voida varmistaa. Järjestelmässä tieto ensin salataan ja sitten siirretään salattua siirtotietä pitkin kohteeseen. Tällä saavutetaan seuraavat edut:

* Tieto ei ole urkittavissa tiedonsiirron aikana.
* Tieto ei ole urkittavissa kohdetietokoneella.
* Kohdetietokoneeseen ei tarvita pääkäyttäjän oikeuksia.

Tällainen järjestelmä voidaan saavuttaa usealla tavalla, joista BackZoup perustuu yhdistelmälle [[NBD]] + [[ssh]] + [[LUFS]] + [[rdiff-backup]]. Mikäli käytössä on [[LVM]], saadaan varmuuskopioiden ottamiseen lisää joustavuutta. Näiden eri sovellusten tuntemus ei ole tarpeen, koska tarvittavat vaiheet neuvotaan tässä artikkelissa.

Lisätietoja muista vastaavista ratkaisuista löytyy artikkelin lopusta.

==Taustaa tekniikasta==

Kaikki käyttäjät käyttävät samaa tunnusta, erottelu tapahtuu ssh-avaimilla.
Luodaan tunnus järjestelmään, jolle ei aseteta salasanaa

# adduser --disabled-password netbackup

==NBD:n kääntäminen ja asennus==

NBD tarvitsee lähdekoodimuutoksen eli pätsin toimiakseen ssh:n kautta.
Ladataan nbd:n versio 2.9.11. Se onnistuu esimerkiksi osoitteesta
http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
tai sivujen http://sourceforge.net/projects/nbd/ kautta. Mukaile seuraavia
esimerkkejä:

Otetaan käyttäjän oikeudet:

# su - netbackup

Jonka jälkeen ladataan, pätsitään ja käännetään nbd
Voit jättää --prefixin pois, jos haluat asentaa koko järjestelmään.

# cd
# mkdir -p tmp nbd/etc/nbd-server .ssh
# cd tmp
# wget http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2
# wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch
# tar -xjf nbd-2.9.11.tar.bz2
# cd nbd-2.9.11
# patch -p0 <../nbd-2.9.11-ssh2.patch
# ./configure --prefix=$HOME/nbd
# make
# make install

Jos kaikki meni hyvin, sovellus on nyt asennettu hakemistoon ~netbackup/nbd.
Voidaan poistaa väliaikaistiedostot

# cd
# rm -r tmp

Tehdään nbd:n asetustitiedosto. Tätä ei tarvita varsinaisesti mihinkään, mutta
sillä saadaan nbd-server olemaan valittamatta puuttuvasta asetustiedostosta.
Suorita seuraavat rivit

# cat >~/nbd/etc/nbd-server/config <<EOF
[generic]
[export]
exportname = /blah
port = 0
EOF

Palataan takaisin root-käyttäjäksi

# exit

==Käyttäjäkohtaiset asetukset==

Nyt voidaan tehdä asetukset eri käyttäjille. Toista tätä tarvittaessa.

===Tallennustilan luonti===

Varmuuskopiointitila voi olla joko tavallisia tiedostoja tai osioita.
Mikäli järjestelmässäsi on LVM käytössä, suosittelen sen käyttämistä.

====LVM-osio====

Mikäli käytössäsi on lvm, voit luoda varmuuskopio-osion seuraavasti:

# lvcreate -L 10G -nmaakuth levy

Se luo uuden kymmenen gigatavun osion nimeltään 'maakuth' lvm:n
volumegroupiin nimeltään 'levy'. Uusi osio löytyy polusta /dev/mapper/levy-maakuth.

Annetaan oikeudet osiolle:

# chown netbackup /dev/mapper/levy-maakuth

LVM-osioiden sisältöä ei luontivaiheessa nollata. Jos osio sattuu
levyllä kohtaan, jolla on ollut aiemmin jo dataa, kannattaa sisältö
nollata, jotta levytilan uusi omistaja ei pääsisi lukemaan aiempaa
sisältöä. Tämä vie aikaa lukuisia minuutteja osion koosta riippuen.

# dd if=/dev/zero of=/dev/mapper/levy-maakuth

====Tiedostojärjestelmä tiedostossa====

Jos käytössäsi ei ole lvm:ää, niin toiseksi paras tapa on käyttää
tavallisia tiedostoja. Se onnistuu menemällä hakemistoon, jossa käyttäjällä
netbackup on kirjoitusoikeudet (esimerkiksi ~netbackup) ja komentamalla:

# dd bs=1048576 count=0 seek=10000 of=maakuth.img

Tämä luo noin 10 gigatavun tiedoston nykyiseen hakemistoon, joka on
toistaiseksi tyhjä (se ei edes vie tilaa levyllä, ns. "sparse file").
Tätä tiedostoa voi käsitellä nbd:llä ikään kuin se olisi osio.

Tiedostoa ei tarvitse nollata LVM:n tapaan, koska se on tiedosto eikä osio.

===Käyttäjän varmennus===

Otetaan käyttäjän oikeudet

# su - netbackup

Pyydä käyttäjältä hänen julkinen SSH-avaimensa. Hän voi halutessaan luoda uuden
avaimen ssh-keygen -sovelluksella tai käyttää olemassa olevaa.

Muokkaa tiedostoa .ssh/authorized_keys. Huolehdi, että käyttämäsi editori ei
rivitä tiedostoa automaattisesti. Lisää tiedoston loppuun rivi:

command="nbd/bin/nbd-server -s 0 LAITE",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty AVAIN

Korvaa LAITE tiedostolla, johon käyttäjä tallentaa datansa. Loit sen äskettäin.
Esimerkiksi /dev/mapper/levy-maakuth . Korvaa avain käyttäjän avaimella, alkaa
usein ssh-rsa tai ssh-dss.

==Yhteyden muodostaminen==

Nyt homma on konffattu ja voit kokeilla käytännössä. Pyydä kaveriasi kääntämään
nbd tämän tiedoston alun ohjeiden mukaan ja komentamaan pääkäyttäjänä:

# ~/nbd/bin/nbd-client -cmd ssh -i POLKU_AVAIMEEN -e none netbackup@kaverin.kone.fi ';' /dev/nbd0

Tässä POLKU_AVAIMEEN on polku salaisen avaimen tiedostoon. Jos käytät samaa
avainta tavallisena käyttäjänä, se löytyy polusta ~käyttäjä/.ssh/id_dsa tai
id_rsa.

Jos sovellus lopettaa ilman virhettä, on uusi etäinen kovalevysi laittessa
/dev/nbd0.

Voit vaikka heti luoda levylle tiedostojärjestelmän mkfs:llä, liittää levyn
mountilla ja sen jälkeen ruveta käyttämään. Kuitenkin kannattaa tutustua
seuraavaan kappaleeseen, koska siinä neuvotaan salauksen käyttöönotto.

Laitteen saat poistettua järjestelmästäsi komentamalla:

# ~/nbd/bin/nbd-client -d /dev/nbd0

==Salattu tiedostojärjestelmä==

Mikäli käytettävissäsi on LUKS, suosittelen sitä salaamiseen. Se tulee
ainakin Ubuntu 8.10:n vakiovarusteena.

Teen muutaman oletuksen. Journalointia ja access timeä ei kannata verkon
yli liitettävässä tiedostojärjestelmässä käyttää tehokkuussyistä. Tämä ei
perustu mittaustuloksiin, joten tätä osiota kannattaa asiasta tietävien
täydentää. Siksi käytän tiedostojärjestelmänä ext2:ta noatime-asetuksella.

Luodaan salattu tiedostojärjestelmä. Tässä vaiheessa kannattaa keksiä
itselleen salasana. Salasanan keksimisessä auttaa komento <tt>pwgen</tt>.

# luksformat -t ext2 /dev/nbd0

Tämän jälkeen saat salatun osion näkymään komennolla:

# cryptsetup luksOpen /dev/nbd0 backup

Tämä luo järjestelmääsi laitteen /dev/mapper/backup, jossa selkokielinen
tiedostojärjestelmä sijaitsee. Voit esimerkiksi kokeilla osion liittämistä.
Oletetaan, että sinulla on tyhjä hakemisto /mnt/backup:

# mount -o noatime /dev/mapper/backup /mnt/backup

Voit kokeilla tiedostojen kirjoittamista levylle.

Lopuksi voit poistaa salatun osion näkyvistä järjestelmästäsi komentamalla:

# umount /mnt/backup
# cryptsetup remove backup

==Viimeistely==

Lopuksi kannattaa nähdä hetki vaivaa asetusten tekemiseen, koska näin säästää
aikaa tulevaisuudessa, kun ei tarvitse rutiinikäytössä muistella kaikkia
komentoja ulkoa.

Helpotetaan salatun osion liittämistä tekemällä pääkäyttäjälle ssh-config.
Lisää tiedoston ~root/.ssh/config perään:

Host backup
EscapeChar none
BatchMode yes
User netbackup
HostName palvelin.fi
IdentityFile polku_salaiseen_avaimeesi
Port 22

Tämän jälkeen yhdistäminen pitäisi onnistua lyhyemmin komentamalla:

# nbd-client -cmd ssh backup ';' /dev/nbd0

==Lähteet==
https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid

Subversion

2008-12-07T23:52:37Z

Joell: /* Henkilökohtaisen varaston luominen */ typo

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt> ja <tt>svn mkdir hakemisto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn status</tt> – Näyttää työkopiossa muuttuneet tiedostonnimet.
*<tt>svn diff</tt> – Näyttää työkopion tiedostojen sisällön muutokset suhteessa edelliseen päivitykseen.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston luominen==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tehtävään riittää jokin tietokone, johon saa yhteyden ssh:lla. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti. Myös pelkästään paikallisen versiohallinnan perustaminen esimerkiksi muistitikulle on mahdollista käyttäen <tt>file:</tt>-URIa.

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennusta, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]
* [http://www.mit.jyu.fi/palvelut/sovellusprojektit/luennot/subversion.pdf Jyväskylän yliopiston Subversion-luentokalvot sovellusprojekteja varten]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:50:46Z

Joell: /* Henkilökohtaisen varaston luominen */ piste puuttui

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt> ja <tt>svn mkdir hakemisto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn status</tt> – Näyttää työkopiossa muuttuneet tiedostonnimet.
*<tt>svn diff</tt> – Näyttää työkopion tiedostojen sisällön muutokset suhteessa edelliseen päivitykseen.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston luominen==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tehtävään riittää jokin tietokone, johon saa yhteyden ssh:lla. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti. Myös pelkästään paikallisen versiohallinnan perustaminen esimerkiksi muistitikulle on mahdollista käyttäen <tt>file:</tt>-URIa.

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennus, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]
* [http://www.mit.jyu.fi/palvelut/sovellusprojektit/luennot/subversion.pdf Jyväskylän yliopiston Subversion-luentokalvot sovellusprojekteja varten]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:39:46Z

Joell: /* Aiheesta muualla */ jyu:n svn-opas

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt> ja <tt>svn mkdir hakemisto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn status</tt> – Näyttää työkopiossa muuttuneet tiedostonnimet.
*<tt>svn diff</tt> – Näyttää työkopion tiedostojen sisällön muutokset suhteessa edelliseen päivitykseen.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston luominen==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tehtävään riittää jokin tietokone, johon saa yhteyden ssh:lla. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti. Myös pelkästään paikallisen versiohallinnan perustaminen esimerkiksi muistitikulle on mahdollista käyttäen <tt>file:</tt>-URIa

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennus, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]
* [http://www.mit.jyu.fi/palvelut/sovellusprojektit/luennot/subversion.pdf Jyväskylän yliopiston Subversion-luentokalvot sovellusprojekteja varten]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:34:34Z

Joell: /* Asiakasohjelma */ mkdir, diff ja status

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt> ja <tt>svn mkdir hakemisto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn status</tt> – Näyttää työkopiossa muuttuneet tiedostonnimet.
*<tt>svn diff</tt> – Näyttää työkopion tiedostojen sisällön muutokset suhteessa edelliseen päivitykseen.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston luominen==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tehtävään riittää jokin tietokone, johon saa yhteyden ssh:lla. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti. Myös pelkästään paikallisen versiohallinnan perustaminen esimerkiksi muistitikulle on mahdollista käyttäen <tt>file:</tt>-URIa

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennus, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:28:47Z

Joell: henkkoht-varasto-otsikko meni väärin, file-urista maininta

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston luominen==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tehtävään riittää jokin tietokone, johon saa yhteyden ssh:lla. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti. Myös pelkästään paikallisen versiohallinnan perustaminen esimerkiksi muistitikulle on mahdollista käyttäen <tt>file:</tt>-URIa

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennus, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:17:16Z

Joell: /* = Henkilökohtaisen varaston luominen */ linkkejä ja puutteita

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston käyttöönotto==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tarvitaan vain jokin tietokone, johon saa yhteyden ssh:lla. Tämäkään ei ole välttämätöntä, mutta helpottaa käyttöä huomattavasti. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti.

== Henkilökohtaisen varaston luominen==

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita. Luodun varaston osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

Nyt voit komentaa niillä koneilla, joilta haluat ottaa varastosta työkopion, seuraavaa:
svn checkout svn+ssh://tunnus@tieto.kone.fi/svnpolku omat
Tällöin svn noutaa sinulle aluksi tyhjän työkopion, johon voit luoda hakemistoja eri projekteille, kuten kursseille. Tutustu [[Subversion#Asiakasohjelma|asiakasohjelman komentoihin]].

Huomaa, että mikäli käytössäsi ei ole SSH-avainvarmennus, saatat joutua syöttämään salasanan useita kertoja muodostaessasi yhteyttä palvelimelle. Tältä voi välttyä käyttämällä [[Ssh#Tunnistaminen_avainparilla|SSH-avaimia]].

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T23:00:30Z

Joell: /* Henkilökohtaisen versionhallinnan käyttöönotto */

Subversion on kehittynyt [[versionhallintajärjestelmä]]. Monet projektit ovat viime aikoina siirtyneet [[CVS]]:stä Subversioniin. Lyhennetään yleensä SVN.

== Asiakasohjelma ==
Subversion-asiakasohjelma tulee yleensä [[Jakelu|jakelupaketin]] [[Paketinhallintajärjestelmä|paketinhallinnasta]] subversion-nimisessä paketissa. Tämän jälkeen subversionia käytetään komennolla <tt>svn</tt>.

*Projektista voidaan ottaa työkopio komennolla <tt>svn checkout osoite projekti</tt>, esimerkiksi
svn checkout svn://palvelin.example/vapaaprojekti/trunk munprojekti
Hakisi palvelin.example-palvelimen svn-varastosta projektin vapaaprojekti päähaaran, sijoittaen sen paikalliseen munprojekti-hakemistoon.
*Työhakemistossa voi projektiin lisätä tiedostoja komennolla <tt>svn add</tt>, esimerkiksi
svn add uusfilu.cpp
Vastaavasti <tt>svn rm tiedosto</tt>
*Tiedostoja voidaan muokata tämän jälkeen työhakemistosta millä tahansa tekstieditorilla.
*Muokkausten jälkeen muutokset päivitetään komennolla <tt>svn ci</tt>, esimerkiksi
svn ci -m "kommentti"
Jonka jälkeen näet tiedostot, joihin tehdään muutoksia. Tämän jälkeen svn kysyy, suoritetaanko svn-varaston päivitys.

Jos jossain vaiheessa tarvitaan käyttäjätunnusta ja salasanaa (etenkin muutoksia tehtäessä kirjautumista vaaditaan lähes aina), svn kysyy tarvittavat tiedot.
===Muita hyödyllisiä komentoja===
*<tt>svn update</tt> – Päivittää projektin työkopion uusimpaan versioon.
*<tt>svn revert</tt> – Peruuttaa työkopioon tehdyt muutokset.
*<tt>svn help</tt> – Näyttää listan kaikista komennoista.
*<tt>svn help komento</tt> – Näyttää tietyn komennon käyttöohjeen.

== Palvelin ==
Samassa subversion-paketissa tulee yleensä myös subversion-palvelinohjelma. Subversion-palvelimen käyttöönotto on yksinkertaista.

*Aluksi luodaan koneelle svn-varasto. Esimerkiksi luomme svn-varaston polkuun /var/svn nimellä varasto:
mkdir /var/svn
cd /var/svn
svnadmin create varasto
Työkalu luo oletuksena FSFS-tyyppisen varaston. Se saa nimekseen ''varasto'' ja /var/svn-hakemistoon ilmestyy hakemisto ''varasto''. Voit käyttää myös vanhempaa Berkeley DB -tyyppistä varastoa käyttämällä valitsinta <tt>--fs-type bdb</tt>. FSFS-formaatin etuna on, että se on alustariippumaton ja vie vähemmän tilaa. Toinen FSFS-formaatin etu on se, ettei se ei vaadi huoltotoimenpiteitä, kuten Berkley DB.

*Luotuun varastoon voidaan myös hakea valmiiksi vähän pohjaa seuraavalla tavalla
svn import /var/svn/kivasvnpohja file:///var/svn/varasto/projektinnimi
*Seuraavaksi tehdään varastoon tarvittavat asetukset. Avaa tiedosto /var/svn/varasto/conf/svnserve.conf. Tiedostossa pitäisi olla useita kommentoituja rivejä joilla on ohjeita asetusten tekemistä varten. Tiedostosta pitäisi tehdä kutakuinkin tällainen (valmiit kommentit napsastu pois):
[general]
#Anonyymit saavat lukea (laita read:n tilalle none jos et halua antaa lukuoikeutta)
anon-access = read
#Kirjautuneille lukuoikeus
auth-access = write
#käyttäjätunnustiedosto
password-db = passwd
realm = Varastosi nimi

*Käyttäjätunnukset määriteltiin edellä tiedostoon passwd. Luo siis tiedosto /var/svn/conf/passwd ja lisää sinne rivejä muodossa:
[users]
kayttaja1 = salasana
kayttaja2 = salasana2
Kun käyttäjän toimet vaativat kirjautumista, kirjautumistiedot tarkistetaan tästä tiedostosta.

*Nyt kun asetukset on tehty, voidaan käynnistää itse svn-palvelin komennolla
svnserve -d -r /var/svn/varasto
-d tarkoittaa, että ajetaan palvelinta taustalla (nk. daemoni). -r-parametri kertoo, missä svn-varasto sijaitsee.

=== WebSVN ===
WebSVN on ohjelma, jolla svn-varastoa voi selata suoraan selaimella. Selailun lisäksi onnistuu mm. eri versioiden vertailu keskenään.

Monissa jakeluissa WebSVN löytyy suoraan paketinhallinnasta. Esimerkiksi Debianissa komento <tt>apt-get install websvn</tt> asentaa WebSVN:n paikoilleen /var/www-hakemistoon (tai vastaavaan). Asetustiedosto sijaitsee tämän jälkeen yleensä joko polussa /etc/websvn/config.inc, tai polussa websvn:n hakemisto/include/config.inc. Ainakin Debianin paketinhallinnasta asennettu versio käyttää oletuksena svn-varastoon polkua /var/svn. Varaston polun voi asettaa rivillä:
$config->parentPath("/var/svn/");

WebSVN:llä tulee olla lukuoikeudet svn-varastoon, ja lisäksi kirjoitusoikeudet varaston db-hakemistoon.

== Henkilökohtaisen varaston käyttöönotto==

Subversionia on myös mahdollista käyttää yhden käyttäjän ympäristössä tiedostojen muutosten seurantaan. Versiohallinta on vaivaton tapa pitää varmuuskopioita vanhoista työtiedostoista ja huolehtia tiedostojen vaivattomasta siirrosta esimerkiksi koulun ja kodin välillä. Henkilökohtainen varasto on tiedostotasolla ja asiakasohjelmien tasolla täysin yhteensopiva monen käyttäjän varaston kanssa.

Henkilökohtaisen varaston perustamiseen ei tarvitse pääkäyttäjän oikeuksia. Tähän tarvitaan vain jokin tietokone, johon saa yhteyden ssh:lla. Tämäkään ei ole välttämätöntä, mutta helpottaa käyttöä huomattavasti. Esimerkiksi yliopistojen tarjoamat päätekoneet, kuten Jyväskylän yliopiston <tt>jalava.cc.jyu.fi</tt>, soveltuvat tähän tehtävään erinomaisesti.

=== Henkilökohtaisen varaston luominen==

Olkoon meillä avoinna ssh-pääteyhteys koneeseen <tt>tieto.kone.fi</tt> ja käyttätunnuksena <tt>tunnus</tt>. Varaston voi luoda minne tahansa. Tässä tilanteessa käytetään kotihakemistoa, koska siihen on aina kirjoitusoikeudet.

Varaston luominen palvelimelle:
svnadmin create ~/omasvn

Selvitä käytetty hakemistopolku komentamalla:
cd ~/omasvn
pwd

Kopioi tulostunut hakemistonnimi talteen. Siihen viitataan jatkossa nimellä <tt>svnpolku</tt>. Nyt varasto on luotu, eikä mitään muut asetusten tekemistä tarvita.

Nyt käytettävissäsi on versiohallinta, jonka osoite muodostuu seuraavasti: <tt>svn+ssh://'''tunnus'''@'''tieto.kone.fi'''/'''svnpolku'''</tt> .

Voit kokeilla sen toimivuutta toiselta tietokoneelta käsin komentamalla:
svn info svn+ssh://tunnus@tieto.kone.fi/svnpolku

Mikäli saat listan ominaisuuksista etkä virheilmoitusta, onnittele itseäsi; sinulla on toimiva henkilökohtainen tietovarasto!

==Aiheesta muualla==

* [http://subversion.tigris.org Subversionin kotisivu]
*[http://subclipse.tigris.org/files/documents/906/8847/file_8847.dat?filename=subclipse%20%2d%20install%2c%20use%20and%20compile%2epdf Subversionin dokumentaatio (PDF)]
* [http://svnbook.red-bean.com/ Version Control with Subversion (kirja)]
* [http://www.onlamp.com/pub/a/onlamp/2005/01/06/svn_homedir.html Keeping Your Life in Subversion]

[[Luokka:Kehitystyökalut]]
[[Luokka:Palvelimet]]

Subversion

2008-12-07T22:29:45Z

Joell: henkilökohtainen versionhallinta-tynkä

Subversion

2008-12-07T22:25:31Z

Joell: /* Palvelin */ fsfs on nykyään oletus

Subversion

2008-12-07T22:17:10Z

Joell: /* Muita hyödyllisiä komentoja */ ovat kopioita, eivät versioita

Ubuntun live-CD:n mukauttaminen

2008-07-09T21:46:58Z

Joell: /* Paketointi uudeksi levykuvaksi */ typo

[[Ubuntu]]n [[Live-CD]] on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on [[squashfs]]:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. [[initrd]]:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja [[chroot]]-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. [[Locale]]n asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmetellä yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on [[mount]]attu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

Nyt voit [[Levyn_polttaminen|polttaa levykuvan cd:lle]] mieluisimmalla ohjelmallasi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/[[sources.list]]</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan [[ssh]]-palvelin ja [[autossh]]. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

====Palvelimen asetukset====

Jotta etäpelastettavan koneen rompulla ei päästäisi käsiksi tiedostoihin palvelimella tai tekemään mitään muuta kuin porttiohjauksia, tarvitaan muokata riviä, joka on lisätty käytetyn tunnuksen tiedostoon <tt>~/.ssh/authorized_keys</tt>. Lisätään etäpelastuslevyn julkisen avaimen rivin alkuun:

command="/bin/false",no-agent-forwarding,no-X11-forwarding,no-pty

Mikäli halutaan, että palvelimen kautta voidaan ottaa suora yhteys ylläpidettävään koneeseen, täytyy säätää palvelimen asetuksia roottina. Mikäli tähän ei ole mahdollisuutta, tunneliin voidaan yhdistää vain suoraan palvelimen shellistä yhdistämällä localhostiin.

Muokkaa palvelimen tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää loppuun rivi (huomaa tabulaattorisisennys ja korvaa <tt>tunnus</tt> oikealla):
Match User tunnus
GatewayPorts yes

====Yhdistäminen ja pelastaminen====

Kun etäpelastustehtävä tulee, pyydä vaikkapa puhelimitse pelastettavaa konetta bootattavaksi polttamasi cd:n kera. Mikäli kone saa yhteyden verkkoon, pitäisi tunnelinkin olla ylhäällä. Mikäli et poistanut pelastuslevyltä firefoxia, kokemattomankin etäkäyttäjänkin on helppo varmistaa netin toimiminen sillä.

Voit muodostaa yhteyden koneeseen seuraavasti (korvaa palvelimen nimi ja portti, jätä <tt>root</tt>:

ssh -p 8022 root@palvelin

Onnea. Olet etäyhteydessä. Voit mountata tietokoneen levyjä, lukea logeja ja alkaa etsimään vikaa. Jos kyseessä on vaikkapa kiukutteleva [[Windows]]-kone, voit ottaa tiedot etänä talteen ja käynnistää Ubuntun asennuksen!

==Muuta mukautettavaa==

Käynnistyskuvan voi vaihtaa piirtämällä vanhan <tt>live/isolinux/splash.pcx</tt>-kuvan pohjalta uuden ja
muuntamalla sen oikeaan muotoon. Tallenna muokkaamasi kuva sekä pcx- että raw ppm-muodoissa. Tämä näyttää toimivan, vaikka <tt>ppmtolss16</tt> valittaa liian isosta väripaletista. Komenna (korvaa UUSIKUVA kuvan polulla):
ppmtolss16 '#ffffff=7' < UUSIKUVA.ppm > live/isolinux/splash.rle
cat UUSIKUVA.pcx > live/isolinux/splash.pcx

Rompulta bootatessa ruudulle listautuu valtaisa määrä kieliä, joista näissä piireissä vain suomi ja englanti lienevät tarpeellisia. Voit siivota tarpeettomat kielet poistamalla rivejä tiedostosta <tt>live/isolinux/langlist</tt>.

Ubuntun live-CD:n mukauttaminen

2008-07-09T21:40:31Z

Joell: /* Etäpelastuslevy */ typo

[[Ubuntu]]n [[Live-CD]] on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on [[squashfs]]:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. [[initrd]]:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja [[chroot]]-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. [[Locale]]n asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmettelit yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on [[mount]]attu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

Nyt voit [[Levyn_polttaminen|polttaa levykuvan cd:lle]] mieluisimmalla ohjelmallasi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/[[sources.list]]</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan [[ssh]]-palvelin ja [[autossh]]. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

====Palvelimen asetukset====

Jotta etäpelastettavan koneen rompulla ei päästäisi käsiksi tiedostoihin palvelimella tai tekemään mitään muuta kuin porttiohjauksia, tarvitaan muokata riviä, joka on lisätty käytetyn tunnuksen tiedostoon <tt>~/.ssh/authorized_keys</tt>. Lisätään etäpelastuslevyn julkisen avaimen rivin alkuun:

command="/bin/false",no-agent-forwarding,no-X11-forwarding,no-pty

Mikäli halutaan, että palvelimen kautta voidaan ottaa suora yhteys ylläpidettävään koneeseen, täytyy säätää palvelimen asetuksia roottina. Mikäli tähän ei ole mahdollisuutta, tunneliin voidaan yhdistää vain suoraan palvelimen shellistä yhdistämällä localhostiin.

Muokkaa palvelimen tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää loppuun rivi (huomaa tabulaattorisisennys ja korvaa <tt>tunnus</tt> oikealla):
Match User tunnus
GatewayPorts yes

====Yhdistäminen ja pelastaminen====

Kun etäpelastustehtävä tulee, pyydä vaikkapa puhelimitse pelastettavaa konetta bootattavaksi polttamasi cd:n kera. Mikäli kone saa yhteyden verkkoon, pitäisi tunnelinkin olla ylhäällä. Mikäli et poistanut pelastuslevyltä firefoxia, kokemattomankin etäkäyttäjänkin on helppo varmistaa netin toimiminen sillä.

Voit muodostaa yhteyden koneeseen seuraavasti (korvaa palvelimen nimi ja portti, jätä <tt>root</tt>:

ssh -p 8022 root@palvelin

Onnea. Olet etäyhteydessä. Voit mountata tietokoneen levyjä, lukea logeja ja alkaa etsimään vikaa. Jos kyseessä on vaikkapa kiukutteleva [[Windows]]-kone, voit ottaa tiedot etänä talteen ja käynnistää Ubuntun asennuksen!

==Muuta mukautettavaa==

Käynnistyskuvan voi vaihtaa piirtämällä vanhan <tt>live/isolinux/splash.pcx</tt>-kuvan pohjalta uuden ja
muuntamalla sen oikeaan muotoon. Tallenna muokkaamasi kuva sekä pcx- että raw ppm-muodoissa. Tämä näyttää toimivan, vaikka <tt>ppmtolss16</tt> valittaa liian isosta väripaletista. Komenna (korvaa UUSIKUVA kuvan polulla):
ppmtolss16 '#ffffff=7' < UUSIKUVA.ppm > live/isolinux/splash.rle
cat UUSIKUVA.pcx > live/isolinux/splash.pcx

Rompulta bootatessa ruudulle listautuu valtaisa määrä kieliä, joista näissä piireissä vain suomi ja englanti lienevät tarpeellisia. Voit siivota tarpeettomat kielet poistamalla rivejä tiedostosta <tt>live/isolinux/langlist</tt>.

Livemedia

2008-07-09T21:40:00Z

Joell: /* Pelastuslevyt */ ubuntun live-cd -linkki suoraan kappaleeseen

Live-CD on Linux-[[jakelut|jakelu]], joka käynnistyy suoraan CD-levyltä (myös DVD-, levyke- ja [[USB-muisti]]pohjaisia on olemassa) eikä vaadi mitään asennusta. Jakelu ei myöskään koske koneen kiintolevyyn lainkaan ellei sitä erikseen haluta, joten mitään vaaraa tällaisen jakelun testaamisesta ei ole tietojen katoamisen tms. kannalta. Live-CD:itä on olemassa useaan eri käyttötarkoitukseen. Osa on tarkoitettu pidempiaikaiseen työpöytäkäyttöön, osa jonkin jakelun tai muun ohjelmiston esittely- ja testauskäyttöön sekä osa vaikkapa pelastuslevykäyttöön.

Nykyään monet jakelut myös asennetaan live-CD:ltä käsin, eikä perinteistä asennusohjelmaa välttämättä edes ole tarjolla. Live-CD-pohjaista asennusta tarjoavat mm. [[Fedora]], [[Mepis]], [[PCLinuxOS]] ja [[Ubuntu]].

===Hyvät puolet===
*Aloittelijaystävällinen
*Järjestelmää on vaikea rikkoa, ja vaikka se särkyisikin, niin uudelleenkäynnistys korjaa vahingot
*Nopea käyttöönotto, ei vaadi asennusta
*Paljon perusohjelmia mukana
*Turvallinen tapa käyttää Internetiä hotellihuoneesta tai muusta ei-turvallisesta paikasta.

===Huonot puolet===
*Usein hitaampi kuin kovalevylle asennettu versio
*Kokoonpanoon tehdyt muutokset eivät tallennu mikäli käytössä ei ole live-cd:tä joka tukee esimerkiksi USB-tikulla tai [[verkkolevy]]llä olevaa kotihakemistoa ja/tai union-fs:ää jolloin mikä tahansa CD:llä oleva tiedosto voidaan korvata.
*Käynnistyy hitaasti
*Ohjelmien asennus joskus vaikeaa

==LiveCD:itä tarjoavia jakeluita==
*[[CentOS]]
*[[Damn Small Linux]]
*[[Fedora]]
*[[GeeXboX]]
*[[Gnoppix]]
*[http://www.e-fense.com/helix/ Helix]
*[[Knoppix]]
*[[Kororaa]]
*[[Linspire]]
*[[Linux Mint]]
*[[Mandriva]]
*[[Mandriva Move]]
*[[MEPIS]]
*[[openSUSE]]
*[[PCLinuxOS]]
*[[Puppy]]
*[[RIP]]
*[[Sabayon Linux]]
*[[SuomiKnoppix]]
*[[SystemRescueCD]]
*[[Ubuntu]]

==Pelastuslevyt==

LiveCD:t ovat myös hyviä nk. pelastuslevyjä. Jos saa Linuxin tai käynnistyslataimen pahasti sekaisin, voit käynnistää LiveCD:ltä, [[mount|liittää]] tarvittavat osiot ja tehdä vaikkapa muutokset käynnistyslataimeen tai kääntää uuden [[Kernel|kernelin]]. Ehkä tunnetuin pelastus-liveCD on [http://www.sysresccd.org/ SystemRescueCD].

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tällöin voidaan käyttää vaikkapa mukautettua Live-CD:tä, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa tarvittaessa palomuurin ohittavat tunnelit. [[Ubuntun Live-CD:n mukauttaminen#Etäpelastuslevy|Ubuntun Live-CD:n mukauttaminen]] on eräs käytettävissä olevista vaihtoehdoista.

Erityinen vaihtoehto on myös NT offline password editor, jolla siis voi muuttaa Windows NT-pohjaisten (NT, 2000, XP) Windowsien salasanoja jos on sattunut unohtumaan.

[[Luokka:Jakelut]]

Ubuntun live-CD:n mukauttaminen

2008-07-09T21:30:10Z

Joell: linkit

[[Ubuntu]]n [[Live-CD]] on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on [[squashfs]]:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. [[initrd]]:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja [[chroot]]-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. [[Locale]]n asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmettelit yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on [[mount]]attu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

Nyt voit [[Levyn_polttaminen|polttaa levykuvan cd:lle]] mieluisimmalla ohjelmallasi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/[[sources.list]]</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd: avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan [[ssh]]-palvelin ja [[autossh]]. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

====Palvelimen asetukset====

Jotta etäpelastettavan koneen rompulla ei päästäisi käsiksi tiedostoihin palvelimella tai tekemään mitään muuta kuin porttiohjauksia, tarvitaan muokata riviä, joka on lisätty käytetyn tunnuksen tiedostoon <tt>~/.ssh/authorized_keys</tt>. Lisätään etäpelastuslevyn julkisen avaimen rivin alkuun:

command="/bin/false",no-agent-forwarding,no-X11-forwarding,no-pty

Mikäli halutaan, että palvelimen kautta voidaan ottaa suora yhteys ylläpidettävään koneeseen, täytyy säätää palvelimen asetuksia roottina. Mikäli tähän ei ole mahdollisuutta, tunneliin voidaan yhdistää vain suoraan palvelimen shellistä yhdistämällä localhostiin.

Muokkaa palvelimen tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää loppuun rivi (huomaa tabulaattorisisennys ja korvaa <tt>tunnus</tt> oikealla):
Match User tunnus
GatewayPorts yes

====Yhdistäminen ja pelastaminen====

Kun etäpelastustehtävä tulee, pyydä vaikkapa puhelimitse pelastettavaa konetta bootattavaksi polttamasi cd:n kera. Mikäli kone saa yhteyden verkkoon, pitäisi tunnelinkin olla ylhäällä. Mikäli et poistanut pelastuslevyltä firefoxia, kokemattomankin etäkäyttäjänkin on helppo varmistaa netin toimiminen sillä.

Voit muodostaa yhteyden koneeseen seuraavasti (korvaa palvelimen nimi ja portti, jätä <tt>root</tt>:

ssh -p 8022 root@palvelin

Onnea. Olet etäyhteydessä. Voit mountata tietokoneen levyjä, lukea logeja ja alkaa etsimään vikaa. Jos kyseessä on vaikkapa kiukutteleva [[Windows]]-kone, voit ottaa tiedot etänä talteen ja käynnistää Ubuntun asennuksen!

==Muuta mukautettavaa==

Käynnistyskuvan voi vaihtaa piirtämällä vanhan <tt>live/isolinux/splash.pcx</tt>-kuvan pohjalta uuden ja
muuntamalla sen oikeaan muotoon. Tallenna muokkaamasi kuva sekä pcx- että raw ppm-muodoissa. Tämä näyttää toimivan, vaikka <tt>ppmtolss16</tt> valittaa liian isosta väripaletista. Komenna (korvaa UUSIKUVA kuvan polulla):
ppmtolss16 '#ffffff=7' < UUSIKUVA.ppm > live/isolinux/splash.rle
cat UUSIKUVA.pcx > live/isolinux/splash.pcx

Rompulta bootatessa ruudulle listautuu valtaisa määrä kieliä, joista näissä piireissä vain suomi ja englanti lienevät tarpeellisia. Voit siivota tarpeettomat kielet poistamalla rivejä tiedostosta <tt>live/isolinux/langlist</tt>.

Ubuntun live-CD:n mukauttaminen

2008-07-09T21:19:51Z

Joell: /* EXTRAA */ kaunistus

Ubuntun Live-CD on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on squashfs:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. initrd:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja chroot-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. Localen asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmettelit yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on mountattu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/sources.list</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd: avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan ssh-palvelin ja autossh. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

====Palvelimen asetukset====

Jotta etäpelastettavan koneen rompulla ei päästäisi käsiksi tiedostoihin palvelimella tai tekemään mitään muuta kuin porttiohjauksia, tarvitaan muokata riviä, joka on lisätty käytetyn tunnuksen tiedostoon <tt>~/.ssh/authorized_keys</tt>. Lisätään etäpelastuslevyn julkisen avaimen rivin alkuun:

command="/bin/false",no-agent-forwarding,no-X11-forwarding,no-pty

Mikäli halutaan, että palvelimen kautta voidaan ottaa suora yhteys ylläpidettävään koneeseen, täytyy säätää palvelimen asetuksia roottina. Mikäli tähän ei ole mahdollisuutta, tunneliin voidaan yhdistää vain suoraan palvelimen shellistä yhdistämällä localhostiin.

Muokkaa palvelimen tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää loppuun rivi (huomaa tabulaattorisisennys ja korvaa <tt>tunnus</tt> oikealla):
Match User tunnus
GatewayPorts yes

====Yhdistäminen ja pelastaminen====

Kun etäpelastustehtävä tulee, pyydä vaikkapa puhelimitse pelastettavaa konetta bootattavaksi polttamasi cd:n kera. Mikäli kone saa yhteyden verkkoon, pitäisi tunnelinkin olla ylhäällä. Mikäli et poistanut pelastuslevyltä firefoxia, kokemattomankin etäkäyttäjänkin on helppo varmistaa netin toimiminen sillä.

Voit muodostaa yhteyden koneeseen seuraavasti (korvaa palvelimen nimi ja portti, jätä <tt>root</tt>:

ssh -p 8022 root@palvelin

Onnea. Olet etäyhteydessä. Voit mountata tietokoneen levyjä, lukea logeja ja alkaa etsimään vikaa. Jos kyseessä on vaikkapa kiukutteleva Windows-kone, voit ottaa tiedot etänä talteen ja käynnistää Ubuntun asennuksen!

==Muuta mukautettavaa==

Käynnistyskuvan voi vaihtaa piirtämällä vanhan <tt>live/isolinux/splash.pcx</tt>-kuvan pohjalta uuden ja
muuntamalla sen oikeaan muotoon. Tallenna muokkaamasi kuva sekä pcx- että raw ppm-muodoissa. Tämä näyttää toimivan, vaikka <tt>ppmtolss16</tt> valittaa liian isosta väripaletista. Komenna (korvaa UUSIKUVA kuvan polulla):
ppmtolss16 '#ffffff=7' < UUSIKUVA.ppm > live/isolinux/splash.rle
cat UUSIKUVA.pcx > live/isolinux/splash.pcx

Rompulta bootatessa ruudulle listautuu valtaisa määrä kieliä, joista näissä piireissä vain suomi ja englanti lienevät tarpeellisia. Voit siivota tarpeettomat kielet poistamalla rivejä tiedostosta <tt>live/isolinux/langlist</tt>.

Ubuntun live-CD:n mukauttaminen

2008-07-09T21:14:01Z

Joell: /* Etäpelastuslevy */ yhdistäminen ja tietoturva

Ubuntun Live-CD on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on squashfs:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. initrd:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja chroot-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. Localen asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmettelit yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on mountattu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/sources.list</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd: avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan ssh-palvelin ja autossh. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

====Palvelimen asetukset====

Jotta etäpelastettavan koneen rompulla ei päästäisi käsiksi tiedostoihin palvelimella tai tekemään mitään muuta kuin porttiohjauksia, tarvitaan muokata riviä, joka on lisätty käytetyn tunnuksen tiedostoon <tt>~/.ssh/authorized_keys</tt>. Lisätään etäpelastuslevyn julkisen avaimen rivin alkuun:

command="/bin/false",no-agent-forwarding,no-X11-forwarding,no-pty

Mikäli halutaan, että palvelimen kautta voidaan ottaa suora yhteys ylläpidettävään koneeseen, täytyy säätää palvelimen asetuksia roottina. Mikäli tähän ei ole mahdollisuutta, tunneliin voidaan yhdistää vain suoraan palvelimen shellistä yhdistämällä localhostiin.

Muokkaa palvelimen tiedostoa <tt>/etc/ssh/sshd_config</tt> ja lisää loppuun rivi (huomaa tabulaattorisisennys ja korvaa <tt>tunnus</tt> oikealla):
Match User tunnus
GatewayPorts yes

====Yhdistäminen ja pelastaminen====

Kun etäpelastustehtävä tulee, pyydä vaikkapa puhelimitse pelastettavaa konetta bootattavaksi polttamasi cd:n kera. Mikäli kone saa yhteyden verkkoon, pitäisi tunnelinkin olla ylhäällä. Mikäli et poistanut pelastuslevyltä firefoxia, kokemattomankin etäkäyttäjänkin on helppo varmistaa netin toimiminen sillä.

Voit muodostaa yhteyden koneeseen seuraavasti (korvaa palvelimen nimi ja portti, jätä <tt>root</tt>:

ssh -p 8022 root@palvelin

Onnea. Olet etäyhteydessä. Voit mountata tietokoneen levyjä, lukea logeja ja alkaa etsimään vikaa. Jos kyseessä on vaikkapa kiukutteleva Windows-kone, voit ottaa tiedot etänä talteen ja käynnistää Ubuntun asennuksen!

==EXTRAA==

kuvan muokkaus, toimii vaikka valittaa
ppmtolss16 '#ffffff=7' < ~joell/kuvia/ubunturootkit-splash.ppm > live/isolinux/splash.rle
cat ~joell/kuvia/ubunturootkit-splash.pcx > live/isolinux/splash.pcx

turhien kielten poisto alkulistasta
live/isolinux/langlist

Ubuntun live-CD:n mukauttaminen

2008-07-09T20:55:12Z

Joell: /* Etäpelastuslevy */ etäpelastus

Ubuntun Live-CD on melko helposti mukautettavissa omaan käyttöön. Ubuntun liverompussa käytetään muokkaamattomia paketteja, joita voi asennetaa ja poistaa apt:llä kuten missä tahansa järjestelmässä.

Mukauttamisen tekee työlääksi kaksinkertainen kääriminen levykuviin. CD-imagen sisällä on squashfs:llä pakattu juuriosio. Lisäksi tietoa on kääritty mm. initrd:n sisään. Tässä ohjeessa neuvotaan kääreiden availu siten, että levytilaa kuluu niin vähän kuin mahdollista ja toki myös kääriminen takaisin valmiiksi levykuvaksi.

Lähteenä tässä ohjeessa on käytetty osoitteesta https://help.ubuntu.com/community/LiveCDCustomization löytyvää mukautusohjetta. Tässä ohjeessa käytetään lähdeartikkelista poiketen kopioinnin sijaan unionfs-moniliitoksia ja esitellään etäpelastuslevyn tekemistä.

==Avaaminen mukauttamista varten==

Oletetaan, että käytettävissäsi on Ubuntun levykuva. Tämä ohje on kirjoitettu Ubuntu Desktop-levyä silmällä pitäen, tosin ohje toiminee myös muihin casperia käyttäviin levyihin.

Liitetään kaikki levyt muokkausoikeuksin

Keksi jokin paikka, jossa mukautusvaiheen väliaikaiset tiedostot säilytetään. Luo paikkaan hakemisto, esimerkiksi <tt>ubuntu-live</tt> ja siirry sinne. Suorita seuraavat komennot:

mkdir -p live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ALKUPERÄINEN_ISO live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

Komentojen seurauksena syntyy muokkausoikeuksilla varustetut hakemistot <tt>live</tt> ja <tt>squashfs</tt>. Hakemistossa <tt>live</tt> on varsinaisen liverompun juurihakemisto – eli se, joka näkyy, kun rompun laittaa koneeseen. Hakemistossa <tt>squashfs</tt> puolestaan on rompulta bootatun järjestelmän juurihakemisto, Esimerkiksi asennetut ohjelmat sijaitsevat squashfs-hakemistossa.

Seuraavaksi valmistellaan verkkoyhteydet ja chroot-ympäristö, jotta päästäisiin muokkaamaan liveromppua livenä. :-) Komennot ajetaan samasta hakemistosta kuin ylläolevat.

cp /etc/resolv.conf squashfs/etc/
mount --bind /dev/ squashfs/dev
chroot squashfs

Nyt eteen avautuva komentotulkki on live-cd:llä. Siellä on valmiina tarvittavat perusohjelmistot mm. komentotulkin käyttöä varten.

Valmistellaan vielä ympäristöä lisäämällä välttämättömät pseudotiedostojärjestelmät ja asetetaan pari ympäristömuuttujaa välttämään ongelmia. Localen asettamisella pyritään välttämään mm. omasta koneesta periytyvien localeiden sivuvaikutukset.

mount -t proc none /proc
mount -t sysfs none /sys
export HOME=/root
export LC_ALL=C

Nyt ympäristö on valmis käytettäväksi ja voit siirtyä kohtaan ''mukauttaminen''.

==Paketointi uudeksi levykuvaksi==

Lisätietoja lähteenä olevan oppaan kohdasta ''Cleanup''.

Oletetaan, että olet vielä chrootin sisällä. Jos olet ehtinyt jo poistumaan, palaa takaisin.

Poistetaan tarpeettomat tiedostot ja poistutaan chroot-ympäristöstä:

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit

Irroitetaan vielä dev-tiedostojärjestelmä chrootin ulkopuolelta:

umount squashfs/dev

Nyt tehdään rutiinitoimenpiteitä, kuten päivitetään pakettilistaukset ja kapseloidaan squashfs-levykuva uudestaan. Viimeisin rivi vie eniten aikaa, koska se pakkaa juurihakemiston tiedostot squashfs-levykuvaksi cd:n levykuvan sisään.

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop
rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

Saatoit ihmettelit yllä, että miten levykuva voidaan noin vain poistaa, vaikka se on vielä liitettynä. Tämä onnistuu, koska vanha squashfs on mountattu live-ro-hakemistosta, eikä live-hakemistosta. Kyseessä on siis käytännössä eri tiedosto, vaikka jakavatkin saman levysijainnin.

Tässä vaiheessa voit muokata levyn nimen haluamaksesi tiedostosta <tt>live/README.diskdefines</tt>.

Lopuksi muodostetaan md5-summat uudestaan.

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

Nyt luodaan lopulta uusi levykuva. Muokkaa halutessasi mkisofs:n <tt>-V</tt>-parametrin määrittelemää levynnimeä ja uuden levykuvan tiedostonnimeä.

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../UUSI_ISO.iso .
cd ..

Irroitetaan mukauttamisen aikaiset tiedostojärjestelmät:

umount live squashfs squashfs-ro live-ro

Valmista tuli! Lopuksi levyllesi jäi notkumaan vajaan gigatavun verran väliaikaisia tiedostoja. Hakemistossa <tt>live-rw</tt> on muutokset alkuperäiseen liveromppuun verrattuna (eniten tilaa vie uusi squashfs-levykuva). Hakemistossa <tt>squashfs-rw</tt> sen sijaan on muutokset valmiin live-ympäristön tiedostojärjestelmässä. Voit säilyttää ne myöhempiä muokkauksia varten tai tuhota heti. Mikäli säilytät ne, voit ottaa ympäristön käyttöön täsmälleen samoilla komennoilla, jotka voit näppärästi kasata vaikka skriptiksi.

==Mukauttaminen==

Mikäli tarvitset lisää tilaa Live-CD:lle, voit poistaa tarpeettomia paketteja. Jotta pystyt polttamaan levyn tavalliselle rompulle, ei lopullisen levykuvan koko saa kasvaa 700 megatavun yli.

Paketit kannattaa poistaa käyttäen purgea, jolloin myös asetustiedostot poistuvat. Esimerkiksi näin:

apt-get remove --purge openoffice.org-core gimp gimp-data

Hyvän käsityksen kunkin paketin tilan kulutuksesta saa tällaisella virityksellä:
dpkg-query -W --showformat='${Installed-Size} ${Package}\n' | sort -nr | less

Voit muokata tarvittaessa <tt>/etc/apt/sources.list</tt> -tiedostoa esimerkiksi ottamalla käyttöön universe-paketit. Voit samalla päivittää järjestelmän uusimpaan versioon:

apt-get update
apt-get dist-upgrade

===Etäpelastuslevy===

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tässä neuvotaan Live-CD:n mukauttaminen automaattiseksi etäkäyttölevyksi, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa palomuurin ohittavat tunnelit.

Tätä käyttääksesi tarvitset:
* tunnukset kiinteällä hostnamelle varustetulle palvelimelle
* live-cd: avattuna mukauttamista varten (sivun alussa ohjeet)
* oman julkisen ssh-avaimesi (voit luoda ssh-keygenillä)

Annetaan seuraavat komennot chrootissa, joka asetettiin sivun alun ohjeiden mukaan. Asennetaan ssh-palvelin ja autossh. Autossh on universessä, joten ota se käyttöön ennen tätä.

apt-get install openssh-server autossh

Muodostetaan liverompulle ssh-avain. Anna ohjelman tallentaa tiedostot oletussijainteihin.

ssh-keygen

Kopioi <tt>~/.ssh/authorized_keys</tt> -tiedostoon oman julkisen avaimesi rivi. Se löytyy usein kotikoneesi tiedostosta <tt>~/.ssh/id_rsa.pub</tt> tai <tt>~/.ssh/id_dsa.pub</tt>.

Jotta pääset käyttämään kaksisuuntaista tunnelia, tarvitset myös toisensuuntaisen avaimenvaihdon. Kopioi liverompun tiedosto <tt>~/.ssh/id_rsa.pub</tt> käyttämäsi palvelimen kotihakemistosi tiedoston <tt>~/.ssh/authorized_keys</tt> loppuun. Tällöin liverompun käyttäjä pääsee myös kirjautumaan käyttämällesi palvelimellei. Tässä on siis potentiaalinen tietoturva-aukko myös tähän suuntaan. Sen välttämisestä on lopussa ohjeita.

Muokataan tiedostoa <tt>/etc/rc.local</tt> ja lisätään ennen riviä <tt>exit 0</tt> seuraavat rivit. Korvaa sana <tt>tunnus@hostname</tt> käyttämäsi palvelimen tiedoilla ja numerot <tt>8020</tt> ja <tt>8022</tt> käyttämilläsi palvelimen vapailla porteilla. Ensin mainittua porttia seuraavaksi suuremman portin on myös oltava vapaana, jotta tunneli toimisi.

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M 8020 -qf -4Ng -R 8022:127.0.0.1:22 tunnus@hostname

Jotta palvelimen rivi tallentuu liverompun <tt>known-hosts</tt>-tiedostoon, täytyy yhdistää yhden kerran ja sanoa 'yes'. Sisälle pitäisi päästä ilman salasanaa, jos kaikki on kunnossa.

ssh -4 tunnus@hostname

Tähän tietoturvasta

==EXTRAA==

kuvan muokkaus, toimii vaikka valittaa
ppmtolss16 '#ffffff=7' < ~joell/kuvia/ubunturootkit-splash.ppm > live/isolinux/splash.rle
cat ~joell/kuvia/ubunturootkit-splash.pcx > live/isolinux/splash.pcx

turhien kielten poisto alkulistasta
live/isolinux/langlist

Ubuntun live-CD:n mukauttaminen

2008-07-09T20:22:15Z

Joell: /* Mukauttaminen */ kaunistaminen

Ubuntun live-CD:n mukauttaminen

2008-07-09T20:11:02Z

Joell: /* Paketointi uudeksi levykuvaksi */ kaunistus

Ubuntun live-CD:n mukauttaminen

2008-07-09T19:50:33Z

Joell: /* Avaaminen mukauttamista varten */ kaunistus

Ubuntun live-CD:n mukauttaminen

2008-07-09T19:24:35Z

Joell: vähän kappalerakennetta

Ubuntun live-CD:n mukauttaminen

2008-07-09T19:08:48Z

Joell: artikkelin runko suoraan tekstitiedostosta

Kesken vielä

Liitetään kaikki levyt muokkausoikeuksin

mkdir live live-ro live-rw squashfs squashfs-ro squashfs-rw
mount -o loop ~joell/nettikama/ubuntu-8.04.1-desktop-i386.iso live-ro
mount -t unionfs -o dirs=live-rw:live-ro=ro none live
mount -o loop -t squashfs live-ro/casper/filesystem.squashfs squashfs-ro/
mount -t unionfs -o dirs=squashfs-rw:squashfs-ro=ro none squashfs

verkko
cp /etc/resolv.conf squashfs/etc/

levyt ja moutit
sudo mount --bind /dev/ squashfs/dev
sudo chroot squashfs

chrootissa seuraavat
mount -t proc none /proc
mount -t sysfs none /sys

jatketaan ohjeen mukaan:
https://help.ubuntu.com/community/LiveCDCustomization

export HOME=/root
export LC_ALL=C

eniten vievät paketit pois, uutta tilalle
lisätään universe pakettilistaan tarvittaessa

apt-get remove --purge openoffice.org-core evolution-common gnome-games gimp pidgin
apt-get update
apt-get dist-upgrade

ssh-kustomointi
apt-get install openssh-server autossh
cd ~/.ssh
ssh-keygen

kopioi authorized_keys -tiedostoon oma julkinen avaimesi
kopioi id_rsa.pub ssh-palvelimelle authorized_keysiin
lisää tiedostoon /etc/rc.local seuraavaa

export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -M AUTOSSHPORTTI -qf -4Ng -R SSHPORTTI:127.0.0.1:22 tunnus@hostname

MUISTA kokeilla yhdistämistä ensin! Saadaan siten known-hostsiin rivi

jatka oppaan kohdasta cleanup

apt-get clean
rm -rf /tmp/*
rm /root/.bash_history
rm /etc/resolv.conf
umount /proc
umount /sys
exit
umount squashfs/dev

jatka oppaan kohdasta putting cd together. muista vaihtaa hakemistonnimet

chmod +w live/casper/filesystem.manifest
chroot squashfs dpkg-query -W --showformat='${Package} ${Version}\n' >live/casper/filesystem.manifest
cp live/casper/filesystem.manifest live/casper/filesystem.manifest-desktop
sed -i '/ubiquity/d' live/casper/filesystem.manifest-desktop

oppaan kohdasta compress filesystem
vanha squashfs voidaan poistaa, koska mountattu ro-hakemistosta

rm live/casper/filesystem.squashfs
mksquashfs squashfs live/casper/filesystem.squashfs -nolzma

muokkaa levynnimeä tiedostossa live/README.diskdefines

rm live/md5sum.txt
(cd live && find . -type f -print0 | xargs -0 md5sum > md5sum.txt)

cd live
mkisofs -r -V "ZouppenRoot" -cache-inodes -J -l -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 -boot- info-table -o ../zouppenroot.iso .
cd ..

levyt irti

umount live squashfs squashfs-ro live-ro

valmista! levyn kulutus yhteensä reilu giga

597472 live-rw
116096 squashfs-rw
623200 zouppenroot.iso

==EXTRAA==

kuvan muokkaus, toimii vaikka valittaa
ppmtolss16 '#ffffff=7' < ~joell/kuvia/ubunturootkit-splash.ppm > live/isolinux/splash.rle
cat ~joell/kuvia/ubunturootkit-splash.pcx > live/isolinux/splash.pcx

turhien kielten poisto alkulistasta
live/isolinux/langlist

Livemedia

2008-07-09T18:48:04Z

Joell: /* Pelastuslevyt */ typo äskeisestä pois

Live-CD on Linux-[[jakelut|jakelu]], joka käynnistyy suoraan CD-levyltä (myös DVD-, levyke- ja [[USB-muisti]]pohjaisia on olemassa) eikä vaadi mitään asennusta. Jakelu ei myöskään koske koneen kiintolevyyn lainkaan ellei sitä erikseen haluta, joten mitään vaaraa tällaisen jakelun testaamisesta ei ole tietojen katoamisen tms. kannalta. Live-CD:itä on olemassa useaan eri käyttötarkoitukseen. Osa on tarkoitettu pidempiaikaiseen työpöytäkäyttöön, osa jonkin jakelun tai muun ohjelmiston esittely- ja testauskäyttöön sekä osa vaikkapa pelastuslevykäyttöön.

Nykyään monet jakelut myös asennetaan live-CD:ltä käsin, eikä perinteistä asennusohjelmaa välttämättä edes ole tarjolla. Live-CD-pohjaista asennusta tarjoavat mm. [[Fedora]], [[Mepis]], [[PCLinuxOS]] ja [[Ubuntu]].

===Hyvät puolet===
*Aloittelijaystävällinen
*Järjestelmää on vaikea rikkoa, ja vaikka se särkyisikin, niin uudelleenkäynnistys korjaa vahingot
*Nopea käyttöönotto, ei vaadi asennusta
*Paljon perusohjelmia mukana
*Turvallinen tapa käyttää Internetiä hotellihuoneesta tai muusta ei-turvallisesta paikasta.

===Huonot puolet===
*Usein hitaampi kuin kovalevylle asennettu versio
*Kokoonpanoon tehdyt muutokset eivät tallennu mikäli käytössä ei ole live-cd:tä joka tukee esimerkiksi USB-tikulla tai [[verkkolevy]]llä olevaa kotihakemistoa ja/tai union-fs:ää jolloin mikä tahansa CD:llä oleva tiedosto voidaan korvata.
*Käynnistyy hitaasti
*Ohjelmien asennus joskus vaikeaa

==LiveCD:itä tarjoavia jakeluita==
*[[CentOS]]
*[[Damn Small Linux]]
*[[Fedora]]
*[[GeeXboX]]
*[[Gnoppix]]
*[http://www.e-fense.com/helix/ Helix]
*[[Knoppix]]
*[[Kororaa]]
*[[Linspire]]
*[[Linux Mint]]
*[[Mandriva]]
*[[Mandriva Move]]
*[[MEPIS]]
*[[openSUSE]]
*[[PCLinuxOS]]
*[[Puppy]]
*[[RIP]]
*[[Sabayon Linux]]
*[[SuomiKnoppix]]
*[[SystemRescueCD]]
*[[Ubuntu]]

==Pelastuslevyt==

LiveCD:t ovat myös hyviä nk. pelastuslevyjä. Jos saa Linuxin tai käynnistyslataimen pahasti sekaisin, voit käynnistää LiveCD:ltä, [[mount|liittää]] tarvittavat osiot ja tehdä vaikkapa muutokset käynnistyslataimeen tai kääntää uuden [[Kernel|kernelin]]. Ehkä tunnetuin pelastus-liveCD on [http://www.sysresccd.org/ SystemRescueCD].

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tällöin voidaan käyttää vaikkapa mukautettua Live-CD:tä, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa tarvittaessa palomuurin ohittavat tunnelit. [[Ubuntun Live-CD:n mukauttaminen]] on eräs käytettävissä olevista vaihtoehdoista.

Erityinen vaihtoehto on myös NT offline password editor, jolla siis voi muuttaa Windows NT-pohjaisten (NT, 2000, XP) Windowsien salasanoja jos on sattunut unohtumaan.

[[Luokka:Jakelut]]

Livemedia

2008-07-09T18:47:02Z

Joell: /* Pelastuslevyt */ ubuntun live-cd:n mukauttaminen

Live-CD on Linux-[[jakelut|jakelu]], joka käynnistyy suoraan CD-levyltä (myös DVD-, levyke- ja [[USB-muisti]]pohjaisia on olemassa) eikä vaadi mitään asennusta. Jakelu ei myöskään koske koneen kiintolevyyn lainkaan ellei sitä erikseen haluta, joten mitään vaaraa tällaisen jakelun testaamisesta ei ole tietojen katoamisen tms. kannalta. Live-CD:itä on olemassa useaan eri käyttötarkoitukseen. Osa on tarkoitettu pidempiaikaiseen työpöytäkäyttöön, osa jonkin jakelun tai muun ohjelmiston esittely- ja testauskäyttöön sekä osa vaikkapa pelastuslevykäyttöön.

Nykyään monet jakelut myös asennetaan live-CD:ltä käsin, eikä perinteistä asennusohjelmaa välttämättä edes ole tarjolla. Live-CD-pohjaista asennusta tarjoavat mm. [[Fedora]], [[Mepis]], [[PCLinuxOS]] ja [[Ubuntu]].

===Hyvät puolet===
*Aloittelijaystävällinen
*Järjestelmää on vaikea rikkoa, ja vaikka se särkyisikin, niin uudelleenkäynnistys korjaa vahingot
*Nopea käyttöönotto, ei vaadi asennusta
*Paljon perusohjelmia mukana
*Turvallinen tapa käyttää Internetiä hotellihuoneesta tai muusta ei-turvallisesta paikasta.

===Huonot puolet===
*Usein hitaampi kuin kovalevylle asennettu versio
*Kokoonpanoon tehdyt muutokset eivät tallennu mikäli käytössä ei ole live-cd:tä joka tukee esimerkiksi USB-tikulla tai [[verkkolevy]]llä olevaa kotihakemistoa ja/tai union-fs:ää jolloin mikä tahansa CD:llä oleva tiedosto voidaan korvata.
*Käynnistyy hitaasti
*Ohjelmien asennus joskus vaikeaa

==LiveCD:itä tarjoavia jakeluita==
*[[CentOS]]
*[[Damn Small Linux]]
*[[Fedora]]
*[[GeeXboX]]
*[[Gnoppix]]
*[http://www.e-fense.com/helix/ Helix]
*[[Knoppix]]
*[[Kororaa]]
*[[Linspire]]
*[[Linux Mint]]
*[[Mandriva]]
*[[Mandriva Move]]
*[[MEPIS]]
*[[openSUSE]]
*[[PCLinuxOS]]
*[[Puppy]]
*[[RIP]]
*[[Sabayon Linux]]
*[[SuomiKnoppix]]
*[[SystemRescueCD]]
*[[Ubuntu]]

==Pelastuslevyt==

LiveCD:t ovat myös hyviä nk. pelastuslevyjä. Jos saa Linuxin tai käynnistyslataimen pahasti sekaisin, voit käynnistää LiveCD:ltä, [[mount|liittää]] tarvittavat osiot ja tehdä vaikkapa muutokset käynnistyslataimeen tai kääntää uuden [[Kernel|kernelin]]. Ehkä tunnetuin pelastus-liveCD on [http://www.sysresccd.org/ SystemRescueCD].

Mikäli pelastettavan koneen luo ei pääse fyysisesti, mutta se on liitetty verkkoon, on mahdollisuus käyttää etäpelastusta. Tällöin voidaan käyttää vaikkapa mukautettua Live-CD:tä, joka avaa tarvittavat palvelut etäkäyttöä varten ja muodostaa tarvittaessa palomuurin ohittavat tunnelit. [[Ubuntun Live-CD mukauttaminen]] on eräs käytettävissä olevista vaihtoehdoista.

Erityinen vaihtoehto on myös NT offline password editor, jolla siis voi muuttaa Windows NT-pohjaisten (NT, 2000, XP) Windowsien salasanoja jos on sattunut unohtumaan.

[[Luokka:Jakelut]]