Overleg publicatie:Case study BNA BBOT NAS
Hieronder is het document in opbouw
Installatie
Installatie FreeNAS
Download de 'disk image' en brand deze op een CD (of DVD). Gebruik je een appel kan je Disk utility gebruiken en een handleiding vind je hier. Op een windows 7 kan je gebruik maken van en een handleiding vind je hier. Eens de CD/DVD gebrand steek de CD/DVD in de computer en herstart je de computer. Vergeet niet de belangrijke bestanden eerst elders opslaan gezien FreeNAS alle bestanden tijdens de installatie zal wissen. Zorg er ook voor dat de computer in staat is om op te starten vanop een CD/DVD. [1] Vervolgens begin je met de installatie (cf. een goede handleiding in het Engels vind je hier). Wees gerust, de installatie is makkelijk en hoeft zeker niet af te schrikken!
Eens de installatie voltooid, dien je de computer opnieuw te herstarten, maar vergeet de CD/DVD er niet eerst uit te halen! Indien de installatie goed verliep krijg je op het scherm een IP adres te zien (zie onderaan figure 'FreeNAS GUI', in dit voorbeeld is de IP http://10.0.2.15
). Dit IP adres kan je gebruiken om de FreeNAS installatie te configureren. Meer info over de configuratie vind je hier, hieronder wordt kort een verslag neergeschreven van de configuratie gebruikt door BNA-BBOT.
Vervolgens ken je een statisch IP toe [2] Hiervoor volg vervolgens onderstaande instructies
Enter an option from 1-11: 1
1) em0
Select an interface (q to quit): 1
Delete existing config? (y/n) n
Configure interface for DHCP? (y/n) n
Configure IPv4? (y/n) y
Interface name: (gewoon enter, hoef je niet in te vullen)
Several input formats are supported
Example 1 CIDR Notation:
192.168.1.1/24
Example 2 IP and Netmask seperate:
IP: 192.168.1.1
Netmask: 255.255.255.0, or /24 or 24
IPv4 Address: 192.168.1.108/24
Saving interface configuration: Ok
Configure IPv6? (y/n) n
Restarting network: ok
You may try the following URLs to access the web user interface:
http://192.168.1.108
Dat was het! Indien je effectief toegang hebt tot de IP van jouw FreeNAS installatie, kan je de monitor, het toetsenbord en alle randapparatuur van de computer verwijderen en de computer definitief installeren op de plek waar je de FreeNAS wilt gebruiken. Deze FreeNAS wordt namelijk 'headless' gebruikt, wat zoveel betekent als dat het een computer 'zonder hoofd' is en die bestuurd wordt vanop een andere computer.Vervolgens open je een browser (Firefox, Internet Explorer, Chrome, Opera...) en vul je in de adresbalk de IP in. Als alles goed gaat, zie een scherm dat lijkt op de figuur hiernaast (figuur 'FreeNAS GUI').
Basisconfiguratie
De basisconfiguratie van de server gebeurt vervolgens in de browser. Met deze basisconfiguratie ben je in staat om
- de server te beveiligen
- SSH te configueren
- externe toegang te verschaffen
- gebruikers en gebruikersgroepen te configureren
Beveiliging
Het beveiligen van de FreeNAS is evident, je wilt vermijden dat iedereen zomaar even in de configuratie of bestanden kan rommelen. Een goede handleiding kan je hier vinden, hieronder wordt kort beschreven hoe je best te werk gaat.
Open een browser (firefox, Internet Explorer...) en gebruik de IP om in te loggen op jouw FreeNAS installatie. Vervolgens ga je door volgende stappen:
Verander zowel de admin naam als het paswoord van de admin. Gebruik hier een paswoord dat voldoende sterk (=een behoorlijk lang paswoord en met 'speciale' karakters zoals ?!(*&% en dergelijke. En vooral, vergeet dit paswoord niet! De naam van de admin en het paswoord kan je veranderen door in het menu links op 'Change admin user' en 'Change password' te klikken. Klik telkenmale op 'save'.
Zorg er ook voor dat je een firewall tussen het lokale netwerk en de rest van de wereld. Vaak gebeurt dit op de router en kan je rustigaan verder gaan. Maar toch maar even checken.
Schakel alvast ook de https in. Standaard staat de FreeNAS server geconfigureerd met een http. De https verandere je door
Indien je niet enkel lokaal (cf. op dezelfde fysieke lokatie als de FreeNAS) toegang wil hebben tot de FreeNAS installatie, zijn er tal van mogelijkheden om de FreeNAS eender waar te raadplegen. Het is aangeraden om de ingebouwde SSH te activeren. Dit wordt uitgelegd in volgende paragrafen.
SSH
Wil je toegang krijgen tot de FreeNAS buiten het lokale netwerk, moet je de FreeNAS sterker beveiligen. Dit kan je best doen door SSH[3] in te schakelen. SSH laat toe om op een veilige (cf. met een sleutel bewaard op de eigen computer) manier te communiceren met de computer. Deze SSH kan vervolgens gebruikt worden om het niet al te veilige ftp (cf. file transfer protocol), maar wel sftp protocol te gebruiken om bestanden uit te wisselen. Om deze befaamde SSH te configureren moet je wel enkele stappen doorworstelen. Maar eens te meer is dit niet al te lastig. Let wel, als je geen behoefte hebt om op afstand de FreeNAS te bedienen, mag je dit gerust overslaan.
Eerst en vooral moet je op de FreeNAS de SSH inschakelen. Klik hiervoor eens te meer in het menu links in je browser op 'control services' (zie figuur). Rechts vind je SSH en zorg ervoor dat het actief is (zoals op de figuur hiernaast).
Vervolgens configureer je de SSH dienst die je net geactiveerd hebt. Klik hiervoor in het menu links op 'SSH'. Een venster zal naar voren komen. Om de SSH verder te configureren moet je zowel de 'Login as Root with password' als 'Allow Password Authentication' aanvinken (zie figuur 'activeer SSH paswoord'). Eens je deze configuratie bewaard hebt, kan je met SSH inloggen en verder werken op de beveiliging met SSH.
Om de SSH verder te configureren moet je de webbrowser even verlaten en in de terminal (command line) duiken. Het is namelijk zo dat het best vermeden wordt om een paswoord te gebruiken als je wilt inloggen met SSH. Zogehete 'dictionary attacks'[4] kunnen immers een paswoord raden. Beter is om 'SSH keys'[5] te gebruiken. Dit zorgt ervoor dat de server vergelijkt of je een correcte sleutel hebt en je de poort naar de server kan openen. Hoe je dit het best aanpakt kan je hier lezen. Volg de stappen zoals ze in de link vermeld staan.
Let wel, soms krijg je de error dat de .SSH folder niet kon aangemaakt worden. Probeer dan eerst om regulier in te loggen met je paswoord. Eens ingelogd met SSH vul volgende code in mount –uw /
. Dit betekent zoveel dat je het volume heropstart en jezelf de rechten toekent om folders op de server te schrijven. Eens je de keys aangemaakt hebt en eens je de stappen succesvol hebt doorlopen, hoef je geen paswoord meer te gebruiken om met SSH in te loggen. Je kan bijgevolg de paswoord authentificatie uitschakelen (zoals in figuur). Eens de paswoord authentificatie is uitgeschakeld kunnen enkel gebruikers met een key inloggen.
Hiermee ben je klaar om het systeem te beveiligen. Echter, met SSH staat het nog niet geconfigureerd zodat het toegankelijk wordt voor extern gebruik. Immers, het enige wat je tot nu toe gedaan hebt is het systeem beveiligen. Om effectief externe toegang te verschaffen, heb je nog enkele extra stappen nodig.
Externe toegang
Het verschaffen van externe toegang is met voorgaande SSH configuratie klaargestoomd om veilig bestanden over te dragen. Echter, je moet de server nog weten te vinden. En eens de server gevonden in de woestenij van het internet, moet je er nog voor zorgen dat de router (dus niet enkel de server) toelaat dat je toegang krijgt. Je zal dus nog wat moeten sleutelen aan de router vooraleer je toegang krijgt. Net als dat je ervoor moet zorgen dat je weet waar je moet zoeken. Wat dat juist betekent, staat in volgende paragrafen uitgelegd.
Port forwarding
Het begint bij het 'port forwarding'. Port forwarding regel je op de router. Kort door de bocht betekent het dat je een poort openlaat op de router en dat je die poort doorverwijst naar de server. Dus met andere woorden, als je inlogt vanop een externe locatie zal de router je automatisch doorverwijzen naar de juiste computer.
Om dat geregeld te krijgen open je opnieuw een browser (firefox, safari, internet explorer...) en gebruik je de IP van de router. Vaak is dit vaak iets in het genre 192.168.1.1
. Log in en schakel port forwarding in. Voor een FreeNAS heb je portforwarding TCP nodig. Meer concreet moet je volgende invullen:
- IP van de FreeNAS (zoals je die kreeg tijdens de installatie)
Dynamic DNS
op de router van het lokale netwerk een 'port forwarden'.
- port forwarding: het best is dit op te zoeken op google, maar kort gezegd betekent dit dat je een poort op de router open laat staan en in het geval van SSH is dit dikwijls poort 22. Het best is als je een 'single port forwarding' activeert. Hierbij gebruik je best TCP/UDP.
- Handig is als je even controleert of je effectief wel toegang hebt tot het net. Dit kan je best door even te 'pingen'.
- Open een terminal en connecteer zoals hierboven beschreven met SSH
- Eens je geconnecteerd bent, voer volgende code in
ping google.com
. Normaliter krijg je iets als:
PING google.com (173.194.34.4): 56 data bytes
64 bytes from 173.194.34.4: icmp_seq=0 ttl=57 time=15.656 ms
64 bytes from 173.194.34.4: icmp_seq=1 ttl=57 time=14.864 ms
.- Om het pingen te stoppen, gebruik 'control c'
Gebruikers en gebruikersgroepen
Toevoegen van opslagcapaciteit
Verdere belangrijke beslissingen
Organiseren van files
- ↑ Windows: dit kan je testen door de CD/DVD in te steken en te kijken of de FreeNAS installatie opstart. Indien niet, moet je even in de BIOS van de computer een kleinigheid wijzigen zodat de computer dit effectief kan. Mac: op een apple computer steek je de CD/DVD in en herstart je. Tijdens het herstarten van je computer hou je de toets 'C' ingedrukt tot de FreeNAS installatie opstart.
- ↑ een statisch IP wil zeggen dat je steeds hetzelfde lokale IP (zeg maar het 'adres' van jouw computer in het netwerk) zal gebruiken om jouw FreeNAS te gebruiken. Een statisch IP betekent dat dit adres steevast hetzelfde zal zijn, wat nodig is als je wilt connecteren met de FreeNAS en je niet telkens op zoek wilt gaan welk 'adres' nu weer toegekend aan jouw FreeNAS.
- ↑ http://nl.wikipedia.org/wiki/Secure_Shell
- ↑ http://en.wikipedia.org/wiki/Dictionary_attack
- ↑ http://en.wikipedia.org/wiki/SSH_public_key#Architecture