Technische achtergronden van de ServerAtSchool server

De server

OpenNA bereikt dit door servers te bouwen in de volgende stappen:
1. Ga uit van een standaard installatie.
2. Haal daar alles uit wat niet nodig is (en dat is heel veel hebben we gemerkt).
3. Beveilig datgene wat je overhoudt.
4. Zet er nu de diensten op die je nodig hebt.
5. Beveilig die diensten.

Door de server in deze stappen te bouwen ontstaat een veilige, compacte, snelle server.

Documentatie
De server is volledig, dat wil zeggen, tot op het niveau van de bouw van ieder onderdeel afzonderlijk, stapsgewijs beschreven in een boek van 1200 pagina's: "Securing and Optimizing RedHat Linux". De documentatie is zo compleet dat iemand met enige Linux ervaring in een paar weken een veilge server kan bouwen.
Voeg daarbij onze eigen documentatie die beschrijft hoe je ServerAtSchool opzet en je hebt de best gedocumenteerde server.

Deze kwaliteiten (stabiliteit, veiligheid, snelheid en belastbaarheid) en de vollledige documentatie maken OpenNA niet alleen geschikt als basis voor een server voor ServerAtSchool, maar ook de server waaraan geleerd kan worden hoe servers werken. Door de uitstekende documentatie kunnen ROC's OpenNA Linux gebruiken voor het onderwijs.

ServerAtSchool: de inhoud

Bij de bouw van de server gaan we uit van redelijke serverhardware: 500-2400 MHz CPU, IDE of SCSI disk(s) van minimaal 80 GB, 10 of 10/100 Mbps netwerk, Pentium II of hoger (i686). Qua clients komen in aanmerking: Win98 en Windows XPclients; tezamen kan ook. In principe is de meest snelle hardware NIET vereist; ook 2e-hands PC's moeten ingezet kunnen worden (kosten!).

De basis van de OpenNA Linux Server voor ServerOpSchool bestaat uit:
+ Kernel met Grsecurity patch.
+ GLIBC
+ OpenSSL
+ OpenSSH
+ Perl
+ PHP
+ Squid proxy server
+ Apache web server
+ SNORT Intrusion Detection System
+ Portsentry portscan detection
+ Logsentry voor uitgebreide log reports per e-mail
+ MySQL-server
+ BIND Nameserver
+ Mailserver (Exim) met SpamAssassin en ClamAV antivirus
+ POP3-server (optioneel)
+ USB-utils (optioneel, i.v.m. backup)
+ Webmail (=BincIMAP + Squirrelmail)
+ Samba fileserver voor Windows clients
+ DHCP-server
+ DHCP-client (optioneel)
+ IPTables + GIPTables firewall
+ CUPS (printserver)
+ quota
+ Mailman

Met deze basis van OpenNA zijn de volgende functies te vervullen:

+ standaard connectivity (aansluiting ISP & gateway naar intern netwerk)
+ DHCP-client (indien nodig voor ISP)
+ intrusion detection
+ firewall ((G)IP-tables)
+ proxyserver (squid)
+ LAMPPP (Linux Apache MySQL PHP Perl Python)
+ mailserver (exim, IMAPs-server, POP3s-server, webmail, evt. fetchmail)
+ nameserver (Bind)
+ disk quota (bijv. op $HOME)
+ secure webserver (httpS://)
+ fileserver (Samba)
+ printserver (CUPS)
+ verzendlijsten (Mailman)
+ antivirus + antispam op email (SpamAssassin + ClamAV)
+ DHCP-server

Daarnaast zijn nog een aantal zaken nodig die specifiek bij het onderwijs horen:

+ web-based User Management (useradd/duserde/migratie naar volgend leerjaar)
+ web-based Applicatie-Management voor groepen/individuen.
+ web-based manipulatie Client-Settings/USER.DAT ('regedit voor linux')
+ SABRINE (Semi Automatic Backup and Restore In a Network Environment) ; windows images à la Ghost for Unix
+ een doordachte structuur van unix 'groups' voor team & leerjaren etc.
+ SiteAtSchool Content Management System voor de website van de school. Zowel intern als extern en/of beveiligd intranet.
+ backup-faciliteiten (Uurlijks op school. Op afstand, encrypted op disk bij een collega-school)
+ squirm of dansguardian of nog een ander web content filter
+ virtual CD
+ virusscanning op fileserver (niet email) met ClamAV
+ virusscanning op clients met ClamAV
+ autoupdate virusdefinities
+ autoupdate OSOS-RPM's (vanaf OSOS-server, niet vanaf OpenNA-server)
+ logfile digest & reporting tool
+ pdf-printer die vanaf de clients aangestuurd kan worden
+ een tool om de gebruikte externe bandbreedte te meten/rapporteren
+ periodiek quota-overzicht (en andre overzichten) per email

Voorts nog een rijtje 'tools' die het leven van de beheerder-op-afstand gemakkelijker kunnen maken:

+ nano
+ autoupdate (OpenNA RPM's autoinstallatie)
+ zip, unzip, tcpdump, dosftools, etc.
+ pine
+ login attacks preventie

De basis is in principe te vinden op de OpenNA 1.0 CD.
Daaraan zijn alle schoolspecifieke zaken toegevoegd in de vorm van RPM's. Die komen ook op de distributie-CD. De updates zijn vervolgens gemakkelijk en op afstand te doen.

Naast de doorontwikkeling van de programmatuur organiseert ServerAtSchool het beheer van computers en met name de centrale server op basisscholen. Dit beheer gebeurt voornamelijk op afstand. Het systeem is zo ingericht dat als de omstandigheden het nodig maken en als de ICT-coördinator op school er zelf niet meer uitkomt met een draagbare telefoon eigenlijk alle storingen blijken te kunnen worden opgelost.

Janitor

• nieuwe gebruikersaccounts aanmaken, ook met EDEX, CSV of FRL bestanden
  
• bestaande gebruikersaccounts verwijderen
• gebruikersaccounts aanpassen (toewijzen aan groepen)
• wachtwoorden van gebruikersaccounts aanpassen
• gebruikers verplaatsen naar het volgende leerjaar (jaarafsluiting)
• toevoegen en verwijderen van iconen op de Windows-desktop, voor individuele gebruikers of groepen van gebruikers
• het aanpassen van Windows' register-instellingen van individuele gebruikers of groepen van gebruikers
• Het maken van CD images ten behoeve van de virtual CD speler op de werkstatins.