1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
|
#use wml::debian::template title="Tworzenie serwerów lustrzanych metodą push"
#use wml::debian::translation-check translation="1.6"
<p>Tworzenie serwerów lustrzanych metodą push wykorzystuje rsync,
który minimalizuje czas potrzebny, aby zmiany w głównym archiwum pojawiły
się na serwerach lustrzanych. Serwer lustrzany używa mechanizmu
,,spustowego'', aby poinformować klienta, że musi on dokonać aktualizacji.
<p>Tworzenie serwerów lustrzancyh metodą push wymaga nieco wysiłku przy
konfiguracji, gdyż opiekunowie nadrzędnego i podrzędnego serwera
lustrzanego muszą wymieniać między sobą informacje. Zyskiem jest to, że
serwer nadrzędny inicjuje proces tworzenia kopii lustrzanej natychmiast
po aktualizacji swojej zawartości. Pozwala to na niezwykle szybką
propagację zmian.
<h2>Wyjaśnienie metody</h2>
<p>Zacznijmy od pewnego wprowadzenia do ssh. Ssh pozwala na łączenie się
z kontami na różnych komputerach w bezpieczny sposób. Nie tylko hasła
nie są nigdy przesyłane w jawnej formie, ale też kiedy już raz
połączysz się z jakimś komputerem, to praktycznie masz gwarancję, że
przyszłe połączenia będą nawiązywane z tym samym komputerem. Zapobiega to
wielu atakom typu ,,man-in-the-middle''.
<p>Jedną ze zdolności ssh jest możliwość przeniesienia przez użytkownika
publicznego klucza określającego jego tożsamość z innego komputera i
dodanie go do pliku zawierającego zaufane klucze na Twoim
komputerze. Domyślnie użytkownik na innym komputerze (który ma prywatny
klucz określający jego tożsamość powiązany z publicznym kluczem, który
Ty dostałeś) otrzymuje wtedy możliwość zalogowania się na Twoje konto.
Jednakże jest możliwe dodanie do zaufanego klucza tekstu, który będzie
ograniczał dostęp osoby korzystającej z Twojego konta i będącej w
posiadaniu tego klucza.
<p>Zatem, aby chronić podrzędny serwer lustrzany, klucz dostarczony
przez serwer nadrzędny jest opatrzony tekstem, który ogranicza
uprawnienia osoby korzystającej z Twojego konta do jednej tylko rzeczy -
uruchomienia na Twoim komputerze programu, który uaktualni zawartość
Twojego serwera lustrzanego. Nawet jeśli komuś (złej osobie postronnej)
uda się złamać klucz, jedyne co będzie mógł on zrobić, to uruchomić
program uaktualniający na Twoim komputerze. Nie musisz nawet się martwić
o uruchomienie wielu kopii tego programu, gdyż używany jest plik
blokujący (ang. lock file).
<p>Po stronie serwera nadrzędnego, rsync może być tak skonfigurowany,
aby ograniczać możliwość tworzenia obrazów lustrzanych określonych
obszarów poprzez nazwę użytkownika i hasło. Są one całkowicie niezależne
od <kbd>/etc/passwd</kbd>, więc serwer korzystający z technologii push
nie musi się martwić o zapewnienie dostępu dla osób postronnych.
# POPRAW MNIE: w ang.bylo : server doesn't have to worry about giving
# others access to their machine.
Zgodnie z konfiguracją, nazwa użytkownika i hasło są przesyłane w formie
jawnej. Jednakże nie powinno to być problemem, ponieważ w najgorszym
wypadku osoba postronna może uzyskać możliwość stworzenia obrazu
lustrzanego stron Debiana z tej witryny.
<h2>Konfiguracja klienta technologii push</h2>
<p>Zaleca się dokonanie poniższej konfiguracji jako zwykły użytkownik,
a nie jako administrator (root). Zawartość publicznego klucza ssh, który
otrzymałeś od serwera nadrzędnego powinna zostać umieszczona w
<kbd>~<user>/.ssh/authorized_keys</kbd>.
<p>Aby zostać klientem technologii push dla archiwum FTP będziesz
potrzebował plików <a href="ftpsync">ftpsync</a> oraz
<a href="ftpsync.conf">ftpsync.conf</a>. Wyedytuj ftpsync.conf zgodnie z
zawartymi w nim wskazówkami używając informacji, które otrzymałeś od
serwera nadrzędnego.
<p>Aby zostać klientem technologii push dla archiwum FTP w wersji non-US
będziesz potrzebował plików <a href="ftpsync-non-US">ftpsync-non-US</a>
oraz <a href="ftpsync-non-US.conf">ftpsync-non-US.conf</a>.
Pliki mają różne nazwy, żebyś mógł używać jednego konta dla obydu
archiwów.
<p>Aby zostać klientem technologii push dla stron WWW będziesz
potrzebował plików <a href="websync">websync</a> oraz
<a href="websync.conf">websync.conf</a>. Wyedytuj websync.conf zgodnie z
zawartymi w nim wskazówkami używając informacji, które otrzymałeś od
serwera nadrzędnego.
<h2>Podstawowi klienci technologii push (ang. Push-Primary)</h2>
<p>Podstawowi klienci technologii push (ang. Push-Primary), nazywani również
serwerami lustrzanymi typu Tier-1, to klienci technologii push, którym wolno
pobierać dane bezpośrednio z naszego głównego archiwum.
<p>Jeśli Twój serwer posiada <strong>bardzo</strong> dobre łącze
(zarówno bardzo dobrą przepustowość, jak i bardzo dobre połączenie z
najważniejszymi sieciami szkieletowymi) i chcesz pozwolić innym serwerom
na tworzenie obrazów lustrzanych z Twojego serwera, możesz dać nam znać,
abyśmy mogli rozważyć Twoją kandydaturę na podstawowego klienta technologii push.
Jednakże nie spodziewaj się, że stanie się to zbyt szybko, jako że mamy
już dostateczną liczbę serwerów lustrzanych typu Tier-1.
<p>Jeśli Twój serwer staje się podstawowym klientem technologii push dla
archiwum FTP, będziesz potrzebował klucza publicznego ssh dla konta
archvsync@ftp-master.debian.org, albo w wersji dla
<a href="identity.pub.master.ftp">SSH1</a>, albo dla
<a href="id_rsa.pub.ftp-master">SSH2</a>.</p>
<p>Jeśli Twój serwer staje się podstawowym klientem technologii push dla
archiwum FTP w wesjii non-US, będziesz potrzebował klucza publicznego ssh dla konta
archvsync@non-us.debian.org, albo w wersji dla
<a href="identity.pub.non-US.ftp">SSH1</a>, albo dla
<a href="id_rsa.pub.non-US">SSH2</a>.</p>
<p>Jeśli Twój serwer staje się podstawowym klientem technologii push dla
stron WWW, będziesz potrzebował klucza publicznego ssh dla konta
archvsync@www-master.debian.org, albo w wersji dla
<a href="identity.pub.master.web">SSH1</a>, albo dla
<a href="id_rsa.pub.web-master">SSH2</a>.</p>
<h2>Konfiguracja serwera technologii push</h2>
<p>Ze względu na dużą ilość serwerów lustrzanych oraz wielkość archiwum
Debiana, nie jest możliwe, aby wszystkie serwery lustrzane używały
głównego archiwum jako źródła plików (tzn. jako ich serwera technologii
push). Większą efektywność można uzyskać, jeśli obciążenie zostanie
rozdzielone między wiele serwerów technologii push rozmieszczonych na
całym świecie.
<p>Serwery technologii push powinny być klientami głównego archiwum
(albo innego serwera technologii push) i powinny zawierać obraz
lustrzany całego archiwum Debiana.
<p>Przeczytaj <a href="push_server">szczegółowy opis konfiguracji
serwera technologii push</a>.
|
