Squid + PAM-verifikasie in CentOS 7- SMB-netwerke

Algemene indeks van die reeks: Rekenaarnetwerke vir KMO's: Inleiding

Hallo vriende en vriende!

Die titel van die artikel moes wees: «MATE + NTP + Dnsmasq + Gateway Service + Apache + inktvis met PAM-verifikasie in Centos 7 - KMO-netwerke«. Om praktiese redes verkort ons dit.

Ons gaan voort met die verifikasie aan plaaslike gebruikers op 'n Linux-rekenaar met behulp van PAM, en hierdie keer sal ons sien hoe ons die Proxy-diens met Squid kan lewer vir 'n klein netwerk rekenaars, deur die verifikasiebewyse te gebruik wat op dieselfde rekenaar gestoor is die bediener loop Squid.

Alhoewel ons weet dat dit vandag baie algemeen is om dienste teen 'n OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, ens. Te verifieer, is ons van mening dat ons eers deur eenvoudige en goedkoop oplossings moet gaan en dan die mees ingewikkelde oplossings moet ondervind. Ons glo dat ons van die eenvoudige na die komplekse moet gaan.

Index

Verhoog

Dit is 'n klein organisasie - met baie min finansiële hulpbronne - gewy aan die ondersteuning van die gebruik van gratis sagteware en wat gekies het vir die naam van FromLinux.Fan. Hulle is verskillende OS-entoesiaste CentOS gegroepeer in 'n enkele kantoor. Hulle het 'n werkstasie gekoop - nie 'n professionele bediener nie - wat hulle sal opdra om as 'bediener' te funksioneer.

Entoesiaste het nie uitgebreide kennis oor hoe om 'n OpenLDAP-bediener of 'n Samba 4 AD-DC te implementeer nie, en hulle kan ook nie bekostig om 'n Microsoft Active Directory te lisensieer nie. Vir hul daaglikse werk het hulle egter internettoegangsdienste nodig deur middel van 'n proxy - om vinniger te blaai - en 'n ruimte waar hulle hul waardevolste dokumente kan stoor en as rugsteunkopieë kan werk.

Hulle gebruik steeds wettig verkrygde Microsoft-bedryfstelsels, maar wil dit verander na Linux-gebaseerde bedryfstelsels, te begin met hul "Server".

Hulle streef daarna om hul eie e-posbediener te hê om onafhanklik te word - ten minste van die oorsprong - van dienste soos Gmail, Yahoo, HotMail, ens., Wat hulle tans gebruik.

Die Firewall- en Routing-reëls voor die internet bepaal dit in die ADSL Router wat gekontrakteer is.

Hulle het nie 'n regte domeinnaam nie, aangesien hulle geen diens op die internet hoef te publiseer nie.

CentOS 7 as 'n bediener sonder GUI

Ons begin met 'n nuwe installasie van 'n bediener sonder 'n grafiese koppelvlak, en die enigste opsie wat ons tydens die proses kies, is «Infrastruktuurbediener»Soos ons in vorige artikels in die reeks gesien het.

Aanvanklike instellings

[root @ linuxbox ~] # kat / ens / gasheernaam 
Linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # gasheernaam
Linuxbox

[root @ linuxbox ~] # gasheernaam -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr lys
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 dit

Ons skakel die netwerkbestuurder uit

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl skakel NetworkManager uit

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Netwerkbestuurder gelaai: gelaai (/usr/lib/systemd/system/NetworkManager.service; gedeaktiveer; verskaffervoorinstelling: geaktiveer) Aktief: onaktief (dood) Dokumente: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Ons stel die netwerk-koppelvlakke in

Ens32 LAN-koppelvlak gekoppel aan die interne netwerk

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkskripte / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
SONE = publiek

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-koppelvlak gekoppel aan die internet

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkskripte / ifcfg-ens34
TOESTEL = ens34 ONBOOT = ja BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nee IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Die ADSL-router is gekoppel aan # hierdie koppelvlak met # die volgende adres IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
SONE = ekstern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Bewaarplekopstelling

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # oorspronklike mkdir
[root @ linuxbox ~] # mv Centos- * oorspronklike /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum maak alles skoon
Inproppe gelaai: vinnigste spieël, langpacks Skoonmaakbewaarplekke: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Alles skoonmaak Lys van vinnigste spieëls opruim
[root @ linuxbox yum.repos.d] # yum-opdatering
Laaiprogramme: vinnigste spieël, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primêre_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primêre_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primêre_db | 5.6 MB 00:01 Bepaal vinnigste spieëls Geen pakkette gemerk vir opdatering nie

Die boodskap "Geen pakkette gemerk vir opdatering nie»Word getoon omdat ons dieselfde plaaslike bewaarplekke verklaar het as wat ons tot ons beskikking het.

Centos 7 met die MATE-lessenaaromgewing

Om die baie goeie administrasiehulpmiddels te gebruik met 'n grafiese koppelvlak wat CentOS / Red Hat ons bied, en omdat ons GNOME2 altyd mis, het ons besluit om MATE as 'n lessenaaromgewing te installeer.

[root @ linuxbox ~] # yum groepinstallasie "X Window-stelsel"
[root @ linuxbox ~] # yum groepinstalleer "MATE Desktop"

Om te kontroleer of die MATE behoorlik laai, voer ons die volgende opdrag in 'n konsole -lokaal of op afstand- uit:

[root @ linuxbox ~] # systemctl isoleer graphical.target

en die lessenaaromgewing moet gelaai word -op die plaaslike span- glad, wys die lightdm as 'n grafiese aanmelding. Ons tik die naam van die plaaslike gebruiker en sy wagwoord in en ons sal die MATE invoer.

Om die te vertel systemd dat die standaard opstartvlak 5-grafiese omgewing is - ons skep die volgende simboliese skakel:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Ons begin die stelsel weer en alles werk goed.

Ons installeer die Time Service for Networks

[root @ linuxbox ~] # yum installeer ntp

Tydens die installasie stel ons in dat die plaaslike klok met die tydbediener van die toerusting gesinkroniseer sal word sysadmin.fromlinux.fan met IP 192.168.10.1. Dus stoor ons die lêer ntp.conf oorspronklik deur:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nou skep ons 'n nuwe een met die volgende inhoud:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servers wat tydens die installasie opgestel is: bediener 192.168.10.1 iburst # Vir meer inligting, sien die manbladsye van: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Laat sinkronisasie toe met die tydbron, maar laat nie # die bron toe om hierdie diens te raadpleeg of te wysig nie. beperk standaard nomodify notrap nopeer noquery # Laat alle toegang tot die koppelvlak toe Loopback beperk 127.0.0.1 beperk :: 1 # Beperk 'n bietjie minder tot rekenaars in die plaaslike netwerk. beperk 192.168.10.0 masker 255.255.255.0 nomodify notrap # Gebruik die openbare bedieners van die projek pool.ntp.org # As u by die projek wil aansluit, besoek # (http://www.pool.ntp.org/join.html). # Broadcast 192.168.10.255 autokey # Broadcast Server Broadcast Client # Broadcast Client # Broadcast 224.0.1.1 Autokey # Multicast Server # Multicastclient 224.0.1.1 # Multicast Client # Manycastserver 239.255.254.254 # Manycast Server # Manycastclient 239.255.254.254 Autokey # Manycast Client Broadcast 192.168.10.255 # Aktiveer openbare kriptografie. #crypto includeefile / etc / ntp / crypto / pw # Sleutellêer wat die sleutels en sleutelidentifiseerders bevat # wat gebruik word wanneer u met simmetriese sleutel-kriptografiesleutels / etc / ntp / keys werk # Spesifiseer vertroude sleutelidentifiseerders. #trustedkey 4 8 42 # Spesifiseer die sleutelidentifiseerder wat gebruik moet word met die ntpdc-nut. #requestkey 8 # Spesifiseer die sleutelidentifiseerder wat gebruik moet word met die ntpq-nut. #controlkey 8 # Skakel statistiese registers in. #statistieke klokstatistieke kriptostate loopstate peerstats # Skakel die afskeidingsmonitor uit om versterking van # aanvalle met die ntpdc monlist-opdrag te voorkom, as die standaardbeperking # nie die vlag vir vrae bevat nie. Lees CVE-2013-5211 # vir meer besonderhede. # Opmerking: die monitor is nie gedeaktiveer met die beperkte beperkingsvlag nie. skakel die monitor uit

Ons aktiveer, begin en gaan die NTP-diens na

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Netwerktyddiens gelaai: gelaai (/usr/lib/systemd/system/ntpd.service; gedeaktiveer; voorafverkoper van handelaar: gedeaktiveer) Aktief: onaktief (dood)

[root @ linuxbox ~] # systemctl aktiveer ntpd
Symlink geskep van /etc/systemd/system/multi-user.target.wants/ntpd.service na /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl begin ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Netwerktyddiens
   Laai: gelaai (/usr/lib/systemd/system/ntpd.service; geaktiveer; verskaffervoorinstelling: gedeaktiveer) Aktief: aktief (aan die gang) sedert Vrydag 2017-04-14 15:51:08 EDT; 1s gelede Proses: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = verlaat, status = 0 / SUKSES) Hoof PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp en die firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
eksterne
  koppelvlakke: ens34
openbare
  koppelvlakke: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd - herlaai
sukses

Ons aktiveer en stel die Dnsmasq in

Soos ons in 'n vorige artikel in die SMB Networks-reeks gesien het, word Dnsamasq standaard op 'n CentOS 7-infrastruktuurbediener geïnstalleer.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-kasbediener. Gelaai: gelaai (/usr/lib/systemd/system/dnsmasq.service; gedeaktiveer; verskaffervoorinstelling: gedeaktiveer) Aktief: onaktief (dood)

[root @ linuxbox ~] # systemctl aktiveer dnsmasq
Symlink geskep vanaf /etc/systemd/system/multi-user.target.wants/dnsmasq.service na /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl begin dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-kasbediener. Gelaai: gelaai (/usr/lib/systemd/system/dnsmasq.service; geaktiveer; verskaffervoorinstelling: gedeaktiveer) Aktief: aktief (aan die gang) sedert Vrydag 2017-04-14 16:21:18 EDT; 4s gelede Hoof PID: 33611 (dnsmasq) CG groep: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ALGEMENE OPSIES # ----------------------------- -------------------------------------- domein benodig # Moenie name deurgee sonder die domeindeel nie valse-priv # Moenie adresse in die ongerepte ruimte uitbrei nie-gashere # Voeg die domein outomaties by die gasheer-koppelvlak = ens32 # Interface LAN-streng volgorde # Orde waarin u die /etc/resolv.conf-lêer conf-dir = / ens /dnsmasq.d domein = desdelinux.fan # Domeinnaamadres = / time.windows.com / 192.168.10.5 # Stuur 'n leë opsie van die WPAD-waarde. Vereis dat # Windos 7 en latere kliënte hulle goed moet gedra. ;-) dhcp-option = 252, "\ n" # Lêer waar ons die HOEWERS wat "verban" sal word, sal addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # Hierdie tipe registrasie vereis 'n inskrywing # in die / etc / hosts lêer # bv: 192.168.10.5 linuxbox.frllinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Wys 'n MX-rekord met die naam "desdelinux.fan" bestem # vir die mail.desdelinux-rekenaar. waaier en prioriteit van 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # Die standaardbestemming vir MX-rekords wat geskep word # met behulp van die localmx-opsie is: mx-target = mail.desdelinux.fan # Returns 'n MX-rekord wat na die mx-teiken vir ALLE # plaaslike masjiene localmx # TXT-rekords wys. Ons kan ook 'n SPF-rekord txt-record = desdelinux.fan, "v = spf1 a -all" txt-record = desdelinux.fan, "DesdeLinux, u blog gewy aan vrye sagteware" verklaar # --------- -------------------------------------------------- -------- # BEREIK EN GEBRUIKSOPTIES # --------------------------------------- ---------------------------- # IPv4-reeks en huurtyd # 1 tot 29 is bedien vir bedieners en ander DHCP-behoeftes -range = 192.168.10.30,192.168.10.250,8h dhcp-lease-max = 222 # Maksimum aantal adresse om te huur # is standaard 150 # IPV6-reeks # dhcp-range = 1234 ::, ra-only # Opsies vir die BEREIK # OPTIES dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # DNS Servers dhcp-option = 15, desdelinux.fan # DNS Domain Name dhcp-option = 19,1 , 28,192.168.10.255 # opsie ip-aanstuur OP dhcp-opsie = 42,192.168.10.5 # UITSENDING dhcp-opsie = XNUMX # NTP dhcp-gesaghebbend # Gesaghebbende DHCP op subnet # -------------- ------------------ ----------------------------------- # As u in / var / log / boodskappe wil stoor, dan is die logboek van die navrae # opmerk die reël hieronder # --------------------------------------- ----------------------------
# log-navrae
# EINDE van lêer /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Ons skep die lêer / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Vaste IP-adresse

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan

Ons stel die lêer /etc/resolv.conf op - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
soek desdelinux.fan nameserver 127.0.0.1 # Vir eksterne DNS-navrae of nie-domeine # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Ons gaan lêersintaksis na dnsmasq.conf, ons begin en kyk na die status van die diens

[root @ linuxbox ~] # dnsmasq --toets
dnsmasq: sintaksis merk OK.
[root @ linuxbox ~] # systemctl herbegin dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq en die firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
eksterne
  koppelvlakke: ens34
openbare
  koppelvlakke: ens32

diens domein o Domeinnaambediener (dns). Protokol krap «IP met enkripsie«

[root @ linuxbox ~] # firewall-cmd --zone = publiek --add-port = 53 / tcp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp - permanent
sukses

Dnsmasq navrae na eksterne DNS-bedieners

[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 53 / tcp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 53 / udp - permanent
sukses

diens opstart o BOOTP-bediener (dhcp). Protokol IPPC «Internet Pluribus-pakketkern«

[root @ linuxbox ~] # firewall-cmd --zone = publiek --add-port = 67 / tcp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp - permanent
sukses

[root @ linuxbox ~] # firewall-cmd - herlaai
sukses

[root @ linuxbox ~] # firewall-cmd - publieke publiek in die sone (aktief)
  doelwit: standaard icmp-blok-inversie: geen koppelvlakke: ens32 bronne: dienste: dhcp dns ntp ssh-poorte: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokolle: maskerade: geen voorpoorte: sourceports: icmp -blokke: ryk reëls:

[root @ linuxbox ~] # firewall-cmd - eksterne eksterne eksterne sone (aktief)
  teiken: standaard icmp-blok-inversie: geen koppelvlakke: ens34 bronne: dienste: dns-poorte: 53 / udp 53 / tcp-protokolle: maskerade: ja vooruit-poorte: sourceports: icmp-blokke: parameter-probleem herlei router-advertensie router- versoeke om ryk ryk reëls te werf:

As ons 'n grafiese koppelvlak wil gebruik om die Firewall in CentOS 7 in te stel, kyk ons ​​in die algemene menu - dit hang af van die lessenaaromgewing waarin die submenu verskyn - die toepassing «Firewall», ons voer dit uit en nadat ons die wagwoord van die gebruiker ingevoer het wortel, sal ons toegang tot die programkoppelvlak as sodanig verkry. In MATE verskyn dit in die menu «Stelsel »->" Administrasie "->" Firewall ".

Ons kies die gebied «openbare»En ons gee toestemming vir die dienste wat ons wil publiseer op die LAN, wat tot nou toe bestaan DHCP, dns, NTP en ssh. Nadat ons die dienste gekies het en gekontroleer het dat alles reg werk, moet ons die veranderinge in Runtime to Permanent aanbring. Om dit te doen gaan ons na die Opsies-menu en kies die opsie «Loop tyd tot permanent«.

Later kies ons die gebied «eksterne»En ons kyk of die poorte wat nodig is om met die internet te kommunikeer, oop is. MOENIE dienste in hierdie sone publiseer nie, tensy ons goed weet wat ons doen!.

Laat ons nie vergeet om die wysigings permanent aan te bring deur middel van die opsie nie «Loop tyd tot permanent»En herlaai die demoon FirewallD, elke keer as ons hierdie kragtige grafiese instrument gebruik.

NTP en Dnsmasq vanaf 'n Windows 7-kliënt

Sinkronisering met NTP

eksterne

Huurde IP-adres

Microsoft Windows [Weergawe 6.1.7601] Kopiereg (c) 2009 Microsoft Corporation. Alle regte voorbehou. C: \ Users \ buzz> ipconfig / alle Windows IP-konfigurasie-gasheernaam. . . . . . . . . . . . : SEWE
   Primêre Dns-agtervoegsel. . . . . . . :
   Nodetipe. . . . . . . . . . . . : Hybrid IP-routering geaktiveer. . . . . . . . : Geen WINS-proxy geaktiveer nie. . . . . . . . : Geen DNS-agtervoegsel soeklys nie. . . . . . : desdelinux.fan Ethernet-adapter Plaaslike verbinding: Verbindingspesifieke DNS-agtervoegsel. : desdelinux.fan Beskrywing. . . . . . . . . . . : Fisiese adres van Intel (R) PRO / 1000 MT-netwerkverbinding. . . . . . . . . : 00-0C-29-D6-14-36 DHCP geaktiveer. . . . . . . . . . . : Ja Outokonfigurasie geaktiveer. . . . : En dit is
   IPv4-adres. . . . . . . . . . . : 192.168.10.115 (verkies)
   Subnet masker. . . . . . . . . . . : 255.255.255.0 Huur verkry. . . . . . . . . . : Vrydag 14 April 2017 5:12:53 Huurkontrak verval. . . . . . . . . . : Saterdag 15 April 2017 1:12:53 Standaardpoort. . . . . . . . . : 192.168.10.1 DHCP-bediener. . . . . . . . . . . : 192.168.10.5 DNS-bedieners. . . . . . . . . . . : 192.168.10.5 NetBIOS oor Tcpip. . . . . . . . : Aangeskakel Tunneladapter Plaaslike verbinding * 9: Mediatoestand. . . . . . . . . . . : Media ontkoppel Verbindingspesifieke DNS-agtervoegsel. : Beskrywing. . . . . . . . . . . : Fisiese adres van Microsoft Teredo-tonneladapter. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP geaktiveer. . . . . . . . . . . : Geen outokonfigurasie geaktiveer nie. . . . : Ja Tunneladapter isatap.fromlinux.fan: Media State. . . . . . . . . . . : Media ontkoppel Verbindingspesifieke DNS-agtervoegsel. : desdelinux.fan Beskrywing. . . . . . . . . . . : Microsoft ISATAP-adapter nr. 2 Fisiese adres. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP geaktiveer. . . . . . . . . . . : Geen outokonfigurasie geaktiveer nie. . . . : Ja C: \ Gebruikers \ buzz>

tip

'N Belangrike waarde in Windows-kliënte is die "Primary Dns Suffix" of "Main connection suffix". As u nie 'n Microsoft Domain Controller gebruik nie, ken die bedryfstelsel geen waarde daaraan toe nie. As ons voor 'n saak te staan ​​kom soos die wat aan die begin van die artikel beskryf word en ons die waarde eksplisiet wil verklaar, moet ons voortgaan volgens wat in die volgende afbeelding getoon word, die veranderinge aanvaar en die kliënt weer begin.

 

As ons weer hardloop CMD -> ipconfig / alles ons sal die volgende kry:

Microsoft Windows [Weergawe 6.1.7601] Kopiereg (c) 2009 Microsoft Corporation. Alle regte voorbehou. C: \ Users \ buzz> ipconfig / alle Windows IP-konfigurasie-gasheernaam. . . . . . . . . . . . : SEWE
   Primêre Dns-agtervoegsel. . . . . . . : desdelinux.fan
   Nodetipe. . . . . . . . . . . . : Hybrid IP-routering geaktiveer. . . . . . . . : Geen WINS-proxy geaktiveer nie. . . . . . . . : Geen DNS-agtervoegsel soeklys nie. . . . . . : desdelinux.fan

Die res van die waardes bly onveranderd

DNS-tjeks

buzz @ sysadmin: ~ $ gasheer spynet.microsoft.com
spynet.microsoft.com het adres 127.0.0.1 Gasheer spynet.microsoft.com nie gevind nie: 5 (WEIER) spynet.microsoft.com-pos word hanteer deur 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ host Linuxbox
linuxbox.desdelinux.fan het adres 192.168.10.5 linuxbox.desdelinux.fan-pos word hanteer deur 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan het adres 192.168.10.1 sysadmin.desdelinux.fan-pos word hanteer deur 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ gasheerpos
mail.desdelinux.fan is 'n alias vir linuxbox.desdelinux.fan. linuxbox.desdelinux.fan het adres 192.168.10.5 linuxbox.desdelinux.fan pos word hanteer deur 1 mail.desdelinux.fan.

Ons installeer -slegs vir toetsing- 'n gesaghebbende DNS-bediener NSD in sysadmin.fromlinux.fan, en ons sluit die IP-adres in 172.16.10.1 in die argief /etc/resolv.conf van die span linuxbox.fromlinux.fan, om te verifieer dat Dnsmasq sy Forwarder-funksie korrek uitvoer. Sandkaste op die NSD-bediener is favt.org y toujague.org. Alle IP's is fiktief of kom van privaat netwerke af.

As ons die WAN-koppelvlak deaktiveer ens34 deur die opdrag te gebruik ifdown ens34, Dnsmasq kan nie navraag doen oor eksterne DNS-bedieners nie.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Gasheer toujague.org nie gevind nie: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gasheer pizzapie.favt.org
Gasheer pizzapie.favt.org nie gevind nie: 3 (NXDOMAIN)

Laat ons die ens34-koppelvlak inskakel en weer kyk:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ gasheer pizzapie.favt.org
pizzapie.favt.org is 'n alias vir paisano.favt.org. paisano.favt.org het adres 172.16.10.4

[buzz @ linuxbox ~] $ gasheer pizzapie.toujague.org
Gasheer pizzas.toujague.org nie gevind nie: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gasheer poblacion.toujague.org
poblacion.toujague.org het adres 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org-naambediener ns1.favt.org. favt.org-naambediener ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org naambediener ns1.toujague.org. toujague.org naambediener ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org-pos word hanteer deur 10 mail.toujague.org.

Kom ons raadpleeg van sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ kat /etc/resolv.conf 
soek vanaf linux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ gasheer mail.toujague.org
mail.toujague.org het adres 169.18.10.19

Die Dnsmasq werk soos Aansteker korrek.

Squid

In die boek in PDF-formaat «Linux-bedienerskonfigurasie»Gedateer 25 Julie 2016 deur die skrywer Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), 'n teks waarna ek in vorige artikels verwys het, is daar 'n hele hoofstuk gewy aan die Inktvis basiese konfigurasie-opsies.

As gevolg van die belangrikheid van die Web - Proxy-diens, gee ons die inleiding oor die inktvis weer in die bogenoemde boek:

105.1. Inleiding.

105.1.1. Wat is 'n tussengangerbediener (proxy)?

Die term in Engels "Volmag" het 'n baie algemene en terselfdertyd dubbelsinnige betekenis, alhoewel
word altyd beskou as 'n sinoniem van die begrip "Tussenganger". Dit word gewoonlik in die streng sin vertaal as afgevaardigde o prokureur (die een wat mag het oor 'n ander).

Un Tussenganger bediener Dit word gedefinieer as 'n rekenaar of toestel wat 'n netwerkdiens aanbied wat bestaan ​​uit kliënte wat indirekte netwerkverbindings met ander netwerkdienste kan maak. Gedurende die proses vind die volgende plaas:

  • Kliënt verbind met a Instaanbediener.
  • Kliënt vra 'n verbinding, lêer of ander hulpbron wat op 'n ander bediener beskikbaar is.
  • Intermediêre bediener bied die hulpbron deur te koppel aan die gespesifiseerde bediener
    of bedien dit vanuit 'n kas.
  • In sommige gevalle is die Tussenganger bediener kan die kliënt se versoek verander of die
    bedienerrespons vir verskillende doeleindes.

Die Instaanbedieners hulle word gewoonlik gelyktydig laat werk as 'n vuurmuur in die Netwerkvlak, optree soos 'n pakkie filter, soos in die geval van iptables of werk in die Toepassingsvlak, die beheer van verskillende dienste, soos die geval is met TCP-omhulsel. Afhangend van die konteks, staan ​​die vuurmuur ook bekend as BPD o Beinde Protasie Device of net pakkie filter.

'N Algemene toepassing van Instaanbedieners is om te funksioneer as 'n kas van netwerkinhoud (hoofsaaklik HTTP), wat in die nabyheid van die kliënte 'n kas van bladsye en lêers wat via die netwerk beskikbaar is op afgeleë HTTP-bedieners bied, sodat kliënte van die plaaslike netwerk toegang tot hulle kan kry in 'n vinniger en betroubaarder.

Wanneer 'n versoek ontvang word vir 'n gespesifiseerde netwerkbron in a URL (Uuniform Rbronne Locator) die Tussenganger bediener soek die resultaat van URL binne die kas. As dit gevind word, is die Tussenganger bediener Reageer op die kliënt deur onmiddellik die gevraagde inhoud te verskaf. As die gevraagde inhoud nie in die kas is nie, word die Tussenganger bediener dit gaan haal dit vanaf 'n afgeleë bediener, lewer dit af aan die kliënt wat dit versoek en hou 'n kopie in die kas. Die inhoud in die kas word dan verwyder deur 'n verval algoritme volgens die ouderdom, grootte en geskiedenis van antwoorde op versoeke (treffers) (voorbeelde: LRU, LFUDA y GDSF).

Proxy Servers vir netwerkinhoud (Web Proxies) kan ook optree as filters van die inhoud wat aangebied word en sensuurbeleid toepas volgens arbitrêre kriteria..

Die Squid-weergawe wat ons sal installeer is 3.5.20-2.el7_3.2 vanaf die bewaarplek updates.

Installasie

[root @ linuxbox ~] # yum installeer inkvis

[root @ linuxbox ~] # ls / etc / inkvis /
cachemgr.conf errorpage.css.default  inkvis.conf
cachemgr.conf.default mime.conf              inkvis.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl aktiveer inkvis

Belangrik

  • Die hoofdoel van hierdie artikel is om plaaslike gebruikers te magtig om van ander rekenaars wat aan die LAN gekoppel is, met Squid te koppel. Verder implementeer die kern van 'n bediener waarby ander dienste gevoeg sal word. Dit is nie 'n artikel wat aan die Squid as sodanig toegewy is nie.
  • Om 'n idee te kry van die konfigurasie-opsies van Squid, lees die lêer /usr/share/doc/squid-3.5.20/squid.conf.documented, met 7915 lyne.

SELinux en inktvis

[root @ linuxbox ~] # getsebool -a | grep inkvis
squid_connect_any -> op squid_use_tproxy -> af

[root @ linuxbox ~] # setsebool -P squid_connect_any = aan

opset

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports poort 443 21
acl Safe_ports poort 80 # http acl Safe_ports poort 21 # ftp acl Safe_ports poort 443 # https acl Safe_ports poort 70 # gopher acl Safe_ports poort 210 # wais acl Safe_ports poort 1025-65535 # ongeregistreerde poorte acl Safe_ports poort 280 # http-mgmt acl Safe_ports poort 488 # gss-http acl Safe_ports-poort 591 # filemaker acl Safe_ports-poort 777 # multiling http acl CONNECT-metode CONNECT # Ons ontken navrae vir nie-veilige poorte http_access ontken! Safe_ports # Ons ontken die CONNECT-metode vir nie-veilige hawens http_access ontken CONNECT! SSL_ports # Toegang tot Kasbestuurder slegs van localhost http_access laat localhost-bestuurder http_access weier bestuurder toe # Ons beveel die volgende sterk aan om kommentaar te lewer om onskuldige # webtoepassings wat op die proxy-server werk, te beskerm, wat dink dat die enigste # een wat toegang tot dienste op "localhost" kan kry, 'n plaaslike gebruiker http_access weier aan_localhost # # VOEG U EIE REËL (E) HIER IN OM TOEGANG TOT U KLIËNTE TE TOESTAAN # # PAM-magtiging
auth_param basiese program / usr / lib64 / inkvis / basic_pam_auth
auth_param basiese kinders 5 auth_param basiese koninkryk van linux.fan auth_param basiese geloofsbriefsttl 2 uur auth_param basiese gevalgevoelig uit # Acl-verifikasie is nodig om toegang te verkry tot Squid Enthusiasts proxy_auth GEVRA: # Ons laat toegang tot geverifieerde gebruikers toe # deur PAM http_access deny! acl ftp proto FTP http_access laat ftp http_access toe localnet http_access laat localhost toe # Ons weier enige ander toegang tot die proxy http_access ontken alles # Inktvis luister normaalweg op poort 3128 http_port 3128 # Ons laat die "coredumps" in die eerste kasgids coredump_dir / var / spool / inkvis # # Voeg een van u eie opdateringspatrooninskrywings hierbo by. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache geheue geheue_vervanging_beleid lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgres_des.x.del.

Ons kyk na die sintaksis van die lêer /etc/squid/squid.conf

[root @ linuxbox ~] # inkvis -k ontleding
2017/04/16 15: 45: 10 | Opstart: Verifiëring van stawingsskemas ...
 2017/04/16 15: 45: 10 | Opstart: geïnitialiseerde verifikasieskema 'basies' 2017/04/16 15: 45: 10 | Opstart: geïnitialiseerde verifikasieskema 'verteer' 2017/04/16 15: 45: 10 | Opstart: geïnitialiseerde verifikasieskema 'onderhandel' 2017/04/16 15: 45: 10 | Opstart: geïnitialiseerde verifikasieskema 'ntlm' 2017/04/16 15: 45: 10 | Aanvang: geïnisialiseerde verifikasie.
 2017/04/16 15: 45: 10 | Verwerking van konfigurasielêer: /etc/squid/squid.conf (diepte 0) 2017/04/16 15: 45: 10 | Verwerking: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Verwerking: acl SSL_ports poort 443 21 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports-poort 80 # http 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports-poort 21 # ftp 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports poort 443 # https 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports-poort 70 # gopher 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports-poort 210 # wais 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports poort 1025-65535 # ongeregistreerde poorte 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports-poort 280 # http-mgmt 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports poort 488 # gss-http 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports poort 591 # filemaker 2017/04/16 15: 45: 10 | Verwerking: acl Safe_ports poort 777 # multiling http 2017/04/16 15: 45: 10 | Verwerking: acl CONNECT-metode CONNECT 2017/04/16 15: 45: 10 | Verwerking: http_access deny! Safe_ports 2017/04/16 15: 45: 10 | Verwerking: http_access weier CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Verwerking: http_access allow localhost manager 2017/04/16 15: 45: 10 | Verwerking: http_access deny manager 2017/04/16 15: 45: 10 | Verwerking: http_access deny to_localhost 2017/04/16 15: 45: 10 | Verwerking: auth_param basiese program / usr / lib64 / inkvis / basic_pam_auth 2017/04/16 15: 45: 10 | Verwerking: auth_param basiese kinders 5 2017/04/16 15: 45: 10 | Verwerking: basiese gebied auth_param vanaf linux.fan 2017/04/16 15: 45: 10 | Verwerking: auth_param basic credentialsttl 2 uur 2017/04/16 15: 45: 10 | Verwerking: auth_param basiese gevalgevoelige af 2017/04/16 15: 45: 10 | Verwerking: acl Entoesiaste proxy_auth GEVRA 2017/04/16 15: 45: 10 | Verwerking: http_access deny! Entoesiaste 2017/04/16 15: 45: 10 | Verwerking: acl ftp proto FTP 2017/04/16 15: 45: 10 | Verwerking: http_access allow ftp 2017/04/16 15: 45: 10 | Verwerking: http_access allow localnet 2017/04/16 15: 45: 10 | Verwerking: http_access allow localhost 2017/04/16 15: 45: 10 | Verwerking: http_access ontken alle 2017/04/16 15: 45: 10 | Verwerking: http_port 3128 2017/04/16 15: 45: 10 | Verwerking: coredump_dir / var / spool / inkvis 2017/04/16 15: 45: 10 | Verwerking: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Verwerking: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Verwerking: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Verwerking: verfris_patroon. 

Ons pas toestemmings in / usr / lib64 / inkvis / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / inkvis / basic_pam_auth

Ons skep die kasgids

# Net vir ingeval ... [root @ linuxbox ~] # diens inkvis stop
Herlei na / bin / systemctl stop squid.service

[root @ linuxbox ~] # inkvis -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kind1 | Stel die huidige gids op / var / spool / inkvis 2017/04/16 15:48:28 kid1 | Skep ontbrekende ruilgidse 2017/04/16 15:48:28 kid1 | / var / spool / inkvis bestaan ​​2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 00 2017/04/16 15:48:28 kid1 | Kaarte maak in / var / spool / inkvis / 01 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 02 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 03 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 04 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 05 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 06 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 07 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 09 2017/04/16 15:48:28 kid1 | Lêers maak in / var / spool / inkvis / 0A 2017/04/16 15:48:28 kid1 | Kaarte maak in / var / spool / inkvis / 0B 2017/04/16 15:48:28 kid1 | Kaarte maak in / var / spool / inkvis / 0C 2017/04/16 15:48:29 kid1 | Kaarte maak in / var / spool / inkvis / 0D 2017/04/16 15:48:29 kid1 | Kaarte maak in / var / spool / inkvis / 0E 2017/04/16 15:48:29 kid1 | Maak katalogusse in / var / spool / inkvis / 0F

Druk op Enter op hierdie stadium, as dit 'n rukkie neem om die opdragprompt terug te stuur - wat nooit aan my terugbesorg is nie.

[root @ linuxbox ~] # diensinkvis begin
[root @ linuxbox ~] # diensinkvis weer begin
[root @ linuxbox ~] # diensinkvisstatus
Herlei na / bin / systemctl status squid.service ● squid.service - Inktvis-kas proxy gelaai: gelaai (/usr/lib/systemd/system/squid.service; gedeaktiveer; verskaffervoorinstelling: gedeaktiveer) Aktief: aktief (hardloop) sedert dom 2017-04-16 15:57:27 EDT; 1s gelede Proses: 2844 ExecStop = / usr / sbin / inkvis -k afsluit -f $ SQUID_CONF (code = verlaat, status = 0 / SUKSES) Proses: 2873 ExecStart = / usr / sbin / inkvis $ SQUID_OPTS -f $ SQUID_CONF (kode = verlaat, status = 0 / SUKSES) Proses: 2868 ExecStartPre = / usr / libexec / inkvis / cache_swap.sh (code = verlaat, status = 0 / SUKSES) Hoof PID: 2876 (inktvis) CG groep: / system.slice/squid .diens └─2876 / usr / sbin / inkvis -f /etc/squid/squid.conf 16 Apr 15:57:27 Linuxbox systemd [1]: Begin Squid caching proxy ... 16 Apr 15:57:27 Linuxbox systemd [1]: Begin die inktvis-proxy vir caching. 16 Apr 15:57:27 Linuxbox-inktvis [2876]: Inktvisouer: sal 1 kinders begin 16 Apr 15:57:27 Linuxbox-inktvis [2876]: Inktvisouer: (inkvis-1) proses 2878 ... ed 16 April 15 : 57: 27 linuxbox inkvis [2876]: inkvis Ouer: (inkvis-1) proses 2878 ... 1 Wenk: Sommige lyne is ellipsvormig, gebruik -l om volledig te wys

[root @ linuxbox ~] # cat / var / log / boodskappe | grep inkvis

Firewall-regstellings

Ons moet ook in die Zone oopmaak «eksterne"die hawens 80 HTTP y 443 HTTPS sodat die inktvis met die internet kan kommunikeer.

[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 80 / tcp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 443 / tcp - permanent
sukses
[root @ linuxbox ~] # firewall-cmd - herlaai
sukses
[root @ linuxbox ~] # firewall-cmd - infosone-eksterne
eksterne (aktiewe) teiken: standaard icmp-blok-inversie: geen koppelvlakke: ens34 bronne: dienste: dns-poorte: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokolle: maskerade: ja vorentoe-poorte: verkrygingsporte: icmp-blokke: parameter-probleem herlei router-advertensie roete-uitnodiging bron-blus ryk reëls:
  • Dit is nie ledig om na die grafiese toepassing te gaan nie «Firewall-instellings»En kyk of die poorte 443 tcp, 80 tcp, 53 tcp en 53 udp oop is vir die sone«eksterne«, En dat ons GEEN diens vir haar gepubliseer het nie.

Nota oor die basic_pam_auth helper-program

As ons die handleiding van hierdie program raadpleeg man basic_pam_auth Ons sal lees dat die outeur self 'n sterk aanbeveling maak dat die program na 'n gids verskuif word waar normale gebruikers nie voldoende toestemming het om toegang tot die instrument te kry nie.

Aan die ander kant is dit bekend dat die geloofsbriewe in hierdie teks in gewone teks beweeg en dat dit nie veilig is vir vyandige omgewings nie, lees oop netwerke.

jeff yestrumskas wy die artikel op «Hoe om te doen: Stel 'n veilige webproxy op met behulp van SSL-kodering, Squid Caching Proxy en PAM-verifikasie»Die kwessie van die verhoging van die veiligheid met hierdie verifikasieskema sodat dit in potensieel vyandige oop netwerke gebruik kan word.

Ons installeer httpd

As 'n manier om die werking van Squid-en terloops die van Dnsmasq- te kontroleer, sal ons die diens installeer httpd -Apache-webbediener - wat nie nodig is nie. In die lêer relatief tot die Dnsmasq / etc / banner_add_hosts Ons verklaar die webwerwe waarop ons verbied wil word, en ons ken dieselfde IP-adres as dit toe Linuxbox. As ons dus toegang tot enige van hierdie webwerwe versoek, moet die tuisblad van die httpd.

[root @ linuxbox ~] # yum installeer httpd [root @ linuxbox ~] # systemctl aktiveer httpd
Symlink van /etc/systemd/system/multi-user.target.wants/httpd.service na /usr/lib/systemd/system/httpd.service geskep.

[root @ linuxbox ~] # systemctl begin httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Die Apache HTTP-bediener gelaai: gelaai (/usr/lib/systemd/system/httpd.service; geaktiveer; verskaffervoorinstelling: gedeaktiveer) Aktief: aktief (loop) sedert Sondag 2017-04-16 16:41: 35 EDT; 5s gelede Dokumente: man: httpd (8) man: apachectl (8) Hoof PID: 2275 (httpd) Status: "Verwerkingsversoeke ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 Apr 16:41:35 linuxbox systemd [1]: Die Apache HTTP-bediener begin ... 16 Apr 16:41:35 linuxbox systemd [1]: Die Apache HTTP Server begin.

SELinux en Apache

Apache het verskillende beleide om binne die SELinux-konteks op te stel.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect network off_zabbix_> off http_c_b_connect_connect_connect httpd_can_network_memcache -> af httpd_can_network_relay -> af httpd_can_sendmail -> af httpd_dbus_avahi -> af httpd_dbus_sssd -> af httpd_dontaudit_search_dirs -> af httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem af httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift_ off_off_co httpd_ssi_exec -> af httpd_sys_script_anon_write -> af httpd_tmp_exec -> af httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Ons sal slegs die volgende instel:

Stuur e-pos via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Laat Apache toe om inhoud te lees wat in plaaslike gebruikers se tuisgids geleë is

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Laat toe om enige gids wat deur FTP of FTPS bestuur word, te administreer
Apache of laat Apache funksioneer as 'n FTP-bediener wat na versoeke luister deur die FTP-poort

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Vir meer inligting, lees gerus Linux-bedienerskonfigurasie.

Ons kyk na die verifikasie

Dit bly net om 'n blaaier op 'n werkstasie oop te maak en byvoorbeeld daarop te wys http://windowsupdate.com. Ons sal seker maak dat die versoek korrek na die Apache-tuisblad in Linuxbox herlei word. In werklikheid, enige webwerfnaam wat in die lêer verklaar word / etc / banner_add_hosts u sal na dieselfde bladsy herlei word.

Die beelde aan die einde van die artikel bewys dit.

Gebruikersbestuur

Ons doen dit met behulp van die grafiese instrument «gebruikers Bestuur»Waartoe ons toegang verkry via die menu Stelsel -> Administrasie -> Gebruikersbestuur. Elke keer as ons 'n nuwe gebruiker byvoeg, word die vouer daarvan geskep / huis / gebruiker outomaties.

 

rugsteun

Linux-kliënte

U benodig slegs die normale lêerblaaier en gee aan dat u wil koppel, byvoorbeeld: ssh: // buzz @ linuxbox / home / buzz en nadat die wagwoord ingevoer is, sal die gids vertoon word huis van die gebruiker buzz.

Windows-kliënte

In Windows-kliënte gebruik ons ​​die instrument WinSCP. Nadat ons dit geïnstalleer het, gebruik ons ​​dit op die volgende manier:

 

 

Eenvoudig, of hoe?

Opsomming

Ons het gesien dat dit moontlik is om PAM te gebruik om dienste in 'n klein netwerk en in 'n beheerde omgewing te verifieer, totaal geïsoleerd van die hande van hackers. Dit is hoofsaaklik te wyte aan die feit dat die verifikasiebewyse in gewone teks beweeg en daarom is dit nie 'n verifikasieskema wat gebruik kan word in oop netwerke soos lughawens, Wi-Fi-netwerke, ens. Dit is egter 'n eenvoudige magtigingsmeganisme, maklik om te implementeer en op te stel.

Bronne geraadpleeg

PDF-weergawe

Laai die PDF-weergawe af hier.

Tot die volgende artikel!


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

9 kommentaar, los joune

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.

  1.   NauTiluS dijo

    Geweldige pos is genees mnr. Fico. Dankie dat u u kennis gedeel het.

  2.   Akkedis dijo

    Ek weet hoe moeilik dit is om 'n artikel saam te stel met so 'n detailvlak, met baie duidelike toetse en veral konsepte en strategieë wat volgens die standaarde aangepas is. Ek haal net my hoed af vir hierdie juweel van bydraes, baie dankie Fico vir so 'n goeie werk.

    Ek het nog nooit inkvis met pam-verifikasie gekombineer nie, maar ek doen so ver as moontlik om hierdie oefening in my laboratorium te doen ... Doel drukkie en ons gaan voort !!

  3.   Federico dijo

    NaTiluS: Baie dankie vir u kommentaar en evaluering.
    Akkedis: Baie dankie ook vir u vir u kommentaar en evaluering.

    Die tyd en moeite wat daaraan gewy word om artikels soos hierdie te maak, word slegs beloon met die lees en kommentaar van diegene wat die FromLinux-gemeenskap besoek. Ek hoop dit is nuttig vir u in u daaglikse werk.
    Ons hou aan!

  4.   anoniem dijo

    Ongelooflike burger bydrae !!!! Ek het elkeen van u artikels gelees en ek kan sê dat selfs 'n persoon wat nie oor gevorderde kennis (soos ek) beskik nie, hierdie voortreflike artikel stap vir stap kan volg. Cheers !!!!

  5.   IWO dijo

    Dankie Fico vir hierdie ander wonderlike artikel; Asof dit nie genoeg is met al die berigte wat reeds gepubliseer is nie, het ons hier 'n diens wat nie voorheen deur die PYMES-reeks gedek is nie, en dit is uiters belangrik: die "SQUID" of Proxy van 'n LAN. Niks wat vir ons die familie van diegene wat dink dat ons 'sysadmiene' is nie, het ander goeie materiaal om ons kennis te bestudeer en te verdiep nie.

  6.   Federico dijo

    Baie dankie vir u kommentaar. Die volgende artikel handel oor die Prosody-kletsbediener met verifikasie teen plaaslike referensies (PAM) via Cyrus-SASL, en daardie diens sal op dieselfde bediener geïmplementeer word.

  7.   kenpachiRo17 dijo

    Mettertyd landgenoot !!!! 'N Groot bydrae selfs vir diegene soos ek wat nie 'n goeie kennis het van gratis sagteware nie, en wat passievol is oor die leer van artikels so pragtig soos hierdie. Ek het u bydraes gevolg en wil graag weet met watter artikel sou u my aanbeveel om met hierdie reeks MKB-netwerke te begin, aangesien ek op 'n wanordelike manier gelees het en ek dink dat dit baie waardevolle inhoud het om enige detail te mis. Sonder meer, groete en mag die gedeelde kennis sowel as die sagteware gratis bly !!

    1.    Federico dijo

      Groete landgenoot !!!. Ek beveel aan dat u aan die begin begin, alhoewel dit na die lang pad lyk, is dit die kortste pad om nie te verdwaal nie. In die indeks - wat nie bygewerk word met die laaste twee artikels nie - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, het ons die aanbevole leesvolgorde van die reeks vasgestel, wat begin met hoe om my te doen Werkstasie, gaan voort met verskeie plasings wat aan die onderwerp gewy is Virtualisering, volg met 'n paar koevertjies BIND, Isc-Dhcp-Server en Dnsmasq, ensovoorts totdat ons by die gedeelte vir die implementering van dienste vir die KMO-netwerk kom, dit is waar ons tans is. Hoop dit help u.

      1.    kenpachiRo17 dijo

        Wel dit sal wees !!!! Ek begin van die begin af met die reeks en ek sien uit na nuwe artikels. Cheers !!!!