مصادقة Squid + PAM في شبكات CentOS 7- SMB

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا الاصدقاء والاصدقاء!

كان ينبغي أن يكون عنوان المقال: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid مع مصادقة PAM في Centos 7 - شبكات الشركات الصغيرة والمتوسطة«. لأسباب عملية نقوم بتقصيرها.

نستمر في المصادقة للمستخدمين المحليين على كمبيوتر Linux باستخدام PAM ، وهذه المرة سنرى كيف يمكننا توفير خدمة Proxy مع Squid لشبكة صغيرة من أجهزة الكمبيوتر ، باستخدام بيانات اعتماد المصادقة المخزنة على نفس الكمبيوتر حيث الخادم يركض حبار.

على الرغم من أننا نعلم أنه من الممارسات الشائعة جدًا في الوقت الحاضر ، مصادقة الخدمات مقابل OpenLDAP و Red Hat's Directory Server 389 و Microsoft Active Directory ، وما إلى ذلك ، فإننا نعتبر أنه يجب علينا أولاً المرور بحلول بسيطة ورخيصة ، ثم مواجهة أكثرها تعقيدًا. نعتقد أنه يجب علينا الانتقال من البسيط إلى المعقد.

المسرح

إنها منظمة صغيرة - بموارد مالية قليلة جدًا - مكرسة لدعم استخدام البرمجيات الحرة واختارت اسم DesdeLinux.معجب. هم العديد من المتحمسين لنظام التشغيل CentOS مجمعة في مكتب واحد. لقد اشتروا محطة عمل - وليس خادمًا احترافيًا - والتي سيخصصونها لتعمل كـ "خادم".

لا يمتلك المتحمسون معرفة واسعة بكيفية تنفيذ خادم OpenLDAP أو Samba 4 AD-DC ، ولا يمكنهم تحمل تكاليف ترخيص Microsoft Active Directory. ومع ذلك ، يحتاجون لعملهم اليومي خدمات الوصول إلى الإنترنت من خلال وكيل - لتسريع التصفح - ومساحة حيث يمكنهم حفظ مستنداتهم الأكثر قيمة والعمل كنسخ احتياطية.

لا يزالون يستخدمون في الغالب أنظمة تشغيل Microsoft التي تم الحصول عليها بشكل قانوني ، لكنهم يريدون تغييرها إلى أنظمة تشغيل قائمة على Linux ، بدءًا من "الخادم".

كما يطمحون أيضًا إلى امتلاك خادم بريد خاص بهم ليصبح مستقلاً - على الأقل عن المصدر - لخدمات مثل Gmail و Yahoo و HotMail وما إلى ذلك ، وهو ما يستخدمونه حاليًا.

ستؤسسه قواعد جدار الحماية والتوجيه أمام الإنترنت في موجه ADSL المتعاقد عليه.

ليس لديهم اسم مجال حقيقي لأنهم لا يحتاجون إلى نشر أي خدمة على الإنترنت.

CentOS 7 كخادم بدون واجهة مستخدم رسومية

نحن نبدأ من تثبيت جديد لخادم بدون واجهة رسومية ، والخيار الوحيد الذي نحدده أثناء العملية هو «خادم البنية التحتية»كما رأينا في المقالات السابقة في السلسلة.

الإعدادات الأولية

[root @ linuxbox ~] # cat / etc / hostname 
لينوكس بوكس

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 مضيف محلي localhost.localdomain localhost4 localhost4.localdomain4 ::1 مضيف محلي localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.مروحة لينكس بوكس

[root @ linuxbox ~] # اسم مضيف
لينوكس بوكس

[root @ linuxbox ~] # hostname -f
com.linuxbox.desdelinux.معجب

[root @ linuxbox ~] # قائمة عناوين IP
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 لو

نقوم بتعطيل مدير الشبكة

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl تعطيل NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - مدير الشبكة الذي تم تحميله: تم تحميله (/usr/lib/systemd/system/NetworkManager.service ؛ معطل ؛ ضبط البائع مسبقًا: ممكّن) نشط: غير نشط (ميت) محرر المستندات: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

نقوم بتكوين واجهات الشبكة

واجهة Ens32 LAN متصلة بالشبكة الداخلية

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.مروحة DNS1=127.0.0.1
المنطقة = عام

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

واجهة Ens34 WAN متصلة بالإنترنت

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # جهاز توجيه ADSL متصل بـ # هذه الواجهة مع # العنوان التالي بوابة IP=172.16.10.1 المجال=desdelinux.مروحة DNS1=127.0.0.1
المنطقة = خارجي

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

تكوين المستودعات

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # مكدير أصلي
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # سنتوس نانو
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum تنظيف الكل
الإضافات المحملة: أسرع المرآة ، مستودعات تنظيف langpacks: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo تنظيف كل شيء تنظيف قائمة المرايا الأسرع

[root @ linuxbox yum.repos.d] # تحديث yum
الإضافات المحملة: fastmirror، langpacks Base-Repo | 3.6 كيلو بايت 00:00 CentosPlus-Repo | 3.4 كيلو بايت 00:00 Epel-Repo | 4.3 كيلو بايت 00:00 Media-Repo | 3.6 كيلو بايت 00:00 تحديثات-ريبو | 3.4 كيلو بايت 00:00 (1/9): Base-Repo / group_gz | 155 كيلو بايت 00:00 (2/9): Epel-Repo / group_gz | 170 كيلو بايت 00:00 (3/9): Media-Repo / group_gz | 155 كيلو بايت 00:00 (4/9): Epel-Repo / updateinfo | 734 كيلو بايت 00:00 (5/9): Media-Repo / primary_db | 5.3 ميجابايت 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 ميغابايت 00:00 (7/9): Updates-Repo / primary_db | 2.2 ميجا بايت 00:00 (8/9): Epel-Repo / primary_db | 4.5 ميغابايت 00:01 (9/9): Base-Repo / basic_db | 5.6 MB 00:01 تحديد أسرع المرايا لم يتم وضع علامة على حزم للتحديث

الرسالة "لا حزم معلمة للتحديث»تم عرضه لأننا أعلنا أثناء التثبيت عن نفس المستودعات المحلية التي لدينا تحت تصرفنا.

Centos 7 مع بيئة سطح المكتب MATE

لاستخدام أدوات الإدارة الجيدة للغاية مع واجهة رسومية يوفرها CentOS / Red Hat ، ولأننا نفتقد دائمًا GNOME2 ، قررنا تثبيت MATE كبيئة سطح مكتب.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

للتحقق من أن MATE يتم تحميله بشكل صحيح ، نقوم بتنفيذ الأمر التالي في وحدة تحكم محلية أو بعيدة:

[root @ linuxbox ~] # systemctl عزل الهدف البياني

ويجب تحميل بيئة سطح المكتب -في الفريق المحلي- بسلاسة ، عرض ملف lightdm كتسجيل دخول رسومي. نكتب اسم المستخدم المحلي وكلمة المرور الخاصة به ، وسندخل MATE.

لنقول سيستم دي أن مستوى التمهيد الافتراضي هو 5-بيئة رسومية- نقوم بإنشاء الارتباط الرمزي التالي:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

نعيد تشغيل النظام وكل شيء يعمل بشكل جيد.

نقوم بتثبيت خدمة الوقت للشبكات

[root @ linuxbox ~] # yum install ntp

أثناء التثبيت ، نقوم بتكوين أن الساعة المحلية ستتم مزامنتها مع خادم الوقت للجهاز مسؤول النظام.desdelinux.معجب مع IP 192.168.10.1 لذلك ، نقوم بحفظ الملف ntp.conf الأصل بواسطة:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

الآن ، نقوم بإنشاء واحد جديد بالمحتوى التالي:

[root @ linuxbox ~] # nano /etc/ntp.conf # الخوادم التي تم تكوينها أثناء التثبيت: الخادم 192.168.10.1 iburst # لمزيد من المعلومات ، راجع صفحات الدليل من: # ntp.conf (5)، ntp_acc (5) ، ntp_auth (5) ، ntp_clock (5) ، ntp_misc (5) ، ntp_mon (5). driftfile / var / lib / ntp / drift # السماح بالمزامنة مع مصدر الوقت ، ولكن ليس # السماح للمصدر باستشارة أو تعديل هذه الخدمة ، قم بتقييد الترشيح الافتراضي notrap nopeer noquery # السماح بالوصول الكامل إلى الواجهة تقييد Loopback 127.0.0.1 :: 1 # تقييد أقل قليلاً على أجهزة الكمبيوتر على الشبكة المحلية. تقييد 192.168.10.0 قناع 255.255.255.0 قم بتعديل notrap # استخدم الخوادم العامة للمشروع pool.ntp.org # إذا كنت ترغب في الانضمام إلى المشروع قم بزيارة # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # خادم البث ، عميل البث # عميل البث # البث 224.0.1.1 autokey # خادم البث المتعدد # multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # بث العميل. 192.168.10.255 # تمكين التشفير العام. #crypto includeefile / etc / ntp / crypto / pw # ملف مفتاح يحتوي على المفاتيح ومعرفات المفاتيح # المستخدمة عند التشغيل باستخدام مفاتيح تشفير المفاتيح المتماثلة / etc / ntp / keys # حدد معرفات المفاتيح الموثوقة. #trustedkey 4 8 42 # حدد معرّف المفتاح لاستخدامه مع الأداة المساعدة ntpdc. #requestkey 8 # حدد معرّف المفتاح المراد استخدامه مع الأداة المساعدة ntpq. #controlkey 8 # تمكين كتابة سجلات الإحصاء. #statistics clockstats cryptostats loopstats peerstats # تعطيل مراقب الانفصال لمنع تضخيم # الهجمات باستخدام الأمر ntpdc monlist ، عندما لا يتضمن القيد الافتراضي # علامة noquery. اقرأ CVE-2013-5211 # لمزيد من التفاصيل. # ملاحظة: لا يتم تعطيل الشاشة بعلامة التقييد المحدود. تعطيل الشاشة

نقوم بتمكين وبدء والتحقق من خدمة NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - تم تحميل خدمة وقت الشبكة: تم تحميلها (/usr/lib/systemd/system/ntpd.service ؛ معطل ؛ ضبط البائع مسبقًا: معطل) نشط: غير نشط (ميت)

[root @ linuxbox ~] # systemctl تمكين ntpd
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/ntpd.service إلى /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl ابدأ ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - خدمة وقت الشبكة
   تم التحميل: تم تحميله (/usr/lib/systemd/system/ntpd.service ؛ مُمكّن ؛ الإعداد المسبق للبائع: معطل) نشط: نشط (قيد التشغيل) منذ الجمعة 2017-04-14 15:51:08 بتوقيت شرق الولايات المتحدة ؛ قبل 1 ثانية العملية: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (الرمز = الخروج ، الحالة = 0 / النجاح) PID الرئيسي: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp وجدار الحماية

[root @ linuxbox ~] # firewall-cmd --get-active-zone
خارجي
  الواجهات: ens34
جمهور
  الواجهات: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
تحقيق النجاح 

نقوم بتمكين وتهيئة Dnsmasq

كما رأينا في المقالة السابقة في سلسلة شبكات الأعمال الصغيرة ، يتم تثبيت Dnsamasq افتراضيًا على خادم البنية التحتية CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. مُحمَّل: مُحمَّل (/usr/lib/systemd/system/dnsmasq.service ؛ مُعطل ؛ ضبط مُسبق للبائع: مُعطل) نشط: غير نشط (ميت)

[root @ linuxbox ~] # systemctl تمكين dnsmasq
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/dnsmasq.service إلى /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl بدء dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. تم التحميل: تم تحميله (/usr/lib/systemd/system/dnsmasq.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ الجمعة 2017-04-14 16:21:18 بتوقيت شرق الولايات المتحدة ؛ منذ 4 ثوانٍ معرّف المنتج الرئيسي: 33611 (dnsmasq) مجموعة المجموعة: / system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # خيارات عامة # ----------------------------- -------------------------------------- domain-needed # لا تمرر الأسماء بدون المجال جزء bogus-priv # لا تقم بتمرير العناوين في مساحة غير موجهة توسيع المضيفين # يضيف المجال تلقائيًا إلى المضيف واجهة = ens32 # واجهة LAN صارمة ترتيب # الترتيب الذي يتم فيه الاستعلام عن ملف /etc/resolv.conf conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # عنوان اسم المجال =/time.windows.com/192.168.10.5 # يرسل خيارًا فارغًا لقيمة WPAD. مطلوب لعملاء # Windows 7 والإصدارات الأحدث للعمل بشكل صحيح. ;-) dhcp-option=252,"\n" # الملف الذي سنعلن فيه عن المضيفين الذين سيتم "حظرهم" addn-hosts=/etc/banner_add_hosts local=/desdelinux.معجب/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------- # هذا النوع من السجلات يتطلب إدخال # في الملف /etc/hosts # على سبيل المثال: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.مروحة، لينكس بوكس.desdelinux.fan # MX RECORDS # إرجاع سجل MX بالاسم "desdelinux.fan" موجه إلى فريق البريد.desdelinux.fan وأولوية 10 mx-host=desdelinux.بريد المعجبين.desdelinux.fan,10 # الوجهة الافتراضية لسجلات MX التي تم إنشاؤها # باستخدام خيار localmx ستكون: mx-target=mail.desdelinux.fan # يُرجع سجل MX يشير إلى mx-target لجميع سجلات localmx # TXT لجميع الأجهزة المحلية. يمكننا أيضًا الإعلان عن سجل SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.معجب،"DesdeLinux، مدونتك مخصصة للبرمجيات الحرة" # ----------------------------------------- -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- ------------------------------------------- # IPv4 النطاق ووقت الإيجار # 1 إلى 29 مخصصان للخوادم والاحتياجات الأخرى dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # الحد الأقصى لعدد العناوين المراد تأجيرها # افتراضيًا هي 150 # نطاق IPV6 # dhcp-range=1234::, ra-only # Options for RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # خوادم DNS dhcp-option =15،desdelinux.fan # اسم مجال DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative on subnet # --- --- ----------------------------------------------- --- ----------- # إذا كنت تريد تخزين الاستعلام، قم بتسجيل الدخول /var/log/messages # قم بإلغاء التعليق على السطر أدناه # ---------- ------- ------------------------------------------- -------
# استعلامات السجل
# نهاية الملف /etc/dnsmasq.conf # --------------------------------------- ----------------------------

نقوم بإنشاء الملف / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

عناوين IP الثابتة

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 مضيف محلي localhost.localdomain localhost4 localhost4.localdomain4 ::1 مضيف محلي localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinuxمروحة لينكس بوكس ​​192.168.10.1 مسؤول النظام.desdelinux.مروحة مسؤول النظام

نقوم بتهيئة الملف /etc/resolv.conf - محلل

[root @ linuxbox ~] # nano /etc/resolv.conf
. desdelinux.fan nameserver 127.0.0.1 # لاستعلامات DNS الخارجية أو # خارج المجال desdelinux.مروحة # محلية=/desdelinux.مروحة/ خادم الأسماء 8.8.8.8

نتحقق من بنية الملف dnsmasq.confنبدأ ونتحقق من حالة الخدمة

[root @ linuxbox ~] # dnsmasq - الاختبار
dnsmasq: فحص بناء الجملة موافق.
[root @ linuxbox ~] # إعادة تشغيل systemctl dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

دنسماسك وجدار الحماية

[root @ linuxbox ~] # firewall-cmd --get-active-zone
خارجي
  الواجهات: ens34
جمهور
  الواجهات: ens32

خدمة نطاق o خادم اسم المجال (DNS). بروتوكول صفعة «IP مع التشفير«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp - دائم
تحقيق النجاح 

استعلامات Dnsmasq لخوادم DNS الخارجية

[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 53 / tcp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd --zone = خارجي - منفذ إضافة = 53 / udp - دائم
تحقيق النجاح 

خدمة التمهيد o خادم BOOTP (DHCP). بروتوكول الاتفاقية «حزمة الإنترنت Pluribus الأساسية«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp - دائم
تحقيق النجاح 

[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
تحقيق النجاح 

[root @ linuxbox ~] # firewall-cmd --info-zone عام (نشط)
  الهدف: افتراضي icmp-block-inversion: بدون واجهات: مصادر ens32: الخدمات: منافذ dhcp dns ntp ssh: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp: masquerade: no forward-port: sourceports: icmp - الكتل: قواعد غنية:

[root @ linuxbox ~] # جدار الحماية - cmd - منطقة المعلومات الخارجية الخارجية (نشطة)
  الهدف: افتراضي icmp-block-inversion: لا واجهات: مصادر ens34: الخدمات: منافذ نظام أسماء النطاقات: بروتوكولات 53 / udp 53 / tcp: masquerade: نعم منافذ توجيهية: sourceports: icmp-block: معلمة - مشكلة إعادة توجيه جهاز التوجيه- إعلانات- قواعد التماس مصدر إخماد غنية:

إذا أردنا استخدام واجهة رسومية لتكوين جدار الحماية في CentOS 7 ، فإننا ننظر في القائمة العامة - ستعتمد على بيئة سطح المكتب التي تظهر فيها القائمة الفرعية - تطبيق «جدار الحماية» ، نقوم بتنفيذه وبعد دخول المستخدم كلمه السر جذر، سنصل إلى واجهة البرنامج على هذا النحو. في MATE يظهر في القائمة «النظام »->" الإدارة "->" جدار الحماية ".

نختار المنطقة «جمهور»ونحن نرخص الخدمات التي نريد نشرها على الشبكة المحلية ، وهي حتى الآن DHCP، نظام أسماء النطاقات ، NTP و ssh. بعد اختيار الخدمات ، والتحقق من أن كل شيء يعمل بشكل صحيح ، يجب علينا إجراء التغييرات في وقت التشغيل إلى دائم. للقيام بذلك نذهب إلى قائمة الخيارات ونختار الخيار «وقت التشغيل حتى النهاية".

في وقت لاحق نختار المنطقة «خارجي»ونتحقق من أن المنافذ اللازمة للتواصل مع الإنترنت مفتوحة. لا تنشر الخدمات في هذه المنطقة ما لم نعرف جيدًا ما نقوم به!.

دعونا لا ننسى أن نجعل التغييرات دائمة من خلال الخيار «وقت التشغيل حتى النهاية»وَإِعْلِمُوا الشَّيطانِ FirewallD، في كل مرة نستخدم هذه الأداة الرسومية القوية.

NTP و Dnsmasq من عميل Windows 7

التزامن مع NTP

خارجي

عنوان IP مؤجر

Microsoft Windows [الإصدار 6.1.7601] حقوق النشر (c) لعام 2009 لشركة Microsoft Corporation. كل الحقوق محفوظة. C: \ Users \ buzz> ipconfig / اسم مضيف تكوين IP الخاص بـ Windows. . . . . . . . . . . . : سبعة
   لاحقة Dns الأولية. . . . . . . :
   نوع العقدة. . . . . . . . . . . . : تم تمكين توجيه IP المختلط. . . . . . . . : لم يتم تمكين وكيل WINS. . . . . . . . : لا توجد قائمة بحث للاحقة DNS. . . . . . : desdelinux.fan محول إيثرنت اتصال المنطقة المحلية: لاحقة DNS الخاصة بالاتصال . : desdelinuxوصف المروحة . . . . . . . . . . . : العنوان الفعلي لاتصال الشبكة Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 تمكين DHCP. . . . . . . . . . . : نعم تم تمكين التكوين التلقائي . . . . : شوك
   عنوان IPv4. . . . . . . . . . . : 192.168.10.115 (المفضل)
   قناع الشبكة الفرعية . . . . . . . . . . . : 255.255.255.0 تم الحصول على عقد الإيجار. . . . . . . . . . : الجمعة 14 أبريل 2017 5:12:53 م انتهاء عقد الإيجار . . . . . . . . . . : السبت 15 أبريل 2017 1:12:53 صباحًا البوابة الافتراضية . . . . . . . . . : 192.168.10.1 خادم دكب. . . . . . . . . . . : 192.168.10.5 خوادم DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS عبر TCPIP. . . . . . . . : تمكين اتصال المنطقة المحلية لمحول النفق * 9: حالة الوسائط . . . . . . . . . . . : تم قطع اتصال الوسائط بلاحقة DNS الخاصة بالاتصال . : وصف . . . . . . . . . . . : العنوان الفعلي لمحول أنفاق Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 تم تمكين DHCP. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : نعم محول النفق isatap.desdelinux.fan: حالة وسائل الإعلام. . . . . . . . . . . : تم قطع اتصال الوسائط بلاحقة DNS الخاصة بالاتصال . : desdelinuxوصف المروحة . . . . . . . . . . . : العنوان الفعلي لمحول Microsoft ISATAP رقم 2. . . . . . . . . : 00-00-00-00-00-00-00-E0 تم تمكين DHCP. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : نعم C:\Users\buzz>

معلومه- سرية

القيمة المهمة في عملاء Windows هي "لاحقة Dns الأساسية" أو "لاحقة الاتصال الرئيسية". عندما لا يتم استخدام Microsoft Domain Controller ، لا يقوم نظام التشغيل بتعيين أي قيمة لها. إذا كنا نواجه حالة مثل الحالة الموضحة في بداية المقالة وأردنا الإعلان صراحة عن هذه القيمة ، يجب أن نواصل العمل وفقًا لما هو موضح في الصورة التالية ، وقبول التغييرات وإعادة تشغيل العميل.

إذا عدنا مرة أخرى CMD -> ipconfig / الكل سوف نحصل على ما يلي:

Microsoft Windows [الإصدار 6.1.7601] حقوق النشر (c) لعام 2009 لشركة Microsoft Corporation. كل الحقوق محفوظة. C: \ Users \ buzz> ipconfig / اسم مضيف تكوين IP الخاص بـ Windows. . . . . . . . . . . . : سبعة
   لاحقة Dns الأولية. . . . . . . : desdelinux.معجب
   نوع العقدة. . . . . . . . . . . . : تم تمكين توجيه IP المختلط. . . . . . . . : لم يتم تمكين وكيل WINS. . . . . . . . : لا توجد قائمة بحث للاحقة DNS. . . . . . : desdelinux.معجب

تبقى باقي القيم دون تغيير

يتحقق DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
يحتوي موقع Spynet.microsoft.com على عنوان 127.0.0.1 لم يتم العثور على المضيف Spynet.microsoft.com: 5 (تم رفضه) تتم معالجة بريد Spynet.microsoft.com بواسطة بريد واحد.desdelinux.معجب.

buzz @ sysadmin: لينوكس بوكس ​​المضيف ~ $
com.linuxbox.desdelinux.fan لديه عنوان 192.168.10.5 لينكس بوكس.desdelinuxيتم التعامل مع بريد .fan بواسطة بريد واحد.desdelinux.معجب.

buzz @ sysadmin: ~ $ host sysadmin
مسؤول النظام.desdelinux.fan لديه عنوان 192.168.10.1 مسؤول النظام.desdelinuxيتم التعامل مع بريد .fan بواسطة بريد واحد.desdelinux.معجب.

buzz @ sysadmin: ~ $ host mail
البريد.desdelinux.fan هو اسم مستعار لـ Linuxbox.desdelinux.معجب. com.linuxbox.desdelinux.fan لديه عنوان 192.168.10.5 لينكس بوكس.desdelinuxيتم التعامل مع بريد .fan بواسطة بريد واحد.desdelinux.معجب.

نقوم بتثبيت -للاختبار فقط- خادم DNS موثوق به NSD بتنسيق مسؤول النظام.desdelinux.معجب، ونقوم بتضمين عنوان IP 172.16.10.1 في الأرشيف / الخ / resolv.conf من الفريق com.linuxbox.desdelinux.معجب، للتحقق من أن Dnsmasq كان ينفذ وظيفة معيد التوجيه بشكل صحيح. Sandboxes على خادم NSD هي favt.org y toujague.org. جميع عناوين IP وهمية أو من شبكات خاصة.

إذا قمنا بتعطيل واجهة WAN ens34 باستخدام الأمر ifdown إنص 34، لن يتمكن Dnsmasq من الاستعلام عن خوادم DNS الخارجية.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
لم يتم العثور على المضيف toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
لم يتم العثور على المضيف pizzapie.favt.org: 3 (NXDOMAIN)

لنقم بتمكين واجهة ens34 والتحقق مرة أخرى:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org هو اسم مستعار لـ paisano.favt.org. paisano.favt.org لديه عنوان 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
لم يتم العثور على المضيف pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org لديه عنوان 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
خادم اسم favt.org ns1.favt.org. خادم اسم favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
خادم اسم toujague.org ns1.toujague.org. خادم اسم toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
يتم التعامل مع بريد toujague.org عن طريق 10 mail.toujague.org.

دعونا نتشاور من مسؤول النظام.desdelinux.معجب:

buzz @ sysadmin: ~ cat $ /etc/resolv.conf 
. desdelinuxخادم أسماء المعجبين 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org عنوانه 169.18.10.19

يعمل Dnsmasq مثل وكيل شحن بشكل صحيح.

حبار

في الكتاب بصيغة PDF «تكوين خوادم لينكس»تاريخ 25 يوليو 2016 ، من قبل المؤلف جويل باريوس دوينياس (darkshram@gmail.com - http://www.alcancelibre.org/) ، وهو النص الذي أشرت إليه في المقالات السابقة ، هناك فصل كامل مخصص لـ خيارات التكوين الأساسية Squid.

نظرًا لأهمية خدمة Web - Proxy ، فإننا نعيد إنتاج المقدمة التي تم إجراؤها عن Squid في الكتاب المذكور أعلاه:

105.1. المقدمة.

105.1.1. ما هو الخادم الوسيط (الوكيل)؟

المصطلح باللغة الإنجليزية "الوكيل" له معنى عام للغاية وفي نفس الوقت غامض ، على الرغم من
يعتبر دائمًا مرادفًا لمفهوم "وسيط". عادة ما يتم ترجمتها ، بالمعنى الدقيق للكلمة ، كـ مندوب o محام (من له سلطان على الآخر).

Un خادم وسيط يتم تعريفه على أنه جهاز كمبيوتر أو جهاز يقدم خدمة شبكة تتكون من السماح للعملاء بإجراء اتصالات شبكة غير مباشرة بخدمات الشبكة الأخرى. أثناء العملية يحدث ما يلي:

• العميل يتصل بـ خادم وكيل.
• يطلب العميل اتصالاً أو ملفًا أو موردًا آخر متاحًا على خادم مختلف.
• يوفر الخادم الوسيط المورد إما عن طريق الاتصال بالخادم المحدد
  أو تخدمها من ذاكرة التخزين المؤقت.
• في بعض الحالات خادم وسيط يمكن أن يغير طلب العميل أو
  استجابة الخادم لأغراض مختلفة.

الكثير خوادم بروكسي يتم تصنيعها بشكل عام للعمل في وقت واحد كجدار ناري يعمل في مستوى الشبكة، بمثابة مرشح حزمة ، كما في حالة يبتابليس أو تعمل في مستوى التطبيق، السيطرة على مختلف الخدمات ، كما هو الحال في غلاف TCP. اعتمادًا على السياق ، يُعرف جدار النار أيضًا باسم برميل يوميا o Bطلب Protection Dأو مجرد مرشح الحزمة.

تطبيق شائع لـ خوادم بروكسي هو العمل كذاكرة تخزين مؤقت لمحتوى الشبكة (بشكل أساسي HTTP) ، حيث يوفر على مقربة من العملاء ذاكرة تخزين مؤقت للصفحات والملفات المتاحة من خلال الشبكة على خوادم HTTP البعيدة ، مما يسمح لعملاء الشبكة المحلية بالوصول إليها في أسرع وأكثر موثوقية.

عند تلقي طلب لمورد شبكة محدد في ملف URL (Uزي مُوحد Rالمصدر Locator) خادم وسيط ابحث عن نتيجة URL داخل ذاكرة التخزين المؤقت. إذا تم العثور على خادم وسيط يستجيب للعميل من خلال توفير المحتوى المطلوب على الفور. إذا كان المحتوى المطلوب غير موجود في ذاكرة التخزين المؤقت ، فإن ملف خادم وسيط سيقوم بجلبها من خادم بعيد ، وتسليمها إلى العميل الذي طلبها والاحتفاظ بنسخة في ذاكرة التخزين المؤقت. ثم يتم إزالة المحتوى الموجود في ذاكرة التخزين المؤقت من خلال خوارزمية انتهاء الصلاحية وفقًا لعمر وحجم وتاريخ الردود على الطلبات (يضرب) (أمثلة: LRU, لفودا y جي دي إس إف).

يمكن أن تعمل الخوادم الوكيلة لمحتوى الشبكة (وكلاء الويب) أيضًا كمرشحات للمحتوى المقدم ، وتطبيق سياسات الرقابة وفقًا لمعايير عشوائية..

إصدار Squid الذي سنقوم بتثبيته هو 3.5.20-2.el7_3.2 من المستودع التحديثات.

تركيب

[root @ linuxbox ~] # yum تثبيت الحبار

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  الحبار
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl تمكين الحبار

مهم

• الهدف الرئيسي من هذه المقالة هو تخويل المستخدمين المحليين للاتصال بـ Squid من أجهزة كمبيوتر أخرى متصلة بشبكة LAN. بالإضافة إلى ذلك ، قم بتنفيذ جوهر الخادم الذي سيتم إضافة خدمات أخرى إليه. إنها ليست مقالة مخصصة للحبار على هذا النحو.
• للحصول على فكرة عن خيارات تكوين Squid ، اقرأ الملف /usr/share/doc/squid-3.5.20/squid.conf.documented الذي يحتوي على 7915 سطر.

سيلينو و سبيط

[root @ linuxbox ~] # getsebool -a | الحبار grep
squid_connect_any -> في squid_use_tproxy -> إيقاف

[root @ linuxbox ~] # setsebool -P squid_connect_any = تشغيل

ترتيب

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN ACL localnet src 192.168.10.0/24 ACL SSL_ports المنفذ 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher ACL Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # منافذ غير مسجلة ACL Safe_ports port 280 # http-mgmt ACl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl طريقة CONNECT CONNECT # نحن نرفض الاستعلامات الخاصة بالمنافذ غير الآمنة http_access deny! Safe_ports # نحن نرفض طريقة CONNECT للمنافذ غير الآمنة http_access رفض CONNECT! SSL_ports # الوصول مدير ذاكرة التخزين المؤقت فقط من المضيف المحلي http_access يسمح لمدير المضيف المحلي http_access deny manager # نوصي بشدة بإلغاء التعليقات التالية لحماية تطبيقات الويب الأبرياء التي تعمل على الخادم الوكيل والتي تعتقد أن الشخص الوحيد الذي يمكنه الوصول إلى الخدمات على "المضيف المحلي" هو محلي user http_access deny to_localhost # # أدخل القاعدة (القواعد) الخاصة بك هنا للسماح بالوصول من عملائك # # ترخيص PAM
auth_param basic program / usr / lib64 / squid / basic_pam_auth
auth_param الأطفال الأساسيون 5 auth_param المجال الأساسي desdelinux.fan auth_param بيانات الاعتماد الأساسية ttl 2 ساعة auth_param الأساسية حساسة لحالة الأحرف # يتطلب الوصول إلى Squid مصادقة ACL المتحمسين proxy_auth مطلوب # نحن نسمح بالوصول إلى المستخدمين المصادق عليهم # من خلال PAM http_access Den ! المتحمسون # الوصول إلى مواقع FTP ACL ftp proto FTP http_access السماح ftp http_access السماح localnet http_access السماح للمضيف المحلي # نرفض أي وصول آخر إلى وكيل http_access نرفض الكل # Squid يستمع عادة على المنفذ 3128 http_port 3128 # نترك "coredumps" في دليل ذاكرة التخزين المؤقت الأول coredump_dir /var/spool/squid # # أضف أيًا من نمط التحديث الخاص بك الإدخالات فوق هذه. #fresh_pattern ^ftp: 1440 20% 10080fresh_pattern ^gopher: 1440 0% 1440fresh_pattern -i (/cgi-bin/|\?) 0 0% 0fresh_pattern . 0 20% 4320 Cache_mem 64 ميجابايت # سياسة ذاكرة التخزين المؤقت Memory_replacement_policy lru Cache_replacement_policy Heap LFUDA Cache_dir aufs /var/spool/squid 4096 16 256 الحد الأقصى لحجم الكائن 4 ميجا بايت Cache_swap_low 85 Cache_swap_high 90 Cache_mgr Buzz@desdelinux.fan # معلمات أخرى visual_hostname linuxbox.desdelinux.معجب

نتحقق من صيغة الملف /etc/squid/squid.conf

[root @ linuxbox ~] # تحليل حبار -k
2017/04/16 15:45:10| بدء التشغيل: تهيئة أنظمة المصادقة... 2017/04/16 15:45:10| بدء التشغيل: نظام المصادقة المهيأ "أساسي" 2017/04/16 15:45:10| بدء التشغيل: "ملخص" نظام المصادقة المبدئي 2017/04/16 15:45:10| بدء التشغيل: "التفاوض" على نظام المصادقة المبدئي 2017/04/16 15:45:10| بدء التشغيل: نظام المصادقة المهيأ 'ntlm' 2017/04/16 15:45:10| بدء التشغيل: تهيئة المصادقة. 2017/04/16 15:45:10| ملف تكوين المعالجة: /etc/squid/squid.conf (العمق 0) 2017/04/16 15:45:10| المعالجة: ACL localnet src 192.168.10.0/24 2017/04/16 15:45:10| المعالجة: منفذ ACL SSL_ports 443 21 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 80 # http 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 21 # ftp 2017/04/16 15:45:10| المعالجة: منفذ acl Safe_ports 443# https2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 70 # gopher 2017/04/16 15:45:10| المعالجة: منفذ acl Safe_ports 210# 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 1025-65535 # المنافذ غير المسجلة 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 280 # http-mgmt 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 488 # gss-http 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 591 # صانع الملفات 2017/04/16 15:45:10| المعالجة: منفذ ACL Safe_ports 777 # multiling http 2017/04/16 15:45:10| المعالجة: طريقة اتصال ACL CONNECT 2017/04/16 15:45:10| المعالجة: http_access Den !Safe_ports 2017/04/16 15:45:10| المعالجة: http_access Den CONNECT !SSL_ports 2017/04/16 15:45:10| المعالجة: http_access يسمح لمدير المضيف المحلي 2017/04/16 15:45:10| المعالجة: مدير رفض http_access 2017/04/16 15:45:10| المعالجة: http_access Den to_localhost 2017/04/16 15:45:10| المعالجة: البرنامج الأساسي auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| المعالجة: auth_param الأطفال الأساسيون 5 2017/04/16 15:45:10| المعالجة: المجال الأساسي auth_param desdelinux.مروحة 2017/04/16 15:45:10| المعالجة: auth_param بيانات الاعتماد الأساسية ساعتان 2/2017/04 16:15:45| المعالجة: auth_param الأساسي لحالة الأحرف معطل 10/2017/04 16:15:45| المعالجة: المتحمسون ACL proxy_auth مطلوب 10/2017/04 16:15:45| المعالجة: http_access Den! المتحمسون 10/2017/04 16:15:45| المعالجة: ACL ftp proto FTP 10/2017/04 16:15:45| المعالجة: http_access تسمح ببروتوكول نقل الملفات 10/2017/04 16:15:45| المعالجة: http_access تسمح بالشبكة المحلية 10/2017/04 16:15:45| المعالجة: http_access تسمح للمضيف المحلي 10/2017/04 16:15:45| المعالجة: http_access رفض الكل 10/2017/04 16:15:45| المعالجة: http_port 10 3128/2017/04 16:15:45| المعالجة: coredump_dir /var/spool/squid 10/2017/04 16:15:45| المعالجة:fresh_pattern ^ftp: 10 1440% 20 10080/2017/04 16:15:45| المعالجة: Refresh_pattern ^gopher: 10 1440% 0 1440/2017/04 16:15:45| المعالجة:fresh_pattern -i (/cgi-bin/|\?) 10 0% 0 0/2017/04 16:15:45| المعالجة:fresh_pattern . 10 0% 20 4320/2017/04 16:15:45| المعالجة: ذاكرة التخزين المؤقت 10 ميجابايت 64/2017/04 16:15:45| المعالجة: Memory_replacement_policy lru 10/2017/04 16:15:45| المعالجة: كومة ذاكرة التخزين المؤقت_replacement_policy LFUDA 10/2017/04 16:15:45| المعالجة: Cache_dir aufs /var/spool/squid 10 4096 16 256/2017/04 16:15:45| المعالجة: الحد الأقصى لحجم الكائن 10 ميجابايت 4/2017/04 16:15:45| المعالجة: ذاكرة التخزين المؤقت_swap_low 10 85/2017/04 16:15:45| المعالجة: Cache_swap_high 10 90/2017/04 16:15:45| المعالجة: Cache_mgr Buzz@desdelinux.مروحة 2017/04/16 15:45:10| المعالجة: visual_hostname linuxbox.desdelinux.مروحة 2017/04/16 15:45:10| تهيئة سياق وكيل https

نقوم بتعديل الأذونات في / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / Squid / basic_pam_auth

نقوم بإنشاء دليل ذاكرة التخزين المؤقت

# فقط في حالة ... [root @ linuxbox ~] # توقف خدمة الحبار
إعادة التوجيه إلى / bin / systemctl stop squid.service

[root @ linuxbox ~] # الحبار -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 طفل 1 | اضبط الدليل الحالي على / var / spool / squid 2017/04/16 15:48:28 kid1 | إنشاء دلائل المبادلة المفقودة 2017/04/16 15:48:28 kid1 | / var / spool / squid موجود 2017/04/16 15:48:28 kid1 | عمل الأدلة في / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | عمل دلائل في / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | عمل الدلائل في / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | عمل الأدلة في / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | عمل أدلة في / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | عمل الدلائل في / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | عمل أدلة في / var / spool / squid / 0F

في هذه المرحلة ، إذا استغرق الأمر بعض الوقت لإعادة موجه الأوامر - الذي لم يتم إعادته إلي مطلقًا - فاضغط على Enter.

[root @ linuxbox ~] # بداية خدمة الحبار
[root @ linuxbox ~] # إعادة تشغيل خدمة الحبار
[root @ linuxbox ~] # حالة خدمة الحبار
إعادة التوجيه إلى / bin / systemctl status squid.service ● squid.service - وكيل التخزين المؤقت للحبار محمل: تم تحميله (/usr/lib/systemd/system/squid.service ؛ معطل ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ dom 2017-04-16 15:57:27 بتوقيت شرق الولايات المتحدة ؛ قبل 1 ثانية العملية: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (الكود = الخروج ، الحالة = 0 / نجاح) العملية: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (كود = تم الخروج ، الحالة = 0 / نجاح) العملية: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (كود = تم الخروج ، الحالة = 0 / نجاح) PID الرئيسي: 2876 (الحبار) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 أبريل 15:57:27 linuxbox systemd [1]: بدء تشغيل وكيل التخزين المؤقت Squid ... 16 أبريل 15:57:27 linuxbox systemd [1]: بدأ وكيل التخزين المؤقت Squid. 16 أبريل 15:57:27 حبار لينوكس بوكس ​​[2876]: Squid Parent: سيبدأ 1 أطفال 16 أبريل 15:57:27 حبار لينوكس بوكس ​​[2876]: Squid Parent: (squid-1) عملية 2878 ... ed 16 أبريل 15 : 57: 27 حبار لينوكس بوكس ​​[2876]: Squid Parent: (Squid-1) عملية 2878 ... 1 تلميح: تم حذف بعض الخطوط ، استخدم -l لتظهر بالكامل

[root @ linuxbox ~] # cat / var / log / messages | الحبار grep

إصلاحات جدار الحماية

يجب علينا أيضا أن نفتح في المنطقة «خارجي"الموانئ 80 HTTP y 443 بروتوكول HTTPS حتى يتمكن Squid من التواصل مع الإنترنت.

[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 80 / tcp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 443 / tcp - دائم
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
تحقيق النجاح 
[root @ linuxbox ~] # firewall-cmd --info-zone external
الهدف الخارجي (النشط): انعكاس كتلة icmp الافتراضي: لا توجد واجهات: مصادر ens34: الخدمات: منافذ نظام أسماء النطاقات: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  البروتوكولات: masquerade: Yes forward-port: sourceports: icmp-block: مشكلة - إعادة توجيه مشكلة - إعادة توجيه جهاز التوجيه - إعلان جهاز التوجيه - طلب المصدر - إخماد القواعد الغنية:

• ليس من الخمول الذهاب إلى تطبيق الرسوم «اعدادات جدار الحماية»وتحقق من أن المنافذ 443 tcp و 80 tcp و 53 tcp و 53 udp مفتوحة للمنطقة«خارجي«، وأننا لم ننشر لها أي خدمة.

ملاحظة حول برنامج المساعد basic_pam_auth

إذا استشرنا دليل هذه الأداة من خلال رجل basic_pam_auth سنقرأ أن المؤلف نفسه يقدم توصية قوية بنقل البرنامج إلى دليل حيث لا يملك المستخدمون العاديون أذونات كافية للوصول إلى الأداة.

من ناحية أخرى ، من المعروف أنه باستخدام مخطط التفويض هذا ، تنتقل بيانات الاعتماد بنص عادي وهي ليست آمنة للبيئات المعادية ، اقرأ الشبكات المفتوحة.

جيف يسترومسكاس إهداء المقال «الكيفية: إعداد وكيل ويب آمن باستخدام تشفير SSL ، وكيل Squid Caching ومصادقة PAM»لمسألة زيادة الأمان مع نظام المصادقة هذا بحيث يمكن استخدامه في الشبكات المفتوحة التي يحتمل أن تكون معادية.

نقوم بتثبيت httpd

كطريقة للتحقق من تشغيل Squid - وبالمناسبة من Dnsmasq - سنقوم بتثبيت الخدمة هتبد - خادم الويب Apache - وهو أمر غير مطلوب للقيام به. في الملف نسبة إلى Dnsmasq / etc / banner_add_hosts نعلن عن المواقع التي نريد حظرها ، ونقوم صراحة بتعيين نفس عنوان IP الخاص بها لينوكس بوكس. وبالتالي ، إذا طلبنا الوصول إلى أي من هذه المواقع ، فإن الصفحة الرئيسية لـ هتبد.

[root @ linuxbox ~] # yum تثبيت httpd [root @ linuxbox ~] # systemctl تمكين httpd
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/httpd.service إلى /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl ابدأ httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - خادم Apache HTTP الذي تم تحميله: تم تحميله (/usr/lib/systemd/system/httpd.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ الأحد 2017 أبريل 04 16:16: 41 بتوقيت شرق الولايات المتحدة ؛ قبل 35 ثوانٍ المستندات: man: httpd (5) man: apachectl (8) PID الرئيسي: 8 (httpd) الحالة: "معالجة الطلبات ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DNDFOREGR / usr / sbin / httpd -DFOREGROUND أبريل 2279 2280:16:16 linuxbox systemd [41]: بدء خادم Apache HTTP ... 35 أبريل 1:16:16 linuxbox systemd [41]: بدء خادم Apache HTTP.

سيلينو وأباتشي

لدى Apache العديد من السياسات لتكوينها ضمن سياق SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> إيقاف تشغيل httpd_builtin_scripting -> تشغيل httpd_can_check_spam -> إيقاف httpd_can_connect_ftp -> إيقاف تشغيل httpd_can_connect_ldap -> إيقاف تشغيل httpd_can_connect_mythtv -> إيقاف تشغيل httpd_can_connect network offconnect_dabbix_> off httpd_can_connect network offconnect_dabbix_> off httpd_can_network_memcache -> إيقاف تشغيل httpd_can_network_relay -> إيقاف تشغيل httpd_can_sendmail -> إيقاف httpd_dbus_avahi -> إيقاف httpd_dbus_sssd -> إيقاف تشغيل httpd_dontaudit_search_dirs -> إيقاف تشغيل httpd_enable_cgi -> httpd_enable_offmirs_cgi -> إيقاف http_enable_offmirs httpd_graceful_shutdown -> تشغيل httpd_manage_ipa -> إيقاف تشغيل httpd_mod_auth_ntlm_winbind -> إيقاف تشغيل httpd_mod_auth_pam -> إيقاف تشغيل httpd_read_user_content -> إيقاف تشغيل httpd_run_ipa -> إيقاف تشغيل httpd_run_preup_robshift_> إيقاف التشغيل httpd_ssi_exec -> إيقاف تشغيل httpd_sys_script_anon_write -> إيقاف تشغيل httpd_tmp_exec -> إيقاف تشغيل httpd_tty_comm - > إيقاف تشغيل httpd_unified -> إيقاف تشغيل httpd_use_cifs -> إيقاف تشغيل httpd_use_fusefs -> إيقاف تشغيل httpd_use_gpg -> إيقاف تشغيل httpd_use_nfs -> إيقاف تشغيل httpd_use_openstack -> إيقاف تشغيل httpd_use_sasl -> إيقاف تشغيل httpd_verify_dns -> إيقاف

سنقوم فقط بتكوين ما يلي:

أرسل بريدًا إلكترونيًا من خلال Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

اسمح لأباتشي بقراءة المحتويات الموجودة في الدلائل الرئيسية للمستخدمين المحليين

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

السماح بإدارة أي دليل يديره عبر FTP أو FTPS
Apache أو السماح لـ Apache بالعمل كخادم FTP يستمع للطلبات عبر منفذ FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

لمزيد من المعلومات ، يرجى قراءة تكوين خوادم لينكس.

نتحقق من المصادقة

يبقى فقط لفتح مستعرض على محطة العمل والإشارة ، على سبيل المثال ، إلى http://windowsupdate.com. سوف نتحقق من إعادة توجيه الطلب بشكل صحيح إلى صفحة Apache الرئيسية في linuxbox. في الواقع ، أي اسم موقع معلن في الملف / etc / banner_add_hosts ستتم إعادة توجيهك إلى نفس الصفحة.

الصور في نهاية المقال تثبت ذلك.

إدارة المستخدمين

نقوم بذلك باستخدام أداة الرسم «إدارة المستخدم»الذي نصل إليه من خلال نظام القائمة -> الإدارة -> إدارة المستخدم. في كل مرة نضيف فيها مستخدمًا جديدًا ، يتم إنشاء مجلده / المستخدمين المنزليين تلقائيا.

النسخ الاحتياطي

عملاء Linux

تحتاج فقط إلى متصفح الملفات العادي وتشير إلى أنك تريد الاتصال ، على سبيل المثال: ssh: // buzz @ linuxbox / home / buzz وبعد إدخال كلمة المرور ، سيتم عرض الدليل الصفحة الرئيسية المستخدم شرب حتى الثمالة.

عملاء Windows

في عملاء Windows ، نستخدم الأداة WinSCP. بمجرد التثبيت ، نستخدمه بالطريقة التالية:

بسيط ، صحيح؟

ملخص

لقد رأينا أنه من الممكن استخدام PAM لمصادقة الخدمات في شبكة صغيرة وفي بيئة محكومة معزولة تمامًا عن أيدي قراصنة. يرجع ذلك أساسًا إلى حقيقة أن بيانات اعتماد المصادقة تنتقل بنص عادي ، وبالتالي فهي ليست خطة مصادقة لاستخدامها في الشبكات المفتوحة مثل المطارات وشبكات Wi-Fi وما إلى ذلك. ومع ذلك ، فهي آلية ترخيص بسيطة وسهلة التنفيذ والتكوين.

مصادر استشارية

• تكوين خوادم لينكس
• كتيبات القيادة - صفحات رجل

نسخة PDF

قم بتنزيل نسخة PDF هنا.

حتى المقال التالي!