مصادقة Squid + PAM في شبكات CentOS 7- SMB

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا الاصدقاء والاصدقاء!

كان ينبغي أن يكون عنوان المقال: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid مع مصادقة PAM في Centos 7 - شبكات الشركات الصغيرة والمتوسطة«. لأسباب عملية نقوم بتقصيرها.

نستمر في المصادقة للمستخدمين المحليين على كمبيوتر Linux باستخدام PAM ، وهذه المرة سنرى كيف يمكننا توفير خدمة Proxy مع Squid لشبكة صغيرة من أجهزة الكمبيوتر ، باستخدام بيانات اعتماد المصادقة المخزنة على نفس الكمبيوتر حيث الخادم يركض حبار.

على الرغم من أننا نعلم أنه من الممارسات الشائعة جدًا في الوقت الحاضر ، مصادقة الخدمات مقابل OpenLDAP و Red Hat's Directory Server 389 و Microsoft Active Directory ، وما إلى ذلك ، فإننا نعتبر أنه يجب علينا أولاً المرور بحلول بسيطة ورخيصة ، ثم مواجهة أكثرها تعقيدًا. نعتقد أنه يجب علينا الانتقال من البسيط إلى المعقد.

المسرح

إنها منظمة صغيرة - بموارد مالية قليلة جدًا - مكرسة لدعم استخدام البرمجيات الحرة واختارت اسم من لينكس. هم العديد من المتحمسين لنظام التشغيل CentOS مجمعة في مكتب واحد. لقد اشتروا محطة عمل - وليس خادمًا احترافيًا - والتي سيخصصونها لتعمل كـ "خادم".

لا يمتلك المتحمسون معرفة واسعة بكيفية تنفيذ خادم OpenLDAP أو Samba 4 AD-DC ، ولا يمكنهم تحمل تكاليف ترخيص Microsoft Active Directory. ومع ذلك ، يحتاجون لعملهم اليومي خدمات الوصول إلى الإنترنت من خلال وكيل - لتسريع التصفح - ومساحة حيث يمكنهم حفظ مستنداتهم الأكثر قيمة والعمل كنسخ احتياطية.

لا يزالون يستخدمون في الغالب أنظمة تشغيل Microsoft التي تم الحصول عليها بشكل قانوني ، لكنهم يريدون تغييرها إلى أنظمة تشغيل قائمة على Linux ، بدءًا من "الخادم".

كما يطمحون أيضًا إلى امتلاك خادم بريد خاص بهم ليصبح مستقلاً - على الأقل عن المصدر - لخدمات مثل Gmail و Yahoo و HotMail وما إلى ذلك ، وهو ما يستخدمونه حاليًا.

ستؤسسه قواعد جدار الحماية والتوجيه أمام الإنترنت في موجه ADSL المتعاقد عليه.

ليس لديهم اسم مجال حقيقي لأنهم لا يحتاجون إلى نشر أي خدمة على الإنترنت.

CentOS 7 كخادم بدون واجهة مستخدم رسومية

نحن نبدأ من تثبيت جديد لخادم بدون واجهة رسومية ، والخيار الوحيد الذي نحدده أثناء العملية هو «خادم البنية التحتية»كما رأينا في المقالات السابقة في السلسلة.

الإعدادات الأولية

[root @ linuxbox ~] # cat / etc / hostname 
لينوكس بوكس

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # اسم مضيف
لينوكس بوكس

[root @ linuxbox ~] # hostname -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # قائمة عناوين IP
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 لو

نقوم بتعطيل مدير الشبكة

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl تعطيل NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - مدير الشبكة الذي تم تحميله: تم تحميله (/usr/lib/systemd/system/NetworkManager.service ؛ معطل ؛ ضبط البائع مسبقًا: ممكّن) نشط: غير نشط (ميت) محرر المستندات: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

نقوم بتكوين واجهات الشبكة

واجهة Ens32 LAN متصلة بالشبكة الداخلية

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
المنطقة = عام

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

واجهة Ens34 WAN متصلة بالإنترنت

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = نعم BOOTPROTO = ثابت HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = لا IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # موجه ADSL متصل # هذه الواجهة مع # العنوان التالي GATEWAY IP = 172.16.10.1 المجال = desdelinux.fan DNS1 = 127.0.0.1
المنطقة = خارجي

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

تكوين المستودعات

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # مكدير أصلي
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # سنتوس نانو
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum تنظيف الكل
الإضافات المحملة: أسرع المرآة ، مستودعات تنظيف langpacks: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo تنظيف كل شيء تنظيف قائمة المرايا الأسرع

[root @ linuxbox yum.repos.d] # تحديث yum
الإضافات المحملة: fastmirror، langpacks Base-Repo | 3.6 كيلو بايت 00:00 CentosPlus-Repo | 3.4 كيلو بايت 00:00 Epel-Repo | 4.3 كيلو بايت 00:00 Media-Repo | 3.6 كيلو بايت 00:00 تحديثات-ريبو | 3.4 كيلو بايت 00:00 (1/9): Base-Repo / group_gz | 155 كيلو بايت 00:00 (2/9): Epel-Repo / group_gz | 170 كيلو بايت 00:00 (3/9): Media-Repo / group_gz | 155 كيلو بايت 00:00 (4/9): Epel-Repo / updateinfo | 734 كيلو بايت 00:00 (5/9): Media-Repo / primary_db | 5.3 ميجابايت 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 ميغابايت 00:00 (7/9): Updates-Repo / primary_db | 2.2 ميجا بايت 00:00 (8/9): Epel-Repo / primary_db | 4.5 ميغابايت 00:01 (9/9): Base-Repo / basic_db | 5.6 MB 00:01 تحديد أسرع المرايا لم يتم وضع علامة على حزم للتحديث

الرسالة "لا حزم معلمة للتحديث»تم عرضه لأننا أعلنا أثناء التثبيت عن نفس المستودعات المحلية التي لدينا تحت تصرفنا.

Centos 7 مع بيئة سطح المكتب MATE

لاستخدام أدوات الإدارة الجيدة للغاية مع واجهة رسومية يوفرها CentOS / Red Hat ، ولأننا نفتقد دائمًا GNOME2 ، قررنا تثبيت MATE كبيئة سطح مكتب.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

للتحقق من أن MATE يتم تحميله بشكل صحيح ، نقوم بتنفيذ الأمر التالي في وحدة تحكم محلية أو بعيدة:

[root @ linuxbox ~] # systemctl عزل الهدف البياني

ويجب تحميل بيئة سطح المكتب -في الفريق المحلي- بسلاسة ، عرض ملف lightdm كتسجيل دخول رسومي. نكتب اسم المستخدم المحلي وكلمة المرور الخاصة به ، وسندخل MATE.

لنقول سيستم دي أن مستوى التمهيد الافتراضي هو 5-بيئة رسومية- نقوم بإنشاء الارتباط الرمزي التالي:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

نعيد تشغيل النظام وكل شيء يعمل بشكل جيد.

نقوم بتثبيت خدمة الوقت للشبكات

[root @ linuxbox ~] # yum install ntp

أثناء التثبيت ، نقوم بتكوين أن الساعة المحلية ستتم مزامنتها مع خادم الوقت للجهاز sysadmin.fromlinux.fan مع IP 192.168.10.1. لذلك ، نقوم بحفظ الملف ntp.conf الأصل بواسطة:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

الآن ، نقوم بإنشاء واحد جديد بالمحتوى التالي:

[root @ linuxbox ~] # nano /etc/ntp.conf # الخوادم التي تم تكوينها أثناء التثبيت: الخادم 192.168.10.1 iburst # لمزيد من المعلومات ، راجع صفحات الدليل من: # ntp.conf (5)، ntp_acc (5) ، ntp_auth (5) ، ntp_clock (5) ، ntp_misc (5) ، ntp_mon (5). driftfile / var / lib / ntp / drift # السماح بالمزامنة مع مصدر الوقت ، ولكن ليس # السماح للمصدر باستشارة أو تعديل هذه الخدمة ، قم بتقييد الترشيح الافتراضي notrap nopeer noquery # السماح بالوصول الكامل إلى الواجهة تقييد Loopback 127.0.0.1 :: 1 # تقييد أقل قليلاً على أجهزة الكمبيوتر على الشبكة المحلية. تقييد 192.168.10.0 قناع 255.255.255.0 قم بتعديل notrap # استخدم الخوادم العامة للمشروع pool.ntp.org # إذا كنت ترغب في الانضمام إلى المشروع قم بزيارة # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # خادم البث ، عميل البث # عميل البث # البث 224.0.1.1 autokey # خادم البث المتعدد # multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # بث العميل. 192.168.10.255 # تمكين التشفير العام. #crypto includeefile / etc / ntp / crypto / pw # ملف مفتاح يحتوي على المفاتيح ومعرفات المفاتيح # المستخدمة عند التشغيل باستخدام مفاتيح تشفير المفاتيح المتماثلة / etc / ntp / keys # حدد معرفات المفاتيح الموثوقة. #trustedkey 4 8 42 # حدد معرّف المفتاح لاستخدامه مع الأداة المساعدة ntpdc. #requestkey 8 # حدد معرّف المفتاح المراد استخدامه مع الأداة المساعدة ntpq. #controlkey 8 # تمكين كتابة سجلات الإحصاء. #statistics clockstats cryptostats loopstats peerstats # تعطيل مراقب الانفصال لمنع تضخيم # الهجمات باستخدام الأمر ntpdc monlist ، عندما لا يتضمن القيد الافتراضي # علامة noquery. اقرأ CVE-2013-5211 # لمزيد من التفاصيل. # ملاحظة: لا يتم تعطيل الشاشة بعلامة التقييد المحدود. تعطيل الشاشة

نقوم بتمكين وبدء والتحقق من خدمة NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - تم تحميل خدمة وقت الشبكة: تم تحميلها (/usr/lib/systemd/system/ntpd.service ؛ معطل ؛ ضبط البائع مسبقًا: معطل) نشط: غير نشط (ميت)

[root @ linuxbox ~] # systemctl تمكين ntpd
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/ntpd.service إلى /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl ابدأ ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - خدمة وقت الشبكة
   تم التحميل: تم تحميله (/usr/lib/systemd/system/ntpd.service ؛ مُمكّن ؛ الإعداد المسبق للبائع: معطل) نشط: نشط (قيد التشغيل) منذ الجمعة 2017-04-14 15:51:08 بتوقيت شرق الولايات المتحدة ؛ قبل 1 ثانية العملية: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (الرمز = الخروج ، الحالة = 0 / النجاح) PID الرئيسي: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp وجدار الحماية

[root @ linuxbox ~] # firewall-cmd --get-active-zone
خارجي
  الواجهات: ens34
جمهور
  الواجهات: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
للنجاح

نقوم بتمكين وتهيئة Dnsmasq

كما رأينا في المقالة السابقة في سلسلة شبكات الأعمال الصغيرة ، يتم تثبيت Dnsamasq افتراضيًا على خادم البنية التحتية CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. مُحمَّل: مُحمَّل (/usr/lib/systemd/system/dnsmasq.service ؛ مُعطل ؛ ضبط مُسبق للبائع: مُعطل) نشط: غير نشط (ميت)

[root @ linuxbox ~] # systemctl تمكين dnsmasq
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/dnsmasq.service إلى /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl بدء dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. تم التحميل: تم تحميله (/usr/lib/systemd/system/dnsmasq.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ الجمعة 2017-04-14 16:21:18 بتوقيت شرق الولايات المتحدة ؛ منذ 4 ثوانٍ معرّف المنتج الرئيسي: 33611 (dnsmasq) مجموعة المجموعة: / system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # خيارات عامة # ----------------------------- -------------------------------------- domain-needed # لا تمرر الأسماء بدون جزء المجال bogus-priv # لا تمرر العناوين في المساحة غير الموجهات expand-hosts # أضف المجال تلقائيًا إلى واجهة المضيف = ens32 # Interface LAN Strict-order # Order للاستعلام عن ملف /etc/resolv.conf conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # عنوان اسم المجال = / time.windows.com / 192.168.10.5 # يرسل خيارًا فارغًا لقيمة WPAD. مطلوب لعملاء # Windos 7 وما بعده لكي يتصرفوا بشكل صحيح. ؛-) dhcp-option = 252، "\ n" # ملف حيث سنعلن عن HOSTS التي ستكون "محظورة" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # يتطلب هذا النوع من التسجيل إدخال # في ملف / etc / hosts # على سبيل المثال: 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS، REAL_NAME cname = mail.fromlinux.fan، linuxbox.fromlinux.fan # MX RECORDS # يُرجع سجل MX بالاسم "desdelinux.fan" المخصص # لجهاز كمبيوتر mail.desdelinux. fan والأولوية 10 mx-host = desdelinux.fan، mail.desdelinux.fan، 10 # الوجهة الافتراضية لسجلات MX التي تم إنشاؤها باستخدام خيار localmx ستكون: mx-target = mail.desdelinux.fan # Returns يشير سجل MX إلى الهدف mx لكل # من سجلات الأجهزة المحلية localmx # TXT. يمكننا أيضًا الإعلان عن سجل SPF txt-record = desdelinux.fan، "v = spf1 a -all" txt-record = desdelinux.fan ، "DesdeLinux ، مدونتك المخصصة للبرمجيات الحرة" # --------- -------------------------------------------------- -------- # RANGE AND USOPTIONS # --------------------------------------- ---------------------------- # نطاق IPv4 ووقت التأجير من 1 إلى 29 مخصصان للخوادم واحتياجات dhcp الأخرى -range = 192.168.10.30,192.168.10.250,8،222،150h dhcp-lease-max = 6 # الحد الأقصى لعدد عناوين التأجير # افتراضيًا هو 1234 # نطاق IPV1,255.255.255.0 # dhcp-range = 3,192.168.10.5 :: ، ra-only # خيارات لـ RANGE # OPTIONS dhcp-option = 6,192.168.10.5،15 # NETMASK dhcp-option = 19,1،28,192.168.10.255 # ROUTER GATEWAY dhcp-option = 42,192.168.10.5،XNUMX # DNS Servers dhcp-option = XNUMX، desdelinux.fan # DNS Domain Name dhcp-option = XNUMX ، XNUMX # option ip-forwarding ON dhcp-option = XNUMX،XNUMX # BROADCAST dhcp-option = XNUMX،XNUMX # NTP dhcp-authoritative # DHCP موثوق على الشبكة الفرعية # -------------- ------------------ ----------------------------------- # إذا كنت تريد تخزين / var / log / messages سجل ملف queries # uncomment السطر أدناه # --------------------------------------- ----------------------------
# استعلامات السجل
# نهاية الملف /etc/dnsmasq.conf # --------------------------------------- ----------------------------

نقوم بإنشاء الملف / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

عناوين IP الثابتة

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

نقوم بتهيئة الملف /etc/resolv.conf - محلل

[root @ linuxbox ~] # nano /etc/resolv.conf
ابحث عن خادم أسماء desdelinux.fan 127.0.0.1 # لاستعلامات DNS الخارجية أو غير التابعة للنطاق # desdelinux.fan # local = / desdelinux.fan / خادم الأسماء 8.8.8.8

نتحقق من بنية الملف dnsmasq.confنبدأ ونتحقق من حالة الخدمة

[root @ linuxbox ~] # dnsmasq - الاختبار
dnsmasq: فحص بناء الجملة موافق.
[root @ linuxbox ~] # إعادة تشغيل systemctl dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

دنسماسك وجدار الحماية

[root @ linuxbox ~] # firewall-cmd --get-active-zone
خارجي
  الواجهات: ens34
جمهور
  الواجهات: ens32

خدمة نطاق o خادم اسم المجال (DNS). بروتوكول صفعة «IP مع التشفير«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp - دائم
للنجاح

استعلامات Dnsmasq لخوادم DNS الخارجية

[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 53 / tcp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd --zone = خارجي - منفذ إضافة = 53 / udp - دائم
للنجاح

خدمة التمهيد o خادم BOOTP (DHCP). بروتوكول الاتفاقية «حزمة الإنترنت Pluribus الأساسية«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp - دائم
للنجاح

[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
للنجاح

[root @ linuxbox ~] # firewall-cmd --info-zone عام (نشط)
  الهدف: افتراضي icmp-block-inversion: بدون واجهات: مصادر ens32: الخدمات: منافذ dhcp dns ntp ssh: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp: masquerade: no forward-port: sourceports: icmp - الكتل: قواعد غنية:

[root @ linuxbox ~] # جدار الحماية - cmd - منطقة المعلومات الخارجية الخارجية (نشطة)
  الهدف: افتراضي icmp-block-inversion: لا واجهات: مصادر ens34: الخدمات: منافذ نظام أسماء النطاقات: بروتوكولات 53 / udp 53 / tcp: masquerade: نعم منافذ توجيهية: sourceports: icmp-block: معلمة - مشكلة إعادة توجيه جهاز التوجيه- إعلانات- قواعد التماس مصدر إخماد غنية:

إذا أردنا استخدام واجهة رسومية لتكوين جدار الحماية في CentOS 7 ، فإننا ننظر في القائمة العامة - ستعتمد على بيئة سطح المكتب التي تظهر فيها القائمة الفرعية - تطبيق «جدار الحماية» ، نقوم بتنفيذه وبعد دخول المستخدم كلمه السر جذر، سنصل إلى واجهة البرنامج على هذا النحو. في MATE يظهر في القائمة «النظام »->" الإدارة "->" جدار الحماية ".

نختار المنطقة «جمهور»ونحن نرخص الخدمات التي نريد نشرها على الشبكة المحلية ، وهي حتى الآن DHCP، نظام أسماء النطاقات ، NTP و ssh. بعد اختيار الخدمات ، والتحقق من أن كل شيء يعمل بشكل صحيح ، يجب علينا إجراء التغييرات في وقت التشغيل إلى دائم. للقيام بذلك نذهب إلى قائمة الخيارات ونختار الخيار «وقت التشغيل حتى النهاية".

في وقت لاحق نختار المنطقة «خارجي»ونتحقق من أن المنافذ اللازمة للتواصل مع الإنترنت مفتوحة. لا تنشر الخدمات في هذه المنطقة ما لم نعرف جيدًا ما نقوم به!.

دعونا لا ننسى أن نجعل التغييرات دائمة من خلال الخيار «وقت التشغيل حتى النهاية»وَإِعْلِمُوا الشَّيطانِ FirewallD، في كل مرة نستخدم هذه الأداة الرسومية القوية.

NTP و Dnsmasq من عميل Windows 7

التزامن مع NTP

خارجي

عنوان IP مؤجر

Microsoft Windows [الإصدار 6.1.7601] حقوق النشر (c) لعام 2009 لشركة Microsoft Corporation. كل الحقوق محفوظة. C: \ Users \ buzz> ipconfig / اسم مضيف تكوين IP الخاص بـ Windows. . . . . . . . . . . . : سبعة
   لاحقة Dns الأولية. . . . . . . :
   نوع العقدة. . . . . . . . . . . . : تم تمكين توجيه IP الهجين. . . . . . . . : لا يوجد وكيل WINS ممكّن. . . . . . . . : لا توجد قائمة بحث لاحقة DNS. . . . . . : desdelinux.fan محول إيثرنت اتصال محلي: لاحقة DNS الخاصة بالاتصال. : desdelinux.fan الوصف. . . . . . . . . . . : العنوان الفعلي لاتصال شبكة Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 تمكين DHCP. . . . . . . . . . . : نعم تم تمكين التكوين التلقائي. . . . : و هو
   عنوان IPv4. . . . . . . . . . . : 192.168.10.115 (المفضل)
   قناع الشبكة الفرعية. . . . . . . . . . . : 255.255.255.0 الحصول على عقد الإيجار. . . . . . . . . . : الجمعة 14 أبريل 2017 5:12:53 م انتهاء الإيجار. . . . . . . . . . : السبت ، 15 أبريل 2017 1:12:53 ص البوابة الافتراضية. . . . . . . . . : 192.168.10.1 خادم DHCP. . . . . . . . . . . : خوادم DNS 192.168.10.5. . . . . . . . . . . : 192.168.10.5 NetBIOS عبر Tcpip. . . . . . . . : تمكين محول النفق اتصال محلي * 9: حالة الوسائط. . . . . . . . . . . : الوسائط غير متصلة لاحقة DNS الخاصة بالاتصال. : وصف. . . . . . . . . . . : العنوان الفعلي لمحول Microsoft Teredo Tunneling. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ممكّن. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : نعم محول النفق isatap.fromlinux.fan: حالة الوسائط. . . . . . . . . . . : الوسائط غير متصلة لاحقة DNS الخاصة بالاتصال. : desdelinux.fan الوصف. . . . . . . . . . . : Microsoft ISATAP Adapter # 2 العنوان الفعلي. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ممكّن. . . . . . . . . . . : لم يتم تمكين التكوين التلقائي. . . . : نعم C: \ Users \ buzz>

معلومه- سرية

القيمة المهمة في عملاء Windows هي "لاحقة Dns الأساسية" أو "لاحقة الاتصال الرئيسية". عندما لا يتم استخدام Microsoft Domain Controller ، لا يقوم نظام التشغيل بتعيين أي قيمة لها. إذا كنا نواجه حالة مثل الحالة الموضحة في بداية المقالة وأردنا الإعلان صراحة عن هذه القيمة ، يجب أن نواصل العمل وفقًا لما هو موضح في الصورة التالية ، وقبول التغييرات وإعادة تشغيل العميل.

 

إذا عدنا مرة أخرى CMD -> ipconfig / الكل سوف نحصل على ما يلي:

Microsoft Windows [الإصدار 6.1.7601] حقوق النشر (c) لعام 2009 لشركة Microsoft Corporation. كل الحقوق محفوظة. C: \ Users \ buzz> ipconfig / اسم مضيف تكوين IP الخاص بـ Windows. . . . . . . . . . . . : سبعة
   لاحقة Dns الأولية. . . . . . . : desdelinux.fan
   نوع العقدة. . . . . . . . . . . . : تم تمكين توجيه IP الهجين. . . . . . . . : لا يوجد وكيل WINS ممكّن. . . . . . . . : لا توجد قائمة بحث لاحقة DNS. . . . . . : desdelinux.fan

تبقى باقي القيم دون تغيير

يتحقق DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com له عنوان 127.0.0.1 لم يتم العثور على spynet.microsoft.com المضيف: 5 (مرفوض) يتم التعامل مع بريد spynet.microsoft.com عن طريق بريد واحد mail.fromlinux.fan.

buzz @ sysadmin: لينوكس بوكس ​​المضيف ~ $
يحتوي linuxbox.desdelinux.fan على عنوان 192.168.10.5 linuxbox.desdelinux.fan يتم التعامل معه عن طريق بريد واحد.

buzz @ sysadmin: ~ $ host sysadmin
يحتوي sysadmin.desdelinux.fan على العنوان 192.168.10.1 sysadmin.desdelinux.fan تتم معالجة بريد إلكتروني بواسطة mail.desdelinux.fan واحد.

buzz @ sysadmin: ~ $ host mail
mail.desdelinux.fan هو اسم مستعار لـ linuxbox.desdelinux.fan. يحتوي linuxbox.desdelinux.fan على العنوان 192.168.10.5 linuxbox.desdelinux.fan يتم التعامل معه عن طريق بريد واحد. desdelinux.fan.

نقوم بتثبيت -للاختبار فقط- خادم DNS موثوق به NSD بتنسيق sysadmin.fromlinux.fan، ونقوم بتضمين عنوان IP 172.16.10.1 في الأرشيف / الخ / resolv.conf من الفريق linuxbox.fromlinux.fan، للتحقق من أن Dnsmasq كان ينفذ وظيفة معيد التوجيه بشكل صحيح. Sandboxes على خادم NSD هي favt.org y toujague.org. جميع عناوين IP وهمية أو من شبكات خاصة.

إذا قمنا بتعطيل واجهة WAN ens34 باستخدام الأمر ifdown إنص 34، لن يتمكن Dnsmasq من الاستعلام عن خوادم DNS الخارجية.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
لم يتم العثور على المضيف toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
لم يتم العثور على المضيف pizzapie.favt.org: 3 (NXDOMAIN)

لنقم بتمكين واجهة ens34 والتحقق مرة أخرى:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org هو اسم مستعار لـ paisano.favt.org. paisano.favt.org لديه عنوان 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
لم يتم العثور على المضيف pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org لديه عنوان 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
خادم اسم favt.org ns1.favt.org. خادم اسم favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
خادم اسم toujague.org ns1.toujague.org. خادم اسم toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
يتم التعامل مع بريد toujague.org عن طريق 10 mail.toujague.org.

دعونا نتشاور من sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ cat $ /etc/resolv.conf 
ابحث عن 192.168.10.5 من خادم أسماء linux.fan

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org عنوانه 169.18.10.19

يعمل Dnsmasq مثل وكيل شحن بشكل صحيح.

حبار

في الكتاب بصيغة PDF «تكوين خوادم لينكس»تاريخ 25 يوليو 2016 ، من قبل المؤلف جويل باريوس دوينياس (darkshram@gmail.com - http://www.alcancelibre.org/) ، وهو النص الذي أشرت إليه في المقالات السابقة ، هناك فصل كامل مخصص لـ خيارات التكوين الأساسية Squid.

نظرًا لأهمية خدمة Web - Proxy ، فإننا نعيد إنتاج المقدمة التي تم إجراؤها عن Squid في الكتاب المذكور أعلاه:

105.1. المقدمة.

105.1.1. ما هو الخادم الوسيط (الوكيل)؟

المصطلح باللغة الإنجليزية "الوكيل" له معنى عام للغاية وفي نفس الوقت غامض ، على الرغم من
يعتبر دائمًا مرادفًا لمفهوم "وسيط". عادة ما يتم ترجمتها ، بالمعنى الدقيق للكلمة ، كـ مندوب o محام (من له سلطان على الآخر).

Un خادم وسيط يتم تعريفه على أنه جهاز كمبيوتر أو جهاز يقدم خدمة شبكة تتكون من السماح للعملاء بإجراء اتصالات شبكة غير مباشرة بخدمات الشبكة الأخرى. أثناء العملية يحدث ما يلي:

• العميل يتصل بـ خادم وكيل.
• يطلب العميل اتصالاً أو ملفًا أو موردًا آخر متاحًا على خادم مختلف.
• يوفر الخادم الوسيط المورد إما عن طريق الاتصال بالخادم المحدد
  أو تخدمها من ذاكرة التخزين المؤقت.
• في بعض الحالات خادم وسيط يمكن أن يغير طلب العميل أو
  استجابة الخادم لأغراض مختلفة.

الكثير خوادم بروكسي يتم تصنيعها بشكل عام للعمل في وقت واحد كجدار ناري يعمل في مستوى الشبكة، بمثابة مرشح حزمة ، كما في حالة يبتابليس أو تعمل في مستوى التطبيق، السيطرة على مختلف الخدمات ، كما هو الحال في غلاف TCP. اعتمادًا على السياق ، يُعرف جدار النار أيضًا باسم برميل يوميا o Bطلب Protection Dأو مجرد مرشح الحزمة.

تطبيق شائع لـ خوادم بروكسي هو العمل كذاكرة تخزين مؤقت لمحتوى الشبكة (بشكل أساسي HTTP) ، حيث يوفر على مقربة من العملاء ذاكرة تخزين مؤقت للصفحات والملفات المتاحة من خلال الشبكة على خوادم HTTP البعيدة ، مما يسمح لعملاء الشبكة المحلية بالوصول إليها في أسرع وأكثر موثوقية.

عند تلقي طلب لمورد شبكة محدد في ملف URL (Uزي مُوحد Rالمصدر Locator) خادم وسيط ابحث عن نتيجة URL داخل ذاكرة التخزين المؤقت. إذا تم العثور على خادم وسيط يستجيب للعميل من خلال توفير المحتوى المطلوب على الفور. إذا كان المحتوى المطلوب غير موجود في ذاكرة التخزين المؤقت ، فإن ملف خادم وسيط سيقوم بجلبها من خادم بعيد ، وتسليمها إلى العميل الذي طلبها والاحتفاظ بنسخة في ذاكرة التخزين المؤقت. ثم يتم إزالة المحتوى الموجود في ذاكرة التخزين المؤقت من خلال خوارزمية انتهاء الصلاحية وفقًا لعمر وحجم وتاريخ الردود على الطلبات (يضرب) (أمثلة: LRU, LFUDA y GDSF).

يمكن أن تعمل الخوادم الوكيلة لمحتوى الشبكة (وكلاء الويب) أيضًا كمرشحات للمحتوى المقدم ، وتطبيق سياسات الرقابة وفقًا لمعايير عشوائية..

إصدار Squid الذي سنقوم بتثبيته هو 3.5.20-2.el7_3.2 من المستودع التحديثات.

تركيب

[root @ linuxbox ~] # yum تثبيت الحبار

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  الحبار
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl تمكين الحبار

مهم

• الهدف الرئيسي من هذه المقالة هو تخويل المستخدمين المحليين للاتصال بـ Squid من أجهزة كمبيوتر أخرى متصلة بشبكة LAN. بالإضافة إلى ذلك ، قم بتنفيذ جوهر الخادم الذي سيتم إضافة خدمات أخرى إليه. إنها ليست مقالة مخصصة للحبار على هذا النحو.
• للحصول على فكرة عن خيارات تكوين Squid ، اقرأ الملف /usr/share/doc/squid-3.5.20/squid.conf.documented الذي يحتوي على 7915 سطر.

سيلينو و سبيط

[root @ linuxbox ~] # getsebool -a | الحبار grep
squid_connect_any -> في squid_use_tproxy -> إيقاف

[root @ linuxbox ~] # setsebool -P squid_connect_any = تشغيل

ترتيب

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN ACL localnet src 192.168.10.0/24 ACL SSL_ports المنفذ 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher ACL Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # منافذ غير مسجلة ACL Safe_ports port 280 # http-mgmt ACl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl طريقة CONNECT CONNECT # نحن نرفض الاستعلامات الخاصة بالمنافذ غير الآمنة http_access deny! Safe_ports # نحن نرفض طريقة CONNECT للمنافذ غير الآمنة http_access رفض CONNECT! SSL_ports # الوصول مدير ذاكرة التخزين المؤقت فقط من المضيف المحلي http_access يسمح لمدير المضيف المحلي http_access deny manager # نوصي بشدة بإلغاء التعليقات التالية لحماية تطبيقات الويب الأبرياء التي تعمل على الخادم الوكيل والتي تعتقد أن الشخص الوحيد الذي يمكنه الوصول إلى الخدمات على "المضيف المحلي" هو محلي user http_access deny to_localhost # # أدخل القاعدة (القواعد) الخاصة بك هنا للسماح بالوصول من عملائك # # ترخيص PAM
auth_param basic program / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm from linux.fan auth_param basic creditsttl 2 hours auth_param basic casesensitive off # مصادقة Acl مطلوبة للوصول إلى المتحمسين Squid proxy_auth REQUIRED # نحن نسمح بالوصول إلى المستخدمين المصادق عليهم # من خلال PAM http_access deny! acl ftp proto FTP http_access allow ftp http_access allow localnet http_access allow localhost # نحن نرفض أي وصول آخر للوكيل http_access deny all # Squid يستمع عادة إلى المنفذ 3128 http_port 3128 # نترك "coredumps" في دليل ذاكرة التخزين المؤقت الأول coredump_dir / var / spool / squid # # أضف أيًا من إدخالات Refresh_pattern الخاصة بك أعلاه. # Refresh_pattern ^ ftp: 1440 20٪ 10080 Refresh_pattern ^ gopher: 1440 0٪ 1440 Refresh_pattern -i (/ cgi-bin / | \؟) 0 0٪ 0 refresh_pattern. 0 20٪ 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 max_object_size 256 MB cache_swap_low 4 cache_swap_highux 85 cache_mgrlin.

نتحقق من صيغة الملف /etc/squid/squid.conf

[root @ linuxbox ~] # تحليل حبار -k
2017/04/16 15:45:10 | بدء التشغيل: تهيئة أنظمة المصادقة ...
 2017/04/16 15:45:10 | بدء التشغيل: نظام المصادقة المبدئي "أساسي" 2017/04/16 15:45: 10 | بدء التشغيل: مخطط المصادقة المبدئي "ملخص" 2017/04/16 15:45: 10 | بدء التشغيل: نظام المصادقة المُهيأ "التفاوض" 2017/04/16 15:45: 10 | بدء التشغيل: نظام المصادقة المُهيأ 'ntlm' 2017/04/16 15:45: 10 | بدء التشغيل: المصادقة الأولية.
 2017/04/16 15:45:10 | ملف تكوين المعالجة: /etc/squid/squid.conf (العمق 0) 2017/04/16 15:45: 10 | المعالجة: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10 | المعالجة: acl SSL_ports port 443 21 2017/04/16 15:45:10 | المعالجة: acl Safe_ports port 80 # http 2017/04/16 15:45: 10 | المعالجة: acl Safe_ports port 21 # ftp 2017/04/16 15:45: 10 | المعالجة: acl Safe_ports port 443 # https 2017/04/16 15:45: 10 | المعالجة: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10 | المعالجة: acl Safe_ports port 210 # wais 2017/04/16 15:45:10 | المعالجة: ACL Safe_ports port 1025-65535 # منافذ غير مسجلة 2017/04/16 15: 45: 10 | المعالجة: ACL Safe_ports port 280 # http-mgmt 2017/04/16 15:45: 10 | المعالجة: ACL Safe_ports port 488 # gss-http 2017/04/16 15:45: 10 | المعالجة: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10 | المعالجة: ACL Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | المعالجة: طريقة ACL CONNECT CONNECT 2017/04/16 15:45:10 | المعالجة: http_access deny! Safe_ports 2017/04/16 15:45: 10 | المعالجة: http_access deny CONNECT! SSL_ports 2017/04/16 15:45:10 | المعالجة: http_access تسمح لمدير المضيف المحلي 2017/04/16 15:45: 10 | المعالجة: http_access deny manager 2017/04/16 15:45: 10 | المعالجة: http_access deny to_localhost 2017/04/16 15:45:10 | المعالجة: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15:45: 10 | المعالجة: auth_param basic children 5 2017/04/16 15:45:10 | المعالجة: auth_param basic realm from linux.fan 2017/04/16 15:45: 10 | المعالجة: auth_param basic creditsttl 2 ساعة 2017/04/16 15:45:10 | المعالجة: auth_param الحالات الأساسية الحساسة من 2017/04/16 15:45: 10 | المعالجة: acl proxy_auth مطلوب 2017/04/16 15:45:10 | المعالجة: http_access deny! Enthusiasts 2017/04/16 15:45:10 | المعالجة: acl ftp proto FTP 2017/04/16 15:45: 10 | المعالجة: http_access allow ftp 2017/04/16 15:45: 10 | المعالجة: http_access allow localnet 2017/04/16 15:45:10 | المعالجة: http_access allow localhost 2017/04/16 15:45: 10 | المعالجة: http_access deny all 2017/04/16 15:45: 10 | المعالجة: http_port 3128 2017/04/16 15:45:10 | المعالجة: coredump_dir / var / spool / squid 2017/04/16 15:45:10 | المعالجة: Refresh_pattern ^ ftp: 1440 20٪ 10080 2017/04/16 15:45: 10 | المعالجة: Refresh_pattern ^ gopher: 1440 0٪ 1440 2017/04/16 15:45:10 | المعالجة: Refresh_pattern -i (/ cgi-bin / | \؟) 0 0٪ 0 2017/04/16 15: 45: 10 | المعالجة: Refresh_pattern. 

نقوم بتعديل الأذونات في / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / Squid / basic_pam_auth

نقوم بإنشاء دليل ذاكرة التخزين المؤقت

# فقط في حالة ... [root @ linuxbox ~] # توقف خدمة الحبار
إعادة التوجيه إلى / bin / systemctl stop squid.service

[root @ linuxbox ~] # الحبار -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 طفل 1 | اضبط الدليل الحالي على / var / spool / squid 2017/04/16 15:48:28 kid1 | إنشاء دلائل المبادلة المفقودة 2017/04/16 15:48:28 kid1 | / var / spool / squid موجود 2017/04/16 15:48:28 kid1 | عمل الأدلة في / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | عمل دلائل في / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | عمل الدلائل في / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | عمل أدلة في / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | عمل الأدلة في / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | عمل أدلة في / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | عمل الدلائل في / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | عمل أدلة في / var / spool / squid / 0F

في هذه المرحلة ، إذا استغرق الأمر بعض الوقت لإعادة موجه الأوامر - الذي لم يتم إعادته إلي مطلقًا - فاضغط على Enter.

[root @ linuxbox ~] # بداية خدمة الحبار
[root @ linuxbox ~] # إعادة تشغيل خدمة الحبار
[root @ linuxbox ~] # حالة خدمة الحبار
إعادة التوجيه إلى / bin / systemctl status squid.service ● squid.service - وكيل التخزين المؤقت للحبار محمل: تم تحميله (/usr/lib/systemd/system/squid.service ؛ معطل ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ dom 2017-04-16 15:57:27 بتوقيت شرق الولايات المتحدة ؛ قبل 1 ثانية العملية: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (الكود = الخروج ، الحالة = 0 / نجاح) العملية: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (كود = تم الخروج ، الحالة = 0 / نجاح) العملية: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (كود = تم الخروج ، الحالة = 0 / نجاح) PID الرئيسي: 2876 (الحبار) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 أبريل 15:57:27 linuxbox systemd [1]: بدء تشغيل وكيل التخزين المؤقت Squid ... 16 أبريل 15:57:27 linuxbox systemd [1]: بدأ وكيل التخزين المؤقت Squid. 16 أبريل 15:57:27 حبار لينوكس بوكس ​​[2876]: Squid Parent: سيبدأ 1 أطفال 16 أبريل 15:57:27 حبار لينوكس بوكس ​​[2876]: Squid Parent: (squid-1) عملية 2878 ... ed 16 أبريل 15 : 57: 27 حبار لينوكس بوكس ​​[2876]: Squid Parent: (Squid-1) عملية 2878 ... 1 تلميح: تم حذف بعض الخطوط ، استخدم -l لتظهر بالكامل

[root @ linuxbox ~] # cat / var / log / messages | الحبار grep

إصلاحات جدار الحماية

يجب علينا أيضا أن نفتح في المنطقة «خارجي"الموانئ 80 HTTP y 443 بروتوكول HTTPS حتى يتمكن Squid من التواصل مع الإنترنت.

[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 80 / tcp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd --zone = خارجي - إضافة منفذ = 443 / tcp - دائم
للنجاح
[root @ linuxbox ~] # firewall-cmd - إعادة التحميل
للنجاح
[root @ linuxbox ~] # firewall-cmd --info-zone external
الهدف الخارجي (النشط): انعكاس كتلة icmp الافتراضي: لا توجد واجهات: مصادر ens34: الخدمات: منافذ نظام أسماء النطاقات: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  البروتوكولات: masquerade: Yes forward-port: sourceports: icmp-block: مشكلة - إعادة توجيه مشكلة - إعادة توجيه جهاز التوجيه - إعلان جهاز التوجيه - طلب المصدر - إخماد القواعد الغنية:

• ليس من الخمول الذهاب إلى تطبيق الرسوم «اعدادات جدار الحماية»وتحقق من أن المنافذ 443 tcp و 80 tcp و 53 tcp و 53 udp مفتوحة للمنطقة«خارجي«، وأننا لم ننشر لها أي خدمة.

ملاحظة حول برنامج المساعد basic_pam_auth

إذا استشرنا دليل هذه الأداة من خلال رجل basic_pam_auth سنقرأ أن المؤلف نفسه يقدم توصية قوية بنقل البرنامج إلى دليل حيث لا يملك المستخدمون العاديون أذونات كافية للوصول إلى الأداة.

من ناحية أخرى ، من المعروف أنه باستخدام مخطط التفويض هذا ، تنتقل بيانات الاعتماد بنص عادي وهي ليست آمنة للبيئات المعادية ، اقرأ الشبكات المفتوحة.

جيف يسترومسكاس إهداء المقال «الكيفية: إعداد وكيل ويب آمن باستخدام تشفير SSL ، وكيل Squid Caching ومصادقة PAM»لمسألة زيادة الأمان مع نظام المصادقة هذا بحيث يمكن استخدامه في الشبكات المفتوحة التي يحتمل أن تكون معادية.

نقوم بتثبيت httpd

كطريقة للتحقق من تشغيل Squid - وبالمناسبة من Dnsmasq - سنقوم بتثبيت الخدمة هتبد - خادم الويب Apache - وهو أمر غير مطلوب للقيام به. في الملف نسبة إلى Dnsmasq / etc / banner_add_hosts نعلن عن المواقع التي نريد حظرها ، ونقوم صراحة بتعيين نفس عنوان IP الخاص بها لينوكس بوكس. وبالتالي ، إذا طلبنا الوصول إلى أي من هذه المواقع ، فإن الصفحة الرئيسية لـ هتبد.

[root @ linuxbox ~] # yum تثبيت httpd [root @ linuxbox ~] # systemctl تمكين httpd
تم إنشاء ارتباط رمزي من /etc/systemd/system/multi-user.target.wants/httpd.service إلى /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl ابدأ httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - خادم Apache HTTP الذي تم تحميله: تم تحميله (/usr/lib/systemd/system/httpd.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ الأحد 2017 أبريل 04 16:16: 41 بتوقيت شرق الولايات المتحدة ؛ قبل 35 ثوانٍ المستندات: man: httpd (5) man: apachectl (8) PID الرئيسي: 8 (httpd) الحالة: "معالجة الطلبات ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DNDFOREGR / usr / sbin / httpd -DFOREGROUND أبريل 2279 2280:16:16 linuxbox systemd [41]: بدء خادم Apache HTTP ... 35 أبريل 1:16:16 linuxbox systemd [41]: بدء خادم Apache HTTP.

سيلينو وأباتشي

لدى Apache العديد من السياسات لتكوينها ضمن سياق SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> إيقاف تشغيل httpd_builtin_scripting -> تشغيل httpd_can_check_spam -> إيقاف httpd_can_connect_ftp -> إيقاف تشغيل httpd_can_connect_ldap -> إيقاف تشغيل httpd_can_connect_mythtv -> إيقاف تشغيل httpd_can_connect network offconnect_dabbix_> off httpd_can_connect network offconnect_dabbix_> off httpd_can_network_memcache -> إيقاف تشغيل httpd_can_network_relay -> إيقاف تشغيل httpd_can_sendmail -> إيقاف httpd_dbus_avahi -> إيقاف httpd_dbus_sssd -> إيقاف تشغيل httpd_dontaudit_search_dirs -> إيقاف تشغيل httpd_enable_cgi -> httpd_enable_offmirs_cgi -> إيقاف http_enable_offmirs httpd_graceful_shutdown -> تشغيل httpd_manage_ipa -> إيقاف تشغيل httpd_mod_auth_ntlm_winbind -> إيقاف تشغيل httpd_mod_auth_pam -> إيقاف تشغيل httpd_read_user_content -> إيقاف تشغيل httpd_run_ipa -> إيقاف تشغيل httpd_run_preup_robshift_> إيقاف التشغيل httpd_ssi_exec -> إيقاف تشغيل httpd_sys_script_anon_write -> إيقاف تشغيل httpd_tmp_exec -> إيقاف تشغيل httpd_tty_comm - > إيقاف تشغيل httpd_unified -> إيقاف تشغيل httpd_use_cifs -> إيقاف تشغيل httpd_use_fusefs -> إيقاف تشغيل httpd_use_gpg -> إيقاف تشغيل httpd_use_nfs -> إيقاف تشغيل httpd_use_openstack -> إيقاف تشغيل httpd_use_sasl -> إيقاف تشغيل httpd_verify_dns -> إيقاف

سنقوم فقط بتكوين ما يلي:

أرسل بريدًا إلكترونيًا من خلال Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

اسمح لأباتشي بقراءة المحتويات الموجودة في الدلائل الرئيسية للمستخدمين المحليين

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

السماح بإدارة أي دليل يديره عبر FTP أو FTPS
Apache أو السماح لـ Apache بالعمل كخادم FTP يستمع للطلبات عبر منفذ FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

لمزيد من المعلومات ، يرجى قراءة تكوين خوادم لينكس.

نتحقق من المصادقة

يبقى فقط لفتح مستعرض على محطة العمل والإشارة ، على سبيل المثال ، إلى http://windowsupdate.com. سوف نتحقق من إعادة توجيه الطلب بشكل صحيح إلى صفحة Apache الرئيسية في linuxbox. في الواقع ، أي اسم موقع معلن في الملف / etc / banner_add_hosts ستتم إعادة توجيهك إلى نفس الصفحة.

الصور في نهاية المقال تثبت ذلك.

إدارة المستخدمين

نقوم بذلك باستخدام أداة الرسم «إدارة المستخدم»الذي نصل إليه من خلال نظام القائمة -> الإدارة -> إدارة المستخدم. في كل مرة نضيف فيها مستخدمًا جديدًا ، يتم إنشاء مجلده / المستخدمين المنزليين تلقائيا.

 

النسخ الاحتياطي

عملاء Linux

تحتاج فقط إلى متصفح الملفات العادي وتشير إلى أنك تريد الاتصال ، على سبيل المثال: ssh: // buzz @ linuxbox / home / buzz وبعد إدخال كلمة المرور ، سيتم عرض الدليل الصفحة الرئيسية المستخدم شرب حتى الثمالة.

عملاء Windows

في عملاء Windows ، نستخدم الأداة WinSCP. بمجرد التثبيت ، نستخدمه بالطريقة التالية:

 

 

بسيط ، صحيح؟

ملخص

لقد رأينا أنه من الممكن استخدام PAM لمصادقة الخدمات في شبكة صغيرة وفي بيئة محكومة معزولة تمامًا عن أيدي قراصنة. يرجع ذلك أساسًا إلى حقيقة أن بيانات اعتماد المصادقة تنتقل بنص عادي ، وبالتالي فهي ليست خطة مصادقة لاستخدامها في الشبكات المفتوحة مثل المطارات وشبكات Wi-Fi وما إلى ذلك. ومع ذلك ، فهي آلية ترخيص بسيطة وسهلة التنفيذ والتكوين.

مصادر استشارية

• تكوين خوادم لينكس
• كتيبات القيادة - صفحات رجل

نسخة PDF

قم بتنزيل نسخة PDF هنا.

حتى المقال التالي!