Squid + Autenticació PAM en CentOS 7- Xarxes PIMES

Índex general de la sèrie: Xarxes de Ordinadors per a les PIMES: Introducció

Hola amigues i amics!

El títol de l'article va haver de ser: «MAT + NTP + dnsmasq + Servei de Passarel·la + Apache + Squid amb Autenticació PAM a Centos juliol - Xarxes PIMES«. Per motius pràctics ho vam escurçar.

Continuem amb l'autenticació davant usuaris locals en un equip amb Linux mitjançant PAM, i en aquesta oportunitat veurem com podem brindar el servei Proxy amb el Squid per a una xarxa petita d'ordinadors, mitjançant l'ús de les credencials d'autenticació emmagatzemades en el mateix equip on s'executa el servidor Calamar.

Tot i que sabem que és pràctica molt comuna en els nostres dies, autenticar els serveis contra un OpenLDAP, Directory Server 389 de la Xarxa Hat, Microsoft Active Directory, etcètera, considerem que hem de primer passar per solucions senzilles i barates, per després afrontar les més complexes. Opinem que hem d'anar del senzill al complex.

escenari

Es tracta d'una petita organització -amb molt pocs recursos econòmics- dedicada a donar suport l'ús de programari lliure i que va optar pel nom de DesdeLinux.Fan. Són diversos Entusiastes de sistema operatiu CentOS agrupats en una sola oficina. Van comprar una estació de treball -que no servidor professional- la qual dedicaran a funcionar com a «servidor».

Els Entusiastes no tenen amplis coneixements de com implementar un servidor OpenLDAP o un Samba 4 AD-DC, ni tampoc poden costejar la Llicència d'un Microsoft Active Directory. No obstant això necessiten per al seu diari treball dels serveis d'accés a Internet mitjançant un servidor intermediari -per accelerar la navegació- i d'un espai on guardar com còpies de seguretat seus documents i treballs mes valuosos.

Tot i utilitzen majoritàriament sistemes operatius de Microsoft adquirits legalment, però volen canviar-los a sistemes operatius basats en Linux, començant per la seva «Servidor».

Aspiren també a tenir el seu propi servidor de correu per independitzar -almenys de l'origen- de serveis com Gmail, Yahoo, Hotmail, etcètera, que és el que utilitzen actualment.

El Mur Tallafocs i Regles d'Encaminament enfront d'Internet la d'establir en el propi Router ADSL contractat.

No tenen un nom de domini real doncs no requereixen publicar cap servei a Internet.

CentOS 7 com a servidor sense GUI

Partim d'una instal·lació nova d'un servidor sense interfície gràfica, i l'única opció que seleccionem durant el procés és «Servidor d'Infraestructura»Com vam veure en articles anteriors de la sèrie.

Paràmetres inicials

[Root @ linuxbox ~] # cat / etc / hostname 
linuxbox

[Root @ linuxbox ~] # cat / etc / hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox

[Root @ linuxbox ~] # hostname
linuxbox

[Root @ linuxbox ~] # hostname -f
linuxbox.desdelinux.fan

[Root @ linuxbox ~] # ip addr list
[Root @ linuxbox ~] # ifconfig -a
[Root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 el

Inhabilitam el Network Manager

[Root @ linuxbox ~] # systemctl stop NetworkManager

[Root @ linuxbox ~] # systemctl disable NetworkManager

[Root @ linuxbox ~] # systemctl estatus NetworkManager
● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man: NetworkManager (8)

[Root @ linuxbox ~] # ifconfig -a

Configurem les interfícies de xarxa

Interfície ens32 LAN connectada a la Xarxa Interna

[Root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = public

[Root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interfície ens34 WAN connectada a Internet

[Root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=172.16.10.10
NETMASK=255.255.255.0
# El Router ADSL está conectado a
# ésta interfaz con
# la siguiente dirección IP
GATEWAY=172.16.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = external

[Root @ linuxbox ~] # ifdown ens34 && ifup ens34

Configuració dels repositoris

[Root @ linuxbox ~] # cd /etc/yum.repos.d/
[Root @ linuxbox ~] # mkdir originals
[Root @ linuxbox ~] # mv Centos- * originals /

[Root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[Root @ linuxbox yum.repos.d] # yum clean all
Complements carregats: fastestmirror, langpacks Netejant repositoris: Base-Repo CentosPlus-Repo Epel-Repo Mitjana-Repo: Updates-repo Cleaning up everything Cleaning up list of fastest mirrors

[Root @ linuxbox yum.repos.d] # yum update
Complements carregats: fastestmirror, langpacks Base-repo | 3.6 kB 00:00 CentosPlus-repo | 3.4 kB 00:00 Epel-repo | 4.3 kB 00:00 Mitjana-repo | 3.6 kB 00:00 Updates-repo | 3.4 kB 00:00 (1/9): Base-repo / group_gz | 155 kB 00:00 (2/9): Epel-repo / group_gz | 170 kB 00:00 (3/9): Mitjana-repo / group_gz | 155 kB 00:00 (4/9): Epel-repo / updateinfo | 734 kB 00:00 (5/9): Mitjana-repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-repo / primary_db | 1.1 MB 00:00 (7/9): Updates-repo / primary_db | 2.2 MB 00:00 (8/9): Epel-repo / primary_db | 4.5 MB 00:01 (9/9): Base-repo / primary_db | 5.6 MB 00:01 Determining fastest mirrors No packages marked for update

El missatge «No packages marked for update»Es mostra perquè durant la instal·lació declarem els mateixos dipòsits locals que tenim al nostre abast.

Centos 7 amb l'ambient d'escriptori MATE

Per utilitzar les molt bones eines d'administració amb interfície gràfica que ens brinden CentOS / Red Hat, i perquè sempre enyorem a l'GNOME2, vam decidir instal·lar MAT com a ambient d'escriptori.

[Root @ linuxbox ~] # yum groupinstall "X Windows system"
[Root @ linuxbox ~] # yum groupinstall "MAT Desktop"

Per comprovar que el MATE es carrega adequadament, executem en una consola -local o remota- la següent comanda:

[Root @ linuxbox ~] # systemctl isolate graphical.target

i l'ambient d'escriptori s'ha de carregar -en l'equip local- sense problemes, mostrant el lightdm com a inici de sessió gràfic. Teclegem el nom de l'usuari local i la seva contrasenya, i entrarem a l'MAT.

Per indicar-li a l' systemd que el nivell d'arrencada per defecte és el 5 -ambient gràfic- vam crear el següent enllaç simbòlic:

[Root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Reiniciem el sistema i tot funciona correctament.

Instal·lem el Servei de Temps per a Xarxes

[Root @ linuxbox ~] # yum install ntp

Durant la instal·lació configurem que el rellotge local es sincronitzarà amb el servidor de temps de l'equip sysadmin.desdelinux.fan amb IP 192.168.10.1. Llavors, guardem l'arxiu ntp.conf original mitjançant:

[Root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Ara, vam crear un de nou amb el següent contingut:

[Root @ linuxbox ~] # nano /etc/ntp.conf # Servidors configurats durant la instal·lació: server 192.168.10.1 iburst # Per a més informació, consulteu les pàgines d'el manual d': # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Permetre sincronitzar amb la font de temps, però no # permetre que la font consulti o modifiqui aquest servei restrict default nomodify notrap nopeer noquery # Permetre tot l'accés a la interfície Loopback restrict 127.0.0.1 restrict :: 1 # Restringir una mica menys als equips de la xarxa local. restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap # Utilitza els servidors públics de el projecte pool.ntp.org # Si vol unir-se a el projecte visiti # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client broadcast 192.168.10.255. 4 # Habilitar la criptografia pública. #crypto includefile / etc / ntp / crypto / pw # Arxiu de clau que conté les claus i identificadors de claus # utilitzats a l'operar amb criptografia simètrica de claus keys / etc / ntp / keys # Especificar els identificadors de claus de confiança. #trustedkey abril 8 42 # Especificar l'identificador de clau a utilitzar amb la utilitat ntpdc. #requestkey 8 # Especificar l'identificador de clau a utilitzar amb la utilitat ntpq. #controlkey 8 # Habilita l'escriptura dels registres d'estadístiques. #statistics clockstats cryptostats loopstats peerstats # Desactiva el monitor de secesos per prevenir l'amplificació de # atacs utilitzant la comanda ntpdc monlist, quan la restricció # per defecte no inclou la bandera noquery. Llegiu la CVE-2013-5211 # per a mes detalls. # Nota: El Monitor no inhabilita amb la bandera de restricció limitada. disable monitor

Habilitem, vam iniciar i vam comprovar el servei NTP

[Root @ linuxbox ~] # systemctl estatus ntpd
● ntpd.service - Network Time Service Loaded: loaded (/usr/lib/systemd/system/ntpd.service; disabled; vendor preset: disabled) Active: inactive (dead)

[Root @ linuxbox ~] # systemctl enable ntpd
Created symlink from /etc/systemd/system/multi-user.target.wants/ntpd.service to /usr/lib/systemd/system/ntpd.service.

[Root @ linuxbox ~] # systemctl start ntpd
[Root @ linuxbox ~] # systemctl estatus ntpd

[Root @ linuxbox ~] # systemctl estatus ntpd
● ntpd.service - Network Time Service
   Loaded: loaded (/usr/lib/systemd/system/ntpd.service; habilitat; vendor preset: disabled) Active: activi (running) since div 2017 04:14:15 EDT; 51s ago procés: una 08 ExecStart = / usr / sbin / ntpd -o ntp: ntp $ OPTIONS (code = exited, status = 1 / SUCCESS) Main PID: 1307 (ntpd) CGroup: /system.slice/ntpd.service └─ 0 / usr / sbin / ntpd -o ntp: ntp -g

Ntp i el Firewall

[Root @ linuxbox ~] # tallafocs-cmd --get-active-zones
extern
  interfícies: ens34
públic
  interfícies: ens32

[Root @ linuxbox ~] # tallafocs-cmd --zone = public --add-port = 123 / udp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --reload
èxit

Habilitem i configurem el dnsmasq

Com vam veure en article anterior de la sèrie Xarxes PIMES, el Dnsamasq s'instal·la per defecte en un Servidor d'Infraestructura CentOS juliol.

[Root @ linuxbox ~] # systemctl estatus dnsmasq
● dnsmasq.service - DNS caching server. Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; disabled; vendor preset: disabled) Active: inactive (dead)

[Root @ linuxbox ~] # systemctl enable dnsmasq
Created symlink from /etc/systemd/system/multi-user.target.wants/dnsmasq.service to /usr/lib/systemd/system/dnsmasq.service.

[Root @ linuxbox ~] # systemctl start dnsmasq
[Root @ linuxbox ~] # systemctl estatus dnsmasq
● dnsmasq.service - DNS caching server. Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; habilitat; vendor preset: disabled) Active: activi (running) since div 2017 04:14:16 EDT; 21s ago Main PID: 18 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─4 / usr / sbin / dnsmasq -k

[Root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[Root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------------------------
# O P C I O N E S   G E N E R A L E S
# -------------------------------------------------------------------
domain-needed   # No pasar nombres sin la parte del dominio
bogus-priv  # No pasar direcciones en el espacio no enrutado
expand-hosts    # Adiciona automaticamente el dominio al host
interface=ens32 # Interface LAN

strict-order    # Orden en que consulta el archivo /etc/resolv.conf
conf-dir=/etc/dnsmasq.d
domain=desdelinux.fan   # Nombre del dominio

address=/time.windows.com/192.168.10.5

# Envía una opción vacía del valor WPAD. Se requiere para que 
# se comporten bien los clientes Windos 7 y posteriores. ;-)
dhcp-option=252,"\n"

# Archivo donde declararemos los HOSTS que serán "baneados"
addn-hosts=/etc/banner_add_hosts

local=/desdelinux.fan/

# -------------------------------------------------------------------
# R E G I S T R O S   C N A M E    M X    T X T
# -------------------------------------------------------------------
# Este tipo de registro requiere de una entrada
# en el archivo /etc/hosts
# ej: 192.168.10.5 linuxbox.desdelinux.fan linuxbox
# cname=ALIAS,REAL_NAME
cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # REGISTRES MX # Retorna un registre MX amb el nom "desdelinux.fan" amb destinació # a l'equip mail.desdelinux.fan i prioritat de 10 mx-host=desdelinux.fan,mail.desdelinux.fan,10 # La destinació per defecte per als registres MX que es creïn # utilitzant l'opció localmx serà: mx-target=mail.desdelinux.fan # Retorna un registre MX apuntant al mx-target per a TOTES # les màquines locals localmx # Registres TXT. Podem declarar també un registre SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fan,"DesdeLinux, su Blog dedicado al Software Libre"

# -------------------------------------------------------------------
# R A N G O   Y   S U S   O P C I O N E S
# -------------------------------------------------------------------
# Rango IPv4 y tiempo de arrendamiento
# De la 1 a la 29 son para los Servidores y otras necesidades
dhcp-range=192.168.10.30,192.168.10.250,8h

dhcp-lease-max=222      # Cantidad máxima de direcciones a arrendar
                        # por defecto son 150
# Rango IPV6
# dhcp-range=1234::, ra-only

# Opciones para el RANGO
# O P C I O N E S
dhcp-option=1,255.255.255.0 # NETMASK
dhcp-option=3,192.168.10.5  # ROUTER GATEWAY
dhcp-option=6,192.168.10.5  # DNS Servers
dhcp-option=15,desdelinux.fan   # DNS Domain Name
dhcp-option=19,1        # option ip-forwarding ON
dhcp-option=28,192.168.10.255   # BROADCAST
dhcp-option=42,192.168.10.5 # NTP

dhcp-authoritative      # DHCP Autoritario en la subnet

# -------------------------------------------------------------------
# Si desean almacenar en /var/log/messages el log de las consultas
# elimine el comentario de la línea a continuación
# -------------------------------------------------------------------
# Log-queries
# FI de l'arxiu /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Creem l'arxiu / Etc / banner_add_hosts

[Root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Adreces IP fixes

[Root @ linuxbox ~] # nano / etc / hosts
127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain4
::1             localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox
192.168.10.1    sysadmin.desdelinux.fan sysadmin

Configurem el fitxer /etc/resolv.conf - resolutor

[Root @ linuxbox ~] # nano /etc/resolv.conf
cerca desdelinux.fan
nameserver 127.0.0.1
# Para consultas DNS externas o 
# que no sean del dominio desdelinux.fan
# local=/desdelinux.fan/
nameserver 8.8.8.8

Comprovem sintaxi de l'arxiu dnsmasq.conf, Vam iniciar i vam comprovar l'estat del servei

[Root @ linuxbox ~] # dnsmasq --test
dnsmasq: syntax check OK.
[Root @ linuxbox ~] # systemctl restart dnsmasq
[Root @ linuxbox ~] # systemctl estatus dnsmasq

Dnsmasq i el Firewall

[Root @ linuxbox ~] # tallafocs-cmd --get-active-zones
extern
  interfícies: ens34
públic
  interfícies: ens32

Servei domini o Servidor de Nom de Domini (dns). protocol cop «IP with Encryption«

[Root @ linuxbox ~] # tallafocs-cmd --zone = public --add-port = 53 / tcp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --zone = public --add-port = 53 / udp --permanent
èxit

Consultes de l'dnsmasq a servidors DNS externs

[Root @ linuxbox ~] # tallafocs-cmd --zone = external --add-port = 53 / tcp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --zone = external --add-port = 53 / udp --permanent
èxit

Servei bootps o BOOTP server (Dhcp). protocol ippc «Internet Pluribus Packet Core«

[Root @ linuxbox ~] # tallafocs-cmd --zone = public --add-port = 67 / tcp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --zone = public --add-port = 67 / udp --permanent
èxit

[Root @ linuxbox ~] # tallafocs-cmd --reload
èxit

[Root @ linuxbox ~] # tallafocs-cmd --info-zone public public (activi)
  target: default icmp-block-inversió: no interfícies: ens32 sources: serveis: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocols: masquerade: no forward-ports: sourceports: icmp -blocks: rich rules:

[Root @ linuxbox ~] # tallafocs-cmd --info-zone external external (activi)
  target: default icmp-block-inversió: no interfícies: ens34 sources: services: dns ports: 53 / udp 53 / tcp protocols: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router- Solicitation source-quench rich rules:

Si volem emprar una interfície gràfica per configurar el Firewall en CentOS 7, busquem al menú general -Dependrà de l'ambient d'escriptori en qual submenú apareix- l'aplicació «Tallafocs», l'executem i després d'introduir la clau de l'usuari root, Accedirem a la interfície d'el programa com a tal. En MATE apareix al menú «Sistema »->« Administració »->« Tallafocs ».

Seleccionem la Zona «públic»I autoritzem els Serveis que volem es publiquin a la LAN, que fins ara són dhcp, Dns, ntp i ssh. Després de seleccionar els serveis, comprovar fefaentment que tot funciona correctament, hem de fer els canvis en Temps d'Execució a Permanents. Per a això anem a menú Opcions i seleccionem l'opció «Temps d'execució a permanent".

Posteriorment vam seleccionar la Zona «extern»I vam comprovar que els Ports necessaris per a comunicar-nos amb Internet estiguin oberts. ! NO publicar Serveis en aquesta zona llevat que sapiguem molt bé que estem fent!.

No oblidem fer els canvis permanents mitjançant l'opció «Temps d'execució a permanent»I recarregar el dimoni FirewallD, Cada vegada que utilitzem aquesta poderosa eina gràfica.

NTP i dnsmasq des d'un client Windows 7

Sincronització amb el NTP

extern

Adreça IP arrendat

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : SEVEN
   Primary DNS Suffix. . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-D6-14-36
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.10.115 (Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Friday, April 14, 2017 5:12:53 PM
   Lease Expires . . . . . . . . . . : Saturday, April 15, 2017 1:12:53 AM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.5
   DNS Servers . . . . . . . . . . . : 192.168.10.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 9:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.desdelinux.fan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

C:\Users\buzz>

Punta

Un valor important en els clients Windows és el «Primary DNS Suffix» o «Sufix principal de la connexió». Quan no s'utilitza un Controlador de Domini Microsoft, el sistema operatiu no li assigna cap valor. Si estem davant d'un cas com el descrit a l'inici de l'article i volem declarar explícitament aquest valor, hem de procedir d'acord amb el mostrat en la següent imatge, acceptar els canvis i reiniciar el client.

Si tornem a executar CMD -> ipconfig / all obtindrem el següent:

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : SEVEN
   Primary DNS Suffix. . . . . . . : desdelinux.fan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

La resta dels valors roman inalterable

comprovacions DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com has address 127.0.0.1
Host spynet.microsoft.com not found: 5(REFUSED)
spynet.microsoft.com mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan has address 192.168.10.1
sysadmin.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host mail
un correu electrònic.desdelinux.fan is an alias for linuxbox.desdelinux.fan.
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

instal·lem -per a proves només- un servidor DNS Autoritari NSD a sysadmin.desdelinux.fan, I incloem l'adreça IP 172.16.10.1 a l'arxiu /etc/resolv.conf de l'equip linuxbox.desdelinux.fan, Per comprovar que el dnsmasq executava la seva funció de Forwarded correctament. Les Zones de proves al servidor NSD són favt.org y toujague.org. Totes les IP són fictícies o de xarxes privades.

Si inhabiltamos la interfície WAN ens34 mitjançant la comanda ifdown ens34, El dnsmasq no podrà consultar a servidors DNS externs.

[Buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org not found: 3 (NXDOMAIN)

[Buzz @ linuxbox ~] $ host pizzapie.favt.org
Host pizzapie.favt.org not found: 3 (NXDOMAIN)

Habilitem la interfície ens34 i consultem de nou:

[Buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org is an àlies for paisano.favt.org. paisano.favt.org has address 172.16.10.4

[Buzz @ linuxbox ~] $ host pizzapie.toujague.org
Host pizzas.toujague.org not found: 3 (NXDOMAIN)

[Buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org has address 169.18.10.18

[Buzz @ linuxbox ~] $ host -t NS favt.org
favt.org name server ns1.favt.org. favt.org name server ns2.favt.org.

[Buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org name server ns1.toujague.org. toujague.org name server ns2.toujague.org.

[Buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org mail is Handled by 10 mail.toujague.org.

consultem des sysadmin.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
cerca desdelinux.fan nameserver 192.168.10.5

Xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org has address 169.18.10.19

El dnsmasq està funcionant com Reenviador correctament.

Calamar

En el llibre en format PDF «Configuració de Servidors Linux»Amb data 25 de juliol de 2016, de l'Autor Joel Barris Dueñas (darkshram@gmail.com - http://www.alcancelibre.org/), Text a el qual he fet referència en articles anteriors, hi ha tot un capítol dedicat a les Opcions bàsiques de configuració de l'Squid.

Per la importància de l'servei Web - Proxy reproduïm la Introducció que es fa sobre el Squid en l'esmentat llibre:

105.1. Introducció.

105.1.1. Què és Servidor Intermediari (Proxy)?

El terme en anglès Proxy té un significat molt general i a el mateix temps ambigu, encara que
invariablement es considera un sinònim de el concepte de «Intermediari». Se sol traduir, en el sentit estricte, com delegat o apoderat (El que té poder sobre un altre).

Un servidor Intermediari es defineix com un ordinador o dispositiu que ofereix un servei de xarxa que consisteix a permetre als clients realitzar connexions de xarxa indirectes cap a altres serveis de xarxa. Durant el procés passa el següent:

• Client es connecta cap a un servidor Proxy.
• Client sol·licita una connexió, arxiu o un altre recurs disponible en un servidor diferent.
• Servidor Intermediari proporciona el recurs ja sigui connectant-cap al servidor especificat
  o servint aquest des d'un cau.
• En alguns casos el servidor Intermediari pot alterar la sol·licitud d'el client o bé la
  resposta de l'servidor per a diversos propòsits.

Els Servidors Proxy generalment es fan treballar simultàniament com a mur tallafocs operant en el Nivell de Xarxa, Actuant com a filtre de paquets, com en el cas de iptables o bé operant en el Nivell d'Aplicació, Controlant diversos serveis, com és el cas de TCP Wrapper. Depenent de l'context, el mur tallafocs també es coneix com Extensió BPD o Bordre Protació Device o simplement filtre de paquets.

Una aplicació comuna dels Servidors Proxy és funcionar com memòria cau de contingut de Xarxa (principalment HTTP), proporcionant a la proximitat dels clients un cau de pàgines i arxius disponibles a través de la Xarxa en servidors HTTP remots, permetent als clients de la xarxa local accedir cap a aquests de forma més ràpida i fiable.

Quan es rep una petició per a un recurs de Xarxa especificat en un URL (Uniforme Resource Locator) el servidor Intermediari busca el resultat de l' URL dins la memòria cau. Si aquest és trobat, el servidor Intermediari respon a el client proporcionat immediatament el contingut sol·licitat. Si el contingut sol·licitat estigués absent en la memòria cau, el servidor Intermediari el portarà des servidor remot, lliurant-ho a el client que ho va sol·licitar i guardant una còpia en la memòria cau. El contingut en el cau és eliminat després a través d'un algoritme d'expiració d'acord a l'antiguitat, mida i historial de respostes a sol·licituds (Hits) (exemples: LRU, LFUDA y GDSF).

Els servidors Proxy per a contingut de Xarxa (Web els intermediaris) també poden actuar com a filtres de l'contingut servit, aplicant polítiques de censura d'acord a criteris arbitraris.

La versió de l'Squid que instal·larem és la 3.5.20-2.el7_3.2 de l'repositori actualitzacions.

Instal·lador

[Root @ linuxbox ~] # yum install squid

[Root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  squid.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[Root @ linuxbox ~] # systemctl enable squid

Important

• L'objectiu fonamental d'aquest article és Autoritzar als usuaris locals a connectar-se amb el Squid des d'altres equips connectats a la Xarxa LAN. A més, implementar el nucli d'un servidor a el qual se li aniran afegint altres serveis. No és un article dedicat a l'Squid com a tal.
• Perquè es tingui una idea de les opcions de configuració de l'Squid, llegeixin l'arxiu /usr/share/doc/squid-3.5.20/squid.conf.documented, el qual té 7915 línies.

SELinux i Squid

[Root @ linuxbox ~] # getsebool -a | grep squid
squid_connect_any -> on squid_use_tproxy -> off

[Root @ linuxbox ~] # setsebool -P squid_connect_any = on

Configuració

[Root @ linuxbox ~] # nano /etc/squid/squid.conf
# Xarxa LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # Unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # FileMaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Neguem consultes per ports no segurs http_access deny! Safe_ports # Neguem el mètode CONNECT a ports no segurs http_access deny CONNECT! SSL_ports # Accés a l' administrador de la memòria cau només des de localhost http_access allow localhost manager http_access deny manager # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user http_access deny to_localhost # # INSERT YOUR OWN RULE (S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Autorització PAM
auth_param basic program / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5
auth_param basic realm desdelinux.fan
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Para acceder al Squid se requiere autenticación
acl Entusiastas proxy_auth REQUIRED

# Permitimos el acceso a usuarios autenticados
# mediante PAM
http_access deny !Entusiastas

# Acceso a sitios FTP
acl ftp proto FTP
http_access allow ftp

http_access allow localnet
http_access allow localhost

# Negamos cualquier otro acceso al proxy
http_access deny all

# Squid normalmente escucha por el puerto 3128
http_port 3128

# Dejamos los "coredumps" en el primer directorio caché
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_mem 64 MB
# Memoria Caché
memory_replacement_policy lru
cache_replacement_policy heap LFUDA
cache_dir aufs /var/spool/squid 4096 16 256
maximum_object_size 4 MB
cache_swap_low 85
cache_swap_high 90
cache_mgr buzz@desdelinux.fan

# Otros parámetros
visible_hostname linuxbox.desdelinux.fan

Vam comprovar la sintaxi de l'arxiu /etc/squid/squid.conf

[Root @ linuxbox ~] # squid -k parse
2017/04/16 15:45:10| Startup: Initializing Authentication Schemes ...
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'basic'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'negotiate'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'ntlm'
2017/04/16 15:45:10| Startup: Initialized Authentication.
2017/04/16 15:45:10| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2017/04/16 15:45:10| Processing: acl localnet src 192.168.10.0/24
2017/04/16 15:45:10| Processing: acl SSL_ports port 443 21
2017/04/16 15:45:10| Processing: acl Safe_ports port 80     # http
2017/04/16 15:45:10| Processing: acl Safe_ports port 21     # ftp
2017/04/16 15:45:10| Processing: acl Safe_ports port 443        # https
2017/04/16 15:45:10| Processing: acl Safe_ports port 70     # gopher
2017/04/16 15:45:10| Processing: acl Safe_ports port 210        # wais
2017/04/16 15:45:10| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2017/04/16 15:45:10| Processing: acl Safe_ports port 280        # http-mgmt
2017/04/16 15:45:10| Processing: acl Safe_ports port 488        # gss-http
2017/04/16 15:45:10| Processing: acl Safe_ports port 591        # filemaker
2017/04/16 15:45:10| Processing: acl Safe_ports port 777        # multiling http
2017/04/16 15:45:10| Processing: acl CONNECT method CONNECT
2017/04/16 15:45:10| Processing: http_access deny !Safe_ports
2017/04/16 15:45:10| Processing: http_access deny CONNECT !SSL_ports
2017/04/16 15:45:10| Processing: http_access allow localhost manager
2017/04/16 15:45:10| Processing: http_access deny manager
2017/04/16 15:45:10| Processing: http_access deny to_localhost
2017/04/16 15:45:10| Processing: auth_param basic program /usr/lib64/squid/basic_pam_auth
2017/04/16 15:45:10| Processing: auth_param basic children 5
2017/04/16 15:45:10| Processing: auth_param basic realm desdelinux.fan
2017/04/16 15:45:10| Processing: auth_param basic credentialsttl 2 hours
2017/04/16 15:45:10| Processing: auth_param basic casesensitive off
2017/04/16 15:45:10| Processing: acl Entusiastas proxy_auth REQUIRED
2017/04/16 15:45:10| Processing: http_access deny !Entusiastas
2017/04/16 15:45:10| Processing: acl ftp proto FTP
2017/04/16 15:45:10| Processing: http_access allow ftp
2017/04/16 15:45:10| Processing: http_access allow localnet
2017/04/16 15:45:10| Processing: http_access allow localhost
2017/04/16 15:45:10| Processing: http_access deny all
2017/04/16 15:45:10| Processing: http_port 3128
2017/04/16 15:45:10| Processing: coredump_dir /var/spool/squid
2017/04/16 15:45:10| Processing: refresh_pattern ^ftp:      1440    20% 10080
2017/04/16 15:45:10| Processing: refresh_pattern ^gopher:   1440    0%  1440
2017/04/16 15:45:10| Processing: refresh_pattern -i (/cgi-bin/|\?) 0    0%  0
2017/04/16 15:45:10| Processing: refresh_pattern .      0   20% 4320
2017/04/16 15:45:10| Processing: cache_mem 64 MB
2017/04/16 15:45:10| Processing: memory_replacement_policy lru
2017/04/16 15:45:10| Processing: cache_replacement_policy heap LFUDA
2017/04/16 15:45:10| Processing: cache_dir aufs /var/spool/squid 4096 16 256
2017/04/16 15:45:10| Processing: maximum_object_size 4 MB
2017/04/16 15:45:10| Processing: cache_swap_low 85
2017/04/16 15:45:10| Processing: cache_swap_high 90
2017/04/16 15:45:10| Processing: cache_mgr buzz@desdelinux.fan
2017/04/16 15:45:10| Processing: visible_hostname linuxbox.desdelinux.fan
2017/04/16 15:45:10| Initializing https proxy context

Ajustem permisos en / Usr / lib64 / squid / basic_pam_auth

[Root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Creem el directori cau

# Per si de cas ... [root @ linuxbox ~] # service squid stop
Redirecting to / bin / systemctl stop squid.service

[Root @ linuxbox ~] # squid -z
[Root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Setembre Current Directory to / var / spool / squid 2017/04/16 15:48:28 kid1 | Creating missing swap directories 2017/04/16 15:48:28 kid1 | / Var / spool / squid exists 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Making directories in / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Making directories in / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Making directories in / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Making directories in / var / spool / squid / 0f

En aquest punt, d'demorar una mica a tornar el prompt de comandaments -que a mi no el va tornar mai- premeu Enter.

[Root @ linuxbox ~] # service squid start
[Root @ linuxbox ~] # service squid restart
[Root @ linuxbox ~] # service squid per a l'estat
Redirecting to / bin / systemctl per a l'estat squid.service ● squid.service - Squid caching intermediari Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled; vendor preset: disabled) Active: activi (running) since dg 2017 04:16:15 EDT; 57s ago procés: una 27 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 1 / SUCCESS) al procés: una 2844 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) al procés: una 2873 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Main PID: 2868 (squid) CGroup: /system.slice/squid .service └─0 / usr / sbin / squid -f /etc/squid/squid.conf abril 2876 2876:16:15 linuxbox systemd [57]: A partir de Squid caching servidor intermediari ... abril 27 1:16:15 linuxbox systemd [57]: Started Squid caching intermediari. abril 27 1:16:15 linuxbox squid [57]: Squid Parent: will start 27 kids abril 2876 1:16:15 linuxbox squid [57]: Squid Parent: (squid-27) process 2876 ... ed abril 1 2878 : 16: 15 linuxbox squid [57]: Squid Parent: (squid-27) process 2876 ... 1 Hint: Some lines were ellipsized, utilitzeu -l to show in full

[Root @ linuxbox ~] # cat / var / log / messages | grep squid

Arranjaments en el mur tallafocs

També hem d'obrir a la Zona «extern»Els ports 80 HTTP y 443 HTTPS perquè el Squid pugui comunicar-se amb Internet.

[Root @ linuxbox ~] # tallafocs-cmd --zone = external --add-port = 80 / tcp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --zone = external --add-port = 443 / tcp --permanent
èxit
[Root @ linuxbox ~] # tallafocs-cmd --reload
èxit
[Root @ linuxbox ~] # tallafocs-cmd --info-zone external
external (active) target: default icmp-block-inversió: no interfícies: ens34 sources: services: dns ports: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocols: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router-Solicitation source-quench rich rules:

• No és ociós acudir a l'aplicació gràfica «Configuració de l'tallafocs»I comprovar que els ports 443 tcp, 80 tcp, 53 tcp, i 53 udp estan oberts per a la zona«extern«, I que NO hem publicat cap servei per a ella.

Nota sobre el programa auxiliar basic_pam_auth

Si consultem el manual d'aquesta utilitat mitjançant man basic_pam_auth llegirem que el mateix autor fa la forta recomanació que el programa es mogui a un directori on la majoria de gent no tinguin permisos suficients per accedir a l'eina.

D'altra banda, és conegut que amb aquest esquema d'autorització, les credencials viatgen en text pla i no és segur per a ambients hostils, llegiu xarxes obertes.

Jeff Yestrumskas dedica l'article «How-to: Setup a secure web proxy using SSL encryption, Squid Caching Proxy and PAM authentication»A el tema d'augmentar la seguretat amb aquest esquema d'autenticació perquè pugui emprar-se en xarxes obertes potencialment hostils.

instal·lem httpd

Com una forma de comprovar el funcionament de l'Squid -i de pas el de l'Dnsmasq- instal·larem el servei httpd -Servidor web Apache- la qual cosa no és obligatori es faci. A l'arxiu relatiu a l'dnsmasq / Etc / banner_add_hosts declarem els llocs que desitgem siguin banejats, i explícitament li assignem la mateixa adreça IP que posseeix linuxbox. D'aquesta forma, si sol·licitem l'accés a qualsevol d'aquests llocs s'ha de mostrar la pàgina d'inici de l' httpd.

[Root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

[Root @ linuxbox ~] # systemctl start httpd

[Root @ linuxbox ~] # systemctl estatus httpd
● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; habilitat; vendor preset: disabled) Active: activi (running) since dg 2017 04:16: 16 EDT; 41s ago Docs: man: httpd (35) man: apachectl (5) Main PID: 8 (httpd) Status: "Processing requests ..." CGroup: /system.slice/httpd.service ├─8 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND └─2278 / usr / sbin / httpd -DFOREGROUND abril 2279 2280:16:16 linuxbox systemd [41]: A partir de The Apache HTTP Server ... abril 35 1:16:16 linuxbox systemd [41]: Started The Apache HTTP Server.

SELinux i Apache

Apache té diverses polítiques per configurar dins de l'context SELinux.

[Root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect_zabbix -> off httpd_can_network_connect -> off httpd_can_network_connect_cobbler -> off httpd_can_network_connect_db -> off httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> on httpd_enable_ftp_server -> off httpd_enable_homedirs -> off httpd_execmem -> off httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_run_stickshift -> off httpd_serve_cobbler_files -> off httpd_setrlimit -> off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > Off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Només configurarem les següents:

Enviar correu electrònic a través d'Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Permetre que Apache llegeixi els continguts localitzats en els directoris d'inici dels usuaris locals

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permetre administrar via FTP o FTPS qualsevol directori gestionat per
Apache o bé permetre a Apache funcionar com un servidor FTP escoltant peticions a través del port de FTP

[Root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Per a més informació, favor de llegir Configuració de Servidors Linux.

Vam comprovar l'autenticació

Només queda obrir un navegador en una estació de treball i apuntar, per exemple, a http://windowsupdate.com. Comprovarem que la sol·licitud es redirigeix ​​correctament cap a la pàgina d'inici de l'Apache en linuxbox. De fet, qualsevol nom de lloc declarat a l'arxiu / Etc / banner_add_hosts passareu a la mateixa pàgina.

Les imatges a la fi de l'article ho demostren.

Administració d'usuaris

La vam realitzar mitjançant l'eina gràfica «Gestió d'usuaris»A la qual accedim mitjançant el menú Sistema -> Administració -> Gestió d'usuaris. Cada vegada que afegim un usuari nou es crea la seva carpeta / Home / usuari de forma automàtica.

Còpies de seguretat

clients Linux

Només cal el navegador d'arxius normal i indicar que es vol connectar, per exemple: ssh: // buzz @ linuxbox / home / buzz i després d'introduir la contrasenya, es mostrarà el directori casa de l'usuari brunzit.

clients Windows

En clients Windows, utilitzem l'eina WinSCP. Un cop instal·lada, la utilitzem de la manera següent:

Senzill, no ?.

Resum

Hem vist que és possible l'ús de PAM per autenticar serveis en una xarxa petita i en un ambient controlat i aïllat totalment de les mans de hackers. S'ha de en el fonamental al fet que les credencials d'autenticació viatgen en text pla i per tant no és un esquema d'autenticació per emprar-se en xarxes obertes com aeroports, xarxes wifi, etcètera. No obstant això, resulta un mecanisme senzill d'autorització, fàcil d'implementar i configurar.

fonts consultades

• Configuració de Servidors Linux
• Manuals de les ordres - pàgines d'home

Versió en format PDF

Descarregueu la versió en PDF aquí.

Fins el proper article!