Ověření Squid + PAM v sítích CentOS 7- SMB

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Ahoj přátelé a přátelé!

Název článku měl být: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid s PAM autentizací v Centos 7 - Sítě pro malé a střední podniky«. Z praktických důvodů to zkracujeme.

Pokračujeme v ověřování pro místní uživatele v počítači se systémem Linux pomocí PAM a tentokrát uvidíme, jak můžeme poskytnout službu Proxy se Squidem pro malou síť počítačů pomocí ověřovacích údajů uložených ve stejném počítači, kde je server běží Oliheň.

I když víme, že v dnešní době je velmi běžnou praxí, ověřovat služby na OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory atd., Si myslíme, že musíme nejprve projít jednoduchými a levnými řešeními a poté čelit nejsložitějším ty. Věříme, že musíme jít od jednoduchého ke komplexnímu.

Etapa

Jedná se o malou organizaci - s velmi málo finančními prostředky - věnovanou podpoře používání svobodného softwaru, která se rozhodla pro název DesdeLinux.Fanoušek. Jsou to různí nadšenci OS CentOS seskupeny do jedné kanceláře. Koupili si pracovní stanici - ne profesionální server - kterou budou věnovat funkci „serveru“.

Nadšenci nemají rozsáhlé znalosti o tom, jak implementovat server OpenLDAP nebo Samba 4 AD-DC, ani si nemohou dovolit licencovat Microsoft Active Directory. Pro svou každodenní práci však potřebují služby přístupu k internetu prostřednictvím serveru proxy - pro urychlení procházení - a prostoru, kde mohou ukládat své nejcennější dokumenty a pracovat jako záložní kopie.

Stále většinou používají legálně získané operační systémy Microsoftu, ale chtějí je změnit na operační systémy založené na Linuxu, počínaje jejich „serverem“.

Rovněž usilují o to, aby jejich vlastní poštovní server byl nezávislý - alespoň od původu - na službách, jako je Gmail, Yahoo, HotMail atd., Což je to, co aktuálně používají.

Pravidla brány firewall a směrování proti internetu ji zavedou do smluvního směrovače ADSL.

Nemají skutečné doménové jméno, protože nevyžadují publikování žádné služby na internetu.

CentOS 7 jako server bez GUI

Vycházíme z nové instalace serveru bez grafického rozhraní a jedinou možností, kterou během procesu vybereme, je «Server infrastruktury»Jak jsme viděli v předchozích článcích seriálu.

Počáteční nastavení

[root @ linuxbox ~] # cat / etc / hostname 
linuxový box

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # název hostitele
linuxový box

[root @ linuxbox ~] # název hostitele -f
linuxbox.desdelinux.fanoušek

[root @ linuxbox ~] # ip addr list
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 it

Deaktivujeme správce sítě

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl zakázat NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Konfigurujeme síťová rozhraní

Rozhraní Ens32 LAN připojené k interní síti

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZÓNA = veřejná

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN rozhraní připojené k internetu

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=ano BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL router je připojen k následující adrese # toto rozhraní s # IP BRÁNA=172.16.10.1 DOMÉNA=desdelinux.fan DNS1=127.0.0.1
ZÓNA = externí

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfigurace úložišť

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # původní mkdir
[root @ linuxbox ~] # mv Centos- * originál /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum vše vyčistit
Načtené pluginy: nejrychlejší Mirror, langpacky Úklid úložiště: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Aktualizace-Repo Vyčištění všeho Vyčištění seznamu nejrychlejších zrcadel
[root @ linuxbox yum.repos.d] # aktualizace yum
Načtené pluginy: nejrychlejší zrcadlení, langpacky Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Aktualizace - Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Určení nejrychlejších zrcadel Žádné balíčky označené pro aktualizaci

Zpráva "Nejsou označeny žádné balíčky k aktualizaci»Je zobrazeno, protože během instalace jsme deklarovali stejná místní úložiště, která máme k dispozici.

Centos 7 s desktopovým prostředím MATE

Abychom mohli používat velmi dobré nástroje pro správu s grafickým rozhraním, které nám poskytuje CentOS / Red Hat, a protože nám GNOME2 vždy chybí, rozhodli jsme se nainstalovat MATE jako desktopové prostředí.

[root @ linuxbox ~] # yum groupinstall „Systém X Window“
[root @ linuxbox ~] # yum groupinstall „MATE Desktop“

Abychom ověřili, že se MATE načte správně, provedeme následující příkaz v konzole - místní nebo vzdálený -:

[root @ linuxbox ~] # systemctl izolovat graphical.target

a desktopové prostředí by mělo být načteno -v místním týmu- hladce, ukazující lightdm jako grafické přihlášení. Zadejte jméno místního uživatele a jeho heslo a zadáme MATE.

Chcete-li říct systemd že výchozí spouštěcí úroveň je 5 - grafické prostředí - vytvoříme následující symbolický odkaz:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Restartujeme systém a vše funguje.

Nainstalujeme Časovou službu pro sítě

[root @ linuxbox ~] # yum install ntp

Během instalace nakonfigurujeme, aby byly místní hodiny synchronizovány s časovým serverem počítače správce systému.desdelinux.fanoušek s IP 192.168.10.1. Takže soubor uložíme ntp.conf originál od:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nyní vytvoříme nový s následujícím obsahem:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servery konfigurované během instalace: server 192.168.10.1 iburst # Další informace najdete na manuálových stránkách: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Povolit synchronizaci se zdrojem času, ale ne # povolit zdroji konzultovat nebo upravit tuto službu omezit výchozí nomodify notrap nopeer noquery # Povolit veškerý přístup k rozhraní Loopback omezit 127.0.0.1 omezit :: 1 # Omezte se o něco méně na počítače v místní síti. omezit 192.168.10.0 masku 255.255.255.0 nomodify notrap # Použijte veřejné veřejné servery projektu pool.ntp.org # Pokud se chcete k projektu připojit, navštivte # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client broadcast 192.168.10.255 4 # Povolit veřejnou kryptografii. #crypto includefile / etc / ntp / crypto / pw # Soubor klíče obsahující klíče a identifikátory klíčů # používané při práci se kryptografickými klíči se symetrickým klíčem / etc / ntp / keys # Určete důvěryhodné identifikátory klíčů. #trustedkey 8 42 8 # Určete identifikátor klíče, který se má použít s obslužným programem ntpdc. #requestkey 8 # Určete identifikátor klíče, který se má použít s obslužným programem ntpq. #controlkey 2013 # Povolit zápis statistických registrů. #statistics clockstats cryptostats loopstats peerstats # Zakažte monitor odchodu, abyste zabránili zesílení # útoků pomocí příkazu ntpdc monlist, když výchozí omezení # neobsahuje příznak noquery. Další podrobnosti najdete v CVE-5211-XNUMX #. # Poznámka: Monitor není deaktivován s příznakem omezeného omezení. deaktivovat monitor

Povolujeme, spouštíme a kontrolujeme službu NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Network Time Service Loaded: loaded (/usr/lib/systemd/system/ntpd.service; disabled; vendor preset: disabled) Aktivní: neaktivní (mrtvý)

[root @ linuxbox ~] # systemctl povolit ntpd
Vytvořen symbolický odkaz z /etc/systemd/system/multi-user.target.wants/ntpd.service do /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - služba Network Time Service
   Načteno: načteno (/usr/lib/systemd/system/ntpd.service; povoleno; předvolba dodavatele: deaktivováno) Aktivní: aktivní (běží) od Pá 2017-04-14 15:51:08 EDT; Před 1 s Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kód = ukončen, stav = 0 / ÚSPĚCH) Hlavní PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp a firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externí
  rozhraní: ens34
na veřejnosti
  rozhraní: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --reload
úspěch

Povolujeme a konfigurujeme Dnsmasq

Jak jsme viděli v předchozím článku v seriálu SMB Networks, Dnsamasq je ve výchozím nastavení nainstalován na CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server DNS pro ukládání do mezipaměti. Načteno: načteno (/usr/lib/systemd/system/dnsmasq.service; deaktivováno; předvolba dodavatele: deaktivováno) Aktivní: neaktivní (mrtvé)

[root @ linuxbox ~] # systemctl povolit dnsmasq
Vytvořen symbolický odkaz z /etc/systemd/system/multi-user.target.wants/dnsmasq.service do /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server DNS pro ukládání do mezipaměti. Načteno: načteno (/usr/lib/systemd/system/dnsmasq.service; povoleno; přednastavení dodavatele: zakázáno) Aktivní: aktivní (běží) od Pá 2017-04-14 16:21:18 EDT; Před 4 s Hlavní PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OBECNÉ MOŽNOSTI # ----------------------------- -------------------------------------- potřebná doména # Nepředávejte jména bez domény part bogus-priv # Nepředávejte adresy v nesměrovaném prostoru expand-hosts # Automaticky přidá doménu k hostiteli interface=ens32 # LAN interface strict-order # Pořadí, ve kterém je dotazován soubor /etc/resolv.conf conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # Domain name address=/time.windows.com/192.168.10.5 # Odešle prázdnou možnost hodnoty WPAD. Vyžadováno pro # Windows 7 a novější klienty, aby se chovali správně. ;-) dhcp-option=252,"\n" # Soubor, kde deklarujeme HOSTY, kteří budou "zakázáni" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fanoušek/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ------------------------------------------ # Tento typ záznamu vyžaduje záznam # v souboru /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Vrátí MX záznam s názvem "desdelinux.fan" určeno # poštovnímu týmu.desdelinux.fan a priorita 10 mx-host=desdelinux.fan,mail.desdelinux.fan,10 # Výchozí cíl pro záznamy MX vytvořené # pomocí volby localmx bude: mx-target=mail.desdelinux.fan # Vrací záznam MX ukazující na mx-target pro VŠECHNY # místní počítače localmx # TXT záznamy. Můžeme také deklarovat SPF záznam txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fanoušek,"DesdeLinux, váš blog věnovaný svobodnému softwaru" # ----------------------------------------- -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- ------------------------------------------- # IPv4 rozsah a doba pronájmu # 1 až 29 jsou pro servery a další potřeby dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Maximální počet adres k pronájmu # ve výchozím nastavení je 150 # Rozsah IPV6 # dhcp-range=1234::, ra-only # Options for RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY 6,192.168.10.5p-server DNS 15p-option dhc.XNUMX # možnost =XNUMX,desdelinux.fan # DNS Domain Name dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # subhoritative dhcp- DHCP-Autoritative ---------------------------------------------- --- ----------- # Pokud chcete uložit protokol dotazu do /var/log/messages # odkomentujte řádek níže # ---------- ------- ------------------------------------------- -------
# dotazů na protokol
# KONEC souboru /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Vytvoříme soubor / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Opravené IP adresy

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.sysadmin fanouška

Konfigurujeme soubor /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf

hledat desdelinux.fan nameserver 127.0.0.1 # Pro externí nebo # nedoménové DNS dotazy desdelinux.fan # local=/desdelinux.fan/ nameserver 8.8.8.8

Zkontrolujeme syntaxi souboru dnsmasq.conf, spustíme a zkontrolujeme stav služby

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: kontrola syntaxe v pořádku.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq a Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externí
  rozhraní: ens34
na veřejnosti
  rozhraní: ens32

Služba doména o Domain Name Server (dns). Protokol výpad «IP s šifrováním«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
úspěch

Dnsmasq dotazy na externí servery DNS

[root @ linuxbox ~] # firewall-cmd --zone = externí --add-port = 53 / tcp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --zone = externí --add-port = 53 / udp --permanent
úspěch

Služba boty o Server BOOTP (dhcp). Protokol ippc «Jádro paketu internetového pluribusu«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
úspěch

[root @ linuxbox ~] # firewall-cmd --reload
úspěch

[root @ linuxbox ~] # firewall-cmd --info-zóna veřejná veřejná (aktivní)
  cíl: výchozí icmp-block-inverze: žádná rozhraní: ens32 zdroje: služby: dhcp dns ntp ssh porty: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoly: maškaráda: žádné porty vpřed: sourceports: icmp -bloky: bohatá pravidla:

[root @ linuxbox ~] # firewall-cmd --info-zóna externí externí (aktivní)
  cíl: výchozí icmp-block-inverze: žádná rozhraní: ens34 zdroje: služby: dns porty: 53 / udp 53 / tcp protokoly: maškaráda: ano dopředné porty: sourceports: icmp-blocks: parameter-problem redirect router-advertising router- pravidla bohatá na zdrojové uhasení:

Pokud chceme ke konfiguraci Firewallu v CentOS 7 použít grafické rozhraní, podíváme se do obecného menu - bude záležet na desktopovém prostředí, ve kterém se podnabídka objeví - aplikaci «Firewall», provedeme ji a po zadání uživatelského Heslo kořen, vstoupíme do rozhraní programu jako takového. V MATE se objeví v nabídce «Systém »->„ Správa “->„ Firewall “.

Vybereme oblast «na veřejnosti»A autorizujeme Služby, které chceme publikovat v síti LAN a které doposud jsou dhcp, dns, ntp a ssh. Po výběru služeb a ověření, že vše funguje správně, musíme provést změny v Runtime na Permanent. Chcete-li to provést, přejděte do nabídky Možnosti a vyberte možnost «Spusťte čas na trvalý".

Později vybereme Oblast «externí»A kontrolujeme, zda jsou otevřené porty nezbytné pro komunikaci s internetem. NEZveřejňujte služby v této zóně, pokud velmi dobře nevíme, co děláme!.

Nezapomeňte provést změny Trvalé pomocí možnosti «Spusťte čas na trvalý»A znovu načtěte démona FirewallD, pokaždé, když použijeme tento výkonný grafický nástroj.

NTP a Dnsmasq z klienta Windows 7

Synchronizace s NTP

externí

Pronajatá IP adresa

Microsoft Windows [Verze 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Všechna práva vyhrazena. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : SEDM
   Přípona primární Dns. . . . . . . :
   NodeType. . . . . . . . . . . . : Hybridní směrování IP povoleno. . . . . . . . : Není povoleno žádné WINS Proxy. . . . . . . . : Žádný seznam hledání přípon DNS. . . . . . : desdelinux.fan Ethernet adapter Připojení k místní síti: Přípona DNS specifická pro připojení . : desdelinux.fan Popis . . . . . . . . . . . : Fyzická adresa síťového připojení Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP povoleno. . . . . . . . . . . : Ano Automatická konfigurace povolena . . . . : Vidlice
   Adresa IPv4. . . . . . . . . . . : 192.168.10.115 (Preferováno)
   Maska podsítě. . . . . . . . . . . : 255.255.255.0 Získaná nájemní smlouva. . . . . . . . . . : pátek 14. dubna 2017 5:12:53 Nájemní smlouva vyprší . . . . . . . . . . : Sobota, 15. dubna 2017 1:12:53 Výchozí brána . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 servery DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS přes Tcpip. . . . . . . . : Povoleno Připojení k místní síti adaptéru tunelu* 9: Stav média . . . . . . . . . . . : Médium odpojeno Přípona DNS specifická pro připojení . : Popis . . . . . . . . . . . : Fyzická adresa adaptéru Microsoft Teredo Tunneling Adapter. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP povoleno. . . . . . . . . . . : Není povolena žádná automatická konfigurace. . . . : Ano Tunelový adaptér isatap.desdelinux.fan: Media State. . . . . . . . . . . : Médium odpojeno Přípona DNS specifická pro připojení . : desdelinux.fan Popis . . . . . . . . . . . : Fyzická adresa adaptéru Microsoft ISATAP #2. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP povoleno. . . . . . . . . . . : Není povolena žádná automatická konfigurace. . . . : Ano C:\Users\buzz>

Tip

Důležitou hodnotou v klientech Windows je „Primární přípona Dns“ nebo „Přípona hlavního připojení“. Pokud nepoužíváte řadič domény Microsoft, operační systém mu nepřidělí žádnou hodnotu. Pokud čelíme případu, jako je ten popsaný na začátku článku, a chceme tuto hodnotu výslovně deklarovat, musíme postupovat podle toho, co je znázorněno na následujícím obrázku, přijmout změny a restartovat klienta.

Pokud běžíme znovu CMD -> ipconfig / vše získáme následující:

Microsoft Windows [Verze 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Všechna práva vyhrazena. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : SEDM
   Přípona primární Dns. . . . . . . : desdelinux.fanoušek
   NodeType. . . . . . . . . . . . : Hybridní směrování IP povoleno. . . . . . . . : Není povoleno žádné WINS Proxy. . . . . . . . : Žádný seznam hledání přípon DNS. . . . . . : desdelinux.fanoušek

Zbytek hodnot zůstane nezměněn

Kontroly DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com má adresu 127.0.0.1 Hostitel spynet.microsoft.com nenalezen: 5 (ODMÍTNUTO) Pošta spynet.microsoft.com je zpracovávána 1 poštou.desdelinux.fanoušek.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.

buzz @ sysadmin: ~ $ hostitelský sysadmin
správce systému.desdelinux.fan má adresu 192.168.10.1 sysadmin.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.

buzz @ sysadmin: ~ $ hostitelská pošta
mail.desdelinux.fan je alias pro linuxbox.desdelinux.fanoušek. linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.

Instalujeme -pouze pro testování- Autoritativní server DNS NSD ve Windows správce systému.desdelinux.fanoušeka zahrneme IP adresu 172.16.10.1 v archivu / Etc / resolv.conf zařízení linuxbox.desdelinux.fanoušek, abychom ověřili, že Dnsmasq správně vykonává svoji funkci Forwarder. Sandboxes na serveru NSD jsou favt.org y toujague.org. Všechny adresy IP jsou fiktivní nebo ze soukromých sítí.

Pokud deaktivujeme rozhraní WAN ens34 pomocí příkazu ifdown ens34„Dnsmasq nebude moci vyhledávat externí servery DNS.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Hostitel toujague.org nebyl nalezen: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Hostitel pizzapie.favt.org nebyl nalezen: 3 (NXDOMAIN)

Povolíme rozhraní ens34 a zkontrolujeme to znovu:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org je alias pro paisano.favt.org. paisano.favt.org má adresu 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Hostitel pizzas.toujague.org nebyl nalezen: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org má adresu 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
jmenný server favt.org ns1.favt.org. jmenný server favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
jmenný server toujague.org ns1.toujague.org. jmenný server toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
poštu toujague.org zpracovává 10 mail.toujague.org.

Pojďme se poradit od správce systému.desdelinux.fanoušek:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 

hledat desdelinux.názvový server fanoušků 192.168.10.5

xeon @ sysadmin: ~ $ hostitel mail.toujague.org
mail.toujague.org má adresu 169.18.10.19

Dnsmasq funguje jako Dopravce správně

Oliheň

V knize ve formátu PDF «Konfigurace serverů Linux»Autor ze dne 25. července 2016 Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), text, na který jsem v předchozích článcích odkazoval, je věnována celá kapitola Základní možnosti konfigurace Squid.

Vzhledem k důležitosti služby Web - Proxy reprodukujeme úvod o Squid ve výše uvedené knize:

105.1. Úvod.

105.1.1. Co je to zprostředkující server (proxy)?

Termín v angličtině „Proxy“ má velmi obecný a zároveň nejednoznačný význam
je vždy považován za synonymum pojmu "Zprostředkovatel". Obvykle se překládá v užším slova smyslu jako delegát o proxy (ten, kdo má moc nad druhým).

Un Zprostředkující server Je definován jako počítač nebo zařízení, které nabízí síťovou službu, která spočívá v povolení klientům provádět nepřímé síťové připojení k jiným síťovým službám. Během procesu dojde k následujícímu:

  • Klient se připojí k Proxy server.
  • Klient požaduje připojení, soubor nebo jiný prostředek dostupný na jiném serveru.
  • Intermediary Server poskytuje prostředek buď připojením k uvedenému serveru
    nebo jej obsluhovat z mezipaměti.
  • V některých případech Zprostředkující server může změnit požadavek klienta nebo
    odpověď serveru pro různé účely.

L Proxy servery obecně jsou vyrobeny tak, aby fungovaly současně jako požární zeď působící v Úroveň sítě, fungující jako paketový filtr, jako v případě iptables nebo působící v Úroveň aplikace, ovládající různé služby, jako je tomu v případě Obálka TCP. V závislosti na kontextu je požární zeď známá také jako Rozšíření BPD o Bobjednat Protace Dzařízení nebo jen paketový filtr.

Běžná aplikace Proxy servery je fungovat jako mezipaměť síťového obsahu (hlavně HTTP), která poskytuje v blízkosti klientů mezipaměť stránek a souborů dostupných prostřednictvím sítě na vzdálených serverech HTTP, což umožňuje klientům místní sítě k nim rychlejší a rychlejší přístup spolehlivý.

Když je přijat požadavek na specifikovaný síťový prostředek v URL (Uniformní Rzdroj Locator) Zprostředkující server hledat výsledek URL uvnitř mezipaměti. Pokud je nalezen, Zprostředkující server Odpovídá zákazníkovi okamžitým poskytnutím požadovaného obsahu. Pokud požadovaný obsah v mezipaměti chybí, Zprostředkující server načte jej ze vzdáleného serveru, doručí jej klientovi, který o to požádal, a uchová kopii v mezipaměti. Obsah v mezipaměti je poté odstraněn pomocí algoritmu vypršení platnosti podle věku, velikosti a historie odpovědi na žádosti (hity) (příklady: LRU, LFUDA y GDSF).

Servery proxy pro síťový obsah (webové servery proxy) mohou také fungovat jako filtry poskytovaného obsahu a uplatňovat zásady cenzury podle libovolných kritérií..

Verze Squid, kterou nainstalujeme, je 3.5.20-2.el7_3.2 z úložiště aktualizace.

Instalace

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  chobotnice.konf
cachemgr.conf.default mime.conf              squid.conf.výchozí
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl povolit chobotnice

Důležitý

  • Hlavním cílem tohoto článku je autorizovat místní uživatele pro připojení k Squidu z jiných počítačů připojených k síti LAN. Kromě toho implementujte jádro serveru, na který budou přidány další služby. Není to článek věnovaný chobotnici jako takové.
  • Chcete-li získat představu o možnostech konfigurace Squid, přečtěte si soubor /usr/share/doc/squid-3.5.20/squid.conf.documented, který má 7915 řádků.

SELinux a Squid

[root @ linuxbox ~] # getsebool -a | grep chobotnice
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

konfigurace

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # neregistrované porty acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT metoda CONNECT # Odmítáme dotazy na nezabezpečené porty http_access odepřít! Safe_ports # Odepřeme metodu CONNECT pro nezabezpečené porty http_access odepřít CONNECT! SSL_ports # Přístup k Správce mezipaměti pouze z localhost http_access povolit localhost manager http_access popřít správce # Důrazně doporučujeme následující odkomentovat pro ochranu nevinných # webových aplikací běžících na proxy serveru, kteří si myslí, že jediný # ten, kdo má přístup ke službám na „localhost“, je místní uživatel http_access popřít to_localhost # # ZADEJTE SVÉ VLASTNÍ PRAVIDLO ZDE, ABYSTE POVOLILI PŘÍSTUP OD KLIENTŮ # # PAM autorizace
auth_param základní program / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm desdelinux.fan auth_param basic credentialsttl 2 hodiny auth_param basic casesensitive off # Squid přístup vyžaduje autentizaci acl Nadšenci proxy_auth POŽADOVÁNO # Povolujeme přístup ověřeným uživatelům # přes PAM http_access deny !Nadšenci # Povolit FTP servery acl ftp protocess FTPc local http_access_access povolit localhost # Zakazujeme jakýkoli jiný přístup k http_access proxy zakázat vše # Squid normálně naslouchá na portu 3128 http_port 3128 # Ponecháváme "coredumps" v prvním adresáři cache coredump_dir /var/spool/squid # # Přidejte jakýkoli svůj vlastní refresh_pattern položky nad těmito položkami. # refresh_pattern ^ftp: 1440 20 % 10080 refresh_pattern ^gopher: 1440 0 % 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0 % 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 buzzphigh_cache_grsdesdelinux.fan # Další parametry visible_hostname linuxbox.desdelinux.fanoušek

Zkontrolujeme syntaxi souboru /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k analýza
2017. 04. 16 15:45:10| Spuštění: Inicializace autentizačních schémat... 2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'basic' 2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest' 2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'negotiate' 2017/04/16 15:45:10| Spuštění: Inicializované autentizační schéma 'ntlm' 2017/04/16 15:45:10| Spuštění: Inicializované ověření. 2017. 04. 16 15:45:10| Zpracování konfiguračního souboru: /etc/squid/squid.conf (hloubka 0) 2017/04/16 15:45:10| Zpracování: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Zpracování: acl SSL_ports port 443 21 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 1025-65535 # neregistrované porty 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Zpracování: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Zpracování: acl metoda CONNECT CONNECT 2017/04/16 15:45:10| Zpracování: http_access deny !Safe_ports 2017/04/16 15:45:10| Zpracování: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Zpracování: http_access allow localhost manager 2017/04/16 15:45:10| Zpracování: http_access deny manager 2017/04/16 15:45:10| Zpracování: http_access deny to_localhost 2017/04/16 15:45:10| Zpracování: auth_param základní program /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Zpracování: auth_param basic children 5 2017/04/16 15:45:10| Zpracování: základní sféra auth_param desdelinux.fan 2017/04/16 15:45:10| Zpracování: auth_param basic credentialsttl 2 hodiny 2017/04/16 15:45:10| Zpracování: auth_param basic casesensitive vypnuto 2017/04/16 15:45:10| Zpracování: acl Enthusiasts proxy_auth POVINNÉ 2017/04/16 15:45:10| Zpracování: http_access deny !Nadšenci 2017/04/16 15:45:10| Zpracování: acl ftp proto FTP 2017/04/16 15:45:10| Zpracování: http_access allow ftp 2017/04/16 15:45:10| Zpracování: http_access allow localnet 2017/04/16 15:45:10| Zpracování: http_access allow localhost 2017/04/16 15:45:10| Zpracování: http_access odepřít vše 2017/04/16 15:45:10| Zpracování: http_port 3128 2017/04/16 15:45:10| Zpracování: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Zpracování: refresh_pattern ^ftp: 1440 20 % 10080 2017/04/16 15:45:10| Zpracování: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Zpracování: refresh_pattern -i (/cgi-bin/|\?) 0 0 % 0 2017/04/16 15:45:10| Zpracování: refresh_pattern . 0 20 % 4320 2017. 04. 16 15:45:10| Zpracování: cache_mem 64 MB 2017. 04. 16 15:45:10| Zpracování: memory_replacement_policy lru 2017/04/16 15:45:10| Zpracování: cache_replacement_policy halda LFUDA 2017/04/16 15:45:10| Zpracování: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Zpracování: maximum_object_size 4 MB 2017/04/16 15:45:10| Zpracování: cache_swap_low 85 2017/04/16 15:45:10| Zpracování: cache_swap_high 90 2017/04/16 15:45:10| Zpracování: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Zpracování: viditelný_hostitel linuxbox.desdelinux.fan 2017/04/16 15:45:10| Inicializace kontextu proxy https

Upravujeme oprávnění v / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Vytvoříme adresář mezipaměti

# Jen pro případ ... [root @ linuxbox ~] # zastavení služby squid
Přesměrování na / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Nastavit aktuální adresář na / var / spool / squid 2017/04/16 15:48:28 kid1 | Vytváření chybějících odkládacích adresářů 2017/04/16 15:48:28 kid1 | / var / spool / squid existuje 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Vytváření adresářů v / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Vytváření adresářů v / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Vytváření adresářů v / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Vytváření adresářů v / var / spool / squid / 0F

V tomto okamžiku, pokud návrat příkazového řádku - který mi nikdy nebyl vrácen - chvíli trvá - stiskněte klávesu Enter.

[root @ linuxbox ~] # spuštění chobotnice služby
[root @ linuxbox ~] # restartování chobotnice služby
[root @ linuxbox ~] # stav chobotnice služby
Přesměrování na / bin / systemctl status squid.service ● squid.service - proxy pro ukládání do mezipaměti Squid Načteno: načten (/usr/lib/systemd/system/squid.service; deaktivováno; předvolba dodavatele: deaktivováno) Aktivní: aktivní (běží) od dom 2017-04-16 15:57:27 EDT; Před 1 s Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (kód = exited, status = 0 / SUCCESS) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Hlavní PID: 2876 (chobotnice) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16. dubna 15:57:27 linuxbox systemd [1]: Spuštění proxy serveru pro ukládání do mezipaměti ... 16. dubna 15:57:27 linuxbox systemd [1]: Spuštěný proxy server pro ukládání do mezipaměti Squid. 16. dubna 15:57:27 linuxbox squid [2876]: Squid Parent: spustí 1 děti 16. dubna 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... ed 16. dubna 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... 1 Tip: Některé èáry byly elipsovány, použijte -l k úplnému zobrazení

[root @ linuxbox ~] # cat / var / log / messages | grep chobotnice

Opravy brány firewall

Musíme také otevřít v Zóně «externí"přístavy 80 HTTP y 443 HTTPS aby Squid mohl komunikovat s internetem.

[root @ linuxbox ~] # firewall-cmd --zone = externí --add-port = 80 / tcp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --zone = externí --add-port = 443 / tcp --permanent
úspěch
[root @ linuxbox ~] # firewall-cmd --reload
úspěch
[root @ linuxbox ~] # firewall-cmd --info-zóna externí
externí (aktivní) cíl: výchozí icmp-block-inverze: žádná rozhraní: zdroje ens34: služby: dns porty: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoly: maškaráda: ano forward-porty: sourceports: icmp-blocks: parametr-problem redirect router-advertising router-solicitation source-quench rich rules:
  • Není nečinné přejít na grafickou aplikaci «Konfigurace brány firewall»A zkontrolujte, zda jsou pro zónu otevřené porty 443 tcp, 80 tcp, 53 tcp a 53 udp«externí«, A že jsme pro ni NEZveřejnili žádnou službu.

Poznámka k pomocnému programu basic_pam_auth

Pokud se podíváme do příručky k tomuto nástroji prostřednictvím muž basic_pam_auth Přečteme si, že sám autor důrazně doporučuje, aby byl program přesunut do adresáře, kde normální uživatelé nemají dostatečná oprávnění pro přístup k nástroji.

Na druhou stranu je známo, že s tímto autorizačním schématem se přihlašovací údaje pohybují v prostém textu a není to bezpečné pro nepřátelská prostředí, čtěte otevřené sítě.

jeff yestrumskas věnovat článek «Jak na to: Nastavte zabezpečený webový proxy server pomocí šifrování SSL, proxy serveru Squid Caching a ověřování PAM»K problému zvýšení bezpečnosti s tímto schématem ověřování, aby jej bylo možné použít v potenciálně nepřátelských otevřených sítích.

Nainstalujeme httpd

Jako způsob, jak zkontrolovat fungování Squid - a mimochodem, že Dnsmasq - nainstalujeme službu httpd -Apache webový server- což není nutné dělat. V souboru relativní k Dnsmasq / etc / banner_add_hosts Prohlašujeme weby, které chceme zakázat, a výslovně jim přidělujeme stejnou IP adresu, jakou mají linuxový box. Pokud tedy požadujeme přístup na některý z těchto webů, domovskou stránku httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl povolit httpd
Vytvořen symbolický odkaz z /etc/systemd/system/multi-user.target.wants/httpd.service na /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) Active: active (running) since Sun 2017-04-16 16:41: 35 EDT; Před 5 s Dokumenty: muž: httpd (8) muž: apachectl (8) Hlavní PID: 2275 (httpd) Stav: „Zpracování požadavků ...“ CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16. dubna 16:41:35 linuxbox systemd [1]: Spuštění serveru Apache HTTP ... 16. dubna 16:41:35 linuxbox systemd [1]: Spuštění serveru Apache HTTP.

SELinux a Apache

Apache má několik zásad pro konfiguraci v kontextu SELinuxu.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> na httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> na httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> na httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobsherve offlimift -> off httpd_runcobsherve offlimift_runcozant offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > vypnuto httpd_unified -> vypnuto httpd_use_cifs -> vypnuto httpd_use_fusefs -> vypnuto httpd_use_gpg -> vypnuto httpd_use_nfs -> vypnuto httpd_use_openstack -> vypnuto httpd_use_sasl -> vypnuto httpd_verify_dns -> vypnuto

Budeme konfigurovat pouze následující:

Odesílejte e-maily prostřednictvím Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Povolte Apache číst obsah umístěný v domovských adresářích místních uživatelů

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Povolit správu libovolného adresáře spravovaného prostřednictvím FTP nebo FTPS
Apache nebo povolte, aby Apache fungoval jako server FTP, který poslouchá požadavky prostřednictvím portu FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Pro více informací si prosím přečtěte Konfigurace serverů Linux.

Zkontrolujeme ověření

Zbývá jen otevřít prohlížeč na pracovní stanici a ukázat například na http://windowsupdate.com. Zkontrolujeme, zda je požadavek správně přesměrován na domovskou stránku Apache v linuxboxu. Ve skutečnosti jakýkoli název webu deklarovaný v souboru / etc / banner_add_hosts budete přesměrováni na stejnou stránku.

Dokazují to obrázky na konci článku.

Správa uživatelů

Děláme to pomocí grafického nástroje «Správa uživatelů»Ke kterému přistupujeme prostřednictvím nabídky Systém -> Správa -> Správa uživatelů. Pokaždé, když přidáme nového uživatele, vytvoří se jeho složka / home / user automaticky.

zálohy

Linuxoví klienti

Potřebujete pouze běžný prohlížeč souborů a uvedete, že se chcete připojit, například: ssh: // buzz @ linuxbox / home / buzz a po zadání hesla se zobrazí adresář domov uživatele bzučet.

Klienti Windows

V klientech Windows nástroj používáme WinSCP. Po instalaci jej používáme následujícím způsobem:

Jednoduché, že?

Shrnutí

Viděli jsme, že je možné použít PAM k autentizaci služeb v malé síti a v kontrolovaném prostředí zcela izolovaném od rukou hackeři. Je to hlavně kvůli skutečnosti, že ověřovací údaje cestují v prostém textu, a proto se nejedná o ověřovací schéma, které by se mělo používat v otevřených sítích, jako jsou letiště, sítě Wi-Fi atd. Jedná se však o jednoduchý autorizační mechanismus, který se snadno implementuje a konfiguruje.

Konzultované zdroje

PDF verze

Stáhněte si verzi PDF zde.

Až do dalšího článku!


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   NauTiluS řekl

    Byl vyléčen obrovský příspěvek, pane. Děkujeme za sdílení vašich znalostí.

  2.   ještěrka řekl

    Vím, jak obtížné je sestavit článek s takovou úrovní podrobností, s celkem jasnými testy a především s koncepty a strategiemi přizpůsobenými normám. Skládám klobouk před tímto klenotem příspěvků, moc děkuji Ficovi za tak dobrou práci.

    Nikdy jsem nekombinoval chobotnici s autentizací pam, ale jdu co nejdále, abych tuto praxi provedl v mé laboratoři ... Objetí cíle a pokračujeme !!

  3.   Federico řekl

    NaTiluS: Velice vám děkuji za komentář a hodnocení.
    Ještěrka: I vám moc děkuji za váš komentář a hodnocení.

    Čas a úsilí věnované vytváření článků, jako je tento, jsou odměněny pouze čtením a komentáři těch, kteří navštíví komunitu. DesdeLinux. Doufám, že vám to bude užitečné ve vaší každodenní práci.
    Pokračujeme!

  4.   anonymní řekl

    Neuvěřitelný občanský příspěvek !!!! Přečetl jsem si každý váš článek a mohu říci, že i ten, kdo nemá pokročilé znalosti svobodného softwaru (jako já), může tento vynikající článek sledovat krok za krokem. Na zdraví !!!!

  5.   IWO řekl

    Díky Ficovi za tento další skvělý článek; Jako by to nestačilo u všech již publikovaných příspěvků, v tomto máme službu, která dříve nebyla pokryta sérií PYMES, a to je nesmírně důležité: „SQUID“ nebo Proxy LAN. Nic z toho, že pro nás rodina těch, kteří si myslí, že jsme „sysadmini“, zde nemá další dobrý materiál ke studiu a prohloubení našich znalostí.

  6.   Federico řekl

    Děkuji vám všem za vaše komentáře. Následující článek se bude zabývat serverem chatu Prosody s ověřováním proti místním pověřením (PAM) přes Cyrus-SASL a tato služba bude implementována na stejném serveru.

  7.   kenpachiRo17 řekl

    V pravý čas krajan !!!! Skvělý přínos i pro ty, jako jsem já, kteří nemají skvělé znalosti o svobodném softwaru a vášnivě se učí s tak vynikajícími články, jako je tento. Sledoval jsem vaše příspěvky a chtěl bych vědět, podle kterého článku byste mi doporučil začít s touto sérií sítí SME, protože jsem četl neuspořádaně a myslím, že má spoustu hodnotného obsahu, který mi chybí detail. Bez dalších, pozdravů a ​​může sdílené znalosti i software zůstat zdarma !!

    1.    Federico řekl

      Zdravím krajana !!!. Doporučuji začít od začátku, že i když se to může zdát jako dlouhá cesta, je to nejkratší cesta, abyste se neztratili. V indexu - který není aktualizován s posledními dvěma články - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, jsme stanovili doporučené pořadí čtení série, které začíná tím, jak udělat můj Pracovní stanice, pokračuje několika příspěvky věnovanými danému tématu virtualizace, následujte několik obálek BIND, Isc-Dhcp-Server a Dnsmasq, a tak dále, dokud se nedostaneme k části implementace služby pro síť SME, kde se právě nacházíme. Doufám, že vám to pomůže.

      1.    kenpachiRo17 řekl

        No to bude !!!! Hned začínám s řadou od začátku a těším se na nové články. Na zdraví !!!!