Squid + PAM-godkendelse i CentOS 7- SMB-netværk

Generelt serieindeks: Computernetværk til SMV'er: Introduktion

Forfatter: Federico Antonio Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Hej venner og venner!

Titlen på artiklen burde have været: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Blæksprutte med PAM-godkendelse i Centos 7 - SMV-netværk«. Af praktiske grunde forkorter vi det.

Vi fortsætter med godkendelsen til lokale brugere på en Linux-computer ved hjælp af PAM, og denne gang vil vi se, hvordan vi kan levere proxytjenesten med blæksprutter til et lille netværk af computere ved hjælp af godkendelsesoplysninger, der er gemt på den samme computer, hvor serveren løber Blæksprutte.

Selvom vi ved, at det i dag er meget almindelig praksis at godkende tjenester mod en OpenLDAP, Red Hats Directory Server 389, Microsoft Active Directory osv., Mener vi, at vi først skal gennemgå enkle og billige løsninger og derefter møde de mest komplekse dem. Vi mener, at vi skal gå fra det enkle til det komplekse.

Scene

Det er en lille organisation - med meget få økonomiske ressourcer - dedikeret til at støtte brugen af ​​fri software, og som valgte navnet på DesdeLinux.Ventilator. De er forskellige OS-entusiaster CentOS grupperet i et enkelt kontor. De købte en arbejdsstation - ikke en professionel server - som de vil afsætte til at fungere som en "server".

Entusiaster har ikke omfattende viden om, hvordan man implementerer en OpenLDAP-server eller en Samba 4 AD-DC, og de har heller ikke råd til at licensere en Microsoft Active Directory. De har dog brug for internetadgangstjenester via en proxy til deres daglige arbejde - for at fremskynde browsing - og en plads til at gemme deres mest værdifulde dokumenter og arbejde som sikkerhedskopier.

De bruger stadig mest lovligt erhvervede Microsoft-operativsystemer, men ønsker at ændre dem til Linux-baserede operativsystemer, begyndende med deres "Server".

De stræber også efter at have deres egen mailserver til at blive uafhængige - i det mindste fra oprindelsen - af tjenester som Gmail, Yahoo, HotMail osv., Hvilket er det, de i øjeblikket bruger.

Firewall- og routingsreglerne foran Internettet etablerer det i den kontrakt, der er indgået med ADSL.

De har ikke et rigtigt domænenavn, da de ikke behøver at offentliggøre nogen tjenester på Internettet.

CentOS 7 som en server uden GUI

Vi starter med en ny installation af en server uden en grafisk grænseflade, og den eneste mulighed, vi vælger under processen, er «Infrastruktur Server»Som vi så i tidligere artikler i serien.

Indledende indstillinger

[root @ linuxbox ~] # cat / etc / hostname 
Linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # værtsnavn
Linuxbox

[root @ linuxbox ~] # værtsnavn -f
linuxbox.desdelinux.ventilator

[root @ linuxbox ~] # ip addr-liste
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 det

Vi deaktiverer netværksadministratoren

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl deaktiver NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Netværksmanager indlæst: indlæst (/usr/lib/systemd/system/NetworkManager.service; deaktiveret; forudindstilling af leverandør: aktiveret) Aktiv: inaktiv (død) Dokumenter: mand: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Vi konfigurerer netværksgrænsefladerne

Ens32 LAN-interface tilsluttet det interne netværk

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = offentlig

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interface tilsluttet internettet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=da34 ONBOOT=ja BOOTPROTO=statisk HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nej IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-routeren er forbundet med # følgende adresse: IP GATEWAY=172.16.10.1 DOMÆNE=desdelinux.fan DNS1=127.0.0.1
ZONE = ekstern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfiguration af lagre

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # original mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum rens alt
Indlæste plugins: hurtigste spejl, langpacks Rengøringslagre: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Opdateringer-Repo Oprydning af alt Oprydningsliste over hurtigste spejle
[root @ linuxbox yum.repos.d] # yum opdatering
Indlæste plugins: hurtigste spejl, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primær_db | 5.6 MB 00:01 Bestemmelse af hurtigste spejle Ingen pakker markeret til opdatering

Beskeden "Ingen pakker markeret til opdatering»Vises, fordi vi under installationen erklærede de samme lokale arkiver, som vi har til rådighed.

Centos 7 med MATE-skrivebordsmiljøet

For at bruge de meget gode administrationsværktøjer med en grafisk grænseflade, som CentOS / Red Hat giver, og fordi vi altid savner GNOME2, besluttede vi at installere MATE som et skrivebordsmiljø.

[root @ linuxbox ~] # yum gruppeinstallation "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

For at kontrollere, at MATE indlæses korrekt, udfører vi følgende kommando i en konsol -lokal eller fjernbetjening:

[root @ linuxbox ~] # systemctl isoler grafisk.target

og skrivebordsmiljøet skal indlæses -på lokalt hold- glat, viser lightdm som et grafisk login. Vi skriver navnet på den lokale bruger og dens adgangskode, og vi indtaster MATE.

At fortælle det systemd at standardstartniveauet er 5-grafisk miljø - vi opretter følgende symbolske link:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Vi genstarter systemet, og alt fungerer fint.

Vi installerer Time Service for Networks

[root @ linuxbox ~] # yum install ntp

Under installationen konfigurerer vi, at det lokale ur synkroniseres med udstyrets tidsserver sysadmin.desdelinux.ventilator med IP 192.168.10.1. Så vi gemmer filen ntp.conf original af:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nu opretter vi en ny med følgende indhold:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servere konfigureret under installation: server 192.168.10.1 iburst # For mere information, se man-siderne for: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Tillad synkronisering med tidskilden, men ikke # tillad kilden at konsultere eller ændre denne service begrænser standard nomodify notrap nopeer noquery # Tillad al adgang til grænsefladen Loopback-begrænsning 127.0.0.1 limit :: 1 # Begræns lidt mindre til computere på det lokale netværk. begræns 192.168.10.0 maske 255.255.255.0 nomodify notrap # Brug projektets offentlige servere pool.ntp.org # Hvis du vil deltage i projektet, besøg # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # Broadcast Server Broadcast Client # Broadcast Client # Broadcast 224.0.1.1 autokey # multicast server # multicastclient 224.0.1.1 # multicast client # mangcastserver 239.255.254.254 # manycast server #anycastclient 239.255.254.254 autokey # manycast client broadcast 192.168.10.255 # Aktivér offentlig kryptografi. #crypto inklusive fil / etc / ntp / crypto / pw # Nøglefil indeholdende nøgler og nøgleidentifikatorer # brugt ved betjening med symmetriske nøglekryptografitaster / etc / ntp / keys # Angiv pålidelige nøgleidentifikatorer. #trustedkey 4 8 42 # Angiv den nøgle-id, der skal bruges med ntpdc-værktøjet. #requestkey 8 # Angiv den nøgle-id, der skal bruges med ntpq-værktøjet. #controlkey 8 # Aktiver skrivning af statistikregistre. #statistik clockstats cryptostats loopstats peerstats # Deaktiver løsrivelsesmonitoren for at forhindre forstærkning af # angreb ved hjælp af ntpdc monlist-kommandoen, når standard # -begrænsningen ikke inkluderer noquery-flag. Læs CVE-2013-5211 # for flere detaljer. # Bemærk: Skærmen er ikke deaktiveret med det begrænsede begrænsningsflag. deaktiver skærm

Vi aktiverer, starter og kontrollerer NTP-tjenesten

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Netværkstids service indlæst: indlæst (/usr/lib/systemd/system/ntpd.service; deaktiveret; leverandørindstilling: deaktiveret) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiver ntpd
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/ntpd.service til /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Network Time Service
   Indlæst: indlæst (/usr/lib/systemd/system/ntpd.service; aktiveret; forhandlerindstilling: deaktiveret) Aktiv: aktiv (kører) siden fre 2017-04-14 15:51:08 EDT; For 1 år siden Process: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Main PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp og Firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
ekstern
  grænseflader: ens34
offentlige
  grænseflader: ens32

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 123 / udp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes

Vi aktiverer og konfigurerer Dnsmasq

Som vi så i en tidligere artikel i Small Business Networks-serien, er Dnsamasq som standard installeret på en CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cacheserver. Indlæst: indlæst (/usr/lib/systemd/system/dnsmasq.service; deaktiveret; forhandlerindstilling: deaktiveret) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiverer dnsmasq
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/dnsmasq.service til /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cacheserver. Indlæst: indlæst (/usr/lib/systemd/system/dnsmasq.service; aktiveret; forhandlerindstilling: deaktiveret) Aktiv: aktiv (kører) siden fre 2017-04-14 16:21:18 EDT; 4s siden Hoved-PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------- ------------------ # GENERALOPTIONS # ------------------------------------ -------------------------------------- domæne-nødvendigt # Giv ikke navne uden domænet del bogus-priv # Send ikke adresser i ikke-rutet rum expand-hosts # Tilføjer automatisk domænet til værtsinterfacet=ens32 # LAN-grænseflade strict-order # Rækkefølgen i hvilken filen /etc/resolv.conf forespørges conf- dir=/etc /dnsmasq.d domæne=desdelinux.fan # Domænenavn adresse=/time.windows.com/192.168.10.5 # Sender en tom indstilling af WPAD-værdien. Nødvendig for at # Windows 7 og nyere klienter opfører sig korrekt. ;-) dhcp-option=252,"\n" # Fil, hvor vi vil erklære de HOSTS, der vil blive "forbudt" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------------- --------------------- # RECORDSCNAMEMXTX # -------------------------- ------------------------------------------ # Denne type post kræver en indtastning # i /etc/hosts fil # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Returnerer en MX-post med navnet "desdelinux.fan" bestemt # til mail-teamet.desdelinux.fan og prioritet på 10 mx-host=desdelinux.fan,mail.desdelinux.fan,10 # Standarddestinationen for MX-poster oprettet # ved brug af localmx-indstillingen vil være: mx-target=mail.desdelinux.fan # Returnerer en MX-post, der peger på mx-target for ALLE # lokale maskiner localmx # TXT-poster. Vi kan også erklære en SPF-record txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.ventilator,"DesdeLinux, din blog dedikeret til fri software" # ------------------------------------------ -------------------------- # RANGE OG MULIGHEDER # ---------------------------- ----- ------------------------------------------- # IPv4 interval og lejetid # 1 til 29 er til servere og andre behov dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Maksimalt antal adresser at leje # som standard er de 150 # IPV6 Range kl =1234,desdelinux.fan # DNS-domænenavn dhcp-option=19,1 # option ip-videresendelse TIL dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-autoritativt # -- DHCP Autor. ------------------------------------------------------- --- ----------- # Hvis du vil gemme forespørgslen, log ind /var/log/messages # afkommentér linjen under # ---------- ------- ------------------------------------------------------------------
# log-forespørgsler
# END af fil /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Vi opretter filen / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Faste IP-adresser

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Vi konfigurerer filen /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
søge desdelinux.fan navneserver 127.0.0.1 # Til eksterne eller # ikke-domæne DNS-forespørgsler desdelinux.fan # local=/desdelinux.fan/ navneserver 8.8.8.8

Vi kontrollerer filsyntaks dnsmasq.conf, vi starter og kontrollerer tjenestens status

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: syntaks check OK.
[root @ linuxbox ~] # systemctl genstart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq og Firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
ekstern
  grænseflader: ens34
offentlige
  grænseflader: ens32

service domæne o Domain Name Server (dns). Protokol knalde «IP med kryptering«

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 53 / udp --permanent
succes

Dnsmasq-forespørgsler til eksterne DNS-servere

[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 53 / udp --permanent
succes

service bootps o BOOTP-server (dhcp). Protokol IPPC «Internet Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 67 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 67 / udp --permanent
succes

[root @ linuxbox ~] # firewall-cmd --reload
succes

[root @ linuxbox ~] # firewall-cmd - info-zone offentlig offentlig (aktiv)
  mål: standard icmp-blok-inversion: ingen grænseflader: ens32 kilder: tjenester: dhcp dns ntp ssh porte: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoller: maskerade: ingen fremad-porte: sourceports: icmp -blocks: rige regler:

[root @ linuxbox ~] # firewall-cmd - ekstern ekstern info-zone (aktiv)
  mål: standard icmp-blok-inversion: ingen grænseflader: ens34 kilder: tjenester: dns-porte: 53 / udp 53 / tcp-protokoller: maskerade: ja forward-porte: sourceports: icmp-blocks: parameter-problem omdirigerer router-annonce router- regler for anmodning om kildeslukning:

Hvis vi vil bruge en grafisk grænseflade til at konfigurere Firewall i CentOS 7, ser vi i den generelle menu - det afhænger af skrivebordsmiljøet, i hvilken undermenu det vises - applikationen «Firewall», vi udfører det, og efter at have indtastet brugerens adgangskode rod, får vi adgang til programgrænsefladen som sådan. I MATE vises det i menuen «System »->" Administration "->" Firewall ".

Vi vælger området «offentlige»Og vi godkender, at de tjenester, vi ønsker, skal offentliggøres på LAN, som hidtil er dhcp, dns, ntp og ssh. Når vi har valgt tjenesterne, har vi verificeret, at alt fungerer korrekt, skal vi foretage ændringer i Runtime til Permanent. For at gøre dette går vi til menuen Indstillinger og vælger indstillingen «Kør tid til permanent".

Senere vælger vi området «ekstern»Og vi kontrollerer, at de porte, der er nødvendige for at kommunikere med Internettet, er åbne. Udgiv IKKE tjenester i denne zone, medmindre vi ved meget godt, hvad vi laver!.

Lad os ikke glemme at foretage ændringerne permanente gennem indstillingen «Kør tid til permanent»Og genindlæs dæmonen FirewallD, hver gang vi bruger dette kraftfulde grafiske værktøj.

NTP og Dnsmasq fra en Windows 7-klient

Synkronisering med NTP

ekstern

Lejet IP-adresse

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheder forbeholdes. C: \ Brugere \ buzz> ipconfig / alt Windows IP-konfigurationsværtsnavn. . . . . . . . . . . . : SYV
   Primært Dns Suffix. . . . . . . :
   NodeType. . . . . . . . . . . . : Hybrid IP-routing aktiveret. . . . . . . . : Ingen WINS-proxy aktiveret. . . . . . . . : Ingen DNS-suffikssøgningsliste. . . . . . : desdelinux.fan Ethernet-adapter Local Area Connection: Forbindelsesspecifik DNS-suffiks . : desdelinux.fan Beskrivelse . . . . . . . . . . . : Intel(R) PRO/1000 MT Netværksforbindelse fysisk adresse. . . . . . . . . : 00-0C-29-D6-14-36 DHCP aktiveret. . . . . . . . . . . : Ja Autokonfiguration aktiveret. . . . : Gafler
   IPv4-adresse. . . . . . . . . . . : 192.168.10.115 (Foretrukket)
   Undernetmaske . . . . . . . . . . . : 255.255.255.0 Leje Opnået. . . . . . . . . . : Fredag ​​den 14. april 2017 5:12:53 Lejekontrakt udløber . . . . . . . . . . : Lørdag den 15. april 2017 kl. 1:12:53 Standardgateway . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 DNS-servere. . . . . . . . . . . : 192.168.10.5 NetBIOS over Tcpip. . . . . . . . : Aktiveret tunneladapter Local Area Connection* 9: Medietilstand . . . . . . . . . . . : Medie afbrudt Forbindelsesspecifikt DNS-suffiks . : Beskrivelse . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Fysisk adresse. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiveret. . . . . . . . . . . : Ingen autokonfiguration aktiveret. . . . : Ja Tunneladapter isatap.desdelinux.fan: Medietilstand. . . . . . . . . . . : Medie afbrudt Forbindelsesspecifikt DNS-suffiks . : desdelinux.fan Beskrivelse . . . . . . . . . . . : Microsoft ISATAP Adapter #2 Fysisk adresse. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiveret. . . . . . . . . . . : Ingen autokonfiguration aktiveret. . . . : Ja C:\Users\buzz>

Tip

En vigtig værdi i Windows-klienter er "Primary Dns Suffix" eller "Main connection suffix". Når du ikke bruger en Microsoft Domain Controller, tildeler operativsystemet ikke nogen værdi til den. Hvis vi står over for en sag som den, der blev beskrevet i begyndelsen af ​​artiklen, og vi udtrykkeligt vil erklære denne værdi, skal vi fortsætte i henhold til det, der vises i det følgende billede, acceptere ændringerne og genstarte klienten.

Hvis vi løber igen CMD -> ipconfig / all vi opnår følgende:

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheder forbeholdes. C: \ Brugere \ buzz> ipconfig / alt Windows IP-konfigurationsværtsnavn. . . . . . . . . . . . : SYV
   Primært Dns Suffix. . . . . . . : desdelinux.ventilator
   NodeType. . . . . . . . . . . . : Hybrid IP-routing aktiveret. . . . . . . . : Ingen WINS-proxy aktiveret. . . . . . . . : Ingen DNS-suffikssøgningsliste. . . . . . : desdelinux.ventilator

Resten af ​​værdierne forbliver uændrede

DNS-kontrol

buzz @ sysadmin: ~ $ vært spynet.microsoft.com
spynet.microsoft.com har adresse 127.0.0.1 Vært spynet.microsoft.com ikke fundet: 5(AFVISET) spynet.microsoft.com mail håndteres af 1 mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ vært Linuxbox
linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan har adresse 192.168.10.1 sysadmin.desdelinux.fan mail håndteres af 1 mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ værtsmail
mail.desdelinux.fan er et alias for linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.ventilator.

Vi installerer -kun til test- en autoritativ DNS-server NSD i sysadmin.desdelinux.ventilator, og vi inkluderer IP-adressen 172.16.10.1 i arkivet / Etc / resolv.conf af holdet linuxbox.desdelinux.ventilator, for at kontrollere, at Dnsmasq udførte sin videresendelsesfunktion korrekt. Sandkasser på NSD-serveren er favt.org y toujague.org. Alle IP'er er fiktive eller fra private netværk.

Hvis vi deaktiverer WAN-grænsefladen ens34 ved hjælp af kommandoen ifdown ens34, Dnsmasq kan ikke forespørge eksterne DNS-servere.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org ikke fundet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vært pizzapie.favt.org
Host pizzapie.favt.org ikke fundet: 3 (NXDOMAIN)

Lad os aktivere ens34-grænsefladen og kontrollere igen:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ vært pizzapie.favt.org
pizzapie.favt.org er et alias for paisano.favt.org. paisano.favt.org har adresse 172.16.10.4

[buzz @ linuxbox ~] $ vært pizzapie.toujague.org
Host pizzas.toujague.org ikke fundet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vært poblacion.toujague.org
poblacion.toujague.org har adresse 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org navneserver ns1.favt.org. favt.org navneserver ns2.favt.org.

[buzz @ linuxbox ~] $ vært -t NS toujague.org
toujague.org navneserver ns1.toujague.org. toujague.org navneserver ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org-mail håndteres af 10 mail.toujague.org.

Lad os høre fra sysadmin.desdelinux.ventilator:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
søge desdelinux.fan navneserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org har adresse 169.18.10.19

Dnsmasq fungerer som Speditør korrekt.

Blæksprutte

I bogen i PDF-format «Linux-serverkonfiguration»Dateret 25. juli 2016 af forfatteren Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), en tekst, som jeg har henvist til i tidligere artikler, er der et helt kapitel dedikeret til Grundlæggende konfigurationsindstillinger for blæksprutter.

På grund af vigtigheden af ​​Web - Proxy-tjenesten gengiver vi introduktionen lavet om blæksprutten i den førnævnte bog:

105.1. Introduktion.

105.1.1. Hvad er en mellemliggende server (proxy)?

Udtrykket på engelsk "Proxy" har en meget generel og samtidig tvetydig betydning, selvom
betragtes altid som et synonym for begrebet "Mellemmand". Det oversættes normalt i streng forstand som delegeret o advokat (den der har magt over en anden).

Un Mellemliggende server Det defineres som en computer eller enhed, der tilbyder en netværkstjeneste, der består i at give klienter mulighed for at oprette indirekte netværksforbindelser til andre netværkstjenester. Under processen sker følgende:

  • Kunden opretter forbindelse til en Proxy-server.
  • Klienten anmoder om en forbindelse, fil eller anden ressource, der er tilgængelig på en anden server.
  • Intermediary Server leverer ressourcen enten ved at oprette forbindelse til den angivne server
    eller serverer det fra en cache.
  • I nogle tilfælde Mellemliggende server kan ændre klientens anmodning eller
    serverrespons til forskellige formål.

masse Proxy-servere de er generelt lavet til at fungere samtidigt som en brandmur, der fungerer i Netværksniveau, fungerer som et pakkefilter, som i tilfældet med iptables eller opererer i Ansøgningsniveau, kontrollere forskellige tjenester, som det er tilfældet med TCP-indpakning. Afhængig af sammenhængen er brandvæggen også kendt som BPD o Bordrer PESKYTTELSE Device eller bare pakkefilter.

En almindelig anvendelse af Proxy-servere er at fungere som en cache med netværksindhold (hovedsageligt HTTP), der giver i nærheden af ​​klienterne en cache med sider og filer, der er tilgængelige via netværket på eksterne HTTP-servere, hvilket giver klienter i det lokale netværk adgang til dem i en hurtigere og mere pålidelig.

Når der modtages en anmodning om en specificeret netværksressource i en URL (Uensartet Rressource Locator) Mellemliggende server se efter resultatet af URL inde i cachen. Hvis den findes, Mellemliggende server Reagerer på kunden ved straks at levere det ønskede indhold. Hvis det ønskede indhold ikke findes i cachen, vises Mellemliggende server det henter det fra en ekstern server, leverer det til klienten, der har anmodet om det, og gemmer en kopi i cachen. Indholdet i cachen fjernes derefter gennem en udløbsalgoritme i henhold til alder, størrelse og historie svar på anmodninger (hits) (eksempler: LRU, LFUDA y GDSF).

Proxy-servere til netværksindhold (webproxyer) kan også fungere som filtre af det serverede indhold og anvende censurpolitikker i henhold til vilkårlige kriterier..

Blæksprutteversionen, som vi installerer, er 3.5.20-2.el7_3.2 fra arkivet opdateringer.

Installation

[root @ linuxbox ~] # yum installere blæksprutte

[root @ linuxbox ~] # ls / etc / blæksprutte /
cachemgr.conf errorpage.css.default  blæksprutte.konf
cachemgr.conf.default mime.conf              blæksprutte.konf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl aktiverer blæksprutte

Vigtigt

  • Hovedformålet med denne artikel er at autorisere lokale brugere til at oprette forbindelse til blæksprutter fra andre computere, der er tilsluttet LAN. Derudover implementerer du kernen i en server, hvortil andre tjenester tilføjes. Det er ikke en artikel dedikeret til blæksprutten som sådan.
  • For at få en idé om Squid's konfigurationsindstillinger, skal du læse /usr/share/doc/squid-3.5.20/squid.conf.documented filen, som har 7915 linjer.

SELinux og blæksprutte

[root @ linuxbox ~] # getsebool -a | grep blæksprutte
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = til

konfiguration

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # uregistrerede porte acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports-port 591 # filemaker acl Safe_ports-port 777 # multiling http acl CONNECT-metode CONNECT # Vi nægter forespørgsler til ikke-sikre porte http_access deny! Safe_ports # Vi benægter CONNECT-metoden for ikke-sikre porte http_access deny CONNECT! SSL_ports # Adgang kun til Cache-manager fra localhost http_access tillad localhost manager http_access nægt manager # Vi anbefaler stærkt, at følgende ikke er kommenteret for at beskytte uskyldige # webapplikationer, der kører på proxyserveren, der tror, ​​at den eneste #, der kan få adgang til tjenester på "localhost" lokal bruger http_access nægter to_localhost # # INDSÆT DIN EGNE REGEL (ER) HER FOR AT TILLADE ADGANG FRA DINE KLIENTER # # PAM-autorisation
auth_param grundlæggende program / usr / lib64 / blæksprutte / basic_pam_auth
auth_param basic børn 5 auth_param basic realm desdelinux.fan auth_param basic credentialsttl 2 timer auth_param basic casesensitive off # Squid-adgang kræver godkendelse acl Entusiaster proxy_auth PÅKRÆVET # Vi tillader adgang til godkendte brugere # gennem PAM http_adgang nægte !Entusiaster http-adgang til FTP-processer http-local_netværks-websteder aclftpac_ tillad FTP-proces_netværk acl ftpac_ tillad localhost # Vi nægter enhver anden adgang til http_access-proxyen nægter alle # Squid lytter normalt på port 3128 http_port 3128 # Vi efterlader "coredumps" i den første cache-mappe coredump_dir /var/spool/squid # # Tilføj ethvert af dit eget refresh_pattern poster over disse. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low cache_swap_low cazz_hiche_85desdelinux.fan # Andre parametre visible_hostname linuxbox.desdelinux.ventilator

Vi kontrollerer filens syntaks /etc/squid/squid.conf

[root @ linuxbox ~] # blæksprutte-k-analyse
2017/04/16 15:45:10| Opstart: Initialiserer godkendelsesskemaer... 2017/04/16 15:45:10| Opstart: Initialiseret Authentication Scheme 'basic' 2017/04/16 15:45:10| Opstart: Initialiseret Authentication Scheme 'digest' 2017/04/16 15:45:10| Opstart: Initialiseret Authentication Scheme 'negotiate' 2017/04/16 15:45:10| Opstart: Initialiseret Authentication Scheme 'ntlm' 2017/04/16 15:45:10| Opstart: Initialiseret godkendelse. 2017/04/16 15:45:10| Behandler konfigurationsfil: /etc/squid/squid.conf (dybde 0) 2017/04/16 15:45:10| Behandling: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Behandling: acl SSL_ports port 443 21 2017/04/16 15:45:10| Behandling: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Behandling: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Behandling: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Behandling: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Behandling: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Behandling: acl Safe_ports port 1025-65535 # uregistrerede porte 2017/04/16 15:45:10| Behandling: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Behandling: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Behandling: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Behandling: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Behandling: acl CONNECT metode CONNECT 2017/04/16 15:45:10| Behandling: http_access deny !Safe_ports 2017/04/16 15:45:10| Behandling: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Behandling: http_access tillade localhost manager 2017/04/16 15:45:10| Behandling: http_access deny manager 2017/04/16 15:45:10| Behandling: http_access deny to_localhost 2017/04/16 15:45:10| Behandling: auth_param grundlæggende program /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Behandling: auth_param grundlæggende børn 5 2017/04/16 15:45:10| Behandling: auth_param grundlæggende realm desdelinux.fan 2017/04/16 15:45:10| Behandling: auth_param basic credentialsttl 2 timer 2017/04/16 15:45:10| Behandling: auth_param basic casesensitive off 2017/04/16 15:45:10| Behandling: acl Entusiaster proxy_auth PÅKRÆVET 2017/04/16 15:45:10| Behandling: http_adgang nægte !Entusiaster 2017/04/16 15:45:10| Behandling: acl ftp proto FTP 2017/04/16 15:45:10| Behandling: http_access tillade ftp 2017/04/16 15:45:10| Behandling: http_access tillade lokalnet 2017/04/16 15:45:10| Behandling: http_access tillade localhost 2017/04/16 15:45:10| Behandling: http_access nægte alle 2017/04/16 15:45:10| Behandling: http_port 3128 2017/04/16 15:45:10| Behandling: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Behandling: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Behandling: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Behandling: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Behandling: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Behandling: cache_mem 64 MB 2017/04/16 15:45:10 | Behandling: memory_replacement_policy lru 2017/04/16 15:45:10| Behandling: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Behandling: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Behandling: maximum_object_size 4 MB 2017/04/16 15:45:10| Behandling: cache_swap_low 85 2017/04/16 15:45:10| Behandling: cache_swap_high 90 2017/04/16 15:45:10| Behandler: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Behandler: visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Initialiserer https proxy-kontekst

Vi justerer tilladelser i / usr / lib64 / blæksprutte / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / blæksprutte / basic_pam_auth

Vi opretter cache-biblioteket

# Bare i tilfælde ... [root @ linuxbox ~] # service blæksprutte stop
Omdirigerer til / bin / systemctl stop squid.service

[root @ linuxbox ~] # blæksprutte -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Indstil den aktuelle mappe til / var / spool / blæksprutte 2017/04/16 15:48:28 kid1 | Oprettelse af manglende swap-mapper 2017/04/16 15:48:28 kid1 | / var / spool / blæksprutte eksisterer 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 00 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 01 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 02 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 03 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 04 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 05 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 06 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 07 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 08 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 09 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 0A 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0B 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0C 2017/04/16 15:48:29 kid1 | Oprette mapper i / var / spool / blæksprutte / 0D 2017/04/16 15:48:29 kid1 | Oprette mapper i / var / spool / blæksprutte / 0E 2017/04/16 15:48:29 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0F

På dette tidspunkt, hvis det tager et stykke tid at returnere kommandoprompten - som aldrig blev returneret til mig - skal du trykke på Enter.

[root @ linuxbox ~] # service blæksprutte start
[root @ linuxbox ~] # genstart af service blæksprutte
[root @ linuxbox ~] # service blæksprutte status
Omdirigering til / bin / systemctl status blæksprutte.service ● blæksprutte.service - blæksprutte-cacheproxy indlæst: indlæst (/usr/lib/systemd/system/squid.service; deaktiveret; leverandørforudindstilling: deaktiveret) Aktiv: aktiv (kører) siden dom 2017-04-16 15:57:27 EDT; For 1 år siden Process: 2844 ExecStop = / usr / sbin / blæksprutte -k nedlukning -f $ SQUID_CONF (kode = afsluttet, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / blæksprutte $ SQUID_OPTS -f $ SQUID_CONF (kode = afsluttet, status = 0 / SUCCESS) Proces: 2868 ExecStartPre = / usr / libexec / blæksprutte / cache_swap.sh (kode = afsluttet, status = 0 / SUCCESS) Hoved PID: 2876 (blæksprutte) CGroup: /system.slice/squid service [2876]: Startede proxy til blæksprutte-caching. 16. apr 15:57:27 linuxbox blæksprutte [1]: Blæksprutteforælder: starter 16 børn 15. apr 57:27:1 linuxbox blæksprutte [16]: blæksprutteforælder: (blæksprutte-15) proces 57 ... ed 27. april 2876 : 1: 16 linuxbox blæksprutte [15]: Blæksprutteforælder: (blæksprutte-57) proces 27 ... 2876 Tip: Nogle linjer blev ellipseret, brug -l til at vise i fuld

[root @ linuxbox ~] # cat / var / log / beskeder | grep blæksprutte

Løsninger på brandvæggen

Vi skal også åbne i zonen «ekstern"portene 80 HTTP y 443 HTTPS så blæksprutten kan kommunikere med internettet.

[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 80 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 443 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes
[root @ linuxbox ~] # firewall-cmd - ekstern infozone
eksternt (aktivt) mål: standard icmp-blok-inversion: ingen grænseflader: ens34 kilder: tjenester: dns-porte: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoller: masquerade: ja forward-porte: sourceports: icmp-blocks: parameter-problem omdirigere router-reklame router-anmodning source-quench rich regler:
  • Det er ikke inaktiv at gå til den grafiske applikation «Firewall-konfiguration»Og kontroller at porte 443 tcp, 80 tcp, 53 tcp og 53 udp er åbne for zonen«ekstern«, Og at vi IKKE har offentliggjort nogen tjeneste for hende.

Bemærk om basic_pam_auth hjælperprogrammet

Hvis vi gennemgår manualen til dette værktøj igennem mand basic_pam_auth Vi vil læse, at forfatteren selv fremsætter en stærk anbefaling om, at programmet flyttes til et bibliotek, hvor normale brugere ikke har tilstrækkelig tilladelse til at få adgang til værktøjet.

På den anden side er det kendt, at legitimationsoplysningerne med denne autorisationsordning rejser i almindelig tekst, og det er ikke sikkert for fjendtlige miljøer, læs åbne netværk.

jeff yestrumskas dedikere artiklen «Vejledning: Konfigurer en sikker webproxy ved hjælp af SSL-kryptering, Squid Caching Proxy og PAM-godkendelse»Til spørgsmålet om at øge sikkerheden med denne godkendelsesplan, så den kan bruges i potentielt fjendtlige åbne netværk.

Vi installerer httpd

Som en måde at kontrollere driften af ​​Blæksprutte - og i øvrigt Dnsmasqs - vil vi installere tjenesten httpd -Apache-webserver- hvilket ikke er nødvendigt. I filen i forhold til Dnsmasq / etc / banner_add_hosts Vi erklærer de sider, vi ønsker at blive forbudt, og vi tildeler eksplicit den samme IP-adresse, som den har Linuxbox. Således, hvis vi anmoder om adgang til et af disse websteder, skal hjemmesiden for httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl aktiver httpd
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/httpd.service til /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Apache HTTP-server indlæst: indlæst (/usr/lib/systemd/system/httpd.service; aktiveret; leverandørforudindstilling: deaktiveret) Aktiv: aktiv (kører) siden søn 2017-04-16 16:41: 35 EDT; 5s siden Dokumenter: mand: httpd (8) mand: apachectl (8) Hoved-PID: 2275 (httpd) Status: "Behandler anmodninger ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND 2276─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND ├─2280 / usr / sbin / httpd -DFOREGROUND └─16 / usr / sbin / httpd -DFOREGROUND 16. apr. 41:35:1 linuxbox systemd [16]: Start af Apache HTTP-serveren ... 16. apr. 41:35:1 linuxbox systemd [XNUMX]: Startede Apache HTTP-serveren.

SELinux og Apache

Apache har flere politikker, der skal konfigureres inden for SELinux-sammenhæng.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> på httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect netværk off_zabbix_> off httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable offp -> httpd_enablem offpd_server_enablecgi off -> offhpd_enablemXNUMX httpd_graceful_shutdown -> på httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick> off httpd_runcobshble offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Vi konfigurerer kun følgende:

Send e-mail via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Tillad Apache at læse indholdet i hjemmebøgerne for lokale brugere

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Tillad at administrere via FTP eller FTPS enhver mappe, der administreres af
Apache eller lad Apache fungere som en FTP-server, der lytter til anmodninger gennem FTP-porten

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

For mere information, læs venligst Linux-serverkonfiguration.

Vi kontrollerer godkendelsen

Det er kun at åbne en browser på en arbejdsstation og pege for eksempel på http://windowsupdate.com. Vi kontrollerer, at anmodningen omdirigeres korrekt til Apache-hjemmesiden i linuxbox. Faktisk er ethvert webstedsnavn, der er angivet i filen / etc / banner_add_hosts du bliver omdirigeret til den samme side.

Billederne i slutningen af ​​artiklen beviser det.

Brugersadministration

Vi gør det ved hjælp af det grafiske værktøj «Brugerstyring»Som vi får adgang til i menuen System -> Administration -> Brugeradministration. Hver gang vi tilføjer en ny bruger, oprettes dens mappe / hjem / bruger automatisk.

Backups

Linux-klienter

Du har kun brug for den normale filbrowser og angiver, at du vil oprette forbindelse, for eksempel: ssh: // buzz @ linuxbox / home / buzz og efter indtastning af adgangskoden vises biblioteket hjem af brugeren buzz.

Windows-klienter

I Windows-klienter bruger vi værktøjet WinSCP. Når det er installeret, bruger vi det på følgende måde:

Simpelt, ikke?

Resumé

Vi har set, at det er muligt at bruge PAM til at godkende tjenester i et lille netværk og i et kontrolleret miljø helt isoleret fra hænderne på hackere. Det skyldes hovedsageligt, at godkendelsesoplysningerne rejser i almindelig tekst, og det er derfor ikke et godkendelsesskema, der skal bruges i åbne netværk såsom lufthavne, Wi-Fi-netværk osv. Det er dog en simpel autorisationsmekanisme, let at implementere og konfigurere.

Kilder hørt

PDF-version

Download PDF-versionen her.

Indtil næste artikel!


9 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   NauTiluS sagde han

    Fantastisk stilling er blevet helbredt, hr. Fico. Tak for at dele din viden.

  2.   firben sagde han

    Jeg ved, hvor svært det er at sammensætte en artikel med et sådant detaljeringsniveau med ganske klare tests og frem for alt med koncepter og strategier tilpasset standarderne. Jeg tager bare hatten af ​​for denne juvel af bidrag, mange tak Fico for et så godt stykke arbejde.

    Jeg har aldrig kombineret blæksprutte med pam-godkendelse, men jeg går så langt som muligt for at gøre denne praksis i mit laboratorium ... Målknus og vi fortsætter !!

  3.   Federico sagde han

    NaTiluS: Mange tak for din kommentar og evaluering.
    Lizard: Også til dig, meget tak for din kommentar og evaluering.

    Den tid og indsats, der er dedikeret til at skabe artikler som denne, belønnes kun med læsning og kommentarer fra dem, der besøger fællesskabet. DesdeLinux. Jeg håber, det er nyttigt for dig i dit daglige arbejde.
    Vi fortsætter!

  4.   Anonymous sagde han

    Utrolig borgerbidrag !!!! Jeg læste hver af dine artikler, og jeg kan sige, at selv en person, der ikke har avanceret viden inden for fri software (som mig), kan følge denne udsøgte artikel trin for trin. Skål !!!!

  5.   IWO sagde han

    Tak Fico for denne anden fantastiske artikel; Som om det ikke var nok med alle de allerede offentliggjorte indlæg, har vi her en tjeneste, der ikke tidligere er dækket af PYMES-serien, og det er ekstremt vigtigt: "SQUID" eller Proxy for et LAN. Intet som for os familien af ​​dem, der tror, ​​at vi er "sysadminer", har andet godt materiale til at studere og uddybe vores viden.

  6.   Federico sagde han

    Tak alle sammen for dine kommentarer. Den næste artikel vil behandle Prosody-chatserveren med godkendelse mod lokale legitimationsoplysninger (PAM) via Cyrus-SASL, og denne service vil blive implementeret på den samme server.

  7.   kenpachiRo17 sagde han

    I god tid landsmand !!!! Stort bidrag, selv for dem som mig, der ikke har stor viden om fri software, brænder for at lære med artikler så udsøgte som denne. Jeg har fulgt dine bidrag, og jeg vil gerne vide, hvilken artikel du vil anbefale mig at starte på denne serie af SMV-netværk, da jeg har læst på en uordenlig måde, og jeg synes, det har for meget værdifuldt indhold til at gå glip af detaljer . Uden mere, hilsner og må den delte viden såvel som softwaren forblive gratis !!

    1.    Federico sagde han

      Hilsen landsmand !!!. Jeg anbefaler, at du starter i starten, at selvom det kan se ud som den lange vej, er det den korteste vej for ikke at gå tabt. I indekset -som ikke opdateres med de to sidste artikler- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, vi etablerede den anbefalede læserækkefølge for serien, der begynder med, hvordan man gør min Arbejdsstationfortsætter med flere indlæg dedikeret til emnet Virtualisering, følg med flere konvolutter BIND, Isc-Dhcp-Server og Dnsmasq, og så videre, indtil vi kommer til serviceimplementeringsdelen for SMV-netværket, som vi er i øjeblikket. Håber det hjælper dig.

      1.    kenpachiRo17 sagde han

        Nå det bliver !!!! Straks begynder jeg med serien fra starten, og jeg ser frem til nye artikler. Skål !!!!