Squid + PAM-godkendelse i CentOS 7- SMB-netværk

Generelt serieindeks: Computernetværk til SMV'er: Introduktion

Hej venner og venner!

Titlen på artiklen burde have været: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Blæksprutte med PAM-godkendelse i Centos 7 - SMV-netværk«. Af praktiske grunde forkorter vi det.

Vi fortsætter med godkendelsen til lokale brugere på en Linux-computer ved hjælp af PAM, og denne gang vil vi se, hvordan vi kan levere proxytjenesten med blæksprutter til et lille netværk af computere ved hjælp af godkendelsesoplysninger, der er gemt på den samme computer, hvor serveren løber Blæksprutte.

Selvom vi ved, at det i dag er meget almindelig praksis at godkende tjenester mod en OpenLDAP, Red Hats Directory Server 389, Microsoft Active Directory osv., Mener vi, at vi først skal gennemgå enkle og billige løsninger og derefter møde de mest komplekse dem. Vi mener, at vi skal gå fra det enkle til det komplekse.

Scene

Det er en lille organisation - med meget få økonomiske ressourcer - dedikeret til at støtte brugen af ​​fri software, og som valgte navnet på FraLinux.Fan. De er forskellige OS-entusiaster CentOS grupperet i et enkelt kontor. De købte en arbejdsstation - ikke en professionel server - som de vil afsætte til at fungere som en "server".

Entusiaster har ikke omfattende viden om, hvordan man implementerer en OpenLDAP-server eller en Samba 4 AD-DC, og de har heller ikke råd til at licensere en Microsoft Active Directory. De har dog brug for internetadgangstjenester via en proxy til deres daglige arbejde - for at fremskynde browsing - og en plads til at gemme deres mest værdifulde dokumenter og arbejde som sikkerhedskopier.

De bruger stadig mest lovligt erhvervede Microsoft-operativsystemer, men ønsker at ændre dem til Linux-baserede operativsystemer, begyndende med deres "Server".

De stræber også efter at have deres egen mailserver til at blive uafhængige - i det mindste fra oprindelsen - af tjenester som Gmail, Yahoo, HotMail osv., Hvilket er det, de i øjeblikket bruger.

Firewall- og routingsreglerne foran Internettet etablerer det i den kontrakt, der er indgået med ADSL.

De har ikke et rigtigt domænenavn, da de ikke behøver at offentliggøre nogen tjenester på Internettet.

CentOS 7 som en server uden GUI

Vi starter med en ny installation af en server uden en grafisk grænseflade, og den eneste mulighed, vi vælger under processen, er «Infrastruktur Server»Som vi så i tidligere artikler i serien.

Indledende indstillinger

[root @ linuxbox ~] # cat / etc / hostname 
Linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # værtsnavn
Linuxbox

[root @ linuxbox ~] # værtsnavn -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr-liste
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 det

Vi deaktiverer netværksadministratoren

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl deaktiver NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Netværksmanager indlæst: indlæst (/usr/lib/systemd/system/NetworkManager.service; deaktiveret; forudindstilling af leverandør: aktiveret) Aktiv: inaktiv (død) Dokumenter: mand: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Vi konfigurerer netværksgrænsefladerne

Ens32 LAN-interface tilsluttet det interne netværk

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = offentlig

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interface tilsluttet internettet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
ENHED = ens34 ONBOOT = ja BOOTPROTO = statisk HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ingen IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL-routeren er tilsluttet # denne grænseflade med # følgende adresse GATEWAY IP = 172.16.10.1 DOMÆNE = desdelinux.fan DNS1 = 127.0.0.1
ZONE = ekstern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfiguration af lagre

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # original mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum rens alt
Indlæste plugins: hurtigste spejl, langpacks Rengøringslagre: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Opdateringer-Repo Oprydning af alt Oprydningsliste over hurtigste spejle

[root @ linuxbox yum.repos.d] # yum opdatering
Indlæste plugins: hurtigste spejl, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primær_db | 5.6 MB 00:01 Bestemmelse af hurtigste spejle Ingen pakker markeret til opdatering

Beskeden "Ingen pakker markeret til opdatering»Vises, fordi vi under installationen erklærede de samme lokale arkiver, som vi har til rådighed.

Centos 7 med MATE-skrivebordsmiljøet

For at bruge de meget gode administrationsværktøjer med en grafisk grænseflade, som CentOS / Red Hat giver, og fordi vi altid savner GNOME2, besluttede vi at installere MATE som et skrivebordsmiljø.

[root @ linuxbox ~] # yum gruppeinstallation "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

For at kontrollere, at MATE indlæses korrekt, udfører vi følgende kommando i en konsol -lokal eller fjernbetjening:

[root @ linuxbox ~] # systemctl isoler grafisk.target

og skrivebordsmiljøet skal indlæses -på lokalt hold- glat, viser lightdm som et grafisk login. Vi skriver navnet på den lokale bruger og dens adgangskode, og vi indtaster MATE.

At fortælle det systemd at standardstartniveauet er 5-grafisk miljø - vi opretter følgende symbolske link:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Vi genstarter systemet, og alt fungerer fint.

Vi installerer Time Service for Networks

[root @ linuxbox ~] # yum install ntp

Under installationen konfigurerer vi, at det lokale ur synkroniseres med udstyrets tidsserver sysadmin.fromlinux.fan med IP 192.168.10.1. Så vi gemmer filen ntp.conf original af:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nu opretter vi en ny med følgende indhold:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servere konfigureret under installation: server 192.168.10.1 iburst # For mere information, se man-siderne for: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Tillad synkronisering med tidskilden, men ikke # tillad kilden at konsultere eller ændre denne service begrænser standard nomodify notrap nopeer noquery # Tillad al adgang til grænsefladen Loopback-begrænsning 127.0.0.1 limit :: 1 # Begræns lidt mindre til computere på det lokale netværk. begræns 192.168.10.0 maske 255.255.255.0 nomodify notrap # Brug projektets offentlige servere pool.ntp.org # Hvis du vil deltage i projektet, besøg # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # Broadcast Server Broadcast Client # Broadcast Client # Broadcast 224.0.1.1 autokey # multicast server # multicastclient 224.0.1.1 # multicast client # mangcastserver 239.255.254.254 # manycast server #anycastclient 239.255.254.254 autokey # manycast client broadcast 192.168.10.255 # Aktivér offentlig kryptografi. #crypto inklusive fil / etc / ntp / crypto / pw # Nøglefil indeholdende nøgler og nøgleidentifikatorer # brugt ved betjening med symmetriske nøglekryptografitaster / etc / ntp / keys # Angiv pålidelige nøgleidentifikatorer. #trustedkey 4 8 42 # Angiv den nøgle-id, der skal bruges med ntpdc-værktøjet. #requestkey 8 # Angiv den nøgle-id, der skal bruges med ntpq-værktøjet. #controlkey 8 # Aktiver skrivning af statistikregistre. #statistik clockstats cryptostats loopstats peerstats # Deaktiver løsrivelsesmonitoren for at forhindre forstærkning af # angreb ved hjælp af ntpdc monlist-kommandoen, når standard # -begrænsningen ikke inkluderer noquery-flag. Læs CVE-2013-5211 # for flere detaljer. # Bemærk: Skærmen er ikke deaktiveret med det begrænsede begrænsningsflag. deaktiver skærm

Vi aktiverer, starter og kontrollerer NTP-tjenesten

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Netværkstids service indlæst: indlæst (/usr/lib/systemd/system/ntpd.service; deaktiveret; leverandørindstilling: deaktiveret) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiver ntpd
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/ntpd.service til /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Network Time Service
   Indlæst: indlæst (/usr/lib/systemd/system/ntpd.service; aktiveret; forhandlerindstilling: deaktiveret) Aktiv: aktiv (kører) siden fre 2017-04-14 15:51:08 EDT; For 1 år siden Process: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Main PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp og Firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
ekstern
  grænseflader: ens34
offentlige
  grænseflader: ens32

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 123 / udp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes

Vi aktiverer og konfigurerer Dnsmasq

Som vi så i en tidligere artikel i Small Business Networks-serien, er Dnsamasq som standard installeret på en CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cacheserver. Indlæst: indlæst (/usr/lib/systemd/system/dnsmasq.service; deaktiveret; forhandlerindstilling: deaktiveret) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiverer dnsmasq
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/dnsmasq.service til /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cacheserver. Indlæst: indlæst (/usr/lib/systemd/system/dnsmasq.service; aktiveret; forhandlerindstilling: deaktiveret) Aktiv: aktiv (kører) siden fre 2017-04-14 16:21:18 EDT; 4s siden Hoved-PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # GENERELLE INDSTILLINGER # ---------------------------- - -------------------------------------- domæne-nødvendigt # Giv ikke navne uden domænet del falsk-priv # Giv ikke adresser i det urouterede rum udvid værter # Føj automatisk domænet til værtsgrænsefladen = ens32 # Grænseflade LAN streng rækkefølge # Rækkefølge, som filen /etc/resolv.conf forespørger til conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # Domain name address = / time.windows.com / 192.168.10.5 # Sender en tom mulighed for WPAD-værdien. Påkrævet for # Windos 7 og nyere klienter at opføre sig ordentligt. ;-) dhcp-option = 252, "\ n" # Fil hvor vi vil erklære VÆRTER der vil blive "forbudt" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ----------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # Denne type registrering kræver en post # i / etc / hosts-filen # f.eks: 192.168.10.5 .10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Returnerer en MX-post med navnet "desdelinux.fan" bestemt # til mail.desdelinux computer. fan og prioritet på 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # Standarddestinationen for MX-poster, der oprettes # ved hjælp af localmx-indstillingen, vil være: mx-target = mail.desdelinux.fan # Returnerer en MX-post, der peger på mx-målet for ALLE # lokale maskiner localmx # TXT-poster. Vi kan også erklære en SPF-post txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "FromLinux, din blog dedikeret til fri software" # -------- --------------------------------------------------------- - -------- # RANGE OG USOPTIONS # ------------------------------------ --- ---------------------------- # IPv1-rækkevidde og lejetid nr. 29 til 192.168.10.30,192.168.10.250,8 er til servere og andre dhcp-behov = 222h dhcp-lease-max = 150 # Maksimalt antal adresser, der skal lejes # er som standard 6 # IPV1234-interval # dhcp-range = 1,255.255.255.0 ::, kun ra # Valgmuligheder for RANGE # MULIGHEDER dhcp-option = 3,192.168.10.5 # NETMASK dhcp-option = 6,192.168.10.5 # ROUTER GATEWAY dhcp-option = 15 # DNS-servere dhcp-option = 19,1, desdelinux.fan # DNS Domain Name dhcp-option = 28,192.168.10.255, 42,192.168.10.5 # option ip-forwarding ON dhcp-option = XNUMX # BROADCAST dhcp-option = XNUMX # NTP dhcp-autoritative # Autoritativ DHCP på undernet # -------------- --- --------------- ----------------------------------- # Hvis du vil gemme i / var / log / beskeder loggen af forespørgslerne # fjern kommentar linjen nedenfor # --------------------------------------- - --------------------------
# log-forespørgsler
# END af fil /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Vi opretter filen / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Faste IP-adresser

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan

Vi konfigurerer filen /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
søg desdelinux.fan nameserver 127.0.0.1 # For eksterne eller ikke-domæne DNS-forespørgsler # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Vi kontrollerer filsyntaks dnsmasq.conf, vi starter og kontrollerer tjenestens status

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: syntaks check OK.
[root @ linuxbox ~] # systemctl genstart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq og Firewall

[root @ linuxbox ~] # firewall-cmd - get-active-zones
ekstern
  grænseflader: ens34
offentlige
  grænseflader: ens32

service domæne o Domain Name Server (dns). Protokol knalde «IP med kryptering«

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 53 / udp --permanent
succes

Dnsmasq-forespørgsler til eksterne DNS-servere

[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 53 / udp --permanent
succes

service bootps o BOOTP-server (dhcp). Protokol IPPC «Internet Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 67 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = offentlig --add-port = 67 / udp --permanent
succes

[root @ linuxbox ~] # firewall-cmd --reload
succes

[root @ linuxbox ~] # firewall-cmd - info-zone offentlig offentlig (aktiv)
  mål: standard icmp-blok-inversion: ingen grænseflader: ens32 kilder: tjenester: dhcp dns ntp ssh porte: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoller: maskerade: ingen fremad-porte: sourceports: icmp -blocks: rige regler:

[root @ linuxbox ~] # firewall-cmd - ekstern ekstern info-zone (aktiv)
  mål: standard icmp-blok-inversion: ingen grænseflader: ens34 kilder: tjenester: dns-porte: 53 / udp 53 / tcp-protokoller: maskerade: ja forward-porte: sourceports: icmp-blocks: parameter-problem omdirigerer router-annonce router- regler for anmodning om kildeslukning:

Hvis vi vil bruge en grafisk grænseflade til at konfigurere Firewall i CentOS 7, ser vi i den generelle menu - det afhænger af skrivebordsmiljøet, i hvilken undermenu det vises - applikationen «Firewall», vi udfører det, og efter at have indtastet brugerens adgangskode rod, får vi adgang til programgrænsefladen som sådan. I MATE vises det i menuen «System »->" Administration "->" Firewall ".

Vi vælger området «offentlige»Og vi godkender, at de tjenester, vi ønsker, skal offentliggøres på LAN, som hidtil er dhcp, dns, ntp og ssh. Når vi har valgt tjenesterne, har vi verificeret, at alt fungerer korrekt, skal vi foretage ændringer i Runtime til Permanent. For at gøre dette går vi til menuen Indstillinger og vælger indstillingen «Kør tid til permanent".

Senere vælger vi området «ekstern»Og vi kontrollerer, at de porte, der er nødvendige for at kommunikere med Internettet, er åbne. Udgiv IKKE tjenester i denne zone, medmindre vi ved meget godt, hvad vi laver!.

Lad os ikke glemme at foretage ændringerne permanente gennem indstillingen «Kør tid til permanent»Og genindlæs dæmonen FirewallD, hver gang vi bruger dette kraftfulde grafiske værktøj.

NTP og Dnsmasq fra en Windows 7-klient

Synkronisering med NTP

ekstern

Lejet IP-adresse

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheder forbeholdes. C: \ Brugere \ buzz> ipconfig / alt Windows IP-konfigurationsværtsnavn. . . . . . . . . . . . : SYV
   Primært Dns Suffix. . . . . . . :
   Knudetype. . . . . . . . . . . . : Hybrid IP-routing aktiveret. . . . . . . . : Ingen WINS-proxy aktiveret. . . . . . . . : Ingen DNS-suffiks-søgeliste. . . . . . : desdelinux.fan Ethernet-adapter Local Area Connection: Forbindelsesspecifikt DNS-suffiks. : desdelinux.fan Beskrivelse. . . . . . . . . . . : Intel (R) PRO / 1000 MT Netværksforbindelse Fysisk adresse. . . . . . . . . : 00-0C-29-D6-14-36 DHCP aktiveret. . . . . . . . . . . : Ja Autokonfiguration aktiveret. . . . : Og det er
   IPv4-adresse. . . . . . . . . . . : 192.168.10.115 (Foretrukket)
   Undernetmaske. . . . . . . . . . . : 255.255.255.0 Leasing opnået. . . . . . . . . . : Fredag ​​14. april 2017 5:12:53 Leasing udløber. . . . . . . . . . : Lørdag 15. april 2017 1:12:53 Standard Gateway. . . . . . . . . : 192.168.10.1 DHCP-server. . . . . . . . . . . : 192.168.10.5 DNS-servere. . . . . . . . . . . : 192.168.10.5 NetBIOS over Tcpip. . . . . . . . : Enabled Tunneladapter Local Area Connection * 9: Medietilstand. . . . . . . . . . . : Medie frakoblet Forbindelsesspecifikt DNS-suffiks. : Beskrivelse. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter Fysisk adresse. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiveret. . . . . . . . . . . : Ingen autokonfiguration aktiveret. . . . : Ja Tunneladapter isatap.fromlinux.fan: Media State. . . . . . . . . . . : Medie frakoblet Forbindelsesspecifikt DNS-suffiks. : desdelinux.fan Beskrivelse. . . . . . . . . . . : Microsoft ISATAP-adapter nr. 2 fysisk adresse. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiveret. . . . . . . . . . . : Ingen autokonfiguration aktiveret. . . . : Ja C: \ Brugere \ buzz>

Tip

En vigtig værdi i Windows-klienter er "Primary Dns Suffix" eller "Main connection suffix". Når du ikke bruger en Microsoft Domain Controller, tildeler operativsystemet ikke nogen værdi til den. Hvis vi står over for en sag som den, der blev beskrevet i begyndelsen af ​​artiklen, og vi udtrykkeligt vil erklære denne værdi, skal vi fortsætte i henhold til det, der vises i det følgende billede, acceptere ændringerne og genstarte klienten.

 

Hvis vi løber igen CMD -> ipconfig / all vi opnår følgende:

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rettigheder forbeholdes. C: \ Brugere \ buzz> ipconfig / alt Windows IP-konfigurationsværtsnavn. . . . . . . . . . . . : SYV
   Primært Dns Suffix. . . . . . . : desdelinux.fan
   Knudetype. . . . . . . . . . . . : Hybrid IP-routing aktiveret. . . . . . . . : Ingen WINS-proxy aktiveret. . . . . . . . : Ingen DNS-suffiks-søgeliste. . . . . . : desdelinux.fan

Resten af ​​værdierne forbliver uændrede

DNS-kontrol

buzz @ sysadmin: ~ $ vært spynet.microsoft.com
spynet.microsoft.com har adresse 127.0.0.1 Host spynet.microsoft.com ikke fundet: 5 (NEGTET) spynet.microsoft.com mail håndteres af 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ vært Linuxbox
linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan har adresse 192.168.10.1 sysadmin.desdelinux.fan mail håndteres af 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ værtsmail
mail.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.fan.

Vi installerer -kun til test- en autoritativ DNS-server NSD i sysadmin.fromlinux.fan, og vi inkluderer IP-adressen 172.16.10.1 i arkivet / Etc / resolv.conf af holdet linuxbox.fromlinux.fan, for at kontrollere, at Dnsmasq udførte sin videresendelsesfunktion korrekt. Sandkasser på NSD-serveren er favt.org y toujague.org. Alle IP'er er fiktive eller fra private netværk.

Hvis vi deaktiverer WAN-grænsefladen ens34 ved hjælp af kommandoen ifdown ens34, Dnsmasq kan ikke forespørge eksterne DNS-servere.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org ikke fundet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vært pizzapie.favt.org
Host pizzapie.favt.org ikke fundet: 3 (NXDOMAIN)

Lad os aktivere ens34-grænsefladen og kontrollere igen:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ vært pizzapie.favt.org
pizzapie.favt.org er et alias for paisano.favt.org. paisano.favt.org har adresse 172.16.10.4

[buzz @ linuxbox ~] $ vært pizzapie.toujague.org
Host pizzas.toujague.org ikke fundet: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ vært poblacion.toujague.org
poblacion.toujague.org har adresse 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org navneserver ns1.favt.org. favt.org navneserver ns2.favt.org.

[buzz @ linuxbox ~] $ vært -t NS toujague.org
toujague.org navneserver ns1.toujague.org. toujague.org navneserver ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org-mail håndteres af 10 mail.toujague.org.

Lad os høre fra sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
søg fra linux.fan navneserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org har adresse 169.18.10.19

Dnsmasq fungerer som Speditør korrekt.

Blæksprutte

I bogen i PDF-format «Linux-serverkonfiguration»Dateret 25. juli 2016 af forfatteren Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), en tekst, som jeg har henvist til i tidligere artikler, er der et helt kapitel dedikeret til Grundlæggende konfigurationsindstillinger for blæksprutter.

På grund af vigtigheden af ​​Web - Proxy-tjenesten gengiver vi introduktionen lavet om blæksprutten i den førnævnte bog:

105.1. Introduktion.

105.1.1. Hvad er en mellemliggende server (proxy)?

Udtrykket på engelsk "Proxy" har en meget generel og samtidig tvetydig betydning, selvom
betragtes altid som et synonym for begrebet "Mellemmand". Det oversættes normalt i streng forstand som delegeret o advokat (den der har magt over en anden).

Un Mellemliggende server Det defineres som en computer eller enhed, der tilbyder en netværkstjeneste, der består i at give klienter mulighed for at oprette indirekte netværksforbindelser til andre netværkstjenester. Under processen sker følgende:

• Kunden opretter forbindelse til en Proxy-server.
• Klienten anmoder om en forbindelse, fil eller anden ressource, der er tilgængelig på en anden server.
• Intermediary Server leverer ressourcen enten ved at oprette forbindelse til den angivne server
  eller serverer det fra en cache.
• I nogle tilfælde Mellemliggende server kan ændre klientens anmodning eller
  serverrespons til forskellige formål.

masse Proxy-servere de er generelt lavet til at fungere samtidigt som en brandmur, der fungerer i Netværksniveau, fungerer som et pakkefilter, som i tilfældet med iptables eller opererer i Ansøgningsniveau, kontrollere forskellige tjenester, som det er tilfældet med TCP-indpakning. Afhængig af sammenhængen er brandvæggen også kendt som BPD o Bordrer PESKYTTELSE Device eller bare pakkefilter.

En almindelig anvendelse af Proxy-servere er at fungere som en cache med netværksindhold (hovedsageligt HTTP), der giver i nærheden af ​​klienterne en cache med sider og filer, der er tilgængelige via netværket på eksterne HTTP-servere, hvilket giver klienter i det lokale netværk adgang til dem i en hurtigere og mere pålidelig.

Når der modtages en anmodning om en specificeret netværksressource i en URL (Uensartet Rressource Locator) Mellemliggende server se efter resultatet af URL inde i cachen. Hvis den findes, Mellemliggende server Reagerer på kunden ved straks at levere det ønskede indhold. Hvis det ønskede indhold ikke findes i cachen, vises Mellemliggende server det henter det fra en ekstern server, leverer det til klienten, der har anmodet om det, og gemmer en kopi i cachen. Indholdet i cachen fjernes derefter gennem en udløbsalgoritme i henhold til alder, størrelse og historie svar på anmodninger (hits) (eksempler: LRU, LFUDA y GDSF).

Proxy-servere til netværksindhold (webproxyer) kan også fungere som filtre af det serverede indhold og anvende censurpolitikker i henhold til vilkårlige kriterier..

Blæksprutteversionen, som vi installerer, er 3.5.20-2.el7_3.2 fra arkivet opdateringer.

Installation

[root @ linuxbox ~] # yum installere blæksprutte

[root @ linuxbox ~] # ls / etc / blæksprutte /
cachemgr.conf errorpage.css.default  blæksprutte.konf
cachemgr.conf.default mime.conf              blæksprutte.konf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl aktiverer blæksprutte

Vigtigt

• Hovedformålet med denne artikel er at autorisere lokale brugere til at oprette forbindelse til blæksprutter fra andre computere, der er tilsluttet LAN. Derudover implementerer du kernen i en server, hvortil andre tjenester tilføjes. Det er ikke en artikel dedikeret til blæksprutten som sådan.
• For at få en idé om Squid's konfigurationsindstillinger, skal du læse /usr/share/doc/squid-3.5.20/squid.conf.documented filen, som har 7915 linjer.

SELinux og blæksprutte

[root @ linuxbox ~] # getsebool -a | grep blæksprutte
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = til

konfiguration

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # uregistrerede porte acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports-port 591 # filemaker acl Safe_ports-port 777 # multiling http acl CONNECT-metode CONNECT # Vi nægter forespørgsler til ikke-sikre porte http_access deny! Safe_ports # Vi benægter CONNECT-metoden for ikke-sikre porte http_access deny CONNECT! SSL_ports # Adgang kun til Cache-manager fra localhost http_access tillad localhost manager http_access nægt manager # Vi anbefaler stærkt, at følgende ikke er kommenteret for at beskytte uskyldige # webapplikationer, der kører på proxyserveren, der tror, ​​at den eneste #, der kan få adgang til tjenester på "localhost" lokal bruger http_access nægter to_localhost # # INDSÆT DIN EGNE REGEL (ER) HER FOR AT TILLADE ADGANG FRA DINE KLIENTER # # PAM-autorisation
auth_param grundlæggende program / usr / lib64 / blæksprutte / basic_pam_auth
auth_param basic børn 5 auth_param basic realm fra linux.fan auth_param basic credentialsttl 2 timer auth_param basic casesensitive off # Acl-godkendelse kræves for at få adgang til Squid Enthusiasts proxy_auth KRÆVET # Vi giver adgang til godkendte brugere # gennem PAM http_access deny! Entusiaster # Adgang til FTP-sider acl ftp proto FTP http_access tillad ftp http_access tillad localnet http_access tillad localhost # Vi nægter enhver anden adgang til proxy http_access nægter alle # Blæksprutter lytter normalt på port 3128 http_port 3128 # Vi efterlader "coredumps" i den første cache-mappe coredump_dir / var / spool / blæksprutte # # Tilføj nogen af ​​dine egne refresh_pattern-poster over disse. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache-hukommelse hukommelse_udskiftning_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / blæksprutte 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgr buzzfan.des.

Vi kontrollerer filens syntaks /etc/squid/squid.conf

[root @ linuxbox ~] # blæksprutte-k-analyse
2017/04/16 15: 45: 10 | Opstart: Initialisering af godkendelsesplaner ...
 2017/04/16 15: 45: 10 | Opstart: Initialiseret godkendelsesordning 'grundlæggende' 2017/04/16 15: 45: 10 | Opstart: Initialiseret godkendelsesskema 'fordøje' 2017/04/16 15: 45: 10 | Opstart: Initialiseret godkendelsesordning 'forhandle' 2017/04/16 15: 45: 10 | Start: Initialiseret godkendelsesskema 'ntlm' 2017/04/16 15: 45: 10 | Opstart: Initialiseret godkendelse.
 2017/04/16 15: 45: 10 | Behandling af konfigurationsfil: /etc/squid/squid.conf (dybde 0) 2017/04/16 15: 45: 10 | Behandling: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Behandling: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports-port 80 # http 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 21 # ftp 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 443 # https 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 1025-65535 # uregistrerede porte 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 280 # http-mgmt 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 488 # gss-http 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 591 # filemaker 2017/04/16 15: 45: 10 | Behandling: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | Behandling: acl CONNECT-metode CONNECT 2017/04/16 15: 45: 10 | Behandling: http_access deny! Safe_ports 2017/04/16 15: 45: 10 | Behandling: http_access deny CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Behandling: http_access allow localhost manager 2017/04/16 15: 45: 10 | Behandling: http_access deny manager 2017/04/16 15: 45: 10 | Behandling: http_access deny to_localhost 2017/04/16 15: 45: 10 | Behandling: auth_param grundlæggende program / usr / lib64 / blæksprutte / basic_pam_auth 2017/04/16 15: 45: 10 | Behandling: auth_param basale børn 5 2017/04/16 15: 45: 10 | Behandling: auth_param basic realm fra linux.fan 2017/04/16 15: 45: 10 | Behandling: auth_param basic credentialsttl 2 timer 2017/04/16 15: 45: 10 | Behandling: auth_param basale sagsfølsomme fra 2017/04/16 15: 45: 10 | Behandling: acl Entusiaster proxy_auth KRÆVET 2017/04/16 15: 45: 10 | Behandling: http_access deny! Entusiaster 2017/04/16 15: 45: 10 | Behandling: acl ftp proto FTP 2017/04/16 15: 45: 10 | Behandling: http_access allow ftp 2017/04/16 15: 45: 10 | Behandling: http_access allow localnet 2017/04/16 15: 45: 10 | Behandling: http_access allow localhost 2017/04/16 15: 45: 10 | Behandling: http_access nægte alt 2017/04/16 15: 45: 10 | Behandling: http_port 3128 2017/04/16 15: 45: 10 | Behandling: coredump_dir / var / spool / blæksprutte 2017/04/16 15: 45: 10 | Behandling: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Behandling: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Behandling: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Behandling: refresh_pattern. 

Vi justerer tilladelser i / usr / lib64 / blæksprutte / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / blæksprutte / basic_pam_auth

Vi opretter cache-biblioteket

# Bare i tilfælde ... [root @ linuxbox ~] # service blæksprutte stop
Omdirigerer til / bin / systemctl stop squid.service

[root @ linuxbox ~] # blæksprutte -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Indstil den aktuelle mappe til / var / spool / blæksprutte 2017/04/16 15:48:28 kid1 | Oprettelse af manglende swap-mapper 2017/04/16 15:48:28 kid1 | / var / spool / blæksprutte eksisterer 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 00 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 01 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 02 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 03 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 04 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 05 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 06 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 07 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 08 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 09 2017/04/16 15:48:28 kid1 | Oprette mapper i / var / spool / blæksprutte / 0A 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0B 2017/04/16 15:48:28 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0C 2017/04/16 15:48:29 kid1 | Oprette mapper i / var / spool / blæksprutte / 0D 2017/04/16 15:48:29 kid1 | Oprette mapper i / var / spool / blæksprutte / 0E 2017/04/16 15:48:29 kid1 | Oprettelse af mapper i / var / spool / blæksprutte / 0F

På dette tidspunkt, hvis det tager et stykke tid at returnere kommandoprompten - som aldrig blev returneret til mig - skal du trykke på Enter.

[root @ linuxbox ~] # service blæksprutte start
[root @ linuxbox ~] # genstart af service blæksprutte
[root @ linuxbox ~] # service blæksprutte status
Omdirigering til / bin / systemctl status blæksprutte.service ● blæksprutte.service - blæksprutte-cacheproxy indlæst: indlæst (/usr/lib/systemd/system/squid.service; deaktiveret; leverandørforudindstilling: deaktiveret) Aktiv: aktiv (kører) siden dom 2017-04-16 15:57:27 EDT; For 1 år siden Process: 2844 ExecStop = / usr / sbin / blæksprutte -k nedlukning -f $ SQUID_CONF (kode = afsluttet, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / blæksprutte $ SQUID_OPTS -f $ SQUID_CONF (kode = afsluttet, status = 0 / SUCCESS) Proces: 2868 ExecStartPre = / usr / libexec / blæksprutte / cache_swap.sh (kode = afsluttet, status = 0 / SUCCESS) Hoved PID: 2876 (blæksprutte) CGroup: /system.slice/squid service [2876]: Startede proxy til blæksprutte-caching. 16. apr 15:57:27 linuxbox blæksprutte [1]: Blæksprutteforælder: starter 16 børn 15. apr 57:27:1 linuxbox blæksprutte [16]: blæksprutteforælder: (blæksprutte-15) proces 57 ... ed 27. april 2876 : 1: 16 linuxbox blæksprutte [15]: Blæksprutteforælder: (blæksprutte-57) proces 27 ... 2876 Tip: Nogle linjer blev ellipseret, brug -l til at vise i fuld

[root @ linuxbox ~] # cat / var / log / beskeder | grep blæksprutte

Løsninger på brandvæggen

Vi skal også åbne i zonen «ekstern"portene 80 HTTP y 443 HTTPS så blæksprutten kan kommunikere med internettet.

[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 80 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = ekstern --add-port = 443 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes
[root @ linuxbox ~] # firewall-cmd - ekstern infozone
eksternt (aktivt) mål: standard icmp-blok-inversion: ingen grænseflader: ens34 kilder: tjenester: dns-porte: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoller: masquerade: ja forward-porte: sourceports: icmp-blocks: parameter-problem omdirigere router-reklame router-anmodning source-quench rich regler:

• Det er ikke inaktiv at gå til den grafiske applikation «Firewall-konfiguration»Og kontroller at porte 443 tcp, 80 tcp, 53 tcp og 53 udp er åbne for zonen«ekstern«, Og at vi IKKE har offentliggjort nogen tjeneste for hende.

Bemærk om basic_pam_auth hjælperprogrammet

Hvis vi gennemgår manualen til dette værktøj igennem mand basic_pam_auth Vi vil læse, at forfatteren selv fremsætter en stærk anbefaling om, at programmet flyttes til et bibliotek, hvor normale brugere ikke har tilstrækkelig tilladelse til at få adgang til værktøjet.

På den anden side er det kendt, at legitimationsoplysningerne med denne autorisationsordning rejser i almindelig tekst, og det er ikke sikkert for fjendtlige miljøer, læs åbne netværk.

jeff yestrumskas dedikere artiklen «Vejledning: Konfigurer en sikker webproxy ved hjælp af SSL-kryptering, Squid Caching Proxy og PAM-godkendelse»Til spørgsmålet om at øge sikkerheden med denne godkendelsesplan, så den kan bruges i potentielt fjendtlige åbne netværk.

Vi installerer httpd

Som en måde at kontrollere driften af ​​Blæksprutte - og i øvrigt Dnsmasqs - vil vi installere tjenesten httpd -Apache-webserver- hvilket ikke er nødvendigt. I filen i forhold til Dnsmasq / etc / banner_add_hosts Vi erklærer de sider, vi ønsker at blive forbudt, og vi tildeler eksplicit den samme IP-adresse, som den har Linuxbox. Således, hvis vi anmoder om adgang til et af disse websteder, skal hjemmesiden for httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl aktiver httpd
Oprettet symlink fra /etc/systemd/system/multi-user.target.wants/httpd.service til /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Apache HTTP-server indlæst: indlæst (/usr/lib/systemd/system/httpd.service; aktiveret; leverandørforudindstilling: deaktiveret) Aktiv: aktiv (kører) siden søn 2017-04-16 16:41: 35 EDT; 5s siden Dokumenter: mand: httpd (8) mand: apachectl (8) Hoved-PID: 2275 (httpd) Status: "Behandler anmodninger ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND 2276─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND ├─2280 / usr / sbin / httpd -DFOREGROUND └─16 / usr / sbin / httpd -DFOREGROUND 16. apr. 41:35:1 linuxbox systemd [16]: Start af Apache HTTP-serveren ... 16. apr. 41:35:1 linuxbox systemd [XNUMX]: Startede Apache HTTP-serveren.

SELinux og Apache

Apache har flere politikker, der skal konfigureres inden for SELinux-sammenhæng.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> på httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect netværk off_zabbix_> off httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable offp -> httpd_enablem offpd_server_enablecgi off -> offhpd_enablemXNUMX httpd_graceful_shutdown -> på httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick> off httpd_runcobshble offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Vi konfigurerer kun følgende:

Send e-mail via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Tillad Apache at læse indholdet i hjemmebøgerne for lokale brugere

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Tillad at administrere via FTP eller FTPS enhver mappe, der administreres af
Apache eller lad Apache fungere som en FTP-server, der lytter til anmodninger gennem FTP-porten

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

For mere information, læs venligst Linux-serverkonfiguration.

Vi kontrollerer godkendelsen

Det er kun at åbne en browser på en arbejdsstation og pege for eksempel på http://windowsupdate.com. Vi kontrollerer, at anmodningen omdirigeres korrekt til Apache-hjemmesiden i linuxbox. Faktisk er ethvert webstedsnavn, der er angivet i filen / etc / banner_add_hosts du bliver omdirigeret til den samme side.

Billederne i slutningen af ​​artiklen beviser det.

Brugersadministration

Vi gør det ved hjælp af det grafiske værktøj «Brugerstyring»Som vi får adgang til i menuen System -> Administration -> Brugeradministration. Hver gang vi tilføjer en ny bruger, oprettes dens mappe / hjem / bruger automatisk.

 

Backups

Linux-klienter

Du har kun brug for den normale filbrowser og angiver, at du vil oprette forbindelse, for eksempel: ssh: // buzz @ linuxbox / home / buzz og efter indtastning af adgangskoden vises biblioteket hjem af brugeren buzz.

Windows-klienter

I Windows-klienter bruger vi værktøjet WinSCP. Når det er installeret, bruger vi det på følgende måde:

 

 

Simpelt, ikke?

Resumé

Vi har set, at det er muligt at bruge PAM til at godkende tjenester i et lille netværk og i et kontrolleret miljø helt isoleret fra hænderne på hackere. Det skyldes hovedsageligt, at godkendelsesoplysningerne rejser i almindelig tekst, og det er derfor ikke et godkendelsesskema, der skal bruges i åbne netværk såsom lufthavne, Wi-Fi-netværk osv. Det er dog en simpel autorisationsmekanisme, let at implementere og konfigurere.

Kilder hørt

• Linux-serverkonfiguration
• Kommandohåndbøger - man sider

PDF-version

Download PDF-versionen her.

Indtil næste artikel!