Έλεγχος ταυτότητας Squid + PAM στο CentOS 7- SMB Networks

Γενικός δείκτης της σειράς: Δίκτυα υπολογιστών για ΜΜΕ: Εισαγωγή

Γεια σας φίλοι και φίλοι!

Ο τίτλος του άρθρου θα έπρεπε να ήταν: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid με έλεγχο ταυτότητας PAM στο Centos 7 - Δίκτυα ΜΜΕ«. Για πρακτικούς λόγους το συντομεύουμε.

Συνεχίζουμε με τον έλεγχο ταυτότητας σε τοπικούς χρήστες σε υπολογιστή Linux χρησιμοποιώντας PAM και αυτή τη φορά θα δούμε πώς μπορούμε να παρέχουμε στην υπηρεσία διακομιστή μεσολάβησης Squid για ένα μικρό δίκτυο υπολογιστών, χρησιμοποιώντας τα διαπιστευτήρια ελέγχου ταυτότητας που είναι αποθηκευμένα στον ίδιο υπολογιστή όπου ο διακομιστής τρέχει Καλαμάρι.

Αν και γνωρίζουμε ότι είναι πολύ συνηθισμένη πρακτική στις μέρες μας, ο έλεγχος ταυτότητας υπηρεσιών έναντι ενός OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory κ.λπ., θεωρούμε ότι πρέπει πρώτα να περάσουμε από απλές και φθηνές λύσεις και, στη συνέχεια, να αντιμετωπίσουμε τις πιο περίπλοκες αυτοί. Πιστεύουμε ότι πρέπει να πάμε από το απλό στο συγκρότημα.

Στάδιο

Είναι ένας μικρός οργανισμός - με πολύ λίγους οικονομικούς πόρους - αφιερωμένος στην υποστήριξη της χρήσης Ελεύθερου Λογισμικού και αυτός επέλεξε το όνομα του DesdeLinux.Ανεμιστήρας. Είναι διάφοροι λάτρεις του λειτουργικού συστήματος CentOS ομαδοποιούνται σε ένα ενιαίο γραφείο. Αγόρασαν έναν σταθμό εργασίας - όχι έναν επαγγελματικό διακομιστή - τον οποίο θα αφιερώσουν για να λειτουργήσουν ως "διακομιστής".

Οι λάτρεις δεν έχουν εκτεταμένες γνώσεις σχετικά με τον τρόπο υλοποίησης ενός διακομιστή OpenLDAP ή ενός Samba 4 AD-DC, ούτε έχουν τη δυνατότητα να διαθέτουν άδεια για έναν Microsoft Active Directory. Ωστόσο, για την καθημερινή τους εργασία, χρειάζονται υπηρεσίες πρόσβασης στο Διαδίκτυο μέσω ενός διακομιστή μεσολάβησης -για να επιταχύνουν την περιήγηση- και ένα χώρο για να αποθηκεύσουν τα πιο πολύτιμα έγγραφά τους και να λειτουργήσουν ως αντίγραφα ασφαλείας.

Εξακολουθούν να χρησιμοποιούν ως επί το πλείστον νόμιμα λειτουργικά συστήματα της Microsoft, αλλά θέλουν να τα αλλάξουν σε Λειτουργικά Συστήματα που βασίζονται σε Linux, ξεκινώντας από τον "Διακομιστή" τους.

Επιθυμούν επίσης να έχουν τον δικό τους διακομιστή αλληλογραφίας για να γίνουν ανεξάρτητοι - τουλάχιστον από την προέλευση - υπηρεσιών όπως το Gmail, το Yahoo, το HotMail κ.λπ., που είναι αυτή τη στιγμή που χρησιμοποιούν.

Οι Κανόνες Τείχους προστασίας και Δρομολόγησης ενάντια στο Διαδίκτυο θα το καθορίσουν στο συμβόλαιο ADSL Router

Δεν έχουν πραγματικό όνομα τομέα, καθώς δεν χρειάζεται να δημοσιεύσουν καμία υπηρεσία στο Διαδίκτυο.

Το CentOS 7 ως διακομιστής χωρίς GUI

Ξεκινάμε από μια νέα εγκατάσταση ενός διακομιστή χωρίς γραφική διεπαφή και η μόνη επιλογή που επιλέγουμε κατά τη διαδικασία είναι «Διακομιστής υποδομής»Όπως είδαμε σε προηγούμενα άρθρα της σειράς.

Αρχικές ρυθμίσεις

[root @ linuxbox ~] # cat / etc / hostname 
κουτί linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # όνομα κεντρικού υπολογιστή
κουτί linux

[root @ linuxbox ~] # όνομα κεντρικού υπολογιστή -f
linuxbox.desdelinux.ανεμιστήρας

[root @ linuxbox ~] # λίστα προσθηκών ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 ιδού

Απενεργοποιούμε τη Διαχείριση δικτύου

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl απενεργοποιήστε το NetworkManager

[root @ linuxbox ~] # systemctl κατάσταση NetworkManager
● NetworkManager.service - Network Manager Φορτώθηκε: φορτωμένο (/usr/lib/systemd/system/NetworkManager.service; απενεργοποιημένο; προρυθμιστής προμηθευτή: ενεργοποιημένο) Ενεργό: ανενεργό (νεκρό) Έγγραφα: άνθρωπος: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Διαμορφώνουμε τις διεπαφές δικτύου

Η διεπαφή LAN Ens32 είναι συνδεδεμένη στο εσωτερικό δίκτυο

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = δημόσιο

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Η διασύνδεση Ens34 WAN είναι συνδεδεμένη στο Διαδίκτυο

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
ΣΥΣΚΕΥΗ=ens34 ONBOOT=ναι BOOTPROTO=στατικός HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=χωρίς IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Η διεύθυνση ADSL # είναι συνδεδεμένη με αυτή τη διεπαφή # με αυτήν τη διεπαφή IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = εξωτερικό

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Διαμόρφωση αποθετηρίων

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # αρχικό mkdir
[root @ linuxbox ~] # mv Centos- * πρωτότυπο /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum καθαρίστε όλα
Φορτωμένα πρόσθετα: ταχύτερος καθρέφτης, langpacks Καθαρισμός αποθετηρίων: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Ενημερώσεις-Repo Καθαρισμός των πάντων Καθαρισμός λίστας ταχύτερων καθρεφτών

[root @ linuxbox yum.repos.d] # yum ενημέρωση
Φορτωμένα πρόσθετα: fastmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Ενημερώσεις-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primer_db | 1.1 MB 00:00 (7/9): Ενημερώσεις-Repo / primer_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primer_db | 5.6 MB 00:01 Προσδιορισμός ταχύτερων καθρεπτών Δεν υπάρχουν πακέτα που επισημαίνονται για ενημέρωση

Το μήνυμα "Δεν σημειώθηκαν πακέτα για ενημέρωση»Εμφανίζεται επειδή κατά την εγκατάσταση δηλώσαμε τα ίδια τοπικά αποθετήρια που έχουμε στη διάθεσή μας.

Centos 7 με το περιβάλλον επιφάνειας εργασίας MATE

Για να χρησιμοποιήσουμε τα πολύ καλά εργαλεία διαχείρισης με μια γραφική διεπαφή που παρέχει το CentOS / Red Hat και επειδή χάνουμε πάντα το GNOME2, αποφασίσαμε να εγκαταστήσουμε το MATE ως περιβάλλον επιφάνειας εργασίας.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Για να ελέγξουμε ότι το MATE φορτώνεται σωστά, εκτελούμε την ακόλουθη εντολή σε μια κονσόλα-τοπική ή απομακρυσμένη-:

[root @ linuxbox ~] # systemctl απομονώστε το graphicical.target

και το περιβάλλον της επιφάνειας εργασίας πρέπει να φορτωθεί -στην τοπική ομάδα- ομαλά, δείχνοντας το lightdm ως γραφική σύνδεση. Πληκτρολογούμε το όνομα του τοπικού χρήστη και τον κωδικό πρόσβασής του και θα εισέλθουμε στο MATE.

Για να πούμε το systemd ότι το προεπιλεγμένο επίπεδο εκκίνησης είναι 5-γραφικό περιβάλλον- δημιουργούμε τον ακόλουθο συμβολικό σύνδεσμο:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Επανεκκίνηση του συστήματος και όλα λειτουργούν καλά.

Εγκαθιστούμε την υπηρεσία ώρας για δίκτυα

[root @ linuxbox ~] # yum εγκατάσταση ntp

Κατά την εγκατάσταση διαμορφώνουμε ότι το τοπικό ρολόι θα συγχρονίζεται με το διακομιστή ώρας του εξοπλισμού sysadmin.desdelinux.ανεμιστήρας με IP 192.168.10.1. Έτσι, αποθηκεύουμε το αρχείο ntp.conf πρωτότυπο από:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Τώρα, δημιουργούμε ένα νέο με το ακόλουθο περιεχόμενο:

[root @ linuxbox ~] # nano /etc/ntp.conf # Διακομιστές που έχουν διαμορφωθεί κατά την εγκατάσταση: διακομιστής 192.168.10.1 iburst # Για περισσότερες πληροφορίες, ανατρέξτε στις σελίδες man: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Να επιτρέπεται ο συγχρονισμός με την πηγή ώρας, αλλά όχι # να επιτρέπεται στην πηγή να συμβουλεύεται ή να τροποποιεί αυτήν την υπηρεσία περιορισμός προεπιλεγμένου nomodify notrap nopeer noquery # Να επιτρέπεται όλη η πρόσβαση στη διεπαφή Περιορισμός Loopback 127.0.0.1 περιορισμός :: 1 # Περιορίστε λίγο λιγότερο σε υπολογιστές στο τοπικό δίκτυο. περιορισμός 192.168.10.0 μάσκα 255.255.255.0 nomodify notrap # Χρησιμοποιήστε τους δημόσιους διακομιστές του έργου pool.ntp.org # Εάν θέλετε να συμμετάσχετε στο έργο επισκεφθείτε το # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # πελάτης εκπομπής broadcastclient # πρόγραμμα εκπομπής πελάτη #broadcast 224.0.1.1 autokey # διακομιστής πολλαπλής διανομής #multicastclient 224.0.1.1 # πελάτης πολλαπλής διανομής #manycastserver 239.255.254.254 # διακομιστής πολλών καναλιών #manycastclient 239.255.254.254 autokey #192.168.10.255. 4 # Ενεργοποίηση δημόσιας κρυπτογραφίας. #crypto includeefile / etc / ntp / crypto / pw # Αρχείο κλειδιού που περιέχει τα κλειδιά και τα αναγνωριστικά κλειδιών # που χρησιμοποιείται κατά τη λειτουργία με πλήκτρα κρυπτογραφίας συμμετρικού κλειδιού / etc / ntp / keys # Καθορίστε αξιόπιστα αναγνωριστικά κλειδιών. #trustedkey 8 42 8 # Καθορίστε το αναγνωριστικό κλειδιού για χρήση με το βοηθητικό πρόγραμμα ntpdc. #requestkey 8 # Καθορίστε το αναγνωριστικό κλειδιού για χρήση με το βοηθητικό πρόγραμμα ntpq. #controlkey 2013 # Ενεργοποίηση γραφής των μητρώων στατιστικών. #statistics clockstats cryptostats loopstats peerstats # Απενεργοποιήστε την οθόνη αποσύνδεσης για να αποφύγετε την ενίσχυση # επιθέσεων χρησιμοποιώντας την εντολή monlist ntpdc, όταν ο προεπιλεγμένος περιορισμός # δεν περιλαμβάνει τη σημαία του ερωτήματος. Διαβάστε το CVE-5211-XNUMX # για περισσότερες λεπτομέρειες. # Σημείωση: Η οθόνη δεν είναι απενεργοποιημένη με την περιορισμένη σημαία περιορισμού. απενεργοποιήστε την οθόνη

Ενεργοποιούμε, αρχίζουμε και ελέγχουμε την υπηρεσία NTP

[root @ linuxbox ~] # systemctl κατάσταση ntpd
● ntpd.service - Φόρτωση υπηρεσίας ώρας δικτύου: φορτωμένο (/usr/lib/systemd/system/ntpd.service; απενεργοποιημένο; προεπιλογή προμηθευτή: απενεργοποιημένο) Ενεργό: ανενεργό (νεκρό)

[root @ linuxbox ~] # systemctl ενεργοποιήστε το ntpd
Δημιουργήθηκε symlink από το /etc/systemd/system/multi-user.target.wants/ntpd.service στο /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl έναρξη ntpd
[root @ linuxbox ~] # systemctl κατάσταση ntpd

[root @ linuxbox ~] # systemctl κατάσταση ntpd
● ntpd.service - Υπηρεσία ώρας δικτύου
   Φορτώθηκε: φορτωμένο (/usr/lib/systemd/system/ntpd.service; enabled; προρυθμιστής προμηθευτή: απενεργοποιημένο) Ενεργό: ενεργό (τρέχει) από την Παρασκευή 2017-04-14 15:51:08 EDT; Πριν από 1 δευτερόλεπτο Διαδικασία: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Κύριο PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp και το τείχος προστασίας

[root @ linuxbox ~] # firewall-cmd --get-active-zones
εξωτερικός
  διεπαφές: ens34
δημόσιο
  διεπαφές: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --επανάληψη φόρτωσης
επιτυχία

Ενεργοποιούμε και ρυθμίζουμε το Dnsmasq

Όπως είδαμε στο προηγούμενο άρθρο της σειράς Small Business Networks, το Dnsamasq εγκαθίσταται από προεπιλογή σε διακομιστή υποδομής CentOS 7.

[root @ linuxbox ~] # systemctl κατάσταση dnsmasq
● dnsmasq.service - διακομιστής προσωρινής αποθήκευσης DNS. Φορτώθηκε: φορτωμένο (/usr/lib/systemd/system/dnsmasq.service; απενεργοποιημένο; προεπιλογή προμηθευτή: απενεργοποιημένο) Ενεργό: ανενεργό (νεκρό)

[root @ linuxbox ~] # systemctl ενεργοποιήστε το dnsmasq
Δημιουργήθηκε symlink από το /etc/systemd/system/multi-user.target.wants/dnsmasq.service στο /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl έναρξη dnsmasq
[root @ linuxbox ~] # systemctl κατάσταση dnsmasq
● dnsmasq.service - διακομιστής προσωρινής αποθήκευσης DNS. Φορτώθηκε: φορτωμένο (/usr/lib/systemd/system/dnsmasq.service; enabled; προρυθμιστής προμηθευτή: απενεργοποιημένο) Ενεργό: ενεργό (τρέχει) από την Παρασκευή 2017-04-14 16:21:18 EDT; Πριν από 4 δευτερόλεπτα Κύριο PID: 33611 (dnsmasq) Ομάδα: /system.slice/dnsmasq.service ice33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ΓΕΝΙΚΕΣ ΕΠΙΛΟΓΕΣ # ----------------------------- ---------------------------------------απαιτείται τομέας # Μην μεταβιβάζετε ονόματα χωρίς τον τομέα part bogus-priv # Μην μεταβιβάζετε διευθύνσεις σε μη δρομολογημένο χώρο επέκτασης-κεντρικούς υπολογιστές # Προσθέτει αυτόματα τον τομέα στη διεπαφή κεντρικού υπολογιστή=ens32 # Διασύνδεση LAN αυστηρή σειρά # Σειρά με την οποία ζητείται το αρχείο /etc/resolv.conf conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # Διεύθυνση ονόματος τομέα=/time.windows.com/192.168.10.5 # Στέλνει μια κενή επιλογή της τιμής WPAD. Απαιτείται για τους πελάτες # Windows 7 και νεότερες εκδόσεις για να συμπεριφέρονται σωστά. ;-) dhcp-option=252,"\n" # Αρχείο όπου θα δηλώσουμε τους HOSTS που θα "απαγορευτούν" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------- # Αυτός ο τύπος εγγραφής απαιτεί καταχώρηση # στο αρχείο /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.ανεμιστήρας,linuxbox.desdelinux.fan # MX RECORDS # Επιστρέφει μια εγγραφή MX με το όνομα "desdelinux.fan" με προορισμό # στην ομάδα αλληλογραφίας.desdelinux.ανεμιστήρας και προτεραιότητα 10 mx-host=desdelinux.ανεμιστήρας, ταχυδρομείο.desdelinux.fan,10 # Ο προεπιλεγμένος προορισμός για εγγραφές MX που δημιουργήθηκαν # χρησιμοποιώντας την επιλογή localmx θα είναι: mx-target=mail.desdelinux.fan # Επιστρέφει μια εγγραφή MX που δείχνει στον στόχο mx για ΟΛΕΣ τις # τοπικές μηχανές localmx # εγγραφές TXT. Μπορούμε επίσης να δηλώσουμε μια εγγραφή SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.ανεμιστήρας,"DesdeLinux, το ιστολόγιό σας αφιερωμένο στο Ελεύθερο Λογισμικό" # ----------------------------------------- --------------------------- # RANGEANDITSOPTIONS # ---------------------- ----- ------------------------------------------- # IPv4 εύρος και χρόνος μίσθωσης # 1 έως 29 είναι για διακομιστές και άλλες ανάγκες # dhcp-range=192.168.10.30,192.168.10.250,8::, ra-only # Options for RANGE # OPTIONS dhcp-option=222 # NETMASK dhcp-option=150 # ROUTER GATEWAY dhcp.6op1234. tion =1,255.255.255.0,desdelinux.fan # Όνομα τομέα DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authative --HCp-authative ---------------------------------------------- --- ----------- # Αν θέλετε να αποθηκεύσετε το ερώτημα, συνδεθείτε στο /var/log/messages # αποσχολιάστε την παρακάτω γραμμή # ---------- ------- ------------------------------------------ -------
# ερωτήματα καταγραφής
# ΤΕΛΟΣ αρχείου /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Δημιουργούμε το αρχείο / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Διορθώθηκαν διευθύνσεις IP

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Διαμορφώνουμε το αρχείο /etc/resolv.conf - διαλύων

[root @ linuxbox ~] # nano /etc/resolv.conf
search desdelinux.fan nameserver 127.0.0.1 # Για εξωτερικά ή # ερωτήματα DNS εκτός τομέα desdelinux.fan # local=/desdelinux.fan/ nameserver 8.8.8.8

Ελέγχουμε τη σύνταξη αρχείων dnsmasq.conf, ξεκινάμε και ελέγχουμε την κατάσταση της υπηρεσίας

[root @ linuxbox ~] # dnsmasq - δοκιμή
dnsmasq: έλεγχος σύνταξης ΟΚ.
[root @ linuxbox ~] # systemctl επανεκκίνηση dnsmasq
[root @ linuxbox ~] # systemctl κατάσταση dnsmasq

Dnsmasq και το Τείχος προστασίας

[root @ linuxbox ~] # firewall-cmd --get-active-zones
εξωτερικός
  διεπαφές: ens34
δημόσιο
  διεπαφές: ens32

υπηρεσία τομέα o Διακομιστής ονόματος τομέα (dns). Πρωτόκολλο σουφρώνω «IP με κρυπτογράφηση«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp - μόνιμο
επιτυχία

Dnsmasq ερωτήματα σε εξωτερικούς διακομιστές DNS

[root @ linuxbox ~] # firewall-cmd --zone = εξωτερικό --add-port = 53 / tcp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --zone = εξωτερικό --add-port = 53 / udp - μόνιμο
επιτυχία

υπηρεσία μπότες o Διακομιστής BOOTP (dhcp). Πρωτόκολλο ippc «Πυρήνας πακέτου Internet Pluribus«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp - μόνιμο
επιτυχία

[root @ linuxbox ~] # firewall-cmd --επανάληψη φόρτωσης
επιτυχία

[root @ linuxbox ~] # firewall-cmd --info-zone δημόσιο κοινό (ενεργό)
  target: προεπιλεγμένο icmp-block-inversion: no interfaces: ens32 source: services: dhcp dns ntp ssh port: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp πρωτόκολλα: μεταμφίεση: χωρίς μπροστινές θύρες: sourceports: icmp -μπλοκ: πλούσιοι κανόνες:

[root @ linuxbox ~] # firewall-cmd --info-zone εξωτερικό εξωτερικό (ενεργό)
  Στόχος: προεπιλεγμένη αντιστροφή icmp-block: χωρίς διασυνδέσεις: ens34 πηγές: υπηρεσίες: θύρες dns: πρωτόκολλα 53 / udp 53 / tcp: μεταμφίεση: ναι προς τα εμπρός-θύρες: sourceports: icmp-blocks: παράμετρος-πρόβλημα ανακατεύθυνση δρομολογητή-διαφήμιση πλούσιοι κανόνες προσφοράς-απόσβεσης:

Εάν θέλουμε να χρησιμοποιήσουμε μια γραφική διεπαφή για να διαμορφώσουμε το Τείχος προστασίας στο CentOS 7, κοιτάζουμε στο γενικό μενού - θα εξαρτηθεί από το περιβάλλον της επιφάνειας εργασίας στο οποίο εμφανίζεται το υπομενού - την εφαρμογή «Τείχος προστασίας», το εκτελούμε και μετά την είσοδο του χρήστη Κωδικός πρόσβασης ρίζα, θα έχουμε πρόσβαση στη διεπαφή προγράμματος ως έχει. Στο MATE εμφανίζεται στο μενού «Σύστημα »->" Διαχείριση "->" Τείχος προστασίας ".

Επιλέγουμε την περιοχή «δημόσιο»Εξουσιοδοτούμε τις Υπηρεσίες που θέλουμε να δημοσιεύσουμε στο LAN, οι οποίες μέχρι τώρα είναι dhcp, dns, ntp και ssh. Αφού επιλέξαμε τις υπηρεσίες, επαληθεύοντας ότι όλα λειτουργούν σωστά, πρέπει να κάνουμε τις αλλαγές στο Runtime to Permanent. Για να το κάνουμε αυτό πηγαίνουμε στο μενού Επιλογές και επιλέγουμε την επιλογή «Χρόνος εκτέλεσης σε μόνιμο".

Αργότερα επιλέγουμε την περιοχή «εξωτερικός»Και ελέγχουμε ότι οι θύρες που είναι απαραίτητες για επικοινωνία με το Διαδίκτυο είναι ανοιχτές. ΜΗΝ δημοσιεύετε Υπηρεσίες σε αυτήν τη Ζώνη εκτός αν γνωρίζουμε πολύ καλά τι κάνουμε!.

Ας μην ξεχάσουμε να κάνουμε τις αλλαγές μόνιμες μέσω της επιλογής «Χρόνος εκτέλεσης σε μόνιμο»Και φορτώστε ξανά τον δαίμονα FirewallD, κάθε φορά που χρησιμοποιούμε αυτό το ισχυρό εργαλείο γραφικών.

NTP και Dnsmasq από πελάτη Windows 7

Συγχρονισμός με NTP

εξωτερικός

Μισθωμένη διεύθυνση IP

Microsoft Windows [Έκδοση 6.1.7601] Πνευματικά δικαιώματα (γ) 2009 Microsoft Corporation. Ολα τα δικαιώματα διατηρούνται. C: \ Users \ buzz> ipconfig / Όνομα κεντρικού υπολογιστή διαμόρφωσης IP των Windows. . . . . . . . . . . . : Επτά
   Πρωτεύον επίθημα Dns. . . . . . . :
   NodeType. . . . . . . . . . . . : Ενεργοποιήθηκε η δρομολόγηση υβριδικής IP. . . . . . . . : Δεν είναι ενεργοποιημένος ο διακομιστής μεσολάβησης WINS. . . . . . . . : Δεν υπάρχει λίστα αναζήτησης επιθημάτων DNS. . . . . . : desdelinuxΠροσαρμογέας Ethernet .fan Σύνδεση τοπικής περιοχής: Επίθημα DNS για συγκεκριμένη σύνδεση . : desdelinux.Περιγραφή ανεμιστήρα . . . . . . . . . . . : Φυσική διεύθυνση σύνδεσης δικτύου Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 Ενεργοποιημένο DHCP. . . . . . . . . . . : Ναι Ενεργοποιήθηκε η αυτόματη διαμόρφωση . . . . : Πιρούνια
   Διεύθυνση IPv4. . . . . . . . . . . : 192.168.10.115 (Προτιμώμενο)
   Μάσκα υποδικτύου . . . . . . . . . . . : 255.255.255.0 Λήφθηκε μίσθωση. . . . . . . . . . : Παρασκευή 14 Απριλίου 2017 5:12:53 Λήγει η μίσθωση . . . . . . . . . . : Σάββατο, 15 Απριλίου 2017 1:12:53 π.μ. Προεπιλεγμένη πύλη . . . . . . . . . : 192.168.10.1 Διακομιστής DHCPS. . . . . . . . . . . : 192.168.10.5 Διακομιστές DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS μέσω Tcpip. . . . . . . . : Ενεργοποιημένος προσαρμογέας σήραγγας Σύνδεση τοπικής περιοχής* 9: Κατάσταση πολυμέσων . . . . . . . . . . . : Αποσυνδεδεμένο μέσο ενημέρωσης Επίθημα DNS για συγκεκριμένη σύνδεση . : Περιγραφή . . . . . . . . . . . : Φυσική διεύθυνση προσαρμογέα σήραγγας Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 Ενεργοποιημένο DHCP. . . . . . . . . . . : Δεν είναι ενεργοποιημένη η αυτόματη διαμόρφωση. . . . : Ναι Προσαρμογέας Tunnel isatap.desdelinux.fan: Media State. . . . . . . . . . . : Αποσυνδεδεμένο μέσο ενημέρωσης Επίθημα DNS για συγκεκριμένη σύνδεση . : desdelinux.Περιγραφή ανεμιστήρα . . . . . . . . . . . : Προσαρμογέας Microsoft ISATAP #2 Φυσική διεύθυνση. . . . . . . . . : 00-00-00-00-00-00-00-E0 Ενεργοποιημένο DHCP. . . . . . . . . . . : Δεν είναι ενεργοποιημένη η αυτόματη διαμόρφωση. . . . : Ναι C:\Users\buzz>

Άκρο

Μια σημαντική τιμή στους πελάτες των Windows είναι το "Κύριο επίθημα Dns" ή το "Επίθημα κύριας σύνδεσης". Όταν δεν χρησιμοποιείτε Microsoft Domain Controller, το λειτουργικό σύστημα δεν του αποδίδει καμία τιμή. Εάν αντιμετωπίζουμε μια υπόθεση όπως αυτή που περιγράφεται στην αρχή του άρθρου και θέλουμε να δηλώσουμε ρητά αυτήν την τιμή, πρέπει να προχωρήσουμε σύμφωνα με αυτό που φαίνεται στην παρακάτω εικόνα, να αποδεχτούμε τις αλλαγές και να επανεκκινήσουμε τον πελάτη.

Αν τρέξουμε ξανά CMD -> ipconfig / all θα λάβουμε τα ακόλουθα:

Microsoft Windows [Έκδοση 6.1.7601] Πνευματικά δικαιώματα (γ) 2009 Microsoft Corporation. Ολα τα δικαιώματα διατηρούνται. C: \ Users \ buzz> ipconfig / Όνομα κεντρικού υπολογιστή διαμόρφωσης IP των Windows. . . . . . . . . . . . : Επτά
   Πρωτεύον επίθημα Dns. . . . . . . : desdelinux.ανεμιστήρας
   NodeType. . . . . . . . . . . . : Ενεργοποιήθηκε η δρομολόγηση υβριδικής IP. . . . . . . . : Δεν είναι ενεργοποιημένος ο διακομιστής μεσολάβησης WINS. . . . . . . . : Δεν υπάρχει λίστα αναζήτησης επιθημάτων DNS. . . . . . : desdelinux.ανεμιστήρας

Οι υπόλοιπες τιμές παραμένουν αμετάβλητες

Έλεγχοι DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
Το spynet.microsoft.com έχει τη διεύθυνση 127.0.0.1 Ο κεντρικός υπολογιστής spynet.microsoft.com δεν βρέθηκε: 5(ΑΠΟΡΡΙΦΘΗΚΕ) Η αλληλογραφία spynet.microsoft.com διαχειρίζεται 1 αλληλογραφία.desdelinux.ανεμιστήρας.

buzz @ sysadmin: ~ $ κεντρικό σύστημα Linux
linuxbox.desdelinuxΤο .fan έχει διεύθυνση 192.168.10.5 linuxbox.desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 1 αλληλογραφία.desdelinux.ανεμιστήρας.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinuxΤο .fan έχει διεύθυνση 192.168.10.1 sysadmin.desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 1 αλληλογραφία.desdelinux.ανεμιστήρας.

buzz @ sysadmin: ~ $ κεντρικό ταχυδρομείο
ταχυδρομείο.desdelinuxΤο .fan είναι ένα ψευδώνυμο για το linuxbox.desdelinux.ανεμιστήρας. linuxbox.desdelinuxΤο .fan έχει διεύθυνση 192.168.10.5 linuxbox.desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 1 αλληλογραφία.desdelinux.ανεμιστήρας.

Εγκαθιστούμε -μόνο για δοκιμές- έναν εξουσιοδοτημένο διακομιστή DNS NSD στο sysadmin.desdelinux.ανεμιστήραςκαι συμπεριλαμβάνουμε τη διεύθυνση IP 172.16.10.1 στο αρχείο / Etc / resolv.conf της ομάδας linuxbox.desdelinux.ανεμιστήρας, για να επιβεβαιώσετε ότι η Dnsmasq εκτελούσε σωστά τη λειτουργία Forwarder. Τα sandboxes στον διακομιστή NSD είναι favt.org y toujague.org. Όλες οι IP είναι πλασματικές ή από ιδιωτικά δίκτυα.

Εάν απενεργοποιήσουμε τη διεπαφή WAN ens34 χρησιμοποιώντας την εντολή ifdown ens34, Το Dnsmasq δεν θα μπορεί να υποβάλει ερώτημα σε εξωτερικούς διακομιστές DNS.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Ο οικοδεσπότης toujague.org δεν βρέθηκε: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Ο κεντρικός υπολογιστής pizzapie.favt.org δεν βρέθηκε: 3 (NXDOMAIN)

Ας ενεργοποιήσουμε τη διεπαφή ens34 και ελέγξτε ξανά:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
Το pizzapie.favt.org είναι ένα ψευδώνυμο για το paisano.favt.org. Το paisano.favt.org έχει διεύθυνση 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Ο κεντρικός υπολογιστής pizzas.toujague.org δεν βρέθηκε: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
Το poblacion.toujague.org έχει διεύθυνση 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
διακομιστής ονόματος favt.org ns1.favt.org. διακομιστής ονόματος favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org διακομιστής ονομάτων ns1.toujague.org. toujague.org διακομιστής ονόματος ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Το mail toujague.org διαχειρίζεται το 10 mail.toujague.org.

Ας συμβουλευτούμε από sysadmin.desdelinux.ανεμιστήρας:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
search desdelinuxΔιακομιστής ονομάτων .fan 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org έχει διεύθυνση 169.18.10.19

Το Dnsmasq λειτουργεί σαν Διαβιβαστής σωστά

Καλαμάρι

Στο βιβλίο σε μορφή PDF «Διαμόρφωση διακομιστών Linux»Ημερομηνία 25 Ιουλίου 2016, από τον Συγγραφέα Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), κείμενο στο οποίο ανέφερα σε προηγούμενα άρθρα, υπάρχει ένα ολόκληρο κεφάλαιο αφιερωμένο στο Επιλογές βασικής διαμόρφωσης καλαμαριών.

Λόγω της σημασίας της υπηρεσίας Web - Proxy, αναπαράγουμε την Εισαγωγή που έγινε για το Squid στο προαναφερθέν βιβλίο:

105.1. Εισαγωγή.

105.1.1. Τι είναι ένας ενδιάμεσος διακομιστής (διακομιστής μεσολάβησης);

Ο όρος στα Αγγλικά "Πληρεξούσιο" έχει πολύ γενικό και ταυτόχρονα διφορούμενο νόημα
θεωρείται πάντα συνώνυμο της έννοιας του "Μεσολαβητής". Συνήθως μεταφράζεται, υπό την αυστηρή έννοια, ως αντιπρόσωπος o εξουσιοδοτημένος (αυτός που έχει εξουσία πάνω σε άλλο).

Un Ενδιάμεσος διακομιστής Ορίζεται ως ένας υπολογιστής ή μια συσκευή που προσφέρει μια υπηρεσία δικτύου που συνίσταται στο να επιτρέπει στους πελάτες να πραγματοποιούν έμμεσες συνδέσεις δικτύου με άλλες υπηρεσίες δικτύου. Κατά τη διάρκεια της διαδικασίας συμβαίνουν τα ακόλουθα:

• Ο πελάτης συνδέεται με ένα Διακομιστής μεσολάβησης.
• Ο πελάτης ζητά σύνδεση, αρχείο ή άλλο πόρο που είναι διαθέσιμος σε διαφορετικό διακομιστή.
• Ο ενδιάμεσος διακομιστής παρέχει τον πόρο είτε με σύνδεση στον καθορισμένο διακομιστή
  ή το σερβίρετε από μια προσωρινή μνήμη.
• Σε ορισμένες περιπτώσεις, το Ενδιάμεσος διακομιστής μπορεί να αλλάξει το αίτημα του πελάτη ή το
  απόκριση διακομιστή για διάφορους σκοπούς.

Ο Διακομιστές μεσολάβησης Είναι γενικά κατασκευασμένα για να λειτουργούν ταυτόχρονα ως τοίχος πυρκαγιάς που λειτουργεί στο Επίπεδο δικτύου, ενεργεί ως φίλτρο πακέτων, όπως στην περίπτωση του iptables ή λειτουργούν στο Επίπεδο εφαρμογής, τον έλεγχο διαφόρων υπηρεσιών, όπως στην περίπτωση του Περιτύλιγμα TCP. Ανάλογα με το πλαίσιο, ο τοίχος πυρκαγιάς είναι επίσης γνωστός ως Επέκταση BPD o Bτάξη Pπεριστροφή Device ή απλά φίλτρο πακέτων.

Μια κοινή εφαρμογή του Διακομιστές μεσολάβησης είναι να λειτουργεί ως προσωρινή μνήμη περιεχομένου δικτύου (κυρίως HTTP), παρέχοντας κοντά στους πελάτες μια προσωρινή μνήμη σελίδων και αρχείων που διατίθενται μέσω του δικτύου σε απομακρυσμένους διακομιστές HTTP, επιτρέποντας στους πελάτες του τοπικού δικτύου να έχουν πρόσβαση σε αυτά ταχύτερα και περισσότερο αξιόπιστος.

Όταν λαμβάνεται ένα αίτημα για έναν καθορισμένο πόρο δικτύου στο a URL (Uστολή Rπηγή Locator) το Ενδιάμεσος διακομιστής ψάξτε για το αποτέλεσμα του URL μέσα στην κρυφή μνήμη. Εάν βρεθεί, το Ενδιάμεσος διακομιστής Απαντά στον πελάτη παρέχοντας αμέσως το ζητούμενο περιεχόμενο. Εάν το ζητούμενο περιεχόμενο απουσιάζει από την προσωρινή μνήμη, το Ενδιάμεσος διακομιστής Θα το πάρει από έναν απομακρυσμένο διακομιστή, θα το παραδώσει στον πελάτη που το ζήτησε και θα κρατήσει ένα αντίγραφο στην προσωρινή μνήμη. Στη συνέχεια, το περιεχόμενο στην προσωρινή μνήμη καταργείται μέσω ενός αλγορίθμου λήξης σύμφωνα με την ηλικία, το μέγεθος και το ιστορικό του απαντήσεις σε αιτήματα (επιτυχίες) (παραδείγματα: LRU, LFUDA y GDSF).

Οι διακομιστές μεσολάβησης για περιεχόμενο δικτύου (Web Proxies) μπορούν επίσης να λειτουργήσουν ως φίλτρα του περιεχομένου που προβάλλεται, εφαρμόζοντας πολιτικές λογοκρισίας σύμφωνα με αυθαίρετα κριτήρια..

Η έκδοση Squid που θα εγκαταστήσουμε είναι 3.5.20-2.ελ7_3.2 από το αποθετήριο ενημερώσεις.

εγκατάσταση

[root @ linuxbox ~] # yum εγκατάσταση καλαμαριού

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  καλαμάρι.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl ενεργοποίηση καλαμαριού

σημαντικό

• Ο κύριος στόχος αυτού του άρθρου είναι να εξουσιοδοτηθούν οι τοπικοί χρήστες να συνδεθούν με το Squid από άλλους υπολογιστές που είναι συνδεδεμένοι στο LAN. Επιπλέον, εφαρμόστε τον πυρήνα ενός διακομιστή στον οποίο θα προστεθούν άλλες υπηρεσίες. Δεν είναι ένα άρθρο αφιερωμένο στο Καλαμάρι καθαυτό.
• Για να πάρετε μια ιδέα για τις επιλογές διαμόρφωσης του Squid, διαβάστε το αρχείο /usr/share/doc/squid-3.5.20/squid.conf.documented, το οποίο έχει 7915 γραμμές.

SELinux και Squid

[root @ linuxbox ~] # getebool -a | καλαμάρι
squid_connect_any -> στο squid_use_tproxy -> απενεργοποιημένο

[root @ linuxbox ~] # setebool -P squid_connect_any = on

διαμόρφωση

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports θύρα 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered port acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT μέθοδο CONNECT # Αρνούμαστε ερωτήματα για μη ασφαλείς θύρες http_access deny! Safe_ports # Αρνούμαστε τη μέθοδο CONNECT για μη ασφαλείς θύρες http_access den CONNECT! SSL_ports # Πρόσβαση στη διαχείριση προσωρινής μνήμης μόνο από το localhost http_access επιτρέπεται στο localhost manager http_access den manager # Συνιστούμε ανεπιφύλακτα τα ακόλουθα να προστατεύονται αθώα # διαδικτυακές εφαρμογές που εκτελούνται στον διακομιστή μεσολάβησης που πιστεύουν ότι ο μόνος # που μπορεί να έχει πρόσβαση σε υπηρεσίες στο "localhost" είναι ένας τοπικός χρήστης http_access αρνείται στο_localhost # # ΕΙΣΑΓΩΓΕΙ ΤΟΝ ΔΙΚΟ ΣΑΣ ΚΑΝΟΝΙΣΜΟ ΕΔΩ ΓΙΑ ΝΑ ΕΠΙΤΡΕΠΕΙΤΕ ΠΡΟΣΒΑΣΗ ΑΠΟ ΤΟΥΣ ΠΕΛΑΤΕΣ ΣΑΣ # # εξουσιοδότηση PAM
Βασικό πρόγραμμα auth_param / usr / lib64 / squid / basic_pam_auth
auth_param βασικά παιδιά 5 auth_param βασικό βασίλειο desdelinux.fan auth_param βασικά διαπιστευτήριαsttl 2 ώρες auth_param βασικά caseensitive off # Η πρόσβαση στο Squid απαιτεί έλεγχο ταυτότητας acl Enthusiasts proxy_auth REQUIRED # Επιτρέπουμε την πρόσβαση σε πιστοποιημένους χρήστες # μέσω PAM http_access άρνηση !Ενθουσιαστές http_access άρνηση !Enthusiasts επιτρέπεται η τοπική πρόσβαση στο FTPp πρόσβαση επιτρέπουμε τον localhost # Αρνούμαστε οποιαδήποτε άλλη πρόσβαση στον διακομιστή μεσολάβησης http_access άρνηση όλων # Squid ακούει συνήθως στη θύρα 3128 http_port 3128 # Αφήνουμε τα "coredumps" στον πρώτο κατάλογο προσωρινής μνήμης coredump_dir /var/spool/squid # # Προσθέστε οποιοδήποτε δικό σας refresh_pattern καταχωρήσεις πάνω από αυτές. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # Άλλες παράμετροι visual_hostname linuxbox.desdelinux.ανεμιστήρας

Ελέγχουμε τη σύνταξη του αρχείου /etc/squid/squid.conf

[root @ linuxbox ~] # ανάλυση καλαμαριού -k
2017/04/16 15:45:10| Startup: Initializing Authentication Schemes... 2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'βασικό' 2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest' 2017/04/16 15:45:10| Εκκίνηση: Initialized Authentication Scheme 'negotiate' 2017/04/16 15:45:10| Εκκίνηση: Initialized Authentication Scheme 'ntlm' 2017/04/16 15:45:10| Εκκίνηση: Αρχικοποιημένος έλεγχος ταυτότητας. 2017/04/16 15:45:10| Επεξεργασία αρχείου διαμόρφωσης: /etc/squid/squid.conf (depth 0) 2017/04/16 15:45:10| Επεξεργασία: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Επεξεργασία: acl SSL_ports port 443 21 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 1025-65535 # unregistered ports 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Επεξεργασία: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Επεξεργασία: acl Μέθοδος CONNECT CONNECT 2017/04/16 15:45:10| Επεξεργασία: http_access deny !Safe_ports 2017/04/16 15:45:10| Επεξεργασία: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Επεξεργασία: http_access επιτρέπεται ο διαχειριστής localhost 2017/04/16 15:45:10| Επεξεργασία: http_access deny manager 2017/04/16 15:45:10| Επεξεργασία: http_access deny to_localhost 2017/04/16 15:45:10| Επεξεργασία: βασικό πρόγραμμα auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Επεξεργασία: auth_param βασικά παιδιά 5 2017/04/16 15:45:10| Επεξεργασία: βασικό πεδίο auth_param desdelinux.fan 2017/04/16 15:45:10| Επεξεργασία: auth_param basic credentialsttl 2 ώρες 2017/04/16 15:45:10| Επεξεργασία: auth_param basic casesenitive off 2017/04/16 15:45:10| Επεξεργασία: acl Enthusiasts proxy_auth ΑΠΑΙΤΕΙΤΑΙ 2017/04/16 15:45:10| Επεξεργασία: http_access deny !Enthusiasts 2017/04/16 15:45:10| Επεξεργασία: acl ftp proto FTP 2017/04/16 15:45:10| Επεξεργασία: http_access allow ftp 2017/04/16 15:45:10| Επεξεργασία: http_access allow localnet 2017/04/16 15:45:10| Επεξεργασία: http_access allow localhost 2017/04/16 15:45:10| Επεξεργασία: http_access deny all 2017/04/16 15:45:10| Επεξεργασία: http_port 3128 2017/04/16 15:45:10| Επεξεργασία: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Επεξεργασία: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Επεξεργασία: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Επεξεργασία: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Επεξεργασία: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Επεξεργασία: cache_mem 64 MB 2017/04/16 15:45:10| Επεξεργασία: memory_replacement_policy lru 2017/04/16 15:45:10| Επεξεργασία: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Επεξεργασία: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Επεξεργασία: maximum_object_size 4 MB 2017/04/16 15:45:10| Επεξεργασία: cache_swap_low 85 2017/04/16 15:45:10| Επεξεργασία: cache_swap_high 90 2017/04/16 15:45:10| Επεξεργασία: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Επεξεργασία: Visual_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Εκκίνηση του περιβάλλοντος διακομιστή μεσολάβησης https

Προσαρμόζουμε τα δικαιώματα στο / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Δημιουργούμε τον κατάλογο cache

# Σε περίπτωση που ... [root @ linuxbox ~] # διακοπή καλαμαριού υπηρεσίας
Ανακατεύθυνση στο / bin / systemctl stop squid.service

[root @ linuxbox ~] # καλαμάρι -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Ορισμός τρέχοντος καταλόγου σε / var / spool / squid 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων ανταλλαγής που λείπουν 2017/04/16 15:48:28 kid1 | / var / spool / squid υπάρχει 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Δημιουργία καταλόγων στο / var / spool / squid / 0F

Σε αυτό το σημείο, εάν χρειαστεί λίγος χρόνος για να επιστρέψετε τη γραμμή εντολών - η οποία δεν μου επιστράφηκε ποτέ - πατήστε Enter.

[root @ linuxbox ~] Έναρξη # υπηρεσίας καλαμαριών
[root @ linuxbox ~] # επανεκκίνηση καλαμαριού υπηρεσίας
[root @ linuxbox ~] # κατάσταση καλαμαριού υπηρεσίας
Ανακατεύθυνση στο / bin / systemctl status squid.service ● squid.service - Proxy caching cache Φορτώθηκε: φορτωμένο (/usr/lib/systemd/system/squid.service; απενεργοποιημένο; προρυθμιστής προμηθευτή: απενεργοποιημένο) Ενεργό: ενεργό (τρέχει) από dom 2017-04-16 15:57:27 EDT; Πριν από 1 δευτερόλεπτο Διαδικασία: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Διαδικασία: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (κωδικός = exited, status = 0 / SUCCESS) Διαδικασία: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Κύριο PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 Απρ 15:57:27 linuxbox systemd [1]: Έναρξη διακομιστή μεσολάβησης Squid caching ... 16 Απρ 15:57:27 linuxbox systemd [1]: Ξεκίνησε μεσολάβηση προσωρινής αποθήκευσης Squid. 16 Απριλίου 15:57:27 linuxbox squid [2876]: Squid Parent: will start 1 kids 16 Apr 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed 16 Απριλίου : 15: 57 linuxbox squid [27]: Squid Parent: (squid-2876) process 1 ... 2878 Υπόδειξη: Ορισμένες γραμμές είχαν ελλειψοποιηθεί, χρησιμοποιήστε το -l για να εμφανίζονται πλήρως

[root @ linuxbox ~] # cat / var / log / μηνύματα | καλαμάρι

Διορθώσεις τείχους προστασίας

Πρέπει επίσης να ανοίξουμε στη Ζώνη «εξωτερικός"τα λιμάνια 80HTTP y 443 HTTPS έτσι το καλαμάρι μπορεί να επικοινωνήσει με το Διαδίκτυο.

[root @ linuxbox ~] # firewall-cmd --zone = εξωτερικό --add-port = 80 / tcp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --zone = εξωτερικό --add-port = 443 / tcp - μόνιμο
επιτυχία
[root @ linuxbox ~] # firewall-cmd --επανάληψη φόρτωσης
επιτυχία
[root @ linuxbox ~] # firewall-cmd --info-zone εξωτερικό
εξωτερικός (ενεργός) στόχος: προεπιλεγμένο icmp-block-inversion: no interfaces: ens34 source: services: dns ports: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  πρωτόκολλα: μεταμφίεση: ναι προς τα εμπρός-θύρες: πηγές

• Δεν είναι αδρανές να μεταβείτε στην εφαρμογή γραφικών «Διαμόρφωση τείχους προστασίας»Και ελέγξτε ότι οι θύρες 443 tcp, 80 tcp, 53 tcp και 53 udp είναι ανοιχτές για τη ζώνη«εξωτερικός«, Και ότι ΔΕΝ έχουμε δημοσιεύσει καμία υπηρεσία γι 'αυτήν.

Σημείωση για το πρόγραμμα βοηθών basic_pam_auth

Εάν συμβουλευτείτε το εγχειρίδιο αυτού του βοηθητικού προγράμματος μέσω άντρας basic_pam_auth Θα διαβάσουμε ότι ο ίδιος ο συγγραφέας κάνει μια ισχυρή πρόταση να μετακινηθεί το πρόγραμμα σε έναν κατάλογο όπου οι κανονικοί χρήστες δεν έχουν επαρκή δικαιώματα πρόσβασης στο εργαλείο.

Από την άλλη πλευρά, είναι γνωστό ότι με αυτό το σχήμα εξουσιοδότησης, τα διαπιστευτήρια ταξιδεύουν σε απλό κείμενο και δεν είναι ασφαλές για εχθρικά περιβάλλοντα, διαβάστε ανοιχτά δίκτυα.

Τζεφ Γιουστρέμσκας αφιερώστε το άρθρο «Οδηγίες: Ρύθμιση ασφαλούς διακομιστή μεσολάβησης μέσω κρυπτογράφησης SSL, Squid Caching Proxy και έλεγχος ταυτότητας PAM»Στο ζήτημα της αύξησης της ασφάλειας με αυτό το σχήμα ελέγχου ταυτότητας, ώστε να μπορεί να χρησιμοποιηθεί σε δυνητικά εχθρικά ανοιχτά δίκτυα.

Εγκαθιστούμε το httpd

Ως τρόπος για να ελέγξετε τη λειτουργία του Squid -και παρεμπιπτόντως της Dnsmasq- θα εγκαταστήσουμε την υπηρεσία httpd - Διακομιστής ιστού Apache - που δεν απαιτείται να γίνει. Στο αρχείο σε σχέση με το Dnsmasq / etc / banner_add_hosts Δηλώνουμε τους ιστότοπους που θέλουμε να αποκλείσουμε και τους εκχωρούμε ρητά την ίδια διεύθυνση IP που έχουν κουτί linux. Έτσι, εάν ζητήσουμε πρόσβαση σε οποιονδήποτε από αυτούς τους ιστότοπους, η αρχική σελίδα του httpd.

[root @ linuxbox ~] # yum εγκατάσταση httpd [root @ linuxbox ~] # systemctl ενεργοποίηση httpd
Δημιουργήθηκε symlink από το /etc/systemd/system/multi-user.target.wants/httpd.service στο /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl ξεκινήστε httpd

[root @ linuxbox ~] # κατάσταση systemctl httpd
● httpd.service - Ο διακομιστής Apache HTTP Loaded: φόρτωσε (/usr/lib/systemd/system/httpd.service; enabled; προρυθμιστής προμηθευτή: απενεργοποιημένος) Ενεργός: ενεργός (τρέχει) από τον Κυρ 2017-04-16 16:41: 35 EDT; Πριν από 5s Έγγραφα: man: httpd (8) man: apachectl (8) Main PID: 2275 (httpd) Κατάσταση: "Επεξεργασία αιτημάτων ..." Ομάδα: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 Απρ 16:41:35 linuxbox systemd [1]: Εκκίνηση του Apache HTTP Server ... 16 Απρ 16:41:35 linuxbox systemd [1]: Ξεκίνησε ο Apache HTTP Server.

SELinux και Apache

Το Apache έχει πολλές πολιτικές για διαμόρφωση στο πλαίσιο SELinux.

[root @ linuxbox ~] # getebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> για httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> από httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem από httpd_graceful_shutdown -> για httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick> off httpd_runco ​​offlimift offlimift_runco_stick> off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> εκτός httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> απενεργοποίηση httpd_use_sasl -> off httpd_verify_dns -> off

Θα διαμορφώσουμε μόνο τα εξής:

Στείλτε email μέσω του Apache

root @ linuxbox ~] # setebool -P httpd_can_sendmail 1

Επιτρέψτε στον Apache να διαβάσει τα περιεχόμενα που βρίσκονται στους οικιακούς καταλόγους των τοπικών χρηστών

root @ linuxbox ~] # setebool -P httpd_read_user_content 1

Επιτρέπεται η διαχείριση μέσω FTP ή FTPS οποιουδήποτε καταλόγου διαχειρίζεται
Apache ή επιτρέψτε στο Apache να λειτουργεί ως διακομιστής FTP που ακούει αιτήματα μέσω της θύρας FTP

[root @ linuxbox ~] # setebool -P httpd_enable_ftp_server 1

Για περισσότερες πληροφορίες, διαβάστε Διαμόρφωση διακομιστών Linux.

Ελέγχουμε τον έλεγχο ταυτότητας

Απομένει μόνο να ανοίξει ένα πρόγραμμα περιήγησης σε ένα σταθμό εργασίας και να δείξει, για παράδειγμα, το http://windowsupdate.com. Θα ελέγξουμε ότι το αίτημα ανακατευθύνεται σωστά στην αρχική σελίδα του Apache στο linuxbox. Στην πραγματικότητα, οποιοδήποτε όνομα ιστότοπου δηλώνεται στο αρχείο / etc / banner_add_hosts θα ανακατευθυνθείτε στην ίδια σελίδα.

Οι εικόνες στο τέλος του άρθρου το αποδεικνύουν.

Διαχείριση χρηστών

Το κάνουμε χρησιμοποιώντας το εργαλείο γραφικών «Διαχείριση χρηστών»Στην οποία έχουμε πρόσβαση μέσω του μενού Σύστημα -> Διαχείριση -> Διαχείριση χρηστών. Κάθε φορά που προσθέτουμε έναν νέο χρήστη, δημιουργείται ο φάκελός του / σπίτι / χρήστης αυτομάτως.

Τα αντίγραφα ασφαλείας

Πελάτες Linux

Χρειάζεστε μόνο το κανονικό πρόγραμμα περιήγησης αρχείων και υποδεικνύετε ότι θέλετε να συνδεθείτε, για παράδειγμα: ssh: // buzz @ linuxbox / σπίτι / buzz και μετά την εισαγωγή του κωδικού πρόσβασης, θα εμφανιστεί ο κατάλογος σπίτι του χρήστη βόμβος.

Πελάτες των Windows

Σε προγράμματα-πελάτες Windows, χρησιμοποιούμε το εργαλείο WinSCP. Μόλις εγκατασταθεί, το χρησιμοποιούμε με τον ακόλουθο τρόπο:

Απλό, σωστά;

περίληψη

Έχουμε δει ότι είναι δυνατή η χρήση του PAM για έλεγχο ταυτότητας υπηρεσιών σε ένα μικρό δίκτυο και σε ένα ελεγχόμενο περιβάλλον που είναι πλήρως απομονωμένο από τα χέρια του χάκερ. Αυτό οφείλεται κυρίως στο γεγονός ότι τα διαπιστευτήρια ελέγχου ταυτότητας ταξιδεύουν σε απλό κείμενο και ως εκ τούτου δεν είναι σχήμα ελέγχου ταυτότητας που χρησιμοποιείται σε ανοιχτά δίκτυα όπως αεροδρόμια, δίκτυα Wi-Fi κ.λπ. Ωστόσο, είναι ένας απλός μηχανισμός εξουσιοδότησης, εύκολος στην εφαρμογή και διαμόρφωση.

Πηγές που ζητήθηκαν

• Διαμόρφωση διακομιστών Linux
• Εγχειρίδια εντολών - man pages

Έκδοση PDF

Κατεβάστε την έκδοση PDF Aquí.

Μέχρι το επόμενο άρθρο!