Aŭtentikigo de Kalmaro + PAM en CentOS 7- SMB-Retoj

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton amikoj kaj amikoj!

La titolo de la artikolo devis esti: «MATE + NTP + Dnsmasq + Enireja Servo + Apache + Kalmaro kun PAM-Aŭtentikigo en Centos 7 - Retoj pri SME«. Pro praktikaj kialoj ni mallongigas ĝin.

Ni daŭrigas kun la aŭtentokontrolo al lokaj uzantoj en Linuksa komputilo uzanta PAM, kaj ĉi-foje ni vidos kiel ni povas provizi la servon Proxy kun Squid por malgranda reto de komputiloj, uzante la aŭtentikajn atestilojn konservitajn en la sama komputilo la servilo funkcias Ĉemizo.

Kvankam ni scias, ke estas tre ofta praktiko nuntempe, aŭtentikigi servojn kontraŭ OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, ktp, ni konsideras, ke ni unue devas trairi simplajn kaj malmultekostajn solvojn, kaj poste alfronti la plej kompleksajn. Ni kredas, ke ni devas iri de la simpla al la kompleksa.

Indekso

Scenejo

Ĝi estas malgranda organizo - kun tre malmultaj financaj rimedoj - dediĉita al subtenado de la uzo de Libera Programaro kaj kiu elektis la nomon de El Linukso.Fano. Ili estas diversaj OS-entuziasmuloj CentOS grupigitaj en ununura oficejo. Ili aĉetis laborstacion - ne profesian servilon - kiun ili dediĉos por funkcii kiel "servilo".

Entuziasmuloj ne havas ampleksan scion pri kiel efektivigi OpenLDAP-servilon aŭ Samba 4 AD-DC, nek ili povas permesi licenci Microsoft Active Directory. Tamen ili bezonas retalirajn servojn per prokurilo por sia ĉiutaga laboro - por rapidigi retumadon - kaj spacon por konservi siajn plej valorajn dokumentojn kaj funkcii kiel rezervaj kopioj.

Ili ankoraŭ plejparte uzas laŭleĝe akiritajn Microsoft operaciumojn, sed volas ŝanĝi ilin al Linukso-bazitaj Operaciumoj, komencante per sia "Servilo".

Ili ankaŭ aspiras havi sian propran retpoŝtan servilon por sendependiĝi - almenaŭ de la origino - de servoj kiel Gmail, Yahoo, HotMail, ktp., Kion ili nuntempe uzas.

La Firewall kaj Routing Rules kontraŭ la Interreto establos ĝin en la kontraktita ADSL-Enkursigilo.

Ili ne havas veran domajnan nomon, ĉar ili ne bezonas publikigi servon en la interreto.

CentOS 7 kiel servilo sen GUI

Ni komencas de nova instalado de servilo sen grafika interfaco, kaj la sola elekto, kiun ni elektas dum la procezo, estas «Infrastruktura Servilo»Kiel ni vidis en antaŭaj artikoloj en la serio.

Komencaj agordoj

[root @ linuxbox ~] # cat / etc / hostname 
linuksokesto

[root @ linuxbox ~] # cat / ktp / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # gastiganta nomo
linuksokesto

[root @ linuxbox ~] # gastiganta nomo -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip aldona listo
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 it

Ni malŝaltas la Retan Administranton

[root @ linuxbox ~] # systemctl haltigi NetworkManager

[root @ linuxbox ~] # systemctl malŝaltas NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Reta Administranto Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/NetworkManager.service; malŝaltita; vendita antaŭdifinita: ebligita) Aktiva: neaktiva (morta) Dokumentoj: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Ni agordas la retajn interfacojn

Ens32 LAN-interfaco konektita al la Interna Reto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = publika

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interfaco konektita al interreto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
APARATO = ens34 ONBOOT = jes BOOTPROTO = statika HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ne IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # La enkursigilo ADSL estas konektita al # ĉi tiu interfaco kun # la sekva adreso IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = ekstera

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Agordoj de deponejoj

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # originala mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum purigu ĉiujn
Ŝarĝitaj kromprogramoj: fastestmirror, langpacks Purigado de deponejoj: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Ĝisdatigoj-Repo Purigado de ĉio Purigado de listo de plej rapidaj speguloj
[root @ linuxbox yum.repos.d] # yum ĝisdatigo
Ŝarĝitaj kromprogramoj: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Ĝisdatigoj-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Ĝisdatigoj-Repo / primara_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Determini plej rapidajn spegulojn Neniu pako markita por ĝisdatigo

La mesaĝo "Neniuj pakoj markitaj por ĝisdatigo»Montriĝas ĉar dum la instalado ni deklaris la samajn lokajn deponejojn, kiujn ni disponas.

Centos 7 kun la labortabla medio MATE

Por uzi la tre bonajn administrajn ilojn kun grafika interfaco, kiun CentOS / Red Hat disponigas al ni, kaj ĉar ni ĉiam maltrafas GNOME2, ni decidis instali MATE kiel labortabla medio.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Por kontroli, ke la MATE ŝarĝas ĝuste, ni plenumas la jenan komandon en konzolo -loka aŭ fora-:

[root @ linuxbox ~] # systemctl izoli graphical.target

kaj la labortabla medio estu ŝarĝita -sur la loka teamo- glate, montrante la lumo kiel grafika ensaluto. Ni tajpas la nomon de la loka uzanto kaj ĝian pasvorton, kaj ni eniros la MATE.

Por diri al la sistemo ke la defaŭlta startnivelo estas 5 -grafika medio- ni kreas la jenan simbolan ligon:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Ni rekomencas la sistemon kaj ĉio funkcias bone.

Ni instalas la Tempan Servon por Retoj

[root @ linuxbox ~] # yum install ntp

Dum la instalado ni agordas, ke la loka horloĝo estos sinkronigita kun la tempa servilo de la teamo sysadmin.fromlinux.fan kun IP 192.168.10.1. Do ni konservas la dosieron ntp.konf originalo de:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nun ni kreas novan kun la sekva enhavo:

[root @ linuxbox ~] # nano /etc/ntp.conf # Serviloj agorditaj dum instalado: servilo 192.168.10.1 iburst # Por pliaj informoj, vidu la manajn paĝojn de: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Permesi sinkronigon kun la tempa fonto, sed ne # permesi al la fonto konsulti aŭ modifi ĉi tiun servon limigi defaŭltan nomodifu notrap nopeer noquery # Permesu ĉiujn alirojn al la interfaco Loopback restriktas 127.0.0.1 restriktas :: 1 # Limigu iom malpli al komputiloj en la loka reto. limigi 192.168.10.0 maskon 255.255.255.0 nomodify notrap # Uzu la publikajn servilojn de la projekto pool.ntp.org # Se vi volas aliĝi al la projekto vizitu # (http://www.pool.ntp.org/join.html). . 192.168.10.255 # Ebligi publikan kriptografion. #crypto includefile / etc / ntp / crypto / pw # Ŝlosila dosiero enhavanta la ŝlosilojn kaj ŝlosilajn identigilojn # uzata kiam vi funkcias per simetria ŝlosila kriptografioŝlosiloj / etc / ntp / keys # Specifi fidindajn ŝlosilajn identigilojn. #trustedkey 224.0.1.1 224.0.1.1 239.255.254.254 # Specifi la ŝlosilan identigilon por uzi kun la ntpdc-ilo. #requestkey 239.255.254.254 # Specifi la ŝlosilan identigilon por uzi kun la ntpq-ilo. #controlkey 192.168.10.255 # Ebligi verkadon de statistikaj registroj. #statistics clockstats cryptostats loopstats peerstats # Malebligu la secesian monitoron por malebligi plifortigon de # atakoj per la komando ntpdc monlist, kiam la defaŭlta # limo ne inkluzivas la retumilon. Legu CVE-4-8 # por pliaj detaloj. # Noto: La Ekrano ne estas malebligita kun la limigita limiga flago. malŝalti monitoron

Ni ebligas, startas kaj kontrolas la NTP-servon

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Reta Tempo-Servo Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/ntpd.service; malebligita; vendista antaŭdifinita: malebligita) Aktiva: neaktiva (morta)

[root @ linuxbox ~] # systemctl ebligi ntpd
Kreita simbolligo de /etc/systemd/system/multi-user.target.wants/ntpd.service al /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Servo pri Reta Tempo
   Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/ntpd.service; ebligita; antaŭdifinita vendisto: malŝaltita) Aktiva: aktiva (funkcianta) ekde Fri 2017-04-14 15:51:08 EDT; Antaŭ 1s Procezo: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kodo = eliris, stato = 0 / SUKCESO) Ĉefa PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp kaj la Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
ekstera
  interfacoj: ens34
publikajn
  interfacoj: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --reload
sukceso

Ni ebligas kaj agordas la Dnsmasq

Kiel ni vidis en antaŭa artikolo en la serio SMB Networks, Dnsamasq estas instalita defaŭlte sur CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - Servilo de kaŝmemora DNS. Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dnsmasq.service; malŝaltita; antaŭdifinita vendisto: malŝaltita) Aktiva: neaktiva (morta)

[root @ linuxbox ~] # systemctl ebligi dnsmasq
Kreita simligo de /etc/systemd/system/multi-user.target.wants/dnsmasq.service al /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-kaŝmemora servilo. Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dnsmasq.service; ebligita; antaŭdifinita vendisto: malŝaltita) Aktiva: aktiva (kuranta) ekde Fri 2017-04-14 16:21:18 EDT; Antaŭ 4 jaroj Ĉefa PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ĜENERALAJ OPCIOJ # ----------------------------- -------------------------------------- domajno-bezonata # Ne pasigu nomojn sen la domajna parto bogus-priv # Ne transdoni adresojn en la senrutigita spaco expand-hosts # Aŭtomate aldoni la domajnon al la gastiga interfaco = ens32 # Interfaca LAN strikta ordo # Ordo, en kiu vi devas konsulti la dosieron /etc/resolv.conf conf-dir = / ktp /dnsmasq.d domain = desdelinux.fan # Domajna adreso = / time.windows.com / 192.168.10.5 # Sendas malplenan elekton de la valoro WPAD. Postulita por # Windos 7 kaj postaj klientoj konduti ĝuste. ;-) dhcp-option = 252, "\ n" # Dosiero, kie ni deklaros la Gastigantojn, kiuj estos "malpermesitaj" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # Ĉi tiu tipo de registriĝo bezonas eniron # en la dosiero / etc / hosts # ekz: 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Liveras MX-rekordon kun la nomo "desdelinux.fan" destinita # por la mail.desdelinux-komputilo. ventumilo kaj prioritato de 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # La defaŭlta celloko por MX-rekordoj kreitaj # uzante la lokan opcion estos: mx-target = mail.desdelinux.fan # Returns MX-rekordo montranta al la mx-celo por ĈIUJ # lokaj maŝinoj localmx # TXT-registroj. Ni ankaŭ povas deklari SPF-registron txt-record = desdelinux.fan, "v = spf1 a -all" txt-record = desdelinux.fan, "FromLinux, via Blogo dediĉita al Libera Programaro" # --------- -------------------------------------------------- -------- # GAMO KAJ UZOJ # --------------------------------------- ---------------------------- # IPv4-gamo kaj luo-tempo # 1 ĝis 29 estas por Serviloj kaj aliaj dhcp-bezonoj -range = 192.168.10.30,192.168.10.250,8h dhcp-lease-max = 222 # Maksimuma nombro da adresoj luigendaj # defaŭlte estas 150 # IPV6-gamo # dhcp-range = 1234 ::, ra-only # Opcioj GAMA # OPCIOJ dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # DNS Servers dhcp-option = 15, desdelinux.fan # DNS Domain Name dhcp-option = 19,1 , 28,192.168.10.255 # option ip-forwarding ON dhcp-option = 42,192.168.10.5 # BROADCAST dhcp-option = XNUMX # NTP dhcp-authoritative # Authoritative DHCP on subnet # -------------- ------------------ ----------------------------------- # Se vi volas konservi en / var / log / messages la protokolon de la demandoj # komentu la suban linion # --------------------------------------- ----------------------------
# protokolaj demandoj
# FINO de dosiero /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Ni kreas la dosieron / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Fiksitaj IP-adresoj

[root @ linuxbox ~] # nano / ktp / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

Ni agordas la dosieron /etc/resolv.conf - solvi

[root @ linuxbox ~] # nano /etc/resolv.conf
serĉo desdelinux.fan nomservilo 127.0.0.1 # Por eksteraj aŭ ne-domajnaj DNS-demandoj desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Ni kontrolas dosieran sintakson dnsmasq.conf, ni komencas kaj kontrolas la staton de la servo

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sintaksa kontrolo OK.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq kaj la Fajromuro

[root @ linuxbox ~] # firewall-cmd --get-active-zones
ekstera
  interfacoj: ens34
publikajn
  interfacoj: ens32

Servo havaĵo Servilo de Domajna Nomo (dns). Protokolo swipe «IP kun Ĉifrado«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
sukceso

Dnsmasq-demandoj al eksteraj DNS-serviloj

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
sukceso

Servo botoj o BOOTP-servilo (dhcp). Protokolo ippc «Interreta Pluribus-Paka Kerno«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
sukceso

[root @ linuxbox ~] # firewall-cmd --reload
sukceso

[root @ linuxbox ~] # firewall-cmd --info-zone publika publiko (aktiva)
  celo: defaŭlta icmp-bloko-inversio: neniuj interfacoj: ens32-fontoj: servoj: dhcp-dns-ntp-ssh-havenoj: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp-protokoloj: maskerado: neniuj antaŭaj havenoj: sourceports: icmp -blokoj: riĉaj reguloj:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (aktiva)
  celo: defaŭlta icmp-blok-inversio: neniuj interfacoj: ens34-fontoj: servoj: dns-havenoj: 53 / udp 53 / tcp-protokoloj: maskerado: jes antaŭen-havenoj: sourceports: icmp-blocks: parametro-problemo redirektas enkursigilon-reklaman enkursigilon- petado font-estingi riĉajn regulojn:

Se ni volas uzi grafikan interfacon por agordi la Fajromuron en CentOS 7, ni serĉas en la ĝenerala menuo - ĝi dependos de la labortabla medio en kiu submenuo ĝi aperas - la aplikaĵo «Fajromuro», ni ekzekutas ĝin kaj post enigo de la pasvorto de la uzanto radikon, ni aliros la programan interfacon kiel tia. En MATE ĝi aperas en la menuo «Sistemo »->" Administrado "->" Fajromuro ".

Ni elektas la Areon «publikajn»Kaj ni rajtigas la Servojn, kiujn ni volas publikigi en la LAN, kiuj ĝis nun estas dhcp, dns, ntp kaj ssh. Post elekti la servojn, kontroli, ke ĉio funkcias ĝuste, ni devas fari la ŝanĝojn en Rultempa al Konstanta. Por fari tion ni iras al la menuo Agordoj kaj elektas la opcion «Rultempa daŭro".

Poste ni elektas la Areon «ekstera»Kaj ni kontrolas, ke la Havenoj necesaj por komuniki kun la Interreto estas malfermitaj. NE publikigu Servojn en ĉi tiu Zono krom se ni scias tre bone, kion ni faras!.

Ni ne forgesu fari la ŝanĝojn Konstantaj per la opcio «Rultempa daŭro»Kaj reŝargu la demonon FirewallD, ĉiufoje kiam ni uzas ĉi tiun potencan grafikan ilon.

NTP kaj Dnsmasq de kliento de Windows 7

Sinkronigado kun NTP

ekstera

Luita IP-adreso

Vindozo [Versio 6.1.7601] Kopirajto (c) 2009 Microsoft Corporation. Ĉiuj rajtoj rezervitaj. C: \ Uzantoj \ buzz> ipconfig / ĉiuj Vindozaj IP-Agorda Gastiganta Nomo. . . . . . . . . . . . : SEP
   Ĉefa Dns-Sufikso. . . . . . . :
   Nodo-Tipo. . . . . . . . . . . . : Hibrida IP-Itinero Ebligita. . . . . . . . : Neniu WINS-prokurilo ebligita. . . . . . . . : Neniu DNS-Sufiksa Serĉlisto. . . . . . : desdelinux.fan Ethernet adaptilo Loka Area Konekto: Konekta specifa DNS-Sufikso. : desdelinux.fan Priskribo. . . . . . . . . . . : Fizika Adreso de Intel (R) PRO / 1000 MT Reta Konekto. . . . . . . . . : 00-0C-29-D6-14-36 DHCP Ebligita. . . . . . . . . . . : Jes Aŭtomata Agordo Ebligita. . . . : Kaj ĝi estas
   IPv4-Adreso. . . . . . . . . . . : 192.168.10.115 (Preferata)
   Subreta Masko. . . . . . . . . . . : 255.255.255.0 Lizo Akirita. . . . . . . . . . : Vendredo, 14 aprilo 2017 5:12:53 Lizo eksvalidiĝas. . . . . . . . . . : Sabato, 15 aprilo 2017 1:12:53 AM Defaŭlta Enirejo. . . . . . . . . : 192.168.10.1 DHCP-Servilo. . . . . . . . . . . : 192.168.10.5 DNS-Serviloj. . . . . . . . . . . : 192.168.10.5 NetBIOS super Tcpip. . . . . . . . : Enŝaltita Tunela adaptilo Loka Area Konekto * 9: Media Ŝtato. . . . . . . . . . . : Amaskomunikilaro malkonektis Konektospecifan DNS-Sufikson. : Priskribo. . . . . . . . . . . : Fizika Adreso de Tunela Adaptilo de Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Ebligita. . . . . . . . . . . : Neniu Aŭtomata Agordo Ebligita. . . . : Jes Tunela adaptilo isatap.fromlinux.fan: Media State. . . . . . . . . . . : Amaskomunikilaro malkonektis Konekson specifan DNS-Sufikson. : desdelinux.fan Priskribo. . . . . . . . . . . : Fizika Adreso de Microsoft ISATAP-Adaptilo # 2. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Ebligita. . . . . . . . . . . : Neniu Aŭtomata Agordo Ebligita. . . . : Jes C: \ Uzantoj \ buzz>

konsileto

Grava valoro en Vindozaj klientoj estas la "Ĉefa Dns-Sufikso" aŭ "Ĉefa koneksa sufikso". Kiam Microsoft Domain Controller ne estas uzata, la operaciumo ne atribuas ian valoron al ĝi. Se ni alfrontas kazon kiel tiun priskribitan komence de la artikolo kaj ni volas eksplicite deklari tiun valoron, ni devas procedi laŭ tio, kio estas montrita en la sekva bildo, akcepti la ŝanĝojn kaj rekomenci la klienton.

 

Se ni kuros denove CMD -> ipconfig / ĉiuj ni ricevos la jenon:

Vindozo [Versio 6.1.7601] Kopirajto (c) 2009 Microsoft Corporation. Ĉiuj rajtoj rezervitaj. C: \ Uzantoj \ buzz> ipconfig / ĉiuj Vindozaj IP-Agorda Gastiganta Nomo. . . . . . . . . . . . : SEP
   Ĉefa Dns-Sufikso. . . . . . . : desdelinux.fan
   Nodo-Tipo. . . . . . . . . . . . : Hibrida IP-Itinero Ebligita. . . . . . . . : Neniu WINS-prokurilo ebligita. . . . . . . . : Neniu DNS-Sufiksa Serĉlisto. . . . . . : desdelinux.fan

La resto de la valoroj restas senŝanĝa

DNS-kontroloj

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com havas adreson 127.0.0.1 Gastiganto spynet.microsoft.com ne trovita: 5 (RIFUZITA) spynet.microsoft.com-poŝto estas pritraktita per 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan havas adreson 192.168.10.5 linuxbox.desdelinux.fan-poŝton traktas 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan havas adreson 192.168.10.1 sysadmin.desdelinux.fan-poŝton prizorgas 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ gastiganto-poŝto
mail.desdelinux.fan estas kaŝnomo por linuxbox.desdelinux.fan. linuxbox.desdelinux.fan havas adreson 192.168.10.5 linuxbox.desdelinux.fan-poŝton traktas 1 mail.desdelinux.fan.

Ni instalas -nur por testado- Aŭtoritata DNS-servilo NSD en sysadmin.fromlinux.fan, kaj ni inkluzivas la IP-adreson 172.16.10.1 en la ar theivo /etc/resolv.conf de la teamo linuxbox.fromlinux.fan, por kontroli, ke Dnsmasq ĝuste plenumis sian funkcion Forwarder. Sablokestoj sur la NSD-servilo estas favt.org y ankoraŭague.org. Ĉiuj IP-oj estas fikciaj aŭ de privataj retoj.

Se ni malŝaltas la WAN-interfacon ens34 uzante la komandon ifdown ens34, Dnsmasq ne povos pridemandi eksterajn DNS-servilojn.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx ĉiamague.org
Gastiganto ankoraŭague.org ne trovita: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gastiganto pizzapie.favt.org
Gastiganto pizzapie.favt.org ne trovita: 3 (NXDOMAIN)

Ni ebligu la ens34-interfacon kaj kontrolu denove:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ gastiganto pizzapie.favt.org
pizzapie.favt.org estas kaŝnomo por paisano.favt.org. paisano.favt.org havas adreson 172.16.10.4

[buzz @ linuxbox ~] $ gastiganto pizzapie.toujague.org
Gastiganto pizzas.toujague.org ne trovita: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gastiganto poblacion.toujague.org
poblacion.toujague.org havas adreson 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org nomservilo ns1.favt.org. favt.org nomo-servilo ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS ĉiamague.org
ankoraŭague.org nomservilo ns1.toujague.org. ankoraŭague.org nomservilo ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX ĉiamague.org
La retpoŝto ĉiam estas traktita per 10 mail.toujague.org.

Ni konsultu de sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
serĉu de linux.fan nomservilo 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org havas adreson 169.18.10.19

La Dnsmasq funkcias kiel Antaŭen ĝuste.

Ĉemizo

En la libro en PDF-formato «Agordo de Linukso-Serviloj»Datita la 25-an de julio 2016 de la Aŭtoro Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), teksto al kiu mi aludis en antaŭaj artikoloj, estas tuta ĉapitro dediĉita al la Bazaj Agordaj Elektoj de Kalmaro.

Pro la graveco de la retejo - prokura servo, ni reproduktas la Enkondukon faritan pri la Kalmaro en la menciita libro:

105.1. Enkonduko.

105.1.1. Kio estas Intermedia Servilo (Proxy)?

La termino en la angla "Anstataŭanto" havas tre ĝeneralan kaj samtempe ambiguan signifon, kvankam
estas kutime konsiderata sinonimo de la koncepto de "Peranto". Ĝi estas kutime tradukita, en la strikta senco, kiel delegito o povigita (tiu, kiu havas potencon super alia).

Un Meza Servilo Ĝi estas difinita kiel komputilo aŭ aparato, kiu ofertas retan servon, kiu konsistas el permesi al klientoj fari nerektajn retajn konektojn al aliaj retaj servoj. Dum la procezo okazas:

  • Kliento konektas al Proxy servilo.
  • Kliento petas konekton, dosieron aŭ alian rimedon haveblan sur alia servilo.
  • Meza Servilo provizas la rimedon aŭ per konekto al la specifa servilo
    aŭ servante ĝin de kaŝmemoro.
  • En iuj kazoj la Meza Servilo povas ŝanĝi la peton de la kliento aŭ la
    servila respondo por diversaj celoj.

la Prokurserviloj ili ĝenerale funkcias samtempe kiel fajromuro funkcianta en la Reta nivelo, rolas kiel pakaĵa filtrilo, kiel en la kazo de iptables aŭ funkcianta en la Aplika Nivelo, kontrolante diversajn servojn, kiel estas la kazo de TCP-Envolvilo. Depende de la kunteksto, la fajromuro ankaŭ estas konata kiel BPD o Bordo Pputrado Device aŭ simple pakaĵa filtrilo.

Ofta apliko de Prokurserviloj devas funkcii kiel kaŝmemoro de reta enhavo (ĉefe HTTP), disponigante proksime al la klientoj kaŝmemoron de paĝoj kaj dosieroj haveblaj tra la reto sur foraj HTTP-serviloj, permesante al klientoj de la loka reto aliri ilin en pli rapide kaj pli fidinde.

Kiam peto ricevas por specifa Reta rimedo en URL (Uniforma Refonto Locator) la Meza Servilo serĉu la rezulton de URL ene de la kaŝmemoro. Se ĝi troviĝas, la Meza Servilo Respondas al la kliento tuj provizante la petitan enhavon. Se la petita enhavo forestas en la kaŝmemoro, la Meza Servilo ĝi prenos ĝin de fora servilo, liverante ĝin al la petita kliento kaj konservante kopion en la kaŝmemoro. La enhavo en la kaŝmemoro tiam estas forigita per elspira algoritmo laŭ la aĝo, grandeco kaj historio de respondoj al petoj (trafoj) (ekzemploj: LRU, LFUDA y GDSF).

Prokurserviloj por Reta enhavo (Rete Prokuriloj) ankaŭ povas funkcii kiel filtriloj de la enhavo servita, aplikante cenzurajn politikojn laŭ arbitraj kriterioj..

La versio de Squid, kiun ni instalos, estas 3.5.20-2.el7_3.2 de la deponejo ĝisdatigoj.

Instalado

[root @ linuxbox ~] # yum instalu kalmaron

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  kalmaro.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl ebligas kalmarojn

Grava

  • La ĉefa celo de ĉi tiu artikolo estas Rajtigi lokajn uzantojn konekti kun Squid de aliaj komputiloj konektitaj al la LAN. Krome efektivigu la kernon de servilo al kiu aldoniĝos aliaj servoj. Ĝi ne estas artikolo dediĉita al la Kalmaro kiel tia.
  • Por fari ideon pri la agordaj opcioj de Squid, legu la dosieron /usr/share/doc/squid-3.5.20/squid.conf.documented, kiu havas 7915 liniojn.

SELinux kaj Squid

[root @ linuxbox ~] # getsebool -a | grep kalmaro
squid_connect_any -> on squid_use_tproxy -> malŝaltita

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

agordo

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_porta haveno 443 21
acl Safe_ports haveno 80 # http acl Safe_ports haveno 21 # ftp acl Safe_ports haveno 443 # https acl Safe_ports haveno 70 # gopher acl Safe_ports haveno 210 # wais acl Safe_ports haveno 1025-65535 # neregistritaj havenoj acl Safe_ports haveno 280 # http-mgmt acl Safe_ports haveno 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Ni rifuzas demandojn pri ne-sekuraj havenoj http_access deny! Safe_ports # Ni rifuzas la CONNECT-metodon por ne-sekuraj havenoj http_access deny CONNECT! SSL_ports # Aliro al Kaŝmemora administranto nur de localhost http_access permesu al localhost-administranto http_access rifuzi administranton # Ni forte rekomendas, ke la jenaj estu nekomentitaj por protekti senkulpajn # retejajn programojn funkciantajn sur la prokura servilo, kiuj pensas, ke la sola # kiu povas aliri servojn ĉe "localhost" estas loka. uzanto http_access rifuzi al_localhost # # ENSERU VIAJN PROPRIAN REGULOJ ĈI TIE POR Permesi ALIRON DE VIAJ KLIENTOJ # # PAM-rajtigo
auth_param baza programo / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm de linux.fan auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # Acl authentication is required to access Squid Enthusiasts proxy_auth NECESITA # Ni permesas aliron al aŭtentikigitaj uzantoj # per PAM http_access deny! Entuziasmuloj # Aliro al FTP-retejoj acl ftp proto FTP http_access permesi ftp http_access permesi localnet http_access permesi localhost # Ni rifuzas iun alian aliron al la prokurilo http_access rifuzi ĉion # Kalmaro kutime aŭskultas ĉe la haveno 3128 http_port 3128 # Ni lasas la "coredumps" en la unua kaŝmemora dosierujo coredump_dir / var / spool / kalmaro # # Aldonu iujn ajn proprajn refresh_pattern-enirojn super ĉi tiuj. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgr buzz@desdel

Ni kontrolas la sintakson de la dosiero /etc/squid/squid.conf

[root @ linuxbox ~] # kalmar -k analizo
2017/04/16 15: 45: 10 | Lanĉo: Inicialigo de Aŭtentikigaj Skemoj ...
 2017/04/16 15: 45: 10 | Lanĉo: Inicialigita Aŭtentiga Skemo 'baza' 2017/04/16 15: 45: 10 | Lanĉo: Inicialigita Aŭtentiga Skemo 'resumigi' 2017/04/16 15: 45: 10 | Lanĉo: Inicialigita Aŭtentiga Skemo 'negoci' 2017/04/16 15: 45: 10 | Lanĉo: Inicialigita Aŭtentiga Skemo 'ntlm' 2017/04/16 15: 45: 10 | Lanĉo: Inicialigita Aŭtentikigo.
 2017/04/16 15: 45: 10 | Prilaborado de Agorda Dosiero: /etc/squid/squid.conf (profundo 0) 2017/04/16 15: 45: 10 | Prilaborado: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Prilaborado: acl SSL_porta haveno 443 21 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 80 # http 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 21 # ftp 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 443 # https 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 70 # gopher 2017/04/16 15: 45: 10 | Prilaborado: ACL Safe_ports haveno 210 # wais 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 1025-65535 # neregistritaj havenoj 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 280 # http-mgmt 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 488 # gss-http 2017/04/16 15: 45: 10 | Prilaborado: ACL Safe_ports-haveno 591 # filemaker 2017/04/16 15: 45: 10 | Prilaborado: acl Safe_ports-haveno 777 # multiling http 2017/04/16 15: 45: 10 | Prilaborado: acl CONNECT-metodo CONNECT 2017/04/16 15: 45: 10 | Prilaborado: http_access deny! Safe_ports 2017/04/16 15: 45: 10 | Prilaborado: http_access deny CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Prilaborado: http_access permesi lokan gastiganton 2017/04/16 15: 45: 10 | Prilaborado: http_access deny manager 2017/04/16 15: 45: 10 | Prilaborado: http_access neas al_localhost 2017/04/16 15: 45: 10 | Prilaborado: auth_param baza programo / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Prilaborado: auth_param bazaj infanoj 5 2017/04/16 15: 45: 10 | Prilaborado: auth_param baza regno de linux.fan 2017/04/16 15: 45: 10 | Prilaborado: auth_param baza atestilo 2 horoj 2017/04/16 15: 45: 10 | Prilaborado: auth_param baza kazosentemo de 2017/04/16 15: 45: 10 | Prilaborado: akl Entuziasmuloj prokurilo_auth NECESITA 2017/04/16 15: 45: 10 | Prilaborado: http_access neas! Entuziasmuloj 2017/04/16 15: 45: 10 | Prilaborado: acl ftp proto FTP 2017/04/16 15: 45: 10 | Prilaborado: http_access allow ftp 2017/04/16 15: 45: 10 | Prilaborado: http_access allow localnet 2017/04/16 15: 45: 10 | Prilaborado: http_access allow localhost 2017/04/16 15: 45: 10 | Prilaborado: http_access neas ĉiujn 2017/04/16 15: 45: 10 | Prilaborado: http_port 3128 2017/04/16 15: 45: 10 | Prilaborado: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Prilaborado: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Prilaborado: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Prilaborado: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Prilaborado: refresh_pattern. 

Ni ĝustigas permesojn en / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Ni kreas la kaŝmemoran dosierujon

# Ĉiaokaze ... [root @ linuxbox ~] # servo kalmaro haltas
Alidirektante al / bin / systemctl haltigi squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Agordi Aktualan Adresaron al / var / spool / squid 2017/04/16 15:48:28 kid1 | Kreante mankantajn interŝanĝajn adresarojn 2017/04/16 15:48:28 kid1 | / var / spool / squid ekzistas 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Fari dosierujojn en / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Fari dosierujojn en / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Fari dosierujojn en / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Fari dosierujojn en / var / spool / squid / 0F

Je ĉi tiu punkto, se necesas iom da tempo por redoni la komandan prompton - kiu neniam estis redonita al mi - premu Enter.

[root @ linuxbox ~] # servo kalmara komenco
[root @ linuxbox ~] # servo kalmaro rekomencas
[root @ linuxbox ~] # servo kalmara stato
Alidirektado al / bin / systemctl status squid.service ● squid.service - Squid caching proxy Loaded: ŝarĝita (/usr/lib/systemd/system/squid.service; malebligita; vendisto antaŭdifinita: malebligita) Aktiva: aktiva (kuranta) ekde 2017-04-16 15:57:27 EDT; Antaŭ 1s Procezo: 2844 ExecStop = / usr / sbin / squid -k haltigo -f $ SQUID_CONF (kodo = eligita, stato = 0 / SUKCESO) Procezo: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (kodo = eligita, stato = 0 / SUCCESS) Procezo: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kodo = elirita, status = 0 / SUCCESS) Ĉefa PID: 2876 (kalmaro) CGroup: /system.slice/squid .servo └─2876 / usr / sbin / squid -f /etc/squid/squid.conf Apr 16 15:57:27 linuxbox systemd [1]: Lanĉado de Squid-kaŝmemora prokurilo ... Apr 16 15:57:27 linuxbox systemd [1]: Komencis kaŝmemoran prokurilon de Squid. Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: komencos 1 infanojn Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) procezo 2878 ... ed Apr 16 15 : 57: 27 linuxbox squid [2876]: Squid Gepatro: (squid-1) procezo 2878 ... 1 Konsilo: Iuj linioj estis elipsigitaj, uzu -l por montri komplete

[root @ linuxbox ~] # cat / var / log / messages | grep kalmaro

Fajromura riparo

Ni devas ankaŭ malfermiĝi en la Zono «ekstera"la havenoj 80HTTP y 443 HTTPS do la Kalmaro povas komuniki kun la Interreto.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
sukceso
[root @ linuxbox ~] # firewall-cmd --reload
sukceso
[root @ linuxbox ~] # firewall-cmd --info-zone external
ekstera (aktiva) celo: defaŭlta icmp-block-inversion: neniuj interfacoj: ens34 fontoj: servoj: dns-havenoj: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoloj: maskerado: jes antaŭen-havenoj: fontportoj: icmp-blokoj: parametro-problemo redirektas enkursigilo-reklamo enkursigilo-petado fonto-estingu riĉajn regulojn:
  • Ne estas senutile iri al la grafika aplikaĵo «Fajromura agordo»Kaj kontrolu, ke havenoj 443 tcp, 80 tcp, 53 tcp kaj 53 udp estas malfermitaj por la zono«ekstera«, Kaj ke ni NE publikigis iun servon por ŝi.

Noto pri la baza helpilo-programo de pam_auth

Se ni konsultas la manlibron de ĉi tiu ilo per viro basic_pam_auth Ni legos, ke la aŭtoro mem forte rekomendas, ke la programo translokiĝu al dosierujo, kie normalaj uzantoj ne havas sufiĉajn permesojn aliri la ilon.

Aliflanke, oni scias, ke kun ĉi tiu rajtiga plano, la atestiloj vojaĝas en simpla teksto kaj ĝi ne estas sekura por malamikaj medioj, legu malfermitajn retojn.

Jeff Yestrumskas dediĉu la artikolon «Kiel fari: Agordi sekuran interretan prokurilon per SSL-ĉifrado, Squid Caching Proxy kaj PAM-aŭtentokontrolo»Al la afero pliigi sekurecon per ĉi tiu aŭtentika plano, por ke ĝi uzeblas en eble malfavoraj malfermaj retoj.

Ni instalas httpd

Kiel maniero kontroli la funkciadon de Squid -kaj cetere tiu de Dnsmasq- ni instalos la servon httpd -Apache retservilo- kio ne necesas esti farita. En la dosiero rilate al la Dnsmasq / etc / banner_add_hosts Ni deklaras la retejojn, kiujn ni volas esti malpermesitaj, kaj ni eksplicite atribuas la saman IP-adreson, kiun ĝi havas linuksokesto. Tiel, se ni petas aliron al iu el ĉi tiuj retejoj, la ĉefpaĝon de la httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl ebligi httpd
Kreita simbolligo de /etc/systemd/system/multi-user.target.wants/httpd.service al /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - La Apache HTTP-Servilo Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/httpd.service; ebligita; vendista antaŭdifinita: malebligita) Aktiva: aktiva (funkcianta) ekde Suno 2017-04-16 16:41: 35 EDT; Antaŭ 5s Dokumentoj: man: httpd (8) man: apachectl (8) Ĉefa PID: 2275 (httpd) Stato: "Prilaborante petojn ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND Apr 16 16:41:35 linuxbox systemd [1]: Startado de Apache HTTP-Servilo ... Apr 16 16:41:35 linuxbox systemd [1]: Lanĉo de Apache HTTP-Servilo.

SELinux kaj Apache

Apache havas plurajn politikojn por agordi ene de la kunteksto de SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> for httpd_builtin_scripting -> sur httpd_can_check_spam -> for httpd_can_connect_ftp -> for httpd_can_connect_ldap -> for httpd_can_connect_mythtv -> for httpd_can_connect reto off_zabbix_> for httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> for httpd_can_network_relay -> for httpd_can_sendmail -> for httpd_dbus_avahi -> for httpd_dbus_sssd -> for httpd_dontaudit_search_dirs -> for httpd_enable_cgi -> httpd_enable_offmirs offhomed_server_enable -> httpd_enablem offd_server_enablecgi for -> httpd_enablem offd_server_enable> httpd_graceful_shutdown -> sur httpd_manage_ipa -> for httpd_mod_auth_ntlm_winbind -> for httpd_mod_auth_pam -> for httpd_read_user_content -> for httpd_run_ipa -> for httpd_run_preupgrade -> for httpd_runcobsherve offlimift -> off httpd_runcobsherve offlimift_runco_stick offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Ni nur agordos la jenajn:

Sendu retpoŝton per Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Permesu al Apache legi la enhavon situantan en la hejmaj adresaroj de lokaj uzantoj

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permesu administri per FTP aŭ FTPS iun ajn dosierujon administratan de
Apache aŭ permesi al Apache funkcii kiel FTP-servilo aŭskultante petojn per la FTP-haveno

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Por pliaj informoj, bonvolu legi Agordo de Linukso-Serviloj.

Ni kontrolas la Aŭtentikigon

Restas nur malfermi retumilon sur laborejo kaj indiki, ekzemple, al http://windowsupdate.com. Ni kontrolos, ke la peto estas ĝuste alidirektita al la ĉefpaĝo Apache en linuxbox. Fakte iu ajn reteja nomo deklarita en la dosiero / etc / banner_add_hosts vi estos redirektita al la sama paĝo.

La bildoj ĉe la fino de la artikolo tion pruvas.

Administrado de Uzantoj

Ni faras ĝin per la grafika ilo «Uzanto administrado»Al kiu ni aliras per la menuo Sistemo -> Administrado -> Administrado de uzantoj. Ĉiufoje, kiam ni aldonas novan uzanton, ĝia dosierujo estas kreita / hejmo / uzanto aŭtomate.

 

Rezerva kopioj

Linukso-klientoj

Vi nur bezonas la normalan dosierretumilon kaj indiku ke vi volas konektiĝi, ekzemple: ssh: // buzz @ linuxbox / home / buzz kaj post enigi la pasvorton, la dosierujo montriĝos hejmo de la uzanto zumado.

Vindozaj Klientoj

En Vindozaj klientoj ni uzas la ilon WinSCP. Unufoje instalita, ni uzas ĝin jene:

 

 

Simpla, ĉu ne?

Resumo

Ni vidis, ke eblas uzi PAM por aŭtentikigi servojn en malgranda reto kaj en kontrolita medio tute izolita de la manoj de hackers. Ĉefe ŝuldiĝas al la fakto, ke la aŭtentikaj atestiloj vojaĝas en simpla teksto kaj tial ĝi ne estas aŭtentika plano uzota en malfermaj retoj kiel flughavenoj, retaj retoj, ktp. Tamen ĝi estas simpla rajtiga mekanismo, facila por efektivigi kaj agordi.

Konsultitaj fontoj

PDF-versio

Elŝutu la PDF-version Ĉi tie.

Ĝis la sekva artikolo!


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

9 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   NauTiluS diris

    Terura posteno resaniĝis sinjoro Fico. Dankon pro dividi viajn sciojn.

  2.   lacerto diris

    Mi scias, kiel malfacilas kunmeti artikolon kun tia detala nivelo, kun sufiĉe klaraj testoj kaj ĉefe kun konceptoj kaj strategioj adaptitaj al la normoj. Mi nur demetas mian ĉapelon al ĉi tiu juvelo de kontribuoj, dankegon Fico pro tiel bona laboro.

    Mi neniam kombinis kalmarojn kun pam-aŭtentikigo sed mi iras laŭeble por fari ĉi tiun praktikon en mia laboratorio ... Celbrakumo kaj ni daŭras !!

  3.   federika diris

    NaTiluS: Koran dankon pro via komento kaj pritakso.
    Lacerto: Ankaŭ al vi, mi tre dankas vin pro via komento kaj taksado.

    La tempo kaj penado dediĉitaj al farado de artikoloj kiel ĉi tiu estas nur rekompencitaj per la legado kaj komentoj de tiuj, kiuj vizitas la komunumon FromLinux. Mi esperas, ke ĝi utilas al vi en via ĉiutaga laboro.
    Ni plu iras!

  4.   anonima diris

    Nekredebla civitana kontribuo !!!! Mi legis ĉiun el viaj artikoloj kaj mi povas diri, ke eĉ por persono, kiu ne havas progresintajn sciojn pri Libera Programaro (kiel mi), povas sekvi ĉi tiun delikatan artikolon paŝon post paŝo. Saluton !!!!

  5.   IWO diris

    Dankon Fico pro ĉi tiu alia bonega artikolo; Kvazaŭ tio ne sufiĉus kun ĉiuj afiŝoj jam publikigitaj, en ĉi tio ni havas servon ne antaŭe pritraktitan de la Serio PYMES kaj tio ege gravas: la "SQUID" aŭ Prokurilo de LAN. Nenio, kio por ni la familio de tiuj, kiuj pensas, ke ni estas "administrantoj", havas ĉi tie alian bonan materialon por studi kaj profundigi niajn sciojn.

  6.   federika diris

    Dankon al ĉiuj pro viaj komentoj. La sekva artikolo traktos la babilejon Prosody kun aŭtentokontrolo kontraŭ lokaj atestiloj (PAM) per Cyrus-SASL, kaj tiu servo estos efektivigita en ĉi tiu sama servilo.

  7.   kenpachiRo17 diris

    En bona tempo samlandano !!!! Bonega kontribuo eĉ por tiuj kiel mi, kiuj ne havas bonajn sciojn pri Libera Programaro kaj pasias lerni per artikoloj tiel delikataj kiel ĉi tiu. Mi sekvis viajn kontribuojn kaj mi ŝatus scii, per kiu artikolo vi rekomendus min komenci ĉi tiun serion de retoj de pymes, ĉar mi legis senorde kaj mi pensas, ke ĝi havas multajn valorajn enhavojn por maltrafi iun detalon. Sen pli, salutojn kaj la komuna scio kaj la Programaro restu Senpagaj !!

    1.    federika diris

      Salutojn landano !!!. Mi rekomendas vin komenci komence, ke kvankam ĝi povas ŝajni la longa vojo, ĝi estas la plej mallonga vojo por ne perdiĝi. En la indekso -kiu ne estas ĝisdatigita kun la du lastaj artikoloj- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, ni establis la rekomendindan legordon de la Serio, kiu komenciĝas per kiel fari mian Laborstacio, daŭras per pluraj afiŝoj dediĉitaj al la temo Virtualigo, sekvu kun pluraj kovertoj BIND, Isc-Dhcp-Servilo kaj Dnsmasq, kaj tiel plu ĝis ni alvenos al la servo-efektiviga parto por la reto de SME, kiu estas kie ni estas nuntempe. Mi esperas, ke ĝi helpos vin.

      1.    kenpachiRo17 diris

        Nu ĝi estos !!!! Tuj mi komencas kun la serio de la komenco kaj antaŭĝojas pri novaj artikoloj. Saluton !!!!