Squid + PAM autentifikazioa CentOS 7- SMB sareetan

Sailaren aurkibide orokorra: ETEentzako ordenagailu sareak: sarrera

Kaixo lagunak eta lagunak!

Artikuluaren izenburua honakoa izan behar zuen: «MATE + NTP + Dnsmasq + Gateway Zerbitzua + Apache + Squid PAM autentifikazioarekin Centos 7-n - ETE sareak«. Arrazoi praktikoengatik laburtu egiten dugu.

Linux erabiltzaileek bertako PAM erabiliz egiten duten autentifikazioarekin jarraitzen dugu eta oraingoan ikusiko dugu nola eman dezakegun Proxy zerbitzua Squid-ekin ordenagailu sare txiki baterako, zerbitzariak ordenagailuan gordetako autentifikazio kredentzialak erabiliz. martxan dago Squid.

Gaur egun oso praktika ohikoa dela dakigun arren, zerbitzuak OpenLDAP, Red Hat Directory Directory 389, Microsoft Active Directory eta abarren aurka autentifikatzea, lehenengo soluzio sinple eta merkeak pasa behar ditugula uste dugu, eta gero konplexuenei aurre egin. batzuk. Sinpletik konplexura joan behar dugula uste dugu.

Index

Etapa

Erakunde txikia da -finantza baliabide gutxirekin- Software Librea erabiltzeko laguntza eskaintzen duena eta izenaren aldeko hautua egin zuena. FromLinux.Fan. Hainbat sistema eragile zaleak dira CentOS bulego bakarrean bilduta. Laneko estazioa erosi zuten - ez zerbitzari profesionala - "zerbitzari" gisa funtzionatzeko eskainiko dutena.

Zaletuek ez dute OpenLDAP zerbitzari bat edo Samba 4 AD-DC bat nola ezarri jakiteko ezagutza zabala, eta ezingo dute Microsoft Active Directory lizentziarik eman. Hala ere, eguneroko lanerako Interneterako sarbide zerbitzuak behar dituzte proxy baten bidez -arakatzea bizkortzeko- eta dokumentu baliotsuenak gordetzeko eta segurtasun kopia gisa lan egiteko espazioa.

Oraindik legez eskuratutako Microsoft sistema eragileak erabiltzen dituzte gehienetan, baina Linux-en oinarritutako Sistema Eragileetara aldatu nahi dituzte, beren "Zerbitzaritik" hasita.

Gainera, posta-zerbitzari propioa izatea nahi dute, Gmail, Yahoo, HotMail, eta abar bezalako zerbitzuen independentzia izateko (gutxienez jatorritik), hau da, gaur egun erabiltzen dutena.

Internet aurrean dagoen suebakia eta bideratze arauak kontratatutako ADSL bideratzailean ezarriko dituzte.

Ez dute benetako domeinu izenik, ez baitute inolako zerbitzurik argitaratu behar Interneten.

CentOS 7 GUI gabeko zerbitzari gisa

Interfaze grafikorik gabeko zerbitzari baten instalazio berri batetik abiatzen ari gara eta prozesuan zehar aukeratzen dugun aukera bakarra «Azpiegituren zerbitzaria»Serieko aurreko artikuluetan ikusi genuen bezala.

Hasierako ezarpenak

[root @ linuxbox ~] # cat / etc / hostname 
linux kutxa

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # ostalari izena
linux kutxa

[root @ linuxbox ~] # hostname -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr zerrenda
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 it

Sareko kudeatzailea desgaitzen dugu

[root @ linuxbox ~] # systemctl gelditu NetworkManager

[root @ linuxbox ~] # systemctl-ek NetworkManager desgaitzen du

[root @ linuxbox ~] # systemctl egoera NetworkManager
● NetworkManager.service - Sarearen kudeatzailea kargatuta: kargatuta (/usr/lib/systemd/system/NetworkManager.service; desgaituta; saltzailearen aurrezarpena: gaituta) Aktiboa: inaktiboa (hilda) Dokumentuak: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Sare interfazeak konfiguratzen ditugu

Ens32 LAN interfazea barne sarera konektatuta

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publikoa

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN interfazea Internetera konektatuta dago

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL bideratzailea interfaze honetara # helbide honekin # # konektatuta dago. IP GATEWAY = 172.16.10.1 DOMINIOA = desdelinux.fan DNS1 = 127.0.0.1
ZONA = kanpokoa

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Biltegien konfigurazioa

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # original mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum guztiak garbitu
Kargatutako pluginak: fastestmirror, langpacks Biltegien garbiketa: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Dena garbitzea Ispilu azkarrenen zerrenda garbitzea
[root @ linuxbox yum.repos.d] # yum eguneratzea
Kargatutako Pluginak: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Ispilu azkarrenak zehaztea Ez da paketerik markatu eguneratzeko

Mezua "Ez dago eguneratzerik markatutako paketerik»Erakutsi da instalazioan eskura ditugun biltegi lokal berberak izendatu ditugulako.

Centos 7 MATE mahaigaineko ingurunearekin

CentOS / Red Hat-ek eskaintzen digun interfaze grafikoarekin administrazio tresna oso onak erabiltzeko eta GNOME2 beti faltan botatzen dugunez, MATE mahaigaineko ingurune gisa instalatzea erabaki dugu.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum group instalatu "MATE Desktop"

MATE ondo kargatzen dela egiaztatzeko, honako komando hau exekutatzen dugu kontsolan -hori edo urruneko-:

[root @ linuxbox ~] # systemctl isolatu graphical.target

eta mahaigaineko ingurunea kargatu behar da -bertako taldean- arazorik gabe, lightdm saio grafiko gisa. Tokiko erabiltzailearen izena eta bere pasahitza idatzi eta MATE sartuko dugu.

Esateko systemd abiarazte maila lehenetsia 5 dela -ingurune grafikoa- lotura sinboliko hau sortzen dugu:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Sistema berrabiarazi eta dena ondo funtzionatzen du.

Sareetarako Denbora Zerbitzua instalatzen dugu

[root @ linuxbox ~] # yum install ntp

Instalazioan zehar erloju lokala ekipoaren ordu zerbitzariarekin sinkronizatuko dela konfiguratzen dugu sysadmin.fromlinux.fan IPrekin 192.168.10.1. Beraz, fitxategia gordetzen dugu ntp.conf jatorrizkoa:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Orain, berri bat sortzen dugu honako eduki honekin:

[root @ linuxbox ~] # nano /etc/ntp.conf # Instalazioan konfiguratutako zerbitzariak: zerbitzaria 192.168.10.1 iburst # Informazio gehiago nahi izanez gero, ikus: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Baimendu sinkronizazioa denbora-iturriarekin, baina ez # baimendu iturburuak zerbitzu hau kontsultatu edo aldatu murriztu lehenetsi nomodify notrap nopeer noquery # Baimendu interfazerako sarbide guztia Loopback murriztu 127.0.0.1 murriztu :: 1 # Mugatu apur bat gutxiago sare lokaleko ordenagailuetara. murriztu 192.168.10.0 maskara 255.255.255.0 nomodify notrap # Erabili proiektuaren zerbitzari publikoak pool.ntp.org # Proiektuarekin bat egin nahi baduzu bisitatu # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client 192.168.10.255. 4 # Gaitu kriptografia publikoa. #crypto includeefile / etc / ntp / crypto / pw # Gako fitxategia duten gakoak eta gako identifikatzaileak ditu # Erabilitako gako kriptografia gako kriptografikoen gakoak / etc / ntp / keys # Zehaztu gako identifikatzaile fidagarriak. #trustedkey 8 42 8 # Zehaztu ntpdc utilitatearekin erabili beharreko gako identifikatzailea. #requestkey 8 # Zehaztu ntpq utilitatearekin erabili beharreko gako identifikatzailea. #controlkey 2013 # Gaitu estatistiken erregistroak idaztea. #statistics clockstats cryptostats loopstats peerstats # Desgaitu sezesio-monitorea ntpdc monlist komandoa erabiliz # erasoak areagotzea ekiditeko, # murriztapen lehenetsiak noquery bandera sartzen ez duenean. Irakurri CVE-5211-XNUMX # xehetasun gehiagorako. # Oharra: Monitorea ez dago desgaituta muga mugatuaren bandarekin. desgaitu monitorea

NTP zerbitzua gaitu, abiarazi eta egiaztatzen dugu

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Network Time Service Loaded: kargatuta (/usr/lib/systemd/system/ntpd.service; desgaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: inaktiboa (hilda)

[root @ linuxbox ~] # systemctl gaitu ntpd
/Etc/systemd/system/multi-user.target.wants/ntpd.service -tik esteka sinbolikoa sortu da /usr/lib/systemd/system/ntpd.service-ra.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Sareko denbora-zerbitzua
   Kargatuta: kargatuta (/usr/lib/systemd/system/ntpd.service; gaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: aktiboa (exekutatzen) ostiraletik 2017-04-14 15:51:08 EDT; Duela 1 urte Prozesua: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ AUKERAK (kodea = irten da, egoera = 0 / ARRAKASTA) PID nagusia: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp eta suebakia

[root @ linuxbox ~] # firewall-cmd --get-active-zones
kanpoko
  interfazeak: ens34
publikoa
  interfazeak: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --reload
arrakasta

Dnsmasq gaitzen eta konfiguratzen dugu

SMB Networks serieko aurreko artikuluan ikusi genuen bezala, Dnsamasq lehenespenez instalatuta dago CentOS 7 Azpiegitura Zerbitzari batean.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS cache zerbitzaria. Kargatuta: kargatuta (/usr/lib/systemd/system/dnsmasq.service; desgaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: inaktiboa (hilda)

[root @ linuxbox ~] # systemctl gaitu dnsmasq
Esteka sinbolikoa sortu zen /etc/systemd/system/multi-user.target.wants/dnsmasq.service -ra /usr/lib/systemd/system/dnsmasq.service-ra.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS cache zerbitzaria. Kargatuta: kargatuta (/usr/lib/systemd/system/dnsmasq.service; gaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: aktiboa (martxan) ost 2017-04-14 16:21:18 EDT; Duela 4s PID nagusia: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # AUKERA OROKORRAK # ---------------------------- - -------------------------------------- domeinua beharrezkoa # Ez pasatu izenak domeinurik gabe part bogus-priv # Ez pasatu helbiderik bideratu gabeko espazioan expand-hosts # Automatikoki gehitu domeinua ostalariaren interfazean = ens32 # Interfazea LAN zorrotz-ordena # /etc/resolv.conf fitxategia conf-dir kontsultatzeko ordena = / etc /dnsmasq.d domain = desdelinux.fan # Domain name address = / time.windows.com / 192.168.10.5 # WPAD balioaren aukera huts bat bidaltzen du. Beharrezkoa da # Windos 7 eta ondorengo bezeroek behar bezala joka dezaten. ;-) dhcp-option = 252, "\ n" # Fitxategia non "debekatuta" egongo diren ostalariak deklaratuko ditugu addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ----------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # Erregistro mota honek # etc / hosts fitxategian # sarrera eskatzen du adibidez: 192.168.10.5 .10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # MX erregistro bat itzultzen du "desdelinux.fan" izenarekin # mail.desdelinux-erako # ordenagailua. fan eta lehentasuna 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # # lokalmx aukera erabiliz sortzen diren MX erregistroen helmuga lehenetsia hau izango da: mx-target = mail.desdelinux.fan # MX erregistroa itzultzen du mx-targetera apuntatzen den # tokiko makina lokalentzat lokalmx # TXT erregistroetarako. SPF erregistro bat ere deklaratu dezakegu txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "FromLinux, zure bloga software libreari eskainia" # -------- - ------------------------------------------------- - -------- # SORTUA ETA ERABILERAK # ------------------------------------ --- ---------------------------- # IPv1 tartea eta errentamendu denbora # 29etik 192.168.10.30,192.168.10.250,8ra Zerbitzarietarako eta dhcp beste beharretarako dira -tartea = 222h dhcp-lease-max = 150 # Errentan eman beharreko gehienezko helbide kopurua # lehenespenez 6 # IPV1234 barrutia # dhcp-range = 1,255.255.255.0 ::, ra-soilik # RANGE aukerak OPTIONS dhcp-option = 3,192.168.10.5 # NETMASK dhcp-option = 6,192.168.10.5 # ROUTER GATEWAY dhcp-option = 15 # DNS zerbitzariak dhcp-option = 19,1, desdelinux.fan # DNS domeinu izena dhcp-option = 28,192.168.10.255, 42,192.168.10.5 # option ip-forwarding ON dhcp-option = XNUMX # BROADCAST dhcp-option = XNUMX # NTP dhcp-authoritative # Autoritatezko DHCP azpisarean # -------------- --- --------------- ----------------------------------- # / var / log / messages egunkarian gorde nahi baduzu kontsulten # deskomentatu beheko lerroa # --------------------------------------- - --------------------------
# erregistro-kontsulta
# /Etc/dnsmasq.conf fitxategiaren amaiera # --------------------------------------- ----------------------------

Fitxategia sortzen dugu / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

IP helbide finkoak

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

/Etc/resolv.conf fitxategia konfiguratzen dugu - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
bilatu desdelinux.fan izen zerbitzaria 127.0.0.1 # Kanpoko edo domeinukoak ez diren DNS kontsultetarako # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Fitxategiaren sintaxia egiaztatzen dugu dnsmasq.conf, zerbitzuaren egoera hasi eta egiaztatzen dugu

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sintaxia egiaztatu Ados.
[root @ linuxbox ~] # systemctl berrabiarazi dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq eta suebakia

[root @ linuxbox ~] # firewall-cmd --get-active-zones
kanpoko
  interfazeak: ens34
publikoa
  interfazeak: ens32

zerbitzua domeinu o Domeinu izenen zerbitzaria (dns). Protokoloa mugitu «IP enkriptatzearekin«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
arrakasta

Dnsmasq-ek kanpoko DNS zerbitzariei egiten dizkie kontsultak

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
arrakasta

zerbitzua botak o BOOTP zerbitzaria (dhcp). Protokoloa IPPC «Interneteko Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
arrakasta

[root @ linuxbox ~] # firewall-cmd --reload
arrakasta

[root @ linuxbox ~] # firewall-cmd --info-zone public public (aktiboa)
  target: default icmp-block-inversion: no interfaces: ens32 sources: services: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocols: masquerade: no forward-ports: sourceports: icmp -blokeak: arau aberatsak:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (aktiboa)
  target: default icmp-block-inversion: no interfaces: ens34 sources: services: dns ports: 53 / udp 53 / tcp protocols: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertising router- eskaera iturri-iraungitze arau aberatsak:

CentOS 7-n Firewall konfiguratzeko interfaze grafiko bat erabili nahi badugu, menu orokorrean begiratuko dugu - mahaigaineko ingurunearen arabera zein azpimenu agertzen den - «Firewall» aplikazioa, exekutatzen dugu eta erabiltzailearen pasahitza root, programaren interfazean sartuko gara horrela. MATE menuan agertzen da «Sistema »->" Administrazioa "->" Suebakia ".

Arloa hautatzen dugu «publikoa»Eta baimena ematen dugu nahi ditugun Zerbitzuak LANean argitaratzeko, orain arte daudenak dhcp, dns, ntp eta ssh. Zerbitzuak aukeratu ondoren, dena ondo funtzionatzen duela egiaztatu ondoren, aldaketak Runtime-ra Permanent-era egin behar ditugu. Horretarako Aukerak menura joango gara eta «aukera hautatuko duguExekutatu denbora iraunkorra".

Geroago eremua hautatuko dugu «kanpoko»Eta Internetekin komunikatzeko beharrezkoak diren Portuak irekita daudela egiaztatzen dugu. EZ argitaratu arlo honetako zerbitzuak zer egiten ari garen oso ondo dakigun behintzat!.

Ez ahaztu aldaketak behin betiko egitea aukeraren bidez «Exekutatu denbora iraunkorra»Eta berriro kargatu deabrua FirewallD, tresna grafiko indartsu hau erabiltzen dugun bakoitzean.

NTP eta Dnsmasq Windows 7 bezero batetik

NTParekin sinkronizatzea

kanpoko

Alokatutako IP helbidea

Microsoft Windows [6.1.7601 bertsioa] Copyright (c) 2009 Microsoft Corporation. Eskubide guztiak erreserbatuak. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Host Name. . . . . . . . . . . . : ZAZPI
   Lehen mailako NS atzizkia. . . . . . . :
   Nodo mota. . . . . . . . . . . . : IP bideratze hibridoa gaituta. . . . . . . . : Ez dago WINS proxy gaiturik. . . . . . . . : Ez da DNS Atzizkien Bilaketa Zerrendarik. . . . . . : desdelinux.fan Ethernet egokitzailea Tokiko eremuko konexioa: konexioaren berariazko DNS atzizkia. : desdelinux.fan Deskribapena. . . . . . . . . . . : Intel (R) PRO / 1000 MT sareko konexioaren helbide fisikoa. . . . . . . . . : 00-0C-29-D6-14-36 DHCP gaituta. . . . . . . . . . . : Bai Autokonfigurazioa Gaituta. . . . : Eta hala da
   IPv4 helbidea. . . . . . . . . . . : 192.168.10.115 (hobetsia)
   Azpisareko maskara. . . . . . . . . . . : 255.255.255.0 Errentamendua lortu da. . . . . . . . . . : 14ko apirilak 2017, ostirala 5:12:53 Errentamendua iraungitzen da. . . . . . . . . . : 15ko apirilaren 2017a, larunbata 1:12:53 AM Gateway lehenetsia. . . . . . . . . : 192.168.10.1 DHCP zerbitzaria. . . . . . . . . . . : 192.168.10.5 DNS zerbitzariak. . . . . . . . . . . : 192.168.10.5 NetBIOS Tcpip bidez. . . . . . . . : Gaituta dagoen tunel egokitzailea Tokiko konexioa * 9: Multimedia egoera. . . . . . . . . . . : Multimedia deskonektatuta Konexioaren berariazko DNS atzizkia. : Deskribapena. . . . . . . . . . . : Microsoft Teredo tunel egokitzailearen helbide fisikoa. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP gaituta. . . . . . . . . . . : Ez dago Autokonfiguraziorik Gaituta. . . . : Bai Tunel egokitzailea isatap.fromlinux.fan: Media State. . . . . . . . . . . : Multimedia deskonektatuta Konexioaren berariazko DNS atzizkia. : desdelinux.fan Deskribapena. . . . . . . . . . . : Microsoft ISATAP egokitzailea # 2 Helbide fisikoa. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP gaituta. . . . . . . . . . . : Ez dago Autokonfiguraziorik Gaituta. . . . : Bai C: \ Erabiltzaileak \ buzz>

Tip

Windows bezeroen balio garrantzitsu bat "Lehen mailako DNS atzizkia" edo "Konexio nagusiaren atzizkia" da. Microsoft Domain Controller erabiltzen ez duzunean, sistema eragileak ez dio inolako baliorik esleitzen. Artikuluaren hasieran deskribatutakoa bezalako kasu baten aurrean bagaude eta balio hori esplizituki adierazi nahi badugu, hurrengo irudian agertzen denaren arabera jarraitu beharko dugu, aldaketak onartu eta bezeroa berrabiarazi.

 

Berriro korrika egiten badugu CMD -> ipconfig / all honako hau lortuko dugu:

Microsoft Windows [6.1.7601 bertsioa] Copyright (c) 2009 Microsoft Corporation. Eskubide guztiak erreserbatuak. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Host Name. . . . . . . . . . . . : ZAZPI
   Lehen mailako NS atzizkia. . . . . . . : desdelinux.fan
   Nodo mota. . . . . . . . . . . . : IP bideratze hibridoa gaituta. . . . . . . . : Ez dago WINS proxy gaiturik. . . . . . . . : Ez da DNS Atzizkien Bilaketa Zerrendarik. . . . . . : desdelinux.fan

Gainerako balioak aldatu gabe daude

DNS egiaztapenak

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com-ek 127.0.0.1 helbidea du. Spynet.microsoft.com ostalaria ez da aurkitu: 5 (EZEZTATUA) spynet.microsoft.com posta 1 mail.fromlinux.fan-ek kudeatzen du.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan-ek 192.168.10.5 helbidea du linuxbox.desdelinux.fan posta 1 mail.desdelinux.fan-ek kudeatzen du.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan-ek 192.168.10.1 helbidea du sysadmin.desdelinux.fan posta 1 mail.desdelinux.fan-ek kudeatzen du.

buzz @ sysadmin: ~ $ ostalariaren posta
mail.desdelinux.fan linuxbox.desdelinux.fan-en alias bat da. linuxbox.desdelinux.fan-ek 192.168.10.5 helbidea du linuxbox.desdelinux.fan posta 1 mail.desdelinux.fan-ek kudeatzen du.

Instalatzen dugu -probak egiteko soilik- DNS zerbitzari NSD agintaria sysadmin.fromlinux.fan, eta IP helbidea sartzen dugu 172.16.10.1 artxiboan /etc/resolv.conf taldekoa linuxbox.fromlinux.fan, Dnsmasq-ek bere Forwarder funtzioa behar bezala betetzen zuela egiaztatzeko. NSD zerbitzariko sandbox-ak daude favt.org y oraindik ere.org. IP guztiak fikziozkoak dira edo sare pribatuetakoak.

WAN interfazea desgaitzen badugu ens34 komandoa erabiliz ifdown ens34, Dnsmasq-k ezin izango ditu kanpoko DNS zerbitzariak kontsultatu.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx betiague.org
Ostalaria oraindik ez da aurkitu.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Ostalaria pizzapie.favt.org ez da aurkitu: 3 (NXDOMAIN)

Gaitu dezagun ens34 interfazea eta egiaztatu berriro:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org ezizena da paisano.favt.org-en. paisano.favt.org-ek 172.16.10.4 helbidea du

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Ostalaria pizzas.toujague.org ez da aurkitu: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org helbideak 169.18.10.18 helbidea du

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org izen zerbitzaria ns1.favt.org. favt.org izen zerbitzaria ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS sempreague.org
oraindik ere.org izen zerbitzaria ns1.toujague.org. oraindik ere.org izen zerbitzaria ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX sempreague.org
10 posta.toujague.org-ek kudeatzen du oraindik ere.org posta.

Ikus dezagun sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
bilatu linux.fan izen zerbitzaritik 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org-ek 169.18.10.19 helbidea du

Dnsmasq bezalakoa da Aurreratzailea zuzen.

Squid

Liburuan PDF formatuan «Linux zerbitzarien konfigurazioa»Egileak 25ko uztailaren 2016ekoa Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), aurreko artikuluetan aipatu dudan testua, kapitulu oso bat dago Squid oinarrizko konfigurazio aukerak.

Web - Proxy zerbitzuaren garrantzia dela eta, aipatutako liburuan Txipiroiei buruz egiten den Sarrera erreproduzitzen dugu:

105.1. Sarrera.

105.1.1. Zer da Bitarteko Zerbitzaria (Proxy)?

Terminoa ingelesez "Proxy" oso esanahi orokorra eta aldi berean anbiguoa du, baina
beti da kontzeptuaren sinonimotzat "Bitartekaria". Normalean, zentzu hertsian, honela itzuli ohi da: delegatu o abokatu (beste baten gaineko boterea duena).

Un Bitarteko zerbitzaria Bezeroei beste sareko zerbitzu batzuekin zeharkako sare konexioak egiteko aukera ematean datzan sareko zerbitzua eskaintzen duen ordenagailu edo gailu gisa definitzen da. Prozesuan zehar honako hau gertatzen da:

  • Bezeroa a konektatzen da Proxy zerbitzaria.
  • Bezeroak beste zerbitzari batean eskuragarri dagoen konexio, fitxategi edo beste baliabide bat eskatzen du.
  • Bitartekaritza zerbitzariak zehaztutako zerbitzarira konektatuz eskaintzen du baliabidea
    edo cache batetik zerbitzatzea.
  • Zenbait kasutan Bitarteko zerbitzaria bezeroaren eskaera edo
    zerbitzariaren erantzuna hainbat helburuetarako.

The Proxy zerbitzariak orokorrean aldi berean funtzionatzen dute suaren horma gisa Sare maila, pakete iragazki gisa jokatuz, kasuan iptables edo Aplikazio Maila, hainbat zerbitzu kontrolatzen dituena, kasu TCP biltzailea. Testuinguruaren arabera, su horma ere deitzen da BPD o Bordena Pbiraketa Debice edo besterik gabe pakete iragazkia.

-Ren aplikazio arrunta Proxy zerbitzariak sareko edukien cache gisa (HTTP batez ere) funtzionatzea da, bezeroen gertutasunean sareko urruneko HTTP zerbitzarietan sarean eskuragarri dauden orrialde eta fitxategien cache bat eskainiz, sare lokaleko bezeroei modu azkarrago eta gehiagotan sartzeko aukera emanez fidagarria.

Sareko baliabide jakin baten eskaera jasotzen denean URL (Uuniformea Rbaliabidea Locator) du Bitarteko zerbitzaria -ren emaitza bilatu URL cachearen barruan. Aurkitzen bada, Bitarteko zerbitzaria Bezeroari erantzuten dio eskatutako edukia berehala emanez. Eskatutako edukia cachean ez badago, Bitarteko zerbitzaria urruneko zerbitzari batetik eskuratuko du, eskatu duen bezeroari entregatuz eta kopia bat cache-an gordeta. Cacheko edukia iraungitze algoritmo baten bidez kentzen da, adinaren, tamainaren eta historiaren arabera eskaeren erantzunak (hits) (adibideak: LRU, LFUDA y GDSF).

Sareko edukien proxy zerbitzariak (Web proxy-ak) zerbitzatutako edukiaren iragazki gisa ere funtziona dezakete, irizpide arbitrarioen arabera zentsura politikak aplikatuz..

Instalatuko dugun Squid bertsioa da 3.5.20-2.el7_3.2 biltegitik Media.

Instalazioa

[root @ linuxbox ~] # yum instalatu txipiroiak

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  txipiroiak.konf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl gaitu txipiroiak

Garrantzitsua

  • Artikulu honen helburu nagusia bertako erabiltzaileei LANera konektatutako beste ordenagailuetatik Squid-ekin konektatzeko baimena ematea da. Gainera, inplementatu zerbitzari baten muina eta horri beste zerbitzu batzuk gehituko zaizkio. Ez da Txipiroiari esandako artikulua.
  • Squid-en konfigurazio aukerei buruzko ideia bat lortzeko, irakurri /usr/share/doc/squid-3.5.20/squid.conf.documented fitxategia, 7915 lerro dituena..

SELinux eta Squid

[root @ linuxbox ~] # getsebool -a | txipiroiak
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

konfigurazioa

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports ataka 80 # http acl Safe_ports ataka 21 # ftp acl Safe_ports ataka 443 # https acl Safe_ports ataka 70 # gopher acl Safe_ports ataka 210 # wais acl Safe_ports ataka 1025-65535 # erregistratu gabeko portuak acl Safe_ports ataka 280 # http-mgmt acl Safe_ports ataka 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Portu ez-seguruei buruzko kontsultak ukatzen ditugu http_access deny! Safe_ports # Portu ez-seguruen CONNECT metodoa ukatzen dugu http_access ukatu CONNECT! SSL_ports # Cache kudeatzailea sarbidea localhost-etik http_access-ra baimendu localhost kudeatzailea http_access ukatu kudeatzailea # Honako hau gomendatzen dizugu ez dela komentatu proxy zerbitzarian exekutatzen diren # web aplikazio errugabeak babesteko, "localhost" zerbitzuan sar daitekeen # bakarra dela. tokiko erabiltzaile batek http_access ukatu to_localhost # # SARTU ZURE ARAUA (K) HEMEN ZURE BEZEROAK SARBIDEA BAIMENA # # PAM baimena
auth_param oinarrizko programa / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm from linux.fan auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # Acl authentication is required to access Squid Enthusiasts proxy_auth BEHARREZKOA # Autentifikatutako erabiltzaileei sarbidea baimentzen diegu # PAM bidez http_access ukatu! Zaletuak # FTP guneetara sarbidea acl ftp proto FTP http_access baimendu ftp http_access baimendu localnet http_access baimendu localhost # proxyrako beste edozein sarbide ukatzen dugu http_access ukatu guztiak # Txipiroiak normalean 3128 portuan entzuten du http_port 3128 # "coredumps" lehen cacheko direktorioan coredump_dir / var / uzten dugu spool / squid # # Gehitu zure refresh_pattern sarreren bat horien gainetik. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgr buzz@desdel.

Fitxategiaren sintaxia egiaztatzen dugu /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15: 45: 10 | Abiaraztea: autentifikazio eskemak hasieratzen ...
 2017/04/16 15: 45: 10 | Abiaraztea: hasierako autentifikazio eskema "oinarrizkoa" 2017/04/16 15: 45: 10 | Abiaraztea: hasieratutako autentifikazio eskema 'digest' 2017/04/16 15: 45: 10 | Abiaraztea: hasieratutako autentifikazio eskema 'negoziatu' 2017/04/16 15: 45: 10 | Abiaraztea: Hasierako autentifikazio eskema 'ntlm' 2017/04/16 15: 45: 10 | Abiaraztea: hasierako autentifikazioa.
 2017/04/16 15: 45: 10 | Konfigurazio fitxategia prozesatzen: /etc/squid/squid.conf (sakonera 0) 2017/04/16 15: 45: 10 | Izapidetzea: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Izapidetzea: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 80 # http 2017/04/16 15: 45: 10 | Prozesatzen: acl Safe_ports port 21 # ftp 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 443 # https 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | Izapidetzea: acl Safe_ports port 1025-65535 # erregistratu gabeko portuak 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 280 # http-mgmt 2017/04/16 15: 45: 10 | Prozesatzen: acl Safe_ports port 488 # gss-http 2017/04/16 15: 45: 10 | Prozesatzen: acl Safe_ports port 591 # filemaker 2017/04/16 15: 45: 10 | Prozesaketa: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | Tratamendua: acl CONNECT metodoa CONNECT 2017/04/16 15: 45: 10 | Prozesatzen: http_access ukatu! Safe_ports 2017/04/16 15: 45: 10 | Prozesatzen: http_access ukatu CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Prozesaketa: http_access baimendu localhost kudeatzailea 2017/04/16 15: 45: 10 | Izapidetzea: http_access deny manager 2017/04/16 15: 45: 10 | Prozesaketa: http_access ukatu to_localhost 2017/04/16 15: 45: 10 | Prozesaketa: auth_param oinarrizko programa / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Izapidetzea: auth_param basic children 5 2017/04/16 15: 45: 10 | Tratamendua: auth_param linux.fan oinarrizko erreinua 2017/04/16 15: 45: 10 | Izapidetzea: auth_param oinarrizko kredentzialak 2 ordu 2017/04/16 15: 45: 10 | Izapidetzea: auth_param oinarrizko kasuetarako sentikorra 2017/04/16 15: 45: 10 | Izapidetzea: acl Zaleak proxy_auth BEHARREZKOA 2017/04/16 15: 45: 10 | Prozesaketa: http_access ukatu! Zaletuak 2017/04/16 15: 45: 10 | Tratamendua: acl ftp proto FTP 2017/04/16 15: 45: 10 | Prozesaketa: http_access allow ftp 2017/04/16 15: 45: 10 | Prozesaketa: http_access permit localnet 2017/04/16 15: 45: 10 | Prozesaketa: http_access permit localhost 2017/04/16 15: 45: 10 | Prozesaketa: http_access ukatu guztiak 2017/04/16 15: 45: 10 | Izapidetzea: http_port 3128 2017/04/16 15: 45: 10 | Tratamendua: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Tratamendua: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Prozesamendua: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Prozesaketa: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Prozesatzen: refresh_pattern. 

Hemen baimenak egokitzen ditugu / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Cache direktorioa sortzen dugu

# Badaezpada ... [root @ linuxbox ~] # zerbitzua txipiroiak gelditu
/ Bin / systemctl-era birbideratzen stop squid.service-ra

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Ezarri Uneko direktorioa / var / spool / squid 2017/04/16 15:48:28 kid1 | Falta diren swap direktorioak sortzea 2017/04/16 15:48:28 kid1 | / var / spool / squid badago 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 00-en direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 01-en direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 02-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 03-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 04-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 05-en direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 06-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 07-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 08-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 09-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0A-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0B-n direktorioak egitea 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0C-n direktorioak egitea 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0D-n direktorioak egitea 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0E-n direktorioak egitea 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0F-n direktorioak egitea

Une honetan, komando-gonbita itzultzeko denbora pixka bat behar bada (niri inoiz itzuli ez didana) sakatu Sartu.

[root @ linuxbox ~] # zerbitzua txipiroiaren hasiera
[root @ linuxbox ~] # zerbitzua txipiroiak berrabiarazi
[root @ linuxbox ~] # zerbitzuaren txibia egoera
/ Bin / systemctl egoerara birbideratzea squid.service ● squid.service - Squid caching proxy Loaded: kargatuta (/usr/lib/systemd/system/squid.service; desgaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: aktiboa (martxan) dometik 2017-04-16 15:57:27 EDT; 1s Process: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = irten da, egoera = 0 / ARRAKASTA) Prozesua: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kodea = irteera, egoera = 0 / ARRAKUSTA) PID nagusia: 2876 (txipiroia) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf Apr 16 15:57:27 linuxbox systemd [1]: Squid caching proxy abiarazten ... Apr 16 15:57:27 linuxbox systemd [1]: Squid caching proxy abiarazi zen. Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: will start 1 children Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed Apr 16 15 : 57: 27 linuxbox squid [2876]: Squid guraso: (squid-1) prozesua 2878 ... 1 Aholkua: lerro batzuk elipsizatuta zeuden, erabili -l osorik erakusteko

[root @ linuxbox ~] # cat / var / log / messages | txipiroiak

Konponketak suhorman

Zonan ere ireki behar dugu «kanpoko"portuak 80HTTP y 443 HTTPS beraz, Txipiroiak Internetekin komunikatu daiteke.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
arrakasta
[root @ linuxbox ~] # firewall-cmd --reload
arrakasta
[root @ linuxbox ~] # firewall-cmd --info-zone external
kanpoko helburua (aktiboa): lehenetsia icmp-block-inversion: interfazerik ez: ens34 iturriak: zerbitzuak: dns portuak: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoloak: maskarada: bai forward-ports: sourceports: icmp-blocks: parametro-arazoa birbideratu bideratzailea-iragarkia bideratzaile-eskaera iturria-iraungi arau aberatsak:
  • Ez da inaktibo aplikazio grafikora joatea «Suebakiaren ezarpenak»Eta egiaztatu 443 tcp, 80 tcp, 53 tcp eta 53 udp portuak zabalik daudela zonarako«kanpoko«, Eta EZ dugula zerbitzurik argitaratu.

Oharra basic_pam_auth laguntzaileari buruzko programan

Erabilgarritasun honen eskuliburua kontsultatzen badugu man basic_pam_auth Egileak berak gomendio sendoa egiten duela irakurriko dugu, programa normalean erabiltzaile normalek tresnara sartzeko baimen nahikorik ez duten direktorio batera eramateko.

Bestalde, jakina da baimen-eskema honekin egiaztagiriek testu arruntean bidaiatzen dutela eta ez direla seguruak etsai diren inguruneetarako, irakurri sare irekiak.

Jeff Yestrumskas eskaini artikulua «Nola egin: konfiguratu web proxy segurua SSL enkriptatzea, Squid Caching Proxy eta PAM autentifikazioa erabiliz.»Autentifikazio-eskema honekin segurtasuna areagotzearen arazoari, etsaiak izan daitezkeen sare irekietan erabili ahal izateko.

Httpd instalatzen dugu

Squid-en funtzionamendua egiaztatzeko modu gisa -eta bide batez Dnsmasq-ena- zerbitzua instalatuko dugu httpd -Apache web zerbitzaria- hori ez da egin behar. Dnsmasq-rekin erlazionatutako fitxategian / etc / banner_add_hosts Debekatu nahi ditugun guneak deklaratzen ditugu eta berariaz esleitzen diogu IP helbide bera linux kutxa. Horrela, gune horietako edozeinetarako sarbidea eskatzen badugu, webgunearen hasierako orria httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl gaitu httpd
Esteka sinbolikoa sortu zen /etc/systemd/system/multi-user.target.wants/httpd.service -ra /usr/lib/systemd/system/httpd.service-ra.

[root @ linuxbox ~] # systemctl hasi httpd

[root @ linuxbox ~] # systemctl egoera httpd
● httpd.service - Apache HTTP zerbitzaria kargatuta: kargatuta (/usr/lib/systemd/system/httpd.service; gaituta; saltzailearen aurrezarpena: desgaituta) Aktiboa: aktiboa (martxan) Sun 2017-04-16 16:41 geroztik: 35 EDT; 5s ago Dokumentuak: man: httpd (8) man: apachectl (8) PID nagusia: 2275 (httpd) Egoera: "Eskaerak prozesatzen ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND Apr 16 16:41:35 linuxbox systemd [1]: Apache HTTP Server abiarazten ... Apr 16 16:41:35 linuxbox systemd [1]: Apache HTTP Server abiarazi da.

SELinux eta Apache

Apache-k hainbat politika ditu SELinux testuinguruan konfiguratzeko.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> httpd_can_connect_ftp off -> httpd_can_connect_ldap off -> httpd_can_connect_mythtv off -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> httpd_can_network_relay off -> off httpd_can_sendmail -> off httpd_dbus_avahi -> httpd_dbus_sssd off -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> on httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> httpd_run_preupgrade off -> off httpd_runcobshift offlimerfift_runco_stick> off httpd_runco ​​offlimift offlimift_runco_stick> off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Hau bakarrik konfiguratuko dugu:

Bidali mezu elektronikoa Apache bidez

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Onartu Apache-k bertako erabiltzaileen etxeko direktorioetan kokatutako edukia irakurtzea

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Baimendu FTP edo FTPS bidez kudeatzen duen edozein direktoriok
Apache edo baimendu Apache FTP ataka bidez eskaerak entzuten FTP zerbitzari gisa funtziona dezan

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Informazio gehiago nahi izanez gero, irakurri Linux zerbitzarien konfigurazioa.

Autentifikazioa egiaztatzen dugu

Laneko estazio batean arakatzailea irekitzea besterik ez da geratzen eta, esaterako, seinalatu http://windowsupdate.com. Eskaera linuxbox-eko Apache hasierako orrialdera zuzentzen dela egiaztatuko dugu. Izan ere, fitxategian deklaratutako edozein gune izen / etc / banner_add_hosts orri berera birbideratuko zaituzte.

Artikuluaren amaierako irudiek frogatzen dute.

Erabiltzaileen kudeaketa

Tresna grafikoa erabiliz egiten dugu «Erabiltzaileak kudeatzeko»Sistema menuan -> Administrazioa -> Erabiltzaile kudeaketa menura sartzen gara. Erabiltzaile berri bat gehitzen dugun bakoitzean, bere karpeta sortzen da / etxeko / erabiltzailea automatikoki.

 

Segurtasun-kopiak

Linux bezeroak

Fitxategi arakatzaile normala bakarrik behar duzu eta konektatu nahi duzula adierazi, adibidez: ssh: // buzz @ linuxbox / home / buzz eta pasahitza sartu ondoren, direktorioa bistaratuko da hasiera erabiltzailearen erabiltzailea buzz.

Windows bezeroak

Windows bezeroetan tresna erabiltzen dugu WinSCP. Instalatu ondoren, honela erabiltzen dugu:

 

 

Sinplea, ezta?

Laburpena

Ikusi dugu posible dela PAM erabiltzea zerbitzuak sare txikian eta kontrolatutako ingurune batean erabat isolatuta dauden herrialdeen eskuetan autentifikatzeko. hacker. Funtsean, autentifikazio egiaztagiriek testu arruntean bidaiatzeagatik gertatzen da eta, beraz, ez da aireportuetan, Wi-Fi sareetan, etab. Sare irekietan erabiltzeko autentifikazio eskema. Hala ere, baimentzeko mekanismo sinplea da, inplementatu eta konfiguratzeko erraza.

Kontsultatutako iturriak

PDF bertsioa

Deskargatu PDF bertsioa hemen.

Hurrengo artikulura arte!


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

9 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   NauTiluS esan zuen

    Mezu izugarria sendatu da Fico jauna. Eskerrik asko zure ezagutzak partekatzeagatik.

  2.   musker esan zuen

    Badakit zein zaila den artikulu bat zehaztasun maila horrekin bat egitea, proba nahiko argiekin eta batez ere estandarretara egokitutako kontzeptu eta estrategiekin. Besterik gabe, txapela ekarpenen harribitxi honetara eramaten dut, mila esker Fico hain lan onagatik.

    Inoiz ez dut txipiroia pam autentifikazioarekin konbinatu baina ahalik eta urrutien joaten naiz praktika hau nire laborategian egitera ... Helburu besarkada eta jarraitzen dugu !!

  3.   federico esan zuen

    NaTiluS: Mila esker zure iruzkinagatik eta ebaluazioagatik.
    Muskerra: Zuri ere, mila esker zure iruzkinagatik eta ebaluazioagatik.

    Honelako artikuluak egiten emandako denbora eta ahalegina FromLinux komunitatea bisitatzen dutenen irakurketekin eta iruzkinekin soilik saritzen dira. Eguneroko lanean erabilgarria izatea espero dut.
    Aurrera jarraitzen dugu!

  4.   Anonymous esan zuen

    Herritarren ekarpen izugarria !!!! Zure artikulu bakoitza irakurri nuen eta esan dezaket Software Librean ezagutza aurreratua ez duen pertsona batek ere (ni bezala) artikulu bikain hau urratsez urrats jarraitu dezakeela. Animo !!!!

  5.   IWO esan zuen

    Eskerrik asko Fico beste artikulu bikain honengatik; Argitaratutako mezu guztiekin hori gutxi balitz bezala, honetan aurretik PYMES serieak estaltzen ez zuen zerbitzua dugu eta hori oso garrantzitsua da: "SQUID" edo LAN baten proxy. Guretzako "senarrak" garela uste dutenen familiak ez du hemen gure materiala aztertzeko eta sakontzeko beste material onik.

  6.   federico esan zuen

    Eskerrik asko guztioi zuen iruzkinengatik. Hurrengo artikuluan Prosody berriketarako zerbitzariari buruzkoa izango da Cyrus-SASL bidez kredentzial lokalen aurkako autentifikazioarekin (PAM), eta zerbitzu hori zerbitzari berean ezarriko da.

  7.   kenpachiRo17 esan zuen

    Garai onean herrikide !!!! Ekarpen bikaina software libreari buruzko ezagutza handirik ez duten eta hau bezain artikulu bikainekin ikasten sutsuak diren ni bezalakoentzat ere. Zure ekarpenak jarraitzen aritu naiz eta jakin nahi nuke zein artikuluren bidez gomendatuko zenidaten ETE sareen serie honetan hasteko, modu desordenatuan irakurtzen ari naizenez eta detaile guztiak galtzeko eduki baliotsua duela uste baitut. Gehiago gabe, agurrak eta ezagutza partekatuak eta softwareak doakoak izan daitezela !!

    1.    federico esan zuen

      Agurrak herrikide !!!. Hasieratik hastea gomendatzen dizut, bide luzea dirudien arren, bide motzena dela ez galtzeko. Aurkibidean -azken bi artikuluekin eguneratu ez dena- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, serieko gomendatutako irakurketa ordena ezarri genuen, nire nola egin hasten den Lanpostua, gaiari eskainitako hainbat argitalpenekin jarraitzen du birtualizazio, jarraitu gutunazal batekin BIND, Isc-Dhcp-Server eta Dnsmasq, eta abar ETE sarearen zerbitzua ezartzeko zatira iritsi arte, hor gauden lekuan. Laguntzea espero dut.

      1.    kenpachiRo17 esan zuen

        Beno izango da !!!! Berehala hasten naiz seriearekin hasieratik eta artikulu berriak espero ditut. Animo !!!!