احراز هویت Squid + PAM در CentOS 7- شبکه های SMB

نمایه کلی سریال: شبکه های رایانه ای برای SME ها: مقدمه

نویسنده: فدریکو آنتونیو والدس توجیاگ
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

سلام دوستان و دوستان!

عنوان مقاله باید این بود: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid with PAM Authentication in Centos 7 - شبکه های SME« به دلایل عملی آن را کوتاه می کنیم.

ما با احراز هویت به کاربران محلی در رایانه Linux با استفاده از PAM ادامه می دهیم و این بار خواهیم دید که چگونه می توانیم با استفاده از اعتبار سنجی اعتبارسنجی ذخیره شده در همان رایانه محل کار سرور ، سرویس پروکسی را با Squid برای شبکه کوچکی از رایانه ها ارائه دهیم. در حال اجراست ماهی مرکب.

اگرچه می دانیم که امروزه عمل بسیار رایج است ، تأیید اعتبار خدمات در برابر OpenLDAP ، Red Hat's Directory Server 389 ، Microsoft Active Directory و غیره ، اما فکر می کنیم که ابتدا باید از راه حل های ساده و ارزان استفاده کنیم و سپس با پیچیده ترین آنها روبرو شویم. آنهایی ما معتقدیم که باید از ساده به پیچیده برویم.

شاخص

صحنه

این یک سازمان کوچک است - با منابع مالی اندک - که به پشتیبانی از استفاده از نرم افزار آزاد اختصاص یافته و نام آن را انتخاب کرده است. FromLinux.Fan. آنها علاقه مندان به سیستم عامل مختلف هستند لینوکس در یک دفتر واحد گروه بندی شده اند. آنها یک ایستگاه کاری - نه یک سرور حرفه ای - خریداری کردند که آنها را به عنوان "سرور" اختصاص می دهند.

علاقه مندان نه دانش گسترده ای در مورد چگونگی پیاده سازی سرور OpenLDAP یا Samba 4 AD-DC دارند و نه توان پرداخت مجوز Active Directory مایکروسافت را دارند. با این حال ، آنها برای کارهای روزمره خود به خدمات دسترسی به اینترنت از طریق Proxy (برای سرعت بخشیدن به مرور) و فضایی که می توانند با ارزش ترین اسناد خود را ذخیره کرده و به عنوان نسخه پشتیبان کار کنند ، نیاز دارند.

آنها هنوز هم بیشتر از سیستم عاملهای مایکروسافت که به طور قانونی خریداری شده استفاده می كنند ، اما می خواهند آنها را به سیستم عاملهای مبتنی بر Linux تغییر دهند و از "سرور" خود شروع كنند.

آنها همچنین آرزو دارند که سرور ایمیل خود را داشته باشند - حداقل از مبدا - سرویس هایی مانند Gmail ، Yahoo ، HotMail و غیره مستقل شوند ، همان چیزی که در حال حاضر از آنها استفاده می کنند.

قوانین فایروال و مسیریابی در مقابل اینترنت ، آن را در ADSL Router قراردادی تعیین می کند.

آنها نام دامنه واقعی ندارند زیرا نیازی به انتشار هیچ سرویسی در اینترنت ندارند.

CentOS 7 به عنوان یک سرور بدون GUI

ما از نصب جدید یک سرور بدون رابط گرافیکی شروع می کنیم و تنها گزینه ای که در طول فرآیند انتخاب می کنیم «سرور زیرساخت»همانطور که در مقالات قبلی این مجموعه مشاهده کردیم.

تنظیمات اولیه

[root @ linuxbox] # گربه / غیره / نام میزبان 
لینوکس باکس

[root @ linuxbox] # cat / etc / میزبان
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox] # نام میزبان
لینوکس باکس

[root @ linuxbox] # hostname -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr list
[root @ linuxbox] # ifconfig -a
[root @ linuxbox] # ls / sys / class / net /
ens32 ens34 اینجا

ما مدیر شبکه را غیرفعال می کنیم

[root @ linuxbox] # systemctl Stop NetworkManager

[root @ linuxbox] # systemctl NetworkManager را غیرفعال می کند

[root @ linuxbox] # systemctl status NetworkManager
● NetworkManager.service - مدیر شبکه بارگیری شده است: بارگذاری شده (/usr/lib/systemd/system/NetworkManager.service ؛ غیرفعال شده ؛ فروشنده از پیش تعیین شده: فعال) فعال: غیرفعال (مرده) اسناد: man: NetworkManager (8)

[root @ linuxbox] # ifconfig -a

ما رابط های شبکه را پیکربندی می کنیم

رابط Ens32 LAN به شبکه داخلی متصل است

[root @ linuxbox] # nano / etc / sysconfig / اسکریپت های شبکه / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = عمومی

[root @ linuxbox] # ifdown ens32 && ifup ens32

رابط Ens34 WAN به اینترنت متصل است

[root @ linuxbox] # nano / etc / sysconfig / اسکریپت های شبکه / ifcfg-ens34
DEVICE = ens34 ONBOOT = بله BOOTPROTO = استاتیک HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = بدون IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # روتر ADSL به # این رابط با # آدرس زیر متصل است GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = خارجی

[root @ linuxbox] # ifdown ens34 && ifup ens34

پیکربندی مخازن

[root @ linuxbox] # cd /etc/yum.repos.d/
[root @ linuxbox] # mkdir اصلی
[root @ linuxbox] # mv Centos- * اصلی /

[root @ linuxbox] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum همه را تمیز کنید
پلاگین های بارگیری شده: سریعترین میرور، لانپک مخازن تمیز کردن: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo تمیز کردن همه چیز پاک کردن لیست سریعترین آینه ها
[root @ linuxbox yum.repos.d] # yum بروزرسانی
پلاگین های بارگذاری شده: سریعترین آینه ، بسته های نرم افزاری Base-Repo | 3.6 کیلوبایت 00:00 CentosPlus-Repo | 3.4 کیلوبایت 00:00 Epel-Repo | 4.3 کیلوبایت 00:00 رسانه - Repo | 3.6 کیلوبایت 00:00 به روزرسانی ها - Repo | 3.4 کیلوبایت 00:00 (1/9): Base-Repo / group_gz | 155 کیلوبایت 00:00 (2/9): Epel-Repo / group_gz | 170 کیلوبایت 00:00 (3/9): Media-Repo / group_gz | 155 کیلوبایت 00:00 (4/9): Epel-Repo / updateinfo | 734 کیلوبایت 00:00 (5/9): Media-Repo / basic_db | 5.3 مگابایت 00:00 (6/9): CentosPlus-Repo / basic_db | 1.1 مگابایت 00:00 (7/9): Updates-Repo / basic_db | 2.2 مگابایت 00:00 (8/9): Epel-Repo / basic_db | 4.5 مگابایت 00:01 (9/9): Base-Repo / basic_db | 5.6 MB 00:01 تعیین سریعترین آینه ها هیچ بسته ای برای بروزرسانی علامت گذاری نشده است

پیام "هیچ بسته ای برای به روزرسانی علامت گذاری نشده است»نشان داده می شود زیرا هنگام نصب ما همان مخازن محلی را که در اختیار داریم اعلام کردیم.

Centos 7 با محیط دسک تاپ MATE

به منظور استفاده از ابزارهای مدیریتی بسیار خوب با یک رابط گرافیکی که CentOS / Red Hat در اختیار ما قرار می دهد و از آنجا که همیشه GNOME2 را از دست می دهیم ، تصمیم گرفتیم MATE را به عنوان یک محیط دسک تاپ نصب کنیم.

[root @ linuxbox] # yum groupin "X Window system" را نصب کنید
[root @ linuxbox] # yum group "MATE Desktop" را نصب کنید

برای بررسی اینکه MATE به درستی بارگیری می شود ، دستور زیر را در یک کنسول - محلی یا از راه دور - اجرا می کنیم:

[root @ linuxbox] # systemctl graphical.target را جدا کنید

و محیط دسک تاپ باید بارگیری شود -در تیم محلی- هموار ، نشان دادن نور خورشید به عنوان یک ورود گرافیکی. ما نام کاربر محلی و رمز ورود آن را تایپ می کنیم و MATE را وارد خواهیم کرد.

برای گفتن systemd که سطح بوت پیش فرض 5 - محیط گرافیکی است - ما پیوند نمادین زیر را ایجاد می کنیم:

[root @ linuxbox] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

ما سیستم را دوباره راه اندازی می کنیم و همه چیز خوب کار می کند.

ما سرویس زمان را برای شبکه ها نصب می کنیم

[root @ linuxbox] # yum ntp را نصب کنید

در حین نصب پیکربندی می کنیم که ساعت محلی با سرور زمان رایانه هماهنگ شود sysadmin.fromlinux.fan با IP 192.168.10.1. بنابراین ، ما پرونده را ذخیره می کنیم ntp.conf اصلی توسط:

[root @ linuxbox] # cp /etc/ntp.conf /etc/ntp.conf.original

اکنون ، یکی جدید با محتوای زیر ایجاد می کنیم:

[root @ linuxbox] # nano /etc/ntp.conf # پیکربندی سرورها هنگام نصب: سرور 192.168.10.1 iburst # برای اطلاعات بیشتر ، به صفحات man مراجعه کنید: # ntp.conf (5) ، ntp_acc (5) ، ntp_auth (5) ، ntp_clock (5) ، ntp_misc (5) ، ntp_mon (5). driftfile / var / lib / ntp / drift # همگام سازی را با منبع زمان مجاز کنید ، اما به منبع اجازه مشاوره یا اصلاح این سرویس را ندهید محدود کردن سquال پیش فرض nomodify notrap nopeer # مجاز بودن دسترسی به رابط 127.0.0.1 # کمی بیشتر به رایانه های موجود در شبکه محلی محدود شوید. 1 mask 192.168.10.0 nomodify notrap را محدود کنید # از سرورهای عمومی پروژه pool.ntp.org استفاده کنید # اگر می خواهید به پروژه بپیوندید از # (http://www.pool.ntp.org/join.html بازدید کنید). # پخش 255.255.255.0 خودکار # پخش سرور پخش پخش مشتری # سرویس گیرنده پخش # پخش 192.168.10.255 خودکار # سرور چندپخشی # سرویس گیرنده چند منظوره 224.0.1.1 # سرویس گیرنده چندگانه # سرور سرور 224.0.1.1 # سرور بسیاری # سرور بسیاری # مشتری برنامه 239.255.254.254 بسیاری از سرویس های خودکار 239.255.254.254 # رمزنگاری عمومی را فعال کنید. #crypto includefile / etc / ntp / crypto / pw # پرونده اصلی حاوی کلیدها و شناسه های کلید # هنگام کار با کلیدهای رمزنگاری کلید متقارن / etc / ntp / keys استفاده می شود # شناسه های کلید معتبر را مشخص کنید. #trustedkey 192.168.10.255 4 8 # شناسه کلید را برای استفاده با ابزار ntpdc مشخص کنید. #requestkey 42 # شناسه کلیدی را برای استفاده در برنامه ntpq مشخص کنید. #controlkey 8 # نوشتن ثبت های آماری را فعال کنید. #statistics clockstats cryptostats loopstats peerstats # برای جلوگیری از تقویت # حملات با استفاده از دستور ntpdc monlist ، مانیتور جداسازی را غیرفعال کنید ، درصورتی که قید # پیش فرض شامل پرچم عدم نمایش نیست برای جزئیات بیشتر CVE-8-2013 # را بخوانید. # توجه: مانیتور با پرچم محدودیت محدود نیست. مانیتور را غیرفعال کنید

ما سرویس NTP را فعال ، راه اندازی و بررسی می کنیم

[root @ linuxbox] # systemctl status ntpd
t ntpd.service - سرویس زمان شبکه بارگذاری شده است: بارگذاری شده است (/usr/lib/systemd/system/ntpd.service ؛ غیرفعال شده ؛ فروشنده از پیش تعیین شده: غیرفعال) فعال: غیرفعال (مرده)

[root @ linuxbox] # systemctl ntpd را فعال می کند
پیوند سایتی از /etc/systemd/system/multi-user.target.wants/ntpd.service به /usr/lib/systemd/system/ntpd.service ایجاد شد.

[root @ linuxbox] # systemctl شروع ntpd
[root @ linuxbox] # systemctl status ntpd

[root @ linuxbox] # systemctl status ntpdntpd.service - سرویس زمان شبکه
   بارگذاری شده: بارگذاری شده است (/usr/lib/systemd/system/ntpd.service؛ فعال شده ؛ پیش فروش از پیش تعیین شده فروشنده: غیرفعال) فعال: فعال (در حال اجرا) از جمعه 2017/04/14 15:51:08 EDT؛ 1 ثانیه قبل روند: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (کد = خروج ، وضعیت = 0 / موفقیت) PID اصلی: 1308 (ntpd) گروه C: /system.slice/ntpd.service 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp و فایروال

[root @ linuxbox] # firewall-cmd - مناطق فعال-فعال کنید
خارجی
  رابط ها: ens34
عمومی
  رابط ها: ens32

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 123 / udp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd - بارگیری مجدد
موفقیت

ما Dnsmasq را فعال و پیکربندی می کنیم

همانطور که در مقاله قبلی از مجموعه شبکه های تجارت کوچک مشاهده کردیم ، Dnsamasq به طور پیش فرض بر روی سرور زیرساخت CentOS 7 نصب شده است.

[root @ linuxbox] # systemctl status dnsmasq
ns dnsmasq.service - سرور ذخیره DNS. بارگذاری شد: بارگذاری شده

[root @ linuxbox] # systemctl dnsmasq را فعال می کند
لینک پیوندی از /etc/systemd/system/multi-user.target.wants/dnsmasq.service به /usr/lib/systemd/system/dnsmasq.service ایجاد شد.

[root @ linuxbox] # systemctl شروع dnsmasq
[root @ linuxbox] # systemctl status dnsmasq
ns dnsmasq.service - سرور ذخیره DNS. بارگذاری شده: بارگذاری شده است (/usr/lib/systemd/system/dnsmasq.service ؛ فعال شده است ؛ پیش فروش از پیش تعیین شده فروشنده: غیرفعال) فعال: فعال (در حال اجرا) از تاریخ جمعه 2017/04/14 16:21:18 EDT؛ 4 ثانیه قبل PID اصلی: 33611 (dnsmasq) C گروه: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox] # nano /etc/dnsmasq.conf
# ----------------------------------------------------- ------------------ # گزینه های عمومی # ---------------------------- - --------------------------------------- دامنه مورد نیاز # نامها را بدون دامنه منتقل نکنید part bogus-priv # آدرسها را در فضای بدون مسیریابی گسترش ندهید میزبانها # به صورت خودکار دامنه را به رابط میزبان اضافه کنید = ens32 # رابط شبکه دقیق نظم LAN # نظمی که در آن از پرونده /etc/resolv.conf مشاوره گرفته شده است = / etc /dnsmasq.d domain = desdelinux.fan # آدرس نام دامنه = / time.windows.com / 192.168.10.5 # گزینه خالی از مقدار WPAD ارسال می کند. برای رفتارهای مناسب # Windos 7 و مشتریان بعدی لازم است. ؛-) dhcp-option = 252، "\ n" # پرونده ای که در آن HOSTS اعلام خواهیم کرد که "ممنوع" خواهد شد addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ------------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # این نوع ثبت نام نیاز به درج # در پرونده / etc / hosts دارد # به عنوان مثال: 192.168.10.5 .10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS، REAL_NAME cname = mail.fromlinux.fan، linuxbox.fromlinux.fan # MX RECORDS # یک رکورد MX با نام "desdelinux.fan" برای مقصد ارسال می کند # برای mail.desdelinux رایانه. فن و اولویت 10 mx-host = desdelinux.fan، mail.desdelinux.fan، 1 # مقصد پیش فرض رکوردهای MX که # با استفاده از گزینه localmx ایجاد می شوند: mx-target = mail.desdelinux.fan # یک رکورد MX با اشاره به هدف mx برای ALL # ماشین محلی localmx # رکورد TXT برمی گرداند. ما همچنین می توانیم یک ضبط SPF txt-record = desdelinux.fan ، "v = spf4 a -all" txt-record = desdelinux.fan ، "FromLinux ، وبلاگ شما اختصاص داده شده به نرم افزار آزاد" اعلام کنیم # -------- - ------------------------------------------------- - -------- # محدوده و موارد استفاده # ---------------------------------------- --- ---------------------------- # محدوده IPv1 و زمان اجاره # 29 تا 192.168.10.30,192.168.10.250,8 برای سرورها و سایر نیازهای dhcp است - محدوده = 222،150،6h dhcp-lease-max = 1234 # حداکثر آدرسهای اجاره # بصورت پیش فرض 1,255.255.255.0 # محدوده IPV3,192.168.10.5 # dhcp-range = 6,192.168.10.5 :: ، ra-only # گزینه های RANGE # OPTIONS dhcp-option = 15،19,1 # NETMASK dhcp-option = 28,192.168.10.255،42,192.168.10.5 # ROUTER GATEWAY dhcp-option = XNUMX،XNUMX # سرورهای DNS dhcp-option = XNUMX ، desdelinux.fan # نام دامنه DNS dhcp-option = XNUMX ، XNUMX # گزینه ip-forwarding ON dhcp-option = XNUMX،XNUMX # BROADCAST dhcp-option = XNUMX،XNUMX # NTP dhcp-معتبر # DHCP معتبر در زیرشبکه # -------------- --- --------------- ----------------------------------- # اگر می خواهید در / var / log / پیام ها را ذخیره کنید از نمایش داده شد # خط زیر را کامنت نگذارید # -------------------------------------------- - --------------------------
# ورود به سیستم
# پایان پرونده /etc/dnsmasq.conf # -------------------------------------------- ----------------------------

ما پرونده را ایجاد می کنیم / etc / banner_add_hosts

[root @ linuxbox] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

آدرس های IP ثابت

[root @ linuxbox] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

ما پرونده /etc/resolv.conf را پیکربندی می کنیم - برطرف کننده

[root @ linuxbox] # nano /etc/resolv.conf
desdelinux.fan nameserver 127.0.0.1 # برای جستجوی DNS خارجی یا غیر دامنه ای # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

ما نحو پرونده را بررسی می کنیم dnsmasq.conf، وضعیت سرویس را شروع کرده و بررسی می کنیم

[root @ linuxbox] # dnsmasq - تست
dnsmasq: نحو تأیید است.
[root @ linuxbox] # systemctl راه اندازی مجدد dnsmasq
[root @ linuxbox] # systemctl status dnsmasq

Dnsmasq و فایروال

[root @ linuxbox] # firewall-cmd - مناطق فعال-فعال کنید
خارجی
  رابط ها: ens34
عمومی
  رابط ها: ens32

سرویس دامنه o سرور نام دامنه (dns). پروتکل کش رفتن «IP با رمزگذاری«

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 53 / tcp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd --zone = public --add-port = 53 / udp - دائمی
موفقیت

نمایش داده های Dnsmasq به سرورهای DNS خارجی

[root @ linuxbox] # firewall-cmd --zone = external --add-port = 53 / tcp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd --zone = external --add-port = 53 / udp - دائمی
موفقیت

سرویس راه اندازها o سرور BOOTP (dhcp) پروتکل ippc «هسته بسته های Pluribus اینترنت«

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 67 / tcp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd --zone = public --add-port = 67 / udp - دائمی
موفقیت

[root @ linuxbox] # firewall-cmd - بارگیری مجدد
موفقیت

[root @ linuxbox] # firewall-cmd - info zone عمومی عمومی (فعال)
  هدف: پیش فرض icmp-block-inversion: فاقد رابط: منابع ens32: خدمات: dhcp dns ntp ssh port: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp پروتکل ها: masquerade: no forward-ports: sourceports: icmp -بلاک: قوانین غنی:

[root @ linuxbox] # firewall-cmd - info-zone خارجی خارجی (فعال)
  هدف: پیش فرض icmp-block-inversion: فاقد رابط: منابع ens34: خدمات: پورت های dns: 53 / udp 53 / پروتکل های tcp: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-تبلیغ روتر- قوانین غنی منبع سلب درخواست:

اگر بخواهیم از یک رابط گرافیکی برای پیکربندی فایروال در CentOS 7 استفاده کنیم ، به منوی عمومی نگاه می کنیم - این به محیط دسکتاپی که در آن منوی فرعی ظاهر می شود بستگی دارد - برنامه «Firewall» ، آن را اجرا می کنیم و پس از ورود کاربر کلمه عبور ریشه، به همین ترتیب به رابط برنامه دسترسی خواهیم داشت. در MATE در منو ظاهر می شود «سیستم »->" مدیریت "->" فایروال ".

ما منطقه را انتخاب می کنیم «عمومی»و ما به سرویس هایی که می خواهیم در LAN منتشر شوند ، اجازه می دهیم ، که تاکنون وجود دارند dhcp، dns ، ntp و ssh. پس از انتخاب سرویس ها ، تأیید صحت عملکرد همه چیز ، باید تغییرات را در Runtime to Permanent انجام دهیم. برای این کار به منوی Options رفته و گزینه «زمان را برای ثابت نگه دارید".

بعداً منطقه را انتخاب می کنیم «خارجی»و بررسی می کنیم که بنادر لازم برای برقراری ارتباط با اینترنت باز هستند. خدمات را در این منطقه منتشر نکنید مگر اینکه به خوبی بدانیم چه کاری انجام می دهیم!.

فراموش نکنیم که از طریق گزینه «ایجاد تغییرات دائمی»زمان را برای ثابت نگه دارید»و دیو را دوباره بارگیری کنید فایروال، هر بار که از این ابزار قدرتمند گرافیکی استفاده می کنیم.

NTP و Dnsmasq از سرویس گیرنده ویندوز 7

همگام سازی با NTP

خارجی

آدرس IP اجاره شده

Microsoft Windows [نسخه 6.1.7601] حق چاپ (c) 2009 Microsoft Corporation. کلیه حقوق محفوظ است C: \ Users \ buzz> ipconfig / all Windows IP Configuration Name Host. . . . . . . . . . . . : هفت
   پسوند اولیه Dns. . . . . . . :
   نوع گره . . . . . . . . . . . : مسیریابی IP ترکیبی فعال است. . . . . . . . : هیچ پروکسی WINS فعال نیست. . . . . . . . : هیچ لیست جستجوی پسوند DNS وجود ندارد. . . . . . : desdelinux.fan آداپتور اترنت اتصال محلی اتصال محلی: پسوند DNS مخصوص اتصال. : desdelinux.fan توضیحات. . . . . . . . . . . : آدرس فیزیکی اتصال شبکه Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP فعال است. . . . . . . . . . . : بله پیکربندی خودکار فعال است. . . . : و هست
   آدرس IPv4. . . . . . . . . . . : 192.168.10.115 (ترجیحی)
   پوشش زیر شبکه. . . . . . . . . . . : 255.255.255.0 اجاره نامه اخذ شده. . . . . . . . . . : جمعه 14 آوریل 2017 ساعت 5:12:53 PM اجاره منقضی می شود. . . . . . . . . . : شنبه 15 آوریل 2017 1:12:53 AM پیش فرض دروازه. . . . . . . . . : 192.168.10.1 DHCP Server. . . . . . . . . . . : 192.168.10.5 سرورهای DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS از طریق Tcpip. . . . . . . . : اتصال منطقه ای آداپتور تونل فعال شده * 9: حالت رسانه. . . . . . . . . . . : رسانه پسوند DNS مخصوص اتصال را قطع کرد. : شرح. . . . . . . . . . . : آدرس فیزیکی آداپتور مایکروسافت Teredo Tunneling. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP فعال است. . . . . . . . . . . : بدون پیکربندی خودکار فعال است. . . . : بله آداپتور تونل isatap.fromlinux.fan: Media State. . . . . . . . . . . : رسانه پسوند DNS مخصوص اتصال را قطع کرد. : desdelinux.fan توضیحات. . . . . . . . . . . : آدرس فیزیکی شماره 2 آداپتور Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP فعال است. . . . . . . . . . . : بدون پیکربندی خودکار فعال است. . . . : بله C: \ Users \ buzz>

نوک

یک مقدار مهم در کلاینت های ویندوز "پسوند اولیه Dns" یا "پسوند اتصال اصلی" است. وقتی از Microsoft Domain Controller استفاده نمی کنید ، سیستم عامل هیچ مقداری را به آن اختصاص نمی دهد. اگر با موردی مانند آنچه در ابتدای مقاله توضیح داده شده روبرو هستیم و می خواهیم صریحاً آن مقدار را اعلام کنیم ، باید مطابق آنچه در تصویر زیر نشان داده شده پیش برویم ، تغییرات را بپذیریم و مشتری را دوباره راه اندازی کنیم.

 

اگر دوباره بدویم CMD -> ipconfig / همه ما موارد زیر را دریافت خواهیم کرد:

Microsoft Windows [نسخه 6.1.7601] حق چاپ (c) 2009 Microsoft Corporation. کلیه حقوق محفوظ است C: \ Users \ buzz> ipconfig / all Windows IP Configuration Name Host. . . . . . . . . . . . : هفت
   پسوند اولیه Dns. . . . . . . : desdelinux.fan
   نوع گره . . . . . . . . . . . : مسیریابی IP ترکیبی فعال است. . . . . . . . : هیچ پروکسی WINS فعال نیست. . . . . . . . : لیست جستجوی پسوند DNS وجود ندارد. . . . . . : desdelinux.fan

بقیه مقادیر بدون تغییر باقی می مانند

بررسی های DNS

buzz @ sysadmin: host $ host spynet.microsoft.com
spynet.microsoft.com آدرس 127.0.0.1 میزبان spynet.microsoft.com یافت نشد: 5 (رد شده) نامه spynet.microsoft.com توسط 1 mail.fromlinux.fan اداره می شود.

buzz @ sysadmin: host $ linuxbox میزبان
linuxbox.desdelinux.fan آدرس 192.168.10.5 linuxbox.desdelinux.fan نامه توسط 1 mail.desdelinux.fan اداره می شود.

buzz @ sysadmin: host $ میزبان sysadmin
sysadmin.desdelinux.fan آدرس 192.168.10.1 sysadmin.desdelinux.fan نامه توسط 1 mail.desdelinux.fan اداره می شود.

buzz @ sysadmin: host $ نامه میزبان
mail.desdelinux.fan نام مستعار برای linuxbox.desdelinux.fan است. linuxbox.desdelinux.fan آدرس 192.168.10.5 linuxbox.desdelinux.fan نامه توسط 1 mail.desdelinux.fan اداره می شود.

ما نصب می کنیم -فقط برای آزمایش- یک سرور معتبر DNS NSD در sysadmin.fromlinux.fan، و ما آدرس IP را شامل می شویم 172.16.10.1 در بایگانی /etc/resolv.conf از تیم linuxbox.fromlinux.fan، برای بررسی اینکه Dnsmasq عملکرد Forwarder خود را به درستی اجرا می کند. جعبه های شنی در سرور NSD وجود دارد favt.org y toujague.org. تمام IP ها ساختگی یا از شبکه های خصوصی هستند.

اگر رابط WAN را غیرفعال کنیم 34 با استفاده از دستور ifdown ens34، Dnsmasq قادر به جستجوی سرورهای DNS خارجی نخواهد بود.

[buzz @ linuxbox] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
میزبان toujague.org پیدا نشد: 3 (NXDOMAIN)

[buzz @ linuxbox] $ میزبان pizzapie.favt.org
میزبان pizzapie.favt.org پیدا نشد: 3 (NXDOMAIN)

اجازه دهید رابط ens34 را فعال کرده و دوباره بررسی کنیم:

[buzz @ linuxbox] $ sudo ifup ens34
buzz @ linuxbox] $ میزبان pizzapie.favt.org
pizzapie.favt.org نام مستعار paisano.favt.org است. paisano.favt.org آدرس 172.16.10.4 دارد

[buzz @ linuxbox] $ میزبان pizzapie.toujague.org
میزبان pizzas.toujague.org پیدا نشد: 3 (NXDOMAIN)

[buzz @ linuxbox] $ host poblacion.toujague.org
poblacion.toujague.org آدرس 169.18.10.18 دارد

[buzz @ linuxbox] $ host -t NS favt.org
سرور نام favt.org ns1.favt.org. سرور نام favt.org ns2.favt.org.

[buzz @ linuxbox] $ host -t NS toujague.org
سرور نام toujague.org ns1.toujague.org. سرور نام toujague.org ns2.toujague.org.

[buzz @ linuxbox] $ host -t MX toujague.org
نامه toujague.org توسط 10 mail.toujague.org اداره می شود.

بیایید از sysadmin.fromlinux.fan:

buzz @ sysadmin: cat $ cat /etc/resolv.conf 
جستجو از linux.fan nameserver 192.168.10.5

xeon @ sysadmin: host $ host mail.toujague.org
mail.toujague.org آدرس 169.18.10.19 دارد

Dnsmasq مانند اینها کار می کند حمل و نقل به درستی.

ماهی مرکب

در کتاب در قالب PDF «پیکربندی سرور Linux»مورخ 25 ژوئیه 2016 ، توسط نویسنده جوئل باریوس دونیا (darkshram@gmail.com - http://www.alcancelibre.org/) ، متنی که در مقاله های قبلی به آن اشاره کردم ، یک فصل کامل به آن اختصاص دارد گزینه های پیکربندی اولیه Squid.

با توجه به اهمیت سرویس Web - Proxy ، ما مقدمه ای را که در مورد Squid در کتاب فوق الذکر ارائه شده است ، بازتولید می کنیم:

105.1 مقدمه.

105.1.1. سرور واسطه (پروکسی) چیست؟

این اصطلاح در انگلیسی است "پروکسی" گرچه معنای بسیار کلی و در عین حال مبهمی دارد
همیشه مترادف مفهوم "میانجی". معمولاً به معنای دقیق آن ترجمه می شود: نماینده o توانمند (کسی که بر دیگری قدرت دارد).

Un سرور واسطه این به عنوان رایانه یا دستگاهی تعریف می شود که خدمات شبکه ای را ارائه می دهد که شامل این است که به مشتریان می توانید ارتباطات غیر مستقیم شبکه را با سایر خدمات شبکه برقرار کنید. در طول روند موارد زیر اتفاق می افتد:

  • مشتری به a متصل می شود سرور پروکسی.
  • مشتری درخواست اتصال ، پرونده یا منبع دیگری را دارد که در سرور دیگری موجود است.
  • سرور متوسط ​​منبع را با اتصال به سرور مشخص شده فراهم می کند
    یا آن را از یک حافظه نهان سرویس کنید.
  • در بعضی موارد سرور واسطه می تواند درخواست مشتری یا
    پاسخ سرور برای اهداف مختلف.

ل سرورهای پروکسی آنها معمولاً ساخته می شوند تا همزمان به عنوان دیوار آتش نشانی کار کنند سطح شبکه، مانند یک فیلتر بسته عمل می کند ، مانند مورد از iptables یا فعالیت در سطح برنامه، کنترل خدمات مختلف ، مانند مورد بسته بندی TCP. بسته به زمینه ، دیوار آتش نیز با نام شناخته می شود BPD o Bسفارش Pچرخش Device یا فقط فیلتر بسته.

یک برنامه مشترک از سرورهای پروکسی عملکرد به عنوان حافظه پنهان محتوای شبکه (به طور عمده HTTP) است ، و در مجاورت مشتری یک حافظه پنهان از صفحات و پرونده های موجود از طریق شبکه در سرورهای HTTP از راه دور را فراهم می کند ، به مشتریان شبکه محلی اجازه می دهد تا سریعتر و بیشتر به آنها دسترسی داشته باشند قابل اعتماد.

وقتی درخواستی برای یک منبع شبکه مشخص در یک دریافت می شود URL (Uلباس فرم Rمنبع Lاكاتور) سرور واسطه به دنبال نتیجه URL داخل حافظه نهان اگر پیدا شود ، سرور واسطه با ارائه فوری محتوای درخواستی به مشتری پاسخ می دهد. اگر محتوای درخواستی در حافظه پنهان وجود ندارد ، سرور واسطه آن را از یک سرور از راه دور واکشی می کند ، آن را به مشتری درخواست کننده تحویل می دهد و یک نسخه را در حافظه پنهان نگه می دارد. محتوای موجود در حافظه پنهان از طریق الگوریتم انقضا با توجه به سن ، اندازه و تاریخچه حذف می شود پاسخ به درخواست ها (بازدید) (مثالها: LRU, LFUDA y GDSF).

سرورهای پروکسی برای محتوای شبکه (وب پراکسی ها) نیز می توانند به عنوان فیلتر محتوای ارائه شده عمل کنند و از سیاست های سانسور مطابق با معیارهای خودسرانه استفاده کنند..

نسخه Squid که نصب خواهیم کرد 3.5.20-2.el7_3.2 از مخزن به روز رسانی.

نصب

[root @ linuxbox] # yum ماهی مرکب را نصب کنید

[root @ linuxbox] # ls / etc / squid /
cachemgr.conf errorpage.css.default  ماهی مرکب
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox] # systemctl ماهی مرکب را فعال می کند

مهم

  • هدف اصلی این مقاله اجازه دادن به کاربران محلی برای ارتباط با Squid از طریق رایانه های دیگر متصل به LAN است. علاوه بر این ، هسته اصلی سروری را که سرویسهای دیگری به آن اضافه می شود پیاده سازی کنید. این یک مقاله اختصاص داده شده به ماهی مرکب نیست.
  • برای دریافت ایده ای درباره گزینه های پیکربندی Squid ، پرونده /usr/share/doc/squid-3.5.20/squid.conf.documented را بخوانید که دارای 7915 خط است.

SELinux و Squid

[root @ linuxbox] # getsebool -a | ماهی مرکب grep
squid_connect_any -> در squid_use_tproxy -> خاموش

[root @ linuxbox] # setsebool -P squid_connect_any = روشن

پیکر بندی

[root @ linuxbox] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # پورت های ثبت نشده acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT روش اتصال # ما درخواست های مربوط به درگاه های غیر ایمن را رد می کنیم http_access رد می کند! Safe_ports # ما روش CONNECT را برای درگاه های غیر ایمن انکار می کنیم http_access انکار CONNECT! SSL_ports # دسترسی به مدیر حافظه پنهان فقط از طریق localhost http_access allow localhost manager http_access deny manager # ما اکیداً توصیه می کنیم موارد زیر را برای محافظت از # برنامه های وب بی گناه که بر روی سرور پروکسی در حال اجرا هستند توصیه نمی کند که فکر می کند تنها # کسی است که می تواند به سرویس های "localhost" دسترسی پیدا کند یک کاربر محلی http_access را رد می کند به_localhost # # قانون خود را در اینجا وارد کنید تا اجازه دسترسی از مشتری های شما را بدهد # # مجوز PAM
auth_param basic program / usr / lib64 / squid / basic_pam_auth
auth_param basic کودکان 5 auth_param قلمرو اساسی از linux.fan auth_param اطلاعات کاربری پایه 2 ساعت auth_param موارد حساس حساس غیرقانونی # احراز هویت ACL برای دسترسی به Squid Enthusiasts proxy_auth مورد نیاز است # ما به کاربران معتبر اجازه دسترسی می دهیم # از طریق PAM http_access انکار می کنیم! علاقه مندان # دسترسی به FTP acl ftp proto FTP http_access allow ftp http_access allow localnet http_access allow localhost # ما دسترسی دیگر به پروکسی را رد می کنیم spool / squid # # هر یک از ورودیهای الگوی_تفرش_خود را بالای این موارد اضافه کنید. # refresh_pattern ^ ftp: 3128 3128٪ 1440 refresh_pattern ^ gopher: 20 10080٪ 1440 refresh_pattern -i (/ cgi-bin / | \؟) 0 1440٪ 0 refresh_pattern. 0 0٪ 0 cache_mem 20 MB # cache حافظه_جابجایی_policy lru cache_laplacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4320 64 4096 حداکثر_object_size 16 مگابایت cache_swap_low 256 cache_swap_highux 4 cache_uxbux_exe.exe.exe

ما نحو پرونده را بررسی می کنیم /etc/squid/squid.conf

[root @ linuxbox] # مرکب -k تجزیه
2017/04/16 15: 45: 10 | راه اندازی: اولیه کردن طرح های احراز هویت ...
 2017/04/16 15: 45: 10 | راه اندازی: طرح احراز هویت اولیه 'اساسی' 2017/04/16 15: 45: 10 | راه اندازی: طرح احراز هویت اولیه "هضم" 2017/04/16 15: 45: 10 | راه اندازی: طرح احراز هویت اولیه "مذاکره" 2017/04/16 15: 45: 10 | راه اندازی: طرح احراز هویت اولیه 'ntlm' 2017/04/16 15: 45: 10 | راه اندازی: احراز هویت اولیه.
 2017/04/16 15: 45: 10 | پردازش پرونده پیکربندی: /etc/squid/squid.conf (عمق 0) 2017/04/16 15: 45: 10 | پردازش: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | پردازش: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 80 # http 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 21 # ftp 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 443 # https 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 1025-65535 # پورت های ثبت نشده 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 280 # http-mgmt 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 488 # gss-http 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 591 # filemaker 2017/04/16 15: 45: 10 | پردازش: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | پردازش: ACL روش CONNECT CONNECT 2017/04/16 15: 45: 10 | پردازش: http_access رد کنید! Safe_ports 2017/04/16 15: 45: 10 | پردازش: http_access انکار اتصال! SSL_ports 2017/04/16 15: 45: 10 | پردازش: http_access allow localhost manager 2017/04/16 15: 45: 10 | پردازش: http_access deny manager 2017/04/16 15: 45: 10 | پردازش: http_access انکار به_localhost 2017/04/16 15: 45: 10 | پردازش: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | پردازش: auth_param پایه کودکان 5 2017/04/16 15: 45: 10 | پردازش: قلمرو اساسی auth_param از linux.fan 2017/04/16 15: 45: 10 | پردازش: اعتبارنامه اصلی auth_param 2 ساعت 2017/04/16 15: 45: 10 | پردازش: auth_param موارد حساس حساس به خاموش 2017/04/16 15: 45: 10 | پردازش: acl Enthusiasts proxy_auth مورد نیاز 2017/04/16 15: 45: 10 | پردازش: http_access رد کنید! علاقه مندان 2017/04/16 15: 45: 10 | پردازش: acl ftp proto FTP 2017/04/16 15: 45: 10 | پردازش: http_access allow ftp 2017/04/16 15: 45: 10 | پردازش: http_access allow localnet 2017/04/16 15: 45: 10 | پردازش: http_access allow localhost 2017/04/16 15: 45: 10 | پردازش: http_access انکار همه 2017/04/16 15: 45: 10 | پردازش: http_port 3128 2017/04/16 15: 45: 10 | پردازش: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | پردازش: refresh_pattern ^ ftp: 1440 20٪ 10080 2017/04/16 15: 45: 10 | پردازش: refresh_pattern ^ gopher: 1440 0٪ 1440 2017/04/16 15: 45: 10 | پردازش: refresh_pattern -i (/ cgi-bin / | \؟) 0 0٪ 0 2017/04/16 15: 45: 10 | در حال پردازش: refresh_pattern. 

ما مجوزها را در تنظیم می کنیم / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox] # chmod u + s / usr / lib64 / squid / basic_pam_auth

ما پوشه کش را ایجاد می کنیم

# برای هر مورد ... [root @ linuxbox ~] # سرویس مرکب توقف
هدایت مجدد به / bin / systemctl stop squid.service

[root @ linuxbox] # ماهی مرکب -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | فهرست فعلی را روی / var / spool / squid تنظیم کنید 2017/04/16 15:48:28 kid1 | ایجاد فهرست های مبادله گمشده 2017/04/16 15:48:28 kid1 | / var / spool / squid وجود دارد 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | ایجاد دایرکتوری در / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | ایجاد دایرکتوری در / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | ایجاد دایرکتوری در / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | ایجاد فهرست در / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | ساخت دایرکتوری در / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | ایجاد دایرکتوری در / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | ایجاد دایرکتوری در / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | ایجاد دایرکتوری در / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | ایجاد دایرکتوری در / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | ساخت دایرکتوری در / var / spool / squid / 0F

در این مرحله ، اگر مدتی طول بکشد تا خط فرمان را بازگردانید - که هرگز به من برگردانده نشد - Enter را فشار دهید.

[root @ linuxbox ~] # سرویس ماهی مرکب شروع می شود
[root @ linuxbox] # سرویس ماهی مرکب راه اندازی مجدد
[root @ linuxbox] # وضعیت ماهی مرکب سرویس
هدایت مجدد به / bin / systemctl status 2017-04-16 15:57:27 EDT؛ 1 ثانیه قبل روند: 2844 ExecStop = / usr / sbin / squid -k خاموش کردن -f $ SQUID_CONF (کد = موجود ، وضعیت = 0 / موفقیت) روند: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (کد = خارج شده ، وضعیت = 0 / موفقیت) روند: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (کد = موجود ، وضعیت = 0 / موفقیت) PID اصلی: 2876 (ماهی مرکب) گروه C: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf آوریل 16 15:57:27 linuxbox systemd [1]: شروع پروکسی ذخیره ماهی مرکب ... 16 آوریل 15:57:27 linuxbox systemd [1]: پروکسی ذخیره Squid را آغاز کرد. 16 آوریل 15:57:27 linuxbox squid [2876]: Squid Parent: 1 بچه شروع می کند 16 آوریل 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) 2878 ... ed 16 آوریل 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) روند 2878 ... 1 نکته: بعضی خطوط بیضوی شدند ، برای نشان دادن کامل از -l استفاده کنید

[root @ linuxbox] # cat / var / log / پیام ها | ماهی مرکب grep

رفع دیوارهای آتش

ما همچنین باید در منطقه باز کنیم «خارجی"بنادر 80HTTP y 443 HTTPS بنابراین Squid می تواند با اینترنت ارتباط برقرار کند.

[root @ linuxbox] # firewall-cmd --zone = external --add-port = 80 / tcp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd --zone = external --add-port = 443 / tcp - دائمی
موفقیت
[root @ linuxbox] # firewall-cmd - بارگیری مجدد
موفقیت
[root @ linuxbox] # firewall-cmd --info-zone external
هدف خارجی (فعال): پیش فرض icmp-block-inversion: بدون رابط: ens34 منابع: خدمات: پورت های dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  پروتکل ها: masquerade: yes forward-ports: sourceports: icmp-blocks: پارامتر-مشکل تغییر مسیر روتر-تبلیغات روتر-درخواست منبع-رفع قوانین غنی:
  • بیکار نیست که به برنامه های گرافیکی بروید «تنظیمات فایروال»و بررسی کنید که پورت های 443 tcp ، 80 tcp ، 53 tcp و 53 udp برای منطقه باز هستند«خارجی«و اینکه ما هیچ سرویسی برای او منتشر نکرده ایم.

در مورد برنامه کمکی basic_pam_auth توجه داشته باشید

اگر ما از طریق راهنمای این نرم افزار مشورت کنیم مرد basic_pam_auth خواهیم خواند که نویسنده خود توصیه اکید کرده است که برنامه به یک دایرکتوری منتقل شود که در آن کاربران عادی مجوز کافی برای دسترسی به ابزار را ندارند.

از سوی دیگر ، شناخته شده است که با این طرح مجوز ، مدارک به صورت متن ساده سفر می کنند و برای محیط های خصمانه ایمن نیست ، شبکه های باز را بخوانید.

جف یسترومسکاس مقاله را اختصاص دهید «نحوه انجام: راه اندازی یک پروکسی وب امن با استفاده از رمزگذاری SSL ، Squid Caching Proxy و احراز هویت PAM»به موضوع افزایش امنیت با این طرح احراز هویت به طوری که می توان از آن در شبکه های باز خصمانه باز استفاده کرد.

ما httpd را نصب می کنیم

به عنوان روشی برای بررسی عملکرد Squid - و اتفاقاً Dnsmasq - ما این سرویس را نصب خواهیم کرد httpd -Apache وب سرور- که انجام آن لازم نیست. در پرونده مربوط به Dnsmasq / etc / banner_add_hosts ما سایت هایی را که می خواهیم ممنوع اعلام کنیم ، و صریحاً همان آدرس IP را که به آنها اختصاص داده ایم ، اختصاص می دهیم لینوکس باکس. بنابراین ، اگر درخواست دسترسی به هر یک از این سایت ها را داشته باشیم ، صفحه اصلی سایت httpd.

[root @ linuxbox] # yum install httpd [root @ linuxbox ~] # systemctl فعال کردن httpd
پیوند سایتی از /etc/systemd/system/multi-user.target.wants/httpd.service به /usr/lib/systemd/system/httpd.service ایجاد شد.

[root @ linuxbox] # systemctl شروع httpd

[root @ linuxbox] # systemctl status httpd
d httpd.service - سرور Apache HTTP بارگذاری شد: بارگذاری شده است (/usr/lib/systemd/system/httpd.service ؛ فعال شده است ؛ پیش فروش از پیش تعیین شده فروشنده: غیرفعال) فعال: فعال (در حال اجرا) از تاریخ شنبه 2017/04/16 16:41: 35 EDT ؛ 5s پیش اسناد: man: httpd (8) man: apachectl (8) PID اصلی: 2275 (httpd) وضعیت: "پردازش درخواست ها ..." گروه گروه: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND 2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 آوریل 16:41:35 linuxbox systemd [1]: شروع سرور Apache HTTP ... آوریل 16 16:41:35 linuxbox systemd [1]: سرور Apache HTTP را راه اندازی کرد.

SELinux و Apache

Apache چندین سیاست برای پیکربندی در متن SELinux دارد.

[root @ linuxbox] # getsebool -a | grep httpd
httpd_anon_write -> خاموش httpd_builtin_scripting -> در httpd_can_check_spam -> خاموش httpd_can_connect_ftp -> خاموش httpd_can_connect_ldap -> خاموش httpd_can_connect_mythtv -> خاموش httpd_can_connect off_zabbix -> خاموش httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> خاموش httpd_can_network_relay -> خاموش httpd_can_sendmail -> خاموش httpd_dbus_avahi -> خاموش httpd_dbus_sssd -> خاموش httpd_dontaudit_search_dirs -> خاموش httpd_enable_cgi -> در httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> در httpd_manage_ipa -> خاموش httpd_mod_auth_ntlm_winbind -> خاموش httpd_mod_auth_pam -> خاموش httpd_read_user_content -> خاموش httpd_run_ipa -> خاموش httpd_run_preupgrade -> خاموش httpd_runcobshift offlimerfift_runco_stick خاموش> خاموش httpd_runcobshift offlimift_runco_sticky httpd_ssi_exec -> خاموش httpd_sys_script_anon_write -> خاموش httpd_tmp_exec -> خاموش httpd_tty_comm - > خاموش httpd_unified -> خاموش httpd_use_cifs -> خاموش httpd_use_fusefs -> خاموش httpd_use_gpg -> خاموش httpd_use_nfs -> خاموش httpd_use_openstack -> خاموش httpd_use_sasl -> خاموش httpd_verify_dns -> خاموش

ما فقط موارد زیر را پیکربندی می کنیم:

از طریق Apache ایمیل ارسال کنید

root @ linuxbox] # setsebool -P httpd_can_sendmail 1

به Apache اجازه دهید مطالب موجود در فهرست راهنمای کاربران محلی را بخواند

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

اجازه دهید از طریق FTP یا FTPS هر فهرست راهنمای مدیریت شده را مدیریت کنید
Apache یا اجازه دهید Apache به عنوان یک سرور FTP عمل کند و از طریق پورت FTP درخواست ها را گوش می دهد

[root @ linuxbox] # setsebool -P httpd_enable_ftp_server 1

برای اطلاعات بیشتر ، لطفا مطالعه کنید پیکربندی سرور Linux.

ما احراز هویت را بررسی می کنیم

فقط برای باز کردن یک مرورگر در یک ایستگاه کاری و نقطه ، به عنوان مثال ، باقی مانده است http://windowsupdate.com. ما بررسی خواهیم کرد که درخواست به درستی به صفحه اصلی Apache در linuxbox هدایت شده است. در واقع ، هر نام سایت اعلام شده در پرونده است / etc / banner_add_hosts شما به همان صفحه هدایت خواهید شد.

تصاویر انتهای مقاله این موضوع را ثابت می کند.

مدیریت کاربران

ما این کار را با استفاده از ابزار گرافیکی انجام می دهیم «مدیریت کاربر»که از طریق منوی سیستم -> مدیریت -> مدیریت کاربر به آن دسترسی پیدا می کنیم. هر بار که کاربر جدیدی اضافه می کنیم ، پوشه آن ایجاد می شود / خانه / کاربر بطور خودکار.

 

پشتیبان گیری

مشتری های لینوکس

شما فقط به مرورگر پرونده معمولی نیاز دارید و نشان می دهید که می خواهید متصل شوید ، به عنوان مثال: ssh: // buzz @ linuxbox / home / buzz و پس از وارد کردن رمز عبور ، دایرکتوری نمایش داده می شود خانه کاربر وزوز.

مشتری های ویندوز

در کلاینت های ویندوز ، ما از این ابزار استفاده می کنیم WinSCP. پس از نصب ، از آن به روش زیر استفاده می کنیم:

 

 

ساده است ، درست است؟

خلاصه

ما دیده ایم که امکان استفاده از PAM برای تأیید اعتبار خدمات در یک شبکه کوچک و در یک محیط کنترل شده کاملاً جدا از دست هکرها. این عمدتا به این دلیل است که مدارک تأیید اعتبار به صورت متن ساده حرکت می کنند و بنابراین یک طرح احراز هویت نیست که در شبکه های باز مانند فرودگاه ها ، شبکه های Wi-Fi و غیره استفاده شود. با این حال ، این یک سازوکار مجوز ساده است ، که به راحتی قابل اجرا و پیکربندی است.

منابع مشورت کردند

نسخه PDF

نسخه PDF را بارگیری کنید اینجا.

تا مقاله بعدی!


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

9 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   NauTiluS dijo

    پست فوق العاده ای که آقای فیکو درمان شده است. با تشکر برای به اشتراک گذاشتن دانش خود

  2.   مارمولک dijo

    من می دانم که تهیه مقاله با چنین سطح جزئیاتی ، با آزمایشات کاملاً واضح و بالاتر از همه با مفاهیم و استراتژی های منطبق با استاندارد ، چقدر دشوار است. من فقط کلاه خود را به این نگین مشارکت برمی دارم ، بسیار ممنونم از Fico برای چنین کار خوبی.

    من هرگز ماهی مرکب را با احراز هویت pam ترکیب نکردم اما تا آنجا که ممکن است برای انجام این عمل در آزمایشگاه خود می روم ... هدف را بغل کنید و ما ادامه می دهیم !!

  3.   فدریکو dijo

    NaTiluS: از نظر و ارزیابی شما بسیار سپاسگزارم.
    مارمولک: از شما نیز ، از نظر و ارزیابی خود بسیار سپاسگزارم.

    وقت و تلاش اختصاص داده شده برای ساخت مقاله هایی مانند این مقاله تنها با خواندن و نظرات کسانی که به انجمن FromLinux مراجعه می کنند پاداش می گیرد. امیدوارم در کارهای روزمره برای شما مفید باشد.
    ما ادامه می دهیم!

  4.   بی نام dijo

    سهم باورنکردنی شهروندان !!!! من هر یک از مقالات شما را خواندم و می توانم بگویم که حتی شخصی که دانش پیشرفته ای در نرم افزار آزاد ندارد (مانند من) می تواند این مقاله نفیس را مرحله به مرحله دنبال کند. به سلامتی !!!!

  5.   IWO dijo

    از فیکو برای این مقاله عالی دیگر تشکر می کنم. گویی که این برای همه پست های منتشر شده کافی نیست ، در این سرویس ما قبلاً تحت پوشش سری PYMES نبوده ایم و این بسیار مهم است: "SQUID" یا پروکسی یک شبکه محلی. هیچ چیز برای ما خانواده کسانی که فکر می کنند ما "سادادمین" هستیم ، در اینجا مواد خوب دیگری برای مطالعه و تعمیق دانش ما ندارد.

  6.   فدریکو dijo

    از همه شما بابت نظراتتان سپاسگزاریم. مقاله بعدی با احراز هویت در برابر اعتبار محلی (PAM) از طریق Cyrus-SASL به سرور چت Prosody می پردازد و این سرویس در همین سرور پیاده سازی می شود.

  7.   kenpachiRo17 dijo

    به وقت هموطن !!!! سهم بزرگی حتی برای کسانی مانند من که دانش زیادی در مورد نرم افزار آزاد ندارند ، مشتاق یادگیری با مقالاتی به نفیس این مقاله هستند. من مشارکت شما را دنبال کرده ام و می خواهم بدانم با کدام مقاله به من توصیه می کنید که این مجموعه از شبکه های SME را شروع کنم ، زیرا من به صورت بی نظمی می خوانم و فکر می کنم محتوای ارزشمند زیادی برای از دست دادن هرگونه مطالب دارد. جزئیات بدون هیچ چیز دیگر ، سلام و درود بر دانش مشترک و همچنین نرم افزار رایگان است!

    1.    فدریکو dijo

      سلام بر هموطن !!!. من توصیه می کنم از ابتدا شروع کنید ، اگرچه ممکن است راه طولانی به نظر برسد ، اما کوتاه ترین راه است تا گم نشوید. در فهرست - که با دو مقاله اخیر به روز نشده است - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/، ما دستورالعمل توصیه شده برای خواندن مجموعه را تعیین کردیم ، که با نحوه انجام کار من شروع می شود ایستگاه کاری، با چندین پست اختصاص داده شده به موضوع ادامه می یابد مجازی سازی، با چندین پاکت دنبال کنید BIND ، Isc-Dhcp-Server و Dnsmasq، و به همین ترتیب تا زمانی که به قسمت پیاده سازی خدمات برای شبکه SME ، جایی که در حال حاضر هستیم ، برسیم. امیدوارم این به شما کمک کند.

      1.    kenpachiRo17 dijo

        خوب می شود !!!! بلافاصله من از ابتدا با مجموعه شروع می کنم و مشتاقانه منتظر مقالات جدید هستم. به سلامتی !!!!