Kalmari + PAM-todennus CentOS 7- SMB -verkoissa

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät ja ystävät!

Artikkelin otsikon olisi pitänyt olla: «MATE + NTP + Dnsmasq + yhdyskäytäväpalvelu + Apache + kalmari PAM-todennuksella Centos 7: ssä - pk-yritykset«. Käytännön syistä lyhennämme sitä.

Jatkamme todentamista paikallisille käyttäjille Linux-tietokoneessa PAM: n avulla, ja tällä kertaa näemme, kuinka voimme tarjota välityspalvelun Squidillä pienelle tietokoneverkolle käyttämällä samaan tietokoneeseen, johon palvelin on tallennettu, tunnistetietoja. juoksee Kalmari.

Vaikka tiedämme, että nykyään on hyvin yleinen käytäntö, palvelujen todentaminen OpenLDAP: n, Red Hat's Directory Server 389: n, Microsoft Active Directoryn jne. Avulla katsotaan, että meidän on ensin käytävä läpi yksinkertaisia ​​ja halpoja ratkaisuja ja sitten kohdattava monimutkaisimmat yhdet. Uskomme, että meidän on mentävä yksinkertaisesta monimutkaiseen.

Vaihe

Se on pieni organisaatio, jolla on hyvin vähän taloudellisia resursseja - joka on omistautunut tukemaan vapaiden ohjelmistojen käyttöä ja joka valitsi DesdeLinux.Tuuletin. Ne ovat erilaisia ​​käyttöjärjestelmän harrastajia CentOS ryhmitelty yhteen toimistoon. He ostivat työaseman - ei ammattilaispalvelimen - jonka he omistavat toimimaan "palvelimena".

Harrastajilla ei ole laajaa tietoa OpenLDAP-palvelimen tai Samba 4 AD-DC: n käyttöönotosta, eikä heillä ole varaa Microsoft Active Directoryn lisensointiin. Päivittäiseen työhönsä he tarvitsevat kuitenkin Internet-yhteyspalvelut välityspalvelimen avulla - selaamisen nopeuttamiseksi - ja tilan, johon he voivat tallentaa arvokkaimmat asiakirjansa ja työskennellä varmuuskopioina.

He käyttävät edelleen enimmäkseen laillisesti hankittuja Microsoft-käyttöjärjestelmiä, mutta haluavat vaihtaa ne Linux-pohjaisiin käyttöjärjestelmiin alkaen "Palvelimestaan".

He pyrkivät myös omaan sähköpostipalvelimeensa riippumattomaksi - ainakin alkuperästä - esimerkiksi Gmailin, Yahoon, HotMailin jne., Mitä he tällä hetkellä käyttävät.

Internetin edessä olevat palomuuri ja reitityssäännöt vahvistavat sen sopimuksessa olevaan ADSL-reitittimeen.

Heillä ei ole todellista verkkotunnusta, koska heidän ei tarvitse julkaista mitään palvelua Internetissä.

CentOS 7 palvelimena ilman käyttöliittymää

Aloitamme palvelimen uudesta asennuksesta ilman graafista käyttöliittymää, ja ainoa vaihtoehto, jonka valitsemme prosessin aikana, on «Infrastruktuuri-palvelin»Kuten näimme sarjan edellisistä artikkeleista.

Alkuasetukset

[root @ linuxbox ~] # kissa / etc / isäntänimi 
linux box

[root @ linuxbox ~] # kissa / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # isäntänimi
linux box

[root @ linuxbox ~] # isäntänimi -f
linuxbox.desdelinux.tuuletin

[root @ linuxbox ~] # ip addr-luettelo
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / luokka / net /
ens32 ens34 katso

Poistamme verkonhallinnan käytöstä

[root @ linuxbox ~] # systemctl pysäytä NetworkManager

[root @ linuxbox ~] # systemctl poista käytöstä NetworkManager

[root @ linuxbox ~] # systemctl-tila NetworkManager
● NetworkManager.service - Verkonhallinta ladattu: ladattu (/usr/lib/systemd/system/NetworkManager.service; pois käytöstä; toimittajan esiasetus: käytössä) Aktiivinen: passiivinen (kuollut) Docs: mies: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Määritämme verkkoliitännät

Ens32 LAN-liitäntä kytketty sisäiseen verkkoon

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = julkinen

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-liitäntä kytketty Internetiin

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=kyllä ​​BOOTPROTO=staattinen HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-reititin ja # tämä liitäntä # on kytketty seuraavaan osoitteeseen IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = ulkoinen

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Varastojen kokoonpano

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # alkuperäinen mkdir
[root @ linuxbox ~] # mv Centos- * alkuperäinen /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum puhdista kaikki
Lisäosat ladattu: nopein peili, langpacks Varastojen puhdistus: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Päivitykset-Repo Siivoaa kaikki Siivoaa nopeimpien peilien luettelon

[root @ linuxbox yum.repos.d] # yum-päivitys
Ladatut laajennukset: nopein peili, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Päivitykset-Repo | 3.4 kB 00:00 (1/9): Base-Repo / ryhmä_gz | 155 kB 00:00 (2/9): Epel-Repo / ryhmä_gz | 170 kB 00:00 (3/9): Media-Repo / ryhmä_gz | 155 kB 00:00 (4/9): Epel-Repo / päivitystieto | 734 kB 00:00 (5/9): Media-Repo / ensisijainen_db | 5.3 Mt 00:00 (6/9): CentosPlus-Repo / ensisijainen_db | 1.1 Mt 00:00 (7/9): Updates-Repo / ensisijainen_db | 2.2 Mt 00:00 (8/9): Epel-Repo / ensisijainen_db | 4.5 Mt 00:01 (9/9): Base-Repo / ensisijainen_db | 5.6 MB 00:01 Nopeimpien peilien määrittäminen Ei päivitettäväksi merkittyjä paketteja

Viesti "Ei päivitettäväksi merkittyjä paketteja»Näkyy, koska asennuksen aikana ilmoitimme samat paikalliset arkistot, jotka meillä on käytössämme.

Centos 7 MATE-työpöytäympäristöllä

Jotta voimme käyttää erittäin hyviä hallintatyökaluja graafisella käyttöliittymällä, jonka CentOS / Red Hat tarjoaa meille, ja koska meiltä puuttuu aina GNOME2, päätimme asentaa MATE-työpöytäympäristönä.

[root @ linuxbox ~] # yum ryhmien asennus "X Window system"
[root @ linuxbox ~] # yum ryhmäasennus "MATE Desktop"

Tarkistaaksesi, että MATE latautuu oikein, suoritamme seuraavan komennon konsolissa -paikallinen tai kaukosäädin:

[root @ linuxbox ~] # systemctl eristää graphical.target

ja työpöytäympäristö tulisi ladata -paikallisessa joukkueessa- sujuvasti osoittamalla LightDM graafisena sisäänkirjautumisena. Kirjoitamme paikallisen käyttäjän nimen ja salasanan ja annamme MATE.

Kertoa systemd että oletuskäynnistystaso on 5-graafinen ympäristö- luomme seuraavan symbolisen linkin:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Käynnistämme järjestelmän uudelleen ja kaikki toimii hyvin.

Asennamme Time Service for Networks -palvelun

[root @ linuxbox ~] # yum install ntp

Asennuksen aikana määritämme, että paikallinen kello synkronoidaan laitteen aikapalvelimen kanssa sysadmin.desdelinux.tuuletin IP: n kanssa 192.168.10.1. Joten tallennamme tiedoston ntp.conf alkuperäinen:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Luomme nyt uuden sisällön:

[root @ linuxbox ~] # nano /etc/ntp.conf # Asennuksen aikana määritetyt palvelimet: palvelin 192.168.10.1 iburst # Lisätietoja on ohjesivuilla: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Salli synkronointi aikalähteen kanssa, mutta ei # salli lähteen hakea tai muokata tätä palvelua rajoittaa oletusarvoista nomodify notrap nopeer noquery # Salli kaikki käyttöoikeudet rajapintaan Loopback-rajoitus 127.0.0.1-rajoitus :: 1 # Rajoita vähän vähemmän lähiverkon tietokoneisiin. rajoita 192.168.10.0 -peite 255.255.255.0 nomodify notrap # Käytä projektin julkisia palvelimia pool.ntp.org # Jos haluat liittyä projektiin, käy # (http://www.pool.ntp.org/join.html). #lähetys 192.168.10.255 autokey # lähetyspalvelimen lähetysasiakas # lähetysasiakas # lähetys 224.0.1.1 autokey # monilähetyspalvelin #multicastclient 224.0.1.1 # monilähetysasiakas #manycastserver 239.255.254.254 # manycast-palvelin #monecastclient 239.255.254.254. 192.168.10.255 # Ota julkinen salaus käyttöön. #crypto includefile / etc / ntp / crypto / pw # Avaintiedosto, joka sisältää avaimet ja avaintunnisteet # käytetään käytettäessä symmetrisiä avainkoodausavaimia / etc / ntp / avaimet # Määritä luotettujen avaintunnisteiden tiedot. #trustedkey 4 8 42 # Määritä avaimen tunniste, jota käytetään ntpdc-apuohjelman kanssa. #requestkey 8 # Määritä avaimen tunniste, jota käytetään ntpq-apuohjelman kanssa. #controlkey 8 # Ota käyttöön tilastorekistereiden kirjoittaminen. #statistics clockstats cryptostats loopstats peerstats # Poista secession monitor käytöstä estäksesi # hyökkäysten vahvistamisen ntpdc monlist -komennolla, kun oletus # rajoitus ei sisällä noquery-lippua. Lue CVE-2013-5211 # saadaksesi lisätietoja. # Huomaa: Monitoria ei ole poistettu käytöstä rajoitetun rajoituksen lipulla. Poista näyttö käytöstä

Otamme NTP-palvelun käyttöön, aloitamme sen ja tarkistamme sen

[root @ linuxbox ~] # systemctl-tila ntpd
● ntpd.service - verkon aikapalvelu ladattu: ladattu (/usr/lib/systemd/system/ntpd.service; pois käytöstä; toimittajan esiasetus: pois käytöstä) Aktiivinen: ei aktiivinen (kuollut)

[root @ linuxbox ~] # systemctl ota ntpd käyttöön
Luotu symlink osoitteesta /etc/systemd/system/multi-user.target.wants/ntpd.service kohtaan /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl Käynnistä ntpd
[root @ linuxbox ~] # systemctl-tila ntpd

[root @ linuxbox ~] # systemctl-tila ntpd
● ntpd.service - verkon aikapalvelu
   Ladattu: ladattu (/usr/lib/systemd/system/ntpd.service; käytössä; toimittajan esiasetus: pois käytöstä) Aktiivinen: aktiivinen (käynnissä) pe 2017-04-14 15:51:08 EDT; 1 s sitten Prosessi: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (koodi = poistunut, tila = 0 / MENESTYS) Pää-PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service ice─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp ja palomuuri

[root @ linuxbox ~] # palomuuri-cmd --get-active-zone
ulkoinen
  liitännät: ens34
julkinen
  liitännät: ens32

[root @ linuxbox ~] # palomuuri-cmd --zone = julkinen --add-port = 123 / udp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd - lataa
menestys

Otamme Dnsmasqin käyttöön ja määritämme sen

Kuten näimme edellisestä Small Business Networks -sarjan artikkelista, Dnsamasq asennetaan oletuksena CentOS 7 Infrastructure Server -palvelimeen.

[root @ linuxbox ~] # systemctl-tila dnsmasq
● dnsmasq.service - DNS-välimuistipalvelin. Ladattu: ladattu (/usr/lib/systemd/system/dnsmasq.service; poistettu käytöstä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: ei-aktiivinen (kuollut)

[root @ linuxbox ~] # systemctl ota käyttöön dnsmasq
Luotu symboli osoitteesta /etc/systemd/system/multi-user.target.wants/dnsmasq.service kohteeseen /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl Käynnistä dnsmasq
[root @ linuxbox ~] # systemctl-tila dnsmasq
● dnsmasq.service - DNS-välimuistipalvelin. Ladattu: ladattu (/usr/lib/systemd/system/dnsmasq.service; käytössä; toimittajan esiasetus: pois käytöstä) Aktiivinen: aktiivinen (käynnissä) pe 2017-04-14 16:21:18 EDT; 4s sitten PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------- ------------------ # YLEISET VAIHTOEHDOT # ------------------------------ --------------------------------------- verkkotunnusta tarvitaan # Älä välitä nimiä ilman verkkotunnusta part bogus-priv # Älä välitä osoitteita reitittämättömässä tilassa expand-hosts # Lisää automaattisesti toimialueen isäntäliitäntään=ens32 # LAN interface -tiukka järjestys # Järjestys, jossa /etc/resolv.conf-tiedostoa kysytään conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # Domain name address=/time.windows.com/192.168.10.5 # Lähettää WPAD-arvon tyhjän vaihtoehdon. Vaaditaan # Windows 7:n ja uudempien asiakkaiden toimimiseksi oikein. ;-) dhcp-option=252,"\n" # Tiedosto, jossa ilmoitamme "kielletyt" isännät addn-hosts=/etc/banner_add_hosts local=/desdelinux.fani/ # ----------------------------------------------- ---------------------- # RECORDSCNAMEMXTXT # --------------------------- ----------------------------------------- # Tämäntyyppinen tietue vaatii syötteen # /etc/hosts-tiedostossa # esim. 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan, linuxbox.desdelinux.fan # MX RECORDS # Palauttaa MX-tietueen nimellä "desdelinux.fan" on tarkoitettu # postitiimille.desdelinux.tuuletin ja prioriteetti 10 mx-host=desdelinux.ihailijaposti.desdelinux.fan,10 # Localmx-vaihtoehdolla # luotujen MX-tietueiden oletuskohde on: mx-target=mail.desdelinux.fan # Palauttaa MX-tietueen, joka osoittaa mx-target KAIKKIIN # paikallisiin koneisiin localmx # TXT-tietueisiin. Voimme myös ilmoittaa SPF-tietueen txt-record=desdelinux.fan"v=spf1 a -all" txt-record=desdelinux.tuuletin,"DesdeLinux, sinun blogisi omistettu vapaille ohjelmistoille" # ------------------------------------------ --------------------------- # RANGEANDITSOPTIONS # ---------------------- ----- ------------------------------------------- # IPv4 alue ja vuokra-aika # 1 - 29 ovat palvelimia ja muita tarpeita varten dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Vuokrattavien osoitteiden enimmäismäärä # oletusarvoisesti 150 # IPV6 Range # dhcp-range=1234::, ra-only # Vaihtoehdot kohteelle RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp. p-vaihtoehto =6,192.168.10.5,desdelinux.fan # DNS Domain Name dhcp-option=19,1 # option ip-forwarding KÄYTÖSSÄ dhcp-option=28,192.168.10.255 # LÄHETYS dhcp-option=42,192.168.10.5 # NTP dhcp -- aliverkossa #authorit dhcp ----------------------------------------------- --- ----------- # Jos haluat tallentaa kyselyn kirjautumalla sisään /var/log/messages # poista alla oleva rivi kommentti # ---------- ------- ------------------------------------------- --------
# lokikyselyä
# Tiedoston /etc/dnsmasq.conf END # --------------------------------------- ----------------------------

Luomme tiedoston / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Kiinteät IP-osoitteet

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Määritämme tiedoston /etc/resolv.conf - resolveri

[root @ linuxbox ~] # nano /etc/resolv.conf
haku desdelinux.fan nameserver 127.0.0.1 # Ulkoisille tai # verkkotunnuksen ulkopuolisille DNS-kyselyille desdelinux.fani # paikallinen=/desdelinux.fan/ nameserver 8.8.8.8

Tarkistamme tiedoston syntaksin dnsmasq.conf, aloitamme ja tarkistamme palvelun tilan

[root @ linuxbox ~] # dnsmasq --testi
dnsmasq: syntaksitarkista OK.
[root @ linuxbox ~] # systemctl käynnistä dnsmasq uudelleen
[root @ linuxbox ~] # systemctl-tila dnsmasq

Dnsmasq ja palomuuri

[root @ linuxbox ~] # palomuuri-cmd --get-active-zone
ulkoinen
  liitännät: ens34
julkinen
  liitännät: ens32

palvelu verkkotunnuksen o Verkkotunnuspalvelin (dns). Pöytäkirja napata «IP salauksella«

[root @ linuxbox ~] # palomuuri-cmd --zone = julkinen --add-port = 53 / tcp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd --zone = julkinen --add-port = 53 / udp --pysyvä
menestys

Dnsmasq-kyselyt ulkoisille DNS-palvelimille

[root @ linuxbox ~] # palomuuri-cmd --vyöhyke = ulkoinen --add-portti = 53 / tcp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd --zone = ulkoinen --add-port = 53 / udp --pysyvä
menestys

palvelu saappaat o BOOTP-palvelin (dhcp). Pöytäkirja IPPC «Internet Pluribus -pakettiydin«

[root @ linuxbox ~] # palomuuri-cmd --zone = julkinen --add-port = 67 / tcp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd --zone = julkinen --add-port = 67 / udp --pysyvä
menestys

[root @ linuxbox ~] # palomuuri-cmd - lataa
menestys

[root @ linuxbox ~] # palomuuri-cmd - infovyöhykkeen julkinen julkinen (aktiivinen)
  kohde: oletusarvoinen icmp-block-inversion: ei rajapintoja: ens32 lähteet: palvelut: dhcp dns ntp ssh -portit: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp -protokollat: naamiointi: ei eteenpäin-portteja: lähdeportit: icmp -blokat: rikkaat säännöt:

[root @ linuxbox ~] # palomuuri-cmd - infovyöhyke ulkoinen ulkoinen (aktiivinen)
  kohde: oletusarvoinen icmp-block-inversion: ei rajapintoja: ens34 lähteet: palvelut: dns-portit: 53 / udp 53 / tcp -protokollat: naamiointi: kyllä ​​eteenpäin-portit: lähdeportit: icmp-lohkot: parametri-ongelma uudelleenohjaus reititin-mainosreititin- pyyntölähde-sammutus rikas säännöt:

Jos haluamme käyttää graafista käyttöliittymää palomuurin konfigurointiin CentOS 7: ssä, katsomme yleistä valikkoa - se riippuu työpöytäympäristöstä, missä alavalikko se näkyy - sovellus «Palomuuri», suoritamme sen ja annamme käyttäjän salasanan juuri, käytämme ohjelman käyttöliittymää sellaisenaan. MATE-ohjelmassa se näkyy valikossa «Järjestelmä »->" Hallinta "->" Palomuuri ".

Valitsemme alueen «julkinen»Ja me valtuutamme palvelut, jotka haluamme julkaistavaksi lähiverkossa, jotka tähän asti ovat dhcp, dns, ntp ja ssh. Kun olet valinnut palvelut ja varmistanut, että kaikki toimii oikein, meidän on tehtävä muutokset ajonaikaiseksi pysyväksi. Voit tehdä tämän siirtymällä Asetukset-valikkoon ja valitsemalla vaihtoehdon «Suoritusaika pysyväksi".

Myöhemmin valitsemme alueen «ulkoinen»Ja tarkistamme, että Internet-yhteydenpitoon tarvittavat portit ovat auki. ÄLÄ julkaise palveluja tällä vyöhykkeellä, ellemme tiedä hyvin mitä teemme!.

Älkäämme unohtako tehdä muutoksia pysyviksi vaihtoehdon «avullaSuoritusaika pysyväksi»Ja lataa demoni uudelleen FirewallD, aina kun käytämme tätä tehokasta graafista työkalua.

NTP ja Dnsmasq Windows 7 -asiakasohjelmasta

Synkronointi NTP: n kanssa

ulkoinen

Vuokrattu IP-osoite

Microsoft Windows [Versio 6.1.7601] Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään. C: \ Users \ buzz> ipconfig / kaikki Windowsin IP-kokoonpanon isäntänimet. . . . . . . . . . . . : Seitsemän
   Ensisijainen Dns-jälkiliite. . . . . . . :
   NodeType. . . . . . . . . . . . : Hybridi-IP-reititys käytössä. . . . . . . . : Ei WINS-välityspalvelinta käytössä. . . . . . . . : Ei DNS-liitehakuluetteloa. . . . . . : desdelinux.fan Ethernet-sovitin Local Area Connection: Yhteyskohtainen DNS-liite . : desdelinux.fan Kuvaus . . . . . . . . . . . : Intel(R) PRO/1000 MT -verkkoyhteyden fyysinen osoite. . . . . . . . . : 00-0C-29-D6-14-36 DHCP käytössä. . . . . . . . . . . : Kyllä Automaattinen määritys käytössä. . . . : Haarukat
   IPv4 -osoite. . . . . . . . . . . : 192.168.10.115 (ensisijainen)
   Aliverkon peite . . . . . . . . . . . : 255.255.255.0 Vuokrasopimus saatu. . . . . . . . . . : Perjantai, 14. huhtikuuta 2017 5:12:53 Vuokrasopimus päättyy . . . . . . . . . . : Lauantai, 15. huhtikuuta 2017 1:12:53 Oletusyhdyskäytävä . . . . . . . . . : 192.168.10.1 DHCPS-palvelin. . . . . . . . . . . : 192.168.10.5 DNS-palvelimet. . . . . . . . . . . : 192.168.10.5 NetBIOS Tcpipin kautta. . . . . . . . : Käytössä Tunnelisovitin Local Area Connection* 9: Media State . . . . . . . . . . . : Media irrotettu Yhteyskohtainen DNS-liite . : Kuvaus . . . . . . . . . . . : Microsoft Teredo Tunnelointisovittimen fyysinen osoite. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP käytössä. . . . . . . . . . . : Ei automaattista konfigurointia käytössä. . . . : Kyllä Tunnelisovitin isatap.desdelinux.fan: Media State. . . . . . . . . . . : Media irrotettu Yhteyskohtainen DNS-liite . : desdelinux.fan Kuvaus . . . . . . . . . . . : Microsoft ISATAP Adapter #2 fyysinen osoite. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP käytössä. . . . . . . . . . . : Ei automaattista konfigurointia käytössä. . . . : Kyllä C:\Users\buzz>

Kärki

Tärkeä arvo Windows-asiakkaissa on "Ensisijainen Dns-jälkiliite" tai "Pääyhteyden jälkiliite". Kun et käytä Microsoftin verkkotunnuksen ohjainta, käyttöjärjestelmä ei anna sille mitään arvoa. Jos kohtaamme artikkelin alussa kuvatun kaltaisen tapauksen ja haluamme nimenomaisesti julistaa kyseisen arvon, meidän on toimittava seuraavassa kuvassa esitetyn mukaisesti, hyväksyttävä muutokset ja käynnistettävä asiakas uudelleen.

Jos juoksemme uudelleen CMD -> ipconfig / all saamme seuraavat:

Microsoft Windows [Versio 6.1.7601] Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään. C: \ Users \ buzz> ipconfig / kaikki Windowsin IP-kokoonpanon isäntänimet. . . . . . . . . . . . : Seitsemän
   Ensisijainen Dns-jälkiliite. . . . . . . : desdelinux.tuuletin
   NodeType. . . . . . . . . . . . : Hybridi-IP-reititys käytössä. . . . . . . . : Ei WINS-välityspalvelinta käytössä. . . . . . . . : Ei DNS-liitehakuluetteloa. . . . . . : desdelinux.tuuletin

Loput arvot pysyvät muuttumattomina

DNS tarkistaa

buzz @ sysadmin: ~ $ isäntä spynet.microsoft.com
spynet.microsoft.com-sivustolla on osoite 127.0.0.1 Isäntä spynet.microsoft.com ei löydy: 5(REFUSED) spynet.microsoft.com-postia käsitellään yhdellä sähköpostilla.desdelinux.tuuletin.

buzz @ sysadmin: ~ $ isäntä linuxbox
linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

buzz @ sysadmin: ~ $ isäntä sysadmin
sysadmin.desdelinux.fanin osoite on 192.168.10.1 sysadmin.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

buzz @ sysadmin: ~ $ isäntäposti
email.desdelinux.fan on linuxboxin alias.desdelinux.tuuletin. linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

Asennamme -vain testausta varten- arvovaltainen DNS-palvelin NSD sisään sysadmin.desdelinux.tuuletinja sisällytämme IP-osoitteen 172.16.10.1 arkistossa / Etc / resolv.conf joukkueesta linuxbox.desdelinux.tuuletin, tarkistaa, että Dnsmasq suoritti Forwarder-toimintonsa oikein. NSD-palvelimen hiekkalaatikot ovat favt.org y toujague.org. Kaikki IP-osoitteet ovat kuvitteellisia tai yksityisistä verkoista.

Jos poistamme WAN-käyttöliittymän käytöstä ens34 käyttämällä komentoa ifdown ens34, Dnsmasq ei pysty kyselemään ulkoisia DNS-palvelimia.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Isäntää toujague.org ei löytynyt: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ isäntä pizzapie.favt.org
Isäntää pizzapie.favt.org ei löydy: 3 (NXDOMAIN)

Otetaan käyttöön ens34-käyttöliittymä ja tarkistetaan uudelleen:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ isäntä pizzapie.favt.org
pizzapie.favt.org on alias paisano.favt.org-sivustolle. paisano.favt.org on osoite 172.16.10.4

[buzz @ linuxbox ~] $ isäntä pizzapie.toujague.org
Isäntää pizzas.toujague.org ei löydy: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ isäntä poblacion.toujague.org
poblacion.toujague.org on osoite 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org-nimipalvelin ns1.favt.org. favt.org-nimipalvelin ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org-nimipalvelin ns1.toujague.org. toujague.org-nimipalvelin ns2.toujague.org.

[buzz @ linuxbox ~] $ isäntä -t MX toujague.org
toujague.org-postia hoitaa 10 mail.toujague.org.

Otetaan yhteyttä sysadmin.desdelinux.tuuletin:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
haku desdelinux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ isäntä mail.toujague.org
mail.toujague.org on osoite 169.18.10.19

Dnsmasq toimii kuten Kuormatraktori oikein.

Kalmari

Kirjassa PDF-muodossa «Linux-palvelimen määritykset»Kirjoittaja päivätty 25. heinäkuuta 2016 Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), tekstiin, johon olen viitannut edellisissä artikkeleissa, on omistettu koko luku Squid-perusmääritysvaihtoehdot.

Verkko - välityspalvelun tärkeyden vuoksi toistamme kalmarista tehdyn johdannon edellä mainitussa kirjassa:

105.1. Johdanto.

105.1.1. Mikä on välityspalvelin (välityspalvelin)?

Termi englanniksi "Välityspalvelin" on hyvin yleinen ja samalla epäselvä merkitys, vaikka
pidetään poikkeuksetta käsitteen synonyyminä "Välittäjä". Se käännetään yleensä tiukassa merkityksessä nimellä delegoida o asianajaja (jolla on valta toisen suhteen).

Un Välittäjäpalvelin Se määritellään tietokoneeksi tai laitteeksi, joka tarjoaa verkkopalvelua, joka koostuu siitä, että asiakkaat voivat muodostaa epäsuoria verkkoyhteyksiä muihin verkkopalveluihin. Prosessin aikana tapahtuu seuraavaa:

• Asiakas muodostaa yhteyden a Välityspalvelin.
• Asiakas pyytää yhteyttä, tiedostoa tai muuta resurssia, joka on käytettävissä eri palvelimella.
• Välittäjäpalvelin tarjoaa resurssin joko muodostamalla yhteyden määritettyyn palvelimeen
  tai palvelevat sitä välimuistista.
• Joissakin tapauksissa Välittäjäpalvelin voi muuttaa asiakkaan pyyntöä tai
  palvelimen vastaus eri tarkoituksiin.

Los Välityspalvelimet ne saatetaan yleensä toimimaan samanaikaisesti palomuurina Verkon taso, joka toimii pakettisuodattimena, kuten tapauksessa iptables tai toimii Sovellustaso, kontrolloimalla erilaisia ​​palveluja, kuten on TCP-kääre. Kontekstista riippuen paloseinä tunnetaan myös nimellä BPD o Btilata Pkierto Device tai vain pakettisuodatin.

Yhteinen sovellus Välityspalvelimet on toimia verkkosisällön (lähinnä HTTP) välimuistina tarjoamalla asiakkaiden läheisyydessä verkon kautta käytettävissä olevien sivujen ja tiedostojen välimuisti HTTP-etäpalvelimilla, jolloin paikallisen verkon asiakkaat voivat käyttää niitä nopeampi ja luotettavampi.

Kun vastaanotetaan pyyntö tietylle verkkoresurssille kohteessa URL (Uniforminen Rtoimittaa Loktaattori) Välittäjäpalvelin etsiä tulosta URL välimuistin sisällä. Jos se löytyy, Välittäjäpalvelin Vastaa asiakkaalle toimittamalla pyydetyn sisällön välittömästi. Jos pyydetty sisältö puuttuu välimuistista, Välittäjäpalvelin se noutaa sen etäpalvelimelta, toimittaa sen pyytäneelle asiakkaalle ja pitää kopion välimuistissa. Välimuistin sisältö poistetaan sitten vanhentumisalgoritmin kautta iän, koon ja historian mukaan vastaukset pyyntöihin (osumia) (esimerkkejä: LRU, LFUDA y GDSF).

Verkkosisällön välityspalvelimet (Web-välityspalvelimet) voivat toimia myös näytetyn sisällön suodattimina soveltamalla sensuurikäytäntöjä mielivaltaisten kriteerien mukaisesti..

Squid-versio, jonka asennamme, on 3.5.20-2.el7_3.2 arkistosta päivitykset.

Asennus

[root @ linuxbox ~] # Asenna kalmari

[root @ linuxbox ~] # ls / etc / kalmari /
cachemgr.conf -virhesivu.css.default  kalmari.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl ota kalmari käyttöön

Tärkeä

• Tämän artikkelin päätavoitteena on valtuuttaa paikalliset käyttäjät muodostamaan yhteys Squidiin muista lähiverkkoon liitetyistä tietokoneista. Toteuta lisäksi palvelimen ydin, johon muut palvelut lisätään. Se ei ole artikkeli, joka on omistettu kalmarille sinänsä.
• Saadaksesi käsityksen Squidin määritysvaihtoehdoista, lue tiedosto /usr/share/doc/squid-3.5.20/squid.conf.documented, jossa on 7915 riviä.

SELinux ja Squid

[root @ linuxbox ~] # getsebool -a | grep kalmari
squid_connect_any -> päällä squid_use_tproxy -> pois päältä

[root @ linuxbox ~] # setsebool -P squid_connect_any = päällä

kokoonpano

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports -portti 443 21
acl Safe_ports -portti 80 # http acl Safe_ports -portti 21 # ftp acl Safe_ports -portti 443 # https acl Safe_ports -portti 70 # gopher acl Safe_ports -portti 210 # wais acl Safe_ports -portti 1025-65535 # rekisteröimättömät portit acl Safe_ports -portti 280 # http-mgmt acl Safe_ports -portti 488 # gss-http acl Safe_ports -portti 591 # tiedostonmuodostaja acl Safe_ports -portti 777 # multiling http acl CONNECT-menetelmä CONNECT # Hylätään suojaamattomien porttien kyselyt http_access deny! Safe_ports # Kiellämme CONNECT-menetelmän ei-suojatuille porteille http_access deny CONNECT! SSL_ports # Pääsy välimuistinhallintaan vain localhostista http_access salli localhost managerin http_access deny manager # Suosittelemme, että seuraavia ei kommentoida suojaamaan välityspalvelimessa käynnissä olevia viattomia # verkkosovelluksia, joiden mielestä ainoa, joka voi käyttää "localhost" -palveluja, on paikallinen käyttäjä http_access deny to_localhost # # LISÄÄ OMA SÄÄNNÖT TÄTÄ SALLITAAN PÄÄSY ASIAKKAILLE # # PAM-valtuutus
auth_param perusohjelma / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm desdelinux.fan auth_param basic credentialsttl 2 tuntia auth_param perus isot ja pienet kirjaimet pois päältä # Squid-käyttö vaatii todennusta acl Enthusiasts proxy_auth REQUIRED # Sallimme pääsyn todennetuille käyttäjille # PAM:n kautta http_access deny !Enthusiasts # Pääsy FTP-sivustoihin sallii_ local_acl_fTPaccess salli localhost # Estämme kaiken muun pääsyn http_access-välityspalvelimeen deny all # Squid kuuntelee normaalisti porttia 3128 http_port 3128 # Jätämme "coredumps" ensimmäiseen välimuistihakemistoon coredump_dir /var/spool/squid # # Lisää mikä tahansa oma refresh_pattern merkinnät näiden yläpuolella. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 Mt # Muistivälimuisti memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 max_object_size 4 Mt cache_low cache_swap85mgr@wapdesdelinux.fan # Muut parametrit näkyvän_isäntänimi linuxbox.desdelinux.tuuletin

Tarkistamme tiedoston syntaksin /etc/squid/squid.conf

[root @ linuxbox ~] # kalmari -k jäsentää
2017/04/16 15:45:10| Käynnistys: Todennusjärjestelmien alustaminen... 2017/04/16 15:45:10| Käynnistys: Initialized Authentication Scheme 'perus' 2017/04/16 15:45:10| Käynnistys: alustettu todennuskaavio 'digest' 2017/04/16 15:45:10| Käynnistys: Initialized Authentication Scheme "neuvota" 2017/04/16 15:45:10| Käynnistys: Initialized Authentication Scheme 'ntlm' 2017/04/16 15:45:10| Käynnistys: alustettu todennus. 2017/04/16 15:45:10| Käsitellään asetustiedostoa: /etc/squid/squid.conf (depth 0) 2017/04/16 15:45:10| Käsittely: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Käsittely: acl SSL_ports portti 443 21 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 80 # http 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 21 # ftp 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 443 # https 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 70 # gopher 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 210 # wais 2017/04/16 15:45:10| Käsitellään: acl Safe_ports portti 1025-65535 # rekisteröimättömät portit 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 280 # http-mgmt 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 488 # gss-http 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 591 # filemaker 2017/04/16 15:45:10| Käsittely: acl Safe_ports portti 777 # multiling http 2017/04/16 15:45:10| Käsittely: acl CONNECT-menetelmä CONNECT 2017/04/16 15:45:10| Käsittely: http_access deny !Safe_ports 2017/04/16 15:45:10| Käsittely: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Käsittely: http_access salli localhost manager 2017/04/16 15:45:10| Käsittely: http_access deny manager 2017/04/16 15:45:10| Käsittely: http_access deny to_localhost 2017/04/16 15:45:10| Käsitellään: auth_param perusohjelma /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Käsitellään: auth_param basic children 5 2017/04/16 15:45:10| Käsittely: auth_param perusalue desdelinux.fani 2017/04/16 15:45:10| Käsittely: auth_param basic credentialsttl 2 tuntia 2017/04/16 15:45:10| Käsittely: auth_param basic kirjainkoko pois päältä 2017/04/16 15:45:10| Käsittely: acl Enthusiasts proxy_auth PAKOLLINEN 2017/04/16 15:45:10| Käsittely: http_access deny !Innokkaat 2017/04/16 15:45:10| Käsittely: acl ftp proto FTP 2017/04/16 15:45:10| Käsittely: http_access salli ftp 2017/04/16 15:45:10| Käsittely: http_access salli localnet 2017/04/16 15:45:10| Käsittely: http_access salli localhost 2017/04/16 15:45:10| Käsitellään: http_access deny all 2017/04/16 15:45:10| Käsitellään: http_port 3128 2017/04/16 15:45:10| Käsittely: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Käsittely: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Käsittely: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Käsitellään: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Käsitellään: refresh_pattern . 0 20 % 4320 2017 04:16:15| Käsitellään: cache_mem 45 MB 10/64/2017 04:16:15| Käsitellään: memory_replacement_policy lru 45/10/2017 04:16:15| Käsitellään: cache_replacement_policy hep LFUDA 45/10/2017 04:16:15| Käsittely: cache_dir aufs /var/spool/squid 45 10 4096 16/256/2017 04:16:15| Käsitellään: maximum_object_size 45 Mt 10/4/2017 04:16:15| Käsitellään: cache_swap_low 45 10/85/2017 04:16:15| Käsitellään: cache_swap_high 45 10/90/2017 04:16:15| Käsitellään: cache_mgr buzz@desdelinux.fani 2017/04/16 15:45:10| Käsitellään: näkyvä_isäntänimi linuxbox.desdelinux.fani 2017/04/16 15:45:10| Alustetaan https-välityspalvelinkontekstia

Säädämme käyttöoikeuksia sisään / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Luomme välimuistihakemiston

# Vain siinä tapauksessa ... [root @ linuxbox ~] # palvelukalmar pysähtyy
Uudelleenohjaus / bin / systemctl lopettaa kalmari. Palvelu

[root @ linuxbox ~] # kalmari -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Aseta nykyisen hakemiston arvoksi / var / spool / squid 2017/04/16 15:48:28 kid1 | Puuttuvien vaihtohakemistojen luominen 2017/04/16 15:48:28 kid1 | / var / kela / kalmari on olemassa 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Hakemistojen luominen kansioon / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Hakemistojen luominen hakemistoon / var / spool / squid / 0F

Jos tässä vaiheessa komentokehotteen palauttaminen vie jonkin aikaa - jota ei koskaan palautettu minulle - paina Enter-näppäintä.

[root @ linuxbox ~] # palvelukaletti alkaa
[root @ linuxbox ~] # palvelukaletti käynnistyy uudelleen
[root @ linuxbox ~] # palvelukalmarin tila
Uudelleenohjaus tilaan / bin / systemctl kalmari.palvelu ● kalmari.palvelu - kalmarin välimuistipalvelin ladattu: ladattu (/usr/lib/systemd/system/squid.service; pois käytöstä; toimittajan esiasetus: pois käytöstä) Aktiivinen: aktiivinen (käynnissä) dom 2017-04-16 15:57:27 EDT; 1 s sitten Prosessi: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exit, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = poistunut, tila = 0 / MENESTYS) Prosessi: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (koodi = poistunut, status = 0 / MENESTYS) Pää-PID: 2876 (kalmari) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16. huhtikuuta 15:57:27 linuxbox systemd [1]: Kalmarin välimuistivälityspalvelimen käynnistäminen ... 16. huhtikuuta 15:57:27 linuxbox systemd [1]: Aloitettu kalmari-välimuistipalvelin. 16. huhtikuuta 15:57:27 linuxbox-kalmari [2876]: Kalmari-vanhempi: aloittaa 1 lapsen 16. huhtikuuta 15:57:27 linuxbox-kalmari [2876]: Kalmari-vanhempi: (kalmari-1) prosessi 2878 ... ed 16. huhtikuuta 15 : 57: 27 linuxbox-kalmari [2876]: Kalmari-vanhempi: (kalmari-1) prosessi 2878 ... 1 Vihje: Jotkut linjat olivat ellipsin muotoisia, käytä -näppäintä näyttääksesi ne kokonaan

[root @ linuxbox ~] # cat / var / log / messages | grep kalmari

Palomuuri korjaa

Meidän on avattava myös vyöhykkeellä «ulkoinen"portit 80 HTTP y 443 HTTPS jotta kalmari voi kommunikoida Internetin kanssa.

[root @ linuxbox ~] # palomuuri-cmd --vyöhyke = ulkoinen --add-portti = 80 / tcp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd --vyöhyke = ulkoinen --add-portti = 443 / tcp --pysyvä
menestys
[root @ linuxbox ~] # palomuuri-cmd - lataa
menestys
[root @ linuxbox ~] # palomuuri-cmd - infovyöhyke ulkoinen
ulkoinen (aktiivinen) kohde: oletusarvoinen icmp-block-inversion: ei rajapintoja: ens34-lähteet: palvelut: dns-portit: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokollat: naamiointi: kyllä ​​eteenpäin-portit: lähdeportit: icmp-lohkot: parametri-ongelma uudelleenohjaus reititin-mainos reititin-pyyntö lähde-sammuttaa rikkaat säännöt:

• Graafiseen sovellukseen siirtyminen ei ole tyhjäkäyntiä «Palomuuriasetukset»Ja tarkista, että portit 443 tcp, 80 tcp, 53 tcp ja 53 udp ovat auki vyöhykkeelle«ulkoinen«Ja että emme ole julkaisseet mitään palvelua hänelle.

Huomautus basic_pam_auth-apuohjelmasta

Jos tutustumme tämän apuohjelman käyttöoppaaseen mies basic_pam_auth Luemme, että kirjoittaja itse antaa vahvan suosituksen ohjelman siirtämisestä hakemistoon, jossa tavallisilla käyttäjillä ei ole riittäviä käyttöoikeuksia työkalun käyttämiseen.

Toisaalta tiedetään, että tämän valtuutusjärjestelmän avulla tunnistetiedot kulkevat pelkkänä tekstinä, eikä se ole turvallista vihamielisissä ympäristöissä, lukea avoimia verkkoja.

jeff yestrumskas omistaa artikkeli «Ohjeet: Asenna suojattu verkkopalvelin SSL-salauksen, Squid Caching Proxy- ja PAM-todennuksen avulla»Tämän todennusjärjestelmän turvallisuuden lisäämiseen, jotta sitä voidaan käyttää mahdollisesti vihamielisissä avoimissa verkoissa.

Asennamme httpd

Asennamme palvelun tapa tarkistaa Squid - ja muuten Dnsmasqin - toiminta httpd -Apache-verkkopalvelin - jota ei tarvitse tehdä. Tiedostossa suhteessa Dnsmasqiin / etc / banner_add_hosts Julistamme sivustot, joille haluamme tulla kielletyiksi, ja annamme heille nimenomaisesti saman IP-osoitteen kuin heillä on linux box. Jos siis pyydämme pääsyä mihin tahansa näistä sivustoista, sivuston kotisivu httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl ota httpd käyttöön
Luotu symlink osoitteesta /etc/systemd/system/multi-user.target.wants/httpd.service kohteeseen /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl Käynnistä httpd

[root @ linuxbox ~] # systemctl-tila httpd
● httpd.service - Apache HTTP -palvelin ladattu: ladattu (/usr/lib/systemd/system/httpd.service; käytössä; toimittajan esiasetus: pois käytöstä) Aktiivinen: aktiivinen (käynnissä) su 2017-04-16 16:41 lähtien: 35 EDT; 5 s sitten Dokumentit: man: httpd (8) man: apachectl (8) PID: 2275 (httpd) Tila: "Käsitellään pyyntöjä ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16. huhtikuuta 16:41:35 linuxbox systemd [1]: Apache HTTP -palvelimen käynnistäminen ... 16. huhtikuuta 16:41:35 linuxbox systemd [1]: Käynnisti Apache HTTP-palvelin.

SELinux ja Apache

Apachella on useita käytäntöjä, jotka on määritettävä SELinux-kontekstissa.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> on httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobsherve offlimift -> off httpd_runcobsherve offlimift_runco_stick offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > pois httpd_unified -> pois httpd_use_cifs -> pois httpd_use_fusefs -> pois httpd_use_gpg -> pois httpd_use_nfs -> pois httpd_use_openstack -> pois httpd_use_sasl -> pois httpd_verify_dns -> pois

Määritämme vain seuraavat:

Lähetä sähköpostia Apachen kautta

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Salli Apachen lukea paikallisten käyttäjien kotihakemistojen sisältöä

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Anna hallinnoida FTP: n tai FTPS: n kautta mitä tahansa hakemistoa
Apache tai anna Apachen toimia FTP-palvelimena, joka kuuntelee pyyntöjä FTP-portin kautta

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Lisätietoja, lue Linux-palvelimen määritykset.

Tarkistamme todennuksen

Ainoa on avata selain työasemalla ja osoittaa esimerkiksi http://windowsupdate.com. Tarkistamme, että pyyntö ohjataan oikein Apache-kotisivulle linuxboxissa. Itse asiassa mikä tahansa tiedostossa ilmoitettu sivuston nimi / etc / banner_add_hosts sinut ohjataan samalle sivulle.

Artikkelin lopussa olevat kuvat todistavat sen.

Käyttäjien hallinta

Teemme sen graafisella työkalulla «Käyttäjien hallinta»Pääset valikkoon Järjestelmä -> Hallinta -> Käyttäjien hallinta. Aina kun lisätään uusi käyttäjä, sen kansio luodaan / koti / käyttäjä automaattisesti.

varmuuskopiot

Linux-asiakkaat

Tarvitset vain normaalin tiedostoselaimen ja ilmoitat, että haluat muodostaa yhteyden, esimerkiksi: ssh: // buzz @ linuxbox / home / buzz ja salasanan syöttämisen jälkeen hakemisto näytetään koti käyttäjän sirinä.

Windows-asiakkaat

Windows-asiakkaissa käytämme työkalua WinSCP. Asennuksen jälkeen käytämme sitä seuraavalla tavalla:

Yksinkertainen, eikö?

Yhteenveto

Olemme havainneet, että PAM: n avulla on mahdollista todentaa palveluja pienessä verkossa ja valvotussa ympäristössä, joka on täysin eristetty hakkerit. Se johtuu pääasiassa siitä, että todennustiedot kulkevat pelkkänä tekstinä, joten se ei ole todennustapa, jota käytetään avoimissa verkoissa, kuten lentokentillä, Wi-Fi-verkoissa jne. Se on kuitenkin yksinkertainen valtuutusmekanismi, helppo toteuttaa ja konfiguroida.

Lähteitä kuultu

• Linux-palvelimen määritykset
• Komentokäsikirjat - man sivuilla

PDF-versio

Lataa PDF-versio täällä.

Seuraavaan artikkeliin asti!