Authentification Squid + PAM dans CentOS 7 - Réseaux SMB

Index général de la série: Réseaux informatiques pour les PME: introduction

Bonjour les amis et amis!

Le titre de l'article aurait dû être: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid avec authentification PAM dans Centos 7 - Réseaux de PME«. Pour des raisons pratiques, nous le raccourcissons.

Nous continuons avec l'authentification aux utilisateurs locaux sur un ordinateur Linux utilisant PAM, et cette fois nous verrons comment nous pouvons fournir le service Proxy avec Squid pour un petit réseau d'ordinateurs, en utilisant les informations d'authentification stockées sur le même ordinateur où le serveur fonctionne Calamar.

Bien que nous sachions que c'est une pratique très courante de nos jours, pour authentifier des services par rapport à un OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, etc., nous considérons qu'il faut d'abord passer par des solutions simples et bon marché, puis affronter les plus complexes. Nous pensons qu'il faut passer du simple au complexe.

Escenario

C'est une petite organisation -avec très peu de ressources financières- vouée à soutenir l'utilisation du logiciel libre et qui a opté pour le nom de DesdeLinux.Ventilateur. Ce sont divers passionnés d'OS CentOS regroupés dans un seul bureau. Ils ont acheté un poste de travail - pas un serveur professionnel - qu'ils dédieront à fonctionner comme un «serveur».

Les passionnés n'ont pas une connaissance approfondie de la mise en œuvre d'un serveur OpenLDAP ou d'un Samba 4 AD-DC, et ne peuvent pas non plus se permettre d'acquérir une licence Microsoft Active Directory. Cependant, pour leur travail quotidien, ils ont besoin de services d'accès Internet via un proxy -pour accélérer la navigation- et d'un espace pour enregistrer leurs documents les plus précieux et fonctionner comme des copies de sauvegarde.

Ils utilisent encore la plupart du temps des systèmes d'exploitation Microsoft acquis légalement, mais souhaitent les changer vers des systèmes d'exploitation basés sur Linux, en commençant par leur «serveur».

Ils aspirent également à avoir leur propre serveur de messagerie pour devenir indépendants - au moins de l'origine - de services tels que Gmail, Yahoo, HotMail, etc., ce qu'ils utilisent actuellement.

Le pare-feu et les règles de routage devant Internet l'établiront dans le routeur ADSL souscrit.

Ils n'ont pas de vrai nom de domaine car ils n'ont pas besoin de publier de service sur Internet.

CentOS 7 en tant que serveur sans GUI

Nous partons d'une nouvelle installation d'un serveur sans interface graphique, et la seule option que nous sélectionnons pendant le processus est «Serveur d'infrastructure»Comme nous l'avons vu dans les articles précédents de la série.

Paramètres initiaux

[root @ linuxbox ~] # cat / etc / hostname 
boîte linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan Linuxbox

[root @ linuxbox ~] # nom d'hôte
boîte linux

[root @ linuxbox ~] # nom d'hôte -f
Linuxbox.desdelinux.ventilateur

[root @ linuxbox ~] # liste d'adresses IP
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 ça

Nous désactivons le gestionnaire de réseau

[root @ linuxbox ~] # systemctl arrête NetworkManager

[root @ linuxbox ~] # systemctl désactiver NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager Loaded: chargé (/usr/lib/systemd/system/NetworkManager.service; désactivé; préréglage du fournisseur: activé) Actif: inactif (mort) Docs: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Nous configurons les interfaces réseau

Interface LAN Ens32 connectée au réseau interne

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = public

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interface WAN Ens34 connectée à Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Le routeur ADSL est connecté à # cette interface avec # l'adresse suivante PASSERELLE IP=172.16.10.1 DOMAINE=desdelinux.fan DNS1=127.0.0.1
ZONE = externe

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Configuration des référentiels

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir d'origine
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # miam nettoyer tout
Plugins chargés: fastmirror, langpacks Nettoyage des référentiels: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Nettoyer tout Nettoyer la liste des miroirs les plus rapides

[root @ linuxbox yum.repos.d] # yum mise à jour
Plugins chargés: fastmirror, langpacks Base-Repo | 3.6 ko 00:00 CentosPlus-Repo | 3.4 ko 00:00 Epel-Repo | 4.3 ko 00:00 Media-Repo | 3.6 ko 00:00 Updates-Repo | 3.4 ko 00:00 (1/9): Base-Repo / group_gz | 155 ko 00:00 (2/9): Epel-Repo / group_gz | 170 ko 00:00 (3/9): Media-Repo / group_gz | 155 ko 00:00 (4/9): Epel-Repo / updateinfo | 734 ko 00:00 (5/9): Media-Repo / primary_db | 5.3 Mo 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 Mo 00:00 (7/9): Updates-Repo / primary_db | 2.2 Mo 00:00 (8/9): Epel-Repo / primary_db | 4.5 Mo 00:01 (9/9): Base-Repo / primary_db | 5.6 Mo 00:01 Détermination des miroirs les plus rapides Aucun package marqué pour la mise à jour

Le message "Aucun package marqué pour mise à jour»S'affiche car lors de l'installation, nous avons déclaré les mêmes référentiels locaux que nous avons à notre disposition.

Centos 7 avec l'environnement de bureau MATE

Pour utiliser les très bons outils d'administration avec une interface graphique que CentOS / Red Hat nous fournit, et parce que GNOME2 nous manque toujours, nous avons décidé d'installer MATE comme environnement de bureau.

[root @ linuxbox ~] # yum groupinstall "Système X Window"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Pour vérifier que le MATE se charge correctement, nous exécutons la commande suivante dans une console -local ou remote-:

[root @ linuxbox ~] # systemctl isolate graphical.target

et l'environnement de bureau doit être chargé -sur l'équipe locale- en douceur, montrant le lightdm comme connexion graphique. Nous tapons le nom de l'utilisateur local et son mot de passe, et nous entrerons le MATE.

Pour dire au systemd que le niveau de démarrage par défaut est 5 - environnement graphique - nous créons le lien symbolique suivant:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Nous redémarrons le système et tout fonctionne correctement.

Nous installons le service de temps pour les réseaux

[root @ linuxbox ~] # yum installer ntp

Lors de l'installation, nous configurons que l'horloge locale sera synchronisée avec le serveur de temps de l'équipement administrateur système.desdelinux.ventilateur avec IP 192.168.10.1. Alors, on enregistre le fichier ntp.conf original par:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Maintenant, nous en créons un nouveau avec le contenu suivant:

[root @ linuxbox ~] # nano /etc/ntp.conf # Serveurs configurés lors de l'installation: serveur 192.168.10.1 iburst # Pour plus d'informations, consultez les pages de manuel de: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Autoriser la synchronisation avec la source de temps, mais pas # autoriser la source à consulter ou modifier ce service restreindre par défaut nomodify notrap nopeer noquery # Autoriser tous les accès à l'interface Loopback restrict 127.0.0.1 restrict :: 1 # Restreint un peu moins aux ordinateurs du réseau local. restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap # Utilisez les serveurs publics du projet pool.ntp.org # Si vous voulez rejoindre le projet, visitez # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # serveur de diffusion broadcastclient # client de diffusion #broadcast 224.0.1.1 autokey # serveur multicast #multicastclient 224.0.1.1 # client multicast #manycastserver 239.255.254.254 # serveur manycast #manycastclient 239.255.254.254 autokey # client manycast diffusion 192.168.10.255. 4 # Activer la cryptographie publique. #crypto includeefile / etc / ntp / crypto / pw # Fichier de clé contenant les clés et les identifiants de clé # utilisé lors du fonctionnement avec des clés de cryptographie à clé symétrique / etc / ntp / keys # Spécifiez les identifiants de clé de confiance. #trustedkey 8 42 8 # Spécifiez l'identificateur de clé à utiliser avec l'utilitaire ntpdc. #requestkey 8 # Spécifiez l'identificateur de clé à utiliser avec l'utilitaire ntpq. #controlkey 2013 # Activer l'écriture des registres de statistiques. #statistics clockstats cryptostats loopstats peerstats # Désactivez le moniteur de sécession pour empêcher l'amplification des # attaques à l'aide de la commande ntpdc monlist, lorsque la contrainte # par défaut n'inclut pas l'indicateur noquery. Lisez CVE-5211-XNUMX # pour plus de détails. # Remarque: le moniteur n'est pas désactivé avec l'indicateur de restriction limitée. désactiver le moniteur

Nous activons, démarrons et vérifions le service NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Service de temps réseau chargé: chargé (/usr/lib/systemd/system/ntpd.service; désactivé; préréglage du fournisseur: désactivé) Actif: inactif (mort)

[root @ linuxbox ~] # systemctl enable ntpd
Création d'un lien symbolique depuis /etc/systemd/system/multi-user.target.wants/ntpd.service vers /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Service de temps réseau
   Chargé: chargé (/usr/lib/systemd/system/ntpd.service; activé; préréglage du fournisseur: désactivé) Actif: actif (en cours d'exécution) depuis le vendredi 2017/04/14 15:51:08 HAE; Il y a 1s Processus: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = quitté, status = 0 / SUCCESS) PID principal: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp et le pare-feu

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externe
  interfaces : ens34
public
  interfaces : ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --reload
succès

Nous activons et configurons le Dnsmasq

Comme nous l'avons vu dans l'article précédent de la série Small Business Networks, Dnsamasq est installé par défaut sur un serveur d'infrastructure CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - serveur de mise en cache DNS. Chargé: chargé (/usr/lib/systemd/system/dnsmasq.service; désactivé; préréglage du fournisseur: désactivé) Actif: inactif (mort)

[root @ linuxbox ~] # systemctl activer dnsmasq
Création d'un lien symbolique depuis /etc/systemd/system/multi-user.target.wants/dnsmasq.service vers /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - serveur de mise en cache DNS. Chargé: chargé (/usr/lib/systemd/system/dnsmasq.service; activé; préréglage du fournisseur: désactivé) Actif: actif (en cours d'exécution) depuis le ven 2017/04/14 16:21:18 HAE Il y a 4s PID principal: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPTIONS GÉNÉRALES # ----------------------------- -------------------------------------- domaine nécessaire # Ne transmettez pas de noms sans le domaine part bogus-priv # Ne pas transmettre d'adresses dans un espace non routé expand-hosts # Ajoute automatiquement le domaine à l'hôte interface=ens32 # Interface LAN ordre strict # Ordre dans lequel le fichier /etc/resolv.conf est interrogé conf- dir=/etc /dnsmasq.d domaine=desdelinux.fan # Adresse du nom de domaine=/time.windows.com/192.168.10.5 # Envoie une option vide de la valeur WPAD. Requis pour que les clients # Windows 7 et versions ultérieures se comportent correctement. ;-) dhcp-option=252,"\n" # Fichier où l'on déclarera les HOSTS qui seront "bannis" addn-hosts=/etc/banner_add_hosts local=/desdelinux.ventilateur/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMTXXT # -------------------------- ----------------------------------------- # Ce type d'enregistrement nécessite une entrée # dans le fichier /etc/hosts # ex : 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Renvoie un enregistrement MX avec le nom "desdelinux.fan" destiné # à l'équipe de messagerie.desdelinux.fan et priorité de 10 mx-host=desdelinux.courrier de fans.desdelinux.fan,10 # La destination par défaut des enregistrements MX créés # à l'aide de l'option localmx sera : mx-target=mail.desdelinux.fan # Renvoie un enregistrement MX pointant vers mx-target pour TOUTES les # machines locales localmx # enregistrements TXT. On peut également déclarer un enregistrement SPF txt-record=desdelinux.fan, "v=spf1 a -all" txt-record=desdelinux.ventilateur,"DesdeLinux, votre Blog dédié au Logiciel Libre" # ----------------------------------------- -------------------------- # GAMME ET SES OPTIONS # --------------------- ----- ------------------------------------------- #IPv4 la plage et la durée du bail # 1 à 29 sont destinées aux serveurs et autres besoins dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Nombre maximum d'adresses à louer # par défaut, ils sont 150 # Plage IPV6 # dhcp-range=1234::, ra-only # Options pour RANGE # OPTIONS dhcp-option=1,255.255.255.0 # MASQUE DE RÉSEAU dhcp-option=3,192.168.10.5 # PASSERELLE DE ROUTEUR dhcp-option=6,192.168.10.5 # Serveurs DNS dhcp-option =15,desdelinux.fan # Nom de domaine DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP faisant autorité sur le sous-réseau # --- --- ----------------------------------------------- --- ----------- # Si vous souhaitez stocker le journal des requêtes dans /var/log/messages # Décommentez la ligne ci-dessous # ---------- ------- ------------------------------------------------ -------
# requêtes de journal
# FIN du fichier /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Nous créons le fichier / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Adresses IP fixes

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan Linuxbox 192.168.10.1 administrateur système.desdelinuxadministrateur système .fan

Nous configurons le fichier /etc/resolv.conf - résolveur

[root @ linuxbox ~] # nano /etc/resolv.conf
recherche desdelinux.fan nameserver 127.0.0.1 # Pour les requêtes DNS externes ou # hors domaine desdelinux.fan #local=/desdelinux.fan/ serveur de noms 8.8.8.8

Nous vérifions la syntaxe des fichiers dnsmasq.conf, nous démarrons et vérifions l'état du service

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: vérification de la syntaxe OK.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq et le pare-feu

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externe
  interfaces : ens34
public
  interfaces : ens32

service domaine o Serveur de noms de domaine (DNS). Protocole swipe «IP avec cryptage«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
succès

Requêtes Dnsmasq vers des serveurs DNS externes

[root @ linuxbox ~] # firewall-cmd --zone = externe --add-port = 53 / tcp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --zone = externe --add-port = 53 / udp --permanent
succès

service bottes o Serveur BOOTP (DHCP). Protocole ippc «Noyau de paquet Internet Pluribus«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
succès

[root @ linuxbox ~] # firewall-cmd --reload
succès

[root @ linuxbox ~] # firewall-cmd --info-zone public public (actif)
  target: default icmp-block-inversion: pas d'interfaces: ens32 sources: services: dhcp dns ntp ports ssh: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / protocoles tcp: masquerade: pas de ports avant: sourcesports: icmp -blocs: règles riches:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (actif)
  target: default icmp-block-inversion: pas d'interfaces: ens34 sources: services: dns ports: 53 / udp 53 / TCP protocoles: masquerade: yes forward-ports: sourceports: icmp-blocks: paramètre-problem redirect router-advertising router règles riches d'extinction de source de sollicitation:

Si nous voulons utiliser une interface graphique pour configurer le pare-feu dans CentOS 7, nous regardons dans le menu général - cela dépendra de l'environnement de bureau dans lequel le sous-menu il apparaît - l'application «Pare-feu», nous l'exécutons et après avoir entré le mot de passe de l'utilisateur racine, nous accèderons à l'interface du programme en tant que telle. Dans MATE il apparaît dans le menu «Système »->" Administration "->" Pare-feu ".

Nous sélectionnons la zone «public»Et nous autorisons les Services que nous souhaitons publier sur le LAN, qui jusqu'à présent sont dhcp, DNS, ntp et ssh. Après avoir sélectionné les services, vérifié que tout fonctionne correctement, nous devons apporter les modifications dans Runtime à Permanent. Pour ce faire, nous allons dans le menu Options et sélectionnons l'option «Temps d'exécution à permanent«.

Plus tard, nous sélectionnons la zone «externe»Et nous vérifions que les ports nécessaires pour communiquer avec Internet sont ouverts. NE PAS publier de services dans cette zone à moins que nous ne sachions très bien ce que nous faisons!.

N'oublions pas de rendre les modifications permanentes via l'option «Temps d'exécution à permanent»Et rechargez le démon Pare-feu, chaque fois que nous utilisons ce puissant outil graphique.

NTP et Dnsmasq à partir d'un client Windows 7

Synchronisation avec NTP

externe

Adresse IP louée

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Tous les droits sont réservés. C: \ Users \ buzz> ipconfig / all Nom d'hôte de configuration IP Windows. . . . . . . . . . . . : SEPT
   Suffixe DNS principal. . . . . . . :
   Type de nœud. . . . . . . . . . . . : Routage IP hybride activé. . . . . . . . : Aucun proxy WINS activé. . . . . . . . : Aucune liste de recherche de suffixe DNS. . . . . . : desdelinuxAdaptateur Ethernet .fan Connexion au réseau local : suffixe DNS spécifique à la connexion. : desdelinux.fan Description . . . . . . . . . . . : Adresse physique de connexion réseau Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP activé. . . . . . . . . . . : Oui Configuration automatique activée . . . . : Fourchettes
   Adresse IPv4. . . . . . . . . . . : 192.168.10.115 (préféré)
   Masque de sous-réseau . . . . . . . . . . . : 255.255.255.0 Bail obtenu. . . . . . . . . . : vendredi 14 avril 2017 5:12:53 Le bail expire. . . . . . . . . . : samedi 15 avril 2017 1:12:53 Passerelle par défaut . . . . . . . . . : 192.168.10.1 Serveur DHCP. . . . . . . . . . . : 192.168.10.5 Serveurs DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS sur Tcpip. . . . . . . . : Activé Connexion au réseau local de l'adaptateur de tunnel* 9 : État du média. . . . . . . . . . . : Média déconnecté Suffixe DNS spécifique à la connexion. : Description . . . . . . . . . . . : Adresse physique de l’adaptateur de tunneling Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activé. . . . . . . . . . . : Aucune configuration automatique activée. . . . : Oui Adaptateur tunnel isatap.desdelinux.fan : État des médias. . . . . . . . . . . : Média déconnecté Suffixe DNS spécifique à la connexion. : desdelinux.fan Description . . . . . . . . . . . : Adresse physique de l’adaptateur Microsoft ISATAP n°2. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activé. . . . . . . . . . . : Aucune configuration automatique activée. . . . : Oui C:\Utilisateurs\buzz>

Conseil

Une valeur importante dans les clients Windows est le "Suffixe DNS principal" ou "Suffixe de connexion principale". Lorsque vous n'utilisez pas de contrôleur de domaine Microsoft, le système d'exploitation ne lui attribue aucune valeur. Si nous sommes confrontés à un cas comme celui décrit en début d'article et que nous voulons déclarer explicitement cette valeur, nous devons procéder selon ce qui est montré dans l'image suivante, accepter les modifications et redémarrer le client.

Si nous courons à nouveau CMD -> ipconfig / all nous obtiendrons ce qui suit:

Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Tous les droits sont réservés. C: \ Users \ buzz> ipconfig / all Nom d'hôte de configuration IP Windows. . . . . . . . . . . . : SEPT
   Suffixe DNS principal. . . . . . . : desdelinux.ventilateur
   Type de nœud. . . . . . . . . . . . : Routage IP hybride activé. . . . . . . . : Aucun proxy WINS activé. . . . . . . . : Aucune liste de recherche de suffixe DNS. . . . . . : desdelinux.ventilateur

Le reste des valeurs reste inchangé

Vérifications DNS

buzz @ sysadmin: ~ $ hôte spynet.microsoft.com
spynet.microsoft.com a l'adresse 127.0.0.1 Hôte spynet.microsoft.com introuvable : 5 (REFUSÉ) Le courrier de spynet.microsoft.com est géré par 1 courrier.desdelinux.ventilateur.

buzz @ sysadmin: ~ $ host linuxbox
Linuxbox.desdelinux.fan a l’adresse 192.168.10.5 Linuxbox.desdelinuxLe courrier .fan est géré par 1 courrier.desdelinux.ventilateur.

buzz @ sysadmin: ~ $ host sysadmin
administrateur système.desdelinux.fan a l’adresse 192.168.10.1 administrateur système.desdelinuxLe courrier .fan est géré par 1 courrier.desdelinux.ventilateur.

buzz @ sysadmin: ~ $ host mail
mail.desdelinux.fan est un alias pour Linuxbox.desdelinux.ventilateur. Linuxbox.desdelinux.fan a l’adresse 192.168.10.5 Linuxbox.desdelinuxLe courrier .fan est géré par 1 courrier.desdelinux.ventilateur.

Nous installons -pour test uniquement- un serveur DNS faisant autorité NSD dans administrateur système.desdelinux.ventilateur, et nous incluons l'adresse IP 172.16.10.1 dans l'archive / Etc / resolv.conf Équipe Linuxbox.desdelinux.ventilateur, pour vérifier que Dnsmasq exécutait correctement sa fonction Forwarder. Les sandbox sur le serveur NSD sont favt.org y toujague.org. Toutes les adresses IP sont fictives ou issues de réseaux privés.

Si nous désactivons l'interface WAN ens34 en utilisant la commande sidown ens34, Dnsmasq ne pourra pas interroger les serveurs DNS externes.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ hôte -t ​​mx toujague.org
Hôte toujague.org introuvable: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ hôte pizzapie.favt.org
Hôte pizzapie.favt.org introuvable: 3 (NXDOMAIN)

Activons l'interface ens34 et vérifions à nouveau:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ hôte pizzapie.favt.org
pizzapie.favt.org est un alias pour paisano.favt.org. paisano.favt.org a l'adresse 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Hôte pizzas.toujague.org introuvable: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ hôte poblacion.toujague.org
poblacion.toujague.org a l'adresse 169.18.10.18

[buzz @ linuxbox ~] $ hôte -t ​​NS favt.org
serveur de noms favt.org ns1.favt.org. Serveur de noms favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ hôte -t ​​NS toujague.org
serveur de noms toujague.org ns1.toujague.org. serveur de noms toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Le courrier toujague.org est géré par 10 mail.toujague.org.

Consultons de administrateur système.desdelinux.ventilateur:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
recherche desdelinuxserveur de noms .fan 192.168.10.5

xeon @ sysadmin: ~ $ hôte mail.toujague.org
mail.toujague.org a l'adresse 169.18.10.19

Le Dnsmasq fonctionne comme Transitaire correctement

Calamar

Dans le livre au format PDF «Configuration du serveur Linux»Datée le 25 juillet 2016, par l'auteur Joël Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), texte auquel j'ai fait référence dans les articles précédents, il y a tout un chapitre consacré à la Options de configuration de base de Squid.

En raison de l 'importance du service Web - Proxy, nous reproduisons l' introduction faite sur le Squid dans le livre susmentionné:

105.1. Introduction.

105.1.1. Qu'est-ce qu'un serveur intermédiaire (proxy)?

Le terme en anglais "Procuration" a une signification très générale et en même temps ambiguë, bien que
est invariablement considérée comme synonyme du concept de "Intermédiaire". Il est généralement traduit, au sens strict, par déléguer o habilité (celui qui a le pouvoir sur un autre).

Un Serveur intermédiaire Il est défini comme un ordinateur ou un appareil qui offre un service réseau qui consiste à permettre aux clients d'établir des connexions réseau indirectes à d'autres services réseau. Au cours du processus, les événements suivants se produisent:

• Le client se connecte à un Serveur proxy.
• Le client demande une connexion, un fichier ou une autre ressource disponible sur un autre serveur.
• Intermediary Server fournit la ressource soit en se connectant au serveur spécifié
  ou le servir à partir d'un cache.
• Dans certains cas, Serveur intermédiaire peut modifier la demande du client ou le
  réponse du serveur à des fins diverses.

Les Serveurs proxy ils sont généralement conçus pour fonctionner simultanément comme un pare-feu fonctionnant dans le Niveau réseau, agissant comme un filtre de paquets, comme dans le cas de iptables ou opérant dans le Niveau d'application, contrôlant divers services, comme c'est le cas de Emballage TCP. Selon le contexte, le pare-feu est également appelé BPD o Bde commander PProtection Device ou juste filtre de paquets.

Une application courante de Serveurs proxy est de fonctionner comme un cache de contenu réseau (principalement HTTP), fournissant à proximité des clients un cache de pages et de fichiers disponibles via le réseau sur des serveurs HTTP distants, permettant aux clients du réseau local d'y accéder plus rapidement et plus fiable.

Lorsqu'une demande est reçue pour une ressource réseau spécifiée dans un URL (Uniforme Rressource Locator) le Serveur intermédiaire chercher le résultat de URL à l'intérieur du cache. S'il est trouvé, le Serveur intermédiaire Répond au client en lui fournissant immédiatement le contenu demandé. Si le contenu demandé est absent du cache, le Serveur intermédiaire il le récupérera sur un serveur distant, le remettra au client qui l'a demandé et en gardant une copie dans le cache. Le contenu du cache est ensuite supprimé via un algorithme d'expiration en fonction de l'âge, de la taille et de l'historique de réponses aux demandes (hits) (exemples: Lru, LFUDA y GDSF).

Les serveurs proxy pour le contenu réseau (proxy Web) peuvent également agir comme des filtres du contenu servi, en appliquant des politiques de censure selon des critères arbitraires..

La version Squid que nous allons installer est 3.5.20-2.el7_3.2 depuis le référentiel mises à jour.

Installations préconisées

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  calmar.conf
cachemgr.conf.default mime.conf              calmar.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl enable squid

Important

• L'objectif principal de cet article est d'autoriser les utilisateurs locaux à se connecter à Squid à partir d'autres ordinateurs connectés au LAN. De plus, implémentez le cœur d'un serveur auquel d'autres services seront ajoutés. Ce n'est pas un article dédié au Squid en tant que tel.
• Pour avoir une idée des options de configuration de Squid, lisez le fichier /usr/share/doc/squid-3.5.20/squid.conf.documented, qui comporte 7915 lignes.

SELinux et Squid

[root @ linuxbox ~] # getsebool -a | calmar grep
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

configuration

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # non enregistrés acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Méthode CONNECT CONNECT # Nous refusons les requêtes pour les ports non sécurisés http_access deny! Safe_ports # Nous refusons la méthode CONNECT pour les ports non sécurisés http_access deny CONNECT! SSL_ports # Accès au gestionnaire de cache uniquement à partir de l'hôte local http_access allow localhost manager http_access deny manager # Nous vous recommandons vivement de décommenter ce qui suit pour protéger les # applications Web innocentes exécutées sur le serveur proxy qui pensent que le seul # qui peut accéder aux services sur "localhost" un utilisateur local http_access deny to_localhost # # INSÉRER VOTRE PROPRE RÈGLE (S) ICI POUR PERMETTRE L'ACCÈS DE VOS CLIENTS # # Autorisation PAM
programme de base auth_param / usr / lib64 / squid / basic_pam_auth
auth_param enfants de base 5 auth_param domaine de base desdelinux.fan auth_param informations d'identification de basettl 2 heures auth_param basic casesensitive off # L'accès Squid nécessite une authentification acl Passionnés proxy_auth REQUIS # Nous autorisons l'accès aux utilisateurs authentifiés # via PAM http_access refuser ! Passionnés # Accès aux sites FTP acl ftp proto FTP http_access autoriser ftp http_access autoriser localnet http_access autoriser localhost # Nous refusons tout autre accès au proxy http_access deny all # Squid écoute normalement sur le port 3128 http_port 3128 # Nous laissons les "coredumps" dans le premier répertoire de cache coredump_dir /var/spool/squid # # Ajoutez l'un de vos propres modèles de rafraîchissement entrées au-dessus de celles-ci. # modèle_rafraîchir ^ftp : 1440 20 % 10080 motif_rafraîchir ^gopher : 1440 0% 1440 motif_rafraîchir -i (/cgi-bin/|\?) 0 0% 0 motif_rafraîchir . 0 20% 4320 cache_mem 64 Mo # Mémoire Cache memory_replacement_policy lru cache_replacement_policy tas LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 Mo cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # Autres paramètres visible_hostname linuxbox.desdelinux.ventilateur

Nous vérifions la syntaxe du fichier /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k analyse
2017/04/16 15:45:10| Démarrage : initialisation des schémas d'authentification... 2017/04/16 15:45:10| Démarrage : schéma d'authentification initialisé « de base » 2017/04/16 15:45:10| Démarrage : « résumé » du schéma d'authentification initialisé 2017/04/16 15:45:10| Démarrage : Schéma d'authentification initialisé « négocier » 2017/04/16 15:45:10| Démarrage : schéma d'authentification initialisé 'ntlm' 2017/04/16 15:45:10| Démarrage : authentification initialisée. 2017/04/16 15:45:10| Fichier de configuration de traitement : /etc/squid/squid.conf (profondeur 0) 2017/04/16 15:45:10| Traitement : acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Traitement : acl SSL_ports port 443 21 2017/04/16 15:45:10| Traitement : acl Safe_ports port 80 # http 2017/04/16 15:45:10| Traitement : acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Traitement : acl Safe_ports port 443 # https 2017/04/16 15:45:10| Traitement : acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Traitement : acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Traitement : acl Safe_ports port 1025-65535 # ports non enregistrés 2017/04/16 15:45:10| Traitement : acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Traitement : acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Traitement : acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Traitement : acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Traitement : méthode acl CONNECT CONNECT 2017/04/16 15:45:10| Traitement : http_access refusé !Safe_ports 2017/04/16 15:45:10| Traitement : http_access refuser CONNECT !SSL_ports 2017/04/16 15:45:10| Traitement : http_access autorise le gestionnaire localhost 2017/04/16 15:45:10| Traitement : gestionnaire de refus http_access 2017/04/16 15:45:10| Traitement : http_access refusé à_localhost 2017/04/16 15:45:10| Traitement : programme de base auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Traitement : auth_param basic children 5 2017/04/16 15:45:10| Traitement : domaine de base auth_param desdelinux.fan 2017/04/16 15:45:10| Traitement : auth_param informations d'identification de basettl 2 heures 2017/04/16 15:45:10| Traitement : auth_param basic casesensitive off 2017/04/16 15:45:10| Traitement : acl Passionnés proxy_auth OBLIGATOIRE 2017/04/16 15:45:10| Traitement : http_access refusé ! Passionnés 2017/04/16 15:45:10| Traitement : acl ftp proto FTP 2017/04/16 15:45:10| Traitement : http_access autoriser ftp 2017/04/16 15:45:10| Traitement : http_access autorise localnet 2017/04/16 15:45:10| Traitement : http_access autorise localhost 2017/04/16 15:45:10| Traitement : http_access refuser tout 2017/04/16 15:45:10| Traitement : http_port 3128 2017/04/16 15:45:10| Traitement : coredump_dir /var/spool/squid 2017/04/16 15:45:10| Traitement : rafraîchir_pattern ^ftp : 1440 20 % 10080 2017/04/16 15:45:10| Traitement : rafraîchir_pattern ^gopher : 1440 0 % 1440 2017/04/16 15:45:10| Traitement : rafraîchir_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Traitement : fresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Traitement : cache_mem 64 Mo 2017/04/16 15:45:10| Traitement : memory_replacement_policy lru 2017/04/16 15:45:10| Traitement : tas cache_replacement_policy LFUDA 2017/04/16 15:45:10| Traitement : cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Traitement : maximum_object_size 4 Mo 2017/04/16 15:45:10| Traitement : cache_swap_low 85 2017/04/16 15:45:10| Traitement : cache_swap_high 90 2017/04/16 15:45:10| Traitement : cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Traitement : visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Initialisation du contexte du proxy https

Nous ajustons les autorisations dans / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Nous créons le répertoire cache

# Juste au cas où ... [root @ linuxbox ~] # service squid stop
Redirection vers / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Définissez le répertoire courant sur / var / spool / squid 2017/04/16 15:48:28 kid1 | Création de répertoires d'échange manquants 2017/04/16 15:48:28 kid1 | / var / spool / squid existe 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Créer des répertoires dans / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Création de répertoires dans / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Création de répertoires dans / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Création de répertoires dans / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Création de répertoires dans / var / spool / squid / 0F

À ce stade, s'il faut un certain temps pour renvoyer l'invite de commande - qui ne m'a jamais été renvoyée - appuyez sur Entrée.

[root @ linuxbox ~] # service squid start
[root @ linuxbox ~] # redémarrage du service squid
[root @ linuxbox ~] # statut de squid de service
Redirection vers / bin / systemctl status squid.service ● squid.service - Proxy de mise en cache Squid Chargé: chargé (/usr/lib/systemd/system/squid.service; désactivé; prédéfini du fournisseur: désactivé) Actif: actif (en cours d'exécution) depuis dom 2017/04/16 15:57:27 HAE; Il y a 1s Processus: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = sorti, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = sorti, statut = 0 / SUCCÈS) Processus: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = sorti, statut = 0 / SUCCÈS) PID principal: 2876 (calmar) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 avril 15:57:27 linuxbox systemd [1]: Démarrage du proxy de mise en cache Squid ... 16 avril 15:57:27 linuxbox systemd [1]: démarrage du proxy de mise en cache Squid. 16 avril 15:57:27 linuxbox squid [2876]: Squid Parent: commencera 1 enfant 16 avril 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) processus 2878 ... ed 16 avril 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Astuce: Certaines lignes étaient ellipsées, utilisez -l pour afficher en entier

[root @ linuxbox ~] # cat / var / log / messages | calmar grep

Correctifs du pare-feu

Il faut aussi ouvrir dans la Zone «externe"les ports 80 HTTP y 443 HTTPS afin que le Squid puisse communiquer avec Internet.

[root @ linuxbox ~] # firewall-cmd --zone = externe --add-port = 80 / tcp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --zone = externe --add-port = 443 / tcp --permanent
succès
[root @ linuxbox ~] # firewall-cmd --reload
succès
[root @ linuxbox ~] # firewall-cmd --info-zone externe
cible externe (active): par défaut icmp-block-inversion: pas d'interfaces: ens34 sources: services: ports dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocoles: masquerade: oui ports-avant: sourcesports: icmp-blocks: redirection de problème de paramètre routeur-publicité routeur-sollicitation source-quench règles riches:

• Il n'est pas inutile d'aller à l'application graphique «Configuration du pare-feu»Et vérifiez que les ports 443 tcp, 80 tcp, 53 tcp et 53 udp sont ouverts pour la zone«externe«, Et que nous n'avons publié aucun service pour elle.

Remarque sur le programme d'aide basic_pam_auth

Si nous consultons le manuel de cet utilitaire via homme basic_pam_auth Nous lirons que l'auteur lui-même recommande fortement que le programme soit déplacé vers un répertoire où les utilisateurs normaux n'ont pas les autorisations suffisantes pour accéder à l'outil.

D'autre part, on sait qu'avec ce schéma d'autorisation, les informations d'identification voyagent en texte brut et ce n'est pas sûr pour les environnements hostiles, lisez les réseaux ouverts.

jeff yestrumskas dédier l'article «Mode d'emploi: configurer un proxy Web sécurisé en utilisant le cryptage SSL, Squid Caching Proxy et l'authentification PAM»À la question de l'augmentation de la sécurité avec ce schéma d'authentification afin qu'il puisse être utilisé dans des réseaux ouverts potentiellement hostiles.

Nous installons httpd

Afin de vérifier le fonctionnement de Squid -et accessoirement celui de Dnsmasq- nous installerons le service httpd - Serveur Web Apache - ce qui n'est pas obligatoire. Dans le fichier relatif au Dnsmasq / etc / banner_add_hosts Nous déclarons les sites que nous souhaitons interdire et nous attribuons explicitement la même adresse IP que celle dont il dispose boîte linux. Ainsi, si nous demandons l'accès à l'un de ces sites, la page d'accueil du httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl enable httpd
Création d'un lien symbolique depuis /etc/systemd/system/multi-user.target.wants/httpd.service vers /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Le serveur HTTP Apache est chargé: chargé (/usr/lib/systemd/system/httpd.service; activé; préréglage du fournisseur: désactivé) Actif: actif (en cours d'exécution) depuis le 2017/04/16 16:41: 35 EDT; Il y a 5s Docs: man: httpd (8) man: apachectl (8) PID principal: 2275 (httpd) Statut: "Traitement des demandes ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 avril 16:41:35 linuxbox systemd [1]: Démarrage du serveur HTTP Apache ... 16 avril 16:41:35 linuxbox systemd [1]: Démarrage du serveur HTTP Apache.

SELinux et Apache

Apache a plusieurs politiques à configurer dans le contexte SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_can_connect network off_zabbix_bwork off_zabbix_bwork_bwork_zabwork_bwork_zabwork_bwork_zabwork_bwork httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable OFFP -> httpd_enablem offpd_server_enablecgi off -> offhpd_enablemXNUMX httpd_graceful_shutdown -> sur httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpdlimruncift_preup offlimer> off httpdlimruncift_preup offlimer> off httpdlimruncift_preup offlimer httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Nous ne configurerons que les éléments suivants:

Envoyer un e-mail via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Autoriser Apache à lire le contenu situé dans les répertoires personnels des utilisateurs locaux

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permet d'administrer via FTP ou FTPS tout répertoire géré par
Apache ou autoriser Apache à fonctionner comme un serveur FTP à l'écoute des requêtes via le port FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Pour plus d'informations, veuillez lire Configuration du serveur Linux.

Nous vérifions l'authentification

Il ne reste plus qu'à ouvrir un navigateur sur un poste de travail et pointer, par exemple, vers http://windowsupdate.com. Nous vérifierons que la requête est correctement redirigée vers la page d'accueil d'Apache dans linuxbox. En fait, tout nom de site déclaré dans le fichier / etc / banner_add_hosts vous serez redirigé vers la même page.

Les images à la fin de l'article le prouvent.

Gestion des utilisateurs

Nous le faisons à l'aide de l'outil graphique «Gestion des utilisateurs»À quoi on accède par le menu Système -> Administration -> Gestion des utilisateurs. Chaque fois que nous ajoutons un nouvel utilisateur, son dossier est créé / home / utilisateur automatiquement

Les sauvegardes

Clients Linux

Vous n'avez besoin que du navigateur de fichiers normal et indiquez que vous souhaitez vous connecter, par exemple: ssh: // buzz @ linuxbox / home / buzz et après avoir entré le mot de passe, le répertoire sera affiché foyer de l'utilisateur buzz.

Clients Windows

Dans les clients Windows, nous utilisons l'outil WinSCP. Une fois installé, nous l'utilisons de la manière suivante:

Simple, non?

Résumé

Nous avons vu qu'il est possible d'utiliser PAM pour authentifier des services dans un petit réseau et dans un environnement contrôlé totalement isolé des mains de les pirates. Cela est principalement dû au fait que les informations d'authentification voyagent en texte brut et qu'il ne s'agit donc pas d'un schéma d'authentification à utiliser dans des réseaux ouverts tels que les aéroports, les réseaux Wi-Fi, etc. Cependant, il s'agit d'un mécanisme d'autorisation simple, facile à mettre en œuvre et à configurer.

Sources consultées

• Configuration du serveur Linux
• Manuels de commande - pages de manuel

Version PDF

Téléchargez la version PDF ici !.

Jusqu'au prochain article!