Provjera autentičnosti Squid + PAM u CentOS 7- SMB mrežama

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Pozdrav prijatelji i prijatelji!

Naslov članka trebao je biti: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid s PAM autentifikacijom u Centos 7 - MSP mreže«. Iz praktičnih razloga ga skraćujemo.

Nastavljamo s provjerom autentičnosti za lokalne korisnike na Linux računalu pomoću PAM-a, a ovaj put ćemo vidjeti kako možemo pružiti Proxy uslugu s Squidom za malu mrežu računala, koristeći vjerodajnice za provjeru autentičnosti pohranjene na istom računalu gdje poslužitelj je pokrenut lignja.

Iako znamo da je u današnje vrijeme vrlo česta praksa provjere autentičnosti usluga protiv OpenLDAP-a, Red Hat's Directory Server 389, Microsoft Active Directory itd., Smatramo da prvo moramo proći kroz jednostavna i jeftina rješenja, a zatim se suočiti s najsloženijim. Vjerujemo da moramo ići od jednostavnog ka složenom.

Scena

Mala je organizacija - s vrlo malo financijskih sredstava - posvećena podršci korištenju slobodnog softvera i odlučila se za ime DesdeLinux.Ventilator. Oni su razni entuzijasti OS-a CentOS grupirani u jedan ured. Kupili su radnu stanicu - a ne profesionalni poslužitelj - koju će posvetiti funkciji "poslužitelja".

Entuzijasti nemaju opsežno znanje o tome kako implementirati OpenLDAP poslužitelj ili Samba 4 AD-DC, niti si mogu priuštiti licencu za Microsoft Active Directory. Međutim, za svoj svakodnevni rad trebaju usluge pristupa Internetu putem proxyja - kako bi ubrzali pregledavanje - i prostora za spremanje svojih najvrjednijih dokumenata i rad kao sigurnosne kopije.

I dalje uglavnom koriste legalno stečene Microsoftove operativne sustave, ali žele ih promijeniti u operativne sustave zasnovane na Linuxu, počevši od svog "Poslužitelja".

Oni također teže vlastitom poslužitelju pošte kako bi postali neovisni - barem od podrijetla - usluga kao što su Gmail, Yahoo, HotMail itd., Što trenutno koriste.

Pravila vatrozida i usmjeravanja protiv Interneta utvrdit će ga u ugovorenom ADSL usmjerivaču.

Oni nemaju stvarno ime domene jer ne zahtijevaju objavljivanje bilo kakve usluge na Internetu.

CentOS 7 kao poslužitelj bez GUI-ja

Polazimo od svježe instalacije poslužitelja bez grafičkog sučelja, a jedina opcija koju odaberemo tijekom postupka je «Infrastrukturni poslužitelj»Kao što smo vidjeli u prethodnim člancima u seriji.

Početne postavke

[root @ linuxbox ~] # mačka / etc / hostname 
linux kutija

[root @ linuxbox ~] # mačka / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # ime hosta
linux kutija

[root @ linuxbox ~] # ime hosta -f
linuxbox.desdelinux.ventilator

[root @ linuxbox ~] # ip popis adresa
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 to

Onemogućimo Network Manager

[root @ linuxbox ~] # systemctl zaustavi NetworkManager

[root @ linuxbox ~] # systemctl onemogući NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager učitan: učitan (/usr/lib/systemd/system/NetworkManager.service; onemogućen; unaprijed postavljena opcija dobavljača: omogućeno) Aktivno: neaktivno (mrtvo) Dokumenti: čovjek: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Konfiguriramo mrežna sučelja

Ens32 LAN sučelje povezano s unutarnjom mrežom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = javna

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN sučelje povezano s Internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statički HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL Router je povezan na # ovo sučelje sa # sljedećom adresom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = vanjska

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfiguracija spremišta

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # izvorni mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum očisti sve
Učitani dodaci: najbrže ogledalo, langpacks Čišćenje spremišta: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Čišćenje svega Čišćenje popisa najbržih ogledala

[root @ linuxbox yum.repos.d] # yum ažuriranje
Učitani dodaci: najbrže ogledalo, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Ažuriranja-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primarni_db | 5.6 MB 00:01 Određivanje najbržih zrcala Nema paketa označenih za ažuriranje

Poruka "Nema paketa označenih za ažuriranje»Prikazuje se jer smo tijekom instalacije proglasili ista lokalna spremišta koja imamo na raspolaganju.

Centos 7 s radnim okruženjem MATE

Da bismo koristili vrlo dobre administrativne alate s grafičkim sučeljem koje nam pruža CentOS / Red Hat, a budući da nam uvijek nedostaje GNOME2, odlučili smo instalirati MATE kao radno okruženje.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Da bismo provjerili ispravno učitavanje MATE-a, izvršavamo sljedeću naredbu u konzoli -local ili remote-:

[root @ linuxbox ~] # systemctl izoliraj graphical.target

i radno okruženje treba učitati -u lokalnom timu- glatko, pokazujući lightdm kao grafička prijava. Utipkamo ime lokalnog korisnika i njegovu lozinku te ćemo unijeti MATE.

Da kažem systemd da je zadana razina pokretanja 5-grafičko okruženje - kreiramo sljedeću simboličku poveznicu:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Ponovo pokrećemo sustav i sve funkcionira u redu.

Instaliramo Time Service za mreže

[root @ linuxbox ~] # yum instalirati ntp

Tijekom instalacije konfiguriramo da će se lokalni sat sinkronizirati s vremenskim poslužiteljem opreme sistemski administrator.desdelinux.ventilator s IP-om 192.168.10.1. Dakle, spremamo datoteku ntp.conf izvor:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Sada kreiramo novi sa sljedećim sadržajem:

[root @ linuxbox ~] # nano /etc/ntp.conf # Poslužitelji konfigurirani tijekom instalacije: poslužitelj 192.168.10.1 iburst # Za više informacija pogledajte stranice s uputama: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Omogućiti sinkronizaciju s izvorom vremena, ali ne i # dopustiti izvoru da se savjetuje ili modificira ovu uslugu ograniči zadani nomodify notrap nopeer noquery # Omogući sav pristup sučelju Loopback ograniči 127.0.0.1 ograniči :: 1 # Ograničite se malo manje na računala u lokalnoj mreži. restrict 192.168.10.0 maska ​​255.255.255.0 nomodify notrap # Koristite javne poslužitelje projekta pool.ntp.org # Ako se želite pridružiti projektu, posjetite # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # poslužitelj emitiranja broadcastclient # klijent za emitiranje #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client client 192.168.10.255. 4 # Omogući javnu kriptografiju. #crypto includefile / etc / ntp / crypto / pw # Datoteka ključa koja sadrži ključeve i identifikatore ključeva # koristi se u radu sa simetričnim ključevima kriptografije / etc / ntp / keys # Navedite pouzdane identifikatore ključa. #trustedkey 8 42 8 # Navedite identifikator ključa koji će se koristiti s uslužnim programom ntpdc. #requestkey 8 # Navedite identifikator ključa koji će se koristiti s uslužnim programom ntpq. #controlkey 2013 # Omogućiti pisanje registara statistike. #statistics clockstats cryptostats loopstats peerstats # Onemogućite nadgledanje secesije kako biste spriječili pojačavanje # napada pomoću naredbe ntpdc monlist, kada zadano ograničenje # ne uključuje zastavicu noquery. Za više detalja pročitajte CVE-5211-XNUMX #. # Napomena: Monitor nije onemogućen s oznakom ograničenog ograničenja. onemogućiti monitor

Omogućujemo, pokrećemo i provjeravamo NTP uslugu

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - mrežna usluga vremena učitana: učitana (/usr/lib/systemd/system/ntpd.service; onemogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogući ntpd
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/ntpd.service do /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - mrežna usluga vremena
   Učitana: učitana (/usr/lib/systemd/system/ntpd.service; omogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivan: aktivan (pokrenut) od petka 2017-04-14 15:51:08 EDT; Prije 1s Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / USPJEH) Glavni PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp i vatrozid

[root @ linuxbox ~] # firewall-cmd --get-active-zone
vanjski
  sučelja: ens34
javni
  sučelja: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
uspjeh
[root @ linuxbox ~] # firewall-cmd --reload
uspjeh

Omogućujemo i konfiguriramo Dnsmasq

Kao što smo vidjeli u prethodnom članku u seriji SMB Networks, Dnsamasq je prema zadanim postavkama instaliran na CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS poslužitelj za predmemoriranje. Učitana: učitana (/usr/lib/systemd/system/dnsmasq.service; onemogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivna: neaktivna (mrtva)

[root @ linuxbox ~] # systemctl omogući dnsmasq
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/dnsmasq.service do /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS poslužitelj za predmemoriranje. Učitano: učitano (/usr/lib/systemd/system/dnsmasq.service; omogućeno; unaprijed postavljeno dobavljače: onemogućeno) Aktivan: aktivan (pokrenut) od petka 2017-04-14 16:21:18 EDT; Prije 4s Glavni PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPĆE OPCIJE # ----------------------------------- --------------------------------------potrebna domena # Ne prosljeđujte imena bez domene part bogus-priv # Ne prosljeđujte adrese u neusmjerenom prostoru expand-hosts # Automatski dodaje domenu glavnom sučelju=ens32 # LAN sučelje strict-order # Redoslijed kojim se postavlja upit /etc/resolv.conf datoteci conf- dir=/etc /dnsmasq.d domena=desdelinux.fan # Adresa naziva domene=/time.windows.com/192.168.10.5 # Šalje praznu opciju WPAD vrijednosti. Potrebno za # Windows 7 i novije klijente kako bi se ispravno ponašali. ;-) dhcp-option=252,"\n" # Datoteka u kojoj ćemo deklarirati HOSTOVE koji će biti "zabranjeni" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------------- # Ova vrsta zapisa zahtijeva unos # u datoteci /etc/hosts # npr.: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Vraća MX zapis s nazivom "desdelinux.fan" predodređen # timu za poštu.desdelinux.ventilator i prioritet od 10 mx-host=desdelinux.obožavatelj, pošta.desdelinux.fan,10 # Zadano odredište za MX zapise stvorene # pomoću opcije localmx bit će: mx-target=mail.desdelinux.fan # Vraća MX zapis koji pokazuje na mx-target za SVE # lokalne strojeve localmx # TXT zapise. Također možemo deklarirati SPF zapis txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.ventilator,"DesdeLinux, vaš blog posvećen slobodnom softveru" # ----------------------------------------------- -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- -------------------------------------------- # IPv4 raspon i vrijeme zakupa # 1 do 29 su za poslužitelje i druge potrebe dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Maksimalan broj adresa za zakup # prema zadanim postavkama je 150 # IPV6 raspon # dhcp-range=1234::, ra-only # Opcije za RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # DNS poslužitelji dhcp-option =15,desdelinux.fan # DNS naziv domene dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative on subnet # --- --- ----------------------------------------------- --- ----------- # Ako želite pohraniti dnevnik upita u /var/log/messages # odkomentirajte red ispod # ---------- ------- ------------------------------------------- -------
# log-upita
# KRAJ datoteke /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Izrađujemo datoteku / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Fiksne IP adrese

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sistemski administrator.desdelinux.navijač sistemski administrator

Konfiguriramo datoteku /etc/resolv.conf - rezolver

[root @ linuxbox ~] # nano /etc/resolv.conf
traži desdelinux.fan nameserver 127.0.0.1 # Za vanjske ili # nedomenske DNS upite desdelinux.fan # lokalni=/desdelinux.fan/ poslužitelj imena 8.8.8.8

Provjeravamo sintaksu datoteke dnsmasq.conf, pokrećemo i provjeravamo status usluge

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: provjera sintakse u redu.
[root @ linuxbox ~] # systemctl ponovno pokrenite dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq i vatrozid

[root @ linuxbox ~] # firewall-cmd --get-active-zone
vanjski
  sučelja: ens34
javni
  sučelja: ens32

usluga domena o Poslužitelj imena domene (dns). Protokol snažan udarac «IP s šifriranjem«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - trajno
uspjeh
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
uspjeh

Dnsmasq upite prema vanjskim DNS poslužiteljima

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp - permanent
uspjeh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
uspjeh

usluga čizme o BOOTP poslužitelj (dhcp). Protokol IPPC «Paketna jezgra za Internet Pluribus«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - trajno
uspjeh
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
uspjeh

[root @ linuxbox ~] # firewall-cmd --reload
uspjeh

[root @ linuxbox ~] # firewall-cmd - javna javna info-zona (aktivno)
  cilj: zadana icmp-blok-inverzija: nema sučelja: ens32 izvori: usluge: dhcp dns ntp ssh portovi: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoli: masquerade: nema forward-ports: sourceports: icmp -blocks: bogata pravila:

[root @ linuxbox ~] # firewall-cmd --info-zone vanjski vanjski (aktivan)
  cilj: zadana inverzija icmp-bloka: nema sučelja: ens34 izvori: usluge: dns portovi: 53 / udp 53 / tcp protokoli: masquerade: yes forward-ports: sourceports: icmp-block: problem-parametar preusmjeravanje usmjerivača-reklamni usmjerivač- bogata pravila za traženje izvora:

Ako želimo koristiti grafičko sučelje za konfiguriranje vatrozida u CentOS 7, pogledamo u općeniti izbornik - to će ovisiti o radnoj površini u kojem će se podizborniku pojaviti - aplikaciji «Vatrozid», izvršimo ga i nakon unosa korisničke lozinke korijen, pristupit ćemo programskom sučelju kao takvom. U MATE-u se pojavljuje u izborniku «Sustav »->" Administracija "->" Vatrozid ".

Odabiremo Područje «javni»I odobravamo Usluge koje želimo objavljivati ​​na LAN-u, a koje su do sada dhcp, dns, ntp i ssh. Nakon odabira usluga, provjere da li sve ispravno funkcioniraju, moramo izvršiti promjene u Runtime na Permanent. Da bismo to učinili idemo na izbornik Mogućnosti i odaberite opciju «Vrijeme izvođenja trajno”.

Kasnije odabiremo Područje «vanjski»I provjeravamo jesu li luke potrebne za komunikaciju s Internetom otvorene. NEMOJTE objavljivati ​​Usluge u ovoj Zoni, osim ako dobro znamo što radimo!.

Ne zaboravimo napraviti promjene Trajno kroz opciju «Vrijeme izvođenja trajno»I ponovno napunite demona FirewallD, svaki put kada koristimo ovaj moćni grafički alat.

NTP i Dnsmasq iz Windows 7 klijenta

Sinkronizacija s NTP-om

vanjski

Zakupljena IP adresa

Microsoft Windows [Verzija 6.1.7601] Autorsko pravo (c) 2009 Microsoft Corporation. Sva prava pridržana. C: \ Users \ buzz> ipconfig / ime hosta za sve IP konfiguracije sustava Windows. . . . . . . . . . . . : SEDAM
   Primarni Dns sufiks. . . . . . . :
   NodeType. . . . . . . . . . . . : Omogućeno hibridno IP usmjeravanje. . . . . . . . : WINS proxy nije omogućen. . . . . . . . : Nema popisa pretraživanja DNS sufiksa. . . . . . : desdelinux.fan Ethernet adapter Lokalna veza: DNS sufiks specifičan za vezu . : desdelinux.Opis ventilatora. . . . . . . . . . . : Intel(R) PRO/1000 MT Fizička adresa mrežne veze. . . . . . . . . : 00-0C-29-D6-14-36 DHCP omogućen. . . . . . . . . . . : Da Autokonfiguracija omogućena. . . . : Vilice
   IPv4 adresa. . . . . . . . . . . : 192.168.10.115 (poželjno)
   SubnetMask . . . . . . . . . . . : 255.255.255.0 Dobiven najam. . . . . . . . . . : petak, 14. travnja 2017. 5 Istječe najam. . . . . . . . . . : subota, 12. travnja 53. 15:2017:1 Zadani pristupnik . . . . . . . . . : 12 DHCPServer. . . . . . . . . . . : 53 DNS poslužitelji. . . . . . . . . . . : 192.168.10.1 NetBIOS preko Tcpipa. . . . . . . . : Omogućen Adapter tunela Lokalna veza* 192.168.10.5: Stanje medija . . . . . . . . . . . : Mediji prekinuti DNS sufiks specifičan za vezu. : Opis . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter fizička adresa. . . . . . . . . : 192.168.10.5-9-00-00-00-00-00-E00 DHCP omogućen. . . . . . . . . . . : Autokonfiguracija nije omogućena. . . . : Da Tunelski adapter isatap.desdelinux.fan: Medijska država. . . . . . . . . . . : Mediji prekinuti DNS sufiks specifičan za vezu. : desdelinux.Opis ventilatora. . . . . . . . . . . : Microsoft ISATAP adapter #2 Fizička adresa. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP omogućen. . . . . . . . . . . : Autokonfiguracija nije omogućena. . . . : Da C:\Korisnici\buzz>

vrsta

Važna vrijednost u Windows klijentima je "Primarni sufiks Dns-a" ili "Sufiks glavne veze". Kada se ne koristi Microsoftov kontroler domene, operativni sustav ne dodjeljuje mu vrijednost. Ako se suočimo sa slučajem poput onoga opisanog na početku članka i želimo izričito izjaviti tu vrijednost, moramo postupiti u skladu s onim što je prikazano na sljedećoj slici, prihvatiti promjene i ponovo pokrenuti klijenta.

Ako opet trčimo CMD -> ipconfig / sve dobit ćemo sljedeće:

Microsoft Windows [Verzija 6.1.7601] Autorsko pravo (c) 2009 Microsoft Corporation. Sva prava pridržana. C: \ Users \ buzz> ipconfig / ime hosta za sve IP konfiguracije sustava Windows. . . . . . . . . . . . : SEDAM
   Primarni Dns sufiks. . . . . . . : desdelinux.ventilator
   NodeType. . . . . . . . . . . . : Omogućeno hibridno IP usmjeravanje. . . . . . . . : WINS proxy nije omogućen. . . . . . . . : Nema popisa pretraživanja DNS sufiksa. . . . . . : desdelinux.ventilator

Ostatak vrijednosti ostaje nepromijenjen

DNS provjere

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com ima adresu 127.0.0.1 Host spynet.microsoft.com nije pronađen: 5 (ODBIJENO) spynet.microsoft.com poštom upravlja 1 pošta.desdelinux.ventilator.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.

buzz @ sysadmin: ~ $ host sysadmin
sistemski administrator.desdelinux.fan ima adresu 192.168.10.1 administrator sustava.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.

buzz @ sysadmin: ~ $ mail pošte
mail.desdelinux.fan je alias za linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.

Mi instaliramo -samo za ispitivanje- mjerodavni DNS poslužitelj NSD u sustavu Windows sistemski administrator.desdelinux.ventilator, a mi uključujemo IP adresu 172.16.10.1 u arhivu / Etc / resolv.conf tima linuxbox.desdelinux.ventilator, da provjeri je li Dnsmasq ispravno izvršavao svoju funkciju prosljeđivanja. Sandboxovi na NSD poslužitelju su favt.org y toujague.org. Sve su IP adrese fiktivne ili iz privatnih mreža.

Ako onemogućimo WAN sučelje ens34 pomoću naredbe ifdown ens34, Dnsmasq neće moći postavljati upite za vanjske DNS poslužitelje.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Domaćin toujague.org nije pronađen: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Domaćin pizzapie.favt.org nije pronađen: 3 (NXDOMAIN)

Omogućimo ens34 sučelje i provjerimo ponovno:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org pseudonim je za paisano.favt.org. paisano.favt.org ima adresu 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Domaćin pizzas.toujague.org nije pronađen: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org ima adresu 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org poslužitelj imena ns1.favt.org. favt.org poslužitelj imena ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org poslužitelj imena ns1.toujague.org. toujague.org poslužitelj imena ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Poštom toujague.org obrađuje se 10 mail.toujague.org.

Posavjetujmo se od sistemski administrator.desdelinux.ventilator:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
traži desdelinux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org ima adresu 169.18.10.19

Dnsmasq radi kao Špediter ispravno.

lignja

U knjizi u PDF formatu «Konfiguracija Linux poslužitelja»Autor dana 25. srpnja 2016. godine Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), tekst na koji sam se pozivao u prethodnim člancima, postoji cijelo poglavlje posvećeno Osnovne mogućnosti konfiguracije lignji.

Zbog važnosti usluge Web - Proxy, reproduciramo Uvod o lignjama u spomenutoj knjizi:

105.1. Uvod.

105.1.1. Što je posrednički poslužitelj (proxy)?

Pojam na engleskom "Proxy" ima vrlo općenito i istodobno dvosmisleno značenje
se uvijek smatra sinonimom pojma "Posrednik". Obično se u strogom smislu prevodi kao delegat o pravnik (onaj koji ima moć nad drugim).

Un Posrednički poslužitelj Definiran je kao računalo ili uređaj koji nudi mrežnu uslugu koja se sastoji od omogućavanja klijentima neizravnih mrežnih veza s drugim mrežnim uslugama. Tijekom postupka događa se sljedeće:

• Klijent se spaja na Proxy poslužitelj.
• Klijent zahtijeva vezu, datoteku ili drugi resurs dostupan na drugom poslužitelju.
• Posrednički poslužitelj pruža resurs bilo povezivanjem s navedenim poslužiteljem
  ili posluživanje iz predmemorije.
• U nekim slučajevima Posrednički poslužitelj može izmijeniti zahtjev klijenta ili
  odgovor poslužitelja u razne svrhe.

The Proxy poslužitelji oni su obično napravljeni da rade istovremeno kao protivpožarni zid koji radi u Razina mreže, koji djeluje kao paketni filtar, kao u slučaju iptables ili posluju u Razina primjene, kontroliranje raznih usluga, kao što je slučaj TCP omotač. Ovisno o kontekstu, vatrogasni zid poznat je i pod nazivom BPD proširenje o Bkako Pokretanje Device ili samo paketni filtar.

Uobičajena primjena Proxy poslužitelji treba funkcionirati kao predmemorija mrežnog sadržaja (uglavnom HTTP), pružajući u blizini klijenata predmemoriju stranica i datoteka dostupnih putem mreže na udaljenim HTTP poslužiteljima, omogućavajući klijentima lokalne mreže da im pristupe u brže i pouzdanije.

Kada se zaprimi zahtjev za određenim mrežnim resursom u a URL (Uuniforman Rizvor Lokator) the Posrednički poslužitelj potražite rezultat URL unutar predmemorije. Ako se pronađe, Posrednički poslužitelj Odgovara kupcu trenutnim pružanjem traženog sadržaja. Ako traženi sadržaj nedostaje u predmemoriji, Posrednički poslužitelj dohvatit će ga s udaljenog poslužitelja, dostaviti klijentu koji ga je zatražio i zadržati kopiju u predmemoriji. Sadržaj u predmemoriji se zatim uklanja algoritmom isteka prema dobi, veličini i povijesti odgovori na zahtjeve (pogoci) (primjeri: LRU, LFUDA y GDSF).

Proxy poslužitelji za mrežni sadržaj (web proxyji) mogu također djelovati kao filtri posluženog sadržaja, primjenjujući politike cenzure prema proizvoljnim kriterijima..

Verzija Squid koju ćemo instalirati je 3.5.20-2.el7_3.2 iz spremišta Ažuriranja.

Instalacija

[root @ linuxbox ~] # yum instaliraj lignje

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  lignje.konf
cachemgr.conf.default mime.conf              lignje.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl omogući lignje

Važno

• Glavni cilj ovog članka je autorizirati lokalne korisnike da se povežu sa Squidom s drugih računala povezanih na LAN. Uz to, implementirajte jezgru poslužitelja kojem će se dodati druge usluge. To nije članak posvećen lignjama kao takvima.
• Da biste dobili ideju o mogućnostima konfiguracije Squid, pročitajte /usr/share/doc/squid-3.5.20/squid.conf.documented datoteku koja ima 7915 redaka.

SELinux i Lignje

[root @ linuxbox ~] # getsebool -a | grep lignje
squid_connect_any -> na squid_use_tproxy -> isključeno

[root @ linuxbox ~] # setsebool -P squid_connect_any = uključen

konfiguracija

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # neregistrirani portovi acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT metoda CONNECT # Odbijamo upite za nesigurne portove http_access deny! Safe_ports # Odbijamo CONNECT metodu za nesigurne portove http_access deny CONNECT! SSL_ports # Access Upravitelj predmemorije samo s localhost http_access dopustiti localhost manager http_access deny manager # Preporučujemo da se sljedeće nekomentira radi zaštite nevinih # web aplikacija koje se izvode na proxy poslužitelju i koji misle da je jedini # koji može pristupiti uslugama na "localhost" lokalni korisnik http_access odbija to_localhost # # OVDJE UMOĆITE SVOJA PRAVILA DA DOVOLJITE PRISTUP VAŠIM KLIJENTIMA # # PAM autorizacija
auth_param osnovni program / usr / lib64 / squid / basic_pam_auth
auth_param osnovna djeca 5 auth_param osnovno područje desdelinux.fan auth_param basic credentialsttl 2 sata auth_param basic casesensitive off # Squid pristup zahtijeva provjeru autentičnosti acl Enthusiasts proxy_auth REQUIRED # Dopuštamo pristup autentificiranim korisnicima # kroz PAM http_access deny !Enthusiasts # Pristup FTP stranicama acl ftp proto FTP http_access dopustiti ftp http_access dopustiti localnet http_access dopustiti localhost # Uskraćujemo svaki drugi pristup http_access proxyju deny all # Squid normalno sluša na portu 3128 http_port 3128 # Ostavljamo "coredumps" u prvom direktoriju predmemorije coredump_dir /var/spool/squid # # Dodajte bilo koji vlastiti refresh_pattern unose iznad ovih. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy hrpa LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_m gr buzz@desdelinux.fan # Ostali parametri visible_hostname linuxbox.desdelinux.ventilator

Provjeravamo sintaksu datoteke /etc/squid/squid.conf

[root @ linuxbox ~] # raščlanjivanje lignji -k
2017/04/16 15:45:10| Pokretanje: Inicijalizacija autentifikacijskih shema... 2017/04/16 15:45:10| Pokretanje: Inicijalizirana shema provjere autentičnosti 'osnovna' 2017/04/16 15:45:10| Pokretanje: 'sažetak' inicijalizirane sheme provjere autentičnosti 2017/04/16 15:45:10| Pokretanje: Inicijalizirana shema provjere autentičnosti 'pregovara' 2017/04/16 15:45:10| Pokretanje: Inicijalizirana shema provjere autentičnosti 'ntlm' 2017/04/16 15:45:10| Pokretanje: Inicijalizirana provjera autentičnosti. 2017/04/16 15:45:10| Obrada konfiguracijske datoteke: /etc/squid/squid.conf (dubina 0) 2017/04/16 15:45:10| Obrada: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Obrada: acl SSL_ports port 443 21 2017/04/16 15:45:10| Obrada: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Obrada: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Obrada: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Obrada: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Obrada: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Obrada: acl Safe_ports port 1025-65535 # neregistrirani portovi 2017/04/16 15:45:10| Obrada: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Obrada: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Obrada: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Obrada: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Obrada: acl CONNECT metoda CONNECT 2017/04/16 15:45:10| Obrada: http_access deny !Safe_ports 2017/04/16 15:45:10| Obrada: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Obrada: http_access enable localhost manager 2017/04/16 15:45:10| Obrada: http_access deny manager 2017/04/16 15:45:10| Obrada: http_access deny to_localhost 2017/04/16 15:45:10| Obrada: auth_param osnovni program /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Obrada: auth_param osnovna djeca 5 2017/04/16 15:45:10| Obrada: auth_param osnovno područje desdelinux.fan 2017/04/16 15:45:10| Obrada: auth_param basic credentialsttl 2 sata 2017/04/16 15:45:10| Obrada: auth_param osnovna velika i mala slova isključeno 2017/04/16 15:45:10| Obrada: acl Enthusiasts proxy_auth POTREBNO 2017/04/16 15:45:10| Obrada: http_access deny !Entuzijasti 2017/04/16 15:45:10| Obrada: acl ftp proto FTP 2017/04/16 15:45:10| Obrada: http_access enable ftp 2017/04/16 15:45:10| Obrada: http_access enable localnet 2017/04/16 15:45:10| Obrada: http_access enable localhost 2017/04/16 15:45:10| Obrada: http_access deny all 2017/04/16 15:45:10| Obrada: http_port 3128 2017/04/16 15:45:10| Obrada: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Obrada: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Obrada: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Obrada: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Obrada: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Obrada: cache_mem 64 MB 2017/04/16 15:45:10| Obrada: memory_replacement_policy lru 2017/04/16 15:45:10| Obrada: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Obrada: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Obrada: maksimalna_veličina_objekta 4 MB 2017/04/16 15:45:10| Obrada: cache_swap_low 85 2017/04/16 15:45:10| Obrada: cache_swap_high 90 2017/04/16 15:45:10| Obrada: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Obrada: visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Inicijalizacija https proxy konteksta

Prilagođavamo dozvole u / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Izrađujemo direktorij predmemorije

# Za svaki slučaj ... [root @ linuxbox ~] # zaustavljanje lignje usluge
Preusmjeravanje na / bin / systemctl stop squid.service

[root @ linuxbox ~] # lignje -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Postavite Current Directory na / var / spool / squid 2017/04/16 15:48:28 kid1 | Stvaranje direktorija swap-a koji nedostaju 2017/04/16 15:48:28 kid1 | / var / spool / lignje postoji 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Izrada direktorija u / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Izrada direktorija u / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Izrada direktorija u / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Izrada direktorija u / var / spool / squid / 0F

U ovom trenutku, ako vam treba neko vrijeme za vraćanje naredbenog retka - koji mi nikada nije vraćen - pritisnite Enter.

[root @ linuxbox ~] # pokretanje lignje usluge
[root @ linuxbox ~] # ponovno pokretanje lignje usluge
[root @ linuxbox ~] # status lignje usluge
Preusmjeravanje na / bin / systemctl status squid.service ● squid.service - Proxy za predmemoriranje lignji Učitana: učitana (/usr/lib/systemd/system/squid.service; onemogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivan: aktivan (pokrenut) od dom 2017-04-16 15:57:27 EDT; Prije 1s Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = izašao, status = 0 / USPJEH) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Glavni PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16. travnja 15:57:27 linuxbox systemd [1]: Pokretanje proxyja za predmemoriranje lignji ... 16. travnja 15:57:27 linuxbox systemd [1]: Pokrenut proxy za predmemoriranje lignji. 16. travnja 15:57:27 linuxbox lignje [2876]: Squid Parent: započet će 1 djeca 16. travnja 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed 16. travnja 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Savjet: Neke su crte elipsirane, koristite -l za prikaz u cijelosti

[root @ linuxbox ~] # cat / var / log / messages | grep lignje

Ispravci vatrozida

Također moramo otvoriti u zoni «vanjski"luke 80HTTP y 443 HTTPS kako bi Lignje mogle komunicirati s Internetom.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp - permanent
uspjeh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp - permanent
uspjeh
[root @ linuxbox ~] # firewall-cmd --reload
uspjeh
[root @ linuxbox ~] # firewall-cmd --info-zone external
vanjski (aktivni) cilj: zadana inverzija icmp-bloka: nema sučelja: ens34 izvori: usluge: dns portovi: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoli: masquerade: yes forward-ports: sourceports: icmp-blocks: problem-parametar preusmjeravanje usmjerivača-reklama usmjerivač-traženje izvora-gašenje bogata pravila:

• Nije besposleno ići u grafičku aplikaciju «Postavke vatrozida»I provjerite jesu li luke 443 tcp, 80 tcp, 53 tcp i 53 udp otvorene za zonu«vanjski«, I da NISMO objavili nijednu uslugu za nju.

Napomena o pomoćnom programu basic_pam_auth

Ako konzultiramo priručnik ovog uslužnog programa putem čovjek basic_pam_auth Pročitat ćemo da sam autor daje snažnu preporuku da se program premjesti u direktorij u kojem normalni korisnici nemaju dovoljno dozvola za pristup alatu.

S druge strane, poznato je da s ovom shemom autorizacije vjerodajnice putuju u običnom tekstu i nije sigurno za neprijateljska okruženja, čitajte otvorene mreže.

jeff yestrumskas posveti članak «Upute: Postavljanje sigurnog web proxyja pomoću SSL enkripcije, Squid Caching Proxyja i PAM autentifikacije»Na pitanje povećanja sigurnosti s ovom shemom provjere autentičnosti kako bi se mogla koristiti u potencijalno neprijateljskim otvorenim mrežama.

Instaliramo httpd

Kao način provjere rada Squid -a i slučajno Dnsmasq-a, instalirat ćemo uslugu httpd -Apache web poslužitelj- što nije potrebno učiniti. U datoteci u odnosu na Dnsmasq / etc / banner_add_hosts Proglašavamo web lokacije za koje želimo da budu zabranjene i izričito dodjeljujemo istu IP adresu koju ima linux kutija. Stoga, ako zatražimo pristup bilo kojoj od ovih web stranica, početna stranica httpd.

[root @ linuxbox ~] # yum instaliraj httpd [root @ linuxbox ~] # systemctl omogući httpd
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/httpd.service do /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Apache HTTP poslužitelj učitan: učitan (/usr/lib/systemd/system/httpd.service; omogućen; tvornička postavka: onemogućeno) Aktivan: aktivan (pokrenut) od 2017. U 04:16: 16 EDT; Prije 41s Dokumenti: man: httpd (35) man: apachectl (5) Glavni PID: 8 (httpd) Status: "Obrada zahtjeva ..." CGroup: /system.slice/httpd.service ├─8 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND └─2278 / usr / sbin / httpd -DFOREGROUND 2279. travnja 2280:16:16 linuxbox systemd [41]: Pokretanje Apache HTTP poslužitelja ... 35. travnja 1:16:16 linuxbox systemd [41]: Pokrenuo je Apache HTTP poslužitelj.

SELinux i Apache

Apache ima nekoliko pravila za konfiguriranje unutar SELinux konteksta.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect network off_zabbix_> offwork_connectb_bwork_conneb_workwork httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs offhomed_server_enable -> httpd_enablem offd_server_enablecgi off -> httpd_enablem offd_server_enable> httpd_graceful_shutdown -> na httpd_manage_ipa -> isključeno httpd_mod_auth_ntlm_winbind -> isključeno httpd_mod_auth_pam -> isključeno httpd_read_user_content -> isključeno httpd_run_ipa -> isključeno httpd_run_preupgrade -> off httpd_runcift_ off offftruncoft_ off offdrunft httpd_ssi_exec -> isključeno httpd_sys_script_anon_write -> isključeno httpd_tmp_exec -> isključeno httpd_tty_comm - > isključeno httpd_unified -> isključeno httpd_use_cifs -> isključeno httpd_use_fusefs -> isključeno httpd_use_gpg -> isključeno httpd_use_nfs -> isključeno httpd_use_openstack -> isključeno httpd_use_sasl -> isključeno httpd_verify_dns -> isključeno

Konfigurirat ćemo samo sljedeće:

Pošaljite e-poštu putem Apachea

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Dopustite Apacheu da čita sadržaje koji se nalaze u kućnim direktorijima lokalnih korisnika

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Dopustite administriranje putem FTP-a ili FTPS-a bilo kojem direktoriju kojim upravlja
Apache ili dopustite Apacheu da funkcionira kao FTP poslužitelj koji preslušava zahtjeve putem FTP porta

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Za više informacija pročitajte Konfiguracija Linux poslužitelja.

Provjeravamo autentifikaciju

Preostaje samo otvoriti preglednik na radnoj stanici i usmjeriti, na primjer, na http://windowsupdate.com. Provjerit ćemo je li zahtjev ispravno preusmjeren na početnu stranicu Apachea u linuxboxu. U stvari, bilo koje ime web mjesta navedeno u datoteci / etc / banner_add_hosts bit ćete preusmjereni na istu stranicu.

Slike na kraju članka to dokazuju.

Upravljanje korisnicima

To radimo pomoću grafičkog alata «Upute za upravljanje»Kojoj pristupamo putem izbornika Sustav -> Administracija -> Upravljanje korisnicima. Svaki put kad dodamo novog korisnika, kreira se njegova mapa / home / user automatski.

Sigurnosne kopije

Klijenti Linuxa

Potreban vam je samo uobičajeni preglednik datoteka i naznačite da se želite povezati, na primjer: ssh: // buzz @ linuxbox / home / buzz i nakon unosa lozinke, prikazat će se direktorij dom korisnika zujati.

Klijenti sustava Windows

U klijentima sustava Windows koristimo alat WinSCP. Jednom instaliran, koristimo ga na sljedeći način:

Jednostavno, zar ne?

Rezime

Vidjeli smo da je moguće koristiti PAM za provjeru autentičnosti usluga u maloj mreži i u kontroliranom okruženju potpuno izoliranom od ruku hakeri. To je uglavnom zbog činjenice da vjerodajnice za provjeru autentičnosti putuju u običnom tekstu i stoga nije shema provjere autentičnosti koja se koristi u otvorenim mrežama kao što su zračne luke, Wi-Fi mreže itd. Međutim, to je jednostavan mehanizam autorizacije, jednostavan za primjenu i konfiguriranje.

Konsultirani izvori

• Konfiguracija Linux poslužitelja
• Priručnici za naredbe - man stranice

PDF verzija

Preuzmite PDF verziju ovdje.

Do sljedećeg članka!