Otentikasi Squid + PAM di CentOS 7- Jaringan SMB

Indeks umum seri: Jaringan Komputer untuk UKM: Pendahuluan

Halo teman dan teman!

Judul artikel seharusnya: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid dengan PAM Authentication di Centos 7 - Jaringan UKM«. Untuk alasan praktis kami mempersingkatnya.

Kami melanjutkan otentikasi ke pengguna lokal di komputer Linux menggunakan PAM, dan kali ini kami akan melihat bagaimana kami dapat menyediakan layanan Proxy dengan Squid untuk jaringan kecil komputer, dengan menggunakan kredensial otentikasi yang disimpan di komputer yang sama di mana server sedang berlari Cumi-cumi.

Meskipun kami tahu bahwa ini adalah praktik yang sangat umum saat ini, untuk mengotentikasi layanan terhadap OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, dll., Kami menganggap bahwa pertama-tama kami harus melalui solusi yang sederhana dan murah, dan kemudian menghadapi yang paling kompleks satu. Kami percaya bahwa kami harus pergi dari yang sederhana ke yang kompleks.

Tahap

Ini adalah organisasi kecil -dengan sumber keuangan yang sangat sedikit- didedikasikan untuk mendukung penggunaan Perangkat Lunak Bebas dan yang memilih nama DesdeLinux.Kipas. Mereka adalah Penggemar OS yang beragam CentOS dikelompokkan dalam satu kantor. Mereka membeli workstation - bukan server profesional - yang akan mereka dedikasikan untuk berfungsi sebagai "server".

Penggemar tidak memiliki pengetahuan luas tentang cara mengimplementasikan server OpenLDAP atau Samba 4 AD-DC, mereka juga tidak mampu melisensikan Microsoft Active Directory. Namun, mereka membutuhkan layanan akses Internet melalui Proxy untuk pekerjaan sehari-hari mereka - untuk mempercepat penjelajahan - dan ruang untuk menyimpan dokumen paling berharga mereka dan bekerja sebagai salinan cadangan.

Mereka kebanyakan masih menggunakan sistem operasi Microsoft yang diperoleh secara legal, tetapi ingin mengubahnya menjadi Sistem Operasi berbasis Linux, dimulai dengan "Server" mereka.

Mereka juga bercita-cita untuk memiliki server email sendiri agar mandiri - setidaknya dari asalnya - layanan seperti Gmail, Yahoo, HotMail, dll., Yang saat ini mereka gunakan.

Firewall dan Aturan Perutean di depan Internet akan menetapkannya di Router ADSL yang dikontrak.

Mereka tidak memiliki nama domain yang sebenarnya karena mereka tidak perlu mempublikasikan layanan apapun di Internet.

CentOS 7 sebagai server tanpa GUI

Kami memulai dari instalasi baru server tanpa antarmuka grafis, dan satu-satunya pilihan yang kami pilih selama proses ini adalah «Server Infrastruktur»Seperti yang kita lihat di artikel sebelumnya di seri ini.

Pengaturan awal

[root @ linuxbox ~] # cat / etc / hostname 
kotak linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # nama host
kotak linux

[root @ linuxbox ~] # nama host -f
linuxbox.desdelinux.penggemar

[root @ linuxbox ~] # ip addr list
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 itu

Kami menonaktifkan Manajer Jaringan

[root @ linuxbox ~] # systemctl hentikan NetworkManager

[root @ linuxbox ~] # systemctl nonaktifkan NetworkManager

[root @ linuxbox ~] # status systemctl NetworkManager
● NetworkManager.service - Network Manager Loaded: dimuat (/usr/lib/systemd/system/NetworkManager.service; dinonaktifkan; preset vendor: diaktifkan) Aktif: tidak aktif (mati) Docs: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Kami mengkonfigurasi antarmuka jaringan

Antarmuka Ens32 LAN terhubung ke Jaringan Internal

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.kipas DNS1=127.0.0.1
ZONE = publik

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 antarmuka WAN terhubung ke Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Router ADSL terhubung ke # antarmuka ini dengan # alamat berikut IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.kipas DNS1=127.0.0.1
ZONA = eksternal

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfigurasi repositori

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir asli
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum bersihkan semua
Plugin dimuat: tercepatmirror, langpacks Membersihkan repositori: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Membersihkan semuanya Membersihkan daftar mirror tercepat

[root @ linuxbox yum.repos.d] # pembaruan yum
Plugin yang Dimuat: fastmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Pembaruan-Repo | 3.4 kB 00:00 (1/9): Repo-Basis / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Pembaruan-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Repo-Basis / db_ primer | 5.6 MB 00:01 Menentukan mirror tercepat Tidak ada paket yang ditandai untuk pembaruan

Pesan "Tidak ada paket yang ditandai untuk pembaruan»Ditampilkan karena selama instalasi kami menyatakan repositori lokal yang sama dengan yang kami miliki.

Centos 7 dengan lingkungan desktop MATE

Untuk menggunakan alat administrasi yang sangat baik dengan antarmuka grafis yang disediakan oleh CentOS / Red Hat, dan karena kami selalu melewatkan GNOME2, kami memutuskan untuk menginstal MATE sebagai lingkungan desktop.

[root @ linuxbox ~] # yum groupinstall "sistem X Window"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Untuk memeriksa apakah MATE dimuat dengan benar, kami menjalankan perintah berikut di konsol -local atau remote-:

[root @ linuxbox ~] # systemctl isolate graphical.target

dan lingkungan desktop harus dimuat -di tim lokal- dengan lancar, menunjukkan lightdm sebagai login grafis. Kami mengetik nama pengguna lokal dan kata sandinya, dan kami akan memasukkan MATE.

Untuk memberitahu systemd bahwa tingkat boot default adalah 5 -lingkungan grafis- kami membuat tautan simbolik berikut:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Kami me-reboot sistem dan semuanya berfungsi dengan baik.

Kami menginstal Layanan Waktu untuk Jaringan

[root @ linuxbox ~] # yum install ntp

Selama instalasi, kami mengkonfigurasi bahwa jam lokal akan disinkronkan dengan server waktu komputer administrator sistem.desdelinux.penggemar dengan IP 192.168.10.1. Jadi, kami menyimpan file tersebut ntp.conf asli oleh:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Sekarang, kami membuat yang baru dengan konten berikut:

[root @ linuxbox ~] # nano /etc/ntp.conf # Server dikonfigurasi selama instalasi: server 192.168.10.1 iburst # Untuk informasi lebih lanjut, lihat halaman manual: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Izinkan sinkronisasi dengan sumber waktu, tetapi tidak # izinkan sumber untuk berkonsultasi atau memodifikasi layanan ini batasi default nomodify notrap nopeer noquery # Izinkan semua akses ke antarmuka Loopback membatasi 127.0.0.1 membatasi :: 1 # Batasi sedikit untuk komputer di jaringan lokal. batasi 192.168.10.0 mask 255.255.255.0 nomodify notrap # Gunakan proyek server publik pool.ntp.org # Jika Anda ingin bergabung dengan proyek kunjungi # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # server siaran broadcastclient # klien siaran #broadcast 224.0.1.1 autokey # server multicast #multicastclient 224.0.1.1 # klien multicast #manycastserver 239.255.254.254 # server manycast #manycastclient 239.255.254.254 siaran otomatis 192.168.10.255 klien siaran 4 # Aktifkan kriptografi publik. #crypto includefile / etc / ntp / crypto / pw # File kunci yang berisi kunci dan pengenal kunci # digunakan saat beroperasi dengan kunci kriptografi kunci simetris / etc / ntp / keys # Tentukan pengenal kunci terpercaya. #trustedkey 8 42 8 # Tentukan pengenal kunci yang akan digunakan dengan utilitas ntpdc. #requestkey 8 # Tentukan pengenal kunci yang akan digunakan dengan utilitas ntpq. #controlkey 2013 # Mengaktifkan penulisan register statistik. #statistics clockstats cryptostats loopstats peerstats # Nonaktifkan monitor pemisahan diri untuk mencegah penguatan # serangan menggunakan perintah ntpdc monlist, jika batasan # default tidak menyertakan flag noquery. Baca CVE-5211-XNUMX # untuk lebih jelasnya. # Catatan: Monitor tidak dinonaktifkan dengan flag pembatasan terbatas. nonaktifkan monitor

Kami mengaktifkan, memulai dan memeriksa layanan NTP

[root @ linuxbox ~] # status systemctl ntpd
● ntpd.service - Layanan Waktu Jaringan Dimuat: dimuat (/usr/lib/systemd/system/ntpd.service; dinonaktifkan; preset vendor: dinonaktifkan) Aktif: tidak aktif (mati)

[root @ linuxbox ~] # systemctl aktifkan ntpd
Membuat symlink dari /etc/systemd/system/multi-user.target.wants/ntpd.service ke /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl mulai ntpd
[root @ linuxbox ~] # status systemctl ntpd

[root @ linuxbox ~] # status systemctl ntpd
● ntpd.service - Layanan Waktu Jaringan
   Dimuat: dimuat (/usr/lib/systemd/system/ntpd.service; diaktifkan; preset vendor: nonaktif) Aktif: aktif (berjalan) sejak Jum 2017-04-14 15:51:08 EDT; 1 detik lalu Proses: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kode = keluar, status = 0 / SUKSES) PID utama: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp dan Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
luar
  antarmuka: ens34
publik
  antarmuka: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --muat ulang
sukses

Kami mengaktifkan dan mengkonfigurasi Dnsmasq

Seperti yang kita lihat di artikel sebelumnya di seri SMB Networks, Dnsamasq diinstal secara default di CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # status systemctl dnsmasq
● dnsmasq.service - Server penyimpanan tembolok DNS. Dimuat: dimuat (/usr/lib/systemd/system/dnsmasq.service; dinonaktifkan; preset vendor: dinonaktifkan) Aktif: tidak aktif (mati)

[root @ linuxbox ~] # systemctl aktifkan dnsmasq
Membuat symlink dari /etc/systemd/system/multi-user.target.wants/dnsmasq.service ke /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl mulai dnsmasq
[root @ linuxbox ~] # status systemctl dnsmasq
● dnsmasq.service - Server penyimpanan tembolok DNS. Dimuat: dimuat (/usr/lib/systemd/system/dnsmasq.service; diaktifkan; preset vendor: nonaktif) Aktif: aktif (berjalan) sejak Jum 2017-04-14 16:21:18 EDT; 4 dtk lalu PID utama: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # PILIHAN UMUM # ----------------------------- -------------------------------------- dibutuhkan domain # Jangan berikan nama tanpa domain bagian bogus-priv # Jangan berikan alamat di ruang yang tidak dirutekan expand-hosts # Secara otomatis menambahkan domain ke host interface=ens32 # Antarmuka LAN strict-order # Urutan di mana file /etc/resolv.conf ditanyakan conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # Alamat nama domain=/time.windows.com/192.168.10.5 # Mengirim opsi kosong nilai WPAD. Diperlukan agar # klien Windows 7 dan yang lebih baru dapat berperilaku baik. ;-) dhcp-option=252,"\n" # File dimana kita akan mendeklarasikan HOSTS yang akan "banned" addn-hosts=/etc/banner_add_hosts local=/desdelinux.penggemar/ # ---------------------------------------------- --------------------- #REKAMSCNAMEMXTXT # -------------------------- ----------------------------------------- # Jenis catatan ini memerlukan entri # di file /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Mengembalikan data MX dengan nama "desdelinux.fan" ditujukan # ke tim email.desdelinux.fan dan prioritas 10 mx-host=desdelinux.surat penggemar.desdelinux.fan,10 # Tujuan default untuk data MX yang dibuat # menggunakan opsi localmx adalah: mx-target=mail.desdelinux.fan # Mengembalikan data MX yang mengarah ke mx-target untuk SEMUA # mesin lokal localmx # data TXT. Kami juga dapat mendeklarasikan data SPF txt-record=desdelinux.fan,"v=spf1 dan -semua" txt-record=desdelinux.penggemar,"DesdeLinux, Blog Anda didedikasikan untuk Perangkat Lunak Gratis" # ----------------------------------------- -------------------------- #RANGEANDITSOPTIONS # --------------------- ----- ----------------------------- # IPv4 rentang dan waktu sewa # 1 hingga 29 adalah untuk Server dan kebutuhan lainnya dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Jumlah alamat maksimum yang akan disewa # secara default adalah 150 # Rentang IPV6 # dhcp-range=1234::, ra-only # Opsi untuk RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # Server DNS dhcp-option =15,desdelinux.fan # Nama Domain DNS dhcp-option=19,1 # opsi ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative di subnet # --- --- ----------------------------------------------- --- ----------- # Jika Anda ingin menyimpan query log in /var/log/messages # batalkan komentar pada baris di bawah ini # ---------- ------- ------------------------------------------- -------
# kueri-log
# AKHIR file /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Kami membuat file / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Alamat IP tetap

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Kami mengkonfigurasi file /etc/resolv.conf - penyelesai

[root @ linuxbox ~] # nano /etc/resolv.conf
Cari desdelinux.fan nameserver 127.0.0.1 # Untuk kueri DNS eksternal atau # non-domain desdelinux.penggemar # lokal=/desdelinux.fan/ server nama 8.8.8.8

Kami memeriksa sintaks file dnsmasq.conf, kami memulai dan memeriksa status layanan

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: pemeriksaan sintaks OK.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # status systemctl dnsmasq

Dnsmasq dan Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
luar
  antarmuka: ens34
publik
  antarmuka: ens32

layanan domain o Server Nama Domain (dns). Protokol swipe «IP dengan Enkripsi«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
sukses

Kueri dnsmasq ke server DNS eksternal

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
sukses

layanan sepatu bot o Server BOOTP (dhcp). Protokol ippc «Inti Paket Pluribus Internet«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
sukses

[root @ linuxbox ~] # firewall-cmd --muat ulang
sukses

[root @ linuxbox ~] # firewall-cmd --info-zone public public (aktif)
  target: default icmp-block-inversion: tanpa antarmuka: ens32 sumber: layanan: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocols: masquerade: no forward-ports: sourceports: icmp -blocks: rich rules:

[root @ linuxbox ~] # firewall-cmd --info-zone eksternal eksternal (aktif)
  target: default icmp-block-inversion: tidak ada antarmuka: ens34 sumber: layanan: port dns: 53 / udp 53 / tcp protokol: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router- aturan kaya sumber permintaan yang memuaskan:

Jika kita ingin menggunakan antarmuka grafis untuk mengkonfigurasi Firewall di CentOS 7, kita lihat di menu umum - itu akan tergantung pada lingkungan desktop di mana submenu itu muncul - aplikasi «Firewall», kita menjalankannya dan setelah memasukkan pengguna kata sandi akar, kami akan mengakses antarmuka program seperti itu. Di MATE ini muncul di menu «Sistem »->" Administrasi "->" Firewall ".

Kami memilih Area «publik»Dan kami mengesahkan Layanan yang ingin kami publikasikan di LAN, yang hingga sekarang ada dhcp, dns, ntp dan ssh. Setelah memilih layanan, memverifikasi bahwa semuanya berfungsi dengan benar, kita harus membuat perubahan dalam Runtime ke Permanent. Untuk melakukan ini kita pergi ke menu Opsi dan pilih opsi «Jalankan waktu untuk permanen".

Nanti kita pilih Area «luar»Dan kami memeriksa bahwa Port yang diperlukan untuk berkomunikasi dengan Internet terbuka. JANGAN mempublikasikan Layanan di Zona ini kecuali kita tahu betul apa yang kita lakukan!.

Jangan lupa untuk membuat perubahan Permanen melalui opsi «Jalankan waktu untuk permanen»Dan muat ulang iblis itu FirewallD, setiap kali kami menggunakan alat grafis canggih ini.

NTP dan Dnsmasq dari klien Windows 7

Sinkronisasi dengan NTP

luar

Alamat IP yang disewakan

Microsoft Windows [Versi 6.1.7601] Hak Cipta (c) 2009 Microsoft Corporation. Seluruh hak cipta. C: \ Users \ buzz> ipconfig / all Nama Host Konfigurasi IP Windows. . . . . . . . . . . . : TUJUH
   Akhiran Dns Utama. . . . . . . :
   Tipe Node. . . . . . . . . . . . : Perutean IP Hibrid Diaktifkan. . . . . . . . : Tidak Ada Proksi WINS yang Diaktifkan. . . . . . . . : Tidak Ada Daftar Pencarian Akhiran DNS. . . . . . : desdelinux.fan Ethernet adapter Koneksi Area Lokal: Akhiran DNS khusus koneksi. : desdelinuxDeskripsi .fan. . . . . . . . . . . : Alamat Fisik Koneksi Jaringan Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP Diaktifkan. . . . . . . . . . . : Ya Konfigurasi Otomatis Diaktifkan. . . . : Garpu
   Alamat IPv4. . . . . . . . . . . : 192.168.10.115 (Pilihan)
   Subnetmask . . . . . . . . . . . : 255.255.255.0 Sewa yang Diperoleh. . . . . . . . . . : Jumat, 14 April 2017 5:12:53 Sewa Berakhir . . . . . . . . . . : Sabtu, 15 April 2017 1:12:53 Gerbang Default . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 Server DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS melalui Tcpip. . . . . . . . : Diaktifkan Adaptor terowongan Koneksi Area Lokal* 9: Status Media . . . . . . . . . . . : Media terputus Akhiran DNS khusus koneksi. : Keterangan . . . . . . . . . . . : Alamat Fisik Adaptor Tunneling Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Diaktifkan. . . . . . . . . . . : Tidak Ada Konfigurasi Otomatis yang Diaktifkan. . . . : Ya isatap adaptor terowongan.desdelinux.fan: Status Media. . . . . . . . . . . : Media terputus Akhiran DNS khusus koneksi. : desdelinuxDeskripsi .fan. . . . . . . . . . . : Adaptor Microsoft ISATAP #2 Alamat Fisik. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Diaktifkan. . . . . . . . . . . : Tidak Ada Konfigurasi Otomatis yang Diaktifkan. . . . : Ya C:\Pengguna\buzz>

jenis

Nilai penting dalam klien Windows adalah "Akhiran DNS Utama" atau "Akhiran sambungan utama". Jika Pengontrol Domain Microsoft tidak digunakan, sistem operasi tidak memberikan nilai apa pun padanya. Jika kami menghadapi kasus seperti yang dijelaskan di awal artikel dan kami ingin menyatakan nilai itu secara eksplisit, kami harus melanjutkan sesuai dengan apa yang ditunjukkan pada gambar berikut, menerima perubahan dan memulai ulang klien.

Jika kita lari lagi CMD -> ipconfig / all kita akan mendapatkan yang berikut ini:

Microsoft Windows [Versi 6.1.7601] Hak Cipta (c) 2009 Microsoft Corporation. Seluruh hak cipta. C: \ Users \ buzz> ipconfig / all Nama Host Konfigurasi IP Windows. . . . . . . . . . . . : TUJUH
   Akhiran Dns Utama. . . . . . . : desdelinux.penggemar
   Tipe Node. . . . . . . . . . . . : Perutean IP Hibrid Diaktifkan. . . . . . . . : Tidak Ada Proksi WINS yang Diaktifkan. . . . . . . . : Tidak Ada Daftar Pencarian Akhiran DNS. . . . . . : desdelinux.penggemar

Nilai lainnya tetap tidak berubah

Pemeriksaan DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com memiliki alamat 127.0.0.1 Host spynet.microsoft.com tidak ditemukan: 5 (DITOLAK) email spynet.microsoft.com ditangani oleh 1 email.desdelinux.penggemar.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan memiliki alamat linuxbox 192.168.10.5.desdelinux.fan mail ditangani oleh 1 email.desdelinux.penggemar.

buzz @ sysadmin: ~ $ host sysadmin
administrator sistem.desdelinux.fan memiliki alamat sysadmin 192.168.10.1.desdelinux.fan mail ditangani oleh 1 email.desdelinux.penggemar.

buzz @ sysadmin: ~ $ host mail
email.desdelinux.fan adalah alias untuk linuxbox.desdelinux.penggemar. linuxbox.desdelinux.fan memiliki alamat linuxbox 192.168.10.5.desdelinux.fan mail ditangani oleh 1 email.desdelinux.penggemar.

Kami menginstal -untuk pengujian saja- NSD server DNS Resmi administrator sistem.desdelinux.penggemar, dan kami menyertakan alamat IP 172.16.10.1 dalam arsip / Etc / resolv.conf tim linuxbox.desdelinux.penggemar, untuk memverifikasi bahwa Dnsmasq menjalankan fungsi Forwarder dengan benar. Sandbox di server NSD adalah favorit.org y toujague.org. Semua IP fiktif atau dari jaringan pribadi.

Jika kami menonaktifkan antarmuka WAN ens34 menggunakan perintah if down ens34, Dnsmasq tidak akan dapat menanyakan server DNS eksternal.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org tidak ditemukan: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Host pizzapie.favt.org tidak ditemukan: 3 (NXDOMAIN)

Mari aktifkan antarmuka ens34 dan periksa lagi:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org adalah alias untuk paisano.favt.org. paisano.favt.org memiliki alamat 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Host pizzas.toujague.org tidak ditemukan: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org memiliki alamat 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
server nama favt.org ns1.favt.org. server nama favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
server nama toujague.org ns1.toujague.org. server nama toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Email toujague.org ditangani oleh 10 mail.toujague.org.

Mari berkonsultasi dari administrator sistem.desdelinux.penggemar:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
Cari desdelinux.server nama kipas 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org memiliki alamat 169.18.10.19

Dnsmasq bekerja seperti Ekspeditur benar.

Cumi-cumi

Di buku dalam format PDF «Konfigurasi Server Linux»Tanggal 25 Juli 2016, oleh Penulis Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), teks yang telah saya rujuk di artikel sebelumnya, ada satu bab yang didedikasikan untuk Opsi Konfigurasi Dasar Squid.

Karena pentingnya layanan Web - Proxy, kami mereproduksi Pengenalan tentang Squid dalam buku tersebut di atas:

105.1. Pengantar.

105.1.1. Apa itu Server Perantara (Proxy)?

Istilah dalam bahasa Inggris "Proxy" memiliki arti yang sangat umum dan pada saat yang sama ambigu
selalu dianggap sebagai sinonim dari konsep "Perantara". Biasanya diterjemahkan, dalam arti sempit, sebagai melimpahkan o diberdayakan (orang yang memiliki kekuasaan atas yang lain).

Un Server Perantara Ini didefinisikan sebagai komputer atau perangkat yang menawarkan layanan jaringan yang memungkinkan klien untuk membuat koneksi jaringan tidak langsung ke layanan jaringan lainnya. Selama proses, berikut ini terjadi:

• Klien terhubung ke a Server proxy.
• Klien meminta koneksi, file, atau sumber daya lain yang tersedia di server berbeda.
• Server Perantara menyediakan sumber daya dengan menghubungkan ke server yang ditentukan
  atau menyajikannya dari cache.
• Dalam beberapa kasus Server Perantara dapat mengubah permintaan klien atau
  respon server untuk berbagai tujuan.

Los Server Proxy mereka umumnya dibuat untuk bekerja secara bersamaan sebagai dinding api yang beroperasi di Tingkat jaringan, bertindak sebagai filter paket, seperti dalam kasus iptables atau beroperasi di Tingkat Aplikasi, mengendalikan berbagai layanan, seperti halnya Pembungkus TCP. Tergantung pada konteksnya, dinding api juga dikenal sebagai perpanjangan BPD o Burutan Protasi Dperangkat atau hanya filter paket.

Aplikasi umum dari Server Proxy adalah berfungsi sebagai cache konten jaringan (terutama HTTP), menyediakan di sekitar klien cache halaman dan file yang tersedia melalui jaringan pada server HTTP jarak jauh, memungkinkan klien jaringan lokal untuk mengaksesnya dengan lebih cepat dan lebih dapat diandalkan.

Ketika permintaan diterima untuk sumber daya Jaringan tertentu di a URL (Ubentuk kecil Rsumber Lokator) yang Server Perantara cari hasil URL di dalam cache. Jika ditemukan, file Server Perantara Tanggapi pelanggan dengan segera menyediakan konten yang diminta. Jika konten yang diminta tidak ada di cache, file Server Perantara itu akan mengambilnya dari server jarak jauh, mengirimkannya ke klien yang memintanya dan menyimpan salinannya di cache. Konten di cache kemudian dihapus melalui algoritme kedaluwarsa sesuai dengan usia, ukuran, dan riwayat tanggapan atas permintaan (hits) (contoh: LRU, LFUDA y GDSF).

Server Proksi untuk konten Jaringan (Proksi Web) juga dapat bertindak sebagai filter dari konten yang disajikan, dengan menerapkan kebijakan sensor sesuai dengan kriteria sewenang-wenang..

Versi Squid yang akan kita install adalah 3.5.20-2.el7_3.2 dari repositori update.

Instalasi

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  cumi.conf
cachemgr.conf.default mime.conf              cumi.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl mengaktifkan squid

Penting

• Tujuan utama artikel ini adalah untuk memberi otorisasi kepada pengguna lokal untuk terhubung dengan Squid dari komputer lain yang terhubung ke LAN. Selain itu, terapkan inti server tempat layanan lain akan ditambahkan. Ini bukan artikel yang didedikasikan untuk Squid seperti itu.
• Untuk mendapatkan gambaran tentang opsi konfigurasi Squid, baca file /usr/share/doc/squid-3.5.20/squid.conf.documented, yang memiliki 7915 baris.

SELinux dan Squid

[root @ linuxbox ~] # getsebool -a | grep cumi
squid_connect_any -> di squid_use_tproxy -> mati

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

konfigurasi

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Port Safe_ports 80 # http acl Port Safe_ports 21 # ftp acl Port Safe_ports 443 # https acl Port Safe_ports 70 # gopher acl Port Safe_ports 210 # wais acl Port Safe_ports 1025-65535 # port tidak terdaftar acl Port Safe_ports 280 # http-mgmt acl Port Safe_ports 488 # gss-http acl Safe_ports port 591 # pembuat file acl Safe_ports port 777 # multiling http acl metode CONNECT CONNECT # Kami menolak permintaan untuk port tidak aman http_access deny! Safe_ports # Kami menolak metode CONNECT untuk port tidak aman http_access deny CONNECT! SSL_ports # Akses ke Cache manager hanya dari localhost http_access izinkan manajer localhost http_access deny manager # Kami sangat menyarankan hal berikut ini tidak diberi komentar untuk melindungi # aplikasi web yang tidak bersalah yang berjalan di server proxy yang menganggap satu-satunya # yang dapat mengakses layanan di "localhost" adalah pengguna lokal http_access deny to_localhost # # MASUKKAN ATURAN ANDA SENDIRI DI SINI UNTUK MENGIZINKAN AKSES DARI KLIEN ANDA # # Otorisasi PAM
program dasar auth_param / usr / lib64 / squid / basic_pam_auth
auth_param anak dasar 5 ranah dasar auth_param desdelinux.fan auth_param kredensial dasarttl 2 jam auth_param basic casesensitive off # Akses Squid memerlukan otentikasi acl Penggemar proxy_auth DIPERLUKAN # Kami mengizinkan akses ke pengguna yang diautentikasi # melalui PAM http_access reject !Penggemar # Akses ke situs FTP acl ftp proto FTP http_access izinkan ftp http_access izinkan localnet http_access izinkan localhost # Kami menolak akses lain ke proxy http_access tolak semua # Squid biasanya mendengarkan pada port 3128 http_port 3128 # Kami meninggalkan "coredumps" di direktori cache pertama coredump_dir /var/spool/squid # # Tambahkan refresh_pattern Anda sendiri entri di atas ini. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memori Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maksimum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # Parameter lain terlihat_nama host linuxbox.desdelinux.penggemar

Kami memeriksa sintaks file /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15:45:10| Startup: Menginisialisasi Skema Otentikasi... 2017/04/16 15:45:10| Startup: Skema Otentikasi yang Diinisialisasi 'dasar' 2017/04/16 15:45:10| Startup: Skema Otentikasi yang Diinisialisasi 'intisari' 2017/04/16 15:45:10| Startup: Skema Otentikasi yang Diinisialisasi 'bernegosiasi' 2017/04/16 15:45:10| Startup: Skema Otentikasi yang Diinisialisasi 'ntlm' 2017/04/16 15:45:10| Startup: Otentikasi yang Diinisialisasi. 2017/04/16 15:45:10| Memproses File Konfigurasi: /etc/squid/squid.conf (kedalaman 0) 2017/04/16 15:45:10| Pemrosesan: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Memproses: acl SSL_ports port 443 21 2017/04/16 15:45:10| Memproses: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Memproses: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Memproses: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Memproses: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Memproses: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Memproses: acl Safe_ports port 1025-65535 # port tidak terdaftar 2017/04/16 15:45:10| Memproses: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Memproses: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Memproses: acl Safe_ports port 591 # pembuat file 2017/04/16 15:45:10| Memproses: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Pemrosesan: acl Metode CONNECT CONNECT 2017/04/16 15:45:10| Memproses: http_access menolak !Safe_ports 2017/04/16 15:45:10| Memproses: http_access menolak CONNECT !SSL_ports 2017/04/16 15:45:10| Memproses: http_access izinkan manajer localhost 2017/04/16 15:45:10| Memproses: http_access menolak manajer 2017/04/16 15:45:10| Memproses: http_access menolak to_localhost 2017/04/16 15:45:10| Pemrosesan: program dasar auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Pemrosesan: auth_param anak dasar 5 2017/04/16 15:45:10| Pemrosesan: ranah dasar auth_param desdelinux.fan 2017/04/16 15:45:10| Memproses: kredensial dasar auth_paramttl 2 jam 2017/04/16 15:45:10| Memproses: auth_param peka huruf besar/kecil dasar tidak aktif 2017/04/16 15:45:10| Memproses: acl Penggemar proxy_auth DIPERLUKAN 2017/04/16 15:45:10| Memproses: http_access reject !Penggemar 2017/04/16 15:45:10| Memproses: acl ftp proto FTP 2017/04/16 15:45:10| Memproses: http_access izinkan ftp 2017/04/16 15:45:10| Memproses: http_access izinkan localnet 2017/04/16 15:45:10| Memproses: http_access izinkan localhost 2017/04/16 15:45:10| Memproses: http_access tolak semua 2017/04/16 15:45:10| Pemrosesan: http_port 3128 2017/04/16 15:45:10| Memproses: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Memproses: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Memproses: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Memproses: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Pemrosesan: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Memproses: cache_mem 64 MB 2017/04/16 15:45:10 | Memproses: memory_replacement_policy lru 2017/04/16 15:45:10| Memproses: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Memproses: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Pemrosesan: ukuran_objek_maksimum 4 MB 2017/04/16 15:45:10| Memproses: cache_swap_low 85 2017/04/16 15:45:10| Memproses: cache_swap_high 90 2017/04/16 15:45:10| Pemrosesan: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Pemrosesan: terlihat_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Menginisialisasi konteks proksi https

Kami menyesuaikan izin di / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Kami membuat direktori cache

# Untuk berjaga-jaga ... [root @ linuxbox ~] # layanan squid berhenti
Mengalihkan ke / bin / systemctl menghentikan squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Setel Direktori Saat Ini ke / var / spool / squid 2017/04/16 15:48:28 kid1 | Membuat direktori swap yang hilang 2017/04/16 15:48:28 kid1 | / var / spool / squid ada 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Membuat direktori di / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Membuat direktori di / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Membuat direktori di / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Membuat direktori di / var / spool / squid / 0F

Pada titik ini, jika perlu beberapa saat untuk mengembalikan prompt perintah - yang tidak pernah dikembalikan kepada saya - tekan Enter.

[root @ linuxbox ~] # layanan squid mulai
[root @ linuxbox ~] # layanan restart squid
[root @ linuxbox ~] # status layanan squid
Mengalihkan ke / bin / systemctl status squid.service ● squid.service - Proksi cache squid Dimuat: dimuat (/usr/lib/systemd/system/squid.service; dinonaktifkan; preset vendor: dinonaktifkan) Aktif: aktif (berjalan) sejak dom 2017-04-16 15:57:27 EDT; 1 detik yang lalu Proses: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (kode = keluar, status = 0 / SUKSES) Proses: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (kode = keluar, status = 0 / SUKSES) Proses: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kode = keluar, status = 0 / SUKSES) PID utama: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 Apr 15:57:27 linuxbox systemd [1]: Memulai proxy cache Squid ... 16 Apr 15:57:27 linuxbox systemd [1]: Memulai proxy caching Squid. Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: akan mulai 1 anak Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed Apr 16 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Petunjuk: Beberapa baris telah berbentuk elips, gunakan -l untuk menampilkan secara lengkap

[root @ linuxbox ~] # cat / var / log / messages | grep cumi

Perbaikan Firewall

Kita juga harus membuka di Zona «luar"pelabuhan 80HTTP y 443 HTTPS sehingga Squid dapat berkomunikasi dengan Internet.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
sukses
[root @ linuxbox ~] # firewall-cmd --muat ulang
sukses
[root @ linuxbox ~] # firewall-cmd --info-zone eksternal
eksternal (aktif) target: default icmp-block-inversion: tidak ada antarmuka: ens34 sumber: layanan: port dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokol: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router-solicitation source-quench rich rules:

• Tidaklah menganggur untuk pergi ke aplikasi grafik «Pengaturan firewall»Dan periksa apakah port 443 tcp, 80 tcp, 53 tcp, dan 53 udp terbuka untuk zona tersebut«luar“, Dan kami BELUM menerbitkan layanan apa pun untuknya.

Catatan tentang program pembantu basic_pam_auth

Jika kita berkonsultasi dengan manual utilitas ini melalui man basic_pam_auth Kita akan membaca bahwa penulis sendiri membuat rekomendasi kuat agar program dipindahkan ke direktori di mana pengguna biasa tidak memiliki izin yang memadai untuk mengakses alat tersebut.

Di sisi lain, diketahui bahwa dengan skema otorisasi ini, kredensial berjalan dalam teks biasa dan tidak aman untuk lingkungan yang tidak bersahabat, baca jaringan terbuka.

jeff yestrumskas dedikasikan artikelnya «How-to: Siapkan proxy web yang aman menggunakan enkripsi SSL, Squid Caching Proxy dan otentikasi PAM»Untuk masalah peningkatan keamanan dengan skema otentikasi sehingga dapat digunakan dalam jaringan terbuka yang berpotensi bermusuhan.

Kami menginstal httpd

Sebagai cara untuk memeriksa pengoperasian Squid -dan kebetulan Dnsmasq- kami akan menginstal layanan httpd -Apache web server- yang tidak perlu dilakukan. Dalam file tersebut relatif terhadap Dnsmasq / etc / banner_add_hosts Kami menyatakan situs yang ingin kami banned, dan kami secara eksplisit menetapkan alamat IP yang sama dengan yang dimilikinya kotak linux. Jadi, jika kami meminta akses ke salah satu situs ini, beranda httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl aktifkan httpd
Membuat symlink dari /etc/systemd/system/multi-user.target.wants/httpd.service ke /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl mulai httpd

[root @ linuxbox ~] # status systemctl httpd
● httpd.service - Server HTTP Apache Dimuat: dimuat (/usr/lib/systemd/system/httpd.service; diaktifkan; preset vendor: dinonaktifkan) Aktif: aktif (berjalan) sejak Sun 2017-04-16 16:41: 35 EDT; 5 detik yang lalu Dokumen: man: httpd (8) man: apachectl (8) PID Utama: 2275 (httpd) Status: "Memproses permintaan ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / s─bin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 Apr 16:41:35 linuxbox systemd [1]: Memulai Server HTTP Apache ... 16 Apr 16:41:35 linuxbox systemd [1]: Memulai Server HTTP Apache.

SELinux dan Apache

Apache memiliki beberapa kebijakan untuk dikonfigurasi dalam konteks SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> pada httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem off httpd_graceful_shutdown -> pada httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick> matikan httpd_runco ​​offlimift offlimift_runco_stick> matikan httpd_ssi_exec -> matikan httpd_sys_script_anon_write -> matikan httpd_tmp_exec -> matikan httpd_tty_comm - > matikan httpd_unified -> matikan httpd_use_cifs -> matikan httpd_use_fusefs -> matikan httpd_use_gpg -> matikan httpd_use_nfs -> matikan httpd_use_openstack -> matikan httpd_use_sasl -> matikan httpd_verify_dns -> matikan

Kami hanya akan mengonfigurasi berikut ini:

Kirim email melalui Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Izinkan Apache untuk membaca konten yang terletak di direktori home pengguna lokal

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Izinkan untuk mengelola melalui FTP atau FTPS direktori apa pun yang dikelola oleh
Apache atau izinkan Apache berfungsi sebagai server FTP yang mendengarkan permintaan melalui port FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Untuk informasi lebih lanjut, silahkan baca Konfigurasi Server Linux.

Kami memeriksa Otentikasi

Hanya tetap membuka browser di workstation dan mengarahkan, misalnya, ke http://windowsupdate.com. Kami akan memverifikasi bahwa permintaan tersebut diarahkan dengan benar ke halaman muka Apache di linuxbox. Faktanya, nama situs apa pun dinyatakan dalam file / etc / banner_add_hosts Anda akan diarahkan ke halaman yang sama.

Gambar-gambar di akhir artikel membuktikannya.

Manajemen Pengguna

Kami melakukannya dengan menggunakan alat grafis «Manajemen pengguna»Yang kita akses melalui menu System -> Administration -> User management. Setiap kali kami menambahkan pengguna baru, foldernya dibuat / home / user secara otomatis.

backup

Klien Linux

Anda hanya memerlukan browser file biasa dan menunjukkan bahwa Anda ingin terhubung, misalnya: ssh: // buzz @ linuxbox / home / buzz dan setelah memasukkan kata sandi, direktori akan ditampilkan rumah dari pengguna dengungan.

Klien Windows

Di klien Windows, kami menggunakan alat tersebut WinSCP. Setelah terinstal, kami menggunakannya dengan cara berikut:

Sederhana bukan?

ringkasan

Kami telah melihat bahwa dimungkinkan untuk menggunakan PAM untuk mengotentikasi layanan di jaringan kecil dan dalam lingkungan terkontrol yang sepenuhnya terisolasi dari tangan hacker. Hal ini terutama disebabkan oleh fakta bahwa kredensial otentikasi berjalan dalam teks biasa dan oleh karena itu ini bukan skema otentikasi untuk digunakan di jaringan terbuka seperti bandara, jaringan Wi-Fi, dll. Namun, ini adalah mekanisme otorisasi yang sederhana, mudah diterapkan dan dikonfigurasi.

Sumber berkonsultasi

• Konfigurasi Server Linux
• Manual perintah - halaman manual

Versi PDF

Unduh versi PDF di sini.

Sampai artikel selanjutnya!