CentOS 7-SMBネットワークでのSquid + PAM認証

シリーズの一般的なインデックス: SME向けのコンピュータネットワーク:はじめに

こんにちは友達と友達!

記事のタイトルは次のようになっているはずです:«Centos7でのPAM認証を使用したMATE + NTP + Dnsmasq +ゲートウェイサービス+ Apache + Squid -SMEネットワーク«。 実用上の理由から、短縮します。

PAMを使用してLinuxコンピューター上のローカルユーザーへの認証を続行します。今回は、同じコンピューターに保存されている認証資格情報を使用して、コンピューターの小規模ネットワークに対してSquidでプロキシサービスを提供する方法を確認します。サーバーが実行されています いか.

現在、OpenLDAP、RedHatのDirectoryServer 389、Microsoft Active Directoryなどに対してサービスを認証することは非常に一般的な方法であることがわかっていますが、最初に単純で安価なソリューションを実行し、次に最も複雑なソリューションに直面する必要があると考えています。 私たちは、単純なものから複雑なものへと移行しなければならないと信じています。

インデックス

ステージ

これは、無料ソフトウェアの使用をサポートすることに専念し、次の名前を選択した小さな組織です。 FromLinux.Fan。 彼らはさまざまなOS愛好家です CentOSの 単一のオフィスにグループ化されました。 彼らは、「サーバー」として機能するために専用のワークステーション(プロのサーバーではない)を購入しました。

愛好家は、OpenLDAPサーバーまたはSamba 4 AD-DCを実装する方法についての広範な知識を持っておらず、Microsoft ActiveDirectoryのライセンスを取得する余裕もありません。 ただし、ブラウジングを高速化するために、プロキシを介したインターネットアクセスサービスと、最も価値のあるドキュメントを保存してバックアップコピーとして機能するスペースが必要です。

彼らは今でも主に合法的に取得したMicrosoftオペレーティングシステムを使用していますが、「サーバー」から始めて、Linuxベースのオペレーティングシステムに変更したいと考えています。

彼らはまた、現在使用しているGmail、Yahoo、HotMailなどのサービスから(少なくとも発信元から)独立した独自のメールサーバーを持つことを目指しています。

インターネットに対するファイアウォールとルーティングルールは、契約したADSLルーターでそれを確立します。

インターネット上でサービスを公開する必要がないため、実際のドメイン名はありません。

GUIのない​​サーバーとしてのCentOS7

グラフィカルインターフェイスのないサーバーの新規インストールから開始しています。プロセス中に選択するオプションは«のみです。インフラストラクチャサーバー»シリーズの以前の記事で見たように。

初期設定

[root @ linuxbox〜] #cat / etc / hostname 
リナックスボックス

[root @ linuxbox〜] #cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox〜]#ホスト名
リナックスボックス

[root @ linuxbox〜] #hostname -f
linuxbox.fromlinux.fan

[root @ linuxbox〜] #ip addr list
[root @ linuxbox〜] #ifconfig -a
[root @ linuxbox〜] #ls / sys / class / net /
ens32 ens34 lo

ネットワークマネージャーを無効にします

[root @ linuxbox〜] #systemctl stop NetworkManager

[root @ linuxbox〜] #systemctl disable NetworkManager

[root @ linuxbox〜] #systemctl status NetworkManager
●NetworkManager.service-ロードされたネットワークマネージャー:ロードされた(/usr/lib/systemd/system/NetworkManager.service;無効;ベンダープリセット:有効)アクティブ:非アクティブ(デッド)ドキュメント:man:NetworkManager(8)

[root @ linuxbox〜] #ifconfig -a

ネットワークインターフェイスを構成します

内部ネットワークに接続されたEns32LANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ゾーン=パブリック

[root @ linuxbox〜] #ifdown ens32 && ifup ens32

インターネットに接続されたEns34WANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00:0c:29:da:a3:e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0#ADSLルーターは#次のアドレスでこのインターフェースに接続されていますゲートウェイIP = 172.16.10.1ドメイン= desdelinux.fan DNS1 = 127.0.0.1
ゾーン=外部

[root @ linuxbox〜] #ifdown ens34 && ifup ens34

リポジトリの構成

[root @ linuxbox〜] #cd /etc/yum.repos.d/
[root @ linuxbox〜]#元のmkdir
[root @ linuxbox〜] #mv Centos- *オリジナル/

[root @ linuxbox〜] #nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] #yum clean all
ロードされたプラグイン:fastestmirror、langpacksリポジトリのクリーニング:Base-Repo CentosPlus-Repo Epel-Repo Media-Repo:Updates-Repoすべてのクリーンアップ最速のミラーのリストのクリーンアップ
[root @ linuxbox yum.repos.d] #yum update
ロードされたプラグイン:fastestmirror、langpacks Base-Repo | 3.6 kB 00:00CentosPlus-リポジトリ| 3.4 kB 00:00Epel-レポ| 4.3 kB00:00メディアレポ| 3.6 kB00:00更新-リポジトリ| 3.4 kB 00:00(1/9):ベースレポ/ group_gz | 155 kB 00:00(2/9):Epel-Repo / group_gz | 170 kB 00:00(3/9):メディア-リポジトリ/ group_gz | 155 kB 00:00(4/9):Epel-Repo / updateinfo | 734 kB 00:00(5/9):メディア-リポジトリ/ primary_db | 5.3 MB 00:00(6/9):CentosPlus-リポジトリ/ primary_db | 1.1 MB 00:00(7/9):更新-リポジトリ/ primary_db | 2.2 MB 00:00(8/9):Epel-Repo / primary_db | 4.5 MB 00:01(9/9):ベースリポジトリ/ primary_db | 5.6 MB00:01最速のミラーの決定更新のマークが付いたパッケージはありません

メッセージ "更新のマークが付いたパッケージはありません»インストール中に、自由に使用できるのと同じローカルリポジトリを宣言したために表示されます。

MATEデスクトップ環境を備えたCentos7

CentOS / Red Hatが提供するグラフィカルインターフェイスを備えた非常に優れた管理ツールを使用するために、また常にGNOME2がないため、MATEをデスクトップ環境としてインストールすることにしました。

[root @ linuxbox〜] #yum groupinstall "Xウィンドウシステム"
[root @ linuxbox〜] #yum groupinstall "MATE Desktop"

MATEが正しくロードされることを確認するには、コンソールで次のコマンドを実行します-ローカルまたはリモート-:

[root @ linuxbox〜]#systemctlisolategraphical.target

そして、デスクトップ環境をロードする必要があります-ローカルチームで-スムーズに、 lightdm グラフィカルログインとして。 ローカルユーザーの名前とそのパスワードを入力し、MATEを入力します。

伝えるには systemd デフォルトのブートレベルは5-グラフィック環境-次のシンボリックリンクを作成します。

[root @ linuxbox〜] #ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

システムを再起動すると、すべて正常に動作します。

ネットワーク用タイムサービスをインストールします

[root @ linuxbox〜] #yum install ntp

インストール中に、ローカルクロックが機器のタイムサーバーと同期するように構成します sysadmin.fromlinux.fan IP付き 192.168.10.1 そこで、ファイルを保存します ntp.conf オリジナル:

[root @ linuxbox〜] #cp /etc/ntp.conf /etc/ntp.conf.original

ここで、次の内容で新しいものを作成します。

[root @ linuxbox〜] #nano /etc/ntp.conf#インストール中に構成されたサーバー:server 192.168.10.1 iburst#詳細については、次のマニュアルページを参照してください。#ntp.conf(5)、ntp_acc(5) 、ntp_auth(5)、ntp_clock(5)、ntp_misc(5)、ntp_mon(5)。 ドリフトファイル/ var / lib / ntp /ドリフト#タイムソースとの同期を許可しますが、#ソースがこのサービスを参照または変更することを許可しませんrestrict default nomodify notrap nopeer noquery#インターフェイスへのすべてのアクセスを許可しますループバック制限127.0.0.1制限:: 1#ローカルネットワーク上のコンピューターに少し制限します。 192.168.10.0マスクを制限する255.255.255.0nomodify notrap#プロジェクトのパブリックサーバーを使用するpool.ntp.org#プロジェクトに参加する場合は、#(http://www.pool.ntp.org/join.html)にアクセスしてください。 #broadcast 192.168.10.255 autokey#ブロードキャストサーバーbroadcastclient#ブロードキャストクライアント#broadcast 224.0.1.1 autokey#マルチキャストサーバー#multicastclient 224.0.1.1#マルチキャストクライアント#manycastserver 239.255.254.254#manycastサーバー#manycastclient 239.255.254.254 autokey#manycastクライアントブロードキャスト192.168.10.255。 4#パブリック暗号化を有効にします。 #crypto includefile / etc / ntp / crypto / pw#キーとキー識別子を含むキーファイル#対称キー暗号化キーで操作するときに使用されます/ etc / ntp / keys#信頼できるキー識別子を指定します。 #trustedkey 8 42 8#ntpdcユーティリティで使用するキー識別子を指定します。 #requestkey 8#ntpqユーティリティで使用するキー識別子を指定します。 #controlkey 2013#統計レジスタの書き込みを有効にします。 #statistics clockstats cryptostats loopstats peerstats#デフォルトの制約にnoqueryフラグが含まれていない場合、#ntpdc monlistコマンドを使用して攻撃の増幅を防ぐために#離脱モニターを無効にします。 詳細については、CVE-5211-XNUMX#をお読みください。 #注:制限付き制限フラグを使用しても、モニターは無効になりません。 モニターを無効にする

NTPサービスを有効にし、開始し、確認します

[root @ linuxbox〜] #systemctl status ntpd
●ntpd.service-ロードされたネットワークタイムサービス:ロードされました(/usr/lib/systemd/system/ntpd.service;無効;ベンダープリセット:無効)アクティブ:非アクティブ(デッド)

[root @ linuxbox〜] #systemctl enable ntpd
/etc/systemd/system/multi-user.target.wants/ntpd.serviceから/usr/lib/systemd/system/ntpd.serviceへのシンボリックリンクを作成しました。

[root @ linuxbox〜] #systemctl start ntpd
[root @ linuxbox〜] #systemctl status ntpd

[root @ linuxbox〜] #systemctl status ntpdntpd.service-ネットワークタイムサービス
   ロード済み:ロード済み(/usr/lib/systemd/system/ntpd.service;有効;ベンダープリセット:無効)アクティブ:アクティブ(実行中)2017年04月14日金曜日15:51:08 EDT; 1秒前プロセス:1307 ExecStart = / usr / sbin / ntpd -u ntp:ntp $ OPTIONS(コード=終了、ステータス= 0 /成功)メインPID:1308(ntpd)CGroup:/system.slice/ntpd.service└─ 1308 / usr / sbin / ntpd -u ntp:ntp -g

Ntpとファイアウォール

[root @ linuxbox〜]#firewall-cmd --get-active-zones
外部
  インターフェイス:ens34
公共
  インターフェイス:ens32

[root @ linuxbox〜]#firewall-cmd --zone = public --add-port = 123 / udp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --reload
成功

Dnsmasqを有効にして構成します

Small Business Networksシリーズの前回の記事で見たように、DnsamasqはデフォルトでCentOS7インフラストラクチャサーバーにインストールされます。

[root @ linuxbox〜] #systemctl status dnsmasq
●dnsmasq.service-DNSキャッシングサーバー。 ロード済み:ロード済み(/usr/lib/systemd/system/dnsmasq.service;無効;ベンダープリセット:無効)アクティブ:非アクティブ(デッド)

[root @ linuxbox〜] #systemctl enable dnsmasq
/etc/systemd/system/multi-user.target.wants/dnsmasq.serviceから/usr/lib/systemd/system/dnsmasq.serviceへのシンボリックリンクを作成しました。

[root @ linuxbox〜] #systemctl start dnsmasq
[root @ linuxbox〜] #systemctl status dnsmasq
●dnsmasq.service-DNSキャッシングサーバー。 ロード済み:ロード済み(/usr/lib/systemd/system/dnsmasq.service;有効;ベンダープリセット:無効)アクティブ:アクティブ(実行中)2017年04月14日金曜日16:21:18 EDT; 4秒前メインPID:33611(dnsmasq)CGroup:/system.slice/dnsmasq.service└─33611/usr / sbin / dnsmasq -k

[root @ linuxbox〜] #mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox〜] #nano /etc/dnsmasq.conf
#------------------------------------------------- ------------------#一般的なオプション#----------------------------- -------------------------------------- domain-needed#ドメイン部分なしで名前を渡さないでくださいbogus-priv#ルーティングされていないスペースにアドレスを渡さないexpand-hosts#ドメインをホストに自動的に追加するinterface = ens32#インターフェイスLAN strict-order#/ etc /resolv.confファイルを照会する順序conf-dir = / etc /dnsmasq.d domain = desdelinux.fan#ドメイン名アドレス= / time.windows.com / 192.168.10.5#WPAD値の空のオプションを送信します。 #Windos7以降のクライアントが正しく動作するために必要です。 ;-) dhcp-option = 252、 "\ n"#「禁止」されるHOSTSを宣言するファイルaddn-hosts = / etc / Banner_add_hosts local = / desdelinux.fan /#---------- -------------------------------------------------- -------#REGISTROSCNAMEMXTXT#---------------------------------------- ---------------------------#このタイプの登録には、/ etc / hostsファイルに#エントリが必要です#例:192.168.10.5 linuxbox.fromlinux.fan linuxbox#cname = ALIAS、REAL_NAME cname = mail.fromlinux.fan、linuxbox.fromlinux.fan#MX RECORDS#mail.desdelinuxコンピューター宛ての#「desdelinux.fan」という名前のMXレコードを返します。ファンと優先度10mx-host = desdelinux.fan、mail.desdelinux.fan、10#localmxオプションを使用して作成されるMXレコードのデフォルトの宛先は次のようになります。mx-target= mail.desdelinux.fan#戻り値ALL#ローカルマシンlocalmx#TXTレコードのmx-targetを指すMXレコード。 SPFレコードを宣言することもできますtxt-record = desdelinux.fan、 "v = spf1 a -all" txt-record = desdelinux.fan、 "DesdeLinux、無料ソフトウェア専用のブログ"#--------- -------------------------------------------------- --------#範囲と用途#--------------------------------------- ----------------------------#IPv4の範囲とリース時間#1から29は、サーバーおよびその他のdhcpのニーズに対応します-range = 192.168.10.30,192.168.10.250,8h dhcp-lease-max = 222#デフォルトでリースするアドレスの最大数は150です#IPV6 range#dhcp-range = 1234 ::、ra-only#のオプション範囲#オプションdhcp-option = 1,255.255.255.0#NETMASK dhcp-option = 3,192.168.10.5#ルーターゲートウェイdhcp-option = 6,192.168.10.5#DNSサーバーdhcp-option = 15、desdelinux.fan#DNSドメイン名dhcp-option = 19,1 、28,192.168.10.255#option ip-forwarding ON dhcp-option = 42,192.168.10.5#BROADCAST dhcp-option = XNUMX#NTP dhcp-authoritative#サブネット上の権限のあるDHCP#-------------- ------------------ -----------------------------------#/ var / log / messagesに保存したい場合クエリ#以下の行のコメントを解除します#--------------------------------------- ----------------------------
#ログクエリ
#ファイル/etc/dnsmasq.confの終わり#--------------------------------------- ----------------------------

ファイルを作成します /など/ banner_add_hosts

[root @ linuxbox〜]#nano /など/ banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com192.168.10.5。 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

固定IPアドレス

[root @ linuxbox〜] #nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

ファイル/etc/resolv.confを構成します- リゾルバ

[root @ linuxbox〜] #nano /etc/resolv.conf
search desdelinux.fan nameserver 127.0.0.1#外部または非ドメインDNSクエリの場合desdelinux.fan#local = / desdelinux.fan / nameserver 8.8.8.8

ファイル構文を確認します dnsmasq.conf、サービスを開始してステータスを確認します

[root @ linuxbox〜] #dnsmasq --test
dnsmasq:構文チェックOK。
[root @ linuxbox〜] #systemctl restart dnsmasq
[root @ linuxbox〜] #systemctl status dnsmasq

Dnsmasqとファイアウォール

[root @ linuxbox〜]#firewall-cmd --get-active-zones
外部
  インターフェイス:ens34
公共
  インターフェイス:ens32

サービス ドメイン oドメインネームサーバー(dns)。 プロトコル スワイプ «暗号化されたIP«

[root @ linuxbox〜]#firewall-cmd --zone = public --add-port = 53 / tcp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --zone = public --add-port = 53 / udp --permanent
成功

外部DNSサーバーへのDnsmasqクエリ

[root @ linuxbox〜]#firewall-cmd --zone = external --add-port = 53 / tcp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --zone = external --add-port = 53 / udp --permanent
成功

サービス ブート o BOOTPサーバー (dhcp)。 プロトコル ippc «インターネットプルリバスパケットコア«

[root @ linuxbox〜]#firewall-cmd --zone = public --add-port = 67 / tcp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --zone = public --add-port = 67 / udp --permanent
成功

[root @ linuxbox〜]#firewall-cmd --reload
成功

[root @ linuxbox〜]#firewall-cmd --info-zone public public(active)
  ターゲット:デフォルトicmp-block-inversion:インターフェイスなし:ens32ソース:サービス:dhcp dns ntp sshポート:67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcpプロトコル:マスカレード:転送ポートなし:ソースポート:icmp -ブロック:豊富なルール:

[root @ linuxbox〜]#firewall-cmd --info-zone external external(アクティブ)
  ターゲット:デフォルトicmp-block-inversion:インターフェースなし:ens34ソース:サービス:dnsポート:53 / udp 53 / tcpプロトコル:マスカレード:はいフォワードポート:ソースポート:icmp-blocks:パラメーター-問題リダイレクトルーター-アドバタイズメントルーター-勧誘ソース-リッチルールをクエンチします。

グラフィカルインターフェイスを使用してCentOS7でファイアウォールを構成する場合は、一般メニューを確認します。サブメニューが表示されるデスクトップ環境によって異なります。アプリケーション«Firewall»を実行し、ユーザーのパスワードを入力した後、 ルート、プログラムインターフェイスにアクセスします。 MATEでは、メニューに表示されます«システム»-> "管理"-> "ファイアウォール".

エリアを選択します«公共»そして、LAN上で公開したいサービスを承認します。 dhcp、dns、 ntp とssh。 サービスを選択し、すべてが正しく機能することを確認した後、RuntimeでPermanentに変更する必要があります。 これを行うには、[オプション]メニューに移動し、オプション«を選択します。永続的な実行時間"

後でエリアを選択します«外部»そして、インターネットとの通信に必要なポートが開いていることを確認します。 私たちが何をしているのかよくわかっていない限り、このゾーンでサービスを公開しないでください!.

オプション«を使用して永続的に変更を加えることを忘れないでください永続的な実行時間»そして悪魔をリロードする FirewallD、この強力なグラフィックツールを使用するたびに。

Windows7クライアントからのNTPとDnsmasq

NTPとの同期

外部

リースされたIPアドレス

Microsoft Windows [バージョン6.1.7601] Copyright(c)2009 MicrosoftCorporation。 全著作権所有。 C:\ Users \ buzz> ipconfig /すべてのWindowsIP構成ホスト名。 。 。 。 。 。 。 。 。 。 。 。 : セブン
   プライマリDnsサフィックス。 。 。 。 。 。 。 :
   ノードタイプ。 。 。 。 。 。 。 。 。 。 。 。 :ハイブリッドIPルーティングが有効。 。 。 。 。 。 。 。 :WINSプロキシが有効になっていません。 。 。 。 。 。 。 。 :DNSサフィックス検索リストはありません。 。 。 。 。 。 :desdelinux.fanイーサネットアダプタローカルエリア接続:接続固有のDNSサフィックス。 :desdelinux.fan説明。 。 。 。 。 。 。 。 。 。 。 :Intel(R)PRO / 1000MTネットワーク接続の物理アドレス。 。 。 。 。 。 。 。 。 :00-0C-29-D6-14-36DHCP有効。 。 。 。 。 。 。 。 。 。 。 :はい自動構成が有効です。 。 。 。 :そしてそれは
   IPv4アドレス。 。 。 。 。 。 。 。 。 。 。 :192.168.10.115(優先)
   サブネットマスク。 。 。 。 。 。 。 。 。 。 。 :255.255.255.0リースを取得しました。 。 。 。 。 。 。 。 。 。 :14年2017月5日金曜日12:53:15リースの有効期限が切れます。 。 。 。 。 。 。 。 。 。 :2017年1月12日土曜日53:192.168.10.1:192.168.10.5 AMデフォルトゲートウェイ。 。 。 。 。 。 。 。 。 :192.168.10.5DHCPサーバー。 。 。 。 。 。 。 。 。 。 。 :9DNSサーバー。 。 。 。 。 。 。 。 。 。 。 :00 NetBIOS overTcpip。 。 。 。 。 。 。 。 :有効なトンネルアダプタローカルエリア接続* 00:メディアの状態。 。 。 。 。 。 。 。 。 。 。 :メディア切断接続固有のDNSサフィックス。 :説明。 。 。 。 。 。 。 。 。 。 。 :MicrosoftTeredoトンネリングアダプタの物理アドレス。 。 。 。 。 。 。 。 。 :00-00-00-00-00-0-2-E00DHCP有効。 。 。 。 。 。 。 。 。 。 。 :自動構成が有効になっていません。 。 。 。 :はいトンネルアダプタisatap.fromlinux.fan:メディアの状態。 。 。 。 。 。 。 。 。 。 。 :メディア切断接続固有のDNSサフィックス。 :desdelinux.fan説明。 。 。 。 。 。 。 。 。 。 。 :Microsoft ISATAPアダプター#00物理アドレス。 。 。 。 。 。 。 。 。 :00-00-00-00-00-0-XNUMX-EXNUMXDHCP有効。 。 。 。 。 。 。 。 。 。 。 :自動構成が有効になっていません。 。 。 。 :はいC:\ユーザー\バズ>

先端

Windowsクライアントの重要な値は、「PrimaryDnsSuffix」または「Mainconnectionsuffix」です。 Microsoft Domain Controllerが使用されていない場合、オペレーティングシステムはそれに値を割り当てません。 記事の冒頭で説明したようなケースに直面していて、その値を明示的に宣言したい場合は、次の図に示すように続行し、変更を受け入れて、クライアントを再起動する必要があります。

 

もう一度走れば CMD-> ipconfig / all 次のようになります。

Microsoft Windows [バージョン6.1.7601] Copyright(c)2009 MicrosoftCorporation。 全著作権所有。 C:\ Users \ buzz> ipconfig /すべてのWindowsIP構成ホスト名。 。 。 。 。 。 。 。 。 。 。 。 : セブン
   プライマリDnsサフィックス。 。 。 。 。 。 。 :desdelinux.fan
   ノードタイプ。 。 。 。 。 。 。 。 。 。 。 。 :ハイブリッドIPルーティングが有効。 。 。 。 。 。 。 。 :WINSプロキシが有効になっていません。 。 。 。 。 。 。 。 :DNSサフィックス検索リストはありません。 。 。 。 。 。 :desdelinux.fan

残りの値は変更されません

DNSチェック

buzz @ sysadmin:〜$ host spynet.microsoft.com
spynet.microsoft.comのアドレスは127.0.0.1です。ホストspynet.microsoft.comが見つかりません:5(拒否)spynet.microsoft.comメールは1つのmail.fromlinux.fanによって処理されます。

buzz @ sysadmin:〜$ host linuxbox
linuxbox.desdelinux.fanのアドレスは192.168.10.5です。linuxbox.desdelinux.fanメールは1つのmail.desdelinux.fanによって処理されます。

buzz @ sysadmin:〜$ host sysadmin
sysadmin.desdelinux.fanのアドレスは192.168.10.1です。sysadmin.desdelinux.fanメールは1つのmail.desdelinux.fanによって処理されます。

buzz @ sysadmin:〜$ホストメール
mail.desdelinux.fanは、linuxbox.desdelinux.fanのエイリアスです。 linuxbox.desdelinux.fanのアドレスは192.168.10.5です。linuxbox.desdelinux.fanメールは1つのmail.desdelinux.fanによって処理されます。

インストールします-テスト専用-権限のあるDNSサーバーNSD sysadmin.fromlinux.fan、およびIPアドレスを含めます 172.16.10.1 アーカイブ内 /etc/resolv.conf チームの linuxbox.fromlinux.fan、Dnsmasqがフォワーダー機能を正しく実行していたことを確認します。 NSDサーバー上のサンドボックスは favt.org y toujague.org。 すべてのIPは架空のものであるか、プライベートネットワークからのものです。

WANインターフェースを無効にした場合 ens34 コマンドを使用する ifdown ens34、Dnsmasqは外部DNSサーバーにクエリを実行できなくなります。

[buzz @ linuxbox〜] $ sudo ifdown ens34 [buzz @ linuxbox〜] $ host -t mx toujague.org
ホストtoujague.orgが見つかりません:3(NXDOMAIN)

[buzz @ linuxbox〜] $ host pizzapie.favt.org
ホストpizzapie.favt.orgが見つかりません:3(NXDOMAIN)

ens34インターフェイスを有効にして、もう一度確認してみましょう。

[buzz @ linuxbox〜] $ sudo ifup ens34
buzz @ linuxbox〜] $ host pizzapie.favt.org
pizzapie.favt.orgは、paisano.favt.orgのエイリアスです。 paisano.favt.orgのアドレスは172.16.10.4です

[buzz @ linuxbox〜] $ host pizzapie.toujague.org
ホストpizzas.toujague.orgが見つかりません:3(NXDOMAIN)

[buzz @ linuxbox〜] $ host poblacion.toujague.org
poblacion.toujague.orgのアドレスは169.18.10.18です。

[buzz @ linuxbox〜] $ host -t NS favt.org
favt.orgネームサーバーns1.favt.org。 favt.orgネームサーバーns2.favt.org。

[buzz @ linuxbox〜] $ host -t NS toujague.org
toujague.orgネームサーバーns1.toujague.org。 toujague.orgネームサーバーns2.toujague.org。

[buzz @ linuxbox〜] $ host -t MX toujague.org
toujague.orgメールは10mail.toujague.orgによって処理されます。

から相談しましょう sysadmin.fromlinux.fan:

buzz @ sysadmin:〜$ cat /etc/resolv.conf 
linux.fan nameserver192.168.10.5から検索

xeon @ sysadmin:〜$ host mail.toujague.org
mail.toujague.orgのアドレスは169.18.10.19です。

Dnsmasqは次のように機能しています フォワーダー 正しく

いか

PDF形式の本で«Linuxサーバーの構成»25年2016月XNUMX日付け、著者による JoelBarriosDueñas (darkshram@gmail.com http://www.alcancelibre.org/)、私が以前の記事で参照したテキストには、専用の章全体があります Squidの基本構成オプション.

Web-Proxyサービスの重要性のため、前述の本でSquidの概要を再現します。

105.1。 前書き。

105.1.1。 中間サーバー(プロキシ)とは何ですか?

英語での用語 「プロキシ」 非常に一般的であると同時に曖昧な意味を持っていますが
常にの概念の同義語と見なされます 「中級」。 通常、厳密な意味で、次のように翻訳されます。 委任する o 代理 (他の人に対して力を持っている人)。

Un 中間サーバー これは、クライアントが他のネットワークサービスに間接的にネットワーク接続できるようにすることで構成されるネットワークサービスを提供するコンピューターまたはデバイスとして定義されます。 プロセス中に、次のことが発生します。

  • クライアントはに接続します プロキシサーバー.
  • クライアントは、別のサーバーで利用可能な接続、ファイル、またはその他のリソースを要求します。
  • 中間サーバーは、指定されたサーバーに接続することによってリソースを提供します
    またはキャッシュから提供します。
  • 場合によっては 中間サーバー クライアントの要求または
    さまざまな目的のためのサーバー応答。

たくさん プロキシサーバー それらは一般に、で動作する防火壁として同時に機能するように作られています ネットワークレベル、の場合のように、パケットフィルタとして機能します iptables またはで動作します アプリケーションレベル、の場合のように、さまざまなサービスを制御する TCPラッパー。 状況に応じて、火の壁はとしても知られています BPD o B注文 P回転 Deviceまたはちょうど パケットフィルター.

の一般的なアプリケーション プロキシサーバー ネットワークコンテンツ(主にHTTP)のキャッシュとして機能し、クライアントの近くにリモートHTTPサーバー上のネットワークを介して利用可能なページとファイルのキャッシュを提供し、ローカルネットワークのクライアントがそれらにアクセスできるようにします。より速く、より信頼性があります。

内の指定されたネットワークリソースに対する要求を受信したとき URL (Uニフォーム R電子源 Locator) 中間サーバー の結果を探す URL キャッシュ内。 見つかった場合、 中間サーバー 要求されたコンテンツをすぐに提供することにより、顧客に応答します。 要求されたコンテンツがキャッシュにない場合、 中間サーバー リモートサーバーからフェッチし、要求したクライアントに配信して、コピーをキャッシュに保持します。 キャッシュ内のコンテンツは、年齢、サイズ、および履歴に応じて、有効期限アルゴリズムによって削除されます。 リクエストへの応答 (ヒット)(例: LRU, LFUDA y GDSF).

ネットワークコンテンツのプロキシサーバー(Webプロキシ)は、提供されるコンテンツのフィルターとして機能し、任意の基準に従って検閲ポリシーを適用することもできます。.

インストールするSquidのバージョンは 3.5.20-2.el7_3.2 リポジトリから アップデート.

インストール

[root @ linuxbox〜] #yum install squid

[root @ linuxbox〜] #ls / etc / squid /
cachemgr.conf errorpage.css.default  squid.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox〜] #systemctl enable squid

重要

  • この記事の主な目的は、LANに接続されている他のコンピューターからSquidに接続することをローカルユーザーに許可することです。 さらに、他のサービスが追加されるサーバーのコアを実装します。 イカ専用の記事ではありません。.
  • Squidの構成オプションについては、3.5.20行の/usr/share/doc/squid-7915/squid.conf.documentedファイルをご覧ください。.

SELinuxとSquid

[root @ linuxbox〜] #getsebool -a | grep squid
squid_connect_any->オンsquid_use_tproxy->オフ

[root @ linuxbox〜] #setsebool -P squid_connect_any = on

コンフィギュレーション

[root @ linuxbox〜] #nano /etc/squid/squid.conf
#LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_portsポート80#http acl Safe_portsポート21#ftp acl Safe_portsポート443#https acl Safe_portsポート70#gopher acl Safe_portsポート210#wais acl Safe_portsポート1025-65535#未登録ポートacl Safe_portsポート280#http-mgmt aclSafe_portsポート488#gss-http acl Safe_ports port 591#filemaker acl Safe_ports port 777#multiling http acl CONNECT method CONNECT#非セキュアポートのクエリを拒否しますhttp_access deny!Safe_ports#非セキュアポートのCONNECTメソッドを拒否しますhttp_access deny CONNECT!SSL_ports#アクセスlocalhostからのみキャッシュマネージャーhttp_accessallow localhost manager http_access deny manager#「localhost」上のサービスにアクセスできるのはローカルのみであると考えるプロキシサーバーで実行されている無実のWebアプリケーションを保護するために、以下のコメントを解除することを強くお勧めしますuser http_access deny to_localhost ##ここに独自のルールを挿入して、クライアントからのアクセスを許可します## PAM認証
auth_param基本プログラム/ usr / lib64 / squid / basic_pam_auth
auth_param基本的な子5linux.fanからのauth_param基本レルムauth_param基本的なcredentialsttl2時間auth_param基本的なcasesensitiveオフ#Squid愛好家にアクセスするにはAcl認証が必要ですproxy_auth必須#PAMを介して認証されたユーザーへのアクセスを許可します#PAMを介してhttp_access deny!愛好家#FTPサイトへのアクセスacl ftp proto FTP http_access allow ftp http_access allow localnet http_access allow localhost#プロキシへの他のアクセスを拒否しますhttp_access deny all#Squidは通常ポート3128でリッスンしますhttp_port 3128#最初のキャッシュディレクトリに「coredumps」を残しますcoredump_dir / var /スプール/ squid ##これらの上に独自のrefresh_patternエントリを追加します。 #refresh_pattern ^ ftp:1440 20%10080 refresh_pattern ^ gopher:1440 0%1440 refresh_pattern -i(/ cgi-bin / | \?)0 0%0refresh_pattern。 0 20%4320 cache_mem 64 MB#キャッシュメモリmemory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / scroll / squid 4096 16 maximum_object_size 256 MB cache_swap_low 4 cache_swap_highux 85 cache_mgr buzz@desdelindes_fanux.linnameux.inhost

ファイルの構文を確認します /etc/squid/squid.conf

[root @ linuxbox〜] #squid -k parse
2017/04/16 15:45:10 | 起動:認証スキームの初期化..。
 2017/04/16 15:45:10 | 起動:初期化された認証スキーム '基本' 2017/04/16 15:45:10 | 起動:初期化された認証スキーム 'ダイジェスト' 2017/04/16 15:45:10 | 起動:初期化された認証スキーム 'ネゴシエート' 2017/04/16 15:45:10 | 起動:初期化された認証スキーム 'ntlm' 2017/04/16 15:45:10 | 起動:初期化された認証。
 2017/04/16 15:45:10 | 構成ファイルの処理:/etc/squid/squid.conf(深さ0)2017/04/16 15:45:10 | 処理:acl localnet src 192.168.10.0/24 2017/04/16 15:45:10 | 処理:acl SSL_ports port 443 21 2017/04/16 15:45:10 | 処理:acl Safe_portsポート80#http 2017/04/16 15:45:10 | 処理:acl Safe_portsポート21#ftp 2017/04/16 15:45:10 | 処理:acl Safe_portsポート443#https 2017/04/16 15:45:10 | 処理:acl Safe_ports port 70#gopher 2017/04/16 15:45:10 | 処理:acl Safe_ports port 210#wais 2017/04/16 15:45:10 | 処理中:acl Safe_ports port 1025-65535#未登録ポート2017/04/16 15:45:10 | 処理:acl Safe_portsポート280#http-mgmt 2017/04/16 15:45:10 | 処理:acl Safe_portsポート488#gss-http 2017/04/16 15:45:10 | 処理:acl Safe_ports port 591#filemaker 2017/04/16 15:45:10 | 処理:acl Safe_ports port 777#multiling http 2017/04/16 15:45:10 | 処理:aclCONNECTメソッドCONNECT2017 / 04/16 15:45:10 | 処理:http_access deny!Safe_ports 2017/04/16 15:45:10 | 処理:http_access deny CONNECT!SSL_ports 2017/04/16 15:45:10 | 処理:http_access allow localhost manager 2017/04/16 15:45:10 | 処理:http_access deny manager 2017/04/16 15:45:10 | 処理:http_access deny to_localhost 2017/04/16 15:45:10 | 処理:auth_param基本プログラム/ usr / lib64 / squid / basic_pam_auth 2017/04/16 15:45:10 | 処理:auth_param基本的な子5 2017/04/16 15:45:10 | 処理:linux.fanからのauth_param基本レルム2017/04/16 15:45:10 | 処理:auth_param基本的なcredentialsttl2時間2017/04/16:15:45 | 処理:auth_param基本的な大文字小文字の区別オフ10/2017/04 16:15:45 | 処理:acl Enthusiasts proxy_auth REQUIRED 10/2017/04 16:15:45 | 処理:http_access deny!Enthusiasts 10/2017/04 16:15:45 | 処理:acl ftp proto FTP 10/2017/04 16:15:45 | 処理:http_access allow ftp 10/2017/04 16:15:45 | 処理:http_access allow localnet 10/2017/04 16:15:45 | 処理:http_access allow localhost 10/2017/04 16:15:45 | 処理:http_accessはすべてを拒否します10/2017/04 16:15:45 | 処理:http_port 10 3128/2017/04 16:15:45 | 処理:coredump_dir / var / scroll / squid 10/2017/04 16:15:45 | 処理:refresh_pattern ^ ftp:10 1440%20 10080/2017/04 16:15:45 | 処理:refresh_pattern ^ gopher:10 1440%0 1440/2017/04 16:15:45 | 処理:refresh_pattern -i(/ cgi-bin / | \?)10 0%0 0/2017/04 16:15:45 | 処理中:refresh_pattern。 

権限を調整します / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox〜] #chmod u + s / usr / lib64 / squid / basic_pam_auth

キャッシュディレクトリを作成します

#念のため... [root @ linuxbox〜] #service squid stop
/ bin / systemctl stopsquid.serviceにリダイレクトします

[root @ linuxbox〜] #squid -z
[root @ linuxbox〜]# 2017/04/16 15:48:28 kid1 | 現在のディレクトリを/ var /スプール/ squidに設定します2017/04/16:15:48 kid28 | 不足しているスワップディレクトリの作成1/2017/04:16:15 kid48 | / var /スプール/イカが存在します28/1/2017:04:16 kid15 | / var / scroll / squid / 48 28/1/00 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48 28/1/01 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48 28/1/02 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48 28/1/03 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48 28/1/04 2017:04:16kid15にディレクトリを作成する| / var /スプール/ squid / 48 28/1/05 2017:04:16kid15にディレクトリを作成する| / var /スプール/ squid / 48 28/1/06 2017:04:16kid15にディレクトリを作成する| / var /スプール/ squid / 48 28/1/07 2017:04:16kid15にディレクトリを作成する| / var /スプール/ squid / 48 28/1/08 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48 28/1/09 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48A 28/1/0 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48B 28/1/0 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48C 28/1/0 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48D 29/1/0 2017:04:16kid15にディレクトリを作成する| / var / scroll / squid / 48E 29/1/0 2017:04:16kid15にディレクトリを作成する| / var /スプール/ squid / 48Fにディレクトリを作成する

この時点で、コマンドプロンプトが返されるまでに時間がかかる場合は、Enterキーを押します。

[root @ linuxbox〜] #service squid start
[root @ linuxbox〜] #service squid restart
[root @ linuxbox〜] #service squid status
/ bin / systemctl statusにリダイレクトしますsquid.service●squid.service-Squidキャッシングプロキシロード済み:ロード済み(/usr/lib/systemd/system/squid.service;無効;ベンダープリセット:無効)アクティブ:dom以降アクティブ(実行中) 2017-04-16 15:57:27 EDT; 1秒前プロセス:2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF(コード=終了、ステータス= 0 /成功)プロセス:2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF(コード=終了、ステータス= 0 /成功)プロセス:2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh(コード=終了、ステータス= 0 /成功)メインPID:2876(squid)CGroup:/system.slice/squid .service└─2876/ usr / sbin / squid -f/etc/squid/squid.conf16月15日57:27:1linuxbox systemd [16]:Squidキャッシングプロキシを開始しています... 15月57日27:1:16linuxbox systemd [15]:Squidキャッシングプロキシを開始しました。 57月27日2876:1:16linuxbox squid [15]:Squid Parent:57人の子供を開始します27月2876日1:2878:16 linuxbox squid [15]:Squid Parent:(squid-57)プロセス27 ... ed Apr 2876 1 :2878:1 linuxbox squid [XNUMX]:Squid Parent:(squid-XNUMX)process XNUMX ... XNUMXヒント:一部の行が省略されています。-lを使用して完全に表示してください

[root @ linuxbox〜] #cat / var / log / messages | grep squid

ファイアウォールの修正

ゾーンでも開く必要があります«外部「ポート 80 HTTP y 443 HTTPS Squidはインターネットと通信できます。

[root @ linuxbox〜]#firewall-cmd --zone = external --add-port = 80 / tcp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --zone = external --add-port = 443 / tcp --permanent
成功
[root @ linuxbox〜]#firewall-cmd --reload
成功
[root @ linuxbox〜]#firewall-cmd --info-zone external
外部(アクティブ)ターゲット:デフォルトicmp-block-inversion:インターフェイスなし:ens34ソース:サービス:dnsポート: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  プロトコル:マスカレード:はい転送ポート:ソースポート:icmp-ブロック:パラメータ-問題リダイレクトルーター-アドバタイズメントルーター-要請ソース-クエンチリッチルール:
  • グラフィックアプリケーションに行くのはアイドルではありません«ファイアウォール設定»そして、ポート443 tcp、80 tcp、53 tcp、および53udpがゾーンに対して開いていることを確認します«外部«、そして私たちは彼女のためにサービスを公開していません.

basic_pam_authヘルパープログラムに関する注意

このユーティリティのマニュアルを参照すると 男basic_pam_auth 通常のユーザーがツールにアクセスするための十分な権限を持っていないディレクトリにプログラムを移動することを著者自身が強く推奨していることを読みます。

一方、この認証スキームでは、資格情報はプレーンテキストで移動し、敵対的な環境では安全ではないことが知られています。オープンネットワークを読んでください。

ジェフ・イェストラムスカス 記事を捧げる«ハウツー:SSL暗号化、Squid Caching Proxy、およびPAM認証を使用して安全なWebプロキシを設定します»この認証スキームを使用してセキュリティを強化し、潜在的に敵対的なオープンネットワークで使用できるようにする問題。

httpdをインストールします

Squidの動作、そしてちなみにDnsmasqの動作を確認する方法として、サービスをインストールします httpdの -ApacheWebサーバー-実行する必要はありません。 Dnsmasqに関連するファイル内 /など/ banner_add_hosts 禁止したいサイトを宣言し、それと同じIPアドレスを明示的に割り当てます リナックスボックス。 したがって、これらのサイトのいずれかにアクセスを要求した場合、 httpdの.

[root @ linuxbox〜] #yum install httpd [root @ linuxbox〜] #systemctl enable httpd
/etc/systemd/system/multi-user.target.wants/httpd.serviceから/usr/lib/systemd/system/httpd.serviceへのシンボリックリンクを作成しました。

[root @ linuxbox〜] #systemctl start httpd

[root @ linuxbox〜] #systemctl status httpd
●httpd.service-ロードされたApacheHTTPサーバー:ロードされました(/usr/lib/systemd/system/httpd.service;有効、ベンダープリセット:無効)アクティブ:Sun 2017-04-16 16:41以降アクティブ(実行中): 35 EDT; 5秒前ドキュメント:man:httpd(8)man:apachectl(8)メインPID:2275(httpd)ステータス:「リクエストを処理しています...」CGroup:/system.slice/httpd.service├─2275/usr / sbin / httpd-DFOREGROUND├─2276/ usr / sbin /httpd-DFOREGROUND├─2277/ usr / sbin /httpd-DFOREGROUND├─2278/ usr / sbin /httpd-DFOREGROUND├─2279/ usr / sbin / httpd-D / usr / sbin / httpd -DFOREGROUND 2280月16日16:41:35linuxbox systemd [1]:ApacheHTTPサーバーを起動しています... 16月16日41:35:1linuxbox systemd [XNUMX]:ApacheHTTPサーバーを起動しました。

SELinuxとApache

Apacheには、SELinuxコンテキスト内で構成するいくつかのポリシーがあります。

[root @ linuxbox〜] #getsebool -a | grep httpd
httpd_anon_write->オフhttpd_builtin_scripting->オンhttpd_can_check_spam->オフhttpd_can_connect_ftp->オフhttpd_can_connect_ldap->オフhttpd_can_connect_mythtv->オフhttpd_can_connectネットワークoff_zabbix_>オフhttpd_can_connect_zabbix_workb httpd_can_network_memcache->オフhttpd_can_network_relay->オフhttpd_can_sendmail->オフhttpd_dbus_avahi->オフhttpd_dbus_sssd->オフhttpd_dontaudit_search_dirs->オフhttpd_enable_cgi-> httpd_enable_offmirs->オフhttpd_enable_cgi-> httpd_enable_offmirs-> httpd_enable httpd_graceful_shutdown-> on httpd_manage_ipa-> off httpd_mod_auth_ntlm_winbind-> off httpd_mod_auth_pam-> off httpd_read_user_content-> off httpd_run_ipa-> off httpd_run_preupgrade-> off httpd_runco​​bshift offlimerfift_run httpd_ssi_exec->オフhttpd_sys_script_anon_write->オフhttpd_tmp_exec->オフhttpd_tty_comm- >オフhttpd_unified->オフhttpd_use_cifs->オフhttpd_use_fusefs->オフhttpd_use_gpg->オフhttpd_use_nfs->オフhttpd_use_openstack->オフhttpd_use_sasl->オフhttpd_verify_dns->オフ

以下のみを構成します。

Apacheを介してメールを送信する

root @ linuxbox〜] #setsebool -P httpd_can_sendmail 1

Apacheがローカルユーザーのホームディレクトリにあるコンテンツを読み取れるようにします

root @ linuxbox〜] #setsebool -P httpd_read_user_content 1

FTPまたはFTPSを介して管理する任意のディレクトリの管理を許可する
ApacheまたはApacheがFTPポートを介して要求をリッスンするFTPサーバーとして機能できるようにする

[root @ linuxbox〜] #setsebool -P httpd_enable_ftp_server 1

詳細については、お読みください Linuxサーバーの構成.

認証を確認します

ワークステーションでブラウザを開いて、たとえば、 http://windowsupdate.com。 リクエストがlinuxboxのApacheホームページに正しくリダイレ​​クトされることを確認します。 実際、ファイルで宣言されているサイト名はすべて /など/ banner_add_hosts 同じページにリダイレクトされます。

記事の最後にある画像はそれを証明しています。

ユーザー管理

グラフィックツールを使用して行います«ユーザー管理»メニューの[システム]-> [管理]-> [ユーザー管理]からアクセスします。 新しいユーザーを追加するたびに、そのフォルダーが作成されます /ホーム/ユーザー 自動的に。

 

バックアップ

Linuxクライアント

通常のファイルブラウザのみが必要で、接続することを示します。次に例を示します。 ssh:// buzz @ linuxbox / home / buzz パスワードを入力すると、ディレクトリが表示されます ホーム ユーザーの バズ.

Windowsクライアント

Windowsクライアントでは、ツールを使用します WinSCPの。 インストールしたら、次のように使用します。

 

 

簡単ですよね?

要約

PAMを使用して、小規模なネットワークおよび管理された環境でサービスを認証することが可能であることがわかりました。 ハッカー。 これは主に、認証資格情報がプレーンテキストで送信されるため、空港やWi-Fiネットワークなどのオープンネットワークで使用される認証スキームではないためです。 ただし、これは単純な認証メカニズムであり、実装と構成が簡単です。

相談した情報源

PDF版

PDF版をダウンロードする ここで.

次の記事まで!


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

9コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ノーチラス

    フィコさん、すさまじいポストが治りました。 あなたの知識を共有してくれてありがとう。

  2.   ラガルト

    私は、非常に明確なテスト、そして何よりも標準に適合した概念と戦略を備えた、このような詳細レベルの記事をまとめることがいかに難しいかを知っています。 私はこの貢献の宝石に帽子を脱いでいます、このような良い仕事をしてくれたフィコに感謝します。

    私はイカとパム認証を組み合わせたことがありませんが、私の研究室でこの練習をするために可能な限り行きます...目標を抱きしめて、私たちは続けます!!

  3.   フェデリコ

    NaTiluS:コメントと評価をありがとうございます。
    リザード:あなたにも、コメントと評価をありがとうございます。

    このような記事を作成するために費やされた時間と労力は、FromLinuxコミュニティにアクセスした人々の読書とコメントによってのみ報われます。 日々の仕事に役立つことを願っています。
    続けます!

  4.   匿名の

    信じられないほどの市民の貢献!!!! 私はあなたのそれぞれの記事を読みました、そして私は(私のような)フリーソフトウェアの高度な知識を持っていない人でさえこの絶妙な記事を段階的にたどることができると言うことができます。 乾杯!!!!

  5.   IWO

    この他の素晴らしい記事を提供してくれたFicoに感謝します。 すでに公開されているすべての投稿ではそれだけでは不十分であるかのように、これまでPYMESシリーズでカバーされていなかったサービスがあります。これは非常に重要です。「SQUID」またはLANのプロキシです。 私たちが「sysadmins」であると考える人々の家族がここに私たちの知識を研究し、深めるための他の良い資料を持っていることは何もありません。

  6.   フェデリコ

    コメントありがとうございます。 次の記事では、Cyrus-SASLを介したローカル資格情報(PAM)に対する認証を使用するProsodyチャットサーバーについて説明します。このサービスは、この同じサーバーに実装されます。

  7.   けんぱちRo17

    良い時期に田舎者!!!! 私のようにフリーソフトウェアの知識があまりない人でも、これほど精巧な記事で学ぶことに情熱を注いでいます。 私はあなたの貢献をフォローしてきましたが、私は無秩序に読んでいて、詳細を見逃す価値のあるコンテンツがたくさんあると思うので、このシリーズのSMEネットワークから始めることをお勧めする記事を知りたいと思います。 それ以上のことなしに、挨拶と共有された知識とソフトウェアが無料のままであるかもしれません!!

    1.    フェデリコ

      田舎者の挨拶!!!。 長い道のりのように見えるかもしれませんが、迷子にならないように最短の道であるため、最初から始めることをお勧めします。 インデックス内-最後のXNUMXつの記事で更新されていません- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/、シリーズの推奨読書順序を確立しました。これは、私のやり方から始まります。 ワークステーション、主題に捧げられたいくつかの投稿を続けます 仮想化、いくつかの封筒が続きます BIND、Isc-Dhcp-Server、およびDnsmasq、以下同様に、現在のSMEネットワークのサービス実装部分に到達します。 お役に立てば幸いです。

      1.    けんぱちRo17

        まあそれは!!!! すぐにシリーズから始めて、新しい記事を楽しみにしています。 乾杯!!!!