Squid + PAM ავთენტიფიკაცია CentOS 7- SMB ქსელებში

სერიის ზოგადი ინდექსი: კომპიუტერული ქსელები მცირე და საშუალო ბიზნესისთვის: შესავალი

გამარჯობა მეგობრებო და მეგობრებო!

სტატიის სათაური უნდა ყოფილიყო: «MATE + NTP + Dnsmasq + Gateway სერვისი + Apache + Squid PAM ავთენტიფიკაციით Centos 7-ში - მცირე და საშუალო ბიზნესის ქსელები« პრაქტიკული მიზეზების გამო ჩვენ ვმოკლებთ მას.

ჩვენ ვაგრძელებთ ადგილობრივი მომხმარებლების ავტორიზაციას Linux კომპიუტერზე PAM– ის გამოყენებით და ამჯერად ვნახავთ, თუ როგორ შეგვიძლია მივაწოდოთ Proxy სერვისი Squid კომპიუტერით მცირე ქსელისთვის, იმავე კომპიუტერში შენახული ავტორიზაციის სერთიფიკატების გამოყენებით, სადაც სერვერი მუშაობს გარბის Squid.

მიუხედავად იმისა, რომ ჩვენ ვიცით, რომ დღეს ძალიან გავრცელებული პრაქტიკაა OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory და ა.შ. სერვისების ავთენტიფიკაცია, მიგვაჩნია, რომ ჯერ მარტივი და იაფი გადაწყვეტილებები უნდა გამოვიყენოთ, შემდეგ კი ყველაზე რთული პირობა ჩვენ გვჯერა, რომ მარტივიდან კომპლექსში უნდა გადავიდეთ.

სცენა

ეს არის მცირე ორგანიზაცია, ძალიან მცირე ფინანსური რესურსით, რომელიც ეხმარება თავისუფალი პროგრამული უზრუნველყოფის გამოყენებას და აირჩია სახელი FromLinux.Fan. ისინი OS- ს სხვადასხვა ენთუზიასტები არიან CentOS დაჯგუფებულია ერთ ოფისში. მათ იყიდეს სამუშაო სადგური - არა პროფესიონალური სერვერი - რომელსაც ისინი დაუთმობენ, რომ "სერვერი" ფუნქციონირებენ.

ენთუზიასტებს არ აქვთ ფართო ცოდნა იმის შესახებ, თუ როგორ უნდა განახორციელონ OpenLDAP სერვერი ან Samba 4 AD-DC, და არც მათ შეუძლიათ Microsoft Active Directory ლიცენზირება. ამასთან, მათ სჭირდებათ ინტერნეტთან წვდომის სერვისები Proxy– ს საშუალებით ყოველდღიური სამუშაოსთვის - დათვალიერების დაჩქარების მიზნით - და სივრცე, რათა შეინახონ ყველაზე ღირებული დოკუმენტები და მუშაობენ სარეზერვო ასლებად.

ისინი კვლავ ძირითადად იყენებენ ლეგალურად შეძენილი Microsoft ოპერაციულ სისტემებს, მაგრამ სურთ შეცვალონ ისინი Linux- ზე დაფუძნებული ოპერაციული სისტემებით, დაწყებული მათი "სერვერით".

ისინი ასევე ისწრაფვიან ჰქონდეთ საკუთარი ფოსტის სერვერი, რომ გახდნენ დამოუკიდებლები - თუნდაც წარმოშობიდან - ისეთი სერვისები, როგორიცაა Gmail, Yahoo, HotMail და ა.შ., რასაც ამჟამად იყენებენ.

Firewall და მარშრუტიზაციის წესები ინტერნეტის წინაშე დაადგენს მას ADSL როუტერთან, რომელიც ხელშეკრულებულია.

მათ არ აქვთ ნამდვილი დომენის სახელი, რადგან არ სჭირდებათ რაიმე სერვისის გამოქვეყნება ინტერნეტში.

CentOS 7, როგორც სერვერი GUI– ს გარეშე

ჩვენ ვიწყებთ სერვერის ახალი ინსტალაციიდან გრაფიკული ინტერფეისის გარეშე და ერთადერთი ვარიანტი, რომელსაც ამ პროცესში ვირჩევთ არის «ინფრასტრუქტურის სერვერი»როგორც სერიის წინა სტატიებში ვნახეთ.

საწყისი პარამეტრები

[root @ linuxbox] # კატა / ა.შ. / მასპინძლის სახელი 
ლინუქსბოქსი

[root @ linuxbox] # კატა / ა.შ. / მასპინძელი
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox] # ჰოსტის სახელი
ლინუქსბოქსი

[root @ linuxbox] # ჰოსტის სახელი -f
linuxbox.fromlinux.fan

[root @ linuxbox] # ip ადრესატთა სია
[root @ linuxbox] # ifconfig -a
[root @ linuxbox] # ls / sys / class / net /
ens32 ens34 აი

ჩვენ გავთიშავთ ქსელის მენეჯერს

[root @ linuxbox] # systemctl შეაჩერე NetworkManager

[root @ linuxbox] # systemctl გამორთეთ NetworkManager

[root @ linuxbox] # systemctl სტატუსი NetworkManager
● NetworkManager.service - დატვირთულია ქსელის მენეჯერი: დატვირთულია (/usr/lib/systemd/system/NetworkManager.service; გამორთულია; გამყიდველის წინასწარ დაყენებული: ჩართულია) აქტიური: არააქტიური (მკვდარი) Docs: კაცი: NetworkManager (8)

[root @ linuxbox] # ifconfig -a

ჩვენ ვადგენთ ქსელის ინტერფეისებს

Ens32 LAN ინტერფეისი დაკავშირებულია შიდა ქსელთან

[root @ linuxbox] # nano / etc / sysconfig / ქსელის სკრიპტები / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = საზოგადოება

[root @ linuxbox] # ifdown ens32 && ifup ens32

Ens34 WAN ინტერფეისი ინტერნეტთან არის დაკავშირებული

[root @ linuxbox] # nano / etc / sysconfig / ქსელის სკრიპტები / ifcfg-ens34
DEVICE = ens34 ONBOOT = დიახ BOOTPROTO = სტატიკური HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = არა IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL როუტერი უკავშირდება # ამ ინტერფეისს # შემდეგი მისამართით GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = გარე

[root @ linuxbox] # ifdown ens34 && ifup ens34

საცავების კონფიგურაცია

[root @ linuxbox] # cd /etc/yum.repos.d/
[root @ linuxbox] # ორიგინალი მკდირი
[root @ linuxbox] # mv Centos- * ორიგინალი /

[root @ linuxbox] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum ყველას გაწმენდა
დატვირთული დანამატები: fastestmirror, langpacks დასუფთავების საცავები: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: განახლებები-რეპო ყველაფერი ასუფთავებს უსწრაფესი სარკეების ჩამონათვალის გასუფთავებას

[root @ linuxbox yum.repos.d] # yum განახლება
დატვირთული დანამატები: fastestmirror, langpacks Base-Repo | 3.6 კბ 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 კბ 00:00 მედია-რეპო | 3.6 kB 00:00 განახლებები-რეპო | 3.4 კბ 00:00 (1/9): Base-Repo / group_gz | 155 კბ 00:00 (2/9): Epel-Repo / group_gz | 170 კბ 00:00 (3/9): Media-Repo / group_gz | 155 კბ 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / basic_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / basic_db | 1.1 MB 00:00 (7/9): განახლებები-რეპო / პირველადი_დბ | 2.2 MB 00:00 (8/9): Epel-Repo / basic_db | 4.5 MB 00:01 (9/9): Base-Repo / basic_db | 5.6 MB 00:01 უსწრაფესი სარკეების განსაზღვრა განახლებების პაკეტები არ არის მითითებული

Შეტყობინება "განახლებისთვის არ არის მითითებული პაკეტები»ნაჩვენებია იმიტომ, რომ ინსტალაციის დროს ჩვენ განვაცხადეთ იგივე ადგილობრივი საცავები, რაც ჩვენს ხელთ არის.

Centos 7 MATE სამუშაო გარემოსთან ერთად

იმისათვის, რომ გამოვიყენოთ ადმინისტრაციის ძალიან კარგი ხელსაწყოები გრაფიკული ინტერფეისით, რომელსაც CentOS / Red Hat გვაწვდის და რადგან GNOME2 ყოველთვის გვენატრება, გადავწყვიტეთ, რომ MATE დავაყენოთ როგორც საგამომცემლო გარემო.

[root @ linuxbox] # yum ჯგუფი დააინსტალირეთ "X Window system"
[root @ linuxbox] # yum ჯგუფი დააინსტალირეთ "MATE Desktop"

იმისათვის, რომ შეამოწმოთ MATE– ის სწორად ჩატვირთვა, ჩვენ ვასრულებთ შემდეგ ბრძანებას კონსოლში – ლოკალური ან დისტანციური–:

[root @ linuxbox] # systemctl იზოლირება გრაფიკული. სამიზნე

და დესკტოპის გარემო უნდა ჩაიტვირთოს -ადგილობრივ გუნდში- შეუფერხებლად, აჩვენებს lightdm როგორც გრაფიკული შესვლა. ჩვენ ვაწერთ ადგილობრივი მომხმარებლის სახელს და მის პაროლს და შევალთ MATE- ს.

რომ ვუთხრა systemd რომ ნაგულისხმევი ჩატვირთვის დონეა 5 –გრაფიული გარემო - ჩვენ ვქმნით შემდეგ სიმბოლურ ბმულს:

[root @ linuxbox] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

ჩვენ გადატვირთეთ სისტემა და ყველაფერი კარგად მუშაობს.

ჩვენ ვაყენებთ დროის სერვისს ქსელებისთვის

[root @ linuxbox] # yum დააინსტალირეთ ntp

ინსტალაციის დროს ჩვენ ვაყენებთ კონფიგურაციას, რომ ადგილობრივი საათი სინქრონიზებული იქნება აღჭურვილობის დროის სერვერთან sysadmin.fromlinux.fan IP– ით 192.168.10.1. ასე რომ, ჩვენ ვინახავთ ფაილს ntp. კონფიგურაცია ორიგინალი ავტორი:

[root @ linuxbox] # cp /etc/ntp.conf /etc/ntp.conf.original

ახლა ჩვენ ვქმნით ახალს შემდეგი შინაარსით:

[root @ linuxbox] # nano /etc/ntp.conf # ინსტალაციის დროს კონფიგურირებული სერვერები: სერვერი 192.168.10.1 iburst # დამატებითი ინფორმაციისთვის იხილეთ: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # დაუშვით სინქრონიზაცია დროის წყაროსთან, მაგრამ არ დაუშვათ წყაროს კონსულტაცია ან შეცვალოს ეს სერვისი, შეზღუდოს ნაგულისხმევი ნომინალიზაცია notrap nopeer noquery # ინტერფეისისთვის დაშვების უფლება 127.0.0.1 # ადგილობრივ ქსელში არსებული კომპიუტერების ოდნავ ნაკლები შეზღუდვა. შეზღუდეთ 1 ნიღაბი 192.168.10.0 nomodify notrap # გამოიყენეთ პროექტის საჯარო სერვერები pool.ntp.org # თუ გსურთ შეუერთდეთ პროექტს, ეწვიეთ # (http://www.pool.ntp.org/join.html). # მაუწყებლობა 255.255.255.0 autokey # სამაუწყებლო სერვერის სამაუწყებლო კლიენტი # სამაუწყებლო კლიენტი # მაუწყებლობის 192.168.10.255 autokey # მულტიკასტრო სერვერი #multicastclient 224.0.1.1 # multicast კლიენტი #manycastserver 224.0.1.1 # manycast server #manycastclient 239.255.254.254 autokey 239.255.254.254 # საზოგადოებრივი კრიპტოგრაფიის ჩართვა. #crypto includefile / etc / ntp / crypto / pw # გასაღების ფაილი, რომელიც შეიცავს გასაღებებსა და გასაღებ იდენტიფიკატორებს # გამოიყენება სიმეტრიული გასაღების კრიპტოგრაფიული გასაღებით / etc / ntp / გასაღებებით მუშაობის დროს # მიუთითეთ საიტის საიმედო იდენტიფიკატორები. #trustedkey 192.168.10.255 4 8 # მიუთითეთ გასაღების იდენტიფიკატორი, რომელიც უნდა გამოიყენოთ ntpdc კომუნალური პროგრამით. # მოითხოვე გასაღები 42 # მიუთითეთ გასაღების იდენტიფიკატორი, რომელიც უნდა გამოიყენოთ ntpq კომუნალური საშუალებით. #controlkey 8 # სტატისტიკის რეგისტრების ჩაწერის ჩართვა. #statistics საათის სტატისტიკის კრიპტოსტები loopstats peerstats # გამორთეთ გამოყოფის მონიტორი, რათა თავიდან აიცილოთ # შეტევების გაძლიერება ntpdc სიის ბრძანების გამოყენებით, როდესაც ნაგულისხმევი # შეზღუდვა არ შეიცავს noquery flag- ს. დამატებითი ინფორმაციისთვის წაიკითხეთ CVE-8-2013 #. # შენიშვნა: მონიტორი არ არის გამორთული შეზღუდული შეზღუდვის დროშით. მონიტორის გამორთვა

ჩვენ ვაძლევთ საშუალებას, დავიწყოთ და შეამოწმოთ NTP სერვისი

[root @ linuxbox] # systemctl სტატუსი ntpd
T ntpd.service - დატვირთულია ქსელის დროის სერვისი: დატვირთულია (/usr/lib/systemd/system/ntpd.service; გამორთულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: არააქტიური (მკვდარი)

[root @ linuxbox] # systemctl ჩართავს ntpd
შეიქმნა სიგნალი /etc/systemd/system/multi-user.target.wants/ntpd.service დან /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox] # systemctl დაწყება ntpd
[root @ linuxbox] # systemctl სტატუსი ntpd

[root @ linuxbox] # systemctl სტატუსი ntpd
● ntpd.service - ქსელის დროის სერვისი
   დატვირთულია: ჩატვირთული (/usr/lib/systemd/system/ntpd.service; ჩართულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიურია: აქტიური (გაშვებული) პარასკევამდე, 2017-04-14 15:51:08 EDT; 1 წამის წინ პროცესი: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (კოდი = გამოვიდა, სტატუსი = 0 / წარმატება) მთავარი PID: 1308 (ntpd) CG ჯგუფი: /system.slice/ntpd.service 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp და Firewall

[root @ linuxbox] # firewall-cmd - მიიღეთ აქტიური ზონები
გარე
  ინტერფეისი: ens34
საჯარო
  ინტერფეისი: ens32

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 123 / udp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd - ჩატვირთვა
წარმატება

ჩვენ ვუშვებთ და ვაყენებთ კონფიგურაციას Dnsmasq

როგორც მცირე ბიზნესის ქსელების სერიის წინა სტატიაში ვნახეთ, Dnsamasq სტანდარტულად არის დაინსტალირებული CentOS 7 ინფრასტრუქტურის სერვერზე.

[root @ linuxbox] # systemctl სტატუსი dnsmasq
Ns dnsmasq.service - DNS ქეშირების სერვერი. დატვირთულია: დატვირთული (/usr/lib/systemd/system/dnsmasq.service; გამორთულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: არააქტიური (მკვდარი)

[root @ linuxbox] # systemctl ჩართავს dnsmasq
შეიქმნა სიგნალი /etc/systemd/system/multi-user.target.wants/dnsmasq.service- დან /usr/lib/systemd/system/dnsmasq.service- დან.

[root @ linuxbox] # systemctl დაწყება dnsmasq
[root @ linuxbox] # systemctl სტატუსი dnsmasq
Ns dnsmasq.service - DNS ქეშირების სერვერი. დატვირთულია: ჩატვირთული (/usr/lib/systemd/system/dnsmasq.service; ჩართულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: აქტიური (გაშვებული) პარასკევამდე 2017-04-14 16:21:18 EDT; 4s წინ მთავარი PID: 33611 (dnsmasq) C ჯგუფი: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox] # ნანო / და ა.შ. / dnsmasq.conf
# ----------------------------------------------------- ------------------ # ზოგადი პარამეტრები # ---------------------------- - -------------------------------------- დომენის საჭირო # ნუ გადასცემ სახელებს დომენის გარეშე ნაწილი fogus-priv # ნუ გადავცემთ მისამართებს გადაუმოწმებელ სივრცეში expand-hosts # ავტომატურად დაამატეთ დომენი მასპინძელ ინტერფეისში = ens32 # ინტერფეისი LAN მკაცრი წესრიგი # დაალაგეთ /etc/resolv.conf ფაილის კონფიგურაციის მოთხოვნა = / etc /dnsmasq.d domain = desdelinux.fan # დომენის სახელის მისამართი = / time.windows.com / 192.168.10.5 # აგზავნის WPAD მნიშვნელობის ცარიელ ვარიანტს. საჭიროა # Windos 7 და მოგვიანებით კლიენტების სათანადო ქცევა. ;-) dhcp-option = 252, "\ n" # ფაილი, სადაც განვაცხადებთ HOSTS- ს, რომელიც "აკრძალული იქნება" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ------------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --- ---------------------------- # ამ ტიპის რეგისტრაცია მოითხოვს # / / და მასპინძლების ფაილში შეყვანას # მაგ .: 192.168.10.5 .10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # აბრუნებს MX ჩანაწერს სახელწოდებით "desdelinux.fan", რომელიც განკუთვნილია # mail.desdelinux კომპიუტერი. 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # fan და პრიორიტეტი # MX ჩანაწერების ნაგულისხმევი დანიშნულება, რომლებიც იქმნება # localmx ოპციის გამოყენებით, იქნება: mx-target = mail.desdelinux.fan # აბრუნებს MX ჩანაწერს, რომელიც მიუთითებს mx- სამიზნეზე ყველა # ადგილობრივი მანქანის localmx # TXT ჩანაწერისთვის. ასევე შეგვიძლია გამოვაცხადოთ SPF ჩანაწერი txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "DesdeLinux, თქვენი ბლოგი, რომელიც ეძღვნება თავისუფალ პროგრამულ უზრუნველყოფას" # -------- - ----------------------------------------------------- - -------- # დიაპაზონი და გამოყენება # ---------------------------------------- --- ---------------------------- # IPv1 დიაპაზონი და საიჯარო დრო # 29-დან 192.168.10.30,192.168.10.250,8-მდე არის სერვერებისთვის და სხვა dhcp საჭიროებისთვის - არეალი = 222h dhcp-lease-max = 150 # საიჯარო მისამართების მაქსიმალური რაოდენობა # სტანდარტულად არის 6 # IPV1234 დიაპაზონი # dhcp-range = 1,255.255.255.0 ::, მხოლოდ ra # ოფციები RANGE # OPTIONS dhcp-option = 3,192.168.10.5 # NETMASK dhcp-option = 6,192.168.10.5 # ROUTER GATEWAY dhcp-option = 15 # DNS სერვერები dhcp-option = 19,1, desdelinux.fan # DNS დომენის სახელი dhcp-option = 28,192.168.10.255, 42,192.168.10.5 # ვარიანტი ip-forwarding ON dhcp-option = XNUMX # BROADCAST dhcp-option = XNUMX # NTP dhcp- ავტორიტეტული # ავტორიტეტული DHCP ქვე ქსელში # -------------- --- --------------- ------------------------------------ # თუ გსურთ შეინახოთ / var / log / შეტყობინებები ჟურნალში მოთხოვნების # გააუქმეთ ქვემოთ მოცემული სტრიქონი # -------------------------------------------- --------------------------
# ჟურნალის მოთხოვნა
# დასრულება ფაილი /etc/dnsmasq.conf # ------------------------------------------ ----------------------------

ჩვენ ვქმნით ფაილს / etc / banner_add_hosts

[root @ linuxbox] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 ჩამოტვირთვა.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www . გადმოწერა.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

ფიქსირებული IP მისამართები

[root @ linuxbox] # nano / etc / მასპინძლები
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

ჩვენ ვაყენებთ ფაილს /etc/resolv.conf - resolver

[root @ linuxbox] # nano /etc/resolv.conf
desdelinux.fan nameserver– ის ძებნა 127.0.0.1 # გარე ან არა – დომენური DNS მოთხოვნებისათვის # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

ჩვენ ვამოწმებთ ფაილის სინტაქსს dnsmasq.conf, ჩვენ ვიწყებთ და ვამოწმებთ მომსახურების სტატუსს

[root @ linuxbox] # dnsmasq - ტესტი
dnsmasq: სინტაქსის შემოწმება OK.
[root @ linuxbox] # systemctl გადატვირთეთ dnsmasq
[root @ linuxbox] # systemctl სტატუსი dnsmasq

Dnsmasq და Firewall

[root @ linuxbox] # firewall-cmd - მიიღეთ აქტიური ზონები
გარე
  ინტერფეისი: ens34
საჯარო
  ინტერფეისი: ens32

მომსახურება domain o დომენის სახელის სერვერი (dns). Ოქმი დარტყმა «IP შიფრაციით«

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 53 / tcp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd --zone = public --add-port = 53 / udp - მუდმივი
წარმატება

Dnsmasq მოთხოვნები გარე DNS სერვერებზე

[root @ linuxbox] # firewall-cmd --zone = external --add-port = 53 / tcp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd --zone = external --add-port = 53 / udp - მუდმივი
წარმატება

მომსახურება ჩექმები o BOOTP სერვერი (dhcp) Ოქმი ippc «ინტერნეტ პაკეტის ძირითადი ბირთვი«

[root @ linuxbox] # firewall-cmd --zone = public --add-port = 67 / tcp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd --zone = public --add-port = 67 / udp - მუდმივი
წარმატება

[root @ linuxbox] # firewall-cmd - ჩატვირთვა
წარმატება

[root @ linuxbox] # firewall-cmd - info-zone საჯარო საზოგადოება (აქტიური)
  სამიზნე: ნაგულისხმევი icmp-block-inversion: ინტერფეისი არ არის: ens32 წყაროები: მომსახურება: dhcp dns ntp ssh პორტები: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp ოქმები: მასკარადი: no forward-ports: sourceports: icmp -ბლოკავს: მდიდარი წესები:

[root @ linuxbox] # firewall-cmd - info-zone გარე გარე (აქტიური)
  სამიზნე: ნაგულისხმევი icmp-block-inversion: ინტერფეისების გარეშე: ens34 წყაროები: სერვისები: dns პორტები: 53 / udp 53 / tcp ოქმები: მასკარადი: დიახ, ფორვარდ-პორტები: წყაროები: icmp-blocks: პარამეტრი-პრობლემა გადამისამართება როუტერი-სარეკლამო როუტერი- შუამდგომლობის წყაროს ჩაქრობის მდიდარი წესები:

თუ გვსურს გამოვიყენოთ გრაფიკული ინტერფეისი, Firewall- ის კონფიგურაციისთვის CentOS 7-ში, გადავხედავთ ზოგად მენიუში - ეს დამოკიდებული იქნება სამუშაო გარემოს, რომელშიც გამოჩნდება მენიუ - პროგრამა «Firewall», ვასრულებთ მას და მომხმარებლის შესვლის შემდეგ პაროლი root, ჩვენ პროგრამის ინტერფეისს, როგორც ასეთი, შევწვდებით. MATE- ში ის გამოჩნდება მენიუში «სისტემა »->" ადმინისტრაცია "->" Firewall ".

ჩვენ ვირჩევთ ზონას «საჯარო»და ჩვენ ვაძლევთ უფლებას ჩვენს მიერ გამოქვეყნებულ სერვისებს, რომლებიც აქამდე არის dhcp, დნს, ntp და ssh. სერვისების არჩევის შემდეგ, თუ გადავამოწმებთ, რომ ყველაფერი სწორად მუშაობს, ჩვენ უნდა შევიტანოთ ცვლილებები Runtime to Permanent. ამისათვის ჩვენ გადავდივართ პარამეტრების მენიუში და ვირჩევთ ოფციონს «გაუშვით დრო მუდმივამდე".

მოგვიანებით ჩვენ ვირჩევთ ტერიტორიას «გარე»და ჩვენ ვამოწმებთ, რომ პორტები ღიაა ინტერნეტთან კომუნიკაციისთვის. არ გამოაქვეყნოთ მომსახურება ამ ზონაში, თუ ჩვენ კარგად არ ვიცით რას ვაკეთებთ!.

არ უნდა დაგვავიწყდეს ცვლილებების მუდმივი შეტანა ოფციონის საშუალებით.გაუშვით დრო მუდმივამდე»და განაახლეთ დემონი FirewallDყოველთვის, როდესაც ამ მძლავრ გრაფიკულ ინსტრუმენტს ვიყენებთ.

NTP და Dnsmasq Windows 7 კლიენტისგან

სინქრონიზაცია NTP- თან

გარე

საიჯარო IP მისამართი

Microsoft Windows [ვერსია 6.1.7601] საავტორო უფლებები (c) 2009 Microsoft Corporation. Ყველა უფლება დაცულია. C: \ მომხმარებლები \ buzz> ipconfig / ყველა Windows IP კონფიგურაციის ჰოსტის სახელი. . . . . . . . . . . . : შვიდი
   პირველადი Dns სუფიქსი. . . . . . . :
   კვანძის ტიპი. . . . . . . . . . . . : ჰიბრიდული IP მარშრუტიზაცია ჩართულია. . . . . . . . : WINS პროქსის ჩართვა არ არის. . . . . . . . : DNS სუფიქსის ძიების სია არ არის. . . . . . : desdelinux.fan Ethernet ადაპტერი ადგილობრივი კავშირის კავშირი: კავშირის სპეციფიკური DNS სუფიქსი. : desdelinux.fan აღწერა. . . . . . . . . . . : Intel (R) PRO / 1000 MT ქსელის კავშირის ფიზიკური მისამართი. . . . . . . . . : 00-0C-29-D6-14-36 DHCP ჩართულია. . . . . . . . . . . : დიახ, ავტოკონფიგურაცია ჩართულია. . . . : Და ეს არის
   IPv4 მისამართი. . . . . . . . . . . : 192.168.10.115 (სასურველია)
   ქვექსელის ნიღაბი. . . . . . . . . . . : 255.255.255.0 იჯარა მიღებულია. . . . . . . . . . : პარასკევი, 14 წლის 2017 აპრილი 5:12:53 PM საიჯარო ვადა იწურება. . . . . . . . . . : შაბათი, აპრილი 15, 2017 1:12:53 AM ნაგულისხმევი კარიბჭე. . . . . . . . . : 192.168.10.1 DHCP სერვერი. . . . . . . . . . . : 192.168.10.5 DNS სერვერები. . . . . . . . . . . : 192.168.10.5 NetBIOS მეტი Tcpip. . . . . . . . : ჩართულია გვირაბის ადაპტერი ადგილობრივი კავშირის კავშირი * 9: მედია მდგომარეობა. . . . . . . . . . . : მედიამ გათიშა კავშირის სპეციფიკური DNS სუფიქსი. : აღწერა. . . . . . . . . . . : Microsoft Teredo Tunneling Adapter ფიზიკური მისამართი. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ჩართულია. . . . . . . . . . . : ავტოკონფიგურაცია ჩართული არ არის. . . . : დიახ გვირაბის ადაპტერი isatap.fromlinux.fan: Media State. . . . . . . . . . . : მედიამ გათიშა კავშირის სპეციფიკური DNS სუფიქსი. : desdelinux.fan აღწერა. . . . . . . . . . . : Microsoft ISATAP ადაპტერი # 2 ფიზიკური მისამართი. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ჩართულია. . . . . . . . . . . : ავტოკონფიგურაცია ჩართული არ არის. . . . : დიახ C: \ მომხმარებლები \ buzz>

Tip

მნიშვნელოვანი მნიშვნელობა Windows კლიენტებში არის "პირველადი Dns სუფიქსი" ან "ძირითადი კავშირის სუფიქსი". როდესაც Microsoft Domain Controller არ არის გამოყენებული, ოპერაციული სისტემა მას რაიმე მნიშვნელობას არ ანიჭებს. თუ სტატიის დასაწყისში აღწერილი შემთხვევის წინაშე ვდგავართ და გვინდა, რომ მკაფიოდ გამოვაცხადოთ ეს მნიშვნელობა, უნდა გავაგრძელოთ შემდეგ სურათზე ნაჩვენები, მივიღოთ ცვლილებები და ხელახლა დავიწყოთ კლიენტი.

 

თუ ისევ გავიქცევით CMD -> ipconfig / ყველა ჩვენ მივიღებთ შემდეგს:

Microsoft Windows [ვერსია 6.1.7601] საავტორო უფლებები (c) 2009 Microsoft Corporation. Ყველა უფლება დაცულია. C: \ მომხმარებლები \ buzz> ipconfig / ყველა Windows IP კონფიგურაციის ჰოსტის სახელი. . . . . . . . . . . . : შვიდი
   პირველადი Dns სუფიქსი. . . . . . . : desdelinux.fan
   კვანძის ტიპი. . . . . . . . . . . . : ჰიბრიდული IP მარშრუტიზაცია ჩართულია. . . . . . . . : WINS პროქსი ჩართულია. . . . . . . . : DNS სუფიქსის ძიების სია არ არის. . . . . . : desdelinux.fan

დანარჩენი ღირებულებები უცვლელი რჩება

DNS ამოწმებს

buzz @ sysadmin: host $ მასპინძელი spynet.microsoft.com
spynet.microsoft.com მისამართი აქვს 127.0.0.1 მასპინძელი spynet.microsoft.com ვერ მოიძებნა: 5 (უარყოფილი) spynet.microsoft.com ფოსტა ამუშავებს 1 mail.fromlinux.fan.

buzz @ sysadmin: host $ მასპინძელი linuxbox
linuxbox.desdelinux.fan მისამართი აქვს 192.168.10.5 linuxbox.desdelinux.fan ფოსტა ამუშავებს 1 mail.desdelinux.fan.

buzz @ sysadmin: host $ მასპინძელი sysadmin
sysadmin.desdelinux.fan მისამართი აქვს 192.168.10.1 sysadmin.desdelinux.fan ფოსტა ამუშავებს 1 mail.desdelinux.fan.

buzz @ sysadmin: host $ მასპინძელი ფოსტა
mail.desdelinux.fan არის მეტსახელი linuxbox.desdelinux.fan- ისთვის. linuxbox.desdelinux.fan მისამართი აქვს 192.168.10.5 linuxbox.desdelinux.fan ფოსტა ამუშავებს 1 mail.desdelinux.fan.

ჩვენ ვამონტაჟებთ -მხოლოდ ტესტირებისთვის- ავტორიტეტული DNS სერვერი NSD sysadmin.fromlinux.fanდა ჩვენ მოიცავს IP მისამართს 172.16.10.1 არქივში /etc/resolv.conf გუნდის linuxbox.fromlinux.fan, იმის დასადასტურებლად, რომ დნმასმაკი სწორად ასრულებდა ექსპედიტორის ფუნქციას. ქვიშის ყუთები NSD სერვერზე არის favt.org y toujague.org. ყველა IP ფიქტიურია ან კერძო ქსელებიდან.

თუ ჩვენ გავთიშავთ WAN ინტერფეისს 34 ბრძანების გამოყენებით ifdown ens34, Dnsmasq ვერ შეძლებს გარე DNS სერვერების მოთხოვნას.

[buzz @ linuxbox] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ მასპინძელი -t mx toujague.org
მასპინძელი toujague.org ვერ მოიძებნა: 3 (NXDOMAIN)

[buzz @ linuxbox] $ მასპინძელი pizzapie.favt.org
მასპინძელი pizzapie.favt.org ვერ მოიძებნა: 3 (NXDOMAIN)

მოდით ჩართოთ ens34 ინტერფეისი და კვლავ გადავამოწმოთ:

[buzz @ linuxbox] $ sudo ifup ens34

buzz @ linuxbox] $ მასპინძელი pizzapie.favt.org
pizzapie.favt.org არის alis paisano.favt.org- ისთვის. paisano.favt.org– ს აქვს მისამართი 172.16.10.4

[buzz @ linuxbox] $ მასპინძელი pizzapie.toujague.org
მასპინძელი pizzas.toujague.org ვერ მოიძებნა: 3 (NXDOMAIN)

[buzz @ linuxbox] $ მასპინძელი poblacion.toujague.org
poblacion.toujague.org– ს აქვს 169.18.10.18 მისამართი

[buzz @ linuxbox] $ მასპინძელი -t NS favt.org
favt.org სახელის სერვერი ns1.favt.org. favt.org სერვერის ns2.favt.org.

[buzz @ linuxbox] $ მასპინძელი -t NS toujague.org
Toujague.org სერვერის სახელი ns1.toujague.org. Toujague.org სერვერის სახელი ns2.toujague.org.

[buzz @ linuxbox] $ მასპინძელი -t MX toujague.org
toujague.org ფოსტით დამუშავებულია 10 mail.toujague.org.

მოდით, კონსულტაციები გავუწიოთ sysadmin.fromlinux.fan:

buzz @ sysadmin: cat $ cat /etc/resolv.conf 
მოძებნეთ linux.fan nameserver 192.168.10.5

xeon @ sysadmin: host $ მასპინძელი mail.toujague.org
mail.toujague.org– ს აქვს 169.18.10.19 მისამართი

დნსმასკი მუშაობს გამგზავნი სწორად

Squid

წიგნში PDF ფორმატში «Linux სერვერის კონფიგურაცია»ავტორის მიერ დათარიღებული 25 წლის 2016 ივლისი ჯოელ ბარიოს დუენიასი (darkshram@gmail.com - http://www.alcancelibre.org/), ტექსტი, რომელსაც წინა სტატიებში ვახსენებდი, აქ ეძღვნება მთელი თავი Squid ძირითადი კონფიგურაციის პარამეტრები.

ვებ – მარიონეტული სერვისის მნიშვნელობიდან გამომდინარე, ჩვენ აღვადგენთ Squid– ის შესახებ შესავალ წიგნს:

105.1. შესავალი

105.1.1. რა არის შუამავალი სერვერი (მარიონეტული)?

ტერმინი ინგლისურ ენაზე "მარიონეტული" აქვს ძალიან ზოგადი და ამავე დროს ორაზროვანი მნიშვნელობა, თუმცა
უცვლელად განიხილება კონცეფციის სინონიმი "შუამავალი". იგი ჩვეულებრივ ითარგმნება, მკაცრი გაგებით, როგორც დელეგატი o მარიონეტული (ის, ვისაც სხვაზე ძალა აქვს).

Un შუამავალი სერვერი იგი განისაზღვრება, როგორც კომპიუტერი ან მოწყობილობა, რომელიც გთავაზობთ ქსელურ მომსახურებას, რომელიც შედგება კლიენტების მიერ ქსელის სხვა სერვისებთან არაპირდაპირი კავშირის დამყარებისგან. პროცესის განმავლობაში ხდება შემდეგი:

• კლიენტი უკავშირდება ა მარიონეტული სერვერი.
• კლიენტი ითხოვს დაკავშირებას, ფაილს ან სხვა სერვერზე არსებულ სხვა რესურსს.
• შუამავალი სერვერი უზრუნველყოფს რესურსს ან მითითებულ სერვერთან დაკავშირების გზით
  ან ემსახურება მას cache.
• ზოგიერთ შემთხვევაში შუამავალი სერვერი შეუძლია შეცვალოს კლიენტის მოთხოვნა ან
  სერვერის რეაგირება სხვადასხვა მიზნებისთვის.

L მარიონეტული სერვერები ზოგადად, ისინი ერთდროულად მუშაობენ, როგორც სახანძრო კედელი ქსელის დონე, მოქმედებს როგორც პაკეტის ფილტრი, როგორც იმ შემთხვევაში, თუ iptables ან მუშაობს განაცხადის დონე, სხვადასხვა სერვისების კონტროლი, როგორც ეს ხდება TCP შეფუთვა. კონტექსტიდან გამომდინარე, ცეცხლის კედელი ასევე ცნობილია, როგორც BPD o Bმიზნით Pბრუნვა Device ან უბრალოდ პაკეტის ფილტრი.

საერთო გამოყენება მარიონეტული სერვერები არის ქსელის შინაარსის ქეშის ფუნქცია (ძირითადად HTTP), რომელიც უზრუნველყოფს კლიენტების სიახლოვეს გვერდებსა და ფაილების ქეშს, რომლებიც ხელმისაწვდომია ქსელის საშუალებით დისტანციურ HTTP სერვერებზე, რაც საშუალებას აძლევს ადგილობრივი ქსელის კლიენტებს უფრო სწრაფად და უფრო სწრაფად მიიღონ მათზე წვდომა საიმედო

როდესაც თხოვნა მიიღება ქსელის მითითებულ რესურსზე, ა URL (Uფორმის Rწყარო Lოკატორი) შუამავალი სერვერი ვეძებთ შედეგს URL ქეშის შიგნით. თუ იგი ნაპოვნია, შუამავალი სერვერი პასუხობს მომხმარებელს მოთხოვნილი შინაარსის დაუყოვნებლივ მიწოდებით. თუ მოთხოვნილი შინაარსი არ არის ქეშში, შუამავალი სერვერი იგი მოიტანს მას დისტანციური სერვერიდან, გადასცემს მას კლიენტს, რომელმაც ეს მოითხოვა და ასლის ინახავს ქეშში. შემდეგ მეხსიერებაში ამოღებულია შინაარსის ვადა ამოწურვის ალგორითმის საშუალებით, ასაკის, ზომისა და ისტორიის შესაბამისად მოთხოვნებზე პასუხები (ჰიტები) (მაგალითები: LRU, LFUDA y GDSF).

მარიონეტული სერვერები ქსელის შინაარსისთვის (Web Proxies) ასევე შეიძლება მოქმედებდეს როგორც მოწოდებული შინაარსის ფილტრები, თვითნებური კრიტერიუმების შესაბამისად ცენზურის პოლიტიკის გამოყენებით..

Squid ვერსია, რომელსაც ჩვენ დავაყენებთ არის 3.5.20-2.el7_3.2 საცავისგან განახლებები.

მონტაჟი

[root @ linuxbox] # yum დააყენეთ კალმარი

[root @ linuxbox] # ls / etc / squid /
cachemgr.conf შეცდომა. page.css.default  კალმარი
cachemgr.conf.default mime.conf              კალმარი.conf.default
შეცდომა. css mime.conf.default

[root @ linuxbox] # systemctl საშუალებას აძლევს კალმარს

მნიშვნელოვანი

• ამ სტატიის მთავარი მიზანია ადგილობრივი მომხმარებლების უფლებამოსილება, დაუკავშირდნენ Squid- ს LAN- ით სხვა კომპიუტერიდან. გარდა ამისა, განახორციელეთ სერვერის ბირთვი, რომელსაც სხვა სერვისები დაემატება. ეს არ არის სტატია, რომელიც ეძღვნება Squid- ს, როგორც ასეთს.
• Squid- ის კონფიგურაციის ვარიანტებზე იდეის მისაღებად წაიკითხეთ /usr/share/doc/squid-3.5.20/squid.conf.documented ფაილი, რომელსაც აქვს 7915 სტრიქონი.

SELinux და Squid

[root @ linuxbox] # getsebool -a | grep squid
squid_connect_any -> squid_use_tproxy– ზე -> გამორთული

[root @ linuxbox] # setsebool -P squid_connect_any = ჩართულია

კონფიგურაცია

[root @ linuxbox] # ნანო / და ა.შ. / სკუდი / სკუდი.კონფ
# LAN acl localnet src 192.168.10.0/24 acl SSL_ პორტი 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # არარეგისტრირებული პორტები acl Safe_ports პორტი 280 # http-mgmt acl Safe_ports პორტი 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT მეთოდი CONNECT # ჩვენ უარვყოფთ არასაიმედო პორტების მოთხოვნებს http_access უარყოფს! Safe_ports # ჩვენ უარყოფთ CONNECT მეთოდს არასაიმედო პორტებისთვის http_access უარყოფს CONNECT! SSL_ports # Cache მენეჯერის წვდომა მხოლოდ localhost– ისგან ადგილობრივი მომხმარებელი http_access უარყოფს_localhost- ს # # შეიტანეთ თქვენი საკუთარი წესი (აქ) აქ ნება დართეთ თქვენს კლიენტებს # # PAM ავტორიზაციისთვის.
auth_param ძირითადი პროგრამა / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic domain საწყისი linux.fan auth_param ძირითადი სერთიფიკატი 2 საათის განმავლობაში auth_param ძირითადი შემთხვევები მგრძნობიარეა გამორთული # საჭიროა ავტორიზაციის ავტორიზაცია Squid Enthusiasts– ზე მარიონეტული ვიწრო მოთხოვნით # ჩვენ ვუშვებთ ავტორიზებულ მომხმარებლებს წვდომას # PAM– ით acl ftp proto FTP http_access allow ftp http_access allow localnet http_access allow localhost # ჩვენ უარვყოფთ რაიმე სხვა წვდომას მარიონეტულ ქსელზე spool / squid # # დაამატეთ თქვენი საკუთარი განახლების_ზარგების ჩანაწერები ზემოთ. # refresh_pattern ^ ftp: 3128 3128% 1440 refresh_pattern ^ gopher: 20 10080% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 1440% 0 refresh_pattern. 0 0% 0 cache_mem 20 MB # cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4320 64 4096 maximum_object_size 16 MB cache_swap_low 256 cache_swap_highux 4 cache_uxguxuxuxuxuxuxuxuxuxuxuxuxuxuxuxmuxr

ჩვენ ვამოწმებთ ფაილის სინტაქსს /და ა.შ/squid/squid.conf

[root @ linuxbox] # კალმარი -k ანალიზი
2017/04/16 15: 45: 10 | გაშვება: ავთენტიფიკაციის სქემების ინიციალიზაცია ...
 2017/04/16 15: 45: 10 | სტარტაპი: იდენტიფიცირებული ავთენტიფიკაციის სქემა 'ძირითადი' 2017/04/16 15: 45: 10 | სტარტაპი: იდენტიფიცირებული ავთენტიფიკაციის სქემა 'დაიჯესტი' 2017/04/16 15: 45: 10 | სტარტაპი: იდენტიფიცირებული ავთენტიფიკაციის სქემა 'მოლაპარაკება' 2017/04/16 15: 45: 10 | გაშვება: იდენტიფიცირებული ავთენტიფიკაციის სქემა 'ntlm' 2017/04/16 15: 45: 10 | გაშვება: იდენტიფიცირებული იდენტიფიკაცია.
 2017/04/16 15: 45: 10 | კონფიგურაციის ფაილის დამუშავება: /etc/squid/squid.conf (სიღრმე 0) 2017/04/16 15: 45: 10 | დამუშავება: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | დამუშავება: acl SSL_ პორტი 443 21 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 80 # http 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 21 # ftp 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 443 # https 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 70 # gopher 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 210 # wais 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 1025-65535 # არარეგისტრირებული პორტი 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 280 # http-mgmt 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 488 # gss-http 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 591 # ფაილშემკეთებელი 2017/04/16 15: 45: 10 | დამუშავება: acl Safe_ports პორტი 777 # მულტილინგი http 2017/04/16 15: 45: 10 | დამუშავება: acL CONNECT მეთოდი CONNECT 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფს! უსაფრთხო_პორტები 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფს CONNECT! SSL_ports 2017/04/16 15: 45: 10 | დამუშავება: http_access დაუშვით localhost მენეჯერი 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფის მენეჯერი 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფს to_localhost 2017/04/16 15: 45: 10 | დამუშავება: auth_param ძირითადი პროგრამა / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | დამუშავება: auth_param ძირითადი ბავშვები 5 2017/04/16 15: 45: 10 | დამუშავება: auth_param ძირითადი სფერო linux– დან .fan 2017/04/16 15: 45: 10 | დამუშავება: auth_param ძირითადი სერთიფიკატი 2 საათის განმავლობაში 2017/04/16 15: 45: 10 | დამუშავება: auth_param ძირითადი შემთხვევები მგრძნობიარეა 2017/04/16 15: 45: 10 | დამუშავება: acl Enthusiasts proxy_auth მოითხოვება 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფს! ენთუზიასტები 2017/04/16 15: 45: 10 | დამუშავება: acl ftp proto FTP 2017/04/16 15: 45: 10 | დამუშავება: http_access დაუშვით ftp 2017/04/16 15: 45: 10 | დამუშავება: http_access საშუალებას localnet 2017/04/16 15: 45: 10 | დამუშავება: http_access საშუალებას localhost 2017/04/16 15: 45: 10 | დამუშავება: http_access უარყოფს ყველაფერს 2017/04/16 15: 45: 10 | დამუშავება: http_port 3128 2017/04/16 15: 45: 10 | დამუშავება: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | დამუშავება: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | დამუშავება: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | დამუშავება: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | დამუშავება: refresh_pattern. 

ჩვენ ვარეგულირებთ ნებართვებს სისტემაში / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox] # chmod u + s / usr / lib64 / squid / basic_pam_auth

ჩვენ ვქმნით cache დირექტორიას

# ყოველი შემთხვევისთვის ... [root @ linuxbox ~] # სერვისის კალმარის გაჩერება
გადამისამართება / bin / systemctl stop squid.service- ზე

[root @ linuxbox] # კალმარი -ზ
[root @ linuxbox] # 2017/04/16 15:48:28 kid1 | აქტუალური დირექტორიის მითითება / var / spool / squid 2017/04/16 15:48:28 kid1 | დაკარგული სვოპ დირექტორიების შექმნა 2017/04/16 15:48:28 kid1 | / var / spool / squid არსებობს 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | დირექტორიების დამზადება / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | დირექტორიების დამზადება / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | დირექტორიების დამზადება / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | დირექტორიების დამზადება / var / spool / squid / 0F- ში

ამ ეტაპზე, თუ დრო სჭირდება ბრძანების სტრიქონის დაბრუნებას - რომელიც არასდროს დამიბრუნდა - დააჭირეთ Enter- ს.

[root @ linuxbox] # სერვისის კალმარის დაწყება
[root @ linuxbox] # სერვისის კალმარის გადატვირთვა
[root @ linuxbox] # სამსახურის კალმარის სტატუსი
გადამისამართება / bin / systemctl სტატუსისკენ squid.service ● squid.service - Squid caching proxy Loaded: loaded (/usr/lib/systemd/system/squid.service; გამორთულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: აქტიური (გაშვებული) dom 2017-04-16 15:57:27 EDT; 1 წამის წინ პროცესი: 2844 ExecStop = / usr / sbin / squid -k გამორთვა -f $ SQUID_CONF (კოდი = გამოვიდა, სტატუსი = 0 / წარმატება) პროცესი: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (კოდი = გამოვიდა, სტატუსი = 0 / SUCCESS) პროცესი: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (კოდი = გამოვიდა, სტატუსი = 0 / SUCCESS) მთავარი PID: 2876 (squid) CGroup: /system.slice/squid . სერვისი └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 აპრილი 15:57:27 linuxbox systemd [1]: იწყება Squid caching proxy ... 16 აპრილი 15:57:27 linuxbox systemd [1]: დაიწყო Squid caching proxy. 16 აპრილი 15:57:27 linuxbox squid [2876]: Squid Parent: დაიწყება 1 ბავშვი 16 აპრილი 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) პროცესი 2878 ... ed 16 აპრილი 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) პროცესი 2878 ... 1 მინიშნება: ზოგიერთი სტრიქონი დაიხურა, გამოიყენეთ -l სრულად აჩვენეთ

[root @ linuxbox] # კატა / ვარი / ჟურნალი / შეტყობინებები | grep squid

Firewall აფიქსირებს

ჩვენ ასევე უნდა გახსნათ ზონაშიგარე"პორტები 80 HTTP y 443 HTTPS ასე რომ Squid- ს შეუძლია დაუკავშირდეს ინტერნეტს.

[root @ linuxbox] # firewall-cmd --zone = external --add-port = 80 / tcp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd --zone = external --add-port = 443 / tcp - მუდმივი
წარმატება
[root @ linuxbox] # firewall-cmd - ჩატვირთვა
წარმატება
[root @ linuxbox] # firewall-cmd - ინფო-ზონის გარეგანი
გარე (აქტიური) სამიზნე: ნაგულისხმევი icmp-block-inversion: ინტერფეისების გარეშე: ens34 წყაროები: მომსახურება: dns პორტები: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  ოქმები: მასკარადი: დიახ, ფორვარდის პორტები: წყაროები: icmp-blocks: პარამეტრი-პრობლემა გადამისამართება როუტერი-რეკლამა როუტერი-შუამდგომლობა წყარო-ჩაქრობის მდიდარი წესები:

• უსაქმური არ არის გრაფიკულ პროგრამაში გადასვლა «Firewall- ის პარამეტრები»და შეამოწმეთ, რომ 443 tcp, 80 tcp, 53 tcp და 53 udp პორტები გახსნილია ზონისთვის«გარე«და რომ ჩვენ მისთვის არანაირი სერვისი არ გამოქვეყნებულა.

შენიშვნა basic_pam_auth დამხმარე პროგრამის შესახებ

თუ ამ კომუნალური სახელმძღვანელოს გავეცნობით კაცი basic_pam_auth ჩვენ წავიკითხავთ, რომ თავად ავტორი მკაცრად რეკომენდაციას უწევს, რომ პროგრამა გადაიტანოს იმ დირექტორიაში, სადაც ჩვეულებრივ მომხმარებლებს არ აქვთ საკმარისი უფლებები ამ ინსტრუმენტზე წვდომისთვის.

მეორეს მხრივ, ცნობილია, რომ ამ ავტორიზაციის სქემით, სერთიფიკატები იგზავნება უბრალო ტექსტში და ის არ არის უსაფრთხო მტრული გარემოსათვის, წაიკითხეთ ღია ქსელები.

ჯეფ იესტრუმკის მიუძღვნა სტატია «როგორ უნდა დააყენოთ უსაფრთხო ვებ მარიონეტული SSL დაშიფვრის, Squid Caching Proxy და PAM ავტორიზაციის გამოყენებით»ამ ავტორიზაციის სქემით უსაფრთხოების გაზრდის საკითხს, რათა ის გამოყენებულ იქნას პოტენციურად მტრულ ღია ქსელებში.

ჩვენ ვაყენებთ httpd- ს

Squid– ის და, სხვათა შორის, დნმასმასკის მუშაობის შემოწმების საშუალებად, ჩვენ დავაყენებთ სერვისს httpd -Apache სერვერზე- რომლის გაკეთება საჭირო არ არის. ფაილი Dnsmasq– სთან დაკავშირებით / etc / banner_add_hosts ჩვენ ვაცხადებთ, რომ ჩვენი საიტები აკრძალულია და ჩვენ გამოვყოფთ იმავე IP მისამართს, რომელიც მას აქვს ლინუქსბოქსი. ამრიგად, თუ ჩვენ ვითხოვთ რომელიმე ამ საიტზე შესვლას, ვებ – გვერდის საწყისი გვერდი httpd.

[root @ linuxbox] # yum ინსტალაცია httpd [root @ linuxbox ~] # systemctl ჩართვა httpd
შეიქმნა სიმბოლო /etc/systemd/system/multi-user.target.wants/httpd.service დან /usr/lib/systemd/system/httpd.service.

[root @ linuxbox] # systemctl დაიწყეთ httpd

[root @ linuxbox] # systemctl სტატუსი httpd
D httpd.service - ჩატვირთულია Apache HTTP სერვერი: ჩატვირთულია (/usr/lib/systemd/system/httpd.service; ჩართულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: აქტიური (გაშვებული) 2017-04-16 16:41 წლიდან: 35 EDT; 5 წლის წინ Docs: კაცი: httpd (8) კაცი: apachectl (8) მთავარი PID: 2275 (httpd) სტატუსი: "მოთხოვნების დამუშავება ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND 2276 / usr / sbin / httpd -DFOREGROUND 2277 / usr / sbin / httpd -DFOREGROUND 2278 / usr / sbin / httpd -DFOREGROUND 2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 აპრილი 16:41:35 linuxbox systemd [1]: იწყება Apache HTTP სერვერი ... 16 აპრილი 16:41:35 linuxbox systemd [1]: დაიწყო Apache HTTP სერვერი.

SELinux და Apache

Apache– ს აქვს SELinux კონტექსტში კონფიგურაციის რამდენიმე პოლიტიკა.

[root @ linuxbox] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect ქსელის off_zabbix_> off httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> on httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick off> გამორთულია httpd_runcobshift offlimift_runco_sticky httpd_ssi_exec -> გამორთულია httpd_sys_script_anon_write -> გამორთულია httpd_tmp_exec -> გამორთულია httpd_tty_comm - > გამორთული httpd_unified -> გამორთული httpd_use_cifs -> გამორთულია httpd_use_fusefs -> გამორთულია httpd_use_gpg -> გამორთულია httpd_use_nfs -> გამორთულია httpd_use_openstack -> გამორთულია httpd_use_sasl -> გამორთულია httpd_verify_dns -> გამორთულია

ჩვენ მხოლოდ შემდეგს ვაყენებთ:

გაუგზავნეთ ელ.ფოსტა აპაჩის საშუალებით

root @ linuxbox] # setsebool -P httpd_can_sendmail 1

მიეცით უფლება Apache- ს წაიკითხოს შინაარსი, რომელიც მდებარეობს ადგილობრივი მომხმარებლების საშინაო დირექტორიებში

root @ linuxbox] # setsebool -P httpd_read_user_content 1

FTP ან FTPS საშუალებით ადმინისტრირების უფლება მიეცით ნებისმიერი დირექტორია, რომელსაც მართავს
Apache ან მისცეს Apache- ს ფუნქციის ფუნქცია, როგორც FTP სერვერი, რომელიც უსმენს მოთხოვნებს FTP პორტის საშუალებით

[root @ linuxbox] # setsebool -P httpd_enable_ftp_server 1

დამატებითი ინფორმაციისთვის, გთხოვთ, წაიკითხოთ Linux სერვერის კონფიგურაცია.

ჩვენ ვამოწმებთ ავთენტიფიკაციას

ეს მხოლოდ რჩება ბრაუზერის გახსნა სამუშაო სადგურზე და წერტილში, მაგალითად, დან http://windowsupdate.com. ჩვენ შეამოწმებთ, რომ მოთხოვნა სწორად არის გადაყვანილი Linux- ის Apache- ს მთავარ გვერდზე. ფაქტობრივად, ნებისმიერი საიტის სახელი დეკლარირებულია ფაილში / etc / banner_add_hosts თქვენ იმავე გვერდზე გადამისამართდებით.

სტატიის ბოლოს გამოსახულებები ამას მოწმობს.

მომხმარებლების მენეჯმენტი

ჩვენ ამას ვაკეთებთ გრაფიკული ინსტრუმენტის გამოყენებით «მომხმარებლის მართვა»რომელსაც ჩვენ ვწვდებით მენიუს მეშვეობით სისტემა -> ადმინისტრაცია -> მომხმარებლის მენეჯმენტი. ყოველთვის, როდესაც ახალ მომხმარებელს დავამატებთ, მისი საქაღალდე იქმნება / სახლი / მომხმარებელი ავტომატურად.

 

სარეზერვო

Linux კლიენტები

თქვენ გჭირდებათ მხოლოდ ჩვეულებრივი ფაილის ბრაუზერი და მიუთითეთ, რომ გსურთ დაკავშირება, მაგალითად: ssh: // buzz @ linuxbox / home / buzz და პაროლის შეყვანის შემდეგ გამოჩნდება დირექტორია მთავარი მომხმარებლის შესახებ ბაზ.

ვინდოუსის კლიენტები

Windows კლიენტებში ჩვენ ვიყენებთ ინსტრუმენტს WinSCP. ინსტალაციის შემდეგ, მას შემდეგნაირად ვიყენებთ:

 

 

მარტივი, არა?

რეზიუმე

ჩვენ ვნახეთ, რომ შესაძლებელია PAM- ის გამოყენება მცირე ქსელში და კონტროლირებად გარემოში სერვისების ავთენტიფიკაციისთვის, Hackers. ეს ძირითადად განპირობებულია იმით, რომ ავტორიზაციის სერთიფიკატები უბრალო ტექსტში გადადის და, შესაბამისად, ეს არ არის ავტორიზაციის სქემა, რომელიც უნდა იქნას გამოყენებული ღია ქსელებში, როგორიცაა აეროპორტები, Wi-Fi ქსელები და ა.შ. ამასთან, ეს არის მარტივი ავტორიზაციის მექანიზმი, რომლის განხორციელება და კონფიგურაცია მარტივია.

კონსულტაციები მიიღეს წყაროებმა

• Linux სერვერის კონფიგურაცია
• ბრძანებების სახელმძღვანელოები - კაცი გვერდები

PDF ვერსია

ჩამოტვირთეთ PDF ვერსია აქ.

შემდეგ სტატიამდე!