SquOS + CentOS 7-SMB желілеріндегі PAM аутентификациясы

Серияның жалпы индексі: ШОБ үшін компьютерлік желілер: кіріспе

Автор: Федерико Антонио Вальдес Тужаге
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Сәлем достар және достар!

Мақаланың тақырыбы: «Centos 7-де PAM аутентификациясы бар MATE + NTP + Dnsmasq + шлюз қызметі + Apache + Squid - ШОБ желілері«. Іс жүзінде біз оны қысқартамыз.

Жергілікті пайдаланушыларға Linux компьютерінде PAM көмегімен аутентификацияны жалғастырамыз және бұл жолы прокси-сервисті Squid-пен кішігірім компьютерлер желісі үшін, сол компьютерде сақталған аутентификация деректерін пайдалану арқылы қалай ұсына аламыз. сервер жұмыс істейді Кальмар.

Қызметтің аутентификациясын OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory және т.с.с. түпнұсқалық растау қазіргі кезде кең таралған тәжірибе екенін білсек те, біз алдымен қарапайым және арзан шешімдерден өтіп, содан кейін ең күрделі шешімдермен бетпе-бет келуіміз керек деп санаймыз. Біз қарапайымнан күрделіге өтуіміз керек деп санаймыз.

The

Кезең

Бұл тегін бағдарламалық жасақтаманы қолдануға қолдау көрсететін және қаржы ресурстарына ие шағын ұйым және оның атын таңдаған FromLinux.Fan. Олар әр түрлі ОЖ энтузиастары CentOS бір кабинетте топтастырылған. Олар «сервер» ретінде жұмыс істеуге арналған кәсіби станция емес, жұмыс станциясын сатып алды.

Энтузиастардың OpenLDAP серверін немесе Samba 4 AD-DC-ді қалай енгізу туралы білімдері кең емес, сондай-ақ Microsoft Active Directory-ге лицензия бере алмайды. Алайда күнделікті жұмысы үшін оларға прокси арқылы Интернетке кіру қызметтері қажет - шолуды жылдамдату үшін- және ең құнды құжаттарды сақтап, резервтік көшірме ретінде жұмыс істейтін кеңістік.

Олар әлі күнге дейін Microsoft корпорациясының заңды түрде сатып алған операциялық жүйелерін қолданады, бірақ оларды «Серверінен» бастап Linux негізіндегі Операциялық жүйелеріне ауыстырғысы келеді.

Сондай-ақ, олар өздерінің пошта серверін, ең болмағанда, шығу тегі бойынша - Gmail, Yahoo, HotMail және т.с.с. қызметтерге тәуелді болуға ұмтылады.

Брандмауэр және Интернетке қарсы бағыттау ережелері оны келісімшарт бойынша ADSL маршрутизаторында орнатады.

Оларда нақты домендік атау жоқ, өйткені интернетте кез-келген қызметті жариялау қажет емес.

CentOS 7 GUI жоқ сервер ретінде

Біз графикалық интерфейсі жоқ сервердің жаңа қондырғысынан бастаймыз және процесс барысында таңдайтын жалғыз нұсқа - «Инфрақұрылым сервері»Біз серияның алдыңғы мақалаларында көргендей болдық.

Бастапқы параметрлер

[root @ linuxbox ~] # мысық / etc / хост атауы 
linuxbox

[root @ linuxbox ~] # мысық / etc / хост
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # хост аты
linuxbox

[root @ linuxbox ~] # хост атауы -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr тізімі
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 міне

Біз желі менеджерін өшіреміз

[root @ linuxbox ~] # systemctl тоқтату NetworkManager

[root @ linuxbox ~] # systemctl NetworkManager бағдарламасын өшіреді

[root @ linuxbox ~] # systemctl күйі NetworkManager
● NetworkManager.service - Network Manager жүктелді: жүктелген (/usr/lib/systemd/system/NetworkManager.service; өшірілген; жеткізушінің алдын-ала орнатылған: қосулы) Белсенді: белсенді емес (өлі) Docs: адам: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Біз желілік интерфейстерді конфигурациялаймыз

Ішкі желіге қосылған Ens32 LAN интерфейсі

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = қоғамдық

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетке қосылған Ens34 WAN интерфейсі

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = иә BOOTPROTO = статикалық HWADDR = 00: 0c: 29: да: a3: e7 NM_CONTROLLED = жоқ IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL маршрутизаторы # осы интерфейске # келесі адреспен қосылған. GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = сыртқы

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Репозитарийлердің конфигурациясы

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # түпнұсқа mkdir
[root @ linuxbox ~] # mv Centos- * түпнұсқа /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum бәрін тазалаңыз
Жүктелген плагиндер: ең жылдам айна, қапшықтар Тазартатын қоймалар: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Жаңартулар-Репо Барлығын тазарту Ең жылдам айналардың тізімін тазарту
[root @ linuxbox yum.repos.d] # yum жаңарту
Жүктелген плагиндер: ең жылдам айна, қапшықтар Base-Repo | 3.6 кБ 00:00 CentosPlus-Repo | 3.4 кБ 00:00 Эпель-Репо | 4.3 кБ 00:00 Медиа-Репо | 3.6 кБ 00:00 Жаңартулар-Репо | 3.4 кБ 00:00 (1/9): Base-Repo / group_gz | 155 кБ 00:00 (2/9): Epel-Repo / group_gz | 170 кБ 00:00 (3/9): Media-Repo / group_gz | 155 кБ 00:00 (4/9): Epel-Repo / updateinfo | 734 кБ 00:00 (5/9): Media-Repo / primary_db | 5.3 МБ 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 МБ 00:00 (7/9): Жаңартулар-Repo / primary_db | 2.2 МБ 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 МБ 00:01 Ең жылдам айналарды анықтау Жаңарту үшін пакеттер белгіленбеген

Хабарлама «Жаңарту үшін пакеттер белгіленбеген»Орнату кезінде біз өз қолымызда бар жергілікті репозиторийлер туралы мәлімдегендіктен көрсетілген.

Centos 7 MATE жұмыс үстелі ортасымен

CentOS / Red Hat бізге ұсынатын графикалық интерфейсі бар өте жақсы басқару құралдарын пайдалану үшін және біз әрдайым GNOME2 сағынатын болғандықтан, MATE-ны жұмыс үстелі ортасы ретінде орнатуды шештік.

[root @ linuxbox ~] # yum groupinstall «X Window system»
[root @ linuxbox ~] # yum groupinstall «MATE Desktop»

MATE-дің дұрыс жүктелуін тексеру үшін біз келесі команданы консольмен орындаймыз - жергілікті немесе қашықтан -:

[root @ linuxbox ~] # systemctl оқшаулау graphical.target

және жұмыс үстелінің ортасы жүктелуі керек -жергілікті командада- тегіс, көрсете отырып lightdm графикалық кіру ретінде. Біз жергілікті пайдаланушының атын және оның паролін тереміз, және біз MATE-ге кіреміз.

Айту үшін systemd әдепкі жүктеу деңгейі 5-графикалық орта болып табылады, біз келесі символдық сілтемені жасаймыз:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Біз жүйені қайта жүктейміз және бәрі жақсы жұмыс істейді.

Біз желілерге арналған уақыт қызметін орнатамыз

[root @ linuxbox ~] # yum орнату ntp

Орнату кезінде біз жергілікті сағат жабдықтың уақыт серверімен синхрондалатындығын реттейміз sysadmin.fromlinux.fan IP көмегімен 192.168.10.1. Сонымен, біз файлды сақтаймыз ntp.conf түпнұсқа:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Енді келесі мазмұнмен жаңасын жасаймыз:

[root @ linuxbox ~] # nano /etc/ntp.conf # Орнату кезінде конфигурацияланған серверлер: сервер 192.168.10.1 iburst # Қосымша ақпарат алу үшін келесі парақтарды қараңыз: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # уақыт көзімен синхрондауға рұқсат етіңіз, бірақ # дереккөзге осы қызметке жүгінуге немесе өзгертуге рұқсат етіңіз # әдепкі номодификациялау notrap nopeer noquery # интерфейске барлық қол жеткізуге рұқсат етіңіз. :: 127.0.0.1 # Жергілікті желідегі компьютерлерге аз ғана шектеу қойыңыз. 1 маскасын шектеу 192.168.10.0 notodify notrap # жобаның pool.ntp.org жалпы серверлерін пайдаланыңыз # Егер сіз жобаға қосылғыңыз келсе # (http://www.pool.ntp.org/join.html). # Broadcast 255.255.255.0 autokey # Broadcast Server Broadclient # Broadcast Client # Broadcast 192.168.10.255 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 224.0.1.1 # manycast server #manycastclient 239.255.254.254ey. 239.255.254.254 # Жалпы криптографияны қосыңыз. #crypto includeefile / etc / ntp / crypto / pw # кілттер мен кілт идентификаторларын қамтитын кілт файлы # симметриялы кілттер криптографиялық кілттерімен жұмыс істегенде қолданылады # etc / ntp / кілттер # сенімді кілт идентификаторларын көрсетіңіз. # сенімді кілт 192.168.10.255 4 8 # ntpdc утилитасында қолданылатын кілт идентификаторын көрсетіңіз. #requestkey 42 # ntpq утилитасында қолданылатын кілт идентификаторын көрсетіңіз. # бақылау8 # Статистикалық регистрлерді жазуды қосыңыз. #statistics clockstats cryptostats loopstats peerstats # ntpdc monlist пәрменін қолданып # шабуылдардың күшеюін болдырмау үшін бөлу мониторын өшіріңіз, әдепкі # шектеуде сұрау жалаушасы болмаса. Толығырақ CVE-8-2013 # оқыңыз. # Ескерту: Монитор шектеулі жалаумен өшірілмейді. мониторды өшіру

Біз NTP қызметін қосамыз, іске қосамыз және тексереміз

[root @ linuxbox ~] # systemctl күйі ntpd
● ntpd.service - Желілік уақыт қызметі жүктелді: жүктелген (/usr/lib/systemd/system/ntpd.service; өшірілген; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді емес (өлі)

[root @ linuxbox ~] # systemctl ntpd мүмкіндігін қосады
/Etc/systemd/system/multi-user.target.wants/ntpd.service-тен /usr/lib/systemd/system/ntpd.service-ке символдық сілтеме жасалған.

[root @ linuxbox ~] # systemctl ntpd басталады
[root @ linuxbox ~] # systemctl күйі ntpd

[root @ linuxbox ~] # systemctl күйі ntpdntpd.service - Желілік уақыт қызметі
   Жүктелді: жүктелді (/usr/lib/systemd/system/ntpd.service; қосылды; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді (жұмыс істейді) жұмадан бастап 2017-04-14 15:51:08 EDT; 1s бұрын Процесс: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (код = шыққан, мәртебе = 0 / SUCCESS) Негізгі PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp және брандмауэр

[root @ linuxbox ~] # брандмауэр-cmd --get-active-аймақтар
сыртқы
  интерфейстер: ens34
қоғамдық
  интерфейстер: ens32

[root @ linuxbox ~] # брандмауэр-cmd - аймақ = public --add-port = 123 / udp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - қайта жүктеу
табыс

Біз Dnsmasq-ті қосамыз және теңшейміз

Шағын бизнес желілері сериясының алдыңғы мақаласында байқағанымыздай, Dnsamasq CentOS 7 инфрақұрылым серверінде әдепкі бойынша орнатылады.

[root @ linuxbox ~] # systemctl күйі dnsmasq
● dnsmasq.service - DNS кэштеу сервері. Жүктелді: жүктелді (/usr/lib/systemd/system/dnsmasq.service; өшірілген; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді емес (өлі)

[root @ linuxbox ~] # systemctl dnsmasq мүмкіндігін қосады
/Etc/systemd/system/multi-user.target.wants/dnsmasq.service-тен /usr/lib/systemd/system/dnsmasq.service-ке символдық сілтеме жасалған.

[root @ linuxbox ~] # systemctl dnsmasq басталады
[root @ linuxbox ~] # systemctl күйі dnsmasq
● dnsmasq.service - DNS кэштеу сервері. Жүктелді: жүктелді (/usr/lib/systemd/system/dnsmasq.service; қосылды; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді (жұмыс істейді) жұмадан бастап 2017-04-14 16:21:18 EDT; 4s бұрын Негізгі PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ЖАЛПЫ ОПЦИЯЛАР # ----------------------------- -------------------------------------- доменге қажет # Домен бөлігінсіз аттарды жібермеңіз bogus-priv # мекен-жайларды кеңістіктегі кеңейтілмейтін кеңістікке жібермеу # Доменді хост интерфейсіне автоматты түрде қосу = ens32 # Интерфейс LAN қатаң тәртібі # /etc/resolv.conf файлын сұрауға тапсырыс conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # Домендік аттың мекен-жайы = / time.windows.com / 192.168.10.5 # WPAD мәнінің бос опциясын жібереді. # Windos 7 және одан кейінгі клиенттерге өзін дұрыс ұстау үшін қажет. ;-) dhcp-option = 252, «\ n» # Файл, онда біз «тыйым салынған» HOSTS жариялаймыз addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # Тіркеудің бұл түрі үшін # etc / hosts файлында # жазба қажет, мысалы: 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # mail.desdelinux компьютеріне арналған # desdelinux.fan «атты MX жазбасын қайтарады. желдеткіш және басымдылық 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # localmx параметрін қолданып # жасалған MX жазбалары үшін әдепкі мақсат: mx-target = mail.desdelinux.fan # Қайтарулар mx-мақсатты көрсететін MX жазбасы БАРЛЫҚ # жергілікті машиналар үшін localmx # TXT жазбалары. Біз сонымен қатар SPF жазбасын txt-record = desdelinux.fan, «v = spf1 a -all» txt-record = desdelinux.fan, «DesdeLinux, сіздің блогыңыз Еркін бағдарламалық жасақтамаға арналған» деп жариялай аламыз «# --------- -------------------------------------------------- -------- # АЖЫРАТУ ЖӘНЕ ҚОЛДАНУ # --------------------------------------- ---------------------------- # IPv4 диапазоны және № 1-ден 29-ға дейінгі жалдау уақыты Серверлерге және басқа DHCP қажеттіліктеріне арналған -range = 192.168.10.30,192.168.10.250,8h dhcp-lease-max = 222 # жалға берілетін мекенжайлардың ең көп саны # әдепкі бойынша # 150 # IPV6 диапазоны # dhcp-ауқымы = 1234 ::, тек ra-үшін # Параметрлер RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # DNS серверлері dhcp-option = 15, desdelinux.fan # Dc-домен атауы , 19,1 # опциясын IP-бағыттау ON dhcp-option = 28,192.168.10.255 # BROADCAST dhcp-option = 42,192.168.10.5 # NTP dhcp-авторитетті # Ішкі желідегі беделді DHCP # -------------- ------------------ ----------------------------------- # Егер сіз / var / log / хабарламаларында журналдың журналын сақтағыңыз келсе сұраулар # төмендегі жолға пікір қалдыру # --------------------------------------- ----------------------------
# журналға сұрау
/Etc/dnsmasq.conf файлының # соңы # --------------------------------------- ----------------------------

Біз файлды жасаймыз / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Бекітілген IP мекенжайлары

[root @ linuxbox ~] # nano / etc / хост
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sys

/Etc/resolv.conf файлын конфигурациялаймыз - шешу

[root @ linuxbox ~] # nano /etc/resolv.conf
desdelinux.fan nameserver 127.0.0.1 іздеу # DNS сыртқы немесе домендік емес сұраулары үшін # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Біз файл синтаксисін тексереміз dnsmasq.conf, біз қызметтің мәртебесін бастаймыз және тексереміз

[root @ linuxbox ~] # dnsmasq --тест
dnsmasq: синтаксисті тексеру ОК.
[root @ linuxbox ~] # systemctl қайта іске қосу dnsmasq
[root @ linuxbox ~] # systemctl күйі dnsmasq

Dnsmasq және брандмауэр

[root @ linuxbox ~] # брандмауэр-cmd --get-active-аймақтар
сыртқы
  интерфейстер: ens34
қоғамдық
  интерфейстер: ens32

Клиенттерге қызмет көрсету домен o Домендік атау сервері (dns). Хаттама жанап өту «Шифрлаумен IP«

[root @ linuxbox ~] # брандмауэр-cmd - аймақ = public --add-port = 53 / tcp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - аймақ = public --add-port = 53 / udp - тұрақты
табыс

Dnsmasq сыртқы DNS серверлеріне сұраныстар

[root @ linuxbox ~] # брандмауэр-cmd - аймақ = сыртқы --add-port = 53 / tcp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - аймақ = сыртқы --add-порт = 53 / udp - тұрақты
табыс

Клиенттерге қызмет көрсету жүктеу o BOOTP сервері (DHP). Хаттама ippc «Интернет Pluribus пакеттік өзегі«

[root @ linuxbox ~] # брандмауэр-cmd - аймақ = public --add-port = 67 / tcp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - аймақ = public --add-port = 67 / udp - тұрақты
табыс

[root @ linuxbox ~] # брандмауэр-cmd - қайта жүктеу
табыс

[root @ linuxbox ~] # брандмауэр-cmd - ақпарат аймағы жалпыға қол жетімді (белсенді)
  мақсат: әдепкі icmp-блок-инверсия: интерфейстер жоқ: ens32 қайнар көздері: қызметтер: dhcp dns ntp ssh порттары: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp протоколдары: маскарад: алға порттар жоқ: қайнар көздер: icmp -блоктар: бай ережелер:

[root @ linuxbox ~] # брандмауэр-cmd - ақпарат сыртқы аймағы сыртқы (белсенді)
  мақсат: әдепкі icmp-блок-инверсия: интерфейстер жоқ: ens34 қайнар көздер: қызметтер: dns порттары: 53 / udp 53 / tcp протоколдары: маскарад: иә алға-порттар: қайнар көздер порттары: icmp-блоктар: параметр мәселесі бағыттауыш-жарнама маршрутизаторы- сұраныс көзі-сөндіруге бай ережелер:

Егер біз брандмауэрді CentOS 7-де конфигурациялау үшін графикалық интерфейсті қолданғымыз келсе, онда жалпы мәзірді қараймыз - бұл жұмыс үстелінің ішкі менюіне байланысты болады - «Firewall» қосымшасы, біз оны орындаймыз және пайдаланушының паролін енгізгеннен кейін түбір, біз бағдарлама интерфейсіне осылай кіреміз. MATE-де ол «мәзірінде пайда боладыЖүйе »->« Әкімшілік »->« Брандмауэр ».

Біз Ауданды таңдаймыз «қоғамдық»Және біз осы уақытқа дейін жергілікті желіде жариялауды қалайтын қызметтерге рұқсат береміз dhcp, днс, ntp және ssh. Қызметтерді таңдағаннан кейін, барлығы дұрыс жұмыс істейтінін тексеріп, біз Runtime перманентіне өзгеріс енгізуіміз керек. Мұны істеу үшін біз Параметрлер мәзіріне өтіп, «Ұзақтығы тұрақты«.

Кейінірек біз «сыртқы»Біз Интернетпен байланысуға қажетті порттардың ашық екендігін тексереміз. Біз не істеп жатқанымызды жақсы білмейінше, осы аймақта Қызметтерді жарияламаңыз!.

Өзгерістерді «тұрақты» опциясы арқылы енгізуді ұмытпайық.Ұзақтығы тұрақты»Жынды қайта жүктеңіз БрандмауэрD, біз осы қуатты графикалық құралды қолданған сайын.

Windows 7 клиентінен NTP және Dnsmasq

NTP-мен синхрондау

сыртқы

Жалға алынған IP мекен-жайы

Microsoft Windows [6.1.7601 нұсқасы] Авторлық құқық (c) 2009 Microsoft Corporation. Барлық құқықтар сақталған. C: \ Users \ buzz> ipconfig / барлық Windows IP конфигурациясының хост атауы. . . . . . . . . . . . : ЖЕТІ
   Негізгі Dns жұрнағы. . . . . . . :
   Түйін түрі. . . . . . . . . . . . : IP бағыттаудың гибридті мүмкіндігі қосылды. . . . . . . . : WINS проксиі қосылмаған. . . . . . . . : DNS жұрнақтарын іздеу тізімі жоқ. . . . . . : desdelinux.fan Ethernet адаптері Жергілікті байланыс: қосылымға арналған DNS-суффикс. : desdelinux.fan Сипаттама. . . . . . . . . . . : Intel (R) PRO / 1000 MT желілік қосылымның физикалық мекен-жайы. . . . . . . . . : 00-0C-29-D6-14-36 DHCP қосылған. . . . . . . . . . . : Иә, автоконфигурация қосылды. . . . : Және солай
   IPv4 мекенжайы. . . . . . . . . . . : 192.168.10.115 (таңдаулы)
   Ішкі желі маскасы. . . . . . . . . . . : 255.255.255.0 жалға алынды. . . . . . . . . . : Жұма, 14 сәуір, 2017 ж. 5:12:53 Жалдау мерзімі аяқталады. . . . . . . . . . : Сенбі, 15 сәуір, 2017 жыл 1:12:53 Әдепкі шлюз. . . . . . . . . : 192.168.10.1 DHCP сервері. . . . . . . . . . . : 192.168.10.5 DNS серверлері. . . . . . . . . . . : 192.168.10.5 Tcpip арқылы NetBIOS. . . . . . . . : Қосылған туннель адаптері жергілікті байланыс * 9: медиа күйі. . . . . . . . . . . : Мультимедиа байланысы ажыратылған DNS қосымшасына қатысты. : Сипаттамасы. . . . . . . . . . . : Microsoft Teredo туннельдік адаптерінің физикалық мекен-жайы. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP қосылған. . . . . . . . . . . : Автоконфигурация қосылмаған. . . . : Иә туннель адаптері isatap.fromlinux.fan: медиа күйі. . . . . . . . . . . : Мультимедиа құралы ажыратылған Қосылымға арналған DNS қосымшасы. : desdelinux.fan Сипаттама. . . . . . . . . . . : Microsoft ISATAP адаптері №2 физикалық мекен-жайы. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP қосылған. . . . . . . . . . . : Автоконфигурация қосылмаған. . . . : Ия C: \ Users \ buzz>

кеңес

Windows клиенттеріндегі маңызды құндылық - бұл «Dns-тің негізгі суффиксі» немесе «Негізгі байланыс суффиксі». Microsoft Domain Controller пайдаланылмаған кезде, амалдық жүйе оған ешқандай мән бермейді. Егер біз мақаланың басында сипатталған жағдайға тап болсақ және біз бұл мәнді нақты жариялағымыз келсе, келесі суретте көрсетілгенге сәйкес әрекет етуіміз керек, өзгертулерді қабылдап, клиентті қайта бастаңыз.

 

Егер біз қайтадан жүгіретін болсақ CMD -> ipconfig / all біз мынаны аламыз:

Microsoft Windows [6.1.7601 нұсқасы] Авторлық құқық (c) 2009 Microsoft Corporation. Барлық құқықтар сақталған. C: \ Users \ buzz> ipconfig / барлық Windows IP конфигурациясының хост атауы. . . . . . . . . . . . : ЖЕТІ
   Негізгі Dns жұрнағы. . . . . . . : desdelinux.fan
   Түйін түрі. . . . . . . . . . . . : IP бағыттаудың гибридті мүмкіндігі қосылды. . . . . . . . : WINS проксиі қосылмаған. . . . . . . . : DNS жұрнақтарын іздеу тізімі жоқ. . . . . . : desdelinux.fan

Қалған мәндер өзгеріссіз қалады

DNS тексереді

buzz @ sysadmin: ~ $ хост spynet.microsoft.com
spynet.microsoft.com мекен-жайы бар 127.0.0.1 хост spynet.microsoft.com табылған жоқ: 5 (ҚАУІПСІЗ) spynet.microsoft.com поштасы 1 mail.fromlinux.fan арқылы өңделеді.

buzz @ sysadmin: ~ $ хост linuxbox
linuxbox.desdelinux.fan мекен-жайы 192.168.10.5 linuxbox.desdelinux.fan поштасы 1 mail.desdelinux.fan арқылы өңделеді.

buzz @ sysadmin: ~ $ sysadmin
sysadmin.desdelinux.fan мекен-жайы 192.168.10.1 sysadmin.desdelinux.fan поштасы 1 mail.desdelinux.fan арқылы өңделеді.

buzz @ sysadmin: ~ $ хост поштасы
mail.desdelinux.fan - linuxbox.desdelinux.fan үшін бүркеншік ат. linuxbox.desdelinux.fan мекен-жайы 192.168.10.5 linuxbox.desdelinux.fan поштасы 1 mail.desdelinux.fan арқылы өңделеді.

Біз орнатамыз -тек тестілеу үшін- NSD беделді DNS сервері sysadmin.fromlinux.fanжәне біз IP мекенжайын қосамыз 172.16.10.1 мұрағатта /etc/resolv.conf команданың linuxbox.fromlinux.fan, Dnsmasq өзінің Экспедитор функциясын дұрыс орындағанын тексеру үшін. NSD серверіндегі құм жәшіктері болып табылады favt.org y toujague.org. Барлық IP-лер ойдан шығарылған немесе жеке желілерден алынған.

Егер біз WAN интерфейсін өшіретін болсақ 34 пәрменді қолдану 34, Dnsmasq сыртқы DNS серверлеріне сұрау жасай алмайды.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Toujague.org хост табылмады: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Pizzapie.favt.org хост табылмады: 3 (NXDOMAIN)

Ens34 интерфейсін қосып, қайтадан тексерейік:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org - paisano.favt.org үшін бүркеншік ат. paisano.favt.org 172.16.10.4 мекен-жайы бар

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Pizzas.toujague.org хост табылмады: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org мекен-жайы 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org атау сервері ns1.favt.org. favt.org атау сервері ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org атау сервері ns1.toujague.org. toujague.org атау сервері ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org поштасымен 10 mail.toujague.org сайты айналысады.

Келіңіздер, кеңес берейік sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
linux.fan nameserver 192.168.10.5 іздеу

xeon @ sysadmin: ~ $ mail mail.toujague.org
mail.toujague.org мекен-жайы 169.18.10.19

Dnsmasq жұмыс істейді Экспедитор дұрыс.

Кальмар

PDF форматындағы кітапта «Linux серверінің конфигурациясы»Автор 25 жылдың 2016 шілдесінде белгіленген Джоэль Барриос Дуэньяс (darkshram@gmail.com - http://www.alcancelibre.org/), мен алдыңғы мақалаларда сілтеме жасаған мәтінге арналған бүкіл тарау бар Squid негізгі конфигурациясының параметрлері.

Веб-прокси қызметінің маңыздылығына байланысты, біз жоғарыда аталған кітапта Сквид туралы жасалған Кіріспені шығарамыз:

105.1. Кіріспе.

105.1.1. Делдалдық сервер (прокси) дегеніміз не?

Ағылшын тіліндегі термин «Прокси» дегенмен өте жалпы және сонымен бірге көп мағыналы
әрқашан ұғымының синонимі болып саналады «Делдал». Әдетте бұл қатаң мағынада, сияқты аударылады делегат o мүмкіндік берді (басқасына күші бар адам).

Un Делдал-сервер Бұл клиенттерге басқа желілік қызметтермен жанама желілік қосылулар жасауға мүмкіндік беретін желі қызметін ұсынатын компьютер немесе құрылғы ретінде анықталады. Процесс барысында келесілер пайда болады:

  • Клиент а Прокси-сервер.
  • Клиент басқа серверде қол жетімділікті, файлды немесе басқа ресурстарды сұрайды.
  • Делдал-сервер көрсетілген серверге қосылу арқылы ресурстарды ұсынады
    немесе оны кэштен беру.
  • Кейбір жағдайларда Делдал-сервер клиенттің сұрауын өзгерте алады немесе
    әр түрлі мақсаттағы сервер жауабы.

The Прокси-серверлер олар, әдетте, өртке қарсы қабырға ретінде бір уақытта жұмыс істеуге мәжбүр болады Желілік деңгей, жағдайдағыдай пакеттік сүзгі ретінде әрекет етеді iptables немесе Қолдану деңгейі, жағдай сияқты әр түрлі қызметтерді бақылау TCP орағыш. Контекстке байланысты өрт қабырғасы ретінде де белгілі BPD o Bбұйрық Pбұру Device немесе жай пакеттік сүзгі.

Кең таралған қолдану Прокси-серверлер клиенттердің жақын жерінде қашықтағы HTTP серверлерінде желі арқылы қол жетімді беттер мен файлдардың кэшін қамтамасыз ететін желілік мазмұнның кэші ретінде жұмыс жасау (жергілікті желі клиенттеріне оларға қол жеткізуге мүмкіндік беру) тезірек және сенімді.

А көрсетілген желілік ресурсқа сұраныс түскен кезде URL (Uбіркелкі Rресурс Locator) Делдал-сервер нәтижесін іздеңіз URL кэш ішінде. Егер ол табылса, Делдал-сервер Тапсырыс берушіге сұралған мазмұнды дереу беру арқылы жауап береді. Егер сұралған мазмұн кэште болмаса, Делдал-сервер ол оны қашықтағы серверден алады, оны сұраған клиентке жеткізеді және оның көшірмесін кэште сақтайды. Кэштегі мазмұн жасына, өлшеміне және тарихына сәйкес жарамдылық мерзімі өткен алгоритм арқылы жойылады сұраныстарға жауаптар (хиттер) (мысалдар: LRU, LFUDA y GDSF).

Желілік мазмұнға арналған прокси-серверлер (веб-прокси) ерікті критерийлерге сәйкес цензура саясатын қолдана отырып, берілген мазмұнның сүзгісі ретінде де жұмыс істей алады..

Біз орнататын Squid нұсқасы - бұл 3.5.20-2.el7_3.2 репозиторийден жаңартулар.

Орнату

[root @ linuxbox ~] # yum орнату кальмар

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  кальмар.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl кальмарды қосады

Маңызды

  • Осы мақаланың негізгі мақсаты - жергілікті пайдаланушыларға жергілікті желіге қосылған басқа компьютерлерден Squid-пен қосылуға рұқсат беру. Сонымен қатар, басқа сервистер қосылатын сервердің өзегін енгізіңіз. Бұл Кальмарға арналған мақала емес.
  • Squid-тің конфигурациясы туралы түсінік алу үшін 3.5.20 жолдан тұратын /usr/share/doc/squid-7915/squid.conf.documented файлын оқыңыз..

SELinux және Squid

[root @ linuxbox ~] # getsebool -a | Grep кальмары
squid_connect_any -> squid_use_tproxy-де -> өшірулі

[root @ linuxbox ~] # setsebool -P squid_connect_any = қосулы

Конфигурация

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL порттары 443 21
acl Safe_ports порт 80 # http acl Safe_ports порт 21 # ftp acl Safe_ports порт 443 # https acl Safe_ports порт 70 # gopher acl Safe_ports порт 210 # wais acl Safe_ports порт 1025-65535 # тіркелмеген порттар acl Safe_ports порт 280 # http-mgmt acl Safe_ports порт 488 # gss-http acl Safe_ports порт 591 # filemaker acl Safe_ports port 777 # http acl CONNECT әдісі CONNECT # Біз қауіпсіз емес порттардың сұрауларынан бас тартамыз http_access deny! Қауіпсіз_порттар # Қауіпсіз порттарға CONNECT әдісін жоққа шығарамыз Кэш менеджері тек localhost http_access-тен localhost менеджерге рұқсат береді http_access бас тарту менеджері # Прокси-серверде жұмыс жасайтын # веб-қосымшаларды «localhost» қызметіне кіре алатын жалғыз адам «localhost» деп санайтындықтан қорғау үшін мыналарға түсініктеме берілмейді. пайдаланушы http_access to_localhost-тан бас тартады # # ӨЗІҢІЗДІҢ ЕРЕЖЕНІҢІЗДІ ҚОСЫҢЫЗ МЫНА СІЗДІҢ КЛИЕНТТЕРІҢЕН КІРУГЕ РҰҚСАТ БЕРУ # # PAM авторизациясы
auth_param негізгі бағдарламасы / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic area from linux.fan auth_param basic credentialsttl 2 hours auth_param basic caseensitive off # Acl аутентификациясы Squid энтузиастарына proxy_auth қол жеткізу үшін ҚАЖЕТ # Біз түпнұсқалық расталған қолданушыларға кіруге рұқсат береміз # PAM http_access сайттарынан бас тарту! acl ftp proto FTP http_access рұқсат етіңіз ftp http_access локалетке рұқсат етіңіз http_access localhostқа рұқсат етіңіз # Біз прокси-серверге басқа қол жеткізуден бас тартамыз http_access бәрінен бас тартамыз # Squid әдетте 3128 портында тыңдайды http_port 3128 # Біз «coredumps» -ті бірінші кэш каталогында қалдырамыз coredump_dir / var / spool / кальмар # # жаңартудың_белгі жазбаларын осылардың үстіне қосыңыз. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 кэш_мемі 64 МБ # Кэш жадының_жаңартуды_саяси lru cache_replacement_policy үйіндісі LFUDA кэш_дир aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mux.name_cloud_mux.ame_blog

Біз файлдың синтаксисін тексереміз /etc/squid/squid.conf

[root @ linuxbox ~] # кальмар -k талдау
2017/04/16 15: 45: 10 | Іске қосу: аутентификация схемаларын инициализациялау ...
 2017/04/16 15: 45: 10 | Іске қосу: инициализацияланған түпнұсқалық растама схемасы 'basic' 2017/04/16 15: 45: 10 | Іске қосу: инициализацияланған аутентификация схемасы 'дайджест' 2017/04/16 15: 45: 10 | Іске қосу: инициализацияланған аутентификация схемасы 'келіссөз' 2017/04/16 15: 45: 10 | Іске қосу: инициализацияланған түпнұсқалық растама 'ntlm' схемасы 2017/04/16 15: 45: 10 | Іске қосу: түпнұсқалық растама.
 2017/04/16 15: 45: 10 | Конфигурациялық файлды өңдеу: /etc/squid/squid.conf (тереңдік 0) 2017/04/16 15: 45: 10 | Өңдеу: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Өңдеу: acl SSL_ports порт 443 21 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 80 # http 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 21 # ftp 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 443 # https 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 70 # gopher 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 210 # wais 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 1025-65535 # тіркелмеген порттар 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 280 # http-mgmt 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 488 # gss-http 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 591 # filemaker 2017/04/16 15: 45: 10 | Өңдеу: acl Safe_ports порт 777 # мультипликация http 2017/04/16 15: 45: 10 | Өңдеу: acl CONNECT әдісі CONNECT 2017/04/16 15: 45: 10 | Өңдеу: http_access жоққа! Safe_ports 2017/04/16 15: 45: 10 | Өңдеу: http_access бас тарту CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Өңдеу: http_access рұқсаты localhost менеджері 2017/04/16 15: 45: 10 | Өңдеу: http_access бас тарту менеджері 2017/04/16 15: 45: 10 | Өңдеу: http_access deny to_localhost 2017/04/16 15: 45: 10 | Өңдеу: auth_param негізгі бағдарламасы / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Өңдеу: auth_param негізгі балалар 5 2017/04/16 15: 45: 10 | Өңдеу: linx.fan-дан auth_param негізгі саласы 2017/04/16 15: 45: 10 | Өңдеу: auth_param basic credentialsttl 2 сағат 2017/04/16 15: 45: 10 | Өңдеу: auth_param негізгі жағдайларға сезімтал өшіру 2017/04/16 15: 45: 10 | Өңдеу: acl энтузиастары proxy_auth ҚАЖЕТ 2017/04/16 15: 45: 10 | Өңдеу: http_access жоққа шығарыңыз! Энтузиастар 2017/04/16 15: 45: 10 | Өңдеу: acl ftp proto FTP 2017/04/16 15: 45: 10 | Өңдеу: http_access ftp рұқсат 2017/04/16 15: 45: 10 | Өңдеу: http_access localnet рұқсаты 2017/04/16 15: 45: 10 | Өңдеу: http_access рұқсат localhost 2017/04/16 15: 45: 10 | Өңдеу: http_access барлығын жоққа шығару 2017/04/16 15: 45: 10 | Өңдеу: http_port 3128 2017/04/16 15: 45: 10 | Өңдеу: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Өңдеу: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Өңдеу: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Өңдеу: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Өңдеу: refresh_pattern. 

Біз рұқсатты реттейміз / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Біз кэш каталогын құрамыз

# Тек ... [root @ linuxbox ~] # қызмет кальмарды тоқтатады
/ Bin / systemctl stop squid.service қызметіне қайта бағыттау

[root @ linuxbox ~] # кальмар -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Ағымдағы каталогты / var / spool / squid етіп орнатыңыз 2017/04/16 15:48:28 kid1 | Своп анықтамалықтарын құру 2017/04/16 15:48:28 kid1 | / var / spool / squid бар 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 00 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 01 2017/04/16 15:48:28 kid1 | каталогтарын жасау / Var / spool / squid / 02 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 03 2017/04/16 15:48:28 kid1 | каталогтарын жасау / Var / spool / squid / 04 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 05 2017/04/16 15:48:28 kid1 | каталогтарын жасау / Var / spool / squid / 06 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 07 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 08 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 09 каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0A каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0B каталогтарын жасау 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0C каталогтарын жасау 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0D каталогтарын жасау 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0E каталогтарын жасау 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0F каталогтарын құру

Осы уақытта, егер маған ешқашан қайтарылмаған командалық жолды қайтару үшін біраз уақыт қажет болса, Enter пернесін басыңыз.

[root @ linuxbox ~] # қызмет кальмарының басталуы
[root @ linuxbox ~] # қызмет кальмарын қайта іске қосу
[root @ linuxbox ~] # қызмет кальмарының күйі
/ Bin / systemctl күйіне қайта бағыттау squid.service ● squid.service - Squid кэштеу проксиі Жүктелген: жүктелген (/usr/lib/systemd/system/squid.service; өшірілген; сатушы алдын-ала орнатылған: өшірілген) Белсенді: доменнен бастап белсенді (жұмыс істеп тұрған) 2017-04-16 15:57:27 EDT; 1s бұрын Процесс: 2844 ExecStop = / usr / sbin / squid -k өшіру -f $ SQUID_CONF (код = шықты, күй = 0 / SUCCESS) Процесс: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (код = шықты, күй = 0 / СӘТТІ) Процесс: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (код = шықты, күй = 0 / SUCCESS) Негізгі PID: 2876 (кальмар) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 сәуір 15:57:27 linuxbox systemd [1]: Squid кэштеу проксиін іске қосу ... 16 сәуір 15:57:27 linuxbox systemd [1]: Squid кэштеу проксиін бастады. Сәуір 16 15:57:27 linuxbox кальмар [2876]: Squid Parent: 1 бала 16 сәуірде басталады 15:57:27 linuxbox кальмар [2876]: Squid Parent: (кальмар-1) процесс 2878 ... 16 сәуірде басталды : 15: 57 linuxbox кальмары [27]: Кальмар Ата-ана: (кальмар-2876) процесс 1 ... 2878 Нұсқау: Кейбір жолдар эллипске айналдырылған, -l-ді толық көрсету үшін

[root @ linuxbox ~] # cat / var / log / messages | Grep кальмары

Брандмауэр түзетулері

Біз сондай-ақ «сыртқы«порттар 80 HTTP y 443 HTTPS осылайша Squid интернетпен байланыса алады.

[root @ linuxbox ~] # брандмауэр-cmd - аймақ = сыртқы --add-port = 80 / tcp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - аймақ = сыртқы --add-port = 443 / tcp - тұрақты
табыс
[root @ linuxbox ~] # брандмауэр-cmd - қайта жүктеу
табыс
[root @ linuxbox ~] # брандмауэр-cmd - ақпарат аймағы сыртқы
сыртқы (белсенді) мақсат: әдепкі icmp-блок-инверсия: интерфейстер жоқ: ens34 көздері: қызметтер: dns порттары: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  протоколдар: маскарад: иә алға-порттар: қайнар көздер: icmp-блоктар: параметр-проблема бағыттауыш маршрутизатор-жарнама маршрутизатор-сұраныс көзі-сөндіруге бай ережелер:
  • «Графикалық қосымшаға өту бос емес»Брандмауэр параметрлері»443 tcp, 80 tpp, 53 tcp және 53 udp порттарының аймақ үшін ашық екенін тексеріңіз«сыртқы«, Біз оған ешқандай қызмет жарияламадық.

Basic_pam_auth көмекші бағдарламасына ескерту

Егер біз осы утилитаның нұсқаулығымен кеңес алсақ адам basic_pam_auth Автордың өзі бағдарламаны кәдімгі қолданушылар құралға қол жеткізуге жеткілікті рұқсаты жоқ каталогқа көшіру туралы қатаң ұсыныс жасайтынын оқимыз.

Екінші жағынан, осы авторизациялау схемасымен тіркелгі деректері қарапайым мәтінмен жүретіні белгілі және дұшпан орта үшін қауіпсіз емес, ашық желілерді оқыңыз.

Джефф Еструмскас мақаланы арнау «Қалай жасалады: SSL шифрлауы, Squid кэштеу проксиі және PAM аутентификациясы арқылы қауіпсіз веб-проксиді орнату»Осы аутентификация схемасымен қауіпсіздікті арттыру мәселесіне, оны ықтимал дұшпандық ашық желілерде қолдануға болады.

Біз httpd орнатамыз

Squid және Dnsmasq-тің кездейсоқ жұмысын тексеру әдісі ретінде біз қызметті орнатамыз httpd -Апашаның веб-сервері- бұл міндетті емес. Dnsmasq қатысты файлда / etc / banner_add_hosts Біз өзімізге тыйым салынған сайттарды жариялаймыз және бізде сол IP-мекен-жайды нақты тағайындаймыз linuxbox. Осылайша, егер біз осы сайттардың кез-келгеніне кіруді сұрасақ, httpd.

[root @ linuxbox ~] # yum httpd орнату [root @ linuxbox ~] # systemctl httpd қосу
/Etc/systemd/system/multi-user.target.wants/httpd.service-тен /usr/lib/systemd/system/httpd.service-ке символдық сілтеме жасалған.

[root @ linuxbox ~] # systemctl httpd басталады

[root @ linuxbox ~] # systemctl мәртебесі httpd
● httpd.service - Apache HTTP сервері жүктелген: жүктелген (/usr/lib/systemd/system/httpd.service; қосулы; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді (жұмыс істеп тұрған) 2017-04-16 жексенбіден бастап 16:41: 35 EDT; 5s бұрын Docs: man: httpd (8) man: apachectl (8) Негізгі PID: 2275 (httpd) Күй: «Сұраныстар өңделуде ...» CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 сәуір 16:41:35 linuxbox systemd [1]: Apache HTTP серверін іске қосу ... 16 сәуір 16:41:35 linuxbox systemd [1]: Apache HTTP серверін іске қосты.

SELinux және Apache

Apache-дің SELinux контекстінде конфигурациялауға арналған бірнеше саясаты бар.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix_conwork_conwork_conwork_canwork_connect_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_sssd -> off httpd_dentaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offable_office - өшіру httpd_graceful_shutdown -> httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_pa - offoffd_offt - offoffd - өшіру httpd_ssi_exec -> өшіру httpd_sys_script_anon_write -> өшіру httpd_tmp_exec -> өшіру httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> өшіру

Біз тек келесілерді реттейміз:

Apache арқылы электрондық пошта жіберіңіз

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Apache-ге жергілікті қолданушылардың үй каталогтарында орналасқан мазмұнды оқуға рұқсат етіңіз

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

FTP немесе FTPS арқылы басқаруға болатын кез келген каталогқа рұқсат етіңіз
Apache немесе Apache-ге FTP-порталы арқылы сұраныстарды тыңдайтын FTP-сервер ретінде жұмыс істеуге рұқсат етіңіз

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Қосымша ақпарат алу үшін оқыңыз Linux серверінің конфигурациясы.

Аутентификация тексереміз

Браузерді жұмыс станциясында ашып, мысалы, -ге бағыттау ғана қалады http://windowsupdate.com. Сұраудың Apache басты бетіне linuxbox-тағы дұрыс бағытталуын тексереміз. Іс жүзінде файлда жарияланған кез-келген сайт атауы / etc / banner_add_hosts сіз сол бетке бағытталасыз.

Мақала соңындағы суреттер бұған дәлел.

Пайдаланушыларды басқару

Біз мұны ««Пайдаланушыларды басқару»Жүйе -> Әкімшілік -> Пайдаланушыны басқару мәзірі арқылы біз оған қол жеткіземіз. Жаңа қолданушыны қосқан сайын оның қалтасы жасалады / home / user автоматты түрде

 

Сақтық көшірмелері

Linux клиенттері

Сізге әдеттегі файл браузері ғана керек және қосылғыңыз келетінін көрсетіңіз, мысалы: ssh: // buzz @ linuxbox / home / buzz және пароль енгізілгеннен кейін каталог шығады үй пайдаланушының Дыбыссыз.

Windows клиенттері

Windows клиенттерінде біз құралды қолданамыз WinSCP. Орнатқаннан кейін біз оны келесі жолмен қолданамыз:

 

 

Қарапайым, дұрыс па?

Резюме

Біз PAM-ді қызметтердің аутентификациясы үшін шағын желіде және басқарылатын ортада қолынан мүлдем оқшауланған ортада пайдалануға болатынын көрдік. хакерлер. Бұл негізінен аутентификация деректері қарапайым мәтінмен жүретіндігімен байланысты, сондықтан бұл әуежайлар, Wi-Fi желілері және т.с.с. ашық желілерде қолданылатын аутентификация схемасы емес. Алайда, бұл қарапайым авторизация механизмі, оны іске асыруға және конфигурациялауға оңай.

Дереккөздер кеңес алды

PDF нұсқасы

PDF нұсқасын жүктеп алыңыз Мұнда.

Келесі мақалаға дейін!


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

9 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   NauTiluS дижо

    Фико мырзаның жазбасы емделді. Өз біліміңізбен бөліскеніңізге рахмет.

  2.   лагарто дижо

    Мен мақаланы осындай егжей-тегжейлі деңгеймен, өте айқын тесттермен және әсіресе стандарттарға бейімделген тұжырымдамалар мен стратегиялармен жинақтаудың қаншалықты қиын екенін білемін. Мен өз үлесімді осы зергерлік бұйымға бас киімімді шешіп аламын, осындай жақсы жұмыс үшін Фикоға көп рахмет.

    Мен ешқашан кальмарды пам аутентификациясымен біріктірмегенмін, бірақ мен бұл тәжірибені өз зертханамда жасау үшін мүмкіндігінше барамын ... Мақсатты құшақтаймыз және біз жалғастырамыз !!

  3.   федерико дижо

    NaTiluS: Пікіріңіз бен баға бергеніңіз үшін көп рахмет.
    Кесіртке: Сізге де түсініктеме бергеніңіз үшін көп рахмет.

    Осы сияқты мақалалар жасауға кеткен уақыт пен күш тек FromLinux қауымдастығына келгендердің оқуы мен пікірлерімен марапатталады. Бұл сізге күнделікті жұмысыңызда пайдалы болады деп сенемін.
    Біз жалғастырамыз!

  4.   аноним дижо

    Азаматтардың керемет үлесі !!!! Мен сіздің әр мақалаңызды оқимын, тіпті еркін бағдарламалық жасақтамада білімі жоқ адам да (мен сияқты) бұл талғампаз мақаланы кезең-кезеңімен орындай алады деп айта аламын. Алақай !!!!

  5.   IWO дижо

    Осы тамаша мақала үшін Fico компаниясына рахмет; Қазірдің өзінде жарияланған барлық жазбалармен жеткіліксіз болған сияқты, бізде бұған дейін PYMES сериясында қамтылмаған қызмет бар, және бұл өте маңызды: «SQUID» немесе жергілікті желінің проксиі. Бізді «сисадмин» деп санайтындардың отбасында мұнда біздің білімімізді зерттеуге және тереңдетуге арналған басқа жақсы материалдар жоқ.

  6.   федерико дижо

    Пікірлеріңіз үшін бәріңізге рахмет. Келесі мақалада Cyrus-SASL арқылы жергілікті тіркелу деректеріне (PAM) қарсы түпнұсқалық растамаға ие Prosody чат-сервері қарастырылады және бұл қызмет дәл осы серверде жүзеге асырылады.

  7.   17 дижо

    Жақсы уақытта жерлесім !!!! Тегін бағдарламалық жасақтама туралы білімдері жоқ мен сияқты адамдар үшін үлкен үлес осы мақаладағыдай талғампаз мақалалармен оқуға құмар. Мен сіздің қосқан үлестеріңізді қадағалап отырдым және қай мақалада ШОБ желілерінің осы сериясын бастауға кеңес береріңізді білгім келеді, өйткені мен тәртіпсіз оқыдым және кез-келген мәліметті жіберіп алу өте құнды мазмұнға ие деп ойлаймын. Бұдан басқа, сәлемдесу және жалпы білім, сондай-ақ бағдарламалық жасақтама тегін болып қала берсін!

    1.    федерико дижо

      Сәлемдесу жерлесім !!!. Мен сізге бастауға кеңес беремін, бұл ұзақ жол болып көрінгенімен, адаспау үшін ең қысқа жол. - соңғы екі мақаламен жаңартылмаған индексте - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, біз серияны қалай оқудан басталатын ұсынылған оқудың тәртібін орнаттық Жұмыс станциясы, тақырыпқа арналған бірнеше хабарламамен жалғасады Виртуализация, бірнеше конвертпен жүріңіз BIND, Isc-Dhcp-Server және Dnsmasqжәне т.с.с. біз қазір тұрған ШОБ желісі үшін қызметті енгізу бөліміне жеткенше. Бұл сізге көмектеседі деп үміттенемін.

      1.    17 дижо

        Жақсы болады !!!! Бірден мен сериалды басынан бастаймын және жаңа мақалалар күтемін. Алақай !!!!