SquOS + PAM Authentication CentOS 7- SMB Networks

Сериянын жалпы индекси: Чакан жана орто ишканалар үчүн компьютердик тармактар: Киришүү

Автор: Федерико Антонио Вальдес Тужаге
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Салам достор жана достор!

Макаланын аталышы мындай болушу керек эле: «MATE + NTP + Dnsmasq + Gateway кызматы + Apache + Squid Centos 7де PAM аныктыгын текшерүү менен - чакан жана орто бизнес тармактары«. Практикалык себептерден улам аны кыскартып жатабыз.

Биз PAM колдонуп Linux колдонуучуларына жергиликтүү колдонуучуларга аутентификация жүргүзүүнү улантабыз жана бул жолу прокси кызматын Squid менен компьютерлердин чакан тармагы үчүн, сервер жайгашкан ошол эле компьютерде сакталган аныктыгын текшерүү грамоталарын колдонуу менен көрө алабыз. иштеп жатат кальмар.

Бүгүнкү күндө OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory жана башкаларга каршы кызматтардын аныктыгын текшерүү кеңири жайылгандыгын билсек дагы, биз алгач жөнөкөй жана арзан чечимдерден өтүп, андан кийин эң татаал нерселерге туш болушубуз керек деп эсептейбиз. бир. Биз жөнөкөйдөн татаалга өтүшүбүз керек деп эсептейбиз.

көрсөткүч

Этап

Бул Акысыз Программанын колдонулушун колдогон жана финансылык булактары аз болгон чакан уюм жана анын атын тандап алган FromLinux.Fan. Алар ар кандай OS ышкыбоздору CentOS бир кеңседе топтоштурулган. Алар кесиптик сервер эмес, жумушчу станцияны сатып алышты, аны "сервер" катары иштөөгө арнашты.

Энтузиастар OpenLDAP серверин же Samba 4 AD-DCди кантип ишке ашыруу керектиги жөнүндө кеңири маалыматка ээ эмес жана Microsoft Active Directoryге лицензия бере алышпайт. Бирок, алардын күнүмдүк иши үчүн Интернетке кирүү кызматтары прокси аркылуу талап кылынат - карап чыгууну тездетүү жана эң баалуу документтерди сактоо жана резервдик көчүрмө катары иштөө үчүн орун.

Алар дагы деле болсо негизинен мыйзамдуу түрдө алынган Microsoft операциялык тутумдарын колдонушат, бирок аларды "Серверинен" баштап Linux негизиндеги Операциялык Системаларга алмаштырууну каалашат.

Ошондой эле, алар өзүлөрүнүн почта серверин көзкарандысыз болууга умтулушат - жок дегенде, келип чыгышы менен - ​​азыркы учурда колдонуп жүргөн Gmail, Yahoo, HotMail жана башкалар сыяктуу кызматтар.

Интернеттин алдындагы Firewall жана Багыттоо Эрежелери аны келишим менен түзүлгөн ADSL роутеринде орнотот.

Аларда чыныгы домендик аталыш жок, анткени Интернетте кандайдыр бир кызматты жарыялоонун кажети жок.

CentOS 7 сервер катары GUI жок

Биз графикалык интерфейссиз сервердин жаңы орнотулушунан баштайбыз жана процессте тандалган бирден-бир вариант - «Инфраструктура сервери»Сериянын мурунку макалаларында көргөнүбүздөй.

Баштапкы орнотуулар

[root @ linuxbox ~] # cat / etc / хост аты 
linuxbox

[root @ linuxbox ~] # cat / etc / хост
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # хост аты
linuxbox

[root @ linuxbox ~] # хост аты -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr тизмеси
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 мына

Тармак башкаргычын өчүрөбүз

[root @ linuxbox ~] # systemctl токтотуу NetworkManager

[root @ linuxbox ~] # systemctl NetworkManagerди өчүрөт

[root @ linuxbox ~] # systemctl абалы NetworkManager
● NetworkManager.service - Тармактын менеджери жүктөлгөн: жүктөлгөн (/usr/lib/systemd/system/NetworkManager.service; өчүрүлгөн; сатуучунун алдын-ала коюлган белгиси: иштетилген) Жигердүү: жигерсиз (өлүк) Документтер: киши: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Тармак интерфейстерин конфигурациялайбыз

Ички тармакка туташкан Ens32 LAN интерфейси

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = коомдук

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетке туташкан Ens34 WAN интерфейси

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = ооба BOOTPROTO = статикалык HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = жок IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL роутери # ушул интерфейске # төмөнкү дарек менен туташтырылган. IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = тышкы

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Репозиторийлердин конфигурациясы

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # түпнуска mkdir
[root @ linuxbox ~] # mv Centos- * оригинал /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum баарын тазалаңыз
Жүктөлгөн плагиндер: fastestmirror, langpacks Тазалоочу сактагычтар: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Жаңыртуулар-Репо Баарын тазалоо Эң тез күзгүлөрдүн тизмесин тазалоо
[root @ linuxbox yum.repos.d] # yum жаңыртуу
Жүктөлгөн плагиндер: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Жаңыртуулар-Репо | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Эң тез күзгүлөрдү аныктоо Жаңыртуу үчүн пакеттер белгиленген жок

Билдирүү "Жаңыртуу үчүн бир дагы топтом белгиленген эмес»Орнотуу учурунда биз колдо болгон ошол эле жергиликтүү кампаларды жарыялагандыктан көрсөтүлөт.

Centos 7 MATE жумушчу чөйрөсү менен

CentOS / Red Hat бизге сунуш кылган графикалык интерфейс менен башкаруунун эң мыкты куралдарын колдонуу үчүн жана GNOME2ди ар дайым сагынгандыктан, MATEди жумушчу стол чөйрөсү катары орнотууну чечтик.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

MATE туура жүктөлгөндүгүн текшерүү үчүн төмөнкү буйрукту консоль менен -local or remote- аткарабыз:

[root @ linuxbox ~] # systemctl изоляция графикалык.тартт

жана иштөө чөйрөсү жүктөлүшү керек -жергиликтүү командада- жылмакай, көрсөтүп lightdm графикалык логин катары Биз жергиликтүү колдонуучунун атын жана анын паролун терип, MATEге киребиз.

Айтуу үчүн systemd демейки жүктөө деңгээли 5-графикалык чөйрө болгондуктан, биз төмөнкү символикалык шилтемени түзөбүз:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Биз тутумду өчүрүп-күйгүзүп, бардыгы жакшы иштейт.

Тармактар ​​үчүн убакыт кызматын орнотобуз

[root @ linuxbox ~] # yum install ntp

Орнотуу учурунда биз жергиликтүү саат жабдуунун убакыт сервери менен шайкештештириле тургандыгын жөндөп жатабыз sysadmin.fromlinux.fan IP менен 192.168.10.1. Ошентип, биз файлды сактайбыз ntp.conf түпнуска тарабынан:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Эми биз төмөнкүдөй мазмундагы жаңысын түзөбүз:

[root @ linuxbox ~] # nano /etc/ntp.conf # Орнотуу учурунда конфигурацияланган серверлер: сервер 192.168.10.1 iburst # Кошумча маалымат алуу үчүн төмөнкү баракчалардагы адам баракчаларын караңыз: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Убакыт булагы менен синхрондоштурууга уруксат бериңиз, бирок # булактын бул кызматка кайрылуусуна же өзгөртүүүнө уруксат бербеңиз, демейки nomodify notrap nopeer noquery # Интерфейске бардык кирүүгө уруксат Loopback чектөө 127.0.0.1 чектөө :: 1 # Локалдык тармактагы компьютерлерге бир аз чектөө коюңуз. 192.168.10.0 маскасын чектөө 255.255.255.0 notodify notrap # Долбоордун коомдук серверлерин pool.ntp.org колдонуңуз # Эгерде сиз долбоорго кошулууну кааласаңыз # (http://www.pool.ntp.org/join.html). # Broadcast 192.168.10.255 autokey # Broadcast Server Broadclient # Broadcast Client # Broadcast 224.0.1.1 autokey # multicast server # multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254ey autocey 192.168.10.255 # Жалпыга маалымдоо криптографиясын иштетүү. #crypto includeefile / etc / ntp / crypto / pw # Ачкычтарды жана ачкыч идентификаторлорун камтыган ачкыч файлы # симметриялык ачкыч криптографиялык ачкычтар менен иштөөдө колдонулган # etc / ntp / баскычтар # Ишенимдүү ачкыч идентификаторлорун көрсөтүңүз. # ишенимдүү ачкыч 4 8 42 # ntpdc утилита менен колдонула турган ачкычтын идентификаторун көрсөтүңүз. #requestkey 8 # ntpq утилита менен колдонула турган ачкыч аныктагычты көрсөтүңүз. # көзөмөлдөө 8 # Статистикалык регистрлерди жазууну иштетүү. #statistics clockstats cryptostats loopstats peerstats # ntpdc monlist командасынын жардамы менен # чабуулдардын көбөйүшүн алдын алуу үчүн бөлүү мониторун өчүрүңүз, демейки # чектөө сурам желегин камтыбаса. Көбүрөөк маалымат алуу үчүн CVE-2013-5211 # окуу. # Эскертүү: Монитор чектелген чектөө желеги менен өчүрүлбөйт. мониторду өчүрүү

NTP кызматын иштетип, иштетип, текшерип жатабыз

[root @ linuxbox ~] # systemctl абалы ntpd
● ntpd.service - Тармактагы убакыт кызматы жүктөлдү: жүктөлдү (/usr/lib/systemd/system/ntpd.service; өчүрүлгөн; сатуучунун алдын-ала коюлган белгиси: өчүрүлгөн) Активдүү: жигерсиз (өлүк)

[root @ linuxbox ~] # systemctl ntpd иштетүү
/Etc/systemd/system/multi-user.target.wants/ntpd.service сайтынан /usr/lib/systemd/system/ntpd.service символдук шилтемеси түзүлгөн.

[root @ linuxbox ~] # systemctl ntpd башталат
[root @ linuxbox ~] # systemctl абалы ntpd

[root @ linuxbox ~] # systemctl абалы ntpdntpd.service - Тармактагы убакыт кызматы
   Жүктөлдү: жүктөлдү (/usr/lib/systemd/system/ntpd.service; иштетилген; сатуучунун алдын-ала койгону: өчүрүлгөн) Активдүү: жигердүү (иштеп жатат) Жума 2017-04-14 15:51:08 EDT; 1s мурун Process: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Негизги PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp жана Firewall

[root @ linuxbox ~] # брандмауэр-cmd --get-active-зоналары
тышкы
  интерфейстер: ens34
коомдук
  интерфейстер: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
ийгилик
[root @ linuxbox ~] # брандмауэр-cmd - кайра жүктөө
ийгилик

Dnsmasq иштетип, конфигурациялайбыз

Мурунку чакан бизнес тармактары сериясындагы макалада айтылгандай, Dnsamasq CentOS 7 инфраструктура серверинде демейки шартта орнотулган.

[root @ linuxbox ~] # systemctl абалы dnsmasq
● dnsmasq.service - DNS кэш сервери. Жүктөлгөн: жүктөлгөн (/usr/lib/systemd/system/dnsmasq.service; өчүрүлгөн; сатуучу алдын-ала койгон: өчүрүлгөн) Жигердүү: жигерсиз (өлүк)

[root @ linuxbox ~] # systemctl dnsmasq иштетүү
/Etc/systemd/system/multi-user.target.wants/dnsmasq.service сайтынан /usr/lib/systemd/system/dnsmasq.service символдук шилтемеси түзүлгөн.

[root @ linuxbox ~] # systemctl dnsmasq башталат
[root @ linuxbox ~] # systemctl абалы dnsmasq
● dnsmasq.service - DNS кэш сервери. Жүктөлдү: жүктөлдү (/usr/lib/systemd/system/dnsmasq.service; иштетилген; сатуучунун алдын-ала койгону: өчүрүлгөн) Активдүү: жигердүү (иштеп жатат) Жума 2017-04-14 16:21:18 EDT; 4s ago Негизги PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ЖАЛПЫ ОПЦИЯЛАР # ---------------------------- - -------------------------------------- доменге керектүү # Доменсиз ысымдарды атоого болбойт part bogus-priv # Таркатылбаган мейкиндикте даректерди өткөрбөңүз кеңейтүү-хосттор # Доменди автоматтык түрдө хост интерфейсине кошуу = ens32 # Интерфейс LAN катуу-тартип # /etc/resolv.conf файлын сурай турган тартип-conf = / etc /dnsmasq.d domain = desdelinux.fan # Домендин аты дареги = / time.windows.com / 192.168.10.5 # WPAD маанисинин бош вариантын жөнөтөт. # Windos 7 жана андан кийинки кардарлардын өзүн туура алып жүрүшү үчүн талап кылынат. ;-) dhcp-option = 252, "\ n" # Файл, анда "тыюу салынган" ХОСТТОРДУ жарыялайбыз addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ----------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # Каттоонун бул түрү үчүн / etc / hosts файлына # жазуу керек # мисалы: 192.168.10.5 .10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # #.desdelinux почтасына арналган "desdelinux.fan" деген ат менен MX жазуусун кайтарып берет. компьютер. күйөрман жана приоритет 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # localmx параметрин колдонуп # түзүлгөн MX жазуулар үчүн демейки көздөгөн: mx-target = mail.desdelinux.fan # болот ALL # жергиликтүү машиналардын localmx # TXT жазуулары үчүн mx-максатка багытталган MX жазуусун кайтарып берет. Ошондой эле SPF жазуусу txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "DesdeLinux, сиздин блогуңуз Акысыз Программага арналган" деп жарыялай алабыз "# -------- - ------------------------------------------------- - -------- # КӨБӨРҮҮ ЖАНА КОЛДОНУУЛАР # ------------------------------------ --- ---------------------------- # IPv1 диапазону жана ижарага берүү убактысы # 29ден 192.168.10.30,192.168.10.250,8го чейин Серверлерге жана башка DHCP муктаждыктарына ылайык - диапазону = 222h dhcp-lease-max = 150 # Ижарага бериле турган даректердин максималдуу саны # демейки боюнча # 6 # IPV1234 диапазону # dhcp-range = 1,255.255.255.0 ::, ra-only # RANGE параметрлери # OPTIONS dhcp-option = 3,192.168.10.5 # NETMASK dhcp-option = 6,192.168.10.5 # ROUTER GATEWAY dhcp-option = 15 # DNS Servers dhcp-option = 19,1, desdelinux.fan # DNS Domain Name dhcp-option # option ip-forwarding ON dhcp-option = 28,192.168.10.255 # BROADCAST dhcp-option = 42,192.168.10.5 # NTP dhcp-авторитеттүү # Ички тармакта авторитеттүү DHCP # -------------- --- --------------- ----------------------------------- # Эгерде сиз журналды / var / log / билдирүүлөрүндө сактагыңыз келсе суроолордун # төмөнкү сызыкка жорум калтырыңыз # --------------------------------------- - --------------------------
# журнал сурамдары
/Etc/dnsmasq.conf файлынын # END # --------------------------------------- ----------------------------

Биз файлды түзөбүз / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

IP даректери аныкталды

[root @ linuxbox ~] # nano / etc / host
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysad

/Etc/resolv.conf файлын конфигурациялайбыз - чечүү

[root @ linuxbox ~] # nano /etc/resolv.conf
издөө desdelinux.fan nameserver 127.0.0.1 # DNS тышкы же домендик эмес суроолору үчүн desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Файл синтаксисин текшеребиз dnsmasq.conf, биз кызматтын абалын баштайбыз жана текшеребиз

[root @ linuxbox ~] # dnsmasq --тест
dnsmasq: синтаксисти текшерүү ОК.
[root @ linuxbox ~] # systemctl dnsmasq өчүрүп-күйгүзүү
[root @ linuxbox ~] # systemctl абалы dnsmasq

Dnsmasq жана Firewall

[root @ linuxbox ~] # брандмауэр-cmd --get-active-зоналары
тышкы
  интерфейстер: ens34
коомдук
  интерфейстер: ens32

кызмат домен o Домендик аталыштар сервери (dns). Протокол сүрүү «Шифрлөө менен IP«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - туруктуу
ийгилик
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
ийгилик

Dnsmasq сурамдары тышкы DNS серверлерине

[root @ linuxbox ~] # брандмауэр-cmd - зона = тышкы --add-port = 53 / tcp - туруктуу
ийгилик
[root @ linuxbox ~] # брандмауэр-cmd - зона = тышкы --add-port = 53 / udp - туруктуу
ийгилик

кызмат жүктөө o BOOTP сервери (dhcp). Протокол ippc «Интернет Pluribus пакеттик өзөгү«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - туруктуу
ийгилик
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
ийгилик

[root @ linuxbox ~] # брандмауэр-cmd - кайра жүктөө
ийгилик

[root @ linuxbox ~] # firewall-cmd --info-zone public public (жигердүү)
  target: default icmp-block-inversion: интерфейстер жок: ens32 булактар: кызматтар: dhcp dns ntp ssh порттору: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp протоколдору: маскарад: алдыга порттор жок: булак порттору: icmp -блоктор: бай эрежелер:

[root @ linuxbox ~] # брандмауэр-cmd - маалымат зонасы тышкы тышкы (активдүү)
  target: default icmp-block-inversion: интерфейстер жок: ens34 булактары: кызматтар: dns порттору: 53 / udp 53 / tcp протоколдору: маскарад: ооба алдыга-порттор: sourceceports: icmp-block: параметр-көйгөй багыттоочу роутер-жарнама роутери- өтүнүч булагы-өчүрүү бай эрежелери:

Firewall-ду CentOS 7де конфигурациялоо үчүн графикалык интерфейсти колдонууну кааласак, анда жалпы менюга көз чаптырсак болот - бул ал меню пайда болгон жумушчу столдун чөйрөсүнө - «Firewall» тиркемесине жараша болот, биз аны аткарабыз жана колдонуучу киргенден кийин купуя сөз тамыр, биз программанын интерфейсине ушул сыяктуу кире алабыз. MATEде ал «менюда пайда болот«Тутум »->" Администрация "->" Firewall ".

Биз Аймакты тандайбыз «коомдук»Жана биз ушул кезге чейин жергиликтүү тилде жарыяланган кызматтарга уруксат беребиз dhcp, dns, ntp жана ssh. Кызматтарды тандап алгандан кийин, бардыгы туура иштеп жаткандыгын текшерип, Runtime'ге Permanent өзгөртүүлөрдү киргизишибиз керек. Бул үчүн биз Жолдор менюсуна өтүп, «параметрин тандаңызБиротоло иштөө убактысы".

Кийинчерээк биз Аймакты тандап алабыз «тышкы»Жана биз Интернет менен байланышуу үчүн зарыл болгон Порттордун ачык экендигин текшеребиз. Биз эмне кылып жаткандыгыбызды жакшы билбесек, ушул чөйрөдөгү Кызматтарды жарыялабаңыз!.

«Опция аркылуу туруктуу өзгөрүүлөрдү жасоону унутпайлыБиротоло иштөө убактысы»Жана жинди кайра жүктөө FirewallD, бул күчтүү графикалык куралды колдонгон сайын.

Windows 7 кардарындагы NTP жана Dnsmasq

NTP менен синхрондоштуруу

тышкы

Ижарага алынган IP дарек

Microsoft Windows [6.1.7601 версиясы] Автордук укук (c) 2009 Microsoft Corporation. Бардык укуктар корголгон. C: \ Users \ buzz> ipconfig / бардык Windows IP Конфигурациясынын Хост Аты. . . . . . . . . . . . : SEVEN
   Негизги Dns суффикси. . . . . . . :
   Түйүндүн түрү. . . . . . . . . . . . : Hybrid IP Routing иштетилген. . . . . . . . : WINS прокси иштетилген жок. . . . . . . . : DNS Suffix издөө тизмеси жок. . . . . . : desdelinux.fan Ethernet адаптери Жергиликтүү аймакка туташуу: Туташуу үчүн атайын DNS суффикси. : desdelinux.fan сүрөттөлүшү. . . . . . . . . . . : Intel (R) PRO / 1000 MT Тармакка туташуу Физикалык дареги. . . . . . . . . : 00-0C-29-D6-14-36 DHCP иштетилген. . . . . . . . . . . : Ооба Автоконфигурация иштетилген. . . . : Жана бул
   IPv4 дареги. . . . . . . . . . . : 192.168.10.115 (Тандалган)
   Subnet Mask. . . . . . . . . . . : 255.255.255.0 Ижара алынган. . . . . . . . . . : Жума, 14-апрель, 2017-жыл 5:12:53 Ижаранын мөөнөтү бүтөт. . . . . . . . . . : Ишемби, 15-апрель, 2017-жыл 1:12:53 AM По умолчанию Gateway. . . . . . . . . : 192.168.10.1 DHCP Server. . . . . . . . . . . : 192.168.10.5 DNS Servers. . . . . . . . . . . : 192.168.10.5 NetBIOS үстүнөн Tcpip. . . . . . . . : Туннелдин адаптери иштетилген Жергиликтүү байланыш * 9: Медиа абалы. . . . . . . . . . . : Медиа ажыратылган Туташуу үчүн мүнөздүү DNS-суффикс. : Описание. . . . . . . . . . . : Microsoft Teredo туннелдөө адаптеринин физикалык дареги. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP иштетилген. . . . . . . . . . . : Автоконфигурация иштетилген жок. . . . : Ооба Туннелдин адаптери isatap.fromlinux.fan: Media State. . . . . . . . . . . : Медиа ажыратылган Туташуу үчүн мүнөздүү DNS-суффикс. : desdelinux.fan сүрөттөлүшү. . . . . . . . . . . : Microsoft ISATAP адаптери №2 Физикалык дарек. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP иштетилген. . . . . . . . . . . : Автоконфигурация иштетилген жок. . . . : Ооба C: \ Users \ buzz>

уч

Windows кардарларындагы маанилүү маани - "Негизги Dns суффикси" же "Негизги байланыш суффикси". Microsoft Domain Controller колдонулбаганда, иштетүү тутуму ага эч кандай маани бербейт. Эгерде биз макаланын башында баяндалгандай окуяга туш болуп, ал баалуулукту ачык жарыялоону кааласак, анда кийинки сүрөттө көрсөтүлгөндөй иш алып барып, өзгөртүүлөрдү кабыл алып, кардарды өчүрүп-күйгүзүшүбүз керек.

 

Эгер биз дагы бир жолу чуркасак CMD -> ipconfig / all биз төмөнкүлөрдү алабыз:

Microsoft Windows [6.1.7601 версиясы] Автордук укук (c) 2009 Microsoft Corporation. Бардык укуктар корголгон. C: \ Users \ buzz> ipconfig / бардык Windows IP Конфигурациясынын Хост Аты. . . . . . . . . . . . : SEVEN
   Негизги Dns суффикси. . . . . . . : desdelinux.fan
   Түйүндүн түрү. . . . . . . . . . . . : Hybrid IP Routing иштетилген. . . . . . . . : WINS прокси иштетилген жок. . . . . . . . : DNS Suffix издөө тизмеси жок. . . . . . : desdelinux.fan

Калган баалуулуктар өзгөрүүсүз калат

DNS текшерүүлөрү

buzz @ sysadmin: ~ $ хост spynet.microsoft.com
spynet.microsoft.com 127.0.0.1 дарегине ээ хост spynet.microsoft.com табылган жок: 5 (ЧАКЫРЫЛГАН) spynet.microsoft.com почтасы 1 mail.fromlinux.fan тарабынан каралат.

buzz @ sysadmin: ~ $ хост linuxbox
linuxbox.desdelinux.fan дареги 192.168.10.5 linuxbox.desdelinux.fan почтасы 1 mail.desdelinux.fan тарабынан иштелип чыгат.

buzz @ sysadmin: ~ $ хост sysadmin
sysadmin.desdelinux.fan дарегине ээ 192.168.10.1 sysadmin.desdelinux.fan почтасы 1 mail.desdelinux.fan тарабынан каралат.

buzz @ sysadmin: ~ $ хост почтасы
mail.desdelinux.fan - linuxbox.desdelinux.fan псевдоними. linuxbox.desdelinux.fan дареги 192.168.10.5 linuxbox.desdelinux.fan почтасы 1 mail.desdelinux.fan тарабынан каралат.

Биз орнотобуз -сыноо үчүн гана- ыйгарым укуктуу DNS сервери NSD sysadmin.fromlinux.fan, жана биз IP дарегин кошобуз 172.16.10.1 иштин /etc/resolv.conf команданын linuxbox.fromlinux.fan, Dnsmasq өзүнүн Экспедитор функциясын туура аткарып жаткандыгын текшерүү үчүн. NSD сервериндеги песочниктер favt.org y toujague.org. Бардык IPлер ойдон чыгарылган же жеке тармактардан.

Эгер биз WAN интерфейсин өчүрсөк ens34 буйрукту колдонуп ifdown ens34, Dnsmasq тышкы DNS серверлерин сурай албайт.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Toujague.org хосту табылган жок: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Pizzapie.favt.org хосту табылган жок: 3 (NXDOMAIN)

Ens34 интерфейсин иштетип, дагы бир жолу текшерип көрөлү:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org - paisano.favt.org псевдоними. paisano.favt.org дареги 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Pizzas.toujague.org хосту табылган жок: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org 169.18.10.18 дареги бар

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org аталыш сервери ns1.favt.org. favt.org аталыш сервери ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org аталыш сервери ns1.toujague.org. toujague.org аталыш сервери ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org почтасы 10 mail.toujague.org тарабынан иштелип чыгат.

Келгиле, кеңешип көрөлү sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
linux.fan nameserver 192.168.10.5 издөө

xeon @ sysadmin: ~ $ хост mail.toujague.org
mail.toujague.org 169.18.10.19 дареги бар

Dnsmasq сыяктуу иштеп жатат Экспедитор туура.

кальмар

PDF форматындагы китепте «Linux Server Конфигурациясы»Автор тарабынан 25-жылдын 2016-июлунда белгиленген Джоэл Барриос Дуэйнас (darkshram@gmail.com - http://www.alcancelibre.org/), мен буга чейинки макалаларда сөз кылган текстке арналган бүтүндөй бөлүм бар Squid Basic Configuration Options.

Веб - Прокси кызматынын маанилүүлүгүнөн улам, жогоруда аталган китепте Сквид жөнүндө Киришмени чыгарабыз:

105.1. Киришүү.

105.1.1. Ортомчу сервер (прокси) деген эмне?

Англис тилиндеги термин "Прокси" абдан жалпы жана ошол эле учурда эки ача мааниге ээ, бирок
ар дайым түшүнүгүнүн синоними деп эсептелет "Ортомчу". Ал, адатта, катуу мааниде которулган делегат o юрист аял (башкасынын үстүнөн бийлиги бар адам).

Un Ортомчу сервер Бул кардарларга башка тармак кызматтарына кыйыр тармактык туташууларды түзүүгө мүмкүнчүлүк берүүчү тармак кызматын сунуш кылган компьютер же шайман катары аныкталат. Процесс учурунда төмөнкүлөр болот:

  • Кардар а-га туташат Прокси сервер.
  • Кардар башка серверде болгон туташууну, файлды же башка ресурстарды сурайт.
  • Ортомчу Сервер көрсөтүлгөн серверге туташуу жолу менен камсыз кылат
    же аны кэштен тейлөө.
  • Кээ бир учурларда Ортомчу сервер кардардын талабын өзгөртө алат же
    сервердин ар кандай максаттарга жооп бериши.

The Прокси серверлер алар жалпысынан бир эле мезгилде иштеп турган өрт дубалы катары иштешет Тармак деңгээли, учурдагыдай эле, пакет чыпкасынын милдетин аткарат iptables же иштеп жаткан Колдонмо деңгээли, абалдагыдай эле, ар кандай кызматтарды көзөмөлдөө TCP ороочу. Контекстине жараша, өрт дубалы деп да аталат BPD o Bтартип Pайлануу Device же жөн эле пакет чыпкасы.

Жалпы колдонмо Прокси серверлер алыскы HTTP серверлеринде тармак аркылуу жеткиликтүү болгон баракчалардын жана файлдардын кэшин камсыз кылып, жергиликтүү тармактын кардарларына аларга тезирээк жана көбүрөөк кирүүгө мүмкүнчүлүк берүүчү тармактык камтылуунун кэши (негизинен HTTP) катары иштөө. ишенимдүү.

A тармагында көрсөтүлгөн Network ресурсуна суроо-талап келип түшкөндө URL (Uформа Resource Locator) the Ортомчу сервер натыйжасын издөө URL кэштин ичинде. Эгер табылса, Ортомчу сервер Суралган мазмунду токтоосуз берүү менен кардарга жооп берет. Эгер суралган мазмун кэште жок болсо, анда Ортомчу сервер аны алыскы серверден алып, сураган кардарга жеткирип, көчүрмөсүн кэште сактайт. Кэштеги камтылгандардын курагы, көлөмү жана тарыхына ылайык мөөнөтү аяктаган алгоритм аркылуу алынып салынат суроо-талаптарга жооп (хиттер) (мисалдар: LRU, LFUDA y GDSF).

Тармактын мазмунуна прокси-серверлер (Веб-прокси), ошондой эле өзүм билемдик критерийлерине ылайык цензура саясатын колдонуп, берилген мазмунун чыпкалары катары иштей алат..

Биз орноткон Squid версиясы 3.5.20-2.el7_3.2 кампадан өзгөрүүлөр.

орнотуу

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  кальмар.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl кальмарды иштетет

маанилүү

  • Бул макаланын негизги максаты - жергиликтүү колдонуучуларга LANга туташкан башка компьютерлерден Squid менен байланышууга уруксат берүү. Мындан тышкары, башка кызматтар кошула турган сервердин өзөгүн ишке ашырыңыз. Бул Squidге арналган макала эмес.
  • Squidдин конфигурациясынын параметрлери жөнүндө түшүнүк алуу үчүн, 3.5.20 саптан турган /usr/share/doc/squid-7915/squid.conf.documented файлын окуңуз..

SELinux жана Squid

[root @ linuxbox ~] # getsebool -a | grep кальмар
squid_connect_any -> squid_use_tproxy боюнча -> өчүк

[root @ linuxbox ~] # setsebool -P squid_connect_any = күйүк

тарам

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports порт 443 21
acl Safe_ports порт 80 # http acl Safe_ports порт 21 # ftp acl Safe_ports порт 443 # https acl Safe_ports порт 70 # gopher acl Safe_ports порт 210 # wais acl Safe_ports порт 1025-65535 # катталбаган порттор acl Safe_ports порт 280 # http-mgmt acl Safe_ports порт 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # http acl CONNECT method CONNECT # Коопсуз эмес порттордун суроолорун четке какабыз http_access день! Safe_ports # Коопсуз эмес порттордун CONNECT ыкмасын четке кагабыз http_access баш тартуу CONNECT! SSL_ports # localhost http_access дан гана Кэш башкаргычка мүмкүндүк берет, localhost менеджерге http_access баш тартуудан баш тартуу # Прокси-серверде иштеп жаткан # # localhost "кызматтарына кире алам деп ойлогон # веб-тиркемелерди коргоо үчүн төмөнкүлөрдү чечкиндүү түрдө сунуш кылабыз. жергиликтүү колдонуучу http_access to_localhost тануу # # ӨЗ ЭРЕЖЕҢИЗДИ КОШУҢУЗ БУЛ ЖЕРДЕ КАРДАРЛАРЫҢЫЗДАН КИРҮҮГӨ РУКСАТ БЕРҮҮ # # PAM авторизациясы
auth_param негизги программасы / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic area from linux.fan auth_param basic credentialsttl 2 hours auth_param basic caseensitive off # Squl Enthusiasts proxy_auth кирүү үчүн ACL аутентификациясы талап кылынат # ПРАМ http_access четке кагуу үчүн аныктыгын тастыктаган колдонуучуларга мүмкүнчүлүк беребиз! acl ftp proto FTP http_access уруксат ftp http_access localnet http_access уруксат localhost # Биз прокси башка мүмкүнчүлүк бербейбиз http_access бардыгын жокко чыгарабыз # Squid адатта 3128 портунда угат http_port 3128 # Биз "coredumps" биринчи кэш каталогунда калтырабыз coredump_dir / var / катушка / кальмар # # Булардын үстүнө өзүңүздүн сергитүү_калыптардын ар бирин кошуңуз. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgr.cox_mux.name.code

Биз файлдын синтаксисин текшеребиз /etc/squid/squid.conf

[root @ linuxbox ~] # кальмар -k талдоо
2017/04/16 15: 45: 10 | Баштоо: Аныктыгын текшерүү схемаларын баштоо ...
 2017/04/16 15: 45: 10 | Стартап: Баштапкы аутентификация схемасы 'basic' 2017/04/16 15: 45: 10 | Стартап: Инициализацияланган Аутентификация Схемасы 'дайджест' 2017/04/16 15: 45: 10 | Стартап: Баштапкы аутентификация схемасы 'сүйлөшүү' 2017/04/16 15: 45: 10 | Стартап: Инициалдаштырылган Аутентификация Схемасы 'ntlm' 2017/04/16 15: 45: 10 | Баштоо: Баштапкы аныктыгын текшерүү.
 2017/04/16 15: 45: 10 | Конфигурация файлын иштетүү: /etc/squid/squid.conf (тереңдик 0) 2017/04/16 15: 45: 10 | Иштетүү: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Иштетүү: acl SSL_ports порт 443 21 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 80 # http 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 21 # ftp 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 443 # https 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 70 # gopher 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 210 # wais 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 1025-65535 # катталбаган порттор 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 280 # http-mgmt 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 488 # gss-http 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 591 # filemaker 2017/04/16 15: 45: 10 | Иштетүү: acl Safe_ports порт 777 # multiling http 2017/04/16 15: 45: 10 | Иштетүү: acl CONNECT ыкмасы CONNECT 2017/04/16 15: 45: 10 | Иштетүү: http_access четке кагуу! Safe_ports 2017/04/16 15: 45: 10 | Иштетүү: http_access баш тартуу CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Иштетүү: http_access уруксат localhost менеджери 2017/04/16 15: 45: 10 | Иштетүү: http_access баш тартуу менеджери 2017/04/16 15: 45: 10 | Иштетүү: http_access to денька tolocalhost 2017/04/16 15: 45: 10 | Иштетүү: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Иштетүү: auth_param негизги балдар 5 2017/04/16 15: 45: 10 | Иштетүү: linh.fan дан auth_param негизги чөйрөсү 2017/04/16 15: 45: 10 | Иштетүү: auth_param basic credentialsttl 2 саат 2017/04/16 15: 45: 10 | Иштетүү: auth_param негизги иштерге сезимтал өчүрүү 2017/04/16 15: 45: 10 | Иштетүү: acl энтузиастары proxy_auth ТАЛАП 2017/04/16 15: 45: 10 | Иштетүү: http_access четке кагуу! Энтузиастар 2017/04/16 15: 45: 10 | Иштетүү: acl ftp proto FTP 2017/04/16 15: 45: 10 | Иштетүү: http_access ftp уруксат 2017/04/16 15: 45: 10 | Иштетүү: http_access localnet уруксат 2017/04/16 15: 45: 10 | Иштетүү: http_access уруксат localhost 2017/04/16 15: 45: 10 | Иштетүү: http_access бардыгын четке кагуу 2017/04/16 15: 45: 10 | Иштетүү: http_port 3128 2017/04/16 15: 45: 10 | Иштетүү: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Иштетүү: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Иштетүү: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Иштетүү: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Иштетүү: refresh_pattern. 

Уруксаттарды жөнгө салабыз / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Биз кэш каталогун түзөбүз

# Жөн гана ... [root @ linuxbox ~] # кызмат кальмар токтоп калат
/ Bin / systemctl stop squid.service дарегине багыттоо

[root @ linuxbox ~] # кальмар -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Учурдагы каталогду / var / spool / squid деп койду 2017/04/16 15:48:28 kid1 | Жоголгон алмашуу каталогдорун түзүү 2017/04/16 15:48:28 kid1 | / var / spool / squid бар 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 00 каталогдорун түзүү 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 01/2017/04 16:15:48 kid28 каталогдорун түзүү / Var / spool / squid / 1/02/2017 04:16:15 kid48 каталогдорун түзүү | / Var / spool / squid / 28/1/03 2017:04:16 kid15 каталогдорун түзүү / Var / spool / squid / / 48/28/1 04:2017:04 kid16 ичинде каталогдорду түзүү / Var / spool / squid / 15 48/28/1 05:2017:04 kid16 | каталогдорун түзүү / Var / spool / squid / 15/48/28 / 1:06:2017 кид04 каталогдорун түзүү / Var / spool / squid / 16/15/48 / 28:1:07 kid2017 | каталогдорун түзүү / Var / spool / squid / 04/16/15 / 48:28:1 кид08 каталогдорун түзүү / Var / spool / squid / 2017/04/16 / 15:48:28 кид1 каталогдорун түзүү / Var / spool / squid / 09A каталогдорун түзүү 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0B каталогдорун түзүү 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0C каталогдорун түзүү 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0D каталогдорун түзүү 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0E каталогдорун түзүү 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0F каталогдорун түзүү

Бул учурда, мага эч качан кайтарылбаган буйрук чакыруусун кайтаруу үчүн бир аз убакыт кетсе, анда Enter баскычын басыңыз.

[root @ linuxbox ~] # кызмат кальмар башталды
[root @ linuxbox ~] # кызмат кальмарды кайра баштоо
[root @ linuxbox ~] # кызмат кальмар статусу
/ Bin / systemctl абалына багыттоо squid.service ● squid.service - Squid кэштелген прокси Жүктөлгөн: жүктөлгөн (/usr/lib/systemd/system/squid.service; өчүрүлгөн; сатуучу алдын-ала орнотулган: өчүрүлгөн) Активдүү: жигердүү (иштеп жаткан) дом 2017-04-16 15:57:27 EDT; 1s мурун Process: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = чыккан, абал = 0 / ИЙГИЛИК) Процесс: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Негизги PID: 2876 (кальмар) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 апр. 15:57:27 linuxbox systemd [1]: Squid кэштелген прокси башталды ... 16-апрелде 15:57:27 linuxbox systemd [1]: Squid кэштей турган прокси башталды. 16-апрелде 15:57:27 linuxbox кальмар [2876]: Squid Parent: 1 бала 16-апрелде башталат 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed 16 апрелде : 15: 57 linuxbox кальмары [27]: Squid Parent: (кальмар-2876) процесси 1 ... 2878 Ишара: Айрым саптар эллипске айланган, -l колдонуңуз

[root @ linuxbox ~] # cat / var / log / messages | grep кальмар

Firewall Fixes

Ошондой эле биз Аймакта ачылышыбыз керек «тышкы"порттор 80 HTTP y 443 HTTPS ошондуктан Squid интернет менен байланыша алат.

[root @ linuxbox ~] # брандмауэр-cmd - зона = тышкы --add-port = 80 / tcp - туруктуу
ийгилик
[root @ linuxbox ~] # брандмауэр-cmd - зона = тышкы --add-port = 443 / tcp - туруктуу
ийгилик
[root @ linuxbox ~] # брандмауэр-cmd - кайра жүктөө
ийгилик
[root @ linuxbox ~] # брандмауэр-cmd - маалымат зонасы тышкы
тышкы (активдүү) максаттуу: демейки icmp-блок-инверсия: интерфейстер жок: ens34 булактар: кызматтар: dns порттор: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  протоколдор: маскарад: ооба алдыга-порттор: маалымат булактары: icmp-блоктор: параметр-көйгөй багыттоочу роутер-жарнама роутер-өтүнүч булагы-өчүрүү бай эрежелер:
  • Графикалык тиркемеге өтүү бекер эмес «Firewall конфигурациясы»443 ч.к.ч., 80 т.к.п., 53 т.к.к. жана 53 уд. Порттору зона үчүн ачык экендигин текшериңиз«тышкы«, Биз ал үчүн эч кандай кызмат жарыялаган жокпуз.

Basic_pam_auth жардамчы программасына көңүл буруңуз

Аркылуу ушул утилитанын колдонмосун карап көрсөк man basic_pam_auth Автор өзү программаны кадимки колдонуучулар шайманга кирүү үчүн жетиштүү уруксаты жок каталогго көчүрүү боюнча катуу сунуш киргизгенин окуйбуз.

Башка жагынан алганда, бул уруксат схемасы менен, ишеним грамоталары жөнөкөй текстте жүргөнү жана душман чөйрөлөр үчүн коопсуз эмес экендиги белгилүү, ачык тармактарды окуңуз.

Jeff Yestrumskas макаласын арноо «Кантип: SSL шифрлөө, Squid Caching Proxy жана PAM аныктыгын текшерүү аркылуу коопсуз веб прокси орнотуңуз»Потенциалдуу душмандык ачык тармактарда колдонула тургандай кылып, ушул аутентификация схемасы менен коопсуздукту жогорулатуу маселесине.

Биз httpd орнотобуз

Squidтин иштешин текшерүү жолу катары - жана кокустан Dnsmasq - бул кызматты орнотобуз httpd -Apache веб-серверин жасоо талап кылынбайт. Dnsmasq файлына карата / etc / banner_add_hosts Биз өзүбүзгө тыюу салынган сайттарды жарыялайбыз жана аларга ачык эле IP дарегин беребиз linuxbox. Ошентип, эгерде биз ушул сайттардын бирине кирүүнү сурасак, үйдүн httpd.

[root @ linuxbox ~] # yum httpd орнотуу [root @ linuxbox ~] # systemctl иштетүү httpd
/Etc/systemd/system/multi-user.target.wants/httpd.service сайтынан /usr/lib/systemd/system/httpd.service символдук шилтемеси түзүлгөн.

[root @ linuxbox ~] # systemctl httpd башталат

[root @ linuxbox ~] # systemctl абалы httpd
● httpd.service - Apache HTTP сервери жүктөлдү: жүктөлдү (/usr/lib/systemd/system/httpd.service; иштетилген; сатуучунун алдын-ала коюлган белгиси: өчүрүлгөн) Жигердүү: жигердүү (иштеп жатат) 2017-04-16 16:41: 35 EDT; 5s мурун Docs: man: httpd (8) man: apachectl (8) Негизги PID: 2275 (httpd) Статус: "Сурамдар иштелип жатат ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16-апрелде 16:41:35 linuxbox systemd [1]: Apache HTTP Серверин Баштоо ... 16-апрелде 16:41:35 linuxbox systemd [1]: Apache HTTP Серверин иштетүү.

SELinux жана Apache

Apache SELinux контекстинде конфигурациялоо үчүн бир нече саясатка ээ.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> чечип httpd_builtin_scripting -> боюнча httpd_can_check_spam -> чечип httpd_can_connect_ftp -> чечип httpd_can_connect_ldap -> чечип httpd_can_connect_mythtv -> чечип httpd_can_connect off_zabbix -> чечип httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> httpd_can_network_relay капкак -> чечип httpd_can_sendmail -> чечип httpd_dbus_avahi -> чечип httpd_dbus_sssd -> өчүрүү httpd_dontaudit_search_dirs -> чечип httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem өчүрүп httpd_graceful_shutdown -> httpd_manage_ipa тууралуу -> өчүрүү httpd_mod_auth_ntlm_winbind -> чечип httpd_mod_auth_pam -> чечип httpd_read_user_content -> чечип httpd_run_ipa -> чечип httpd_run_preupgrade -> httpd_runcobshift өчүрүү offlimerfift_runco_stick> off httpd_runco ​​offlimift offlimift_runco_stick> off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Биз төмөнкүнү гана конфигурациялайбыз:

Apache аркылуу электрондук кат жөнөтүңүз

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Apache'ге жергиликтүү колдонуучулардын үй каталогдорунда жайгашкан мазмунду окууга уруксат бериңиз

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

FTP же FTPS аркылуу башкарылган каалаган каталог аркылуу башкарууга уруксат бериңиз
Apache же Apache'ге FTP порт аркылуу суроо-талаптарды угуп, FTP сервери катары иштөөгө уруксат бериңиз

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Көбүрөөк маалымат алуу үчүн, окуп чыгыңыз Linux Server Конфигурациясы.

Аныктыгын текшеребиз

Жумуш станциясында браузерди ачуу гана керек, мисалы, http://windowsupdate.com. Сурамдын linuxbox'тагы Apache үй барагына туура багытталгандыгын текшеребиз. Чындыгында, файлда жарыяланган ар кандай сайттын аталышы / etc / banner_add_hosts сиз ошол эле баракчага багытталасыз.

Макаланын аягындагы сүрөттөр буга далил.

Users Management

Биз аны графикалык куралды колдонуп жасайбыз «Колдонуучу башкаруу»Система -> Администрация -> Колдонуучуну башкаруу менюсу аркылуу киребиз. Жаңы колдонуучуну кошкон сайын, анын папкасы түзүлөт / home / user жазуусу.

 

Камдык

Linux кардарлары

Сизге кадимки файл браузери гана керек жана туташууну каалаганыңызды көрсөтүңүз, мисалы: ssh: // buzz @ linuxbox / home / buzz жана паролду киргизгенден кийин, каталог көрсөтүлөт үй колдонуучу дырылдоо.

Windows кардарлары

Windows кардарларында биз куралды колдонобуз WinSCP. Орнотулгандан кийин, биз аны төмөнкү жол менен колдонобуз:

 

 

Жөнөкөй, туурабы?

на

Кызматтардын аныктыгын текшерүү үчүн PAM кызматын чакан тармакта жана көзөмөлдөнгөн чөйрөдө толугу менен изоляцияланган чөйрөдө колдонуу мүмкүн экендигин көрдүк. Хакерлер. Бул түпнускада аныктыгын текшерүү грамоталары жөнөкөй текстте жүргөндүктөн жана аэропорттор, Wi-Fi тармактары сыяктуу ачык тармактарда колдонула турган аутентификация схемасы эмес. Бирок, бул жөнөкөй уруксат берүү механизми, аны ишке ашыруу жана конфигурациялоо оңой.

Булактар ​​менен кеңешишти

PDF версиясы

PDF нускасын жүктөп алыңыз бул жерде.

Кийинки макалага чейин!


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

9 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   NauTiluS ал мындай деди:

    Мыкты мырза Фико айыгып кетти. Сиздин билимдерин алмашуу үчүн рахмат.

  2.   кескелдирик ал мындай деди:

    Макаланы ушунчалык деталдары менен, так тесттер менен жана баарынан мурда стандарттарга ылайыкташтырылган концепциялар жана стратегиялар менен бириктирүү канчалык кыйын экендигин билем. Мен жөн гана салымдардын асыл ташына баш кийимимди алып жатам, ушундай жакшы жумуш үчүн Фикого чоң рахмат.

    Мен эч качан кальмарды памдын аутентификациясы менен айкалыштырган эмесмин, бирок бул тажрыйбаны лабораториямда жасаш үчүн колдон келишинче аракет кылам ... Максат менен кучакташып, биз улантабыз !!

  3.   Federico ал мындай деди:

    NaTiluS: Сиздин комментарийиңиз жана бааңыз үчүн чоң рахмат.
    Кескелдирик: Сизге дагы, сиздин комментарийиңиз жана бааңыз үчүн чоң рахмат.

    Ушул сыяктуу макалаларды даярдоого кеткен убакыт жана күч-аракетти FromLinux коомчулугуна киргендердин окуулары жана комментарийлери менен гана баалап жатышат. Бул сизге күнүмдүк иште пайдалуу болот деп ишенем.
    Биз уланта беребиз!

  4.   жашыруун ал мындай деди:

    Укмуштуудай жарандык салым !!!! Мен сиздин ар бир макалаңызды окуйм жана акысыз программалык камсыздоону өркүндөтүлгөн деңгээлде билбеген адам дагы (мен сыяктуу) бул эң сонун макаланы кадам сайын аткара алат деп айта алам. Ура !!!!

  5.   IWO ал мындай деди:

    Ушул башка сонун макала үчүн Фикого рахмат; Буга чейин жарыяланган бардык билдирүүлөр менен жетишсиз болуп калгандай, бизде буга чейин PYMES сериясында камтылбаган жана өтө маанилүү кызмат бар: "SQUID" же LANдын прокси. Бизди "сисадмин" деп ойлогондордун үй-бүлөсүндө бизде билимди тереңирээк изилдөө жана тереңдетүү үчүн мындан башка жакшы материал жок.

  6.   Federico ал мындай деди:

    Комментарий бергениңиз үчүн баарыңыздарга рахмат. Кийинки макалада Cyrus-SASL аркылуу жергиликтүү ишеним грамоталарына (PAM) каршы аутентификациядан өткөн Prosody баарлашуу сервери талкууланат жана ал кызмат ушул эле серверде ишке ашырылат.

  7.   kenpachiRo17 ал мындай деди:

    Жакшы жерде мекендеш !!!! Акысыз Программалык камсыздоо жөнүндө жакшы билими жок жана ушул сыяктуу эң сонун макалаларды үйрөнүп алгысы келген мага окшогондор үчүн чоң салым. Сиздин салымдарыңызды байкап жүрөм жана башаламандык менен окуп жүргөндүктөн, майда-чүйдөсүнө чейин окубаганым үчүн, баалуу мазмунду камтыйт деп ойлойм, ушул чакан жана орто бизнес тармактарын кайсы макаладан баштоону сунуштайсыз? Мындан тышкары, саламдашуу жана жалпы билим, ошондой эле Программа акысыз бойдон кала берсин !!

    1.    Federico ал мындай деди:

      Салам мекендеш !!!. Башында баштооңузду сунуштайм, бирок узак жол көрүнгөнү менен, адашып кетпөө үчүн эң кыска жол. Акыркы эки макала менен жаңыланбаган индексте - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, биз кантип жасоону баштай турган Сериянын сунуш кылынган окуу тартибин орноттук Workstation, темага арналган бир нече билдирүүлөр менен уланат Виртуалдаштыруу, бир нече конверт менен ээрчишет BIND, Isc-Dhcp-Server жана Dnsmasqжана башкалар, ушул тапта жайгашкан чакан жана орто бизнес тармагы үчүн кызмат көрсөтүү бөлүгүнө жеткенге чейин. Бул сизге жардам берет деп үмүттөнөм.

      1.    kenpachiRo17 ал мындай деди:

        Жакшы болот !!!! Ошол замат мен башынан сериалдан баштап, жаңы макалаларды чыдамсыздык менен күтөм. Ура !!!!