Kalmarai + PAM autentifikavimas „CentOS 7“ - SMB tinkluose

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Sveiki draugai ir draugai!

Straipsnio pavadinimas turėjo būti toks: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid su PAM autentifikavimu „Centos 7“ - MVĮ tinklai«. Dėl praktinių priežasčių mes jį sutrumpiname.

Tęsiame autentifikavimą vietiniams vartotojams „Linux“ kompiuteryje, naudodami PAM, ir šį kartą pamatysime, kaip mes galime suteikti tarpinio serverio paslaugą su „Squid“ mažam kompiuterių tinklui, naudodami autentifikavimo kredencialus, saugomus tame pačiame kompiuteryje, kur serveris veikia kalmaras.

Nors žinome, kad šiais laikais labai paplitusi praktika, paslaugų autentifikavimas naudojant „OpenLDAP“, „Red Hat's Directory Server 389“, „Microsoft Active Directory“ ir kt., Mes manome, kad pirmiausia turime pereiti paprastus ir pigius sprendimus, o tada susidurti su pačiais sudėtingiausiais. Manome, kad turime pereiti nuo paprasto prie komplekso.

Etapas

Tai maža organizacija, turinti labai nedaug finansinių išteklių, skirta remti laisvos programinės įrangos naudojimą ir pasirinkusi organizacijos pavadinimą. DesdeLinux.Fan. Jie yra įvairūs OS entuziastai Centos sugrupuoti į vieną kabinetą. Jie nusipirko darbo stotį - ne profesionalų serverį -, kurią skirs veikti kaip „serveris“.

Entuziastai neturi daug žinių, kaip įdiegti „OpenLDAP“ serverį ar „Samba 4 AD-DC“, taip pat negali sau leisti licencijuoti „Microsoft Active Directory“. Tačiau jiems reikia interneto prieigos paslaugų per tarpinį serverį, kad jie galėtų atlikti savo kasdienį darbą, norėdami paspartinti naršymą, ir vietos, kur išsaugoti vertingiausius dokumentus ir dirbti kaip atsargines kopijas.

Jie vis dar dažniausiai naudoja legaliai įsigytas „Microsoft“ operacines sistemas, tačiau nori jas pakeisti į „Linux“ pagrįstas operacines sistemas, pradedant nuo „serverio“.

Jie taip pat siekia turėti savo pašto serverį, kad taptų nepriklausomi - bent jau nuo kilmės - tokių paslaugų kaip „Gmail“, „Yahoo“, „HotMail“ ir kt., Ką jie šiuo metu naudoja.

Ugniasienė ir maršruto nustatymo taisyklės, esančios priešais internetą, ją įtvirtins ADSL maršrutizatoriuje, su kuriuo sudaryta sutartis.

Jie neturi tikro domeno vardo, nes jiems nereikia skelbti jokių paslaugų internete.

„CentOS 7“ kaip serveris be GUI

Mes pradedame nuo naujo serverio be grafinės sąsajos diegimo, o vienintelė galimybė, kurią pasirenkame proceso metu, yra «Infrastruktūros serveris»Kaip matėme ankstesniuose šios serijos straipsniuose.

Pradiniai nustatymai

[root @ linuxbox ~] # cat / etc / hostname 
Linux dėžutė

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # pagrindinio kompiuterio vardas
Linux dėžutė

[root @ linuxbox ~] # pagrindinio kompiuterio vardas -f
linuxbox.desdelinux.gerbėjas

[root @ linuxbox ~] # ip adresų sąrašas
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 tai

Mes išjungiame tinklo tvarkyklę

[root @ linuxbox ~] # systemctl sustabdyti „NetworkManager“

[root @ linuxbox ~] # systemctl išjungti „NetworkManager“

[root @ linuxbox ~] # systemctl būsena NetworkManager
● NetworkManager.service - tinklo tvarkyklė įkelta: įkelta (/usr/lib/systemd/system/NetworkManager.service; išjungta; tiekėjo išankstinis nustatymas: įjungtas) aktyvus: neaktyvus (negyvas) Dokumentai: vyras: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Konfigūruojame tinklo sąsajas

„Ens32“ LAN sąsaja prijungta prie vidinio tinklo

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = vieša

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

„Ens34“ WAN sąsaja prijungta prie interneto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=lt IP GATEWAY=34 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = išorinė

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Saugyklų konfigūracija

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # originalus mkdir
[root @ linuxbox ~] # mv Centos- * originalas /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum clean all
Įkelti papildiniai: greičiausias veidrodis, langpacks Valymo saugyklos: „Base-Repo CentosPlus-Repo“ „Epel-Repo Media-Repo“: „Updates-Repo“ išvalo viską Išvalo greičiausių veidrodžių sąrašą

[root @ linuxbox yum.repos.d] # yum atnaujinimas
Įkelti papildiniai: greičiausias veidrodis, langpacks Base-Repo | 3.6 kB 00:00 „CentosPlus-Repo“ 3.4 kB 00:00 „Epel-Repo“ 4.3 kB 00:00 „Media-Repo“ 3.6 kB 00:00 Atnaujinimai-Repo | 3.4 kB 00:00 (1/9): „Base-Repo“ / grupė_gz | 155 kB 00:00 (2/9): „Epel-Repo“ / grupė_gz | 170 kB 00:00 (3/9): „Media-Repo“ / group_gz | 155 kB 00:00 (4/9): „Epel-Repo“ / „updateinfo“ 734 kB 00:00 (5/9): „Media-Repo“ / pirminis_db | 5.3 MB 00:00 (6/9): „CentosPlus-Repo“ / pirminis_db | 1.1 MB 00:00 (7/9): Atnaujinimai-Repo / pirminis_db | 2.2 MB 00:00 (8/9): „Epel-Repo“ / pirminis_db | 4.5 MB 00:01 (9/9): „Base-Repo“ / pirminis_db | 5.6 MB 00:01 Greičiausių veidrodžių nustatymas Nėra paketų, pažymėtų atnaujinti

Žinutė "Nėra paketų, pažymėtų atnaujinti»Parodyta, nes diegdami mes deklaravome tas pačias vietines saugyklas, kurias turime.

„Centos 7“ su „MATE“ darbalaukio aplinka

Norėdami naudoti labai gerus administravimo įrankius su grafine sąsaja, kurią suteikia „CentOS / Red Hat“, ir kadangi mes visada pasiilgstame GNOME2, nusprendėme įdiegti MATE kaip darbalaukio aplinką.

[root @ linuxbox ~] # yum groupinstall „X Window system“
[root @ linuxbox ~] # yum grupės diegimas „MATE Desktop“

Norėdami patikrinti, ar MATE tinkamai įkeltas, konsolėje -local arba remote - vykdome šią komandą:

[root @ linuxbox ~] # systemctl izoliuoti graphical.target

ir darbalaukio aplinka turėtų būti įkelta -vietos komandoje- sklandžiai, rodydamas šviesos danga kaip grafinį prisijungimą. Įvedame vietinio vartotojo vardą ir slaptažodį ir įveskite MATE.

Norėdami pasakyti systemd kad numatytasis įkrovos lygis yra 5 grafinė aplinka, sukuriame šią simbolinę nuorodą:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Perkrauname sistemą ir viskas veikia gerai.

Įdiegiame „Time Service for Networks“

[root @ linuxbox ~] # yum įdiegti ntp

Diegdami konfigūruojame, kad vietinis laikrodis bus sinchronizuojamas su kompiuterio laiko serveriu sysadmin.desdelinux.gerbėjas su IP 192.168.10.1. Taigi, išsaugome failą ntp.conf originalas:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Dabar kuriame naują turinį:

[root @ linuxbox ~] # nano /etc/ntp.conf # Diegimo metu sukonfigūruoti serveriai: serveris 192.168.10.1 iburst # Norėdami gauti daugiau informacijos, žr. vadovų puslapius: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Leisti sinchronizuoti su laiko šaltiniu, bet # neleisti šaltiniui ieškoti ar modifikuoti šios paslaugos apriboti numatytąjį nomodify notrap nopeer noquery # Leisti visą prieigą prie sąsajos Loopback apriboti 127.0.0.1 apriboti :: 1 # Kiek mažiau apsiribokite vietinio tinklo kompiuteriais. apriboti 192.168.10.0 kaukę 255.255.255.0 nomodify notrap # Naudokite projekto viešuosius serverius pool.ntp.org # Jei norite prisijungti prie projekto, apsilankykite # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254. 192.168.10.255 # Įgalinti viešąją kriptografiją. #crypto Includefile / etc / ntp / crypto / pw # Raktų failas, kuriame yra raktai ir raktų identifikatoriai # naudojami dirbant su simetriškais raktų kriptografijos raktais / etc / ntp / keys # Nurodykite patikimų raktų identifikatorius. #trustedkey 4 8 42 # Nurodykite rakto identifikatorių, kurį naudosite naudodami ntpdc. #requestkey 8 # Nurodykite rakto identifikatorių, kurį naudosite naudodami ntpq. #controlkey 8 # Įgalinti statistikos registrų rašymą. #statistics clockstats cryptostats loopstats peerstats # Išjunkite atsiskyrimo monitorių, kad išvengtumėte # atakų sustiprinimo naudojant komandą ntpdc monlist, kai į numatytąjį # apribojimą neįtraukiama „noquery“ vėliava. Norėdami gauti daugiau informacijos, skaitykite CVE-2013-5211 #. # Pastaba: Monitorius nėra išjungtas naudojant riboto apribojimo žymą. išjungti monitorių

Įjungiame, paleidžiame ir patikriname NTP paslaugą

[root @ linuxbox ~] # systemctl būsena ntpd
● ntpd.service - Tinklo laiko tarnyba įkelta: pakrauta (/usr/lib/systemd/system/ntpd.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: neaktyvus (negyvas)

[root @ linuxbox ~] # systemctl įgalinti ntpd
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/ntpd.service į /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl paleisti ntpd
[root @ linuxbox ~] # systemctl būsena ntpd

[root @ linuxbox ~] # systemctl būsena ntpd
● ntpd.service - tinklo laiko paslauga
   Įkelta: įkelta (/usr/lib/systemd/system/ntpd.service; įgalinta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo penktadienio 2017-04-14 15:51:08 EDT; Prieš 1 s. Procesas: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kodas = išeita, būsena = 0 / SĖKMĖ) Pagrindinis PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp ir ugniasienė

[root @ linuxbox ~] # firewall-cmd --get-active-zone
išorinis
  sąsajos: ens34
visuomenės
  sąsajos: ens32

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 123 / udp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė

Mes įgaliname ir sukonfigūruojame „Dnsmasq“

Kaip matėme ankstesniame „Small Business Networks“ serijos straipsnyje, „Dnsamasq“ pagal numatytuosius nustatymus yra įdiegta „CentOS 7 Infrastructure Server“.

[root @ linuxbox ~] # systemctl būsena dnsmasq
● dnsmasq.service - DNS talpyklos serveris. Įkelta: pakrauta (/usr/lib/systemd/system/dnsmasq.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: neaktyvus (miręs)

[root @ linuxbox ~] # systemctl įjungti dnsmasq
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/dnsmasq.service į /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl paleisti dnsmasq
[root @ linuxbox ~] # systemctl būsena dnsmasq
● dnsmasq.service - DNS talpyklos serveris. Įkelta: pakrauta (/usr/lib/systemd/system/dnsmasq.service; įgalinta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo 2017-04-14 16:21:18 EDT; Prieš 4s. Pagrindinis PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------------------------
# O P C I O N E S   G E N E R A L E S
# -------------------------------------------------------------------
domain-needed   # No pasar nombres sin la parte del dominio
bogus-priv  # No pasar direcciones en el espacio no enrutado
expand-hosts    # Adiciona automaticamente el dominio al host
interface=ens32 # Interface LAN

strict-order    # Orden en que consulta el archivo /etc/resolv.conf
conf-dir=/etc/dnsmasq.d
domain=desdelinux.fan   # Nombre del dominio

address=/time.windows.com/192.168.10.5

# Envía una opción vacía del valor WPAD. Se requiere para que 
# se comporten bien los clientes Windos 7 y posteriores. ;-)
dhcp-option=252,"\n"

# Archivo donde declararemos los HOSTS que serán "baneados"
addn-hosts=/etc/banner_add_hosts

local=/desdelinux.fan/

# -------------------------------------------------------------------
# R E G I S T R O S   C N A M E    M X    T X T
# -------------------------------------------------------------------
# Este tipo de registro requiere de una entrada
# en el archivo /etc/hosts
# ej: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.ventiliatorius, linuxbox.desdelinux.fan # MX RECORDS # Grąžina MX įrašą pavadinimu "desdelinux.fan“ skirtas # pašto komandai.desdelinux.ventiliatorius ir prioritetas 10 mx-host=desdelinux.gerbėjas,paštas.desdelinux.fan,10 # Numatytoji MX įrašų, sukurtų # naudojant localmx parinktį, paskirties vieta bus: mx-target=mail.desdelinux.fan # Grąžina MX įrašą, nukreipiantį į mx-target VISIEMS # vietiniams įrenginiams localmx # TXT įrašams. Taip pat galime deklaruoti SPF įrašą txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.gerbėjas"DesdeLinux, su Blog dedicado al Software Libre"

# -------------------------------------------------------------------
# R A N G O   Y   S U S   O P C I O N E S
# -------------------------------------------------------------------
# Rango IPv4 y tiempo de arrendamiento
# De la 1 a la 29 son para los Servidores y otras necesidades
dhcp-range=192.168.10.30,192.168.10.250,8h

dhcp-lease-max=222      # Cantidad máxima de direcciones a arrendar
                        # por defecto son 150
# Rango IPV6
# dhcp-range=1234::, ra-only

# Opciones para el RANGO
# O P C I O N E S
dhcp-option=1,255.255.255.0 # NETMASK
dhcp-option=3,192.168.10.5  # ROUTER GATEWAY
dhcp-option=6,192.168.10.5  # DNS Servers
dhcp-option=15,desdelinux.fan   # DNS Domain Name
dhcp-option=19,1        # option ip-forwarding ON
dhcp-option=28,192.168.10.255   # BROADCAST
dhcp-option=42,192.168.10.5 # NTP

dhcp-authoritative      # DHCP Autoritario en la subnet

# -------------------------------------------------------------------
# Si desean almacenar en /var/log/messages el log de las consultas
# elimine el comentario de la línea a continuación
# -------------------------------------------------------------------
# žurnalo užklausų
# Failo /etc/dnsmasq.conf # END # --------------------------------------- ----------------------------

Mes kuriame failą / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Fiksuoti IP adresai

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain4
::1             localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox
192.168.10.1    sysadmin.desdelinux.gerbėjas sysadmin

Konfigūruojame failą /etc/resolv.conf - Resolverio

[root @ linuxbox ~] # nano /etc/resolv.conf
search desdelinux.fan nameserver 127.0.0.1 # Išorinėms arba # ne domeno DNS užklausoms desdelinux.gerbėjas # vietinis=/desdelinux.fan/ nameserver 8.8.8.8

Mes patikriname failo sintaksę dnsmasq.conf, pradedame ir tikriname paslaugos būseną

[root @ linuxbox ~] # dnsmasq - testas
dnsmasq: sintaksė patikrinkite gerai.
[root @ linuxbox ~] # systemctl paleiskite iš naujo dnsmasq
[root @ linuxbox ~] # systemctl būsena dnsmasq

„Dnsmasq“ ir ugniasienė

[root @ linuxbox ~] # firewall-cmd --get-active-zone
išorinis
  sąsajos: ens34
visuomenės
  sąsajos: ens32

tarnyba domenas o domeno vardo serveris (dns). Protokolas nudžiauti «IP su šifravimu«

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 53 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 53 / udp --permanent
sėkmė

„Dnsmasq“ užklausos į išorinius DNS serverius

[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 53 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = išorinė --add-port = 53 / udp --permanent
sėkmė

tarnyba bagažinės o BOOTP serveris (DHCP). Protokolas ippc «Interneto „Pluribus“ paketo šerdis«

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 67 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 67 / udp --permanent
sėkmė

[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė

[root @ linuxbox ~] # firewall-cmd - infozonos viešoji visuomenė (aktyvi)
  target: numatytasis „icmp-block-inversion“: nėra sąsajų: ens32 šaltiniai: paslaugos: dhcp dns ntp ssh prievadai: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokolai: maskaradas: nėra „forward-ports“: šaltiniai: icmp blokai: turtingos taisyklės:

[root @ linuxbox ~] # firewall-cmd - informacinės zonos išorinis išorinis (aktyvus)
  target: numatytasis icmp-block-inversion: nėra sąsajų: ens34 šaltiniai: services: dns ports: 53 / udp 53 / tcp protokolai: maskaradas: yes forward-ports: sourceports: icmp-blocks: parametras-problema peradresuoti maršrutizatorių-reklamos maršrutizatorius- prašymo šaltinio gesinimo turtingos taisyklės:

Jei norime naudoti grafinę sąsają ugniasienei sukonfigūruoti „CentOS 7“, žiūrime į bendrą meniu - tai priklausys nuo darbalaukio aplinkos, kuriame rodomas submeniu - programos «Ugniasienė», ją vykdome ir įvedę vartotojo slaptažodį šaknis, mes pasieksime programos sąsają kaip tokią. MATE jis rodomas meniu «Sistema »->„ Administravimas “->„ Ugniasienė “.

Mes pasirenkame sritį «visuomenės»Ir mes suteikiame paslaugas, kurias norime paskelbti LAN, kurios iki šiol yra DHCP, dns, ntp ir ssh. Pasirinkę paslaugas, patikrinę, ar viskas veikia tinkamai, „Runtime“ turime pakeisti į „Nuolatiniai“. Norėdami tai padaryti, eikite į meniu Parinktys ir pasirinkite parinktį «Paleiskite laiką iki visiško"

Vėliau pasirenkame rajoną «išorinis»Ir mes patikriname, ar uostai, reikalingi bendrauti su internetu, yra atidaryti. NESKELBKITE Paslaugų šioje zonoje, nebent gerai žinome, ką darome!.

Nepamirškime atlikti pakeitimų Nuolatiniai naudojant parinktį «Paleiskite laiką iki visiško»Ir perkrauk demoną FirewallD, kiekvieną kartą, kai naudojame šį galingą grafinį įrankį.

„NTP“ ir „Dnsmasq“ iš „Windows 7“ kliento

Sinchronizavimas su NTP

išorinis

Nuomojamas IP adresas

„Microsoft Windows“ [6.1.7601 versija] Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : Septyni
   Pirminė Dns priesaga. . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-D6-14-36
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   „IPv4“ adresas. . . . . . . . . . . : 192.168.10.115 (pageidaujama)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Friday, April 14, 2017 5:12:53 PM
   Lease Expires . . . . . . . . . . : Saturday, April 15, 2017 1:12:53 AM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.5
   DNS Servers . . . . . . . . . . . : 192.168.10.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 9:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.desdelinux.fan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

C:\Users\buzz>

Patarimas

Svarbi „Windows“ klientų vertė yra „Pagrindinis Dns priesaga“ arba „Pagrindinio ryšio priesaga“. Kai nenaudojate „Microsoft“ domeno valdiklio, operacinė sistema jai nepriskiria jokios vertės. Jei susiduriame su tokiu atveju, koks aprašytas straipsnio pradžioje, ir norime aiškiai deklaruoti tą vertę, turime elgtis pagal tai, kas parodyta kitame paveikslėlyje, priimti pakeitimus ir iš naujo paleisti klientą.

Jei vėl bėgsime CMD -> ipconfig / all gausime:

„Microsoft Windows“ [6.1.7601 versija] Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : Septyni
   Pirminė Dns priesaga. . . . . . . : desdelinux.gerbėjas
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.gerbėjas

Likusios vertės nesikeičia

DNS patikrinimai

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com has address 127.0.0.1
Host spynet.microsoft.com not found: 5(REFUSED)
spynet.microsoft.com mail is handled by 1 mail.desdelinux.gerbėjas.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan turi 192.168.10.5 linuxbox adresą.desdelinux.gerbėjų paštas tvarkomas 1 paštu.desdelinux.gerbėjas.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan has address 192.168.10.1
sysadmin.desdelinux.gerbėjų paštas tvarkomas 1 paštu.desdelinux.gerbėjas.

„buzz @ sysadmin“: ~ $ pagrindinio kompiuterio paštas
paštu.desdelinux.fan yra linuxbox slapyvardis.desdelinux.gerbėjas. linuxbox.desdelinux.fan turi 192.168.10.5 linuxbox adresą.desdelinux.gerbėjų paštas tvarkomas 1 paštu.desdelinux.gerbėjas.

Mes įdiegiame -tik bandymams- autoritetingas DNS serveris NSD sysadmin.desdelinux.gerbėjas, ir mes įtraukiame IP adresą 172.16.10.1 archyve / Etc / resolv.conf komandos linuxbox.desdelinux.gerbėjas, norėdami patikrinti, ar „Dnsmasq“ tinkamai vykdė savo ekspeditoriaus funkciją. NSD serveryje esančios smėlio dėžės yra favt.org y toujague.org. Visi IP yra fiktyvūs arba iš privačių tinklų.

Jei išjungsime WAN sąsają ens34 naudojant komandą ifdown ens34, „Dnsmasq“ negalės pateikti užklausų išoriniuose DNS serveriuose.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Priimančioji toujague.org nerasta: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ priegloba pizzapie.favt.org
Priimančioji pizzapie.favt.org nerasta: 3 (NXDOMAIN)

Įgalinkime ens34 sąsają ir patikrinkime dar kartą:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ priimančiosios pizzapie.favt.org
pizzapie.favt.org yra paisano.favt.org pseudonimas. paisano.favt.org adresas yra 172.16.10.4

[buzz @ linuxbox ~] $ priimančiosios pizzapie.toujague.org
Priimančioji pizzas.toujague.org nerasta: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org adresas yra 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org vardų serveris ns1.favt.org. favt.org vardų serveris ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org vardų serveris ns1.toujague.org. toujague.org vardų serveris ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org paštą tvarko 10 mail.toujague.org.

Pasitarkime nuo sysadmin.desdelinux.gerbėjas:

„buzz @ sysadmin“: ~ $ cat /etc/resolv.conf 
search desdelinux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org adresas yra 169.18.10.19

„Dnsmasq“ veikia kaip Ekspeditorius teisingai.

kalmaras

Knygoje PDF formatu «„Linux Server“ konfigūracija»Autorius paskelbė 25 m. Liepos 2016 d Joelis Barriosas Dueñasas (darshram@gmail.com - http://www.alcancelibre.org/), tekste, į kurį jau kalbėjau ankstesniuose straipsniuose, yra visas skyrius, skirtas Kalmarų pagrindinės konfigūracijos parinktys.

Dėl žiniatinklio - tarpinio serverio svarbos mes atkartojame įvadą apie kalmarą minėtoje knygoje:

105.1. Įvadas.

105.1.1. Kas yra tarpinis serveris (tarpinis serveris)?

Terminas anglų kalba „Proxy“ turi labai bendrą ir kartu dviprasmišką prasmę, nors
visada laikomas sąvokos „sinonimas“ „Tarpininkas“. Paprastai jis verčiamas griežtąja prasme kaip deleguoti o proxy (tas, kuris turi valdžią kitam).

Un Tarpinis serveris Tai apibrėžiama kaip kompiuteris ar įrenginys, siūlantis tinklo paslaugą, kurią sudaro galimybės klientams užmegzti netiesioginius tinklo ryšius su kitomis tinklo paslaugomis. Proceso metu įvyksta:

• Klientas prisijungia prie a Tarpinis serveris.
• Klientas prašo ryšio, failo ar kito šaltinio, esančio kitame serveryje.
• Tarpinis serveris teikia išteklius prisijungdamas prie nurodyto serverio
  arba patiekti ją iš talpyklos.
• Kai kuriais atvejais Tarpinis serveris gali pakeisti kliento prašymą arba
  serverio atsakymas įvairiais tikslais.

Los Tarpiniai serveriai jie paprastai naudojami vienu metu veikti kaip gaisrinė siena, veikianti Tinklo lygis, veikiantis kaip paketinis filtras, kaip ir iptables arba veikiantis Taikymo lygis, kontroliuojantis įvairias paslaugas, kaip yra TCP vyniotuvas. Priklausomai nuo konteksto, ugnies siena taip pat žinoma kaip BPD pratęsimas o Bkad Papsisaugojimas Device ar tiesiog paketinis filtras.

Bendra Tarpiniai serveriai turi veikti kaip tinklo turinio (daugiausia HTTP) talpykla, pateikdama šalia klientų puslapių ir failų, pasiekiamų per tinklą nuotoliniuose HTTP serveriuose, talpyklą, leidžiančią vietinio tinklo klientams prieiti prie jų greitesnis ir patikimesnis.

Kai gaunama užklausa dėl nurodyto tinklo ištekliaus URL adresas (Uniforminis Rpersiųsti Lokatorius) Tarpinis serveris ieškoti rezultato URL adresas talpyklos viduje. Jei jis randamas, Tarpinis serveris Atsako klientui nedelsdamas pateikdamas prašomą turinį. Jei talpykloje nėra prašomo turinio, Tarpinis serveris jis paims jį iš nuotolinio serverio, pristatydamas jį paprašiusiam klientui ir laikydamas kopiją talpykloje. Talpykloje esantis turinys pašalinamas naudojant galiojimo pabaigos algoritmą, atsižvelgiant į jo amžių, dydį ir istoriją atsakymai į užklausas (hitai) (pavyzdžiai: LRU, LFUDA y GDSF).

Tinklo turinio tarpiniai serveriai (žiniatinklio tarpiniai serveriai) taip pat gali veikti kaip teikiamo turinio filtrai, taikydami cenzūros politiką pagal savavališkus kriterijus..

„Squid“ versija, kurią įdiegsime, yra 3.5.20-2.el7_3.2 iš saugyklos atnaujinimai.

Montavimas

[root @ linuxbox ~] # yum install kalmarai

[root @ linuxbox ~] # ls / etc / kalmarai /
cachemgr.conf errorpage.css.default  kalmarai.conf
cachemgr.conf.default mime.conf              kalmarai.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl įjungti kalmarus

svarbus

• Pagrindinis šio straipsnio tikslas yra suteikti vietiniams vartotojams galimybę prisijungti prie „Squid“ iš kitų kompiuterių, prijungtų prie LAN. Be to, įdiekite pagrindinį serverį, prie kurio bus pridėtos kitos paslaugos. Tai nėra straipsnis, skirtas kalmarams kaip tokiems.
• Norėdami sužinoti apie „Squid“ konfigūravimo parinktis, perskaitykite failą /usr/share/doc/squid-3.5.20/squid.conf.documented, kuriame yra 7915 eilučių.

SELinux ir Kalmarai

[root @ linuxbox ~] # getsebool -a | grep kalmarus
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = įjungta

konfigūracija

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports 443 prievadas 21
acl „Safe_ports“ prievadas 80 # http „acl Safe_ports“ prievadas 21 # ftp 443 # gss-http acl „Safe_ports“ prievadas 70 # failų kūrėjas acl „Safe_ports“ prievadas 210 # daugiasluoksnis http acl CONNECT metodas CONNECT # Mes atmetame nesaugių uostų užklausas http_access deny! Safe_ports # Mes atmetame CONNECT metodą nesaugiems uostams http_access deny CONNECT! SSL_ports # Prieiga prie talpyklos tvarkyklės tik iš localhost http_access leidžia localhost manager http_access deny manager # Mes primygtinai rekomenduojame nekomentuoti šių, kad apsaugotume nekaltas # žiniatinklio programas, veikiančias tarpiniame serveryje, kurie mano, kad vienintelis #, kuris gali pasiekti „localhost“ paslaugas, yra vietinis vartotojas http_access deny to_localhost # # ĮTEIKKITE SAVO TAISYKLĄ (-AS) ČIA, KAD LEISTUMĖTE PRISIJUNGTI KLIENTAI # # PAM autorizacija
auth_param pagrindinė programa / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5
auth_param basic realm desdelinux.fan
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Para acceder al Squid se requiere autenticación
acl Entusiastas proxy_auth REQUIRED

# Permitimos el acceso a usuarios autenticados
# mediante PAM
http_access deny !Entusiastas

# Acceso a sitios FTP
acl ftp proto FTP
http_access allow ftp

http_access allow localnet
http_access allow localhost

# Negamos cualquier otro acceso al proxy
http_access deny all

# Squid normalmente escucha por el puerto 3128
http_port 3128

# Dejamos los "coredumps" en el primer directorio caché
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_mem 64 MB
# Memoria Caché
memory_replacement_policy lru
cache_replacement_policy heap LFUDA
cache_dir aufs /var/spool/squid 4096 16 256
maximum_object_size 4 MB
cache_swap_low 85
cache_swap_high 90
cache_mgr buzz@desdelinux.fan

# Otros parámetros
visible_hostname linuxbox.desdelinux.gerbėjas

Mes patikriname failo sintaksę /etc/squid/squid.conf

[root @ linuxbox ~] # kalmaras -k išanalizuoti
2017/04/16 15:45:10| Startup: Initializing Authentication Schemes ...
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'basic'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'negotiate'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'ntlm'
2017/04/16 15:45:10| Startup: Initialized Authentication.
2017/04/16 15:45:10| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2017/04/16 15:45:10| Processing: acl localnet src 192.168.10.0/24
2017/04/16 15:45:10| Processing: acl SSL_ports port 443 21
2017/04/16 15:45:10| Processing: acl Safe_ports port 80     # http
2017/04/16 15:45:10| Processing: acl Safe_ports port 21     # ftp
2017/04/16 15:45:10| Processing: acl Safe_ports port 443        # https
2017/04/16 15:45:10| Processing: acl Safe_ports port 70     # gopher
2017/04/16 15:45:10| Processing: acl Safe_ports port 210        # wais
2017/04/16 15:45:10| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2017/04/16 15:45:10| Processing: acl Safe_ports port 280        # http-mgmt
2017/04/16 15:45:10| Processing: acl Safe_ports port 488        # gss-http
2017/04/16 15:45:10| Processing: acl Safe_ports port 591        # filemaker
2017/04/16 15:45:10| Processing: acl Safe_ports port 777        # multiling http
2017/04/16 15:45:10| Processing: acl CONNECT method CONNECT
2017/04/16 15:45:10| Processing: http_access deny !Safe_ports
2017/04/16 15:45:10| Processing: http_access deny CONNECT !SSL_ports
2017/04/16 15:45:10| Processing: http_access allow localhost manager
2017/04/16 15:45:10| Processing: http_access deny manager
2017/04/16 15:45:10| Processing: http_access deny to_localhost
2017/04/16 15:45:10| Processing: auth_param basic program /usr/lib64/squid/basic_pam_auth
2017/04/16 15:45:10| Processing: auth_param basic children 5
2017/04/16 15:45:10| Processing: auth_param basic realm desdelinux.fan
2017/04/16 15:45:10| Processing: auth_param basic credentialsttl 2 hours
2017/04/16 15:45:10| Processing: auth_param basic casesensitive off
2017/04/16 15:45:10| Processing: acl Entusiastas proxy_auth REQUIRED
2017/04/16 15:45:10| Processing: http_access deny !Entusiastas
2017/04/16 15:45:10| Processing: acl ftp proto FTP
2017/04/16 15:45:10| Processing: http_access allow ftp
2017/04/16 15:45:10| Processing: http_access allow localnet
2017/04/16 15:45:10| Processing: http_access allow localhost
2017/04/16 15:45:10| Processing: http_access deny all
2017/04/16 15:45:10| Processing: http_port 3128
2017/04/16 15:45:10| Processing: coredump_dir /var/spool/squid
2017/04/16 15:45:10| Processing: refresh_pattern ^ftp:      1440    20% 10080
2017/04/16 15:45:10| Processing: refresh_pattern ^gopher:   1440    0%  1440
2017/04/16 15:45:10| Processing: refresh_pattern -i (/cgi-bin/|\?) 0    0%  0
2017/04/16 15:45:10| Processing: refresh_pattern .      0   20% 4320
2017/04/16 15:45:10| Processing: cache_mem 64 MB
2017/04/16 15:45:10| Processing: memory_replacement_policy lru
2017/04/16 15:45:10| Processing: cache_replacement_policy heap LFUDA
2017/04/16 15:45:10| Processing: cache_dir aufs /var/spool/squid 4096 16 256
2017/04/16 15:45:10| Processing: maximum_object_size 4 MB
2017/04/16 15:45:10| Processing: cache_swap_low 85
2017/04/16 15:45:10| Processing: cache_swap_high 90
2017/04/16 15:45:10| Processing: cache_mgr buzz@desdelinux.fan
2017/04/16 15:45:10| Processing: visible_hostname linuxbox.desdelinux.fan
2017/04/16 15:45:10| Initializing https proxy context

Mes koreguojame leidimus / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Mes kuriame talpyklos katalogą

# Tik tuo atveju ... [root @ linuxbox ~] # aptarnavimo kalmarai sustos
Nukreipiama į / bin / systemctl stop squid.service

[root @ linuxbox ~] # kalmarai -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Nustatykite dabartinį katalogą į / var / spool / squid 2017/04/16 15:48:28 kid1 | Kurti trūkstamus apsikeitimo katalogus 2017/04/16 15:48:28 kid1 | / var / spool / squid egzistuoja 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0F

Šiuo metu, jei reikia šiek tiek laiko grąžinti komandų eilutę, kuri man niekada nebuvo grąžinta, paspauskite Enter.

[root @ linuxbox ~] # paslaugos kalmarų pradžia
[root @ linuxbox ~] # paslaugos kalmarai paleidžiami iš naujo
[root @ linuxbox ~] # paslaugos kalmaro būsena
Peradresuojama į / bin / systemctl būsenos kalmarus. Tarnyba ● kalmarai. Tarnyba - kalmarų talpyklos tarpinis serveris Įkelta: pakrauta (/usr/lib/systemd/system/squid.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo domeno 2017-04-16 15:57:27 EDT; Prieš 1 s Procesas: 2844 ExecStop = / usr / sbin / squid -k išjungimas -f $ SQUID_CONF (kodas = išėjo, statusas = 0 / SĖKMĖ) Procesas: 2873 ExecStart = / usr / sbin / kalmaras $ SQUID_OPTS -f $ SQUID_CONF (kodas = išėjo, būsena = 0 / SĖKMĖ) Procesas: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kodas = išėjo, statusas = 0 / SĖKMĖ) Pagrindinis PID: 2876 (kalmarai) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf balandžio 16 d. 15:57:27 linuxbox systemd [1]: kalmarų talpyklos tarpinio serverio paleidimas ... balandžio 16 d. 15:57:27 linuxbox systemd [1]: Pradėtas kalmarų talpyklos tarpinis serveris. Balandžio 16 d. 15:57:27 „linuxbox“ kalmarai [2876]: kalmarų tėvai: pradės 1 vaikus balandžio 16 d. 15:57:27 „linuxbox“ kalmarai [2876]: kalmarų tėvai: (kalmarai-1) procesas 2878 ... red. Balandžio 16 d. 15 : 57: 27 „Linuxbox“ kalmarai [2876]: Kalmarų tėvai: (kalmarai-1) procesas 2878 ... 1 Patarimas: Kai kurios eilutės buvo elipsuotos, naudokite -l, kad būtų rodomos visos

[root @ linuxbox ~] # cat / var / log / žinutės | grep kalmarus

Ugniasienės pataisymai

Taip pat turime atsidaryti zonoje «išorinis"uostai 80 HTTP y 443 HTTPS kad Kalmarai galėtų bendrauti su internetu.

[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 80 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 443 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė
[root @ linuxbox ~] # firewall-cmd - informacinė zona išorinė
išorinis (aktyvus) taikinys: numatytasis „icmp-block-inversion“: nėra sąsajų: ens34 šaltiniai: paslaugos: dns prievadai: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokolai: maskaradas: taip pirmyn-prievadai: šaltiniai: icmp-blokai: parametras-problema peradresuoti maršrutizatorių-reklamos maršrutizatorius-prašymas šaltinis-gesinimas turtingos taisyklės:

• Nenaudojama eiti į grafinę programą «Ugniasienės konfigūracija»Ir patikrinkite, ar zonai yra atviri 443 tcp, 80 tcp, 53 tcp ir 53 udp prievadai«išorinis«Ir kad mes NĖRA paskelbėme jai jokių paslaugų.

Pastaba apie pagrindinio pagalbininko_pam_auth programą

Peržiūrėkite šio įrankio vadovą vyras basic_pam_auth Perskaitysime, kad pats autorius pateikia tvirtą rekomendaciją perkelti programą į katalogą, kuriame įprasti vartotojai neturi pakankamai leidimų pasiekti įrankį.

Kita vertus, yra žinoma, kad naudojant šią autorizacijos schemą kredencialai keliauja paprastu tekstu ir nėra saugūs priešiškoms aplinkoms, skaityti atvirus tinklus.

Jeffas Yestrumskas skirti straipsnį «Patarimai: Saugaus žiniatinklio tarpinio serverio nustatymas naudojant SSL šifravimą, „Squid Cacheing Proxy“ ir PAM autentifikavimą»Į šios autentifikavimo schemos saugumo didinimo problemą, kad ją būtų galima naudoti potencialiai priešiškuose atviruose tinkluose.

Įdiegiame httpd

Norėdami patikrinti „Squid“ ir, beje, „Dnsmasq“, veikimą, mes įdiegsime paslaugą httpd -Apache žiniatinklio serveris, kurio nereikia atlikti. Faile, palyginti su „Dnsmasq“ / etc / banner_add_hosts Mes paskelbiame svetaines, kurioms norime būti uždraustoms, ir aiškiai priskiriame tą patį IP adresą, kurį jis turi Linux dėžutė. Taigi, jei mes prašome prieigos prie bet kurios iš šių svetainių, pagrindiniame httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl įgalinti httpd
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/httpd.service į /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl paleisti httpd

[root @ linuxbox ~] # systemctl būsena httpd
● httpd.service - „Apache HTTP Server“ pakrautas: įkeltas (/usr/lib/systemd/system/httpd.service; įgalintas; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo 2017-04-16 16:41: 35 EDT; Prieš 5s. Dokumentai: vyras: httpd (8) vyras: apachectl (8) Pagrindinis PID: 2275 (httpd) Būsena: "Apdorojamos užklausos ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND balandžio 16 d. 16:41:35 „linuxbox systemd“ [1]: „Apache“ HTTP serverio paleidimas ... balandžio 16 d. 16:41:35 „linuxbox systemd“ [1]: paleistas „Apache“ HTTP serveris.

„SELinux“ ir „Apache“

„Apache“ turi kelias konfigūruoti strategijas SELinux kontekste.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> išjungti httpd_builtin_scripting -> dėl httpd_can_check_spam -> išjungti httpd_can_connect_ftp -> išjungti httpd_can_connect_ldap -> išjungti httpd_can_connect_mythtv -> išjungti httpd_can_connect tinklas off_zabbix_> išjungti httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> išjungti httpd_can_network_relay -> išjungti httpd_can_sendmail -> išjungti httpd_dbus_avahi -> išjungti httpd_dbus_sssd -> išjungtas httpd_dontaudit_search_dirs -> išjungti httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable offp -> httpd_enablem offpd_server_enablecgi išjungtas -> offhpd_enablemXNUMX httpd_graceful_shutdown -> dėl httpd_manage_ipa -> išjungti httpd_mod_auth_ntlm_winbind -> išjungti httpd_mod_auth_pam -> išjungti httpd_read_user_content -> išjungti httpd_run_ipa -> išjungti httpd_run_preupgrade -> Išjungta httpd_runcobshift offlimerfift_runco_stick> off httpd_runcobshble offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Konfigūruosime tik šiuos dalykus:

Siųsti el. Laišką per „Apache“

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Leiskite „Apache“ skaityti turinį, esantį vietinių vartotojų namų kataloguose

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Leisti administruoti per FTP arba FTPS bet kurį katalogą, kurį tvarko
„Apache“ arba leiskite „Apache“ veikti kaip FTP serveris, klausantis užklausų per FTP prievadą

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Norėdami gauti daugiau informacijos, skaitykite „Linux Server“ konfigūracija.

Mes patikriname autentifikavimą

Belieka tik atidaryti naršyklę darbo vietoje ir nurodyti, pavyzdžiui, http://windowsupdate.com. Mes patikrinsime, ar užklausa yra tinkamai nukreipta į „Apache“ pagrindinį puslapį „Linux“ dėžutėje. Tiesą sakant, bet koks faile nurodytas svetainės pavadinimas / etc / banner_add_hosts būsite nukreipti į tą patį puslapį.

Straipsnio pabaigoje esantys vaizdai tai įrodo.

Vartotojų valdymas

Mes tai darome naudodami grafinį įrankį «vartotojas valdymas»Kurį pasiekiame per meniu Sistema -> Administravimas -> Vartotojų valdymas. Kiekvieną kartą, kai pridedame naują vartotoją, sukuriamas jo aplankas / home / user automatiškai.

Atsarginės kopijos

„Linux“ klientai

Jums reikia tik įprastos failų naršyklės ir nurodykite, kad norite prisijungti, pavyzdžiui: ssh: // „buzz @ linuxbox / home / buzz“ ir įvedus slaptažodį bus rodomas katalogas home vartotojo Buzz.

„Windows“ klientai

„Windows“ klientuose mes naudojame įrankį WinSCP. Įdiegę, mes naudojame jį tokiu būdu:

Paprasta, tiesa?

Santrauka

Mes matėme, kad PAM galima naudoti autentifikuojant paslaugas mažame tinkle ir kontroliuojamoje aplinkoje, visiškai izoliuotoje nuo Piratai. Tai daugiausia lemia tai, kad autentifikavimo kredencialai keliauja paprastu tekstu, todėl tai nėra autentifikavimo schema, naudojama atviruose tinkluose, tokiuose kaip oro uostai, „Wi-Fi“ tinklai ir kt. Tačiau tai yra paprastas autorizacijos mechanizmas, kurį lengva įdiegti ir sukonfigūruoti.

Konsultavosi su šaltiniais

• „Linux Server“ konfigūracija
• Komandų vadovai - vyro puslapiai

PDF versija

Atsisiųskite PDF versiją čia.

Iki kito straipsnio!