Kalmarai + PAM autentifikavimas „CentOS 7“ - SMB tinkluose

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Sveiki draugai ir draugai!

Straipsnio pavadinimas turėjo būti toks: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid su PAM autentifikavimu „Centos 7“ - MVĮ tinklai«. Dėl praktinių priežasčių mes jį sutrumpiname.

Tęsiame autentifikavimą vietiniams vartotojams „Linux“ kompiuteryje, naudodami PAM, ir šį kartą pamatysime, kaip mes galime suteikti tarpinio serverio paslaugą su „Squid“ mažam kompiuterių tinklui, naudodami autentifikavimo kredencialus, saugomus tame pačiame kompiuteryje, kur serveris veikia kalmaras.

Nors žinome, kad šiais laikais labai paplitusi praktika, paslaugų autentifikavimas naudojant „OpenLDAP“, „Red Hat's Directory Server 389“, „Microsoft Active Directory“ ir kt., Mes manome, kad pirmiausia turime pereiti paprastus ir pigius sprendimus, o tada susidurti su pačiais sudėtingiausiais. Manome, kad turime pereiti nuo paprasto prie komplekso.

Etapas

Tai maža organizacija, turinti labai nedaug finansinių išteklių, skirta remti laisvos programinės įrangos naudojimą ir pasirinkusi organizacijos pavadinimą. FromLinux.Fan. Jie yra įvairūs OS entuziastai Centos sugrupuoti į vieną kabinetą. Jie nusipirko darbo stotį - ne profesionalų serverį -, kurią skirs veikti kaip „serveris“.

Entuziastai neturi daug žinių, kaip įdiegti „OpenLDAP“ serverį ar „Samba 4 AD-DC“, taip pat negali sau leisti licencijuoti „Microsoft Active Directory“. Tačiau jiems reikia interneto prieigos paslaugų per tarpinį serverį, kad jie galėtų atlikti savo kasdienį darbą, norėdami paspartinti naršymą, ir vietos, kur išsaugoti vertingiausius dokumentus ir dirbti kaip atsargines kopijas.

Jie vis dar dažniausiai naudoja legaliai įsigytas „Microsoft“ operacines sistemas, tačiau nori jas pakeisti į „Linux“ pagrįstas operacines sistemas, pradedant nuo „serverio“.

Jie taip pat siekia turėti savo pašto serverį, kad taptų nepriklausomi - bent jau nuo kilmės - tokių paslaugų kaip „Gmail“, „Yahoo“, „HotMail“ ir kt., Ką jie šiuo metu naudoja.

Ugniasienė ir maršruto nustatymo taisyklės, esančios priešais internetą, ją įtvirtins ADSL maršrutizatoriuje, su kuriuo sudaryta sutartis.

Jie neturi tikro domeno vardo, nes jiems nereikia skelbti jokių paslaugų internete.

„CentOS 7“ kaip serveris be GUI

Mes pradedame nuo naujo serverio be grafinės sąsajos diegimo, o vienintelė galimybė, kurią pasirenkame proceso metu, yra «Infrastruktūros serveris»Kaip matėme ankstesniuose šios serijos straipsniuose.

Pradiniai nustatymai

[root @ linuxbox ~] # cat / etc / hostname 
Linux dėžutė

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # pagrindinio kompiuterio vardas
Linux dėžutė

[root @ linuxbox ~] # pagrindinio kompiuterio vardas -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip adresų sąrašas
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 tai

Mes išjungiame tinklo tvarkyklę

[root @ linuxbox ~] # systemctl sustabdyti „NetworkManager“

[root @ linuxbox ~] # systemctl išjungti „NetworkManager“

[root @ linuxbox ~] # systemctl būsena NetworkManager
● NetworkManager.service - tinklo tvarkyklė įkelta: įkelta (/usr/lib/systemd/system/NetworkManager.service; išjungta; tiekėjo išankstinis nustatymas: įjungtas) aktyvus: neaktyvus (negyvas) Dokumentai: vyras: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Konfigūruojame tinklo sąsajas

„Ens32“ LAN sąsaja prijungta prie vidinio tinklo

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = vieša

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

„Ens34“ WAN sąsaja prijungta prie interneto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = statinis HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL maršrutizatorius prijungtas prie # šios sąsajos su # šiuo adresu IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONA = išorinė

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Saugyklų konfigūracija

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # originalus mkdir
[root @ linuxbox ~] # mv Centos- * originalas /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum clean all
Įkelti papildiniai: greičiausias veidrodis, langpacks Valymo saugyklos: „Base-Repo CentosPlus-Repo“ „Epel-Repo Media-Repo“: „Updates-Repo“ išvalo viską Išvalo greičiausių veidrodžių sąrašą

[root @ linuxbox yum.repos.d] # yum atnaujinimas
Įkelti papildiniai: greičiausias veidrodis, langpacks Base-Repo | 3.6 kB 00:00 „CentosPlus-Repo“ 3.4 kB 00:00 „Epel-Repo“ 4.3 kB 00:00 „Media-Repo“ 3.6 kB 00:00 Atnaujinimai-Repo | 3.4 kB 00:00 (1/9): „Base-Repo“ / grupė_gz | 155 kB 00:00 (2/9): „Epel-Repo“ / grupė_gz | 170 kB 00:00 (3/9): „Media-Repo“ / group_gz | 155 kB 00:00 (4/9): „Epel-Repo“ / „updateinfo“ 734 kB 00:00 (5/9): „Media-Repo“ / pirminis_db | 5.3 MB 00:00 (6/9): „CentosPlus-Repo“ / pirminis_db | 1.1 MB 00:00 (7/9): Atnaujinimai-Repo / pirminis_db | 2.2 MB 00:00 (8/9): „Epel-Repo“ / pirminis_db | 4.5 MB 00:01 (9/9): „Base-Repo“ / pirminis_db | 5.6 MB 00:01 Greičiausių veidrodžių nustatymas Nėra paketų, pažymėtų atnaujinti

Žinutė "Nėra paketų, pažymėtų atnaujinti»Parodyta, nes diegdami mes deklaravome tas pačias vietines saugyklas, kurias turime.

„Centos 7“ su „MATE“ darbalaukio aplinka

Norėdami naudoti labai gerus administravimo įrankius su grafine sąsaja, kurią suteikia „CentOS / Red Hat“, ir kadangi mes visada pasiilgstame GNOME2, nusprendėme įdiegti MATE kaip darbalaukio aplinką.

[root @ linuxbox ~] # yum groupinstall „X Window system“
[root @ linuxbox ~] # yum grupės diegimas „MATE Desktop“

Norėdami patikrinti, ar MATE tinkamai įkeltas, konsolėje -local arba remote - vykdome šią komandą:

[root @ linuxbox ~] # systemctl izoliuoti graphical.target

ir darbalaukio aplinka turėtų būti įkelta -vietos komandoje- sklandžiai, rodydamas šviesos danga kaip grafinį prisijungimą. Įvedame vietinio vartotojo vardą ir slaptažodį ir įveskite MATE.

Norėdami pasakyti systemd kad numatytasis įkrovos lygis yra 5 grafinė aplinka, sukuriame šią simbolinę nuorodą:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Perkrauname sistemą ir viskas veikia gerai.

Įdiegiame „Time Service for Networks“

[root @ linuxbox ~] # yum įdiegti ntp

Diegdami konfigūruojame, kad vietinis laikrodis bus sinchronizuojamas su kompiuterio laiko serveriu sysadmin.fromlinux.fan su IP 192.168.10.1. Taigi, išsaugome failą ntp.conf originalas:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Dabar kuriame naują turinį:

[root @ linuxbox ~] # nano /etc/ntp.conf # Diegimo metu sukonfigūruoti serveriai: serveris 192.168.10.1 iburst # Norėdami gauti daugiau informacijos, žr. vadovų puslapius: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Leisti sinchronizuoti su laiko šaltiniu, bet # neleisti šaltiniui ieškoti ar modifikuoti šios paslaugos apriboti numatytąjį nomodify notrap nopeer noquery # Leisti visą prieigą prie sąsajos Loopback apriboti 127.0.0.1 apriboti :: 1 # Kiek mažiau apsiribokite vietinio tinklo kompiuteriais. apriboti 192.168.10.0 kaukę 255.255.255.0 nomodify notrap # Naudokite projekto viešuosius serverius pool.ntp.org # Jei norite prisijungti prie projekto, apsilankykite # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254. 192.168.10.255 # Įgalinti viešąją kriptografiją. #crypto Includefile / etc / ntp / crypto / pw # Raktų failas, kuriame yra raktai ir raktų identifikatoriai # naudojami dirbant su simetriškais raktų kriptografijos raktais / etc / ntp / keys # Nurodykite patikimų raktų identifikatorius. #trustedkey 4 8 42 # Nurodykite rakto identifikatorių, kurį naudosite naudodami ntpdc. #requestkey 8 # Nurodykite rakto identifikatorių, kurį naudosite naudodami ntpq. #controlkey 8 # Įgalinti statistikos registrų rašymą. #statistics clockstats cryptostats loopstats peerstats # Išjunkite atsiskyrimo monitorių, kad išvengtumėte # atakų sustiprinimo naudojant komandą ntpdc monlist, kai į numatytąjį # apribojimą neįtraukiama „noquery“ vėliava. Norėdami gauti daugiau informacijos, skaitykite CVE-2013-5211 #. # Pastaba: Monitorius nėra išjungtas naudojant riboto apribojimo žymą. išjungti monitorių

Įjungiame, paleidžiame ir patikriname NTP paslaugą

[root @ linuxbox ~] # systemctl būsena ntpd
● ntpd.service - Tinklo laiko tarnyba įkelta: pakrauta (/usr/lib/systemd/system/ntpd.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: neaktyvus (negyvas)

[root @ linuxbox ~] # systemctl įgalinti ntpd
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/ntpd.service į /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl paleisti ntpd
[root @ linuxbox ~] # systemctl būsena ntpd

[root @ linuxbox ~] # systemctl būsena ntpd
● ntpd.service - tinklo laiko paslauga
   Įkelta: įkelta (/usr/lib/systemd/system/ntpd.service; įgalinta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo penktadienio 2017-04-14 15:51:08 EDT; Prieš 1 s. Procesas: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kodas = išeita, būsena = 0 / SĖKMĖ) Pagrindinis PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp ir ugniasienė

[root @ linuxbox ~] # firewall-cmd --get-active-zone
išorinis
  sąsajos: ens34
visuomenės
  sąsajos: ens32

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 123 / udp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė

Mes įgaliname ir sukonfigūruojame „Dnsmasq“

Kaip matėme ankstesniame „Small Business Networks“ serijos straipsnyje, „Dnsamasq“ pagal numatytuosius nustatymus yra įdiegta „CentOS 7 Infrastructure Server“.

[root @ linuxbox ~] # systemctl būsena dnsmasq
● dnsmasq.service - DNS talpyklos serveris. Įkelta: pakrauta (/usr/lib/systemd/system/dnsmasq.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: neaktyvus (miręs)

[root @ linuxbox ~] # systemctl įjungti dnsmasq
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/dnsmasq.service į /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl paleisti dnsmasq
[root @ linuxbox ~] # systemctl būsena dnsmasq
● dnsmasq.service - DNS talpyklos serveris. Įkelta: pakrauta (/usr/lib/systemd/system/dnsmasq.service; įgalinta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo 2017-04-14 16:21:18 EDT; Prieš 4s. Pagrindinis PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # BENDROSIOS VARIANTAI # ----------------------------- -------------------------------------- reikalingas domenas # Neperduokite vardų be domeno dalies fiktyvus-privatus # Neperduokite adresų nenukreiptoje erdvėje „expand-hosts“ # Automatiškai pridėkite domeną prie pagrindinio kompiuterio sąsajos = ens32 # Sąsajos LAN griežta tvarka # Užsakymas, kuriuo pateikiate užklausą /etc/resolv.conf faile conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # Domeno vardo adresas = / time.windows.com / 192.168.10.5 # Siunčia tuščią WPAD vertės parinktį. Reikalinga, kad # Windos 7 ir vėlesni klientai tinkamai elgtųsi. ;-) dhcp-option = 252, "\ n" # Failas, kuriame paskelbsime HOSTS, kurie bus "uždrausti" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # Šio tipo registracijai reikalingas įrašas # faile / etc / hosts # pvz .: 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Grąžina MX įrašą pavadinimu „desdelinux.fan“, skirtą # mail.desdelinux kompiuteriui. ventiliatorius ir prioritetas 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # Numatytasis MX įrašų, sukurtų # naudojant „localmx“ parinktį, tikslas bus: mx-target = mail.desdelinux.fan # Returns MX įrašą, nukreipiantį į visų vietinių mašinų „localmx # TXT“ įrašų mx-target. Taip pat galime paskelbti SPF įrašą txt-record = desdelinux.fan, "v = spf1-all" txt-record = desdelinux.fan, "FromLinux, jūsų tinklaraštis, skirtas laisvai programinei įrangai" # --------- -------------------------------------------------- -------- # PRIEMONĖ IR NAUDOJIMAI # --------------------------------------- ---------------------------- # IPv4 diapazonas ir nuomos laikas nuo 1 iki 29 yra skirti serveriams ir kitiems DHCP poreikiams -range = 192.168.10.30,192.168.10.250,8h dhcp-rental-max = 222 # Maksimalus nuomojamų adresų skaičius # pagal numatytuosius nustatymus yra 150 # IPV6 diapazonas # dhcp-range = 1234 ::, tik-ra # Parinktys RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # DNS serveriai dhcp-option = 15, desdelinux.fan # DNS domeno vardas dhcp-option = 19,1 , 28,192.168.10.255 # option ip-forwarding ON dhcp-option = 42,192.168.10.5 # BROADCAST dhcp-option = XNUMX # NTP dhcp-autoritetingas # Autoritetingas DHCP potinklyje # -------------- ------------------ ----------------------------------- # Jei norite išsaugoti aplanke / var / log / messages, užklausos # atžymėkite žemiau esančią eilutę # --------------------------------------- ----------------------------
# žurnalo užklausų
# Failo /etc/dnsmasq.conf # END # --------------------------------------- ----------------------------

Mes kuriame failą / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Fiksuoti IP adresai

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sys

Konfigūruojame failą /etc/resolv.conf - Resolverio

[root @ linuxbox ~] # nano /etc/resolv.conf
ieškoti desdelinux.fan vardų serveris 127.0.0.1 # Išorinėms ar ne domenų DNS užklausoms desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Mes patikriname failo sintaksę dnsmasq.conf, pradedame ir tikriname paslaugos būseną

[root @ linuxbox ~] # dnsmasq - testas
dnsmasq: sintaksė patikrinkite gerai.
[root @ linuxbox ~] # systemctl paleiskite iš naujo dnsmasq
[root @ linuxbox ~] # systemctl būsena dnsmasq

„Dnsmasq“ ir ugniasienė

[root @ linuxbox ~] # firewall-cmd --get-active-zone
išorinis
  sąsajos: ens34
visuomenės
  sąsajos: ens32

tarnyba domenas o domeno vardo serveris (dns). Protokolas nudžiauti «IP su šifravimu«

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 53 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 53 / udp --permanent
sėkmė

„Dnsmasq“ užklausos į išorinius DNS serverius

[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 53 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = išorinė --add-port = 53 / udp --permanent
sėkmė

tarnyba bagažinės o BOOTP serveris (DHCP). Protokolas ippc «Interneto „Pluribus“ paketo šerdis«

[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 67 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = public --add-port = 67 / udp --permanent
sėkmė

[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė

[root @ linuxbox ~] # firewall-cmd - infozonos viešoji visuomenė (aktyvi)
  target: numatytasis „icmp-block-inversion“: nėra sąsajų: ens32 šaltiniai: paslaugos: dhcp dns ntp ssh prievadai: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokolai: maskaradas: nėra „forward-ports“: šaltiniai: icmp blokai: turtingos taisyklės:

[root @ linuxbox ~] # firewall-cmd - informacinės zonos išorinis išorinis (aktyvus)
  target: numatytasis icmp-block-inversion: nėra sąsajų: ens34 šaltiniai: services: dns ports: 53 / udp 53 / tcp protokolai: maskaradas: yes forward-ports: sourceports: icmp-blocks: parametras-problema peradresuoti maršrutizatorių-reklamos maršrutizatorius- prašymo šaltinio gesinimo turtingos taisyklės:

Jei norime naudoti grafinę sąsają ugniasienei sukonfigūruoti „CentOS 7“, žiūrime į bendrą meniu - tai priklausys nuo darbalaukio aplinkos, kuriame rodomas submeniu - programos «Ugniasienė», ją vykdome ir įvedę vartotojo slaptažodį šaknis, mes pasieksime programos sąsają kaip tokią. MATE jis rodomas meniu «Sistema »->„ Administravimas “->„ Ugniasienė “.

Mes pasirenkame sritį «visuomenės»Ir mes suteikiame paslaugas, kurias norime paskelbti LAN, kurios iki šiol yra DHCP, dns, ntp ir ssh. Pasirinkę paslaugas, patikrinę, ar viskas veikia tinkamai, „Runtime“ turime pakeisti į „Nuolatiniai“. Norėdami tai padaryti, eikite į meniu Parinktys ir pasirinkite parinktį «Paleiskite laiką iki visiško"

Vėliau pasirenkame rajoną «išorinis»Ir mes patikriname, ar uostai, reikalingi bendrauti su internetu, yra atidaryti. NESKELBKITE Paslaugų šioje zonoje, nebent gerai žinome, ką darome!.

Nepamirškime atlikti pakeitimų Nuolatiniai naudojant parinktį «Paleiskite laiką iki visiško»Ir perkrauk demoną FirewallD, kiekvieną kartą, kai naudojame šį galingą grafinį įrankį.

„NTP“ ir „Dnsmasq“ iš „Windows 7“ kliento

Sinchronizavimas su NTP

išorinis

Nuomojamas IP adresas

„Microsoft Windows“ [6.1.7601 versija] Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : Septyni
   Pirminė Dns priesaga. . . . . . . :
   Mazgo tipas. . . . . . . . . . . . : Įjungtas hibridinis IP maršrutas. . . . . . . . : Nėra įgalinta WINS tarpinio serverio. . . . . . . . : Nėra DNS galūnių paieškos sąrašo. . . . . . : desdelinux.fan Ethernet adapteris Vietinis ryšys: konkrečiam ryšiui skirtas DNS galūnis. : desdelinux.fan Aprašymas. . . . . . . . . . . : „Intel“ (R) PRO / 1000 MT tinklo ryšio fizinis adresas. . . . . . . . . : 00-0C-29-D6-14-36 DHCP įjungtas. . . . . . . . . . . : Taip automatinė konfigūracija įjungta. . . . : Ir tai yra
   „IPv4“ adresas. . . . . . . . . . . : 192.168.10.115 (pageidaujama)
   Potinklio kaukė. . . . . . . . . . . : Gauta nuoma. . . . . . . . . . : 255.255.255.0 m. Balandžio 14 d., Penktadienis, 2017:5:12. Nuomos sutartis baigiasi. . . . . . . . . . : 53 m. Balandžio 15 d., Šeštadienis, 2017:1:12 AM Default Gateway. . . . . . . . . : 53 DHCP serveris. . . . . . . . . . . : 192.168.10.1 DNS serveriai. . . . . . . . . . . : 192.168.10.5 „NetBIOS“ per „Tcpip“. . . . . . . . : Įgalinta tunelio adapterio vietinė jungtis * 192.168.10.5: laikmenos būsena. . . . . . . . . . . : Laikmena atjungta Konkretaus ryšio DNS priesaga. : Apibūdinimas. . . . . . . . . . . : „Microsoft Teredo“ tunelinio adapterio fizinis adresas. . . . . . . . . : 9-00-00-00-00-00-00-E00 įjungtas DHCP. . . . . . . . . . . : Neįjungta automatinė konfigūracija. . . . : Taip Tunelio adapteris isatap.fromlinux.fan: Medijos būsena. . . . . . . . . . . : Laikmena atjungta Konkretaus ryšio DNS priesaga. : desdelinux.fan Aprašymas. . . . . . . . . . . : „Microsoft ISATAP“ adapterio Nr. 0 fizinis adresas. . . . . . . . . : 2-00-00-00-00-00-00-E00 įjungtas DHCP. . . . . . . . . . . : Neįjungta automatinė konfigūracija. . . . : Taip C: \ Vartotojai \ buzz>

Patarimas

Svarbi „Windows“ klientų vertė yra „Pagrindinis Dns priesaga“ arba „Pagrindinio ryšio priesaga“. Kai nenaudojate „Microsoft“ domeno valdiklio, operacinė sistema jai nepriskiria jokios vertės. Jei susiduriame su tokiu atveju, koks aprašytas straipsnio pradžioje, ir norime aiškiai deklaruoti tą vertę, turime elgtis pagal tai, kas parodyta kitame paveikslėlyje, priimti pakeitimus ir iš naujo paleisti klientą.

 

Jei vėl bėgsime CMD -> ipconfig / all gausime:

„Microsoft Windows“ [6.1.7601 versija] Autorių teisės (c) 2009 m. „Microsoft Corporation“. Visos teisės saugomos. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : Septyni
   Pirminė Dns priesaga. . . . . . . : desdelinux.fan
   Mazgo tipas. . . . . . . . . . . . : Įjungtas hibridinis IP maršrutas. . . . . . . . : Nėra įgalinta WINS tarpinio serverio. . . . . . . . : Nėra DNS galūnių paieškos sąrašo. . . . . . : desdelinux.fan

Likusios vertės nesikeičia

DNS patikrinimai

buzz @ sysadmin: ~ $ host spynet.microsoft.com
„spynet.microsoft.com“ adresas yra 127.0.0.1. Pagrindinio kompiuterio „spynet.microsoft.com“ nerastas: 5 (ATSISAKYTA) spynet.microsoft.com laiškus tvarko 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan adresas 192.168.10.5 linuxbox.desdelinux.fan paštą tvarko 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan adresas yra 192.168.10.1. sysadmin.desdelinux.fan paštą tvarko 1 mail.desdelinux.fan.

„buzz @ sysadmin“: ~ $ pagrindinio kompiuterio paštas
mail.desdelinux.fan yra linuxbox.desdelinux.fan slapyvardis. linuxbox.desdelinux.fan adresas 192.168.10.5 linuxbox.desdelinux.fan paštą tvarko 1 mail.desdelinux.fan.

Mes įdiegiame -tik bandymams- autoritetingas DNS serveris NSD sysadmin.fromlinux.fan, ir mes įtraukiame IP adresą 172.16.10.1 archyve / Etc / resolv.conf komandos linuxbox.fromlinux.fan, norėdami patikrinti, ar „Dnsmasq“ tinkamai vykdė savo ekspeditoriaus funkciją. NSD serveryje esančios smėlio dėžės yra favt.org y toujague.org. Visi IP yra fiktyvūs arba iš privačių tinklų.

Jei išjungsime WAN sąsają ens34 naudojant komandą ifdown ens34, „Dnsmasq“ negalės pateikti užklausų išoriniuose DNS serveriuose.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Priimančioji toujague.org nerasta: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ priegloba pizzapie.favt.org
Priimančioji pizzapie.favt.org nerasta: 3 (NXDOMAIN)

Įgalinkime ens34 sąsają ir patikrinkime dar kartą:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ priimančiosios pizzapie.favt.org
pizzapie.favt.org yra paisano.favt.org pseudonimas. paisano.favt.org adresas yra 172.16.10.4

[buzz @ linuxbox ~] $ priimančiosios pizzapie.toujague.org
Priimančioji pizzas.toujague.org nerasta: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org adresas yra 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org vardų serveris ns1.favt.org. favt.org vardų serveris ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org vardų serveris ns1.toujague.org. toujague.org vardų serveris ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org paštą tvarko 10 mail.toujague.org.

Pasitarkime nuo sysadmin.fromlinux.fan:

„buzz @ sysadmin“: ~ $ cat /etc/resolv.conf 
ieškoti iš linux.fan vardų serverio 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org adresas yra 169.18.10.19

„Dnsmasq“ veikia kaip Ekspeditorius teisingai.

kalmaras

Knygoje PDF formatu «„Linux Server“ konfigūracija»Autorius paskelbė 25 m. Liepos 2016 d Joelis Barriosas Dueñasas (darshram@gmail.com - http://www.alcancelibre.org/), tekste, į kurį jau kalbėjau ankstesniuose straipsniuose, yra visas skyrius, skirtas Kalmarų pagrindinės konfigūracijos parinktys.

Dėl žiniatinklio - tarpinio serverio svarbos mes atkartojame įvadą apie kalmarą minėtoje knygoje:

105.1. Įvadas.

105.1.1. Kas yra tarpinis serveris (tarpinis serveris)?

Terminas anglų kalba „Proxy“ turi labai bendrą ir kartu dviprasmišką prasmę, nors
visada laikomas sąvokos „sinonimas“ „Tarpininkas“. Paprastai jis verčiamas griežtąja prasme kaip deleguoti o proxy (tas, kuris turi valdžią kitam).

Un Tarpinis serveris Tai apibrėžiama kaip kompiuteris ar įrenginys, siūlantis tinklo paslaugą, kurią sudaro galimybės klientams užmegzti netiesioginius tinklo ryšius su kitomis tinklo paslaugomis. Proceso metu įvyksta:

• Klientas prisijungia prie a Tarpinis serveris.
• Klientas prašo ryšio, failo ar kito šaltinio, esančio kitame serveryje.
• Tarpinis serveris teikia išteklius prisijungdamas prie nurodyto serverio
  arba patiekti ją iš talpyklos.
• Kai kuriais atvejais Tarpinis serveris gali pakeisti kliento prašymą arba
  serverio atsakymas įvairiais tikslais.

Los Tarpiniai serveriai jie paprastai naudojami vienu metu veikti kaip gaisrinė siena, veikianti Tinklo lygis, veikiantis kaip paketinis filtras, kaip ir iptables arba veikiantis Taikymo lygis, kontroliuojantis įvairias paslaugas, kaip yra TCP vyniotuvas. Priklausomai nuo konteksto, ugnies siena taip pat žinoma kaip BPD pratęsimas o Bkad Papsisaugojimas Device ar tiesiog paketinis filtras.

Bendra Tarpiniai serveriai turi veikti kaip tinklo turinio (daugiausia HTTP) talpykla, pateikdama šalia klientų puslapių ir failų, pasiekiamų per tinklą nuotoliniuose HTTP serveriuose, talpyklą, leidžiančią vietinio tinklo klientams prieiti prie jų greitesnis ir patikimesnis.

Kai gaunama užklausa dėl nurodyto tinklo ištekliaus URL adresas (Uniforminis Rpersiųsti Lokatorius) Tarpinis serveris ieškoti rezultato URL adresas talpyklos viduje. Jei jis randamas, Tarpinis serveris Atsako klientui nedelsdamas pateikdamas prašomą turinį. Jei talpykloje nėra prašomo turinio, Tarpinis serveris jis paims jį iš nuotolinio serverio, pristatydamas jį paprašiusiam klientui ir laikydamas kopiją talpykloje. Talpykloje esantis turinys pašalinamas naudojant galiojimo pabaigos algoritmą, atsižvelgiant į jo amžių, dydį ir istoriją atsakymai į užklausas (hitai) (pavyzdžiai: LRU, LFUDA y GDSF).

Tinklo turinio tarpiniai serveriai (žiniatinklio tarpiniai serveriai) taip pat gali veikti kaip teikiamo turinio filtrai, taikydami cenzūros politiką pagal savavališkus kriterijus..

„Squid“ versija, kurią įdiegsime, yra 3.5.20-2.el7_3.2 iš saugyklos atnaujinimai.

Montavimas

[root @ linuxbox ~] # yum install kalmarai

[root @ linuxbox ~] # ls / etc / kalmarai /
cachemgr.conf errorpage.css.default  kalmarai.conf
cachemgr.conf.default mime.conf              kalmarai.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl įjungti kalmarus

svarbus

• Pagrindinis šio straipsnio tikslas yra suteikti vietiniams vartotojams galimybę prisijungti prie „Squid“ iš kitų kompiuterių, prijungtų prie LAN. Be to, įdiekite pagrindinį serverį, prie kurio bus pridėtos kitos paslaugos. Tai nėra straipsnis, skirtas kalmarams kaip tokiems.
• Norėdami sužinoti apie „Squid“ konfigūravimo parinktis, perskaitykite failą /usr/share/doc/squid-3.5.20/squid.conf.documented, kuriame yra 7915 eilučių.

SELinux ir Kalmarai

[root @ linuxbox ~] # getsebool -a | grep kalmarus
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = įjungta

konfigūracija

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports 443 prievadas 21
acl „Safe_ports“ prievadas 80 # http „acl Safe_ports“ prievadas 21 # ftp 443 # gss-http acl „Safe_ports“ prievadas 70 # failų kūrėjas acl „Safe_ports“ prievadas 210 # daugiasluoksnis http acl CONNECT metodas CONNECT # Mes atmetame nesaugių uostų užklausas http_access deny! Safe_ports # Mes atmetame CONNECT metodą nesaugiems uostams http_access deny CONNECT! SSL_ports # Prieiga prie talpyklos tvarkyklės tik iš localhost http_access leidžia localhost manager http_access deny manager # Mes primygtinai rekomenduojame nekomentuoti šių, kad apsaugotume nekaltas # žiniatinklio programas, veikiančias tarpiniame serveryje, kurie mano, kad vienintelis #, kuris gali pasiekti „localhost“ paslaugas, yra vietinis vartotojas http_access deny to_localhost # # ĮTEIKKITE SAVO TAISYKLĄ (-AS) ČIA, KAD LEISTUMĖTE PRISIJUNGTI KLIENTAI # # PAM autorizacija
auth_param pagrindinė programa / usr / lib64 / squid / basic_pam_auth
auth_param pagrindiniai vaikai 5 auth_param pagrindinė sritis iš linux.fan acl ftp proto FTP http_access leisti ftp http_access leisti localnet http_access leisti localhost # Mes draudžiame bet kokią kitą prieigą prie tarpinio serverio http_access atmesti visus # Kalmarai paprastai klausosi 2 prievade http_port 3128 # Mes paliekame "coredumps" pirmajame talpyklos kataloge coredump_dir / var / spool / squid # # Virš jų pridėkite bet kurį savo atnaujinimo_pattern įrašą. # refresh_pattern ^ ftp: 3128 1440% 20 refresh_pattern ^ gopher: 10080 1440% 0 refresh_pattern -i (/ cgi-bin / | \?) 1440 0% 0 refresh_pattern. 0 0% 20 cache_mem 4320 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 64 4096 16 maximum_object_size 256 MB cache_swap_low 4 cache_swap_highux 85 cache.xdd

Mes patikriname failo sintaksę /etc/squid/squid.conf

[root @ linuxbox ~] # kalmaras -k išanalizuoti
2017/04/16 15: 45: 10 | Paleidimas: inicijuojamos autentifikavimo schemos ...
 2017/04/16 15: 45: 10 | Paleidimas: Inicijuota autentifikavimo schema „pagrindinė“ 2017/04/16 15: 45: 10 | Paleidimas: inicijuota autentifikavimo schema „santrauka“ 2017/04/16 15: 45: 10 | Paleidimas: inicijuota autentifikavimo schema „derėsis“ 2017/04/16 15: 45: 10 | Paleidimas: inicijuota autentifikavimo schema „ntlm“ 2017/04/16 15: 45: 10 | Paleidimas: inicijuotas autentifikavimas.
 2017/04/16 15: 45: 10 | Apdorojamas konfigūracijos failas: /etc/squid/squid.conf (gylis 0) 2017/04/16 15: 45: 10 | Apdorojama: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Apdorojama: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 80 # http 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 21 # ftp 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 443 # https 2017/04/16 15: 45: 10 | Apdorojama: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Apdorojama: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 1025-65535 # neregistruoti prievadai 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 280 # http-mgmt 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 488 # gss-http 2017/04/16 15: 45: 10 | Apdorojama: acl „Safe_ports“ prievadas 591 # failų kūrėjas 2017/04/16 15: 45: 10 | Apdorojama: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | Apdorojimas: acl CONNECT metodas CONNECT 2017/04/16 15: 45: 10 | Apdorojama: http_access deny! Safe_ports 2017/04/16 15: 45: 10 | Apdorojama: http_access deny CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Apdorojama: http_access leisti localhost vadybininkui 2017/04/16 15: 45: 10 | Apdorojama: http_access deny manager 2017/04/16 15: 45: 10 | Apdorojama: http_access deny to_localhost 2017/04/16 15: 45: 10 | Apdorojama: auth_param pagrindinė programa / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Apdorojimas: auth_param pagrindiniai vaikai 5 2017/04/16 15: 45: 10 | Apdorojimas: auth_param pagrindinė sritis iš linux.fan 2017/04/16 15: 45: 10 | Apdorojama: auth_param basic credentialsttl 2 valandos 2017/04/16 15: 45: 10 | Apdorojimas: Autent_param pagrindiniai atvejai nejautri 2017/04/16 15: 45: 10 | Apdorojimas: acl entuziastai proxy_auth REIKALINGI 2017/04/16 15: 45: 10 | Apdorojama: http_access deny! Entuziastai 2017/04/16 15: 45: 10 | Apdorojimas: acl ftp proto FTP 2017/04/16 15: 45: 10 | Apdorojimas: http_access allow ftp 2017/04/16 15: 45: 10 | Apdorojama: http_access allow localnet 2017/04/16 15: 45: 10 | Apdorojimas: http_access allow localhost 2017/04/16 15: 45: 10 | Apdorojimas: http_access atmesti visus 2017/04/16 15: 45: 10 | Apdorojama: http_port 3128 2017/04/16 15: 45: 10 | Apdorojimas: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Apdorojama: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Apdorojama: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Apdorojama: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Apdorojama: refresh_pattern. 

Mes koreguojame leidimus / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Mes kuriame talpyklos katalogą

# Tik tuo atveju ... [root @ linuxbox ~] # aptarnavimo kalmarai sustos
Nukreipiama į / bin / systemctl stop squid.service

[root @ linuxbox ~] # kalmarai -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Nustatykite dabartinį katalogą į / var / spool / squid 2017/04/16 15:48:28 kid1 | Kurti trūkstamus apsikeitimo katalogus 2017/04/16 15:48:28 kid1 | / var / spool / squid egzistuoja 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Katalogų kūrimas aplanke / var / spool / squid / 0F

Šiuo metu, jei reikia šiek tiek laiko grąžinti komandų eilutę, kuri man niekada nebuvo grąžinta, paspauskite Enter.

[root @ linuxbox ~] # paslaugos kalmarų pradžia
[root @ linuxbox ~] # paslaugos kalmarai paleidžiami iš naujo
[root @ linuxbox ~] # paslaugos kalmaro būsena
Peradresuojama į / bin / systemctl būsenos kalmarus. Tarnyba ● kalmarai. Tarnyba - kalmarų talpyklos tarpinis serveris Įkelta: pakrauta (/usr/lib/systemd/system/squid.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo domeno 2017-04-16 15:57:27 EDT; Prieš 1 s Procesas: 2844 ExecStop = / usr / sbin / squid -k išjungimas -f $ SQUID_CONF (kodas = išėjo, statusas = 0 / SĖKMĖ) Procesas: 2873 ExecStart = / usr / sbin / kalmaras $ SQUID_OPTS -f $ SQUID_CONF (kodas = išėjo, būsena = 0 / SĖKMĖ) Procesas: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kodas = išėjo, statusas = 0 / SĖKMĖ) Pagrindinis PID: 2876 (kalmarai) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf balandžio 16 d. 15:57:27 linuxbox systemd [1]: kalmarų talpyklos tarpinio serverio paleidimas ... balandžio 16 d. 15:57:27 linuxbox systemd [1]: Pradėtas kalmarų talpyklos tarpinis serveris. Balandžio 16 d. 15:57:27 „linuxbox“ kalmarai [2876]: kalmarų tėvai: pradės 1 vaikus balandžio 16 d. 15:57:27 „linuxbox“ kalmarai [2876]: kalmarų tėvai: (kalmarai-1) procesas 2878 ... red. Balandžio 16 d. 15 : 57: 27 „Linuxbox“ kalmarai [2876]: Kalmarų tėvai: (kalmarai-1) procesas 2878 ... 1 Patarimas: Kai kurios eilutės buvo elipsuotos, naudokite -l, kad būtų rodomos visos

[root @ linuxbox ~] # cat / var / log / žinutės | grep kalmarus

Ugniasienės pataisymai

Taip pat turime atsidaryti zonoje «išorinis"uostai 80 HTTP y 443 HTTPS kad Kalmarai galėtų bendrauti su internetu.

[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 80 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd --zone = išorinis --add-port = 443 / tcp --permanent
sėkmė
[root @ linuxbox ~] # užkarda-cmd - perkrauti
sėkmė
[root @ linuxbox ~] # firewall-cmd - informacinė zona išorinė
išorinis (aktyvus) taikinys: numatytasis „icmp-block-inversion“: nėra sąsajų: ens34 šaltiniai: paslaugos: dns prievadai: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokolai: maskaradas: taip pirmyn-prievadai: šaltiniai: icmp-blokai: parametras-problema peradresuoti maršrutizatorių-reklamos maršrutizatorius-prašymas šaltinis-gesinimas turtingos taisyklės:

• Nenaudojama eiti į grafinę programą «Ugniasienės konfigūracija»Ir patikrinkite, ar zonai yra atviri 443 tcp, 80 tcp, 53 tcp ir 53 udp prievadai«išorinis«Ir kad mes NĖRA paskelbėme jai jokių paslaugų.

Pastaba apie pagrindinio pagalbininko_pam_auth programą

Peržiūrėkite šio įrankio vadovą vyras basic_pam_auth Perskaitysime, kad pats autorius pateikia tvirtą rekomendaciją perkelti programą į katalogą, kuriame įprasti vartotojai neturi pakankamai leidimų pasiekti įrankį.

Kita vertus, yra žinoma, kad naudojant šią autorizacijos schemą kredencialai keliauja paprastu tekstu ir nėra saugūs priešiškoms aplinkoms, skaityti atvirus tinklus.

Jeffas Yestrumskas skirti straipsnį «Patarimai: Saugaus žiniatinklio tarpinio serverio nustatymas naudojant SSL šifravimą, „Squid Cacheing Proxy“ ir PAM autentifikavimą»Į šios autentifikavimo schemos saugumo didinimo problemą, kad ją būtų galima naudoti potencialiai priešiškuose atviruose tinkluose.

Įdiegiame httpd

Norėdami patikrinti „Squid“ ir, beje, „Dnsmasq“, veikimą, mes įdiegsime paslaugą httpd -Apache žiniatinklio serveris, kurio nereikia atlikti. Faile, palyginti su „Dnsmasq“ / etc / banner_add_hosts Mes paskelbiame svetaines, kurioms norime būti uždraustoms, ir aiškiai priskiriame tą patį IP adresą, kurį jis turi Linux dėžutė. Taigi, jei mes prašome prieigos prie bet kurios iš šių svetainių, pagrindiniame httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl įgalinti httpd
Sukurta simbolinė nuoroda iš /etc/systemd/system/multi-user.target.wants/httpd.service į /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl paleisti httpd

[root @ linuxbox ~] # systemctl būsena httpd
● httpd.service - „Apache HTTP Server“ pakrautas: įkeltas (/usr/lib/systemd/system/httpd.service; įgalintas; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: aktyvus (veikia) nuo 2017-04-16 16:41: 35 EDT; Prieš 5s. Dokumentai: vyras: httpd (8) vyras: apachectl (8) Pagrindinis PID: 2275 (httpd) Būsena: "Apdorojamos užklausos ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND balandžio 16 d. 16:41:35 „linuxbox systemd“ [1]: „Apache“ HTTP serverio paleidimas ... balandžio 16 d. 16:41:35 „linuxbox systemd“ [1]: paleistas „Apache“ HTTP serveris.

„SELinux“ ir „Apache“

„Apache“ turi kelias konfigūruoti strategijas SELinux kontekste.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> išjungti httpd_builtin_scripting -> dėl httpd_can_check_spam -> išjungti httpd_can_connect_ftp -> išjungti httpd_can_connect_ldap -> išjungti httpd_can_connect_mythtv -> išjungti httpd_can_connect tinklas off_zabbix_> išjungti httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> išjungti httpd_can_network_relay -> išjungti httpd_can_sendmail -> išjungti httpd_dbus_avahi -> išjungti httpd_dbus_sssd -> išjungtas httpd_dontaudit_search_dirs -> išjungti httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable offp -> httpd_enablem offpd_server_enablecgi išjungtas -> offhpd_enablemXNUMX httpd_graceful_shutdown -> dėl httpd_manage_ipa -> išjungti httpd_mod_auth_ntlm_winbind -> išjungti httpd_mod_auth_pam -> išjungti httpd_read_user_content -> išjungti httpd_run_ipa -> išjungti httpd_run_preupgrade -> Išjungta httpd_runcobshift offlimerfift_runco_stick> off httpd_runcobshble offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Konfigūruosime tik šiuos dalykus:

Siųsti el. Laišką per „Apache“

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Leiskite „Apache“ skaityti turinį, esantį vietinių vartotojų namų kataloguose

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Leisti administruoti per FTP arba FTPS bet kurį katalogą, kurį tvarko
„Apache“ arba leiskite „Apache“ veikti kaip FTP serveris, klausantis užklausų per FTP prievadą

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Norėdami gauti daugiau informacijos, skaitykite „Linux Server“ konfigūracija.

Mes patikriname autentifikavimą

Belieka tik atidaryti naršyklę darbo vietoje ir nurodyti, pavyzdžiui, http://windowsupdate.com. Mes patikrinsime, ar užklausa yra tinkamai nukreipta į „Apache“ pagrindinį puslapį „Linux“ dėžutėje. Tiesą sakant, bet koks faile nurodytas svetainės pavadinimas / etc / banner_add_hosts būsite nukreipti į tą patį puslapį.

Straipsnio pabaigoje esantys vaizdai tai įrodo.

Vartotojų valdymas

Mes tai darome naudodami grafinį įrankį «vartotojas valdymas»Kurį pasiekiame per meniu Sistema -> Administravimas -> Vartotojų valdymas. Kiekvieną kartą, kai pridedame naują vartotoją, sukuriamas jo aplankas / home / user automatiškai.

 

Atsarginės kopijos

„Linux“ klientai

Jums reikia tik įprastos failų naršyklės ir nurodykite, kad norite prisijungti, pavyzdžiui: ssh: // „buzz @ linuxbox / home / buzz“ ir įvedus slaptažodį bus rodomas katalogas home vartotojo Buzz.

„Windows“ klientai

„Windows“ klientuose mes naudojame įrankį WinSCP. Įdiegę, mes naudojame jį tokiu būdu:

 

 

Paprasta, tiesa?

Santrauka

Mes matėme, kad PAM galima naudoti autentifikuojant paslaugas mažame tinkle ir kontroliuojamoje aplinkoje, visiškai izoliuotoje nuo Piratai. Tai daugiausia lemia tai, kad autentifikavimo kredencialai keliauja paprastu tekstu, todėl tai nėra autentifikavimo schema, naudojama atviruose tinkluose, tokiuose kaip oro uostai, „Wi-Fi“ tinklai ir kt. Tačiau tai yra paprastas autorizacijos mechanizmas, kurį lengva įdiegti ir sukonfigūruoti.

Konsultavosi su šaltiniais

• „Linux Server“ konfigūracija
• Komandų vadovai - vyro puslapiai

PDF versija

Atsisiųskite PDF versiją čia.

Iki kito straipsnio!