SquOS + CentOS 7-SMB сүлжээнд PAM нэвтрэлт танилт

Цувралын ерөнхий индекс: ЖДҮ эрхлэгчдэд зориулсан компьютерийн сүлжээ: Оршил

Зохиогч: Федерико Антонио Вальдес Тоужаг
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Сайн уу, найз нөхөд, найз нөхөд!

Өгүүллийн гарчиг нь: «Centos 7 дээр MAM + NTP + Dnsmasq + Gateway Service + Apache + Squid. - ЖДҮ-ийн сүлжээ«. Бодит шалтгаанаар бид үүнийг богиносгодог.

Бид PAM ашиглан Линуксийн компьютер дээр орон нутгийн хэрэглэгчдэд нэвтрэлт танилт хийх ажлыг үргэлжлүүлж байгаа бөгөөд энэ удаад прокси үйлчилгээг Squid-тэй жижиг сүлжээний сүлжээнд зориулж хэрхэн яаж хангаж болохыг сервер дээрх компьютер дээр хадгалагдсан баталгаажуулалтын гэрчилгээг ашиглан үзэх болно. гүйж байна Squid.

Өнөө үед OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory гэх мэт үйлчилгээнүүдийг баталгаажуулах нь түгээмэл үзэгдэл болсон гэдгийг бид мэддэг боловч эхлээд энгийн бөгөөд хямд шийдлүүдтэй танилцаж, дараа нь хамгийн төвөгтэй байдалтай тулгарах ёстой гэж үзэж байна. нэг. Бид энгийнээс цогц руу шилжих ёстой гэж үзэж байна.

Нь

Үе шат

Энэ бол Чөлөөт Програм хангамжийн хэрэглээг дэмжихэд зориулагдсан, цөөн тооны санхүүгийн эх үүсвэргүй жижиг байгууллага юм. FromLinux.Fan. Тэд янз бүрийн үйлдлийн систем сонирхогчид юм CentOS нэг албан өрөөнд бүлэглэсэн. Тэд мэргэжлийн сервер биш ажлын станц худалдаж авсан бөгөөд үүнийгээ "сервер" болгон ажиллахад зориулах болно.

Сонирхогчид OpenLDAP сервер эсвэл Samba 4 AD-DC-ийг хэрхэн хэрэгжүүлэх талаар өргөн мэдлэггүй, Microsoft Active Directory-д лиценз олгох боломжгүй байдаг. Гэсэн хэдий ч, тэд өдөр тутмын ажилдаа прокси ашиглан интернетэд нэвтрэх үйлчилгээ, хайлтыг түргэсгэх- хамгийн үнэтэй баримт бичгээ хадгалах, нөөц хуулбар хэлбэрээр ажиллах зай хэрэгтэй.

Тэд ихэнхдээ хууль ёсны дагуу олж авсан Microsoft үйлдлийн системийг ашигладаг хэвээр байгаа боловч "Сервер" -ээс нь эхлээд Линуксд суурилсан үйлдлийн систем болгон өөрчлөхийг хүсч байна.

Тэд мөн өөрсдийн ашигладаг мэйл сервертэй болох, хамгийн багаар бодоход гарал үүсэл, Gmail, Yahoo, HotMail гэх мэт үйлчилгээнүүдийг бие даасан болгохыг эрмэлздэг.

Интернэтийн эсрэг галт хана, чиглүүлэлтийн дүрмүүд нь үүнийг гэрээтэй ADSL Router-т суулгана.

Интернетэд ямар ч үйлчилгээ нийтлэх шаардлагагүй тул тэдэнд жинхэнэ домэйн нэр байхгүй байна.

CentOS 7 нь GUI-гүй сервер юм

Бид график интерфейсгүй серверийн шинэ суулгалтыг эхлүүлж байгаа бөгөөд процессын явцад сонгох цорын ганц сонголт бол «Дэд бүтцийн сервер»Цуврал цувралын өмнөх нийтлэлүүдээс бид харж байсан.

Эхний тохиргоо

[root @ linuxbox ~] # cat / etc / хостын нэр 
linux хайрцаг

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # хостын нэр
linux хайрцаг

[root @ linuxbox ~] # хостын нэр -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr жагсаалт
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 харагтун

Бид Сүлжээний менежерийг идэвхгүйжүүлдэг

[root @ linuxbox ~] # systemctl зогсоох NetworkManager

[root @ linuxbox ~] # systemctl нь NetworkManager-г идэвхгүйжүүлдэг

[root @ linuxbox ~] # systemctl байдал NetworkManager
● NetworkManager.service - Сүлжээний менежер ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/NetworkManager.service; идэвхгүй; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхжүүлсэн) Идэвхтэй: идэвхгүй (үхсэн) Docs: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Бид сүлжээний интерфэйсийг тохируулдаг

Дотоод сүлжээнд холбогдсон Ens32 LAN интерфэйс

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
БҮС = олон нийтийн

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетэд холбогдсон Ens34 WAN интерфэйс

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL чиглүүлэгч дараахь # хаягаар # энэ интерфейст холбогдсон байна. GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
БҮС = гадаад

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Агуулахын тохиргоо

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # эх mkdir
[root @ linuxbox ~] # mv Centos- * эх /

[root @ linuxbox ~] # нано centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum бүгдийг цэвэрлэ
Ачаалагдсан залгаасууд: fastestmirror, langpacks Цэвэрлэх сан: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Бүх зүйлийг цэвэрлэх Хамгийн хурдан тольны жагсаалтыг цэвэрлэх
[root @ linuxbox yum.repos.d] # yum шинэчлэлт
Ачаалагдсан залгаасууд: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 кБ 00:00 Шинэчлэлт-Репо | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Шинэчлэлт-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Хамгийн хурдан толин тусгалыг тодорхойлох Шинэчлэхэд зориулагдсан багц байхгүй

Зурвас "Шинэчлэхээр тэмдэглэсэн багц байхгүй байна»Суулгалтын явцад бид өөрсдийн эзэмшиж буй орон нутгийн нөөцийг зарласан тул үзүүлэв.

MATE ширээний орчинтой Centos 7

CentOS / Red Hat-ийн бидэнд өгдөг график интерфэйстэй маш сайн удирдлагын хэрэгслүүдийг ашиглахын тулд GNOME2-г үргэлж санадаг тул MATE програмыг ширээний орчин болгон суулгахаар шийдсэн.

[root @ linuxbox ~] # yum groupin "X Window system" -ийг суулгах
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

MATE-ийг зөв ачаалж байгаа эсэхийг шалгахын тулд бид дараах тушаалыг консол дээр байрлуулна уу.

[root @ linuxbox ~] # systemctl тусгаарлах graphical.target

мөн ширээний орчныг ачаалах хэрэгтэй -орон нутгийн багт- гөлгөр, харуулж байна lightdm график нэвтрэлт байдлаар. Бид тухайн орон нутгийн хэрэглэгчийн нэр, нууц үгийг бичээд MATE-д орно.

Гэж хэлэх системд ачаалах анхдагч түвшин нь 5-график орчин бөгөөд бид дараах бэлгэдлийн холбоосыг үүсгэдэг.

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Бид системийг дахин ачаалж, бүх зүйл хэвийн ажиллах болно.

Бид сүлжээнд зориулсан цагийн үйлчилгээг суулгаж өгдөг

[root @ linuxbox ~] # yum install ntp

Суулгалтын явцад бид орон нутгийн цагийг тоног төхөөрөмжийн цагийн сервертэй синхрончлох болно гэж тохируулсан sysadmin.fromlinux.fan IP-тэй 192.168.10.1. Тиймээс бид файлыг хадгалдаг ntp.conf эх:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Одоо бид дараахь агуулгатай шинэ зүйлийг бүтээв.

[root @ linuxbox ~] # nano /etc/ntp.conf # Суулгалтын явцад тохируулсан серверүүд: server 192.168.10.1 iburst # Дэлгэрэнгүй мэдээллийг: # ntp.conf (5), ntp_acc (5), ntp_auth гэсэн хүний ​​хуудаснуудаас үзнэ үү. (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Цаг хугацааны эх үүсвэртэй синхрончлолыг зөвшөөрөх боловч # энэ үйлчилгээнд эх сурвалжтай зөвлөлдөх эсвэл өөрчлөхийг зөвшөөрөхгүй # default nomodify notrap nopeer noquery # Бүх интерфэйсд нэвтрэхийг зөвшөөрөх 127.0.0.1 # Дотоод сүлжээний компьютеруудыг арай бага хязгаарлаарай. хязгаарлах 1 маск 192.168.10.0 nomodify notrap # Төслийн нийтийн серверүүдийг ашигла pool.ntp.org # Хэрэв та төсөлд хамрагдахыг хүсвэл # (http://www.pool.ntp.org/join.html). # Broadcast 255.255.255.0 autokey # Broadcast server Broadclient # Broadcast Client # Broadcast 192.168.10.255 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 224.0.1.1 # manycast server #manycastclient 239.255.254.254ey. 239.255.254.254 # Олон нийтийн криптографийг идэвхжүүлнэ. #crypto includeefile / etc / ntp / crypto / pw # Түлхүүрүүд болон түлхүүр танигчдыг агуулсан түлхүүр файл # тэгш хэмтэй түлхүүр криптографийн түлхүүрүүдтэй ажиллахад ашиглагддаг # etc / ntp / түлхүүрүүд # Итгэмжлэгдсэн түлхүүр танигчдыг зааж өгнө үү. #trustedkey 192.168.10.255 4 8 # ntpdc хэрэгсэлд ашиглах түлхүүр танигчийг зааж өгнө үү. #requestkey 42 # ntpq хэрэгсэлд ашиглах түлхүүр танигчийг зааж өгнө үү. #controlkey 8 # Статистик регистр бичихийг идэвхжүүлнэ. #statistics clockstats cryptostats loopstats peerstats # ntpdc monlist командыг ашиглан # халдлагыг нэмэгдүүлэхээс урьдчилан сэргийлэхийн тулд тусгаарлах мониторыг идэвхгүйжүүлээрэй. Дэлгэрэнгүй мэдээллийг CVE-8-2013 # -с уншина уу. # Тэмдэглэл: Хязгаарлагдмал хязгаарлалтын тугтай дэлгэцийг идэвхгүйжүүлээгүй болно. мониторыг идэвхгүй болгох

Бид NTP үйлчилгээг идэвхжүүлж, эхлүүлж, шалгаж байна

[root @ linuxbox ~] # systemctl байдал ntpd
● ntpd.service - Сүлжээний цагийн үйлчилгээ ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/ntpd.service; идэвхгүй; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: идэвхгүй (үхсэн)

[root @ linuxbox ~] # systemctl ntpd-г идэвхжүүлдэг
/Etc/systemd/system/multi-user.target.wants/ntpd.service-ээс /usr/lib/systemd/system/ntpd.service руу symlink үүсгэсэн.

[root @ linuxbox ~] # systemctl эхлэх ntpd
[root @ linuxbox ~] # systemctl байдал ntpd

[root @ linuxbox ~] # systemctl байдал ntpdntpd.service - Сүлжээний цагийн үйлчилгээ
   Ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/ntpd.service; идэвхжүүлсэн; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: Баасан гарагаас хойш идэвхтэй (ажиллаж байгаа) 2017-04-14 15:51:08 EDT; 1 секундын өмнө Процесс: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Main PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp ба Firewall

[root @ linuxbox ~] # галт хана-cmd --get-active-zone
гадна
  интерфэйсүүд: ens34
олон нийтийн
  интерфэйсүүд: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
амжилт
[root @ linuxbox ~] # галт хана-cmd - дахин ачаалах
амжилт

Бид Dnsmasq програмыг идэвхжүүлж тохируулдаг

Жижиг бизнесийн сүлжээнүүдийн цуврал нийтлэлийн өмнөх нийтлэлээс харахад Dnsamasq нь CentOS 7 Infrastructure Server дээр анхдагчаар суулгагдсан байдаг.

[root @ linuxbox ~] # systemctl байдал dnsmasq
● dnsmasq.service - DNS кэш сервер. Ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/dnsmasq.service; идэвхгүй; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: идэвхгүй (үхсэн)

[root @ linuxbox ~] # systemctl dnsmasq-г идэвхжүүлдэг
/Etc/systemd/system/multi-user.target.wants/dnsmasq.service хаягаас /usr/lib/systemd/system/dnsmasq.service руу symlink үүсгэсэн.

[root @ linuxbox ~] # systemctl эхлэх dnsmasq
[root @ linuxbox ~] # systemctl байдал dnsmasq
● dnsmasq.service - DNS кэш сервер. Ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/dnsmasq.service; идэвхжүүлсэн; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: Баасан гарагаас хойш идэвхтэй (ажиллаж байгаа) 2017-04-14 16:21:18 EDT; 4 цагийн өмнө Үндсэн PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ЕРӨНХИЙ СОНГОЛТУУД # ---------------------------- - -------------------------------------- домэйнд шаардлагатай # Домэйнгүйгээр нэр дамжуулж болохгүй хэсэг bogus-priv # Хаягдаагүй орон зайд хаяг битгий дамжуулаарай. Хост интерфейсэд домэйныг автоматаар нэмнэ = ens32 # Интерфейс LAN хатуу дараалал # /etc/resolv.conf файлаас асуулга хийх дараалал conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # Домэйн нэрний хаяг = / time.windows.com / 192.168.10.5 # WPAD утгын хоосон сонголтыг илгээнэ. # Windos 7 ба түүнээс хойшхи үйлчлүүлэгчдэд биеэ зөв авч явах шаардлагатай. ;-) dhcp-option = 252, "\ n" # "хориотой" HOSTS-ыг зарлах файл. addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ----------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # Энэ төрлийн бүртгэлд / etc / hosts # файлд # оруулга шаардлагатай, жишээлбэл 192.168.10.5. 10 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # "desdelinux.fan" нэртэй MX бичлэгийг буцааж, mail.desdelinux компьютерт зориулав. . фен ба давуу тал нь 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # localmx сонголтыг ашиглан # үүсгэсэн MX бичлэгүүдийн анхдагч очих газар нь: mx-target = mail.desdelinux.fan # буцах болно. БҮХ # локал машинуудын localmx # TXT бичлэгүүдийн mx-target руу чиглэсэн MX бичлэг. Мөн бид SPF бичлэгийг txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "DesdeLinux, таны блогыг үнэгүй програмд ​​зориулах" # -------- - ------------------------------------------------- - -------- # ХЭРЭГЖИЛТ, ХЭЛБЭРЛЭЛТ # ------------------------------------ --- ---------------------------- # IPv1 хүрээ ба түрээслэх хугацаа # 29-192.168.10.30,192.168.10.250,8 нь Серверүүд болон бусад dhcp хэрэгцээнд зориулагдсан болно. = 222h dhcp-lease-max = 150 # түрээслэх хаягийн дээд тоо # анхдагчаар # 6 # IPV1234 муж # dhcp-range = 1,255.255.255.0 ::, зөвхөн ra # RANGE сонголтууд # OPTIONS dhcp-option = 3,192.168.10.5 # NETMASK dhcp-option = 6,192.168.10.5 # ROUTER GATEWAY dhcp-option = 15 # DNS Servers dhcp-option = 19,1, desdelinux.fan # DNS Домэйн нэр dhcp # option ip-forwarding ON dhcp-option = 28,192.168.10.255 # BROADCAST dhcp-option = 42,192.168.10.5 # NTP dhcp-authoritative # Subnet дээрх эрх бүхий DHCP # -------------- --- --------------- ----------------------------------- # Хэрэв та бүртгэлийг / var / log / мессежэнд хадгалахыг хүсвэл асуулгаас # доорх мөрөнд тайлбар өгөхгүй # --------------------------------------- - --------------------------
# бүртгэлийн асуултууд
#Et файлын ТӨГСӨЛ /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Бид файлыг үүсгэдэг / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Суурин IP хаягууд

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fans

Бид /etc/resolv.conf файлыг тохируулна уу - шийдвэрлэх

[root @ linuxbox ~] # nano /etc/resolv.conf
desdelinux.fan nameserver 127.0.0.1 хайх # Гадны болон домэйн бус DNS асуултуудын хувьд # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Бид файлын синтаксийг шалгадаг dnsmasq.conf, бид үйлчилгээний статусыг эхлүүлж шалгаж байна

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: синтакс шалгах OK.
[root @ linuxbox ~] # systemctl дахин эхлүүлэх dnsmasq
[root @ linuxbox ~] # systemctl байдал dnsmasq

Dnsmasq ба Firewall

[root @ linuxbox ~] # галт хана-cmd --get-active-zone
гадна
  интерфэйсүүд: ens34
олон нийтийн
  интерфэйсүүд: ens32

Үйлчилгээ домэйн o Домэйн нэрийн сервер (dns). Протокол Шударж «Шифрлэлт бүхий IP«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp - байнгын
амжилт
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
амжилт

Dnsmasq-ийн гадаад DNS серверүүдээс асуулга авах

[root @ linuxbox ~] # галт хана-cmd - бүс = гадаад --add-port = 53 / tcp - байнгын
амжилт
[root @ linuxbox ~] # галт хана-cmd - бүс = гадаад --add-port = 53 / udp - байнгын
амжилт

Үйлчилгээ ачаалах o BOOTP сервер (DHP). Протокол ippc «Интернет Pluribus пакетийн цөм«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp - байнгын
амжилт
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
амжилт

[root @ linuxbox ~] # галт хана-cmd - дахин ачаалах
амжилт

[root @ linuxbox ~] # firewall-cmd --info-zone public public (идэвхтэй)
  target: default icmp-block-inversion: ямар ч интерфейсгүй: ens32 эх сурвалж: үйлчилгээ: dhcp dns ntp ssh портууд: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp протоколууд: хувиргалт: форвард байхгүй: эх сурвалжууд: icmp блокууд: баялаг дүрмүүд:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (идэвхтэй)
  target: default icmp-block-inversion: ямар ч интерфейсгүй: ens34 эх үүсвэрүүд: үйлчилгээнүүд: dns портууд: 53 / udp 53 / tcp протоколууд: хувиргах: тийм дамжуулах портууд: эх үүсвэрүүд: icmp-блокууд: параметр-асуудал чиглүүлэгч чиглүүлэгч-сурталчилгааны чиглүүлэгчид- санал хүсэлтийн эх сурвалж-бөхөөх баялаг дүрмүүд:

Хэрэв бид галт ханыг CentOS 7 дээр тохируулах график интерфэйсийг ашиглахыг хүсвэл ерөнхий цэсийг үзэх хэрэгтэй - энэ нь дэд цэс гарч ирэх ширээний орчиноос хамаарна - "Firewall" програм, бид үүнийг гүйцэтгэж, хэрэглэгчийн нууц үг эх, бид програмын интерфэйс рүү ийм байдлаар нэвтрэх болно. MATE дээр энэ нь «цэсэнд гарч ирнэСистем »->" Захиргаа "->" Галт хана ".

Бид талбайг сонгоно уу «олон нийтийн»Мөн бид LAN дээр нийтлэхийг хүсч буй үйлчилгээнүүдээ одоо хүртэл зөвшөөрч байна dhcp, dns, ntp ба ssh. Үйлчилгээг сонгосны дараа бүх зүйл зөв ажиллаж байгааг баталгаажуулсны дараа бид Runtime-ийг Permanent болгон өөрчлөх ёстой. Үүнийг хийхийн тулд бид Options цэс рүү ороод «сонголтыг сонгоно ууБайнга ажиллуулах цаг".

Дараа нь бид Талбайг «гадна»Мөн интернетэд холбогдоход шаардлагатай боомтууд нээлттэй байгаа эсэхийг шалгаж байна. Бид юу хийж байгаагаа сайн мэдэхгүй бол энэ бүсэд үйлчилгээ нийтэлж БОЛОХГҮЙ!.

Өөрчлөлтийг Байнгын хувилбараар хийхээ мартуузай.Байнга ажиллуулах цаг»Тэгээд чөтгөрийг дахин ачаала FirewallD, бид энэхүү хүчирхэг график хэрэгслийг ашиглах бүрдээ.

Windows 7 клиентээс NTP ба Dnsmasq

NTP-тэй синхрончлох

гадна

Түрээсэлсэн IP хаяг

Microsoft Windows [Хувилбар 6.1.7601] Зохиогчийн эрх (c) 2009 Microsoft Corporation. Бүх эрх хуулиар хамгаалагдсан. C: \ Users \ buzz> ipconfig / бүх Windows IP тохиргооны хостын нэр. . . . . . . . . . . . : ДОЛОО
   Анхан шатны Dns дагавар. . . . . . . :
   Зангилааны төрөл. . . . . . . . . . . . : Эрлийз IP чиглүүлэлтийг идэвхжүүлсэн. . . . . . . . : WINS прокси идэвхжээгүй. . . . . . . . : DNS дагавар хайлтын жагсаалт байхгүй. . . . . . : desdelinux.fan Ethernet адаптер Орон нутгийн холболт: Холболтод зориулагдсан DNS дагавар. : desdelinux.fan Тодорхойлолт. . . . . . . . . . . : Intel (R) PRO / 1000 MT сүлжээний холболтын физик хаяг. . . . . . . . . : 00-0C-29-D6-14-36 DHCP идэвхжсэн. . . . . . . . . . . : Тийм Автомат тохиргоог идэвхжүүлсэн. . . . : Энэ бол
   IPv4 хаяг. . . . . . . . . . . : 192.168.10.115 (Сонгосон)
   Дэд сүлжээний маск. . . . . . . . . . . : 255.255.255.0 Түрээс авсан. . . . . . . . . . : 14 оны 2017-р сарын 5-ний Баасан гараг, 12:53:15 PM түрээсийн хугацаа дуусна. . . . . . . . . . : 2017 оны 1-р сарын 12. Бямба гараг 53:192.168.10.1:192.168.10.5 AM Default Gateway. . . . . . . . . : 192.168.10.5 DHCP сервер. . . . . . . . . . . : 9 DNS серверүүд. . . . . . . . . . . : 00 Tcpip дээр NetBIOS. . . . . . . . : Идэвхжүүлсэн хонгилын адаптер Орон нутгийн холболт * 00: Медиа төлөв. . . . . . . . . . . : Медиа холболтыг салгасан Холболтын тусгай DNS дагавар. : Тодорхойлолт. . . . . . . . . . . : Microsoft Teredo Tunneling адаптерийн физик хаяг. . . . . . . . . : 00-00-00-00-00-0-2-E00 DHCP идэвхжсэн. . . . . . . . . . . : Автомат тохиргоог идэвхжүүлээгүй. . . . : Тийм Хонгилын адаптер isatap.fromlinux.fan: Media State. . . . . . . . . . . : Медиа холболтыг салгасан Холболтын тусгай DNS дагавар. : desdelinux.fan Тодорхойлолт. . . . . . . . . . . : Microsoft ISATAP адаптер # 00 Физик хаяг. . . . . . . . . : 00-00-00-00-00-0-XNUMX-EXNUMX DHCP идэвхжсэн. . . . . . . . . . . : Автомат тохиргоог идэвхжүүлээгүй. . . . : Тийм C: \ Users \ buzz>

Зөвлөгөө

Windows клиентүүдийн чухал үнэ цэнэ бол "Анхан шатны Dns дагавар" эсвэл "Үндсэн холболтын дагавар" юм. Хэрэв та Microsoft Domain Controller ашигладаггүй бол үйлдлийн систем нь түүнд ямар ч утга өгөхгүй. Хэрэв бид нийтлэлийн эхэнд дурдсантай ижил төстэй хэрэг тулгарч байгаа бөгөөд энэ үнэ цэнийг тодорхой мэдэгдэхийг хүсч байвал дараахь зураг дээр үзүүлсэн зүйлийн дагуу үргэлжлүүлэн өөрчлөлтийг хүлээн авч, үйлчлүүлэгчээ дахин эхлүүлэх хэрэгтэй.

 

Хэрэв бид дахин гүйвэл CMD -> ipconfig / бүгд бид дараахь зүйлийг авах болно.

Microsoft Windows [Хувилбар 6.1.7601] Зохиогчийн эрх (c) 2009 Microsoft Corporation. Бүх эрх хуулиар хамгаалагдсан. C: \ Users \ buzz> ipconfig / бүх Windows IP тохиргооны хостын нэр. . . . . . . . . . . . : ДОЛОО
   Анхан шатны Dns дагавар. . . . . . . : desdelinux.fan
   Зангилааны төрөл. . . . . . . . . . . . : Эрлийз IP чиглүүлэлтийг идэвхжүүлсэн. . . . . . . . : WINS прокси идэвхжээгүй. . . . . . . . : DNS дагавар хайлтын жагсаалт байхгүй. . . . . . : desdelinux.fan

Үлдсэн утгууд өөрчлөгдөөгүй хэвээр байна

DNS шалгалт

buzz @ sysadmin: ~ $ хост spynet.microsoft.com
spynet.microsoft.com нь 127.0.0.1 хаягтай spynet.microsoft.com хаягтай байна: 5 (татгалзсан) spynet.microsoft.com имэйлийг 1 mail.fromlinux.fan хаягаар зохицуулдаг.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan хаяг нь 192.168.10.5 linuxbox.desdelinux.fan мэйлийг 1 mail.desdelinux.fan хаягаар зохицуулдаг.

buzz @ sysadmin: ~ $ хост sysadmin
sysadmin.desdelinux.fan хаяг 192.168.10.1 sysadmin.desdelinux.fan хаягийг 1 mail.desdelinux.fan хаягаар зохицуулдаг.

buzz @ sysadmin: ~ $ хост мэйл
mail.desdelinux.fan нь linuxbox.desdelinux.fan-ийн нэр юм. linuxbox.desdelinux.fan хаяг нь 192.168.10.5 linuxbox.desdelinux.fan мэйлийг 1 mail.desdelinux.fan хаягаар зохицуулдаг.

Бид суулгаж өгдөг -зөвхөн туршилтанд зориулагдсан- эрх бүхий DNS сервер NSD sysadmin.fromlinux.fan, бид IP хаягийг оруулна 172.16.10.1 архивт /etc/resolv.conf багийн linuxbox.fromlinux.fan, Dnsmasq дамжуулагчийн функцийг зөв гүйцэтгэж байгааг баталгаажуулах. NSD сервер дээрх хамгаалагдсан хайрцгууд нь favt.org y toujague.org. Бүх IP нь зохиомлоор эсвэл хувийн сүлжээнээс байдаг.

Хэрэв бид WAN интерфэйсийг идэвхгүй болговол 34 тушаалыг ашиглан ifdown en34, Dnsmasq нь гадны DNS серверүүдийг лавлах боломжгүй болно.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Toujague.org вэбсайт олдсонгүй: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Host pizzapie.favt.org олдсонгүй: 3 (NXDOMAIN)

Ens34 интерфэйсийг идэвхжүүлээд дахин шалгана уу.

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org нь paisano.favt.org хаягийн нэр юм. paisano.favt.org нь 172.16.10.4 хаягтай

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Хост pizzas.toujague.org олдсонгүй: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org нь 169.18.10.18 хаягтай

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org нэрийн сервер ns1.favt.org. favt.org нэрийн сервер ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org нэрийн сервер ns1.toujague.org. toujague.org нэрийн сервер ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org мэйлийг 10 mail.toujague.org хаягаар зохицуулдаг.

Зөвлөгөө авъя sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
linux.fan нэрийн серверээс хайх 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org нь 169.18.10.19 хаягтай

Dnsmasq ажиллаж байна Дамжуулагч зөв.

Squid

PDF форматтай номонд «Линуксийн серверүүдийн тохиргоо»25 оны 2016-р сарын XNUMX-ны өдөр зохиогч Жоэл Барриос Дуэньяс (darkshram@gmail.com - http://www.alcancelibre.org/), өмнөх өгүүллүүдэд миний иш татсан текстийн талаар бүхэл бүтэн бүлэг байдаг Squid-ийн үндсэн тохиргооны сонголтууд.

Вэб - Прокси үйлчилгээ чухал ач холбогдолтой тул дээр дурдсан номонд Squid-ийн талаар оруулсан танилцуулгыг дахин хүргэж байна.

105.1. Танилцуулга.

105.1.1. Зуучлагч сервер (прокси) гэж юу вэ?

Англи хэл дээрх нэр томъёо "Прокси" гэдэг нь маш ерөнхий бөгөөд үүний зэрэгцээ хоёрдмол утгатай боловч
гэсэн ойлголтын ижил утгатай гэж үздэг "Зуучлагч". Энэ нь ихэвчлэн хатуу утгаараа орчуулагддаг төлөөлөгч o эрх мэдэлтэй (нөгөөгөөсөө илүү эрх мэдэлтэй нэгэн).

Un Зуучлагч сервер Энэ нь үйлчлүүлэгчдэд бусад сүлжээний үйлчилгээнд шууд бус сүлжээний холболт хийх боломжийг олгохоос бүрдэх сүлжээний үйлчилгээг санал болгодог компьютер эсвэл төхөөрөмж юм. Процессын явцад дараахь зүйл тохиолдоно.

  • Үйлчлүүлэгч а Прокси сервер.
  • Үйлчлүүлэгч нь өөр сервер дээр байгаа холболт, файл эсвэл бусад нөөцийг шаарддаг.
  • Зуучлагч сервер нь заасан сервертэй холбогдох замаар нөөцийг хангаж өгдөг
    эсвэл үүнийг кэшээс үйлчилдэг.
  • Зарим тохиолдолд Зуучлагч сервер үйлчлүүлэгчийн хүсэлтийг өөрчилж болно
    янз бүрийн зорилгоор серверийн хариу үйлдэл.

олон тоо Прокси серверүүд тэдгээрийг ерөнхийдөө галын хананд нэгэн зэрэг ажиллуулахаар хийдэг Сүлжээний түвшин, пакет шүүлтүүрийн үүрэг гүйцэтгэдэг iptables эсвэл үйл ажиллагаа Хэрэглээний түвшин, тохиолдлын адил янз бүрийн үйлчилгээг хянах TCP боодол. Нөхцөл байдлаас хамааран галын ханыг бас нэрлэдэг BPD o BЗахиалга Pэргэлт Device эсвэл зүгээр л пакет шүүлтүүр.

-Ийн нийтлэг хэрэглээ Прокси серверүүд нь сүлжээний агуулгын кэш хэлбэрээр ажиллах (ихэвчлэн HTTP) бөгөөд алсын HTTP серверүүд дээр сүлжээгээр дамжуулан авах боломжтой хуудсууд болон файлуудын санах ойг үйлчлүүлэгчдэд ойртуулж, дотоод сүлжээний үйлчлүүлэгчдэд илүү хурдан, илүү хурдан хандах боломжийг олгодог. найдвартай.

A-д заасан Сүлжээний нөөцийн талаар хүсэлт ирэхэд URL (Uжигд Rэх үүсвэр Locator) Зуучлагч сервер үр дүнг хайх URL кэш дотор. Хэрэв олдсон бол Зуучлагч сервер Хүссэн агуулгыг нэн даруй өгөх замаар үйлчлүүлэгчид хариу өгнө. Хэрэв хүссэн агуулга нь кэш дотор байхгүй бол Зуучлагч сервер үүнийг алсын серверээс татаж авахыг хүссэн үйлчлүүлэгчид хүргүүлж, хуулбарыг кэш дотор хадгалах болно. Дараа нь кэш дэх агуулгыг нас, хэмжээ, түүхийн дагуу хугацаа дуусах алгоритмаар арилгана хүсэлтийн хариу (цохилт) (жишээ: LRU, LFUDA y GDSF).

Сүлжээний агуулгад зориулсан прокси серверүүд (Вэб прокси) нь дурын шалгуурын дагуу цензурын бодлогыг хэрэгжүүлж, агуулгын шүүлтүүр болж ажиллах боломжтой..

Бидний суулгах Squid хувилбар нь 3.5.20-2.el7_3.2 агуулахаас шинэчлэлтүүд.

Суурилуулалт

[root @ linuxbox ~] # yum squid суулгах

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  далайн амьтан
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl далайн амьтан идэвхжүүлэх

Чухал зүйл

  • Энэхүү нийтлэлийн гол зорилго нь орон нутгийн хэрэглэгчдэд LAN сүлжээнд холбогдсон бусад компьютеруудаас Squid-тэй холбогдох эрхийг олгох явдал юм. Нэмж дурдахад бусад үйлчилгээг нэмж оруулах серверийн цөмийг хэрэгжүүл. Энэ нь Squid-д зориулсан нийтлэл биш юм.
  • Squid-ийн тохиргооны сонголтуудын талаар санаа авахын тулд 3.5.20 мөр бүхий /usr/share/doc/squid-7915/squid.conf.documented файлыг уншина уу..

SELinux ба Squid

[root @ linuxbox ~] # getsebool -a | grep далайн амьтан
squid_connect_any -> squid_use_tproxy дээр -> унтраалттай байна

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

тохиргоо

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports порт 443 21
acl Safe_ports порт 80 # http acl Safe_ports порт 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # бүртгэлгүй портууд acl Safe_ports порт 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # httpiling acl CONNECT method CONNECT # Аюулгүй портуудын асуултыг бид үгүйсгэдэг http_access үгүйсгэдэг! Аюулгүй_портууд # Аюулгүй портуудын CONNECT аргыг үгүйсгэдэг http_access iny CONNECT! SSL_ports # Зөвхөн localhost http_access-ээс Cache менежер рүү хандах хандалт localhost менежер http_access-ээс татгалзах менежерийг зөвшөөрнө # "localhost" дээр үйлчилгээ авах боломжтой цорын ганц # хүн гэж боддог прокси сервер дээр ажилладаг гэмгүй # вэб програмуудыг хамгаалахын тулд дараахь зүйлийг тайлбарлахгүй байхыг зөвлөж байна. орон нутгийн хэрэглэгч http_access to_localhost-ыг үгүйсгэх # # ӨӨРИЙН ДҮРМИЙГ ОРУУЛАХЫГ ЭНД ТАНЫ ЗАХИАЛАГЧДАААС ХҮРЭХ ХҮЛЭЭН БҮРТГҮҮЛЭХ # # PAM зөвшөөрөл
auth_param үндсэн програм / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic realm from linux.fan auth_param basic credentialsttl 2 hours auth_param basic caseensitive off # Acl authentication is being access to access Squid Enthusiasts proxy_auth REQUIRED # Бид нэвтрэлт танигдсан хэрэглэгчдэд нэвтрэх боломжийг # PAM-ээр дамжуулан нэвтрүүлэхийг зөвшөөрдөг. Сонирхогчид # acl ftp proto FTP http_access зөвшөөрөх ftp http_access localnet-ийг зөвшөөрөх http_access localhost-ийг зөвшөөрөх # Бид прокси руу нэвтрэх бусад эрхийг хасах http_access бүгдийг үгүйсгэх # Squid нь ихэвчлэн 3128 порт дээр сонсдог http_port 3128 # Бид "cedump" -ийг эхний кэш лавлахад үлдээдэг coredump_dir / var / дамар / далайн амьтан # # Эдгээрийн дээр өөрийн сэргээн засварласан хэв маягийн аль ч оруулгыг нэмж оруулаарай. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy овоолго LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_muxus.XNUMX.

Бид файлын синтаксийг шалгадаг /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k задлан шинжлэх
2017/04/16 15: 45: 10 | Эхлэл: Баталгаажуулалтын схемийг эхлүүлж байна ...
 2017/04/16 15: 45: 10 | Эхлэл: Гэрчилгээжүүлэх ажлыг эхлүүлсэн схем 'basic' 2017/04/16 15: 45: 10 | Эхлэл: Баталгаажуулалтын анхны схем 'дайджест' 2017/04/16 15: 45: 10 | Эхлэл: Баталгаажуулалтын анхны схем 'тохиролцох' 2017/04/16 15: 45: 10 | Эхлэл: Гэрчилгээжүүлэх ажлыг эхлүүлсэн схем 'ntlm' 2017/04/16 15: 45: 10 | Эхлүүлэх: Гэрчилгээжүүлэх ажлыг эхлүүлсэн.
 2017/04/16 15: 45: 10 | Боловсруулалтын тохиргооны файл: /etc/squid/squid.conf (гүн 0) 2017/04/16 15: 45: 10 | Боловсруулалт: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Боловсруулалт: acl SSL_ports порт 443 21 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 80 # http 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 21 # ftp 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 443 # https 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 70 # gopher 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 210 # wais 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 1025-65535 # бүртгэлгүй боомт 2017/04/16 15: 45: 10 | Боловсруулалт: acl Аюулгүй_порт порт 280 # http-mgmt 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 488 # gss-http 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 591 # filemaker 2017/04/16 15: 45: 10 | Боловсруулалт: acl Safe_ports порт 777 # multiling http 2017/04/16 15: 45: 10 | Боловсруулалт: acl CONNECT арга CONNECT 2017/04/16 15: 45: 10 | Боловсруулалт: http_access татгалзах! Аюулгүй_порт 2017/04/16 15: 45: 10 | Боловсруулалт: http_access татгалзах CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Боловсруулалт: http_access нь localhost менежерийг зөвшөөрөх 2017/04/16 15: 45: 10 | Боловсруулалт: http_access iny manager 2017/04/16 15: 45: 10 | Боловсруулалт: http_access iny to_localhost 2017/04/16 15: 45: 10 | Боловсруулалт: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Боловсруулалт: auth_param basic children 5 2017/04/16 15: 45: 10 | Боловсруулалт: linx.fan-аас auth_param үндсэн хүрээ 2017/04/16 15: 45: 10 | Боловсруулалт: auth_param basic credentialsttl 2 цаг 2017/04/16 15: 45: 10 | Боловсруулалт: auth_param үндсэн хэргүүд мэдрэмтгий 2017/04/16 15: 45: 10 | Боловсруулалт: acl сонирхогчид proxy_auth ХЭРЭГТЭЙ 2017/04/16 15: 45: 10 | Боловсруулалт: http_access үгүйсгэх! Сонирхогчид 2017/04/16 15: 45: 10 | Боловсруулалт: acl ftp proto FTP 2017/04/16 15: 45: 10 | Боловсруулалт: http_access allow ftp 2017/04/16 15: 45: 10 | Боловсруулалт: http_access localnet-ийг зөвшөөрөх 2017/04/16 15: 45: 10 | Боловсруулалт: http_access нь localhost-ыг зөвшөөрөх 2017/04/16 15: 45: 10 | Боловсруулалт: http_access бүгдийг үгүйсгэх 2017/04/16 15: 45: 10 | Боловсруулалт: http_port 3128 2017/04/16 15: 45: 10 | Боловсруулалт: coredump_dir / var / дамар / далайн амьтан 2017/04/16 15: 45: 10 | Боловсруулалт: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Боловсруулалт: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Боловсруулалт: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Боловсруулалт: refresh_pattern. 

Бид зөвшөөрлийг тохируулдаг / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Бид кэш директорыг үүсгэдэг

# Зүгээр л ... [root @ linuxbox ~] # үйлчилгээ далайн амьтан зогсох
/ Bin / systemctl stop squid.service руу дахин чиглүүлж байна

[root @ linuxbox ~] # далайн амьтан -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Одоогийн лавлахыг / var / spool / squid гэж тохируулна уу 2017/04/16 15:48:28 kid1 | Алга болсон своп лавлах сангуудыг үүсгэх нь 2017/04/16 15:48:28 kid1 | / var / дамар / далайн амьтан байдаг 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 00-д директор хийх нь 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 01-д директор хийх нь 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 02-д директор хийх. 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 03-д директор хийх. 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 04-д директор хийх. 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 05-д директор хийж байна 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 06-д директор хийх. 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 07-д директор хийх нь 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 08-д директор хийх. 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 09-д директор хийх нь 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0A-д директор хийх 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0B-д директор хийх нь 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0C-д директор хийх нь 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0D-д директор хийх 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0E-д директор хийх нь 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0F дотор директор хийх

Энэ үед, надад хэзээ ч буцааж өгөөгүй тушаалын мөрийг буцааж өгөхөд хэсэг хугацаа шаардлагатай бол Enter товч дарна уу.

[root @ linuxbox ~] # үйлчилгээ далайн амьтан эхлэх
[root @ linuxbox ~] # үйлчилгээ далайн амьтан дахин эхлүүлэх
[root @ linuxbox ~] # үйлчилгээний далайн амьтан статус
/ Bin / systemctl status руу чиглүүлэх squid.service ● squid.service - Squid caching прокси Ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/squid.service; идэвхгүй; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Дом оноос хойш идэвхтэй (ажиллаж байгаа) 2017-04-16 15:57:27 EDT; 1 секундын өмнө Процесс: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = гарсан, байдал = 0 / АМЖИЛТ) Процесс: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (код = гарсан, байдал = 0 / SUCCESS) Үндсэн PID: 2876 (далайн амьтан) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16-р сарын 15 57:27:1 linuxbox systemd [16]: Squid caching прокси эхлүүлж ... 15-р сарын 57 27:1:16 linuxbox systemd [15]: Squid кэш хийх прокси эхлүүлсэн. 57-р сарын 27 2876:1:16 linuxbox далайн амьтан [15]: Squid Parent: 57 хүүхэд эхэлнэ 27-р сарын 2876 1:2878:16 linuxbox squid [15]: Squid Parent: (squid-57) process 27 ... ed 2876-р сарын 1 : 2878: 1 linuxbox squid [XNUMX]: Squid Parent: (squid-XNUMX) process XNUMX ... XNUMX Санамж: Зарим мөрийг эллипс хэлбэртэй болгосон, -l-ийг бүрэн харуулах

[root @ linuxbox ~] # cat / var / log / messages | grep далайн амьтан

Галт хана засах

Бид мөн бүсэд нээх ёстой «гадна"боомтууд 80HTTP y 443 HTTPS тиймээс Squid нь интернэттэй холбогдох боломжтой.

[root @ linuxbox ~] # галт хана-cmd - бүс = гадаад --add-port = 80 / tcp - байнгын
амжилт
[root @ linuxbox ~] # галт хана-cmd - бүс = гадаад --add-port = 443 / tcp - байнгын
амжилт
[root @ linuxbox ~] # галт хана-cmd - дахин ачаалах
амжилт
[root @ linuxbox ~] # firewall-cmd --info-zone external
гадаад (идэвхтэй) зорилт: default icmp-block-inversion: интерфэйсгүй: ens34 эх үүсвэр: үйлчилгээ: dns портууд: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  протоколууд: хувиргах: тийм дамжуулах портууд: эх сурвалжууд: icmp-блокууд: параметр-асуудал чиглүүлэгч чиглүүлэгч-зар сурталчилгаа чиглүүлэгч-хүсэлт гаргах эх үүсвэр-бөхөөх баялаг дүрмүүд:
  • График аппликейшн руу орох нь сул биш байна «Галт ханын тохиргоо»443 tcp, 80 tp, 53 tcp, and 53 udp портууд бүсэд нээлттэй эсэхийг шалгаарай«гадна«, Бид түүнд зориулж ямар ч үйлчилгээ нийтлээгүй.

Basic_pam_auth туслах програмын тэмдэглэл

Хэрэв бид энэ хэрэгслийн гарын авлагыг ашиглах хэрэгтэй хүн үндсэн_пам_авт Зохиогч өөрөө програмыг ердийн хэрэглэгчид хэрэгсэлд нэвтрэх хангалттай зөвшөөрөлгүй директор руу шилжүүлэх хатуу зөвлөмж гаргасныг бид унших болно.

Нөгөөтэйгүүр, энэхүү зөвшөөрлийн схемийн дагуу итгэмжлэлүүд нь энгийн текстээр дамждаг бөгөөд дайсагнасан орчинд аюулгүй биш тул нээлттэй сүлжээг уншина уу.

Жефф Еструмскас нийтлэлийг «Хэрхэн: SSL шифрлэлт, Squid Caching Proxy болон PAM нэвтрэлт танилт ашиглан аюулгүй вэб прокси тохируулах.»Энэхүү нэвтрэлт танилтын схемээр аюулгүй байдлыг нэмэгдүүлэх, ингэснээр дайсагналцаж болзошгүй нээлттэй сүлжээнд ашиглах боломжтой болно.

Бид httpd суулгаж өгдөг

Squid-ийн үйл ажиллагааг шалгах арга зам бол Dnsmasq-ийн санамсаргүй байдлаар бид уг үйлчилгээг суулгаж өгөх болно httpd -Apache вэб сервер- заавал хийх шаардлагагүй. Dnsmasq-тэй холбоотой файл дотор / etc / banner_add_hosts Бид хориглохыг хүсч буй сайтуудаа зарлаж, түүнтэй ижил IP хаягийг шууд зааж өгдөг linux хайрцаг. Тиймээс, хэрэв бид эдгээр сайтуудын аль нэгэнд нэвтрэх хүсэлт гаргавал httpd.

[root @ linuxbox ~] # yum httpd суулгах [root @ linuxbox ~] # systemctl нь httpd-г идэвхжүүлдэг
/Etc/systemd/system/multi-user.target.wants/httpd.service-ээс /usr/lib/systemd/system/httpd.service руу symlink холбоос үүсгэсэн.

[root @ linuxbox ~] # systemctl httpd эхлүүлэх

[root @ linuxbox ~] # systemctl байдал httpd
● httpd.service - Apache HTTP Сервер ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/httpd.service; идэвхжүүлсэн; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: идэвхтэй (ажиллаж байгаа) 2017-04-16-ны сараас хойш: 16 EDT; 41 секундын өмнө Docs: man: httpd (35) man: apachectl (5) Үндсэн PID: 8 (httpd) Статус: "Хүсэлтийг боловсруулж байна ..." CGroup: /system.slice/httpd.service ├─8 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND └─2278 / usr / sbin / httpd -DFOREGROUND 2279-р сарын 2280 16:16:41 linuxbox systemd [35]: Apache HTTP Серверийг эхлүүлэх ... 1-р сарын 16 16:41:35 linuxbox systemd [1]: Apache HTTP Серверийг ажиллууллаа.

SELinux ба Apache

Apache нь SELinux контекстэд тохируулах хэд хэдэн бодлоготой байдаг.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> унтраах httpd_builtin_scripting -> httpd_can_check_spam дээр -> унтраах httpd_can_connect_ftp -> унтраах httpd_can_connect_ldap -> унтраах httpd_can_connect_mythtv -> унтраах httpd_can_connect сүлжээний off_zabbix_> унтраах httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> унтраах httpd_can_network_relay -> унтраах httpd_can_sendmail -> унтраах httpd_dbus_avahi -> httpd_dbus_sssd бартаат -> унтраах httpd_dontaudit_search_dirs -> httpd_enable_cgi бартаат - бартаат> httpd_enable_offmirs offd_enablecgi - -> httpd_enable_offmirs -> httpd_enable_offmirs offd_enable_ httpd_graceful_shutdown -> httpd_enable_offmirs> httpd_manage_ipa дээр -> httpd_mod_auth_ntlm_winbind бартаат -> унтраах httpd_mod_auth_pam -> унтраах httpd_read_user_content -> httpd_run_ipa бартаат -> httpd_run_preupgrade бартаат -> унтраах httpd_runcobsherve offlimift -> off httpd_runcobsherve offlimift_runco_stick offlimift -> offd_runcobshble off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - унтраах > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Бид зөвхөн дараахь зүйлийг тохируулах болно.

Apache-ээр дамжуулан имэйл илгээх

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Apache-д орон нутгийн хэрэглэгчдийн гэрийн лавлахад байрлах агуулгыг уншихыг зөвшөөрнө үү

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

FTP эсвэл FTPS-ээр удирддаг аливаа директорыг удирдахыг зөвшөөрнө үү
Apache эсвэл Apache-г FTP портоор дамжуулан хүсэлтийг сонсдог FTP сервер байдлаар ажиллуулахыг зөвшөөрнө үү

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Дэлгэрэнгүй мэдээллийг уншина уу Линуксийн серверүүдийн тохиргоо.

Бид баталгаажуулалтыг шалгадаг

Энэ нь зөвхөн ажлын станц дээр хөтөч нээхэд л үлдэх болно http://windowsupdate.com. Хүсэлтийг linuxbox дээрх Apache-ийн нүүр хуудсанд зөв чиглүүлсэн эсэхийг шалгах болно. Үнэн хэрэгтээ, файлд зарласан сайтын нэр / etc / banner_add_hosts та ижил хуудсанд шилжих болно.

Өгүүллийн төгсгөлд байгаа зургууд үүнийг нотолж байна.

Хэрэглэгчийн удирдлага

Бид үүнийг график хэрэгслийг ашиглан хийдэг «Хэрэглэгчийн менежмент»Систем -> Удирдлага -> Хэрэглэгчийн удирдлага гэсэн цэсээр дамжуулан хандах боломжтой. Бид шинэ хэрэглэгч нэмэх болгонд түүний хавтас үүсдэг / home / user автоматаар.

 

Нөөцлөх хуулбарууд

Линуксийн үйлчлүүлэгчид

Танд ердийн файлын хөтөч хэрэгтэй бөгөөд холбогдохыг хүсч байгаагаа илэрхийлнэ үү, жишээлбэл: ssh: // buzz @ linuxbox / home / buzz нууц үгээ оруулсны дараа директор гарч ирнэ Нүүр хуудас хэрэглэгчийн Buzz.

Windows Clients

Windows үйлчлүүлэгчдэд бид хэрэгслийг ашигладаг WinSCP. Суулгасны дараа бид үүнийг дараах байдлаар ашиглана уу.

 

 

Энгийн үү?

Хураангуй

Жижиг сүлжээ, хяналттай орчинд үйлчилгээгээ баталгаажуулахын тулд PAM ашиглах боломжтой гэдгийг бид олж харсан. хакерууд. Энэ нь голчлон баталгаажуулалтын үнэмлэх нь энгийн текстээр дамждаг тул нисэх онгоцны буудал, Wi-Fi сүлжээ гэх мэт нээлттэй сүлжээнд ашиглах баталгаажуулалтын схем биш юм. Гэсэн хэдий ч, энэ нь хэрэгжүүлэх, тохируулахад хялбар, зөвшөөрлийн энгийн механизм юм.

Эх сурвалжаас зөвлөгөө авав

PDF хувилбар

PDF хувилбарыг татаж авах энд байна.

Дараагийн нийтлэл хүртэл!


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

9 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   NauTiluS гэж хэлэв

    Ноён Фико гайхалтай бичлэгийг эдгээв. Мэдлэгээ хуваалцсанд баярлалаа.

  2.   гүрвэл гэж хэлэв

    Ийм нарийн ширийн зүйлтэй, нэлээд тодорхой туршилтуудтай, ялангуяа стандартад нийцсэн үзэл баримтлал, стратеги бүхий өгүүллийг нэгтгэх нь хичнээн хэцүү болохыг би мэднэ. Би хувь нэмрийн үнэт эрдэнийн малгайгаа авч л байна, ийм сайн ажилласанд Фикод маш их баярлалаа.

    Би далайн амьтаныг пам баталгаажуулалттай хэзээ ч хослуулж үзээгүй ч лабораторидоо энэ дадлыг хийхийн тулд аль болох их явдаг ... Зорилго тэврээд бид үргэлжлүүлье !!

  3.   federico гэж хэлэв

    NaTiluS: Санал, үнэлгээ өгсөнд маш их баярлалаа.
    Гүрвэл: Танд ч гэсэн сэтгэгдэл, үнэлгээ өгсөнд маш их баярлалаа.

    Ийм нийтлэл хийхэд цаг хугацаа, хүчин чармайлтаа зөвхөн FromLinux нийгэмлэгт зочилсон хүмүүсийн уншсан сэтгэгдэл, сэтгэгдлээр өгдөг. Энэ нь танд өдөр тутмын ажилд тань хэрэг болно гэж найдаж байна.
    Бид үргэлжлүүлсээр байна!

  4.   нэр нь үл мэдэгдэгч гэж хэлэв

    Иргэдийн итгэмээргүй хувь нэмэр !!!! Би таны нийтлэлүүдийг нэг бүрчлэн уншдаг бөгөөд Чөлөөт програм хангамжийн талаархи мэдлэггүй хүн ч гэсэн (над шиг) энэхүү тансаг өгүүллийг алхам алхамаар дагаж мөрдөж чадна гэж хэлж болно. Хүндэтгэсэн !!!!

  5.   IWO гэж хэлэв

    Энэ гайхалтай нийтлэлийн төлөө Fico-д баярлалаа; Өмнө нь нийтлэгдсэн бүх бичлэгүүд дээр энэ нь хангалтгүй юм шиг, бид өмнө нь PYMES цувралд хамрагдаагүй байсан бөгөөд энэ нь маш чухал ач холбогдолтой: "SQUID" эсвэл LAN-ийн Proxy юм. Өөрсдийгөө "сисадмин" гэж боддог хүмүүсийн гэр бүлд бидний судлах, мэдлэгээ гүнзгийрүүлэх өөр сайн материал байхгүй.

  6.   federico гэж хэлэв

    Сэтгэгдэл бичсэн та бүхэнд баярлалаа. Дараагийн нийтлэл нь Prosody чат серверийг Cyrus-SASL-ээр дамжуулан орон нутгийн итгэмжлэлүүдийн (PAM) эсрэг нэвтрэлт танилтын талаар авч үзэх бөгөөд уг үйлчилгээг яг ижил сервер дээр хэрэгжүүлэх болно.

  7.   17 гэж хэлэв

    Сайн цагтаа хөдөөний хүн !!!! Над шиг Чөлөөт Програм хангамжийн талаар мэдлэггүй, тансаг зэрэглэлийн өгүүллээр суралцах хүсэл эрмэлзэлтэй хүмүүст маш их хувь нэмэр оруулсан. Би таны оруулсан хувь нэмрийг дагаж мөрдөж байсан бөгөөд ЖДҮ-ийн сүлжээнүүдийн цуврал нэвтрүүлгийг аль өгүүллээр эхлүүлэхийг зөвлөж байна, учир нь би эмх замбараагүй уншдаг байсан тул аливаа зүйлийг санах нь үнэ цэнэтэй агуулгатай гэж бодож байна. дэлгэрэнгүй. Үүнээс гадна мэндчилгээ, хуваалцсан мэдлэг, програм хангамж үнэгүй хэвээр үлдэх болтугай !!

    1.    federico гэж хэлэв

      Сайн байцгаана уу нутаг нэгт !!!. Эхлээд эхлэхийг зөвлөж байна, хэдийгээр энэ нь хол мэт санагдаж болох ч төөрөхгүй байх хамгийн дөт зам юм. Сүүлийн хоёр өгүүллээр шинэчлэгдээгүй индекс дээр https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, хэрхэн яаж хийхийг эхлүүлсэн цуврал номыг уншихыг зөвлөж байна Ажлын байр, сэдэвт зориулсан хэд хэдэн бичлэгээр үргэлжилж байна Виртуалчлал, хэд хэдэн дугтуйтай дагана уу BIND, Isc-Dhcp-Server, болон Dnsmasqгэх мэтчилэн одоо байгаа байршилд байгаа ЖДҮ-ийн сүлжээнд нэвтрэх үйлчилгээнд нэвтрэх хүртэл. Энэ нь танд тусална гэж найдаж байна.

      1.    17 гэж хэлэв

        За яахав !!!! Би тэр даруйдаа цувралаа эхнээс нь эхлүүлж, шинэ нийтлэлүүдийг хүлээж байна. Хүндэтгэсэн !!!!