Inktvis + PAM-authenticatie in CentOS 7- SMB-netwerken

Algemene index van de serie: Computernetwerken voor het MKB: inleiding

Hallo vrienden en vrienden!

De titel van het artikel had moeten zijn: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid met PAM-authenticatie in Centos 7 - MKB-netwerken«. Om praktische redenen verkorten we het.

We gaan door met de authenticatie voor lokale gebruikers op een Linux-computer met behulp van PAM, en deze keer zullen we zien hoe we de proxy-service kunnen leveren met Squid voor een klein netwerk van computers, door de authenticatiegegevens te gebruiken die zijn opgeslagen op dezelfde computer waar de server is aan het rennen Inktvis.

Hoewel we weten dat het tegenwoordig heel gebruikelijk is om services te authenticeren tegen een OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, enz., Zijn we van mening dat we eerst eenvoudige en goedkope oplossingen moeten doorlopen, en dan de meest complexe degenen. Wij zijn van mening dat we van eenvoudig naar complex moeten gaan.

podium

Het is een kleine organisatie - met zeer weinig financiële middelen - die zich toelegt op het ondersteunen van het gebruik van Vrije Software en die koos voor de naam van DesdeLinux.Ventilator. Het zijn verschillende OS-enthousiastelingen CentOS gegroepeerd in één kantoor. Ze kochten een werkstation - geen professionele server - die ze zullen gebruiken om als "server" te functioneren.

Liefhebbers hebben geen uitgebreide kennis van het implementeren van een OpenLDAP-server of een Samba 4 AD-DC, noch kunnen ze het zich veroorloven om een ​​Microsoft Active Directory te licentiëren. Voor hun dagelijkse werk hebben ze echter internettoegangsdiensten nodig via een proxy - om het browsen te versnellen - en een ruimte waar ze hun meest waardevolle documenten kunnen opslaan en als reservekopieën kunnen werken.

Ze gebruiken nog steeds voornamelijk legaal verworven Microsoft-besturingssystemen, maar willen deze veranderen naar op Linux gebaseerde besturingssystemen, te beginnen met hun "Server".

Ze streven ook naar een eigen mailserver om onafhankelijk te worden - althans vanaf de oorsprong - van diensten zoals Gmail, Yahoo, HotMail, enz., Wat ze momenteel gebruiken.

De firewall- en routeringsregels voor het internet zorgen ervoor dat dit in de gecontracteerde ADSL-router wordt vastgelegd.

Ze hebben geen echte domeinnaam omdat ze geen enkele service op internet hoeven te publiceren.

CentOS 7 als een server zonder GUI

We beginnen met een nieuwe installatie van een server zonder grafische interface, en de enige optie die we selecteren tijdens het proces is «Infrastructuur Server»Zoals we in eerdere artikelen in de serie zagen.

Initiële instellingen

[root @ linuxbox ~] # cat / etc / hostnaam 
linux-box

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # hostnaam
linux-box

[root @ linuxbox ~] # hostnaam -f
linuxbox.desdelinux.ventilator

[root @ linuxbox ~] # ip-adreslijst
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 it

We schakelen de netwerkbeheerder uit

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl schakel NetworkManager uit

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Netwerkbeheerder geladen: geladen (/usr/lib/systemd/system/NetworkManager.service; uitgeschakeld; vooraf ingestelde leverancier: ingeschakeld) Actief: inactief (dood) Documenten: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

We configureren de netwerkinterfaces

Ens32 LAN-interface aangesloten op het interne netwerk

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkscripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = openbaar

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interface verbonden met internet

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkscripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=ja BOOTPROTO=statisch HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nee IPADDR=172.16.10.10 NETMASK=255.255.255.0 # De ADSL-router is verbonden met # deze interface met # het volgende adres IP-GATEWAY=172.16.10.1 DOMEIN=desdelinux.fan DNS1=127.0.0.1
ZONE = extern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Repositories configuratie

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # originele mkdir
[root @ linuxbox ~] # mv Centos- * origineel /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum alles opschonen
Plug-ins geladen: snelstemirror, langpacks Opslagplaatsen opschonen: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Alles opschonen Lijst met snelste mirrors opschonen
[root @ linuxbox yum.repos.d] # yum update
Geladen plug-ins: fastmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-opslag | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Snelste mirrors bepalen Geen pakketten gemarkeerd voor update

De boodschap "Geen pakketten gemarkeerd voor update»Wordt weergegeven omdat we tijdens de installatie dezelfde lokale repositories hebben opgegeven als waarover we beschikken.

Centos 7 met de MATE-desktopomgeving

Om de zeer goede beheertools te gebruiken met een grafische interface die CentOS / Red Hat biedt, en omdat we GNOME2 altijd missen, hebben we besloten om MATE als een desktopomgeving te installeren.

[root @ linuxbox ~] # yum groupinstall "X Window-systeem"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Om te controleren of de MATE correct laadt, voeren we de volgende opdracht uit op een console -local of remote-:

[root @ linuxbox ~] # systemctl isoleer graphic.target

en de desktopomgeving moet worden geladen -op het lokale team- soepel, met de lightdm als een grafische login. We typen de naam van de lokale gebruiker en zijn wachtwoord, en we voeren de MATE in.

Om het te vertellen systemd dat het standaard opstartniveau 5 -grafische omgeving- is, maken we de volgende symbolische link:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

We herstarten het systeem en alles werkt prima.

We installeren de Time Service for Networks

[root @ linuxbox ~] # yum install ntp

Tijdens de installatie configureren we dat de lokale klok wordt gesynchroniseerd met de tijdserver van de apparatuur systeembeheerder.desdelinux.ventilator met IP 192.168.10.1. Dus we slaan het bestand op ntp.conf origineel door:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Nu maken we een nieuwe met de volgende inhoud:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servers geconfigureerd tijdens installatie: server 192.168.10.1 iburst # Zie voor meer informatie de man-pagina's van: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Sta synchronisatie met de tijdbron toe, maar niet # sta de bron toe deze service te raadplegen of te wijzigen restrict default nomodify notrap nopeer noquery # Sta alle toegang tot de interface toe Loopback restrict 127.0.0.1 restrict :: 1 # Beperk iets minder tot computers op het lokale netwerk. restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap # Gebruik de openbare servers van het project pool.ntp.org # Als je mee wilt doen aan het project bezoek # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast-server broadcastclient # broadcast-client #broadcast 224.0.1.1 autokey # multicast-server #multicastclient 224.0.1.1 # multicast-client #manycastserver 239.255.254.254 # manycast-server #manycastclient 239.255.254.254 autokey # manycast-client-uitzending 192.168.10.255. 4 # Schakel openbare cryptografie in. #crypto includefile / etc / ntp / crypto / pw # Sleutelbestand met de sleutels en sleutel-ID's # gebruikt bij het werken met symmetrische sleutel cryptografiesleutels / etc / ntp / keys # Specificeer vertrouwde sleutel-ID's. #trustedkey 8 42 8 # Specificeer de sleutel-id die moet worden gebruikt met het ntpdc-hulpprogramma. #requestkey 8 # Specificeer de sleutel-ID die moet worden gebruikt met het ntpq-hulpprogramma. #controlkey 2013 # Maakt het schrijven van statistische registers mogelijk. #statistics clockstats cryptostats loopstats peerstats # Schakel secessiemonitor uit om versterking van # aanvallen met het ntpdc monlist-commando te voorkomen, wanneer de standaard # -beperking de noquery-vlag niet bevat. Lees CVE-5211-XNUMX # voor meer details. # Opmerking: de monitor is niet uitgeschakeld met de vlag voor beperkte beperkingen. monitor uitschakelen

We activeren, starten en controleren de NTP-service

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Network Time Service Loaded: geladen (/usr/lib/systemd/system/ntpd.service; uitgeschakeld; vooraf ingestelde leverancier: uitgeschakeld) Actief: inactief (dood)

[root @ linuxbox ~] # systemctl schakel ntpd in
Een symlink gemaakt van /etc/systemd/system/multi-user.target.wants/ntpd.service naar /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Netwerktijdservice
   Geladen: geladen (/usr/lib/systemd/system/ntpd.service; ingeschakeld; vooraf ingestelde leverancier: uitgeschakeld) Actief: actief (actief) sinds vr 2017-04-14 15:51:08 EDT; 1s geleden Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = verlaten, status = 0 / SUCCES) Hoofd-PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp en de firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfaces: ens34
publiek
  interfaces: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes

We activeren en configureren de Dnsmasq

Zoals we in het vorige artikel in de Small Business Networks-serie zagen, wordt Dnsamasq standaard geïnstalleerd op een CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cachingserver. Geladen: geladen (/usr/lib/systemd/system/dnsmasq.service; uitgeschakeld; vooraf ingestelde leverancier: uitgeschakeld) Actief: inactief (dood)

[root @ linuxbox ~] # systemctl zet dnsmasq aan
Een symlink gemaakt van /etc/systemd/system/multi-user.target.wants/dnsmasq.service naar /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-cachingserver. Geladen: geladen (/usr/lib/systemd/system/dnsmasq.service; ingeschakeld; vooraf ingestelde leverancier: uitgeschakeld) Actief: actief (actief) sinds vr 2017-04-14 16:21:18 EDT; 4 seconden geleden Hoofd-PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------------------------
# O P C I O N E S   G E N E R A L E S
# -------------------------------------------------------------------
domain-needed   # No pasar nombres sin la parte del dominio
bogus-priv  # No pasar direcciones en el espacio no enrutado
expand-hosts    # Adiciona automaticamente el dominio al host
interface=ens32 # Interface LAN

strict-order    # Orden en que consulta el archivo /etc/resolv.conf
conf-dir=/etc/dnsmasq.d
domain=desdelinux.fan   # Nombre del dominio

address=/time.windows.com/192.168.10.5

# Envía una opción vacía del valor WPAD. Se requiere para que 
# se comporten bien los clientes Windos 7 y posteriores. ;-)
dhcp-option=252,"\n"

# Archivo donde declararemos los HOSTS que serán "baneados"
addn-hosts=/etc/banner_add_hosts

local=/desdelinux.fan/

# -------------------------------------------------------------------
# R E G I S T R O S   C N A M E    M X    T X T
# -------------------------------------------------------------------
# Este tipo de registro requiere de una entrada
# en el archivo /etc/hosts
# ej: 192.168.10.5 linuxbox.desdelinux.fan linuxbox
# cname=ALIAS,REAL_NAME
cname=mail.desdelinux.fan,linuxbox.desdelinux.fan

# REGISTROS MX
# Devuelve un registro MX con el nombre "desdelinux.fan" con destino
# al equipo mail.desdelinux.fan y prioridad de 10
mx-host=desdelinux.fan,mail.desdelinux.fan,10

# El destino por defecto para los registros MX que se creen
# utilizando la opción localmx será:
mx-target=mail.desdelinux.fan

# Devuelve un registro MX apuntando al mx-target para TODAS
# las máquinas locales
localmx

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a -all"
txt-record=desdelinux.fan,"DesdeLinux, su Blog dedicado al Software Libre"

# -------------------------------------------------------------------
# R A N G O   Y   S U S   O P C I O N E S
# -------------------------------------------------------------------
# Rango IPv4 y tiempo de arrendamiento
# De la 1 a la 29 son para los Servidores y otras necesidades
dhcp-range=192.168.10.30,192.168.10.250,8h

dhcp-lease-max=222      # Cantidad máxima de direcciones a arrendar
                        # por defecto son 150
# Rango IPV6
# dhcp-range=1234::, ra-only

# Opciones para el RANGO
# O P C I O N E S
dhcp-option=1,255.255.255.0 # NETMASK
dhcp-option=3,192.168.10.5  # ROUTER GATEWAY
dhcp-option=6,192.168.10.5  # DNS Servers
dhcp-option=15,desdelinux.fan   # DNS Domain Name
dhcp-option=19,1        # option ip-forwarding ON
dhcp-option=28,192.168.10.255   # BROADCAST
dhcp-option=42,192.168.10.5 # NTP

dhcp-authoritative      # DHCP Autoritario en la subnet

# -------------------------------------------------------------------
# Si desean almacenar en /var/log/messages el log de las consultas
# elimine el comentario de la línea a continuación
# -------------------------------------------------------------------
# logboekvragen
# EINDE van bestand /etc/dnsmasq.conf # --------------------------------------- ----------------------------

We maken het bestand / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Vaste IP-adressen

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain4
::1             localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox
192.168.10.1    sysadmin.desdelinux.fan systeembeheerder

We configureren het bestand /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
search desdelinux.fan
nameserver 127.0.0.1
# Para consultas DNS externas o 
# que no sean del dominio desdelinux.fan
# local=/desdelinux.fan/
nameserver 8.8.8.8

We controleren de bestandssyntaxis dnsmasq.conf, we starten en controleren de status van de dienst

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: syntaxis check OK.
[root @ linuxbox ~] # systemctl herstart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq en de firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfaces: ens34
publiek
  interfaces: ens32

service domein o Domain Name Server (dns). Protocol wip «IP met versleuteling«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
succes

Dnsmasq-query's naar externe DNS-servers

[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 53 / udp --permanent
succes

service opstart o BOOTP-server (dhcp). Protocol IPPC «Internet Pluribus-pakketkern«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
succes

[root @ linuxbox ~] # firewall-cmd --reload
succes

[root @ linuxbox ~] # firewall-cmd --info-zone openbaar publiek (actief)
  target: standaard icmp-block-inversion: no interfaces: ens32 sources: services: dhcp dns ntp ssh poorten: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocollen: maskerade: geen forward-poorten: sourceports: icmp -blokken: rijke regels:

[root @ linuxbox ~] # firewall-cmd --info-zone extern extern (actief)
  target: standaard icmp-block-inversion: no interfaces: ens34 sources: services: dns ports: 53 / udp 53 / tcp protocollen: maskerade: ja forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertentie router- bronvermelding rijke regels:

Als we een grafische interface willen gebruiken om de firewall in CentOS 7 te configureren, kijken we in het algemene menu - het hangt af van de desktopomgeving waarin het submenu verschijnt - de applicatie «Firewall», we voeren het uit en na het invoeren van het gebruikersmenu wachtwoord wortel, zullen we de programma-interface als zodanig openen. In MATE verschijnt het in het menu «Systeem »->" Beheer "->" Firewall ".

We selecteren het gebied «publiek»En we autoriseren de Services die we willen publiceren op het LAN, wat tot nu toe het geval is dhcp, DNS, ntp en ssh. Nadat we de services hebben geselecteerd en hebben gecontroleerd of alles correct werkt, moeten we de wijzigingen in Runtime aanbrengen in Permanent. Om dit te doen gaan we naar het menu Opties en selecteren de optie «Looptijd tot permanent".

Later selecteren we het gebied «extern»En we controleren of de poorten die nodig zijn om met internet te communiceren, open zijn. Publiceer GEEN Services in dit gebied, tenzij we heel goed weten wat we doen!.

Laten we niet vergeten om de wijzigingen permanent te maken via de optie «Looptijd tot permanent»En herlaad de demon FirewallD, elke keer dat we deze krachtige grafische tool gebruiken.

NTP en Dnsmasq vanaf een Windows 7-client

Synchronisatie met NTP

extern

Gehuurd IP-adres

Microsoft Windows [versie 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ZEVEN
   Primaire DNS-achtervoegsel. . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-D6-14-36
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4-adres. . . . . . . . . . . : 192.168.10.115 (voorkeur)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Friday, April 14, 2017 5:12:53 PM
   Lease Expires . . . . . . . . . . : Saturday, April 15, 2017 1:12:53 AM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.5
   DNS Servers . . . . . . . . . . . : 192.168.10.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 9:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.desdelinux.fan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

C:\Users\buzz>

Tip

Een belangrijke waarde in Windows-clients is de "Primary Dns Suffix" of "Main connection suffix". Als u geen Microsoft Domain Controller gebruikt, kent het besturingssysteem er geen waarde aan toe. Als we te maken hebben met een geval zoals beschreven aan het begin van het artikel en we die waarde expliciet willen aangeven, moeten we doorgaan volgens wat wordt weergegeven in de volgende afbeelding, de wijzigingen accepteren en de client opnieuw opstarten.

Als we weer rennen CMD -> ipconfig / all we zullen het volgende verkrijgen:

Microsoft Windows [versie 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ZEVEN
   Primaire DNS-achtervoegsel. . . . . . . : desdelinux.ventilator
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.ventilator

De rest van de waarden blijft ongewijzigd

DNS-controles

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com has address 127.0.0.1
Host spynet.microsoft.com not found: 5(REFUSED)
spynet.microsoft.com mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan heeft adres 192.168.10.5 linuxbox.desdelinux.fanmail wordt afgehandeld door 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
systeembeheerder.desdelinux.fan has address 192.168.10.1
sysadmin.desdelinux.fanmail wordt afgehandeld door 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ hostmail
e-mail.desdelinux.fan is een alias voor Linuxbox.desdelinux.fan. Linuxbox.desdelinux.fan heeft adres 192.168.10.5 linuxbox.desdelinux.fanmail wordt afgehandeld door 1 mail.desdelinux.fan.

Wij installeren -alleen voor testen- een gezaghebbende DNS-server NSD in systeembeheerder.desdelinux.ventilator, en we nemen het IP-adres op 172.16.10.1 in het archief / Etc / resolv.conf uitrusting linuxbox.desdelinux.ventilator, om te verifiëren dat Dnsmasq zijn Forwarder-functie correct uitvoerde. Sandboxen op de NSD-server zijn favoriet.org y toujague.org. Alle IP's zijn fictief of afkomstig van particuliere netwerken.

Als we de WAN-interface uitschakelen ens34 met behulp van de opdracht alsdown ens34, Dnsmasq zal geen externe DNS-servers kunnen opvragen.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org niet gevonden: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Host pizzapie.favt.org niet gevonden: 3 (NXDOMAIN)

Laten we de ens34-interface inschakelen en opnieuw controleren:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org is een alias voor paisano.favt.org. paisano.favt.org heeft adres 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Host pizzas.toujague.org niet gevonden: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org heeft het adres 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org naamserver ns1.favt.org. favt.org naamserver ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org naamserver ns1.toujague.org. toujague.org naamserver ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
De mail van toujague.org wordt afgehandeld door 10 mail.toujague.org.

Laten we raadplegen van systeembeheerder.desdelinux.ventilator:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
search desdelinux.fan naamserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org heeft adres 169.18.10.19

De Dnsmasq werkt als expediteur correct.

Inktvis

In het boek in pdf-formaat «Linux Server-configuratie»Gedateerd 25 juli 2016, door de auteur Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), tekst waarnaar ik in eerdere artikelen heb verwezen, is er een heel hoofdstuk gewijd aan de Squid Basisconfiguratie-opties.

Vanwege het belang van de Web - Proxy-service, reproduceren we de inleiding over de Inktvis in het bovengenoemde boek:

105.1. Invoering.

105.1.1. Wat is een tussenliggende server (proxy)?

De term in het Engels "Proxy" heeft een zeer algemene en tegelijkertijd dubbelzinnige betekenis
wordt steevast beschouwd als een synoniem van het concept van "Tussenpersoon". Het wordt meestal in strikte zin vertaald als afgevaardigde o procureur (degene die macht heeft over een ander).

Un Tussenliggende server Het wordt gedefinieerd als een computer of apparaat dat een netwerkdienst aanbiedt waarbij clients indirecte netwerkverbindingen kunnen maken met andere netwerkdiensten. Tijdens het proces gebeurt het volgende:

  • Client maakt verbinding met een Proxyserver.
  • Client vraagt ​​om een ​​verbinding, bestand of andere bron die beschikbaar is op een andere server.
  • Tussenliggende server levert de bron door verbinding te maken met de opgegeven server
    of serveren vanuit een cache.
  • In sommige gevallen is de Tussenliggende server kan het verzoek van de klant of de
    serverreactie voor verschillende doeleinden.

De Proxyservers ze zijn over het algemeen gemaakt om gelijktijdig te werken als een brandmuur die in de Netwerkniveau, fungeert als een pakketfilter, zoals in het geval van iptables of opererend in de Toepassingsniveau, die verschillende diensten beheert, zoals het geval is bij TCP-wrapper. Afhankelijk van de context wordt de vuurmuur ook wel BPS o Bbestellen Pescherming Device of gewoon pakketfilter.

Een veel voorkomende toepassing van Proxyservers is om te functioneren als een cache van netwerkinhoud (voornamelijk HTTP), door in de nabijheid van de clients een cache van pagina's en bestanden te bieden die beschikbaar zijn via het netwerk op externe HTTP-servers, waardoor clients van het lokale netwerk er sneller en beter toegang toe hebben. betrouwbaar.

Wanneer een verzoek wordt ontvangen voor een opgegeven netwerkbron in een URL (Uuniform Rbron Locator) het Tussenliggende server zoek het resultaat van URL in de cache. Als het wordt gevonden, het Tussenliggende server Reageert op de klant door direct de gevraagde content aan te leveren. Als de gevraagde inhoud ontbreekt in de cache, wordt het Tussenliggende server het haalt het op van een externe server, levert het af aan de klant die het heeft aangevraagd en bewaart een kopie in de cache. De inhoud in de cache wordt vervolgens verwijderd via een verloopalgoritme volgens de leeftijd, grootte en geschiedenis van reacties op verzoeken (hits) (voorbeelden: LRU, LFUDA y GDSF).

Proxyservers voor netwerkinhoud (webproxy's) kunnen ook fungeren als filters van de aangeboden inhoud, door censuurbeleid toe te passen op basis van willekeurige criteria..

De Squid-versie die we gaan installeren is 3.5.20-2.el7_3.2 uit de repository updates.

Installatie

[root @ linuxbox ~] # yum installeer squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  inktvis.conf
cachemgr.conf.default mime.conf              inktvis.conf.standaard
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl zet inktvis aan

Belangrijk

  • Het belangrijkste doel van dit artikel is om lokale gebruikers te autoriseren om verbinding te maken met Squid vanaf andere computers die op het LAN zijn aangesloten. Implementeer daarnaast de kern van een server waaraan andere services worden toegevoegd. Het is geen artikel dat als zodanig aan de inktvis is gewijd.
  • Om een ​​idee te krijgen van de configuratie-opties van Squid, lees je het bestand /usr/share/doc/squid-3.5.20/squid.conf.documented, dat 7915 regels heeft.

SELinux en Squid

[root @ linuxbox ~] # getsebool -a | grep inktvis
squid_connect_any -> op squid_use_tproxy -> uit

[root @ linuxbox ~] # setsebool -P squid_connect_any = aan

configuratie

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports poort 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # niet-geregistreerde poorten acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # We weigeren aanvragen voor niet-beveiligde poorten http_access weiger! Safe_ports # We weigeren de CONNECT-methode voor niet-beveiligde poorten http_access deny CONNECT! SSL_ports # Toegang tot Cachemanager alleen van localhost http_access sta localhost manager toe http_access deny manager # We raden ten zeerste aan om het volgende niet te becommentariëren om onschuldige # webapplicaties die op de proxyserver draaien te beschermen die denken dat de enige # die toegang heeft tot services op "localhost" een lokale is gebruiker http_access deny to_localhost # # VOEG JE EIGEN REGEL (S) HIER IN OM TOEGANG VAN JE KLANTEN TOEGESTAAN # # PAM-autorisatie
auth_param basisprogramma / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5
auth_param basic realm desdelinux.fan
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Para acceder al Squid se requiere autenticación
acl Entusiastas proxy_auth REQUIRED

# Permitimos el acceso a usuarios autenticados
# mediante PAM
http_access deny !Entusiastas

# Acceso a sitios FTP
acl ftp proto FTP
http_access allow ftp

http_access allow localnet
http_access allow localhost

# Negamos cualquier otro acceso al proxy
http_access deny all

# Squid normalmente escucha por el puerto 3128
http_port 3128

# Dejamos los "coredumps" en el primer directorio caché
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_mem 64 MB
# Memoria Caché
memory_replacement_policy lru
cache_replacement_policy heap LFUDA
cache_dir aufs /var/spool/squid 4096 16 256
maximum_object_size 4 MB
cache_swap_low 85
cache_swap_high 90
cache_mgr buzz@desdelinux.fan

# Otros parámetros
visible_hostname linuxbox.desdelinux.ventilator

We controleren de syntaxis van het bestand /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k ontleden
2017/04/16 15:45:10| Startup: Initializing Authentication Schemes ...
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'basic'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'negotiate'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'ntlm'
2017/04/16 15:45:10| Startup: Initialized Authentication.
2017/04/16 15:45:10| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2017/04/16 15:45:10| Processing: acl localnet src 192.168.10.0/24
2017/04/16 15:45:10| Processing: acl SSL_ports port 443 21
2017/04/16 15:45:10| Processing: acl Safe_ports port 80     # http
2017/04/16 15:45:10| Processing: acl Safe_ports port 21     # ftp
2017/04/16 15:45:10| Processing: acl Safe_ports port 443        # https
2017/04/16 15:45:10| Processing: acl Safe_ports port 70     # gopher
2017/04/16 15:45:10| Processing: acl Safe_ports port 210        # wais
2017/04/16 15:45:10| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2017/04/16 15:45:10| Processing: acl Safe_ports port 280        # http-mgmt
2017/04/16 15:45:10| Processing: acl Safe_ports port 488        # gss-http
2017/04/16 15:45:10| Processing: acl Safe_ports port 591        # filemaker
2017/04/16 15:45:10| Processing: acl Safe_ports port 777        # multiling http
2017/04/16 15:45:10| Processing: acl CONNECT method CONNECT
2017/04/16 15:45:10| Processing: http_access deny !Safe_ports
2017/04/16 15:45:10| Processing: http_access deny CONNECT !SSL_ports
2017/04/16 15:45:10| Processing: http_access allow localhost manager
2017/04/16 15:45:10| Processing: http_access deny manager
2017/04/16 15:45:10| Processing: http_access deny to_localhost
2017/04/16 15:45:10| Processing: auth_param basic program /usr/lib64/squid/basic_pam_auth
2017/04/16 15:45:10| Processing: auth_param basic children 5
2017/04/16 15:45:10| Processing: auth_param basic realm desdelinux.fan
2017/04/16 15:45:10| Processing: auth_param basic credentialsttl 2 hours
2017/04/16 15:45:10| Processing: auth_param basic casesensitive off
2017/04/16 15:45:10| Processing: acl Entusiastas proxy_auth REQUIRED
2017/04/16 15:45:10| Processing: http_access deny !Entusiastas
2017/04/16 15:45:10| Processing: acl ftp proto FTP
2017/04/16 15:45:10| Processing: http_access allow ftp
2017/04/16 15:45:10| Processing: http_access allow localnet
2017/04/16 15:45:10| Processing: http_access allow localhost
2017/04/16 15:45:10| Processing: http_access deny all
2017/04/16 15:45:10| Processing: http_port 3128
2017/04/16 15:45:10| Processing: coredump_dir /var/spool/squid
2017/04/16 15:45:10| Processing: refresh_pattern ^ftp:      1440    20% 10080
2017/04/16 15:45:10| Processing: refresh_pattern ^gopher:   1440    0%  1440
2017/04/16 15:45:10| Processing: refresh_pattern -i (/cgi-bin/|\?) 0    0%  0
2017/04/16 15:45:10| Processing: refresh_pattern .      0   20% 4320
2017/04/16 15:45:10| Processing: cache_mem 64 MB
2017/04/16 15:45:10| Processing: memory_replacement_policy lru
2017/04/16 15:45:10| Processing: cache_replacement_policy heap LFUDA
2017/04/16 15:45:10| Processing: cache_dir aufs /var/spool/squid 4096 16 256
2017/04/16 15:45:10| Processing: maximum_object_size 4 MB
2017/04/16 15:45:10| Processing: cache_swap_low 85
2017/04/16 15:45:10| Processing: cache_swap_high 90
2017/04/16 15:45:10| Processing: cache_mgr buzz@desdelinux.fan
2017/04/16 15:45:10| Processing: visible_hostname linuxbox.desdelinux.fan
2017/04/16 15:45:10| Initializing https proxy context

We passen de toestemmingen aan in / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

We maken de cachemap

# Voor het geval ... [root @ linuxbox ~] # service squid stop
Omleiden naar / bin / systemctl stop squid.service

[root @ linuxbox ~] # inktvis -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Stel huidige directory in op / var / spool / squid 2017/04/16 15:48:28 kid1 | Ontbrekende swap-mappen maken 2017/04/16 15:48:28 kid1 | / var / spool / squid bestaat 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Mappen maken in / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Mappen maken in / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Mappen maken in / var / spool / squid / 0NL 2017/04/16 15:48:29 kid1 | Mappen maken in / var / spool / squid / 0F

Als het op dit punt even duurt om de opdrachtprompt terug te sturen - die nooit naar mij is teruggestuurd - drukt u op Enter.

[root @ linuxbox ~] # service squid start
[root @ linuxbox ~] # service squid herstart
[root @ linuxbox ~] # service inktvisstatus
Omleiden naar / bin / systemctl status squid.service ● squid.service - Squid caching proxy Geladen: geladen (/usr/lib/systemd/system/squid.service; uitgeschakeld; leverancier preset: uitgeschakeld) Actief: actief (actief) sinds dom 2017-04-16 15:57:27 EDT; 1s geleden Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = verlaten, status = 0 / SUCCESS) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = verlaten, status = 0 / SUCCES) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = verlaten, status = 0 / SUCCES) Hoofd-PID: 2876 (inktvis) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 april 15:57:27 linuxbox systemd [1]: Starten van Squid caching proxy ... 16 april 15:57:27 linuxbox systemd [1]: Gestart Squid caching proxy. 16 april 15:57:27 linuxbox squid [2876]: Squid Ouder: start 1 kinderen Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed 16 april 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Hint: Sommige regels waren ellipsvormig, gebruik -l om volledig weer te geven

[root @ linuxbox ~] # cat / var / log / berichten | grep inktvis

Firewall-oplossingen

We moeten ook openen in de Zone «extern" De havens 80HTTP y 443HTTPS zodat de inktvis kan communiceren met internet.

[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 80 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = extern --add-port = 443 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes
[root @ linuxbox ~] # firewall-cmd --info-zone extern
extern (actief) doel: standaard icmp-blok-inversie: geen interfaces: ens34 bronnen: services: dns poorten: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocollen: maskerade: ja forward-poorten: sourceports: icmp-blocks: parameter-problem redirect router-advertentie router-solicitation source-quench rich rules:
  • Het is niet inactief om naar de grafische applicatie te gaan «Firewall-instellingen»En controleer of de poorten 443 tcp, 80 tcp, 53 tcp en 53 udp open zijn voor de zone«extern«, En dat we GEEN service voor haar hebben gepubliceerd.

Opmerking over het basic_pam_auth helper programma

Als we de handleiding van dit hulpprogramma raadplegen via man basis_pam_auth We zullen lezen dat de auteur zelf een sterke aanbeveling doet om het programma naar een map te verplaatsen waar normale gebruikers niet voldoende rechten hebben om toegang te krijgen tot de tool.

Aan de andere kant is het bekend dat met dit autorisatieschema de inloggegevens in platte tekst worden verzonden en dat het niet veilig is voor vijandige omgevingen om open netwerken te lezen.

jeff jestrumskas wijd het artikel «How-to: Stel een veilige webproxy in met SSL-codering, Squid Caching Proxy en PAM-authenticatie»Op de kwestie van het verhogen van de beveiliging met dit authenticatieschema, zodat het kan worden gebruikt in potentieel vijandige open netwerken.

We installeren httpd

Om de werking van Squid - en overigens die van Dnsmasq - te controleren, gaan we de dienst installeren httpd -Apache-webserver - wat niet hoeft te worden gedaan. In het bestand met betrekking tot de Dnsmasq / etc / banner_add_hosts We verklaren dat de sites waarvan we willen dat ze worden verbannen, en we wijzen ze expliciet hetzelfde IP-adres toe dat ze hebben linux-box. Dus als we toegang vragen tot een van deze sites, wordt de startpagina van de httpd.

[root @ linuxbox ~] # yum installeer httpd [root @ linuxbox ~] # systemctl activeer httpd
Een symlink gemaakt van /etc/systemd/system/multi-user.target.wants/httpd.service naar /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - De Apache HTTP-server geladen: geladen (/usr/lib/systemd/system/httpd.service; ingeschakeld; vooraf ingestelde leverancier: uitgeschakeld) Actief: actief (actief) sinds zo 2017-04-16 16:41: 35 EDT; 5 seconden geleden Docs: man: httpd (8) man: apachectl (8) Hoofd-PID: 2275 (httpd) Status: "Verzoeken verwerken ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 april 16:41:35 linuxbox systemd [1]: De Apache HTTP-server starten ... 16 april 16:41:35 linuxbox systemd [1]: De Apache HTTP-server gestart.

SELinux en Apache

Apache heeft verschillende beleidsregels om te configureren binnen de SELinux-context.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> op httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> off httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> op httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> op httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick off> uit httpd_runcobshift offlimift_runco_sticky httpd_ssi_exec -> uit httpd_sys_script_anon_write -> uit httpd_tmp_exec -> uit httpd_tty_comm - > uit httpd_unified -> uit httpd_use_cifs -> uit httpd_use_fusefs -> uit httpd_use_gpg -> uit httpd_use_nfs -> uit httpd_use_openstack -> uit httpd_use_sasl -> uit httpd_verify_dns -> uit

We zullen alleen het volgende configureren:

Stuur e-mail via Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Sta Apache toe om de inhoud in de homedirectory's van lokale gebruikers te lezen

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Sta toe om via FTP of FTPS elke directory te beheren die wordt beheerd door
Apache of laat Apache functioneren als een FTP-server die luistert naar verzoeken via de FTP-poort

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Lees voor meer informatie Linux Server-configuratie.

We controleren de authenticatie

Het blijft alleen om een ​​browser op een werkstation te openen en bijvoorbeeld naar http://windowsupdate.com. We zullen controleren of het verzoek correct wordt doorgestuurd naar de Apache-startpagina in linuxbox. In feite is elke sitenaam die in het bestand is opgegeven / etc / banner_add_hosts u wordt doorgestuurd naar dezelfde pagina.

De afbeeldingen aan het einde van het artikel bewijzen het.

Gebruikersbeheer

We doen het met behulp van de grafische tool «User management»Waartoe we toegang hebben via het menu Systeem -> Administratie -> Gebruikersbeheer. Elke keer dat we een nieuwe gebruiker toevoegen, wordt zijn map gemaakt / home / user automatisch.

backups

Linux-clients

Je hebt alleen de normale bestandsbrowser nodig en geeft aan dat je verbinding wilt maken, bijvoorbeeld: ssh: // buzz @ linuxbox / home / buzz en na het invoeren van het wachtwoord, wordt de directory weergegeven home van de gebruiker gezoem.

Windows-clients

In Windows-clients gebruiken we de tool WinSCP. Eenmaal geïnstalleerd, gebruiken we het op de volgende manier:

Simpel toch?

Overzicht

We hebben gezien dat het mogelijk is om PAM te gebruiken om services te authenticeren in een klein netwerk en in een gecontroleerde omgeving die volledig geïsoleerd is van de handen van Hackers. Het is voornamelijk te wijten aan het feit dat de authenticatiegegevens in platte tekst reizen en daarom is het geen authenticatieschema dat gebruikt kan worden in open netwerken zoals luchthavens, Wi-Fi-netwerken, enz. Het is echter een eenvoudig autorisatiemechanisme, gemakkelijk te implementeren en configureren.

Bronnen geraadpleegd

Pdf-versie

Download de pdf-versie hier.

Tot het volgende artikel!


9 reacties, laat de jouwe achter

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   NauTiluS zei

    Er is een geweldige post genezen, meneer Fico. Bedankt voor het delen van uw kennis.

  2.   hagedis zei

    Ik weet hoe moeilijk het is om een ​​artikel samen te stellen met een dergelijk detailniveau, met vrij duidelijke tests en vooral met concepten en strategieën die zijn aangepast aan de normen. Ik neem gewoon mijn hoed af voor dit juweel van bijdragen, heel erg bedankt Fico voor zo'n goede baan.

    Ik heb inktvis nog nooit gecombineerd met pam-authenticatie, maar ik ga zo ver mogelijk om deze oefening in mijn laboratorium te doen ... Doelknuffel en we gaan verder !!

  3.   Federico zei

    NaTiluS: Hartelijk dank voor uw commentaar en evaluatie.
    Hagedis: ook voor jou heel erg bedankt voor je commentaar en evaluatie.

    El tiempo y el esfuerzo dedicados en la confección de artículos como éste, solo se ven recompensados con la lectura y comentarios de los que visitan la comunidad DesdeLinux. Espero les sea útil en su diario trabajo.
    We gaan door!

  4.   anoniem zei

    Ongelooflijke burgerbijdrage !!!! Ik heb al uw artikelen gelezen en ik kan zeggen dat zelfs iemand die geen geavanceerde kennis van Vrije Software heeft (zoals ik) dit voortreffelijke artikel stap voor stap kan volgen. Proost !!!!

  5.   IWO zei

    Bedankt Fico voor dit andere geweldige artikel; Alsof dat nog niet genoeg is met alle berichten die al zijn gepubliceerd, hebben we hierin een service die niet eerder werd gedekt door de PYMES-serie en dat is buitengewoon belangrijk: de "SQUID" of proxy van een LAN. Niets dat voor ons, de familie van degenen die denken dat we "sysadmins" zijn, hier ander goed materiaal hebben om te bestuderen en onze kennis te verdiepen.

  6.   Federico zei

    Bedankt allemaal voor uw opmerkingen. Het volgende artikel gaat over de Prosody-chatserver met authenticatie tegen lokale inloggegevens (PAM) via Cyrus-SASL, en die service zal op dezelfde server worden geïmplementeerd.

  7.   kenpachiRo17 zei

    Landgenoot op tijd !!!! Grote bijdrage, zelfs voor diegenen zoals ik die geen grote kennis hebben over Vrije Software en gepassioneerd zijn over leren met artikelen die zo voortreffelijk zijn als deze. Ik heb uw bijdragen gevolgd en ik zou graag willen weten in welk artikel u mij zou aanbevelen om aan deze reeks MKB-netwerken te beginnen, aangezien ik op een ongeordende manier heb gelezen en ik denk dat er veel waardevolle inhoud in zit om iets te missen detail. Zonder meer, groeten en moge zowel de gedeelde kennis als de software gratis blijven !!

    1.    Federico zei

      Groeten landgenoot !!!. Ik raad je aan bij het begin te beginnen, dat hoewel het misschien een lange weg lijkt, dit de kortste weg is om niet te verdwalen. In de index -die niet is bijgewerkt met de laatste twee artikelen- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, hebben we de aanbevolen leesvolgorde van de serie vastgesteld, die begint met hoe je mijn Werkstation, vervolgt met verschillende berichten die aan het onderwerp zijn gewijd Virtualisatie, volg met verschillende enveloppen BIND, Isc-Dhcp-Server en Dnsmasq, enzovoort, totdat we bij het onderdeel service-implementatie voor het MKB-netwerk komen, waar we ons momenteel bevinden. Ik hoop dat het je helpt.

      1.    kenpachiRo17 zei

        Nou, het zal worden !!!! Ik begin meteen met de serie vanaf het begin en kijk uit naar nieuwe artikelen. Proost !!!!