Autenticação Squid + PAM em CentOS 7 - Redes SMB

Índice geral da série: Redes de computadores para PMEs: introdução

Olá amigos e amigos!

O título do artigo deveria ser: «MATE + NTP + Dnsmasq + Serviço de Gateway + Apache + Squid com Autenticação PAM no Centos 7 - Redes PME«. Por razões práticas, nós o encurtamos.

Continuamos com a autenticação para usuários locais em um computador Linux usando PAM, e desta vez veremos como podemos fornecer o serviço Proxy com Squid para uma pequena rede de computadores, utilizando as credenciais de autenticação armazenadas no mesmo computador onde está o servidor está correndo Lula.

Embora saibamos que é uma prática muito comum hoje em dia, autenticar serviços contra um OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, etc., consideramos que devemos primeiro passar por soluções simples e baratas, para depois enfrentar as mais complexas uns. Acreditamos que devemos ir do simples ao complexo.

Cenário

É uma pequena organização -com poucos recursos financeiros- dedicada a apoiar o uso de Software Livre e que optou pelo nome de DesdeLinux.Fã. Eles são vários entusiastas de sistemas operacionais CentOS agrupados em um único escritório. Eles compraram uma estação de trabalho - não um servidor profissional - que eles vão dedicar para funcionar como um "servidor".

Os entusiastas não têm amplo conhecimento de como implementar um servidor OpenLDAP ou Samba 4 AD-DC, nem podem licenciar um Microsoft Active Directory. Porém, para seu trabalho diário, eles precisam de serviços de acesso à Internet através de um Proxy - para agilizar a navegação - e um espaço onde possam salvar seus documentos mais valiosos e trabalhar como cópias de segurança.

Eles ainda usam principalmente sistemas operacionais da Microsoft adquiridos legalmente, mas querem mudá-los para sistemas operacionais baseados em Linux, começando com seu "Servidor".

Eles também desejam ter seu próprio servidor de e-mail para se tornarem independentes - pelo menos da origem - de serviços como Gmail, Yahoo, HotMail, etc., que é o que eles usam atualmente.

O Firewall e as Regras de Roteamento em frente à Internet irão estabelecê-lo no Roteador ADSL contratado.

Eles não têm um nome de domínio real, pois não precisam publicar nenhum serviço na Internet.

CentOS 7 como um servidor sem GUI

Estamos começando com uma nova instalação de um servidor sem interface gráfica, e a única opção que selecionamos durante o processo é «Servidor de infraestrutura»Como vimos em artigos anteriores da série.

Configurações iniciais

[root @ linuxbox ~] # cat / etc / hostname 
caixa linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # nome do host
caixa linux

[root @ linuxbox ~] # hostname -f
linuxbox.desdelinux.ventilador

[root @ linuxbox ~] # lista de endereços de ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 isso

Desativamos o gerenciador de rede

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl disable NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager carregado: carregado (/usr/lib/systemd/system/NetworkManager.service; desativado; predefinição do fornecedor: ativado) Ativo: inativo (morto) Documentos: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Nós configuramos as interfaces de rede

Interface Ens32 LAN conectada à rede interna

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1 = 127.0.0.1
ZONE = public

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interface Ens34 WAN conectada à Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # O roteador ADSL está conectado a # esta interface com # o seguinte endereço IP GATEWAY=172.16.10.1 DOMÍNIO=desdelinux.fan DNS1 = 127.0.0.1
ZONA = externa

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Configuração de repositórios

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir original
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum clean all
Plugins carregados: mais rápido, langpacks Limpando repositórios: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Limpando tudo Limpando lista de espelhos mais rápidos

[root @ linuxbox yum.repos.d] # atualização yum
Plugins carregados: mais rápido, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Determinando espelhos mais rápidos Nenhum pacote marcado para atualização

A mensagem "Nenhum pacote marcado para atualização»É mostrado porque durante a instalação declaramos os mesmos repositórios locais que temos à nossa disposição.

Centos 7 com o ambiente desktop MATE

Para usar as ferramentas de administração muito boas com uma interface gráfica que o CentOS / Red Hat nos fornece, e porque sempre sentimos falta do GNOME2, decidimos instalar o MATE como ambiente de desktop.

[root @ linuxbox ~] # yum groupinstall "Sistema X Window"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Para verificar se o MATE carrega corretamente, executamos o seguinte comando em um console -local ou remoto-:

[root @ linuxbox ~] # systemctl isolate graphical.target

e o ambiente de trabalho deve ser carregado -na equipe local- suavemente, mostrando o lightdm como um login gráfico. Digitaremos o nome do usuário local e sua senha, e entraremos no MATE.

Para dizer ao sistema que o nível de inicialização padrão é 5 - ambiente gráfico - criamos o seguinte link simbólico:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Reinicializamos o sistema e tudo funciona bem.

Instalamos o Time Service for Networks

[root @ linuxbox ~] # yum install ntp

Durante a instalação configuramos que o relógio local será sincronizado com o servidor de horário do computador administrador de sistema.desdelinux.ventilador com IP 192.168.10.1. Então, salvamos o arquivo ntp.conf original por:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Agora, criamos um novo com o seguinte conteúdo:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servidores configurados durante a instalação: servidor 192.168.10.1 iburst # Para obter mais informações, consulte as páginas de manual de: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Permite a sincronização com a fonte de tempo, mas não # permite que a fonte consulte ou modifique este serviço restrito nomodify notrap nopeer noquery # Permitir todo o acesso à interface Loopback restrito 127.0.0.1 restrito :: 1 # Restrinja um pouco menos aos computadores da rede local. restrição 192.168.10.0 máscara 255.255.255.0 nomodify notrap # Use os servidores públicos pool.ntp.org do projeto # Se você deseja participar do projeto, visite # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # servidor multicast #multicastclient 224.0.1.1 # cliente multicast #manycastserver 239.255.254.254 # servidor manycast #manycastclient #broadcast 239.255.254.254 autokey # manycast client 192.168.10.255. 4 # Habilitar criptografia pública. #crypto includefile / etc / ntp / crypto / pw # Arquivo de chave contendo as chaves e identificadores de chave # usado ao operar com chaves de criptografia de chave simétrica / etc / ntp / keys # Especifique identificadores de chave confiáveis. #trustedkey 8 42 8 # Especifique o identificador de chave a ser usado com o utilitário ntpdc. #requestkey 8 # Especifique o identificador de chave a ser usado com o utilitário ntpq. #controlkey 2013 # Habilita a gravação de registros de estatísticas. #statistics clockstats cryptostats loopstats peerstats # Desabilite o monitor de secessão para evitar a amplificação de # ataques usando o comando ntpdc monlist, quando a # restrição padrão não inclui o sinalizador noquery. Leia CVE-5211-XNUMX # para mais detalhes. # Observação: o monitor não é desabilitado com o sinalizador de restrição limitada. desabilitar monitor

Nós habilitamos, iniciamos e verificamos o serviço NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Serviço de tempo de rede carregado: carregado (/usr/lib/systemd/system/ntpd.service; desativado; predefinição do fornecedor: desativado) Ativo: inativo (morto)

[root @ linuxbox ~] # systemctl enable ntpd
Link simbólico criado de /etc/systemd/system/multi-user.target.wants/ntpd.service para /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Serviço de tempo de rede
   Carregado: carregado (/usr/lib/systemd/system/ntpd.service; ativado; predefinição do fornecedor: desativado) Ativo: ativo (em execução) desde Sex. 2017-04 14:15:51 EDT; 08s atrás Processo: 1 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 1307 / SUCCESS) PID principal: 0 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp e o Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externo
  interfaces: ens34
público
  interfaces: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --reload
sucesso

Nós habilitamos e configuramos o Dnsmasq

Como vimos no artigo anterior da série Small Business Networks, o Dnsamasq é instalado por padrão em um CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - servidor de cache DNS. Carregado: carregado (/usr/lib/systemd/system/dnsmasq.service; desativado; predefinição do fornecedor: desativado) Ativo: inativo (morto)

[root @ linuxbox ~] # systemctl enable dnsmasq
Link simbólico criado de /etc/systemd/system/multi-user.target.wants/dnsmasq.service para /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - servidor de cache DNS. Carregado: carregado (/usr/lib/systemd/system/dnsmasq.service; habilitado; predefinição do fornecedor: desabilitado) Ativo: ativo (em execução) desde Sex. 2017-04 14:16:21 EDT; 18s atrás PID principal: 4 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPÇÕES GERAIS # ----------------------------- -------------------------------------- domain-needed # Não passe nomes sem o domínio part bogus-priv # Não passa endereços em espaço não roteado expand-hosts # Adiciona automaticamente o domínio ao host interface=ens32 # Interface LAN strict-order # Ordem na qual o arquivo /etc/resolv.conf é consultado conf- dir=/etc /dnsmasq.d domínio=desdelinux.fan # Nome de domínio address=/time.windows.com/192.168.10.5 # Envia uma opção vazia do valor WPAD. Necessário para que # clientes Windows 7 e posteriores se comportem corretamente. ;-) dhcp-option=252,"\n" # Arquivo onde iremos declarar os HOSTS que serão "banidos" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fã/ # ---------------------------------------------- --------------------- #RECORDSCNAMEMXTXT# -------------------------- ----------------------------------------- # Este tipo de registro requer uma entrada # no arquivo /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Retorna um registro MX com o nome "desdelinux.fan" destinado # à equipe de correio.desdelinux.fan e prioridade de 10 mx-host=desdelinux.carta de fã.desdelinux.fan,10 # O destino padrão para registros MX criados # usando a opção localmx será: mx-target=mail.desdelinux.fan # Retorna um registro MX apontando para mx-target para TODAS # máquinas locais localmx # registros TXT. Também podemos declarar um registro SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fã,"DesdeLinux, seu Blog dedicado ao Software Livre" # ---------------------------------------- -------------------------- #RANGEANDISOPTIONS# --------------------- ----- ------------------------------------------- # IPv4 intervalo e tempo de aluguel # 1 a 29 são para servidores e outras necessidades dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Número máximo de endereços para alugar # por padrão eles são 150 # Faixa IPV6 # dhcp-range=1234::, ra-only # Opções para RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # Servidores DNS dhcp-option =15,desdelinux.fan # Nome de domínio DNS dhcp-option = 19,1 # opção ip-forwarding ON dhcp-option = 28,192.168.10.255 # BROADCAST dhcp-option = 42,192.168.10.5 # NTP dhcp-authoritative # DHCP autoritativo na sub-rede # --- --- ---------------------------------------------------------- --- ----------- # Se você deseja armazenar o log da consulta em /var/log/messages # remova o comentário da linha abaixo # ---------- ------- ------------------------------------------- -------
# consultas de log
# END of file /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Nós criamos o arquivo / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Endereços IP fixos

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 administrador de sistema.desdelinux.fan administrador de sistema

Configuramos o arquivo /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
search desdelinux.fan nameserver 127.0.0.1 # Para consultas DNS externas ou # sem domínio desdelinux.fã#local=/desdelinux.fan/servidor de nomes 8.8.8.8

Nós verificamos a sintaxe do arquivo dnsmasq.conf, iniciamos e verificamos o status do serviço

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: verificação de sintaxe OK.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq e o Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
externo
  interfaces: ens34
público
  interfaces: ens32

serviço domínio o Servidor de Nomes de Domínio (dns). Protocolo pancada forte «IP com criptografia«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
sucesso

Consultas Dnsmasq para servidores DNS externos

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
sucesso

serviço inicialização o Servidor BOOTP (DHCP). Protocolo ippc «Núcleo de Pacotes Pluribus da Internet«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
sucesso

[root @ linuxbox ~] # firewall-cmd --reload
sucesso

[root @ linuxbox ~] # firewall-cmd --info-zone public public (ativo)
  alvo: padrão icmp-block-inversion: sem interfaces: ens32 sources: services: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / protocolos tcp: masquerade: sem forward-ports: sourceports: icmp -blocos: regras avançadas:

[root @ linuxbox ~] # firewall-cmd --info-zone externo externo (ativo)
  alvo: padrão icmp-block-inversion: sem interfaces: ens34 fontes: serviços: dns portas: 53 / udp 53 / protocolos tcp: masquerade: sim forward-ports: sourceports: icmp-blocks: parâmetro-problema redirecionar roteador-anúncio roteador- regras ricas de extinção de fonte de solicitação:

Se quisermos utilizar uma interface gráfica para configurar o Firewall no CentOS 7, olhamos no menu geral - vai depender do ambiente de trabalho em que submenu aparece - a aplicação «Firewall», executamo-lo e após entrarmos no usuário senha raiz, acessaremos a interface do programa como tal. No MATE aparece no menu «Sistema »->" Administração "->" Firewall ".

Selecionamos a área «público»E autorizamos os Serviços que queremos que sejam publicados na LAN, que até agora são dhcp, DNS, ntp e ssh. Depois de selecionar os serviços, verificando se tudo está funcionando corretamente, devemos fazer as alterações de Runtime para Permanente. Para fazer isso, vamos ao menu Opções e selecionamos a opção «Tempo de execução para permanente".

Mais tarde, selecionamos a Área «externo»E verificamos se as portas necessárias para se comunicar com a Internet estão abertas. NÃO publique serviços nesta zona a menos que saibamos muito bem o que estamos fazendo!.

Não nos esqueçamos de fazer as alterações permanentes através da opção «Tempo de execução para permanente»E recarregar o demônio FirewallD, sempre que usamos esta poderosa ferramenta gráfica.

NTP e Dnsmasq de um cliente Windows 7

Sincronização com NTP

externo

Endereço IP alugado

Microsoft Windows [Versão 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados. C: \ Usuários \ buzz> ipconfig / all Nome do host de configuração de IP do Windows. . . . . . . . . . . . : SETE
   Sufixo DNS primário. . . . . . . :
   NodeType. . . . . . . . . . . . : Roteamento IP Híbrido Habilitado. . . . . . . . : Nenhum proxy WINS ativado. . . . . . . . : Nenhuma lista de pesquisa de sufixos DNS. . . . . . : desdelinux.fan Adaptador Ethernet Conexão de área local: Sufixo DNS específico da conexão. : desdelinux.fan Descrição . . . . . . . . . . . : Endereço físico da conexão de rede Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP ativado. . . . . . . . . . . : Sim Autoconfiguração habilitada. . . . : Garfos
   Endereço IPv4. . . . . . . . . . . : 192.168.10.115 (preferido)
   Máscara de sub-rede. . . . . . . . . . . : 255.255.255.0 Locação obtida. . . . . . . . . . : sexta-feira, 14 de abril de 2017, 5h12:53 O aluguel expira . . . . . . . . . . : Sábado, 15 de abril de 2017 1:12:53 Gateway padrão . . . . . . . . . : 192.168.10.1 Servidor DHCP. . . . . . . . . . . : Servidores DNS 192.168.10.5. . . . . . . . . . . : 192.168.10.5 NetBIOS sobre Tcpip. . . . . . . . : Adaptador de túnel ativado Conexão de área local* 9: Estado da mídia . . . . . . . . . . . : Mídia desconectada Sufixo DNS específico da conexão. : Descrição . . . . . . . . . . . : Endereço físico do adaptador de encapsulamento Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ativado. . . . . . . . . . . : Nenhuma configuração automática habilitada. . . . : Sim Adaptador de túnel isatap.desdelinux.fan: Estado da mídia. . . . . . . . . . . : Mídia desconectada Sufixo DNS específico da conexão. : desdelinux.fan Descrição . . . . . . . . . . . : Endereço físico do adaptador Microsoft ISATAP nº 2. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP ativado. . . . . . . . . . . : Nenhuma configuração automática habilitada. . . . : Sim C:\Usuários\buzz>

Dica

Um valor importante em clientes Windows é o "Sufixo DNS primário" ou "Sufixo de conexão principal". Quando um Microsoft Domain Controller não é usado, o sistema operacional não atribui nenhum valor a ele. Se estivermos perante um caso como o descrito no início do artigo e queremos declarar explicitamente esse valor, devemos proceder conforme a imagem seguinte, aceitar as alterações e reiniciar o cliente.

Se corrermos de novo CMD -> ipconfig / all obteremos o seguinte:

Microsoft Windows [Versão 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados. C: \ Usuários \ buzz> ipconfig / all Nome do host de configuração de IP do Windows. . . . . . . . . . . . : SETE
   Sufixo DNS primário. . . . . . . : desdelinux.ventilador
   NodeType. . . . . . . . . . . . : Roteamento IP Híbrido Habilitado. . . . . . . . : Nenhum proxy WINS ativado. . . . . . . . : Nenhuma lista de pesquisa de sufixos DNS. . . . . . : desdelinux.ventilador

O resto dos valores permanecem inalterados

Verificações de DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com tem endereço 127.0.0.1 Host spynet.microsoft.com não encontrado: 5(REFUSED) spynet.microsoft.com o email é tratado por 1 email.desdelinux.fã.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan tem endereço 192.168.10.5 linuxbox.desdelinuxO correio .fan é tratado por 1 correios.desdelinux.fã.

buzz @ sysadmin: ~ $ host sysadmin
administrador de sistema.desdelinux.fan tem endereço 192.168.10.1 sysadmin.desdelinuxO correio .fan é tratado por 1 correios.desdelinux.fã.

buzz @ sysadmin: ~ $ host mail
correio.desdelinux.fan é um apelido para Linuxbox.desdelinux.fã. linuxbox.desdelinux.fan tem endereço 192.168.10.5 linuxbox.desdelinuxO correio .fan é tratado por 1 correios.desdelinux.fã.

Nós instalamos -apenas para teste- um servidor DNS autorizado NSD em administrador de sistema.desdelinux.ventilador, e incluímos o endereço IP 172.16.10.1 no arquivo / Etc / resolv.conf da equipe linuxbox.desdelinux.ventilador, para verificar se o Dnsmasq estava executando sua função de encaminhador corretamente. Sandboxes no servidor NSD são favt.org y toujague.org. Todos os IPs são fictícios ou de redes privadas.

Se desativarmos a interface WAN ens34 usando o comando ifdown ens34, O Dnsmasq não poderá consultar os servidores DNS externos.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org não encontrado: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Host pizzapie.favt.org não encontrado: 3 (NXDOMAIN)

Vamos habilitar a interface ens34 e verificar novamente:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org é um pseudônimo de paisano.favt.org. paisano.favt.org tem o endereço 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Host pizzas.toujague.org não encontrado: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org tem o endereço 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
servidor de nomes favt.org ns1.favt.org. servidor de nomes favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
servidor de nomes toujague.org ns1.toujague.org. servidor de nomes toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
O correio de toujague.org é tratado por 10 mail.toujague.org.

Vamos consultar de administrador de sistema.desdelinux.ventilador:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
search desdelinuxServidor de nomes .fan 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org tem o endereço 169.18.10.19

O Dnsmasq está funcionando como Encaminhadores corretamente

Lula

No livro em formato PDF «Configuração de servidores Linux»Datado de 25 de julho de 2016, pelo Autor Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), texto a que me referi em artigos anteriores, existe um capítulo inteiro dedicado ao Opções de configuração básica do Squid.

Devido à importância do serviço Web - Proxy, reproduzimos a Introdução sobre o Squid no livro citado:

105.1. Introdução.

105.1.1. O que é um Servidor Intermediário (Proxy)?

O termo em inglês "Proxy" tem um significado muito geral e ao mesmo tempo ambíguo, embora
é invariavelmente considerado um sinônimo do conceito de "Intermediário". Geralmente é traduzido, em sentido estrito, como delegar o empoderado (aquele que tem poder sobre o outro).

Un Servidor Intermediário É definido como um computador ou dispositivo que oferece um serviço de rede que consiste em permitir que clientes façam conexões indiretas de rede a outros serviços de rede. Durante o processo ocorre o seguinte:

• O cliente se conecta a um Servidor proxy.
• O cliente solicita uma conexão, arquivo ou outro recurso disponível em um servidor diferente.
• O Servidor Intermediário fornece o recurso conectando-se ao servidor especificado
  ou disponibilizando-o de um cache.
• Em alguns casos, o Servidor Intermediário pode alterar o pedido do cliente ou o
  resposta do servidor para vários fins.

Os Servidores proxy eles geralmente são feitos para funcionar simultaneamente como uma parede de fogo operando no Nível de rede, atuando como um filtro de pacotes, como no caso de iptables ou operando no Nível de Aplicação, controlando diversos serviços, como é o caso de Wrapper TCP. Dependendo do contexto, a parede de fogo também é conhecida como BPD o Bordem Protação Device ou apenas filtro de pacote.

Uma aplicação comum de Servidores proxy é funcionar como um cache de conteúdo da rede (principalmente HTTP), proporcionando na proximidade dos clientes um cache de páginas e arquivos disponíveis através da Rede em servidores HTTP remotos, permitindo aos clientes da rede local acessá-los de forma mais rápida e mais confiável.

Quando uma solicitação é recebida para um recurso de rede especificado em um URL (Uniforme Rfonte Locator) o Servidor Intermediário procure o resultado de URL dentro do cache. Se for encontrado, o Servidor Intermediário Responde ao cliente fornecendo imediatamente o conteúdo solicitado. Se o conteúdo solicitado estiver ausente no cache, o Servidor Intermediário ele irá buscá-lo em um servidor remoto, entregando-o ao cliente que o solicitou e mantendo uma cópia no cache. O conteúdo do cache é removido através de um algoritmo de expiração de acordo com a idade, tamanho e histórico de respostas a pedidos (hits) (exemplos: LRU, LFUDA y GDSF).

Os servidores proxy para conteúdo da rede (Web Proxies) também podem atuar como filtros do conteúdo veiculado, aplicando políticas de censura de acordo com critérios arbitrários..

A versão do Squid que iremos instalar é 3.5.20-2.el7_3.2 do repositório novidades.

instalação

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  lula.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl enable squid

importante

• O objetivo principal deste artigo é autorizar usuários locais a se conectarem ao Squid de outros computadores conectados à LAN. Além disso, implemente o núcleo de um servidor ao qual outros serviços serão adicionados. Não é um artigo dedicado ao Squid como tal.
• Para ter uma ideia das opções de configuração do Squid, leia o arquivo /usr/share/doc/squid-3.5.20/squid.conf.documented, que possui 7915 linhas.

SELinux e Squid

[root @ linuxbox ~] # getsebool -a | grep squid
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

configuração

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports porta 443 21
acl Safe_ports porta 80 # http acl Safe_ports porta 21 # ftp acl Safe_ports porta 443 # https acl Safe_ports porta 70 # gopher acl Safe_ports porta 210 # wais acl Safe_ports porta 1025-65535 # portas não registradas acl Safe_ports porta 280 # http-mgmt acl Safe_ports porta 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT método CONNECT # Nós negamos consultas para portas não seguras http_access deny! Safe_ports # Nós negamos o método CONNECT para portas não seguras http_access deny CONNECT! SSL_ports # Acesso a CONNECT! Gerenciador de cache apenas do localhost http_access permitir gerenciador localhost http_access negar gerenciador # Recomendamos fortemente que o seguinte não seja comentado para proteger # aplicativos da web em execução no servidor proxy que pensam que o único # que pode acessar serviços em "localhost" é um local usuário http_access deny to_localhost # # INSERT SUA (S) PRÓPRIA (S) REGRAS AQUI PARA PERMITIR O ACESSO DE SEUS CLIENTES # # Autorização PAM
programa básico auth_param / usr / lib64 / squid / basic_pam_auth
auth_param filhos básicos 5 auth_param domínio básico desdelinux.fan auth_param credenciais básicasttl 2 horas auth_param basic casesensitive desativado # O acesso ao Squid requer autenticação acl Entusiastas proxy_auth NECESSÁRIO # Permitimos acesso a usuários autenticados # através do PAM http_access negar !Entusiastas # Acesso a sites FTP acl ftp proto FTP http_access permitir ftp http_access permitir localnet http_access permitir localhost # Negamos qualquer outro acesso ao proxy http_access negar tudo # O Squid normalmente escuta na porta 3128 http_port 3128 # Deixamos os "coredumps" no primeiro diretório de cache coredump_dir /var/spool/squid # # Adicione qualquer um de seus próprios refresh_pattern entradas acima destas. # atualização_pattern ^ftp: 1440 20% 10080 atualização_pattern ^gopher: 1440 0% 1440 atualização_pattern -i (/cgi-bin/|\?) 0 0% 0 atualização_pattern . 0 20% 4320 cache_mem 64 MB # Memória Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 Maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # Outros parâmetros visível_hostname linuxbox.desdelinux.ventilador

Nós verificamos a sintaxe do arquivo /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15:45:10| Inicialização: inicializando esquemas de autenticação... 2017/04/16 15:45:10| Inicialização: Esquema de autenticação inicializado 'básico' 2017/04/16 15:45:10 | Inicialização: 'resumo' do esquema de autenticação inicializado 2017/04/16 15:45:10 | Inicialização: Esquema de autenticação inicializado 'negociar' 2017/04/16 15:45:10 | Inicialização: Esquema de autenticação inicializado 'ntlm' 2017/04/16 15:45:10 | Inicialização: autenticação inicializada. 2017/04/16 15:45:10| Arquivo de configuração de processamento: /etc/squid/squid.conf (profundidade 0) 2017/04/16 15:45:10| Processamento: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Processamento: acl SSL_ports porta 443 21 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 80 # http 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 21 # ftp 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 443 # https 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 70 # gopher 2017/04/16 15:45:10 | Processando: acl Safe_ports porta 210 # wais 2017/04/16 15:45:10 | Processamento: acl Safe_ports porta 1025-65535 # portas não registradas 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 280 # http-mgmt 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 488 # gss-http 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 591 # filemaker 2017/04/16 15:45:10| Processamento: acl Safe_ports porta 777 # multiling http 2017/04/16 15:45:10| Processamento: método acl CONNECT CONNECT 2017/04/16 15:45:10| Processamento: http_access negado !Safe_ports 2017/04/16 15:45:10| Processamento: http_access negar CONNECT !SSL_ports 2017/04/16 15:45:10| Processamento: http_access permite gerenciador localhost 2017/04/16 15:45:10 | Processamento: http_access deny manager 2017/04/16 15:45:10| Processamento: http_access negado para_localhost 2017/04/16 15:45:10| Processamento: programa básico auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Processamento: auth_param filhos básicos 5 2017/04/16 15:45:10| Processamento: domínio básico auth_param desdelinux.fã 2017/04/16 15:45:10| Processamento: auth_param credenciais básicasttl 2 horas 2017/04/16 15:45:10 | Processamento: auth_param básico com distinção entre maiúsculas e minúsculas desativado 2017/04/16 15:45:10 | Processamento: acl Entusiastas proxy_auth OBRIGATÓRIO 2017/04/16 15:45:10| Processamento: http_access negar !Entusiastas 2017/04/16 15:45:10| Processamento: acl ftp proto FTP 2017/04/16 15:45:10| Processamento: http_access permite ftp 2017/04/16 15:45:10| Processamento: http_access permite localnet 2017/04/16 15:45:10 | Processamento: http_access permite localhost 2017/04/16 15:45:10 | Processamento: http_access negar tudo 2017/04/16 15:45:10| Processamento: http_port 3128 2017/04/16 15:45:10| Processamento: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Processamento: atualização_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Processamento: atualização_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Processamento: atualização_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Processamento: atualização_pattern . 0 20% 4320 2017/04/16 15:45:10| Processamento: cache_mem 64 MB 2017/04/16 15:45:10 | Processando: memory_replacement_policy lru 2017/04/16 15:45:10 | Processamento: heap cache_replacement_policy LFUDA 2017/04/16 15:45:10 | Processamento: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Processamento: tamanho_máximo_objeto 4 MB 2017/04/16 15:45:10 | Processamento: cache_swap_low 85 2017/04/16 15:45:10 | Processamento: cache_swap_high 90 2017/04/16 15:45:10 | Processando: cache_mgr buzz@desdelinux.fã 2017/04/16 15:45:10| Processando: visível_hostname linuxbox.desdelinux.fã 2017/04/16 15:45:10| Inicializando o contexto do proxy https

Ajustamos as permissões em / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Nós criamos o diretório de cache

# Apenas no caso ... [root @ linuxbox ~] # serviço squid stop
Redirecionando para / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Defina o diretório atual como / var / spool / squid 2017/04/16 15:48:28 kid1 | Criando diretórios de troca ausentes 2017/04/16 15:48:28 kid1 | / var / spool / squid existe 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Criando diretórios em / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Criando diretórios em / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Criando diretórios em / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Criação de diretórios em / var / spool / squid / 0F

Neste ponto, se demorar um pouco para retornar ao prompt de comando - que nunca foi retornado para mim - pressione Enter.

[root @ linuxbox ~] # serviço squid start
[root @ linuxbox ~] # serviço squid restart
[root @ linuxbox ~] # status do serviço squid
Redirecionando para / bin / systemctl status squid.service ● squid.service - proxy de cache do Squid Carregado: carregado (/usr/lib/systemd/system/squid.service; desativado; predefinição do fornecedor: desativado) Ativo: ativo (em execução) desde dom 2017-04-16 15:57:27 EDT; 1s atrás Processo: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (código = saído, status = 0 / SUCCESS) Processo: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (código = saiu, status = 0 / SUCCESS) Processo: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (código = saiu, status = 0 / SUCCESS) PID principal: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 de abril 15:57:27 linuxbox systemd [1]: Iniciando o proxy de cache do Squid ... 16 de abril 15:57:27 linuxbox systemd [1]: Proxy de cache Squid iniciado. 16 de abril 15:57:27 linuxbox squid [2876]: Squid Pai: iniciará 1 criança 16 de abril 15:57:27 linuxbox squid [2876]: Squid Pai: (squid-1) processo 2878 ... ed abril 16 15 : 57: 27 linuxbox squid [2876]: Squid Pai: (squid-1) processo 2878 ... 1 Dica: Algumas linhas foram reticuladas, use -l para mostrar por completo

[root @ linuxbox ~] # cat / var / log / messages | grep squid

Correções de firewall

Devemos também abrir na Zona «externo"as portas 80HTTP y 443HTTPS para que o Squid possa se comunicar com a Internet.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
sucesso
[root @ linuxbox ~] # firewall-cmd --reload
sucesso
[root @ linuxbox ~] # firewall-cmd --info-zone external
alvo externo (ativo): inversão de bloco icmp padrão: sem interfaces: ens34 fontes: serviços: portas dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocolos: mascarar: sim portas de encaminhamento: portas de origem: blocos de icmp: problema de parâmetro redirecionar anúncio de roteador solicitação de roteador regras ricas de extinção de fonte:

• Não é ocioso ir para a aplicação gráfica «Configurações de firewall»E verifique se as portas 443 tcp, 80 tcp, 53 tcp e 53 udp estão abertas para a zona«externo«, E que NÃO publicamos nenhum serviço para ela.

Nota sobre o programa auxiliar basic_pam_auth

Se consultarmos o manual deste utilitário através homem basic_pam_auth Leremos que o próprio autor faz uma forte recomendação de que o programa seja movido para um diretório onde usuários normais não tenham permissões suficientes para acessar a ferramenta.

Por outro lado, sabe-se que com este esquema de autorização, as credenciais viajam em texto simples e não é seguro para ambientes hostis, leia-se redes abertas.

jeff yestrumskas dedique o artigo «Como fazer: configurar um proxy da web seguro usando criptografia SSL, Squid Caching Proxy e autenticação PAM»Para a questão de aumentar a segurança com este esquema de autenticação para que possa ser usado em redes abertas potencialmente hostis.

Nós instalamos httpd

Como forma de verificar o funcionamento do Squid -e aliás do Dnsmasq- instalaremos o serviço httpd -Servidor da web Apache- que não é obrigatório. No arquivo relativo ao Dnsmasq / etc / banner_add_hosts Declaramos os sites que queremos que sejam banidos e atribuímos explicitamente a eles o mesmo endereço IP que eles possuem caixa linux. Assim, se solicitarmos acesso a qualquer um desses sites, a página inicial do httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl enable httpd
Link simbólico criado de /etc/systemd/system/multi-user.target.wants/httpd.service para /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - O servidor Apache HTTP carregado: carregado (/usr/lib/systemd/system/httpd.service; ativado; predefinição do fornecedor: desativado) Ativo: ativo (em execução) desde 2017-04-16 16:41: 35 EDT; 5s atrás Docs: man: httpd (8) man: apachectl (8) PID principal: 2275 (httpd) Status: "Processando solicitações ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 de abril 16:41:35 linuxbox systemd [1]: Iniciando o servidor HTTP Apache ... 16 de abril 16:41:35 linuxbox systemd [1]: iniciado o servidor HTTP Apache.

SELinux e Apache

O Apache tem várias políticas para configurar dentro do contexto SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> em httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect rede off_zabbix_> off httpd_can_connect_zabbix_workb_workb_workb_connect_workd_workbconnect_zabbconnect off_workbwork_ httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem off httpd_graceful_shutdown -> em httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobshift offlimerfift_runco_stick> desligado httpd_runco ​​offlimift offlimift_runco_stick> desligado httpd_ssi_exec -> desligado httpd_sys_script_anon_write -> desligado httpd_tmp_exec -> desligado httpd_tty_comm - > desligado httpd_unified -> desligado httpd_use_cifs -> desligado httpd_use_fusefs -> desligado httpd_use_gpg -> desligado httpd_use_nfs -> desligado httpd_use_openstack -> desligado httpd_use_sasl -> desligado httpd_verify_dns -> desligado

Vamos apenas configurar o seguinte:

Envie e-mail através do Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Permitir que o Apache leia o conteúdo localizado nos diretórios pessoais dos usuários locais

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permite administrar via FTP ou FTPS qualquer diretório gerenciado por
Apache ou permitir que o Apache funcione como um servidor FTP ouvindo solicitações através da porta FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Para mais informações, leia Configuração de servidores Linux.

Nós verificamos a autenticação

Resta apenas abrir um navegador em uma estação de trabalho e apontar, por exemplo, para http://windowsupdate.com. Verificaremos se a solicitação foi redirecionada corretamente para a página inicial do Apache no linuxbox. Na verdade, qualquer nome de site declarado no arquivo / etc / banner_add_hosts você será redirecionado para a mesma página.

As imagens no final do artigo comprovam isso.

Gestão de Usuários

Fazemo-lo com a ferramenta gráfica «Gestão de Usuários»Acessado através do menu Sistema -> Administração -> Gerenciamento de usuários. Cada vez que adicionamos um novo usuário, sua pasta é criada / home / user automaticamente

backups

clientes Linux

Você só precisa do navegador de arquivos normal e indicar que deseja se conectar, por exemplo: ssh: // buzz @ linuxbox / home / buzz e após inserir a senha, o diretório será exibido Início do usuário zumbido.

clientes Windows

Em clientes Windows, usamos a ferramenta WinSCP. Depois de instalado, o usamos da seguinte maneira:

Simples, certo?

Resumo

Vimos que é possível usar o PAM para autenticar serviços em uma pequena rede e em um ambiente controlado totalmente isolado das mãos de hackers. É principalmente devido ao fato de que as credenciais de autenticação viajam em texto simples e, portanto, não é um esquema de autenticação para ser usado em redes abertas, como aeroportos, redes Wi-Fi, etc. No entanto, é um mecanismo de autorização simples, fácil de implementar e configurar.

Fontes consultadas

• Configuração de servidores Linux
• Manuais de comando - páginas man

Versão em PDF

Baixe a versão em PDF clique aqui.

Até o próximo artigo!