Autentificare Squid + PAM în rețele CentOS 7- SMB

Indice general al seriei: Rețele de calculatoare pentru IMM-uri: Introducere

Bună ziua prieteni și prieteni!

Titlul articolului ar fi trebuit să fie: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid cu autentificare PAM în Centos 7 - Rețele IMM-uri«. Din motive practice, îl scurtăm.

Continuăm cu autentificarea către utilizatorii locali de pe un computer Linux folosind PAM și de data aceasta vom vedea cum putem furniza serviciul Proxy cu Squid pentru o mică rețea de computere, utilizând acreditările de autentificare stocate pe același computer în care serverul rulează Calamar.

Deși știm că este o practică foarte obișnuită în zilele noastre, autentificarea serviciilor împotriva unui OpenLDAP, Red Hat’s Directory Server 389, Microsoft Active Directory etc., considerăm că trebuie mai întâi să trecem prin soluții simple și ieftine, iar apoi să ne confruntăm cu cele mai complexe. Credem că trebuie să trecem de la simplu la complex.

Index

Etapă

Este o organizație mică - cu foarte puține resurse financiare - dedicată sprijinirii utilizării software-ului liber și care a optat pentru numele de De la Linux.Fan. Sunt diferiți entuziaști ai sistemului de operare CentOS grupate într-un singur birou. Au cumpărat o stație de lucru - nu un server profesional - pe care o vor dedica să funcționeze ca un „server”.

Entuziaștii nu au cunoștințe extinse despre cum să implementeze un server OpenLDAP sau un Samba 4 AD-DC și nici nu își pot permite să licențieze un Microsoft Active Directory. Cu toate acestea, au nevoie de servicii de acces la Internet prin intermediul unui proxy pentru munca lor zilnică - pentru a accelera navigarea - și de un spațiu pentru a salva cele mai valoroase documente și a lucra ca copii de rezervă.

Încă mai folosesc sistemele de operare Microsoft achiziționate legal, dar vor să le schimbe în sisteme de operare bazate pe Linux, începând cu „Serverul” lor.

De asemenea, aspiră să aibă propriul server de poștă pentru a deveni independent - cel puțin de la origine - de servicii precum Gmail, Yahoo, HotMail etc., ceea ce utilizează în prezent.

Firewall-ul și regulile de rutare din fața internetului îl vor stabili în routerul ADSL contractat.

Nu au un nume de domeniu real, deoarece nu necesită publicarea niciunui serviciu pe Internet.

CentOS 7 ca server fără GUI

Începem de la o nouă instalare a unui server fără o interfață grafică, iar singura opțiune pe care o selectăm în timpul procesului este «Server de infrastructură»După cum am văzut în articolele anterioare din serie.

Setări inițiale

[root @ linuxbox ~] # cat / etc / hostname 
linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # nume de gazdă
linuxbox

[root @ linuxbox ~] # hostname -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # listă addr ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 lo

Dezactivăm Managerul de rețea

[root @ linuxbox ~] # systemctl oprește NetworkManager

[root @ linuxbox ~] # systemctl dezactivează NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager Încărcat: încărcat (/usr/lib/systemd/system/NetworkManager.service; dezactivat; presetare furnizor: activat) Activ: inactiv (mort) Documente: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Configurăm interfețele de rețea

Interfață LAN Ens32 conectată la rețeaua internă

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = public

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interfață WAN Ens34 conectată la Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nu IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Router-ul ADSL este conectat la # această interfață cu # următoarea adresă IP GATEWAY = 172.16.10.1 DOMENIU = desdelinux.fan DNS1 = 127.0.0.1
ZONA = extern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Configurarea depozitelor

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir original
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum curăță totul
Plugin-uri încărcate: fastestmirror, langpacks Curățarea depozitelor: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Actualizări-Repo Curățarea tuturor Curățarea listei de oglinzi rapide
[root @ linuxbox yum.repos.d] # yum update
Plugin-uri încărcate: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Determinarea celor mai rapide oglinzi Nu există pachete marcate pentru actualizare

Mesajul "Nu există pachete marcate pentru actualizare»Se arată pentru că în timpul instalării am declarat aceleași depozite locale pe care le avem la dispoziție.

Centos 7 cu mediul desktop MATE

Pentru a utiliza instrumentele de administrare foarte bune cu o interfață grafică pe care CentOS / Red Hat ne oferă și pentru că ne lipsește întotdeauna GNOME2, am decis să instalăm MATE ca mediu de desktop.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Pentru a verifica dacă MATE se încarcă corect, executăm următoarea comandă într-o consolă -locală sau la distanță-:

[root @ linuxbox ~] # systemctl isolate graphical.target

iar mediul desktop ar trebui să fie încărcat -în echipa locală- fără probleme, arătând lightdm ca login grafic. Tastăm numele utilizatorului local și parola acestuia și vom introduce MATE.

Pentru a spune systemd că nivelul de pornire implicit este 5 -mediul grafic- creăm următorul link simbolic:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Repornim sistemul și totul funcționează bine.

Instalăm serviciul de timp pentru rețele

[root @ linuxbox ~] # yum install ntp

În timpul instalării configurăm că ceasul local va fi sincronizat cu serverul de timp al computerului sysadmin.fromlinux.fan cu IP 192.168.10.1. Deci, salvăm fișierul ntp.conf original de:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Acum, creăm unul nou cu următorul conținut:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servere configurate în timpul instalării: server 192.168.10.1 iburst # Pentru mai multe informații, consultați paginile man de: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Permiteți sincronizarea cu sursa de timp, dar nu # permiteți sursei să consulte sau să modifice acest serviciu restricționează implicit nomodifică notrap nopeer noquery # Permiteți accesul la interfață Restricționare restrângere 127.0.0.1 restricționare :: 1 # Limitați puțin mai puțin la computerele din rețeaua locală. restricționați masca 192.168.10.0 255.255.255.0 nomodify notrap # Utilizați serverele publice ale proiectului pool.ntp.org # Dacă doriți să vă alăturați proiectului vizitați # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # server multicast #multicastclient 224.0.1.1 # client multicast #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast 192.168.10.255 # Activați criptografia publică. #crypto includefile / etc / ntp / crypto / pw # Fișier cheie care conține cheile și identificatorii de chei # utilizat atunci când funcționează cu chei de criptografie cu cheie simetrică / etc / ntp / keys # Specificați identificatorii de cheie de încredere. #trustedkey 4 8 42 # Specificați identificatorul cheii de utilizat cu utilitarul ntpdc. #requestkey 8 # Specificați identificatorul cheii de utilizat cu utilitarul ntpq. #controlkey 8 # Activează scrierea registrelor de statistici. #statistics clockstats cryptostats loopstats peerstats # Dezactivează monitorul de secesiune pentru a preveni amplificarea # atacurilor folosind comanda ntpdc monlist, când constrângerea implicită # nu include semnalizatorul noquery. Citiți CVE-2013-5211 # pentru mai multe detalii. # Notă: Monitorul nu este dezactivat cu semnalizatorul de restricție limitată. dezactivați monitorul

Activăm, pornim și verificăm serviciul NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Serviciu de timp în rețea încărcat: încărcat (/usr/lib/systemd/system/ntpd.service; dezactivat; presetare furnizor: dezactivat) Activ: inactiv (mort)

[root @ linuxbox ~] # systemctl activate ntpd
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/ntpd.service la /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Serviciu de timp în rețea
   Încărcat: încărcat (/usr/lib/systemd/system/ntpd.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) din Vineri 2017-04-14 15:51:08 EDT; Acum 1 s Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPȚIUNI (cod = ieșit, stare = 0 / SUCCES) PID principal: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp și Paravanul de protecție

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfețe: ens34
public
  interfețe: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes

Activăm și configurăm Dnsmasq

După cum am văzut într-un articol anterior din seria Small Business Networks, Dnsamasq este instalat implicit pe un server de infrastructură CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server de cache DNS. Încărcat: încărcat (/usr/lib/systemd/system/dnsmasq.service; dezactivat; presetare furnizor: dezactivat) Activ: inactiv (mort)

[root @ linuxbox ~] # systemctl activate dnsmasq
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/dnsmasq.service la /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server de cache DNS. Încărcat: încărcat (/usr/lib/systemd/system/dnsmasq.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) din Vineri 2017-04-14 16:21:18 EDT; Acum 4 secunde PID principal: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPTIUNI GENERALE # ----------------------------- -------------------------------------- domeniu necesar # Nu treceți nume fără partea de domeniu fals-priv # Nu treceți adrese în spațiul nerotat expand-hosts # Adăugați automat domeniul la interfața gazdă = ens32 # Interfață LAN strict-ordine # Ordinea în care este consultat fișierul /etc/resolv.conf conf-dir = / etc /dnsmasq.d domain = desdelinux.fan # Domain name address = / time.windows.com / 192.168.10.5 # Trimite o opțiune goală a valorii WPAD. Necesar pentru # Windos 7 și mai târziu, clienții să se comporte corect. ;-) dhcp-option = 252, "\ n" # Fișier unde vom declara gazdele care vor fi „interzise” addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- -------------------------------------------------- ------- # REGISTROSCNAMEMXTXT # ---------------------------------------- --------------------------- # Acest tip de înregistrare necesită o intrare # în fișierul / etc / hosts # de ex: 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Returnează o înregistrare MX cu numele "desdelinux.fan" destinat # computerului mail.desdelinux. fan și prioritate de 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # Destinația implicită pentru înregistrările MX care sunt create # folosind opțiunea localmx va fi: mx-target = mail.desdelinux.fan # Returnează o înregistrare MX care indică ținta mx pentru TOATE # mașini locale localmx # înregistrări TXT. De asemenea, putem declara o înregistrare SPF txt-record = desdelinux.fan, "v = spf1 a -all" txt-record = desdelinux.fan, "FromLinux, blogul tău dedicat software-ului liber" # --------- -------------------------------------------------- -------- # GAMA ȘI OPȚIUNI DE UTILIZARE # --------------------------------------- ---------------------------- Intervalul # IPv4 și timpul de închiriere # 1 până la 29 sunt pentru servere și alte nevoi dhcp -range = 192.168.10.30,192.168.10.250,8h dhcp-lease-max = 222 # Numărul maxim de adrese de închiriat # în mod implicit sunt 150 # interval IPV6 # dhcp-range = 1234 ::, numai ra # Opțiuni pentru GAMA # OPȚIUNI dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # Servere DNS dhcp-option = 15, desdelinux.fan # DNS Domain Name dhcp-option = 19,1 , 28,192.168.10.255 # opțiune IP-forwarding ON dhcp-option = 42,192.168.10.5 # BROADCAST dhcp-option = XNUMX # NTP dhcp-autoritar # DHCP autoritar pe subrețea # -------------- ------------------ ----------------------------------- # Dacă doriți să stocați în / var / log / messages jurnalul interogări # decomentați rândul de mai jos # --------------------------------------- ----------------------------
# jurnal-interogări
# END al fișierului /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Creăm fișierul / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Adrese IP fixe

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

Configurăm fișierul /etc/resolv.conf - rezolvator

[root @ linuxbox ~] # nano /etc/resolv.conf
căutare desdelinux.fan nameserver 127.0.0.1 # Pentru interogări DNS externe sau non-domeniu # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Verificăm sintaxa fișierului dnsmasq.conf, începem și verificăm starea serviciului

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sintaxă verifică OK.
[root @ linuxbox ~] # systemctl reporniți dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq și Paravanul de protecție

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfețe: ens34
public
  interfețe: ens32

serviciu domeniu o Server de nume de domeniu (dns). Protocol beţivan «IP cu criptare«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
succes

Interogări Dnsmasq către servere DNS externe

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
succes

serviciu bootps o Server BOOTP (dhcp). Protocol ippc «Internet Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
succes

[root @ linuxbox ~] # firewall-cmd --reload
succes

[root @ linuxbox ~] # firewall-cmd --info-zone public public (activ)
  target: implicit icmp-block-inversion: fără interfețe: surse ens32: servicii: dhcp dns ntp ssh porturi: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocoale: mascaradă: fără forward-ports: surse: icmp -blocuri: reguli bogate:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (activ)
  target: implicit icmp-block-inversion: nu interfețe: surse ens34: servicii: porturi dns: 53 / udp 53 / tcp protocoale: mascaradă: da forward-ports: sourceports: icmp-blocks: parametru-problemă redirecționare router-publicitate router- solicitare sursă-stinge reguli bogate:

Dacă dorim să folosim o interfață grafică pentru a configura firewall-ul în CentOS 7, ne uităm în meniul general - va depinde de mediul desktop în care submeniu apare - aplicația «Firewall», o executăm și după introducerea parolei utilizatorului rădăcină, vom accesa interfața programului ca atare. În MATE apare în meniul «Sistem »->" Administrare "->" Firewall ".

Selectăm zona «public»Și autorizăm Serviciile pe care le dorim să fie publicate pe LAN, care până acum sunt dhcp, dns, ntp și ssh. După selectarea serviciilor, verificarea faptului că totul funcționează corect, trebuie să facem modificările în Runtime în Permanent. Pentru a face acest lucru, mergem la meniul Opțiuni și selectăm opțiunea «Timpul de funcționare permanent“.

Mai târziu selectăm zona «extern»Și verificăm dacă porturile necesare pentru a comunica cu Internetul sunt deschise. NU publicați Servicii în această zonă decât dacă știm foarte bine ce facem!.

Să nu uităm să facem modificările permanente prin opțiunea «Timpul de funcționare permanent»Și reîncarcă demonul FirewallD, de fiecare dată când folosim acest puternic instrument grafic.

NTP și Dnsmasq de la un client Windows 7

Sincronizarea cu NTP

extern

Adresa IP închiriată

Microsoft Windows [Versiunea 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ȘAPTE
   Sufix Dns primar. . . . . . . :
   Tip nod. . . . . . . . . . . . : Rutare IP hibridă activată. . . . . . . . : Fără proxy WINS activat. . . . . . . . : Fără listă de căutare a sufixelor DNS. . . . . . : adaptor Ethernet desdelinux.fan Conexiune locală: Sufix DNS specific conexiunii. : desdelinux.fan Descriere. . . . . . . . . . . : Adresa fizică a conexiunii de rețea Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP activat. . . . . . . . . . . : Da Autoconfigurare activată. . . . : Si e
   Adresa IPv4. . . . . . . . . . . : 192.168.10.115 (Preferat)
   Mască de rețea. . . . . . . . . . . : 255.255.255.0 Locație obținută. . . . . . . . . . : Vineri, 14 aprilie 2017 5:12:53 Închirierea expiră. . . . . . . . . . : Sâmbătă, 15 aprilie 2017 1:12:53 AM Default Gateway. . . . . . . . . : 192.168.10.1 Server DHCP. . . . . . . . . . . : 192.168.10.5 Servere DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS peste Tcpip. . . . . . . . : Adaptor tunel activat Conexiune locală * 9: Stare media. . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii. : Descriere. . . . . . . . . . . : Adresa fizică a adaptorului de tunelare Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nu este activată configurarea automată. . . . : Da Adaptor tunel isatap.fromlinux.fan: Media State. . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii. : desdelinux.fan Descriere. . . . . . . . . . . : Adaptorul ISATAP Microsoft # 2 Adresa fizică. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nu este activată configurarea automată. . . . : Da C: \ Users \ buzz>

Sfat

O valoare importantă în clienții Windows este „Sufixul DNS primar” sau „Sufixul conexiunii principale”. Atunci când un Microsoft Domain Controller nu este utilizat, sistemul de operare nu îi atribuie nicio valoare. Dacă ne confruntăm cu un caz ca cel descris la începutul articolului și dorim să declarăm în mod explicit acea valoare, trebuie să procedăm în conformitate cu ceea ce este prezentat în imaginea următoare, să acceptăm modificările și să repornim clientul.

 

Dacă alergăm din nou CMD -> ipconfig / all vom obține următoarele:

Microsoft Windows [Versiunea 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ȘAPTE
   Sufix Dns primar. . . . . . . : desdelinux.fan
   Tip nod. . . . . . . . . . . . : Rutare IP hibridă activată. . . . . . . . : Fără proxy WINS activat. . . . . . . . : Fără listă de căutare a sufixelor DNS. . . . . . : desdelinux.fan

Restul valorilor rămân neschimbate

Verificări DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com are adresa 127.0.0.1 Gazdă spynet.microsoft.com nu a fost găsită: 5 (REFUZAT) spynet.microsoft.com e-mailul este gestionat de 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan are adresa 192.168.10.5 linuxbox.desdelinux.fan e-mailul este gestionat de 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan are adresa 192.168.10.1 sysadmin.desdelinux.fan e-mailul este gestionat de 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ mail gazdă
mail.desdelinux.fan este un alias pentru linuxbox.desdelinux.fan. linuxbox.desdelinux.fan are adresa 192.168.10.5 linuxbox.desdelinux.fan e-mailul este gestionat de 1 mail.desdelinux.fan.

Instalăm -numai pentru testare- un server DNS autorizat NSD în sysadmin.fromlinux.fanși includem adresa IP 172.16.10.1 în arhivă /etc/resolv.conf a echipei linuxbox.fromlinux.fan, pentru a verifica dacă Dnsmasq își execută corect funcția Forwarder. Sandbox-urile de pe serverul NSD sunt favt.org y încăague.org. Toate adresele IP sunt fictive sau provin din rețele private.

Dacă dezactivăm interfața WAN ens34 folosind comanda ifdown ens34, Dnsmasq nu va putea interoga servere DNS externe.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx încăague.org
Gazda mereu.org nu a fost găsită: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Gazda pizzapie.favt.org nu a fost găsită: 3 (NXDOMAIN)

Să activăm interfața ens34 și să verificăm din nou:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org este un alias pentru paisano.favt.org. paisano.favt.org are adresa 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Gazda pizzas.toujague.org nu a fost găsită: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org are adresa 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org server de nume ns1.favt.org. favt.org server de nume ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS continuu.org
serverul de nume încăague.org ns1.toujague.org. serverul de nume încăague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX sempreague.org
e-mailul mereu.org este gestionat de 10 mail.toujague.org.

Să ne consultăm de la sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
căutare de pe serverul de nume linux.fan 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org are adresa 169.18.10.19

Dnsmasq funcționează ca. Expeditor în mod corect.

Calamar

În carte în format PDF «Configurarea serverelor Linux»Datat pe 25 iulie 2016, de către autor Joel Barrios Dueñas (darkshram@gmail.com - http://www.alcancelibre.org/), text la care m-am referit în articolele anterioare, există un întreg capitol dedicat Opțiuni de configurare de bază Squid.

Datorită importanței serviciului Web - Proxy, reproducem Introducerea făcută despre Squid în cartea menționată mai sus:

105.1. Introducere.

105.1.1. Ce este un server intermediar (proxy)?

Termenul în engleză „Proxy” are un sens foarte general și în același timp ambiguu, deși
este considerat invariabil un sinonim al conceptului de "Intermediar". De obicei se traduce, în sens strict, ca delega o avocat (cel care are putere asupra altuia).

Un Server intermediar Este definit ca un computer sau dispozitiv care oferă un serviciu de rețea care constă în a permite clienților să facă conexiuni de rețea indirecte la alte servicii de rețea. În timpul procesului, se produc următoarele:

  • Clientul se conectează la un Server proxy.
  • Clientul solicită o conexiune, fișier sau altă resursă disponibilă pe un alt server.
  • Serverul intermediar oferă resursa fie prin conectarea la serverul specificat
    sau servirea acestuia dintr-un cache.
  • În unele cazuri, Server intermediar poate modifica solicitarea clientului sau
    răspunsul serverului în diferite scopuri.

L Servere proxy sunt, în general, făcute să funcționeze simultan ca un zid de incendiu care funcționează în Nivel rețea, acționând ca un filtru de pachete, ca în cazul iptables sau care operează în Nivelul cererii, controlul diferitelor servicii, cum este cazul TCP Wrapper. În funcție de context, zidul de incendiu este, de asemenea, cunoscut sub numele de BPD o Bcomandă Protație Device sau doar filtru de pachete.

O aplicație comună a Servere proxy este să funcționeze ca o memorie cache de conținut de rețea (în principal HTTP), oferind în proximitatea clienților o memorie cache de pagini și fișiere disponibile prin rețea pe servere HTTP la distanță, permițând clienților rețelei locale să le acceseze într-un mai rapid și mai fiabil.

Când se primește o cerere pentru o resursă de rețea specificată într-un URL-ul (Uniform Resursa Locator) the Server intermediar căutați rezultatul URL-ul în interiorul cache-ului. Dacă este găsit, Server intermediar Răspunde clientului furnizând imediat conținutul solicitat. Dacă conținutul solicitat este absent în cache, fișierul Server intermediar îl va prelua de la un server la distanță, livrându-l clientului care a solicitat-o ​​și păstrând o copie în cache. Conținutul din cache este apoi eliminat printr-un algoritm de expirare în funcție de vârstă, dimensiune și istoric răspunsuri la solicitări (hituri) (exemple: LRU, LFUDA y GDSF).

Serverele proxy pentru conținut de rețea (proxy-uri web) pot acționa și ca filtre ale conținutului difuzat, aplicând politici de cenzură în conformitate cu criterii arbitrare..

Versiunea Squid pe care o vom instala este 3.5.20-2.el7_3.2 din depozit actualizări.

Instalare

[root @ linuxbox ~] # yum instalează calamar

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  calamar.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl activate squid

Important

  • Obiectivul principal al acestui articol este de a autoriza utilizatorii locali să se conecteze cu Squid de pe alte computere conectate la LAN. În plus, implementați nucleul unui server la care se vor adăuga alte servicii. Nu este un articol dedicat Squidului ca atare.
  • Pentru a vă face o idee despre opțiunile de configurare ale Squid, citiți fișierul /usr/share/doc/squid-3.5.20/squid.conf.documented, care are 7915 linii.

SELinux și Squid

[root @ linuxbox ~] # getsebool -a | calmar grep
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

configurație

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # porturi neînregistrate acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Metoda CONNECT CONNECT # Respingem interogările pentru porturile non-securizate http_access refuză! Safe_ports # Noi respingem metoda CONNECT pentru porturile non-securizate http_access refuză CONNECT! SSL_ports # Accesul la managerul cache doar de la localhost http_access permite managerului localhost http_access refuz manager # Recomandăm cu tărie următoarele să fie necomentate pentru a proteja inocentele # aplicații web care rulează pe serverul proxy care cred că singurul # care poate accesa serviciile de pe "localhost" este un utilizator local http_access refuză către_localhost # # INSERAȚI REGULĂ (PROPRII) AICI AICI PENTRU A PERMITE ACCESUL CLIENȚILOR # # Autorizație PAM
auth_param program de bază / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic tărâm de la linux.fan auth_param basic credentialsttl 2 ore auth_param basic casesensitive off # Acl autentificare este necesară pentru a accesa Squid Enthusiasts proxy_auth NECESAR # Permitem accesul utilizatorilor autentificați # prin PAM http_access deny! Entuziaști # Acces la site-uri FTP acl ftp proto FTP http_access permit ftp http_access permit localnet http_access permite localhost # Negăm orice alt acces la proxy http_access negăm tot # Squid ascultă în mod normal pe portul 3128 http_port 3128 # Lăsăm „coredumps” în primul director cache coredump_dir / var / spool / squid # # Adăugați oricare dintre intrările dvs. refresh_pattern deasupra acestora. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cache_mgr buzz@desdel

Verificăm sintaxa fișierului /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15: 45: 10 | Start: inițializarea schemelor de autentificare ...
 2017/04/16 15: 45: 10 | Start: Schema de autentificare inițializată „de bază” 2017/04/16 15: 45: 10 | Start: Schema de autentificare inițializată „rezumat” 2017/04/16 15: 45: 10 | Start: Schema de autentificare inițializată „negociază” 2017/04/16 15: 45: 10 | Start: Schema de autentificare inițializată „ntlm” 2017/04/16 15: 45: 10 | Pornire: autentificare inițializată.
 2017/04/16 15: 45: 10 | Procesarea fișierului de configurare: /etc/squid/squid.conf (adâncimea 0) 2017/04/16 15: 45: 10 | Prelucrare: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Prelucrare: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 80 # http 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 21 # ftp 2017/04/16 15: 45: 10 | Prelucrare: acl Safe_ports port 443 # https 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Prelucrare: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | Prelucrare: port acl Safe_ports 1025-65535 # porturi neînregistrate 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 280 # http-mgmt 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 488 # gss-http 2017/04/16 15: 45: 10 | Prelucrare: acl Safe_ports port 591 # filemaker 2017/04/16 15: 45: 10 | Procesare: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | Prelucrare: metoda ACL CONNECT CONNECT 2017/04/16 15: 45: 10 | Procesare: http_access deny! Safe_ports 2017/04/16 15: 45: 10 | Prelucrare: http_access deny CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Prelucrare: http_access permit localhost manager 2017/04/16 15: 45: 10 | Prelucrare: http_access deny manager 2017/04/16 15: 45: 10 | Prelucrare: http_access deny to_localhost 2017/04/16 15: 45: 10 | Prelucrare: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Prelucrare: auth_param basic children 5 2017/04/16 15: 45: 10 | Prelucrare: auth_param tărâm de bază de la linux.fan 2017/04/16 15: 45: 10 | Prelucrare: auth_param credentialsttl de bază 2 ore 2017/04/16 15: 45: 10 | Prelucrare: auth_param basic caseensitive off 2017/04/16 15: 45: 10 | Prelucrare: entuziaști acl proxy_auth NECESAR 2017/04/16 15: 45: 10 | Prelucrare: http_access deny! Entuziaști 2017/04/16 15: 45: 10 | Prelucrare: acl ftp proto FTP 2017/04/16 15: 45: 10 | Prelucrare: http_access permit ftp 2017/04/16 15: 45: 10 | Prelucrare: http_access permit localnet 2017/04/16 15: 45: 10 | Prelucrare: http_access permit localhost 2017/04/16 15: 45: 10 | Prelucrare: http_access refuza toate 2017/04/16 15: 45: 10 | Prelucrare: http_port 3128 2017/04/16 15: 45: 10 | Prelucrare: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Prelucrare: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Prelucrare: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Prelucrare: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Prelucrare: refresh_pattern. 

Ajustăm permisiunile în / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Creăm directorul cache

# Doar în caz că ... [root @ linuxbox ~] # service calmar oprește
Redirecționarea către / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Setați Directorul curent la / var / spool / squid 2017/04/16 15:48:28 kid1 | Crearea directoarelor swap lipsă 2017/04/16 15:48:28 kid1 | / var / spool / squid există 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0F

În acest moment, dacă durează ceva timp să returnez promptul de comandă - care nu mi-a fost returnat niciodată - apăsați Enter.

[root @ linuxbox ~] # service calmar start
[root @ linuxbox ~] # service calmar reporniți
[root @ linuxbox ~] # service status calmar
Redirecționarea către starea / bin / systemctl squid.service ● squid.service - proxy cache cache Squid Încărcat: încărcat (/usr/lib/systemd/system/squid.service; dezactivat; presetare furnizor: dezactivat) Activ: activ (rulează) de la dom 2017-04-16 15:57:27 EDT; Acum 1 s Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (cod = ieșit, stare = 0 / SUCCES) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (cod = exited, status = 0 / SUCCESS) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (cod = exited, status = 0 / SUCCESS) PID principal: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 apr 15:57:27 linuxbox systemd [1]: Începând proxy Squid caching proxy ... 16 apr 15:57:27 linuxbox systemd [1]: A început proxy-ul în cache pentru Squid. 16 apr 15:57:27 linuxbox squid [2876]: Squid Parent: va începe 1 copii 16 apr 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... ed 16 apr 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... 1 Sugestie: Unele linii au fost elipsate, folosiți -l pentru a afișa integral

[root @ linuxbox ~] # cat / var / log / messages | calmar grep

Corecții firewall

Trebuie să deschidem și în zonă «extern„porturile 80 HTTP y 443 HTTPS astfel încât Squidul poate comunica cu Internetul.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes
[root @ linuxbox ~] # firewall-cmd --info-zone external
țintă externă (activă): implicit icmp-block-inversion: fără interfețe: surse ens34: servicii: porturi dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocoale: mascaradă: da porturi directe: surseporturi: icmp-blocks: parametru-problemă redirecționare router-reclamă router-solicitare sursă-stingere reguli bogate:
  • Nu este inactiv să mergi la aplicația grafică «Configurare firewall»Și verificați dacă porturile 443 tcp, 80 tcp, 53 tcp și 53 udp sunt deschise pentru zonă«extern«Și că NU am publicat niciun serviciu pentru ea.

Notă despre programul de ajutor basic_pam_auth

Dacă consultăm manualul acestui utilitar prin om basic_pam_auth Vom citi că autorul însuși face o recomandare puternică ca programul să se mute într-un director în care utilizatorii normali nu au suficiente permisiuni pentru a accesa instrumentul.

Pe de altă parte, se știe că, cu această schemă de autorizare, acreditările călătoresc în text simplu și nu este sigur pentru medii ostile, citiți rețelele deschise.

Jeff Yestrumskas dedică articolul «Instrucțiuni: configurați un proxy web securizat utilizând criptare SSL, proxy Squid Caching și autentificare PAM»La problema creșterii securității cu această schemă de autentificare, astfel încât să poată fi utilizată în rețele deschise potențial ostile.

Instalăm httpd

Ca o modalitate de a verifica funcționarea Squid - și, de altfel, cea a Dnsmasq - vom instala serviciul httpd -Apache server web- ceea ce nu este necesar să se facă. În fișierul relativ la Dnsmasq / etc / banner_add_hosts Declarăm site-urile pe care dorim să le interzică și le atribuim în mod explicit aceeași adresă IP pe care o au linuxbox. Astfel, dacă solicităm accesul la oricare dintre aceste site-uri, pagina de pornire a httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl enable httpd
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/httpd.service la /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl începe httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Serverul HTTP Apache încărcat: încărcat (/usr/lib/systemd/system/httpd.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) de la Duminică 2017-04-16 16:41: 35 EDT; 5s în urmă Documente: man: httpd (8) man: apachectl (8) PID principal: 2275 (httpd) Stare: „Se procesează cererile ...” CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 apr 16:41:35 linuxbox systemd [1]: Pornirea serverului HTTP Apache ... 16 apr 16:41:35 linuxbox systemd [1]: A pornit serverul Apache HTTP.

SELinux și Apache

Apache are mai multe politici de configurat în contextul SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off_dable - off_dable - off_dable httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobright httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Vom configura doar următoarele:

Trimiteți e-mail prin Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Permiteți Apache să citească conținutul aflat în directoarele principale ale utilizatorilor locali

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permiteți să administrați prin FTP sau FTPS orice director gestionat de
Apache sau permiteți Apache să funcționeze ca un server FTP care ascultă cererile prin portul FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Pentru mai multe informații, vă rugăm să citiți Configurarea serverelor Linux.

Verificăm autentificarea

Rămâne doar să deschideți un browser pe o stație de lucru și să indicați, de exemplu, spre http://windowsupdate.com. Vom verifica dacă solicitarea este corect redirecționată către pagina principală Apache din linuxbox. De fapt, orice nume de site declarat în fișier / etc / banner_add_hosts veți fi redirecționat către aceeași pagină.

Imaginile de la sfârșitul articolului o demonstrează.

Managementul utilizatorilor

O facem folosind instrumentul grafic «Gestionarea utilizatorilor»Pe care îl accesăm prin meniul Sistem -> Administrare -> Gestionarea utilizatorilor. De fiecare dată când adăugăm un utilizator nou, este creat folderul acestuia / acasă / utilizator în mod automat.

 

Copiile de rezervă

Clienți Linux

Aveți nevoie doar de browserul normal de fișiere și indicați că doriți să vă conectați, de exemplu: ssh: // buzz @ linuxbox / home / buzz iar după introducerea parolei, va fi afișat directorul Acasă a utilizatorului bâzâit.

Clienți Windows

La clienții Windows, folosim instrumentul WinSCP. Odată instalat, îl folosim în modul următor:

 

 

Simplu, nu?

Rezumat

Am văzut că este posibil să folosim PAM pentru autentificarea serviciilor într-o rețea mică și într-un mediu controlat, complet izolat de mâinile hackeri. Acest lucru se datorează în principal faptului că acreditările de autentificare se deplasează în text simplu și, prin urmare, nu este o schemă de autentificare care trebuie utilizată în rețelele deschise, cum ar fi aeroporturile, rețelele Wi-Fi etc. Cu toate acestea, este un mecanism de autorizare simplu, ușor de implementat și configurat.

Surse consultate

Versiunea PDF

Descărcați versiunea PDF aici.

Până la următorul articol!


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

9 comentarii, lasă-le pe ale tale

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Nautilus el a spus

    Post extraordinar a fost vindecat domnule Fico. Mulțumim că ne-ați împărtășit cunoștințele

  2.   şopârlă el a spus

    Știu cât de greu este să realizezi un articol cu ​​un astfel de nivel de detaliu, cu teste destul de clare și mai ales cu concepte și strategii adaptate standardelor. Îmi iau pălăria la această bijuterie a contribuțiilor, vă mulțumesc mult Fico pentru o treabă atât de bună.

    Nu am combinat niciodată calmarul cu autentificarea pam, dar merg cât mai departe posibil să fac această practică în laboratorul meu ... Îmbrățișare de goluri și continuăm !!

  3.   Federico el a spus

    NaTiluS: Vă mulțumesc foarte mult pentru comentariu și evaluare.
    Șopârlă: Și vouă, vă mulțumesc foarte mult pentru comentariu și evaluare.

    Timpul și efortul dedicat realizării unor articole ca acesta sunt recompensate doar cu lecturi și comentarii de la cei care vizitează comunitatea FromLinux. Sper să vă fie de folos în munca dvs. de zi cu zi.
    Continuăm!

  4.   anonim el a spus

    Contributie cetateneasca incredibila !!!! Am citit fiecare dintre articolele tale și pot spune că, chiar și pentru o persoană care nu are cunoștințe avansate în software-ul liber (ca mine) poate urma acest articol rafinat pas cu pas. Noroc !!!!

  5.   IWO el a spus

    Mulțumesc Fico pentru acest alt articol grozav; Ca și când asta nu ar fi fost suficient cu toate postările deja publicate, în acesta avem un serviciu care nu era acoperit anterior de seria PYMES și care este extrem de important: „SQUID” sau Proxy-ul unei rețele LAN. Nimic din ceea ce pentru noi familia celor care cred că suntem „administratori” nu au aici alte materiale bune pentru a ne studia și aprofunda cunoștințele.

  6.   Federico el a spus

    Vă mulțumesc tuturor pentru comentarii. Următorul articol se va ocupa de serverul de chat Prosody cu autentificare împotriva acreditărilor locale (PAM) prin Cyrus-SASL, iar acel serviciu va fi implementat pe același server.

  7.   kenpachiRo17 el a spus

    La vreme bună, compatriot !!!! Contribuție excelentă chiar și pentru cei ca mine care nu au cunoștințe excelente despre software-ul liber și sunt pasionați de învățare cu articole la fel de rafinate ca acesta. Am urmărit contribuțiile dvs. și aș dori să știu prin ce articol mi-ați recomanda să încep pe această serie de rețele de IMM-uri, deoarece am citit într-un mod dezordonat și cred că are o mulțime de conținut valoros pentru a rata orice detaliu. Fără mai multe, salutări și cunoștințele partajate, precum și software-ul să rămână gratuite !!

    1.    Federico el a spus

      Salutări compatriot !!!. Vă recomand să începeți de la început, că, deși poate părea drumul lung, este cel mai scurt drum pentru a nu vă pierde. În index - care nu este actualizat cu ultimele două articole - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, am stabilit ordinea de citire recomandată a Seriei, care începe cu modul de realizare a mea Stație de lucru, continuă cu mai multe postări dedicate subiectului Virtualizare, urmați cu mai multe plicuri BIND, Isc-Dhcp-Server și Dnsmasq, și așa mai departe, până când ajungem la partea de implementare a serviciului pentru rețeaua IMM, care este locul în care ne aflăm în prezent. Sper că te ajută.

      1.    kenpachiRo17 el a spus

        Ei bine va fi !!!! Imediat încep cu seria de la început și aștept cu nerăbdare articole noi. Noroc !!!!