Autentificare Squid + PAM în rețele CentOS 7- SMB

Indice general al seriei: Rețele de calculatoare pentru IMM-uri: Introducere

Bună ziua prieteni și prieteni!

Titlul articolului ar fi trebuit să fie: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid cu autentificare PAM în Centos 7 - Rețele IMM-uri«. Din motive practice, îl scurtăm.

Continuăm cu autentificarea către utilizatorii locali de pe un computer Linux folosind PAM și de data aceasta vom vedea cum putem furniza serviciul Proxy cu Squid pentru o mică rețea de computere, utilizând acreditările de autentificare stocate pe același computer în care serverul rulează Calamar.

Deși știm că este o practică foarte obișnuită în zilele noastre, autentificarea serviciilor împotriva unui OpenLDAP, Red Hat’s Directory Server 389, Microsoft Active Directory etc., considerăm că trebuie mai întâi să trecem prin soluții simple și ieftine, iar apoi să ne confruntăm cu cele mai complexe. Credem că trebuie să trecem de la simplu la complex.

Etapă

Este o organizație mică - cu foarte puține resurse financiare - dedicată sprijinirii utilizării software-ului liber și care a optat pentru numele de DesdeLinux.Ventilator. Sunt diferiți entuziaști ai sistemului de operare CentOS grupate într-un singur birou. Au cumpărat o stație de lucru - nu un server profesional - pe care o vor dedica să funcționeze ca un „server”.

Entuziaștii nu au cunoștințe extinse despre cum să implementeze un server OpenLDAP sau un Samba 4 AD-DC și nici nu își pot permite să licențieze un Microsoft Active Directory. Cu toate acestea, au nevoie de servicii de acces la Internet prin intermediul unui proxy pentru munca lor zilnică - pentru a accelera navigarea - și de un spațiu pentru a salva cele mai valoroase documente și a lucra ca copii de rezervă.

Încă mai folosesc sistemele de operare Microsoft achiziționate legal, dar vor să le schimbe în sisteme de operare bazate pe Linux, începând cu „Serverul” lor.

De asemenea, aspiră să aibă propriul server de poștă pentru a deveni independent - cel puțin de la origine - de servicii precum Gmail, Yahoo, HotMail etc., ceea ce utilizează în prezent.

Firewall-ul și regulile de rutare din fața internetului îl vor stabili în routerul ADSL contractat.

Nu au un nume de domeniu real, deoarece nu necesită publicarea niciunui serviciu pe Internet.

CentOS 7 ca server fără GUI

Începem de la o nouă instalare a unui server fără o interfață grafică, iar singura opțiune pe care o selectăm în timpul procesului este «Server de infrastructură»După cum am văzut în articolele anterioare din serie.

Setări inițiale

[root @ linuxbox ~] # cat / etc / hostname 
cutie linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # nume de gazdă
cutie linux

[root @ linuxbox ~] # hostname -f
linuxbox.desdelinux.ventilator

[root @ linuxbox ~] # listă addr ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 it

Dezactivăm Managerul de rețea

[root @ linuxbox ~] # systemctl oprește NetworkManager

[root @ linuxbox ~] # systemctl dezactivează NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager Încărcat: încărcat (/usr/lib/systemd/system/NetworkManager.service; dezactivat; presetare furnizor: activat) Activ: inactiv (mort) Documente: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Configurăm interfețele de rețea

Interfață LAN Ens32 conectată la rețeaua internă

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = public

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interfață WAN Ens34 conectată la Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=da BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Routerul ADSL este conectat la # această interfață cu # următoarea adresă IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = extern

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Configurarea depozitelor

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir original
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum curăță totul
Plugin-uri încărcate: fastestmirror, langpacks Curățarea depozitelor: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Actualizări-Repo Curățarea tuturor Curățarea listei de oglinzi rapide

[root @ linuxbox yum.repos.d] # yum update
Plugin-uri încărcate: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Updates-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Determinarea celor mai rapide oglinzi Nu există pachete marcate pentru actualizare

Mesajul "Nu există pachete marcate pentru actualizare»Se arată pentru că în timpul instalării am declarat aceleași depozite locale pe care le avem la dispoziție.

Centos 7 cu mediul desktop MATE

Pentru a utiliza instrumentele de administrare foarte bune cu o interfață grafică pe care CentOS / Red Hat ne oferă și pentru că ne lipsește întotdeauna GNOME2, am decis să instalăm MATE ca mediu de desktop.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Pentru a verifica dacă MATE se încarcă corect, executăm următoarea comandă într-o consolă -locală sau la distanță-:

[root @ linuxbox ~] # systemctl isolate graphical.target

iar mediul desktop ar trebui să fie încărcat -în echipa locală- fără probleme, arătând lightdm ca login grafic. Tastăm numele utilizatorului local și parola acestuia și vom introduce MATE.

Pentru a spune systemd că nivelul de pornire implicit este 5 -mediul grafic- creăm următorul link simbolic:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Repornim sistemul și totul funcționează bine.

Instalăm serviciul de timp pentru rețele

[root @ linuxbox ~] # yum install ntp

În timpul instalării configurăm că ceasul local va fi sincronizat cu serverul de timp al computerului administrator de sistem.desdelinux.ventilator cu IP 192.168.10.1. Deci, salvăm fișierul ntp.conf original de:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Acum, creăm unul nou cu următorul conținut:

[root @ linuxbox ~] # nano /etc/ntp.conf # Servere configurate în timpul instalării: server 192.168.10.1 iburst # Pentru mai multe informații, consultați paginile man de: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Permiteți sincronizarea cu sursa de timp, dar nu # permiteți sursei să consulte sau să modifice acest serviciu restricționează implicit nomodifică notrap nopeer noquery # Permiteți accesul la interfață Restricționare restrângere 127.0.0.1 restricționare :: 1 # Limitați puțin mai puțin la computerele din rețeaua locală. restricționați masca 192.168.10.0 255.255.255.0 nomodify notrap # Utilizați serverele publice ale proiectului pool.ntp.org # Dacă doriți să vă alăturați proiectului vizitați # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # server multicast #multicastclient 224.0.1.1 # client multicast #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast 192.168.10.255 # Activați criptografia publică. #crypto includefile / etc / ntp / crypto / pw # Fișier cheie care conține cheile și identificatorii de chei # utilizat atunci când funcționează cu chei de criptografie cu cheie simetrică / etc / ntp / keys # Specificați identificatorii de cheie de încredere. #trustedkey 4 8 42 # Specificați identificatorul cheii de utilizat cu utilitarul ntpdc. #requestkey 8 # Specificați identificatorul cheii de utilizat cu utilitarul ntpq. #controlkey 8 # Activează scrierea registrelor de statistici. #statistics clockstats cryptostats loopstats peerstats # Dezactivează monitorul de secesiune pentru a preveni amplificarea # atacurilor folosind comanda ntpdc monlist, când constrângerea implicită # nu include semnalizatorul noquery. Citiți CVE-2013-5211 # pentru mai multe detalii. # Notă: Monitorul nu este dezactivat cu semnalizatorul de restricție limitată. dezactivați monitorul

Activăm, pornim și verificăm serviciul NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Serviciu de timp în rețea încărcat: încărcat (/usr/lib/systemd/system/ntpd.service; dezactivat; presetare furnizor: dezactivat) Activ: inactiv (mort)

[root @ linuxbox ~] # systemctl activate ntpd
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/ntpd.service la /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Serviciu de timp în rețea
   Încărcat: încărcat (/usr/lib/systemd/system/ntpd.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) din Vineri 2017-04-14 15:51:08 EDT; Acum 1 s Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPȚIUNI (cod = ieșit, stare = 0 / SUCCES) PID principal: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp și Paravanul de protecție

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfețe: ens34
public
  interfețe: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes

Activăm și configurăm Dnsmasq

După cum am văzut într-un articol anterior din seria Small Business Networks, Dnsamasq este instalat implicit pe un server de infrastructură CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server de cache DNS. Încărcat: încărcat (/usr/lib/systemd/system/dnsmasq.service; dezactivat; presetare furnizor: dezactivat) Activ: inactiv (mort)

[root @ linuxbox ~] # systemctl activate dnsmasq
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/dnsmasq.service la /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - server de cache DNS. Încărcat: încărcat (/usr/lib/systemd/system/dnsmasq.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) din Vineri 2017-04-14 16:21:18 EDT; Acum 4 secunde PID principal: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # OPTIUNI GENERALE # ----------------------------- --------------------------------------domain-needed # Nu transmiteți nume fără domeniul part bogus-priv # Nu treceți adrese în spațiul nedirecționat expand-hosts # Adaugă automat domeniul la interfața gazdă=ens32 # LAN interface strict-order # Ordinea în care fișierul /etc/resolv.conf este interogat conf- dir=/etc /dnsmasq.d domeniu=desdelinux.fan # Adresă nume de domeniu=/time.windows.com/192.168.10.5 # Trimite o opțiune goală a valorii WPAD. Necesar pentru ca clienții # Windows 7 și ulterioare să se comporte corect. ;-) dhcp-option=252,"\n" # Fișier unde vom declara HOST-urile care vor fi „bannate” addn-hosts=/etc/banner_add_hosts local=/desdelinux.ventilator/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # --------------------------- ---------------------------------------- # Acest tip de înregistrare necesită o înregistrare # în fișierul /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Returnează o înregistrare MX cu numele "desdelinux.fan" destinat # echipei de mail.desdelinux.fan si prioritate de 10 mx-host=desdelinux.corespondență de la fani.desdelinux.fan,10 # Destinația implicită pentru înregistrările MX create # folosind opțiunea localmx va fi: mx-target=mail.desdelinux.fan # Returnează o înregistrare MX care indică către mx-target pentru TOATE # mașinile locale localmx # înregistrări TXT. De asemenea, putem declara o înregistrare SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.ventilator,"DesdeLinux, blogul tău dedicat software-ului liber" # ----------------------------------------- -------------------------- # RANGANDDITSOPTIONS # ---------------------- ----- ------------------------------------------ # IPv4 intervalul și timpul de închiriere # 1 până la 29 sunt pentru servere și alte nevoi dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Numărul maxim de adrese de închiriat # în mod implicit, acestea sunt 150 # Interval IPV6 # dhcp-range=1234::, ra-only # Opțiuni pentru RANGE # OPȚIUNI dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5,NScp-option dhcp15 #XNUMX. =XNUMX,desdelinux.fan # DNS Domain Name dhcp-option=19,1 # opțiune ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # -autor subrețea DHCP # ---autor DHCP ---------------------------------------------- --- ----------- # Dacă doriți să stocați interogarea log în /var/log/messages # decomentați linia de mai jos # ---------- ------- ------------------------------------------ -------
# jurnal-interogări
# END al fișierului /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Creăm fișierul / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Adrese IP fixe

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sysadmin.desdelinux.fan sysadmin

Configurăm fișierul /etc/resolv.conf - rezolvator

[root @ linuxbox ~] # nano /etc/resolv.conf
căutare desdelinux.fan nameserver 127.0.0.1 # Pentru interogări DNS externe sau # non-domeniu desdelinux.fan # local=/desdelinux.fan/ server de nume 8.8.8.8

Verificăm sintaxa fișierului dnsmasq.conf, începem și verificăm starea serviciului

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sintaxă verifică OK.
[root @ linuxbox ~] # systemctl reporniți dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq și Paravanul de protecție

[root @ linuxbox ~] # firewall-cmd --get-active-zones
extern
  interfețe: ens34
public
  interfețe: ens32

serviciu domeniu o Server de nume de domeniu (dns). Protocol beţivan «IP cu criptare«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
succes

Interogări Dnsmasq către servere DNS externe

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
succes

serviciu bootps o Server BOOTP (dhcp). Protocol ippc «Internet Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
succes

[root @ linuxbox ~] # firewall-cmd --reload
succes

[root @ linuxbox ~] # firewall-cmd --info-zone public public (activ)
  target: implicit icmp-block-inversion: fără interfețe: surse ens32: servicii: dhcp dns ntp ssh porturi: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocoale: mascaradă: fără forward-ports: surse: icmp -blocuri: reguli bogate:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (activ)
  target: implicit icmp-block-inversion: nu interfețe: surse ens34: servicii: porturi dns: 53 / udp 53 / tcp protocoale: mascaradă: da forward-ports: sourceports: icmp-blocks: parametru-problemă redirecționare router-publicitate router- solicitare sursă-stinge reguli bogate:

Dacă dorim să folosim o interfață grafică pentru a configura firewall-ul în CentOS 7, ne uităm în meniul general - va depinde de mediul desktop în care submeniu apare - aplicația «Firewall», o executăm și după introducerea parolei utilizatorului rădăcină, vom accesa interfața programului ca atare. În MATE apare în meniul «Sistem »->" Administrare "->" Firewall ".

Selectăm zona «public»Și autorizăm Serviciile pe care le dorim să fie publicate pe LAN, care până acum sunt dhcp, dns, ntp și ssh. După selectarea serviciilor, verificarea faptului că totul funcționează corect, trebuie să facem modificările în Runtime în Permanent. Pentru a face acest lucru, mergem la meniul Opțiuni și selectăm opțiunea «Timpul de funcționare permanent“.

Mai târziu selectăm zona «extern»Și verificăm dacă porturile necesare pentru a comunica cu Internetul sunt deschise. NU publicați Servicii în această zonă decât dacă știm foarte bine ce facem!.

Să nu uităm să facem modificările permanente prin opțiunea «Timpul de funcționare permanent»Și reîncarcă demonul FirewallD, de fiecare dată când folosim acest puternic instrument grafic.

NTP și Dnsmasq de la un client Windows 7

Sincronizarea cu NTP

extern

Adresa IP închiriată

Microsoft Windows [Versiunea 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ȘAPTE
   Sufix Dns primar. . . . . . . :
   NodeType. . . . . . . . . . . . : rutare IP hibridă activată. . . . . . . . : Nu este activat niciun proxy WINS. . . . . . . . : Fără lista de căutare a sufixelor DNS. . . . . . : desdelinux.fan Adaptor Ethernet Local Area Connection: Sufix DNS specific conexiunii . : desdelinux.ventilator Descriere . . . . . . . . . . . : Adresă fizică a conexiunii de rețea Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP activat. . . . . . . . . . . : Da Configurare automată activată . . . . : Furci
   Adresa IPv4. . . . . . . . . . . : 192.168.10.115 (Preferat)
   Mască de rețea . . . . . . . . . . . : 255.255.255.0 Închiriere Obținut. . . . . . . . . . : Vineri, 14 aprilie 2017 5:12:53 Contractul de închiriere expiră . . . . . . . . . . : Sâmbătă, 15 aprilie 2017 1:12:53 Gateway implicit . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 Servere DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS peste Tcpip. . . . . . . . : Adaptor tunel activat Conexiune la zonă locală* 9: Stare media . . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii . : Descriere . . . . . . . . . . . : Adresa fizică a adaptorului de tunel Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nicio configurare automată activată. . . . : Da Adaptor tunel isatap.desdelinux.fan: Media State. . . . . . . . . . . : Media deconectat Sufix DNS specific conexiunii . : desdelinux.ventilator Descriere . . . . . . . . . . . : Microsoft ISATAP Adapter #2 Adresa fizică. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP activat. . . . . . . . . . . : Nicio configurare automată activată. . . . : Da C:\Utilizatori\buzz>

varful

O valoare importantă în clienții Windows este „Sufixul DNS primar” sau „Sufixul conexiunii principale”. Atunci când un Microsoft Domain Controller nu este utilizat, sistemul de operare nu îi atribuie nicio valoare. Dacă ne confruntăm cu un caz ca cel descris la începutul articolului și dorim să declarăm în mod explicit acea valoare, trebuie să procedăm în conformitate cu ceea ce este prezentat în imaginea următoare, să acceptăm modificările și să repornim clientul.

Dacă alergăm din nou CMD -> ipconfig / all vom obține următoarele:

Microsoft Windows [Versiunea 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Toate drepturile rezervate. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : ȘAPTE
   Sufix Dns primar. . . . . . . : desdelinux.ventilator
   NodeType. . . . . . . . . . . . : rutare IP hibridă activată. . . . . . . . : Nu este activat niciun proxy WINS. . . . . . . . : Fără lista de căutare a sufixelor DNS. . . . . . : desdelinux.ventilator

Restul valorilor rămân neschimbate

Verificări DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com are adresa 127.0.0.1 Gazdă spynet.microsoft.com nu a fost găsită: 5(REFUSAT) e-mailul spynet.microsoft.com este gestionat de 1 e-mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan are adresa 192.168.10.5 linuxbox.desdelinux.mail-ul fanilor este tratat cu 1 mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ host sysadmin
administrator de sistem.desdelinux.fan are adresa 192.168.10.1 sysadmin.desdelinux.mail-ul fanilor este tratat cu 1 mail.desdelinux.ventilator.

buzz @ sysadmin: ~ $ mail gazdă
e-mail.desdelinux.fan este un alias pentru linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan are adresa 192.168.10.5 linuxbox.desdelinux.mail-ul fanilor este tratat cu 1 mail.desdelinux.ventilator.

Instalăm -numai pentru testare- un server DNS autorizat NSD în administrator de sistem.desdelinux.ventilatorși includem adresa IP 172.16.10.1 în arhivă /etc/resolv.conf a echipei linuxbox.desdelinux.ventilator, pentru a verifica dacă Dnsmasq își execută corect funcția Forwarder. Sandbox-urile de pe serverul NSD sunt favt.org y încăague.org. Toate adresele IP sunt fictive sau provin din rețele private.

Dacă dezactivăm interfața WAN ens34 folosind comanda ifdown ens34, Dnsmasq nu va putea interoga servere DNS externe.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx încăague.org
Gazda mereu.org nu a fost găsită: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Gazda pizzapie.favt.org nu a fost găsită: 3 (NXDOMAIN)

Să activăm interfața ens34 și să verificăm din nou:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org este un alias pentru paisano.favt.org. paisano.favt.org are adresa 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Gazda pizzas.toujague.org nu a fost găsită: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org are adresa 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org server de nume ns1.favt.org. favt.org server de nume ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS continuu.org
serverul de nume încăague.org ns1.toujague.org. serverul de nume încăague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX sempreague.org
e-mailul mereu.org este gestionat de 10 mail.toujague.org.

Să ne consultăm de la administrator de sistem.desdelinux.ventilator:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
căutare desdelinux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org are adresa 169.18.10.19

Dnsmasq funcționează ca. Expeditor în mod corect.

Calamar

În carte în format PDF «Configurarea serverelor Linux»Datat pe 25 iulie 2016, de către autor Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), text la care m-am referit în articolele anterioare, există un întreg capitol dedicat Opțiuni de configurare de bază Squid.

Datorită importanței serviciului Web - Proxy, reproducem Introducerea făcută despre Squid în cartea menționată mai sus:

105.1. Introducere.

105.1.1. Ce este un server intermediar (proxy)?

Termenul în engleză „Proxy” are un sens foarte general și în același timp ambiguu, deși
este considerat invariabil un sinonim al conceptului de "Intermediar". De obicei se traduce, în sens strict, ca delega o avocat (cel care are putere asupra altuia).

Un Server intermediar Este definit ca un computer sau dispozitiv care oferă un serviciu de rețea care constă în a permite clienților să facă conexiuni de rețea indirecte la alte servicii de rețea. În timpul procesului, se produc următoarele:

• Clientul se conectează la un Server proxy.
• Clientul solicită o conexiune, fișier sau altă resursă disponibilă pe un alt server.
• Serverul intermediar oferă resursa fie prin conectarea la serverul specificat
  sau servirea acestuia dintr-un cache.
• În unele cazuri, Server intermediar poate modifica solicitarea clientului sau
  răspunsul serverului în diferite scopuri.

L Servere proxy sunt, în general, făcute să funcționeze simultan ca un zid de incendiu care funcționează în Nivel rețea, acționând ca un filtru de pachete, ca în cazul iptables sau care operează în Nivelul cererii, controlul diferitelor servicii, cum este cazul Învelișuri TCP. În funcție de context, zidul de incendiu este, de asemenea, cunoscut sub numele de extensie BPD o Bcomandă Protație Device sau doar filtru de pachete.

O aplicație comună a Servere proxy este să funcționeze ca o memorie cache de conținut de rețea (în principal HTTP), oferind în proximitatea clienților o memorie cache de pagini și fișiere disponibile prin rețea pe servere HTTP la distanță, permițând clienților rețelei locale să le acceseze într-un mai rapid și mai fiabil.

Când se primește o cerere pentru o resursă de rețea specificată într-un URL-ul (Uuniformă Resursa Locator) the Server intermediar căutați rezultatul URL-ul în interiorul cache-ului. Dacă este găsit, Server intermediar Răspunde clientului furnizând imediat conținutul solicitat. Dacă conținutul solicitat este absent în cache, fișierul Server intermediar îl va prelua de la un server la distanță, livrându-l clientului care a solicitat-o ​​și păstrând o copie în cache. Conținutul din cache este apoi eliminat printr-un algoritm de expirare în funcție de vârstă, dimensiune și istoric răspunsuri la solicitări (hituri) (exemple: LRU, LFUDA y GDSF).

Serverele proxy pentru conținut de rețea (proxy-uri web) pot acționa și ca filtre ale conținutului difuzat, aplicând politici de cenzură în conformitate cu criterii arbitrare..

Versiunea Squid pe care o vom instala este 3.5.20-2.el7_3.2 din depozit actualizări.

Instalare

[root @ linuxbox ~] # yum instalează calamar

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  calamar.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl activate squid

Important

• Obiectivul principal al acestui articol este de a autoriza utilizatorii locali să se conecteze cu Squid de pe alte computere conectate la LAN. În plus, implementați nucleul unui server la care se vor adăuga alte servicii. Nu este un articol dedicat Squidului ca atare.
• Pentru a vă face o idee despre opțiunile de configurare ale Squid, citiți fișierul /usr/share/doc/squid-3.5.20/squid.conf.documented, care are 7915 linii.

SELinux și Squid

[root @ linuxbox ~] # getsebool -a | calmar grep
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

configurație

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # porturi neînregistrate acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Metoda CONNECT CONNECT # Respingem interogările pentru porturile non-securizate http_access refuză! Safe_ports # Noi respingem metoda CONNECT pentru porturile non-securizate http_access refuză CONNECT! SSL_ports # Accesul la managerul cache doar de la localhost http_access permite managerului localhost http_access refuz manager # Recomandăm cu tărie următoarele să fie necomentate pentru a proteja inocentele # aplicații web care rulează pe serverul proxy care cred că singurul # care poate accesa serviciile de pe "localhost" este un utilizator local http_access refuză către_localhost # # INSERAȚI REGULĂ (PROPRII) AICI AICI PENTRU A PERMITE ACCESUL CLIENȚILOR # # Autorizație PAM
auth_param program de bază / usr / lib64 / squid / basic_pam_auth
auth_param copii de bază 5 auth_param tărâm de bază desdelinux.fan auth_param acreditări de bază ttl 2 ore auth_param de bază diferențiat cu majuscule și minuscule dezactivat # Accesul Squid necesită autentificare acl Entuziaști proxy_auth NECESAR # Permitem accesul utilizatorilor autentificați # prin PAM http_access deny !Entuziaști # Accesul la site-uri FTP acl ftp permit accesul proto FTP http_ acces local http_ permit localhost # Interzicem orice alt acces la proxy-ul http_access deny all # Squid ascultă în mod normal pe portul 3128 http_port 3128 # Lăsăm „coredumps” în primul director cache coredump_dir /var/spool/squid # # Adăugați oricare dintre propriile dvs. refresh_pattern intrările deasupra acestora. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swaphigh_85_cache_swaphigh_low_90_XNUMXdesdelinux.fan # Alți parametri vizibil_hostname linuxbox.desdelinux.ventilator

Verificăm sintaxa fișierului /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15:45:10| Pornire: Inițializarea schemelor de autentificare... 2017/04/16 15:45:10| Pornire: Schema de autentificare inițializată „de bază” 2017/04/16 15:45:10| Pornire: Schema de autentificare inițializată „digest” 2017/04/16 15:45:10| Pornire: Schema de autentificare inițializată „negocia” 2017/04/16 15:45:10| Pornire: Schema de autentificare inițializată „ntlm” 2017/04/16 15:45:10| Pornire: autentificare inițializată. 2017/04/16 15:45:10| Procesare fișier de configurare: /etc/squid/squid.conf (adâncime 0) 2017/04/16 15:45:10| Procesare: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Procesare: acl SSL_ports port 443 21 2017/04/16 15:45:10| Procesare: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Procesare: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Procesare: acl Safe_ports port 443 # https 2017/04/16 15:45:10| Procesare: acl Safe_ports port 70 # gopher 2017/04/16 15:45:10| Procesare: acl Safe_ports port 210 # wais 2017/04/16 15:45:10| Procesare: acl Safe_ports port 1025-65535 # porturi neînregistrate 2017/04/16 15:45:10| Procesare: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Procesare: acl Safe_ports port 488 # gss-http 2017/04/16 15:45:10| Procesare: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Procesare: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Procesare: acl CONNECT metoda CONNECT 2017/04/16 15:45:10| Procesare: http_access deny !Safe_ports 2017/04/16 15:45:10| Procesare: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Procesare: http_access allow localhost manager 2017/04/16 15:45:10| Procesare: http_access deny manager 2017/04/16 15:45:10| Procesare: http_access deny to_localhost 2017/04/16 15:45:10| Procesare: program de bază auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Procesare: auth_param basic children 5 2017/04/16 15:45:10| Procesare: domeniul de bază auth_param desdelinux.fan 2017/04/16 15:45:10| Procesare: auth_param basic credentialsttl 2 ore 2017/04/16 15:45:10| Procesare: auth_param basic casesensitive off 2017/04/16 15:45:10| Procesare: acl Entuziaști proxy_auth NECESAR 2017/04/16 15:45:10| Procesare: http_access deny !Entuziaști 2017/04/16 15:45:10| Procesare: acl ftp proto FTP 2017/04/16 15:45:10| Procesare: http_access allow ftp 2017/04/16 15:45:10| Procesare: http_access allow localnet 2017/04/16 15:45:10| Procesare: http_access allow localhost 2017/04/16 15:45:10| Procesare: http_access deny all 2017/04/16 15:45:10| Procesare: http_port 3128 2017/04/16 15:45:10| Procesare: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Procesare: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Procesare: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Procesare: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Procesare: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Procesare: cache_mem 64 MB 2017/04/16 15:45:10 | Procesare: memory_replacement_policy lru 2017/04/16 15:45:10| Procesare: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Procesare: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Procesare: maximum_object_size 4 MB 2017/04/16 15:45:10| Procesare: cache_swap_low 85 2017/04/16 15:45:10| Procesare: cache_swap_high 90 2017/04/16 15:45:10| Procesare: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Procesare: vizibil_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Se inițializează contextul proxy https

Ajustăm permisiunile în / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Creăm directorul cache

# Doar în caz că ... [root @ linuxbox ~] # service calmar oprește
Redirecționarea către / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Setați Directorul curent la / var / spool / squid 2017/04/16 15:48:28 kid1 | Crearea directoarelor swap lipsă 2017/04/16 15:48:28 kid1 | / var / spool / squid există 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Realizarea de directoare în / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Realizarea de directoare în / var / spool / squid / 0F

În acest moment, dacă durează ceva timp să returnez promptul de comandă - care nu mi-a fost returnat niciodată - apăsați Enter.

[root @ linuxbox ~] # service calmar start
[root @ linuxbox ~] # service calmar reporniți
[root @ linuxbox ~] # service status calmar
Redirecționarea către starea / bin / systemctl squid.service ● squid.service - proxy cache cache Squid Încărcat: încărcat (/usr/lib/systemd/system/squid.service; dezactivat; presetare furnizor: dezactivat) Activ: activ (rulează) de la dom 2017-04-16 15:57:27 EDT; Acum 1 s Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (cod = ieșit, stare = 0 / SUCCES) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (cod = exited, status = 0 / SUCCESS) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (cod = exited, status = 0 / SUCCESS) PID principal: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 apr 15:57:27 linuxbox systemd [1]: Începând proxy Squid caching proxy ... 16 apr 15:57:27 linuxbox systemd [1]: A început proxy-ul în cache pentru Squid. 16 apr 15:57:27 linuxbox squid [2876]: Squid Parent: va începe 1 copii 16 apr 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... ed 16 apr 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) proces 2878 ... 1 Sugestie: Unele linii au fost elipsate, folosiți -l pentru a afișa integral

[root @ linuxbox ~] # cat / var / log / messages | calmar grep

Corecții firewall

Trebuie să deschidem și în zonă «extern„porturile 80HTTP y 443 HTTPS astfel încât Squidul poate comunica cu Internetul.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
succes
[root @ linuxbox ~] # firewall-cmd --reload
succes
[root @ linuxbox ~] # firewall-cmd --info-zone external
țintă externă (activă): implicit icmp-block-inversion: fără interfețe: surse ens34: servicii: porturi dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocoale: mascaradă: da porturi directe: surseporturi: icmp-blocks: parametru-problemă redirecționare router-reclamă router-solicitare sursă-stingere reguli bogate:

• Nu este inactiv să mergi la aplicația grafică «Configurare firewall»Și verificați dacă porturile 443 tcp, 80 tcp, 53 tcp și 53 udp sunt deschise pentru zonă«extern«Și că NU am publicat niciun serviciu pentru ea.

Notă despre programul de ajutor basic_pam_auth

Dacă consultăm manualul acestui utilitar prin om basic_pam_auth Vom citi că autorul însuși face o recomandare puternică ca programul să se mute într-un director în care utilizatorii normali nu au suficiente permisiuni pentru a accesa instrumentul.

Pe de altă parte, se știe că, cu această schemă de autorizare, acreditările călătoresc în text simplu și nu este sigur pentru medii ostile, citiți rețelele deschise.

jeff yestrumskas dedică articolul «Instrucțiuni: configurați un proxy web securizat utilizând criptare SSL, proxy Squid Caching și autentificare PAM»La problema creșterii securității cu această schemă de autentificare, astfel încât să poată fi utilizată în rețele deschise potențial ostile.

Instalăm httpd

Ca o modalitate de a verifica funcționarea Squid - și, de altfel, cea a Dnsmasq - vom instala serviciul httpd -Apache server web- ceea ce nu este necesar să se facă. În fișierul relativ la Dnsmasq / etc / banner_add_hosts Declarăm site-urile pe care dorim să le interzică și le atribuim în mod explicit aceeași adresă IP pe care o au cutie linux. Astfel, dacă solicităm accesul la oricare dintre aceste site-uri, pagina de pornire a httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl enable httpd
A fost creat un link simbolic de la /etc/systemd/system/multi-user.target.wants/httpd.service la /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl începe httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Serverul HTTP Apache încărcat: încărcat (/usr/lib/systemd/system/httpd.service; activat; presetare furnizor: dezactivat) Activ: activ (rulează) de la Duminică 2017-04-16 16:41: 35 EDT; 5s în urmă Documente: man: httpd (8) man: apachectl (8) PID principal: 2275 (httpd) Stare: „Se procesează cererile ...” CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 apr 16:41:35 linuxbox systemd [1]: Pornirea serverului HTTP Apache ... 16 apr 16:41:35 linuxbox systemd [1]: A pornit serverul Apache HTTP.

SELinux și Apache

Apache are mai multe politici de configurat în contextul SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> on httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabbix -> httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off_dable - off_dable - off_dable httpd_graceful_shutdown -> on httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_runcobright httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Vom configura doar următoarele:

Trimiteți e-mail prin Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Permiteți Apache să citească conținutul aflat în directoarele principale ale utilizatorilor locali

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Permiteți să administrați prin FTP sau FTPS orice director gestionat de
Apache sau permiteți Apache să funcționeze ca un server FTP care ascultă cererile prin portul FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Pentru mai multe informații, vă rugăm să citiți Configurarea serverelor Linux.

Verificăm autentificarea

Rămâne doar să deschideți un browser pe o stație de lucru și să indicați, de exemplu, spre http://windowsupdate.com. Vom verifica dacă solicitarea este corect redirecționată către pagina principală Apache din linuxbox. De fapt, orice nume de site declarat în fișier / etc / banner_add_hosts veți fi redirecționat către aceeași pagină.

Imaginile de la sfârșitul articolului o demonstrează.

Managementul utilizatorilor

O facem folosind instrumentul grafic «Gestionarea utilizatorilor»Pe care îl accesăm prin meniul Sistem -> Administrare -> Gestionarea utilizatorilor. De fiecare dată când adăugăm un utilizator nou, este creat folderul acestuia / acasă / utilizator în mod automat.

Copiile de rezervă

Clienți Linux

Aveți nevoie doar de browserul normal de fișiere și indicați că doriți să vă conectați, de exemplu: ssh: // buzz @ linuxbox / home / buzz iar după introducerea parolei, va fi afișat directorul Acasă a utilizatorului bâzâit.

Clienți Windows

La clienții Windows, folosim instrumentul WinSCP. Odată instalat, îl folosim în modul următor:

Simplu, nu?

Rezumat

Am văzut că este posibil să folosim PAM pentru autentificarea serviciilor într-o rețea mică și într-un mediu controlat, complet izolat de mâinile hackeri. Acest lucru se datorează în principal faptului că acreditările de autentificare se deplasează în text simplu și, prin urmare, nu este o schemă de autentificare care trebuie utilizată în rețelele deschise, cum ar fi aeroporturile, rețelele Wi-Fi etc. Cu toate acestea, este un mecanism de autorizare simplu, ușor de implementat și configurat.

Surse consultate

• Configurarea serverelor Linux
• Manuale de comandă - man pages

Versiunea PDF

Descărcați versiunea PDF aici.

Până la următorul articol!