Preverjanje pristnosti Squid + PAM v omrežjih CentOS 7- SMB

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Pozdravljeni prijatelji in prijatelji!

Naslov članka bi moral biti: «MATE + NTP + Dnsmasq + Gateway Service + Apache + Squid z avtentifikacijo PAM v Centos 7 - MSP Mreže«. Iz praktičnih razlogov jo skrajšamo.

Nadaljujemo s preverjanjem pristnosti lokalnim uporabnikom v računalniku Linux z uporabo PAM in tokrat bomo videli, kako lahko s pomočjo likvidacij, shranjenih v istem računalniku, v katerem je strežnik, ponudimo storitev Proxy s Squid za majhno omrežje računalnikov. teče Lignji.

Čeprav vemo, da je danes zelo pogosta praksa preverjanja pristnosti storitev proti OpenLDAP, imeniškemu strežniku Red Hat 389, Microsoft Active Directory itd., Menimo, da moramo najprej poiskati preproste in poceni rešitve, nato pa se soočiti z najbolj zapletenimi tistih. Verjamemo, da moramo od preprostega preiti k kompleksnemu.

Stopnja

Gre za majhno organizacijo - z zelo malo finančnimi viri -, ki je namenjena podpiranju uporabe brezplačne programske opreme in DesdeLinuxFan. So različni navdušenci nad OS CentOS združeni v eno samo pisarno. Kupili so delovno postajo - ne profesionalnega strežnika -, ki jo bodo namenili za delovanje kot "strežnik".

Navdušenci nimajo obsežnega znanja o tem, kako implementirati strežnik OpenLDAP ali Samba 4 AD-DC, niti si ne morejo privoščiti licenciranja Microsoftovega aktivnega imenika. Za svoje vsakodnevno delo pa potrebujejo storitve dostopa do interneta prek posrednika - za pospešitev brskanja - in prostora, kjer lahko shranijo svoje najdragocenejše dokumente in delajo kot varnostne kopije.

Še vedno večinoma uporabljajo zakonito pridobljene Microsoftove operacijske sisteme, vendar jih želijo spremeniti v operacijske sisteme, ki temeljijo na Linuxu, začenši s svojim "Server".

Prizadevajo si tudi, da bi imeli svoj poštni strežnik, da bi postali neodvisni - vsaj od izvora - storitev, kot so Gmail, Yahoo, HotMail itd., Kar trenutno uporabljajo.

Pravila požarnega zidu in usmerjanja proti internetu bodo to določila v pogodbenem usmerjevalniku ADSL.

Nimajo pravega imena domene, saj jim ni treba objaviti nobene storitve na internetu.

CentOS 7 kot strežnik brez GUI

Začenjamo z novo namestitvijo strežnika brez grafičnega vmesnika in edina možnost, ki jo med postopkom izberemo, je «Infrastrukturni strežnik»Kot smo videli v prejšnjih člankih v seriji.

Začetne nastavitve

[root @ linuxbox ~] # cat / etc / hostname 
linux box

[root @ linuxbox ~] # mačka / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # ime gostitelja
linux box

[root @ linuxbox ~] # ime gostitelja -f
linuxbox.desdelinux.fan

[root @ linuxbox ~] # ip addr list
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 glej

Onemogočimo Network Manager

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl onemogoči NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Network Manager naložen: naložen (/usr/lib/systemd/system/NetworkManager.service; onemogočen; prednastavitev ponudnika: omogočeno) Aktivno: neaktivno (mrtvo) Dokumenti: človek: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Konfiguriramo omrežne vmesnike

Vmesnik LAN Ens32, povezan z notranjim omrežjem

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = javno

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN vmesnik povezan z internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statični HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Usmerjevalnik ADSL je povezan s # tem vmesnikom z # naslednjim naslovom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = zunanje

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Konfiguracija skladišč

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # original mkdir
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum očisti vse
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Čiščenje repozitorijev: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Čiščenje vsega Čiščenje seznama najhitrejših ogledal

[root @ linuxbox yum.repos.d] # posodobitev yum
Naloženi vtičniki: najhitrejše ogledalo, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Posodobitve-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / posodobitevinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Določanje najhitrejših ogledal Noben paket ni označen za posodobitev

Sporočilo "Noben paket ni označen za posodobitev»Prikazano je, ker smo med namestitvijo prijavili iste lokalne repozitorije, ki jih imamo na voljo.

Centos 7 z namiznim okoljem MATE

Da bi uporabili zelo dobra orodja za upravljanje z grafičnim vmesnikom, ki nam ga ponuja CentOS / Red Hat, in ker vedno pogrešamo GNOME2, smo se odločili, da namestimo MATE kot namizno okolje.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Če želimo preveriti, ali se MATE pravilno naloži, v konzoli -local ali remote- izvedemo naslednji ukaz:

[root @ linuxbox ~] # systemctl izoliraj graphical.target

in namizno okolje je treba naložiti -v lokalni ekipi- gladko, prikazuje svetloba kot grafično prijavo. Vtipkamo ime lokalnega uporabnika in njegovo geslo in vnesli bomo MATE.

Povedati sistemd da je privzeta raven zagona 5-grafično okolje - ustvarimo naslednjo simbolično povezavo:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Znova zaženemo sistem in vse deluje v redu.

Namestimo časovno storitev za omrežja

[root @ linuxbox ~] # yum namestite ntp

Med namestitvijo nastavimo, da se lokalna ura sinhronizira s časovnim strežnikom opreme sistemski skrbnik.desdelinux.fan z IP 192.168.10.1. Torej datoteko shranimo ntp.conf izvirnik:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Zdaj ustvarimo novega z naslednjo vsebino:

[root @ linuxbox ~] # nano /etc/ntp.conf # Strežniki, konfigurirani med namestitvijo: strežnik 192.168.10.1 iburst # Za več informacij glejte strani z navodili: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Dovoli sinhronizacijo s časovnim virom, ne pa tudi # dovoli viru, da se posvetuje ali spremeni to storitev omeji privzeto nomodify notrap nopeer noquery # Dovoli ves dostop do vmesnika Loopback omeji 127.0.0.1 restrict :: 1 # Omejite malo manj na računalnike v lokalnem omrežju. restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap # Uporabite javne strežnike projekta pool.ntp.org # Če se želite pridružiti projektu, obiščite # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # Broadcast Server Broadcast Client # Broadcast Client # Broadcast 224.0.1.1 Autokey # multicast server #multicastclient 224.0.1.1 239.255.254.254 # Omogoči javno kriptografijo. #crypto includefile / etc / ntp / crypto / pw # Datoteka ključa, ki vsebuje ključe in identifikatorje ključev #, uporabljena pri delovanju s simetričnimi ključi kriptografije ključev / etc / ntp / keys # Določite zaupanja vredne identifikatorje ključev. #trustedkey 239.255.254.254 192.168.10.255 4 # Določite identifikator ključa za uporabo s pripomočkom ntpdc. #requestkey 8 # Določite identifikator ključa za uporabo s pripomočkom ntpq. #controlkey 42 # Omogoči zapisovanje statističnih registrov. #statistics clockstats cryptostats loopstats peerstats # Onemogočite nadzor secesije, da preprečite ojačanje # napadov z ukazom ntpdc monlist, ko privzeta omejitev # ne vključuje zastavice noquery. Za več podrobnosti preberite CVE-8-8 #. # Opomba: Monitor ni onemogočen z zastavico omejene omejitve. onemogoči monitor

Storitev NTP omogočimo, zaženemo in preverimo

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Naložena omrežna storitev: naloženo (/usr/lib/systemd/system/ntpd.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogoči ntpd
Ustvarjena je simbolna povezava od /etc/systemd/system/multi-user.target.wants/ntpd.service do /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - omrežna časovna storitev
   Naloženo: naloženo (/usr/lib/systemd/system/ntpd.service; omogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: aktivno (v teku) od petka 2017-04-14 15:51:08 EDT; Pred 1s Proces: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / USPEH) Glavni PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp in požarni zid

[root @ linuxbox ~] # firewall-cmd --get-active-zone
zunanja
  vmesniki: ens34
javnega
  vmesniki: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --reload
uspeh

Omogočamo in konfiguriramo Dnsmasq

Kot smo videli v prejšnjem članku v seriji Small Business Networks, je Dnsamasq privzeto nameščen na infrastrukturnem strežniku CentOS 7.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - strežnik za predpomnjenje DNS. Naloženo: naloženo (/usr/lib/systemd/system/dnsmasq.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogoči dnsmasq
Ustvarjena je simbolna povezava od /etc/systemd/system/multi-user.target.wants/dnsmasq.service do /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - strežnik za predpomnjenje DNS. Naloženo: naloženo (/usr/lib/systemd/system/dnsmasq.service; omogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: aktivno (v teku) od petka 2017-04-14 16:21:18 EDT; Pred 4s Glavni PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # SPLOŠNE MOŽNOSTI # ----------------------------------- --------------------------------------potrebna domena # Ne posredujte imen brez domene part bogus-priv # Ne posreduj naslovov v neusmerjenem prostoru expand-hosts # Samodejno doda domeno gostiteljskemu vmesniku=ens32 # Vmesnik LAN strict-order # Vrstni red, v katerem se poizveduje datoteka /etc/resolv.conf conf- dir=/etc /dnsmasq.d domena=desdelinux.fan # Naslov imena domene=/time.windows.com/192.168.10.5 # Pošlje prazno možnost vrednosti WPAD. Zahtevano za pravilno delovanje odjemalcev # Windows 7 in novejših. ;-) dhcp-option=252,"\n" # Datoteka, kjer bomo razglasili GOSTITELJE, ki bodo "prepovedani" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------------- # Ta vrsta zapisa zahteva vnos # v datoteki /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # Vrne zapis MX z imenom "desdelinux.fan" namenjen # poštni ekipi.desdelinux.fan in prednost 10 mx-host=desdelinux.fan, pošta.desdelinux.fan,10 # Privzeti cilj za zapise MX, ustvarjene # z možnostjo localmx, bo: mx-target=mail.desdelinux.fan # Vrne zapis MX, ki kaže na mx-target za VSE # lokalne stroje localmx # zapise TXT. Lahko tudi deklariramo zapis SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fan,"DesdeLinux, vaš spletni dnevnik, posvečen brezplačni programski opremi" # ----------------------------------------------- -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- -------------------------------------------- # IPv4 obseg in čas zakupa # 1 do 29 sta za strežnike in druge potrebe dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Največje število naslovov za zakup # privzeto je 150 # IPV6 obseg # dhcp-range=1234::, ra-only # Možnosti za RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # DNS strežniki dhcp-option =15,desdelinux.fan # Ime domene DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative on subnet # --- --- ---------------------------------------------- --- ----------- # Če želite dnevnik poizvedbe shraniti v /var/log/messages # odkomentirajte spodnjo vrstico # ---------- ------- -------------------------------------------- -------
# log-poizvedbe
# END datoteke /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Datoteko ustvarimo / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Fiksni naslovi IP

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sistemski skrbnik.desdelinux.fan sistemski skrbnik

Konfiguriramo datoteko /etc/resolv.conf - resolverju

[root @ linuxbox ~] # nano /etc/resolv.conf
Iskanje desdelinux.fan nameserver 127.0.0.1 # Za zunanje ali # nedomenske poizvedbe DNS desdelinux.fan # lokalni=/desdelinux.fan/ nameserver 8.8.8.8

Preverimo skladnjo datoteke dnsmasq.conf, zaženemo in preverimo stanje storitve

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: preverjanje skladnje je v redu.
[root @ linuxbox ~] # systemctl znova zaženite dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq in požarni zid

[root @ linuxbox ~] # firewall-cmd --get-active-zone
zunanja
  vmesniki: ens34
javnega
  vmesniki: ens32

storitev domena o strežnik domenskih imen (dns). Protokol Močan «IP s šifriranjem«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
uspeh

Dnsmasq poizveduje do zunanjih strežnikov DNS

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
uspeh

storitev zagona o Strežnik BOOTP (dhcp). Protokol ippc «Internet Pluribus paketno jedro«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
uspeh

[root @ linuxbox ~] # firewall-cmd --reload
uspeh

[root @ linuxbox ~] # firewall-cmd - javna javna informacija (aktivno)
  target: privzeta inverzija icmp-block: brez vmesnikov: ens32 viri: storitve: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokoli: masquerade: no forward-ports: sourceports: icmp -blocks: bogata pravila:

[root @ linuxbox ~] # firewall-cmd --info-zone zunanji zunanji (aktiven)
  target: privzeta inverzija icmp-block: brez vmesnikov: ens34 viri: storitve: dns ports: 53 / udp 53 / tcp protokoli: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router- bogata pravila za pridobivanje virov:

Če želimo uporabiti grafični vmesnik za konfiguriranje požarnega zidu v CentOS 7, pogledamo v splošni meni - odvisno bo od okolja namizja, v katerem podmeniju se pojavi - program «Požarni zid», ga zaženemo in po vnosu uporabnikovega geslo koren, bomo dostopali do programskega vmesnika kot takega. V MATE se prikaže v meniju «Sistem »->" Administracija "->" Požarni zid ".

Izberemo območje «javnega»In pooblaščamo storitve, ki jih želimo objaviti v LAN-u, ki so do zdaj dhcp, dns, ntp in ssh. Po izbiri storitev in preverjanju, ali vse deluje pravilno, moramo spremembe med izvajanjem spremeniti v trajne. Za to gremo v meni Možnosti in izberemo možnost «Čas trajanja do trajnega".

Kasneje izberemo območje «zunanja»In preverimo, ali so vrata, potrebna za komunikacijo z internetom, odprta. NE objavljajte storitev v tej coni, razen če dobro vemo, kaj počnemo!.

Ne pozabimo spremeniti trajnih sprememb z možnostjo «Čas trajanja do trajnega»In ponovno naložite demona Požarni zidD, vsakič, ko uporabimo to močno grafično orodje.

NTP in Dnsmasq iz odjemalca Windows 7

Sinhronizacija z NTP

zunanja

Zakupljeni IP naslov

Microsoft Windows [Različica 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Vse pravice pridržane. C: \ Users \ buzz> ipconfig / vse ime gostitelja za konfiguracijo IP-ja Windows. . . . . . . . . . . . : SEDEM
   Primarna pripona Dns. . . . . . . :
   NodeType. . . . . . . . . . . . : Hibridno IP usmerjanje je omogočeno. . . . . . . . : Proxy WINS ni omogočen. . . . . . . . : Brez iskalnega seznama DNS pripone. . . . . . : desdelinux.fan Ethernet adapter Lokalna povezava: DNS pripona, specifična za povezavo. : desdelinux.fan Opis . . . . . . . . . . . : Fizični naslov omrežne povezave Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP omogočen. . . . . . . . . . . : Da Samodejna konfiguracija omogočena. . . . : Vilice
   Naslov IPv4. . . . . . . . . . . : 192.168.10.115 (prednostno)
   SubnetMask . . . . . . . . . . . : 255.255.255.0 Dobljen najem. . . . . . . . . . : Petek, 14. april 2017 5:12:53 Najem poteče. . . . . . . . . . : sobota, 15. april 2017 1:12:53 Privzeti prehod . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 DNS strežniki. . . . . . . . . . . : 192.168.10.5 NetBIOS preko Tcpip. . . . . . . . : Omogočen Adapter tunela Lokalna povezava* 9: Stanje medija . . . . . . . . . . . : Medijska povezava prekinjena Pripona DNS, specifična za povezavo. : Opis . . . . . . . . . . . : Fizični naslov adapterja za tuneliranje Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP omogočen. . . . . . . . . . . : Samodejna konfiguracija ni omogočena. . . . : Da Tunelski adapter isatap.desdelinux.fan: Medijska država. . . . . . . . . . . : Medijska povezava prekinjena Pripona DNS, specifična za povezavo. : desdelinux.fan Opis . . . . . . . . . . . : Microsoft ISATAP Adapter #2 Fizični naslov. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP omogočen. . . . . . . . . . . : Samodejna konfiguracija ni omogočena. . . . : Da C:\Uporabniki\buzz>

Nasvet

Pomembna vrednost pri odjemalcih sistema Windows je "Primarna pripona Dns" ali "Pripona glavne povezave". Ko ne uporabljate Microsoftovega krmilnika domene, mu operacijski sistem ne dodeli nobene vrednosti. Če se soočamo s primerom, kot je opisan na začetku članka, in želimo to vrednost izrecno navesti, moramo nadaljevati, kot je prikazano na naslednji sliki, sprejeti spremembe in znova zagnati odjemalca.

Če spet tečemo CMD -> ipconfig / vse dobili bomo naslednje:

Microsoft Windows [Različica 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Vse pravice pridržane. C: \ Users \ buzz> ipconfig / vse ime gostitelja za konfiguracijo IP-ja Windows. . . . . . . . . . . . : SEDEM
   Primarna pripona Dns. . . . . . . : desdelinux.fan
   NodeType. . . . . . . . . . . . : Hibridno IP usmerjanje je omogočeno. . . . . . . . : Proxy WINS ni omogočen. . . . . . . . : Brez iskalnega seznama DNS pripone. . . . . . : desdelinux.fan

Preostale vrednosti ostanejo nespremenjene

Preverjanje DNS

buzz @ sysadmin: ~ $ gostitelj spynet.microsoft.com
spynet.microsoft.com ima naslov 127.0.0.1 Gostitelj spynet.microsoft.com ni najden: 5 (ZAVRNJENO) pošto spynet.microsoft.com obravnava 1 pošta.desdelinux.fan.

buzz @ sysadmin: ~ $ gostitelj linuxbox
linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ gostitelj sysadmin
sistemski skrbnik.desdelinux.fan ima naslov 192.168.10.1 sistemski skrbnik.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ gostiteljska pošta
pošte.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.

Namestimo -samo za testiranje- Nadzorni NSD strežnika DNS v sistemski skrbnik.desdelinux.fanin vključimo naslov IP 172.16.10.1 v arhivu / Etc / resolv.conf ekipe linuxbox.desdelinux.fan, da preveri, ali je Dnsmasq pravilno izvajal svojo funkcijo Forwarder. Peskovniki na strežniku NSD so favt.org y toujague.org. Vsi IP-ji so izmišljeni ali iz zasebnih omrežij.

Če onemogočimo vmesnik WAN ens34 z uporabo ukaza ifdown ens34, Dnsmasq ne bo mogel iskati zunanjih strežnikov DNS.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Gostitelja toujague.org ni mogoče najti: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gostitelj pizzapie.favt.org
Gostitelja pizzapie.favt.org ni mogoče najti: 3 (NXDOMAIN)

Omogočimo vmesnik ens34 in ponovno preverimo:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ gostitelj pizzapie.favt.org
pizzapie.favt.org je vzdevek za paisano.favt.org. naslov paisano.favt.org je 172.16.10.4

[buzz @ linuxbox ~] $ gostitelj pizzapie.toujague.org
Gostitelja pizzas.toujague.org ni mogoče najti: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ gostitelj poblacion.toujague.org
poblacion.toujague.org ima naslov 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
imenski strežnik favt.org ns1.favt.org. imenski strežnik favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
imenski strežnik toujague.org ns1.toujague.org. imenski strežnik toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
pošto na toujague.org obravnava 10 mail.toujague.org.

Posvetujmo se od sistemski skrbnik.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
Iskanje desdelinux.fan imenski strežnik 192.168.10.5

xeon @ sysadmin: ~ $ gostitelj mail.toujague.org
mail.toujague.org ima naslov 169.18.10.19

Dnsmasq deluje kot Posrednik pravilno.

Lignji

V knjigi v obliki PDF «Konfiguracija strežnika Linux»Avtor dne 25. julija 2016 Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), besedilo, na katero sem se skliceval v prejšnjih člankih, je posvečeno celotnemu poglavju Osnovne možnosti konfiguracije lignjev.

Zaradi pomembnosti storitve Web - Proxy reproduciramo Uvod o lignjih v prej omenjeni knjigi:

105.1. Uvod.

105.1.1. Kaj je posredniški strežnik (proxy)?

Izraz v angleščini "Zastopnik" ima zelo splošen in hkrati dvoumen pomen
vedno velja za sopomenko pojma "Posrednik". Običajno se v strogem smislu prevede kot delegat o pooblaščen (tisti, ki ima moč nad drugim).

Un Posredniški strežnik Opredeljen je kot računalnik ali naprava, ki ponuja omrežno storitev, ki vključuje odjemalcem omogočanje posrednih omrežnih povezav z drugimi omrežnimi storitvami. Med postopkom se zgodi naslednje:

• Naročnik se poveže z a Proxy strežnik.
• Naročnik zahteva povezavo, datoteko ali drug vir, ki je na voljo na drugem strežniku.
• Posredniški strežnik zagotavlja vir bodisi tako, da se poveže z določenim strežnikom
  ali pa ga streže iz predpomnilnika.
• V nekaterih primerih Posredniški strežnik lahko spremeni naročnikovo zahtevo ali
  odziv strežnika za različne namene.

P Proxy strežniki na splošno so narejeni tako, da hkrati delujejo kot požarni zid, ki deluje v Raven omrežja, ki deluje kot paketni filter, kot v primeru iptables ali delujejo v Raven uporabe, nadzor različnih storitev, kot je primer Ovojnica TCP. Glede na kontekst je požarni zid znan tudi kot razširitev BPD o BDa Pvrtenje Device ali samo paketni filter.

Pogosta uporaba Proxy strežniki je, da deluje kot predpomnilnik omrežne vsebine (predvsem HTTP), ki v bližini strank zagotavlja predpomnilnik strani in datotek, ki so na voljo prek omrežja na oddaljenih strežnikih HTTP, kar omogoča odjemalcem lokalnega omrežja, da dostopajo do njih hitreje in bolj zanesljiv.

Ko je v a. Prejeta zahteva za določen omrežni vir URL (Uenakomerno Rvir Lokator) Posredniški strežnik poiščite rezultat URL v predpomnilniku. Če je ugotovljeno, Posredniški strežnik Stranka odgovori tako, da takoj zagotovi zahtevano vsebino. Če zahtevane vsebine v predpomnilniku ni, bo Posredniški strežnik prinesel ga bo z oddaljenega strežnika, dostavil odjemalcu, ki ga je zahteval, in shranil kopijo v predpomnilnik. Vsebina v predpomnilniku se nato odstrani z algoritmom poteka glede na starost, velikost in zgodovino odzivi na zahteve (zadetki) (primeri: LRU, LFUDA y GDSF).

Proxy strežniki za omrežno vsebino (spletni proxyji) lahko delujejo tudi kot filtri za vsebino, ki se prikazuje, in uporabljajo cenzurne politike v skladu s poljubnimi merili..

Različica Squid, ki jo bomo namestili, je 3.5.20-2.el7_3.2 iz skladišča Posodobitve.

Namestitev

[root @ linuxbox ~] # yum namestite lignje

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  lignji.konf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl omogoči lignje

Pomembno

• Glavni cilj tega članka je pooblastiti lokalne uporabnike za povezovanje s Squid iz drugih računalnikov, povezanih v LAN. Poleg tega izvedite jedro strežnika, ki mu bodo dodane druge storitve. To ni članek, posvečen lignjem kot takim.
• Če si želite predstaviti možnosti konfiguracije Squid, preberite /usr/share/doc/squid-3.5.20/squid.conf.dokumentirano datoteko z 7915 vrsticami.

SELinux in lignji

[root @ linuxbox ~] # getsebool -a | grep lignji
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = on

konfiguracija

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports vrata 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # neregistrirana vrata acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Zavrnemo poizvedbe za nezaščitena vrata http_access deny! Safe_ports # Zavrnemo metodo CONNECT za nezaščitena vrata http_access deny CONNECT! SSL_ports # Dostop do Upravitelj predpomnilnika samo iz localhost http_access dovoli localhost manageru http_access deny manager # Priporočamo, da se naslednje prikomentira, da se zaščitijo nedolžni # spletni programi, ki se izvajajo na proxy strežniku in menijo, da je edini #, ki lahko dostopa do storitev na "localhost", lokalni uporabnik http_access zanika to_localhost # # TUKAJ VLOŽITE SVOJA PRAVILA, DA DOVOLITE DOSTOP OD STRANK # # PAM pooblastilo
auth_param osnovni program / usr / lib64 / squid / basic_pam_auth
auth_param osnovni otroci 5 auth_param osnovno področje desdelinux.fan auth_param basic credentialsttl 2 uri auth_param basic casesensitive off # Dostop Squid zahteva preverjanje pristnosti acl Enthusiasts proxy_auth REQUIRED # Dovoljujemo dostop preverjenim uporabnikom # prek PAM http_access deny !Enthusiasts # Dostop do mest FTP acl ftp proto FTP http_access dovoli ftp http_access dovoli localnet http_access allow localhost # Zavrnemo kakršen koli drug dostop do http_access proxy deny all # Squid običajno posluša na vratih 3128 http_port 3128 # Pustimo "coredumps" v prvem imeniku predpomnilnika coredump_dir /var/spool/squid # # Dodajte kateri koli svoj vzorec osveževanja vnosov nad temi. # vzorec_osvežitve ^ftp: 1440 20% 10080 vzorec_osvežitve ^gopher: 1440 0% 1440 vzorec_osvežitve -i (/cgi-bin/|\?) 0 0% 0 vzorec_osvežitve . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_ upravnik buzz@desdelinux.fan # Drugi parametri visible_hostname linuxbox.desdelinux.fan

Preverimo skladnjo datoteke /etc/squid/squid.conf

[root @ linuxbox ~] # lignji -k razčleni
2017/04/16 15:45:10| Zagon: Inicializacija shem za preverjanje pristnosti ... 2017 04:16:15| Zagon: Inicializirana avtentikacijska shema 'osnovna' 45/10/2017 04:16:15| Zagon: Inicializirana avtentikacijska shema 'povzetek' 45/10/2017 04:16:15| Zagon: Inicializirana avtentikacijska shema 'pogajanje' 45/10/2017 04:16:15| Zagon: Inicializirana avtentikacijska shema 'ntlm' 45/10/2017 04:16:15| Zagon: Inicializirano preverjanje pristnosti. 45/10/2017 04:16:15| Obdelava konfiguracijske datoteke: /etc/squid/squid.conf (globina 45) 10/0/2017 04:16:15| Obdelava: acl localnet src 45/10 192.168.10.0/24/2017 04:16:15| Obdelava: acl SSL_ports port 45 10 443/21/2017 04:16:15| Obdelava: acl Safe_ports port 45 # http 10/80/2017 04:16:15| Obdelava: acl Safe_ports port 45 # ftp 10/21/2017 04:16:15| Obdelava: acl Safe_ports port 45 # https 10/443/2017 04:16:15| Obdelava: acl Safe_ports port 45 # gopher 10/70/2017 04:16:15| Obdelava: acl Safe_ports vrata 45 # wais 10/210/2017 04:16:15| Obdelava: acl Safe_ports port 45-10 # neregistrirana vrata 1025/65535/2017 04:16:15| Obdelava: acl Safe_ports vrata 45 # http-mgmt 10/280/2017 04:16:15| Obdelava: acl Safe_ports vrata 45 # gss-http 10/488/2017 04:16:15| Obdelava: acl Safe_ports port 45 # filemaker 10/591/2017 04:16:15| Obdelava: acl Safe_ports port 45 # multiling http 10/777/2017 04:16:15| Obdelava: acl CONNECT metoda CONNECT 45/10/2017 04:16:15| Obdelava: http_access deny !Safe_ports 45/10/2017 04:16:15| Obdelava: http_access deny CONNECT !SSL_ports 45/10/2017 04:16:15| Obdelava: http_access dovolite upravitelja lokalnega gostitelja 45/10/2017 04:16:15| Obdelava: http_access deny manager 45/10/2017 04:16:15| Obdelava: http_access deny to_localhost 45/10/2017 04:16:15| Obdelava: osnovni program auth_param /usr/lib45/squid/basic_pam_auth 10/64/2017 04:16:15| Obdelava: auth_param osnovni otroci 45 10/5/2017 04:16:15| Obdelava: osnovno področje auth_param desdelinux.fan 2017/04/16 15:45:10| Obdelava: auth_param basic credentialsttl 2 uri 2017/04/16 15:45:10| Obdelava: auth_param osnovni občutljiv na velike in male črke izklopljen 2017/04/16 15:45:10| Obdelava: acl Enthusiasts proxy_auth ZAHTEVAN 2017/04/16 15:45:10| Obdelava: http_access deny !Enthusiasts 2017/04/16 15:45:10| Obdelava: acl ftp proto FTP 2017/04/16 15:45:10| Obdelava: http_access enable ftp 2017/04/16 15:45:10| Obdelava: http_access enable localnet 2017/04/16 15:45:10| Obdelava: http_access enable localhost 2017/04/16 15:45:10| Obdelava: http_access deny all 2017/04/16 15:45:10| Obdelava: http_port 3128 2017/04/16 15:45:10| Obdelava: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Obdelava: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Obdelava: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Obdelava: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Obdelava: refresh_pattern. 0 20% 4320 2017/04/16 15:45:10| Obdelava: cache_mem 64 MB 2017/04/16 15:45:10| Obdelava: memory_replacement_policy lru 2017/04/16 15:45:10| Obdelava: kup cache_replacement_policy LFUDA 2017/04/16 15:45:10| Obdelava: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Obdelava: največja_velikost_objekta 4 MB 2017/04/16 15:45:10| Obdelava: cache_swap_low 85 2017/04/16 15:45:10| Obdelava: cache_swap_high 90 2017/04/16 15:45:10| Obdelava: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Obdelava: visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Inicializacija konteksta strežnika proxy https

Dovoljenja prilagodimo v / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Ustvarimo imenik predpomnilnika

# Za vsak slučaj ... [root @ linuxbox ~] # servisni lignji ustavijo
Preusmeritev na / bin / systemctl stop squid.service

[root @ linuxbox ~] # lignji -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Trenutni imenik nastavite na / var / spool / squid 2017/04/16 15:48:28 kid1 | Ustvarjanje manjkajočih imenikov swap 2017/04/16 15:48:28 kid1 | / var / spool / squid obstaja 2017/04/16 15:48:28 kid1 | Ustvarjanje imenikov v / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | Izdelava imenikov v / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Izdelava imenikov v / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Izdelava imenikov v / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | Izdelava imenikov v / var / spool / squid / 0F

Na tej točki, če traja nekaj časa, da se vrne ukazni poziv, ki mi ni bil nikoli vrnjen, pritisnite Enter.

[root @ linuxbox ~] # zagon lignjev storitve
[root @ linuxbox ~] # ponovni zagon lignjev storitve
[root @ linuxbox ~] # status lignjev storitve
Preusmerjanje na / bin / systemctl status squid.service ● squid.service - Proxy za predpomnjenje lignjev Naloženo: naloženo (/usr/lib/systemd/system/squid.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: aktivno (deluje) od dom 2017-04-16 15:57:27 EDT; Pred 1 s Proces: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Proces: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (koda = izhod, status = 0 / USPEH) Proces: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (koda = izhod, status = 0 / USPEH) Glavni PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16. april 15:57:27 linuxbox systemd [1]: Zagon proxyja za predpomnjenje lignjev ... 16. april 15:57:27 linuxbox systemd [1]: Začeli proxy za predpomnjenje lignjev. 16. apr. 15:57:27 lquidbox lignji [2876]: Squid Parent: začel bo 1 otrok 16. apr. 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed. 16. apr. 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Namig: Nekatere vrstice so bile elipsirane, za prikaz v celoti uporabite -l

[root @ linuxbox ~] # cat / var / log / messages | grep lignji

Popravki požarnega zidu

Odpreti se moramo tudi v coni «zunanja"pristanišča 80HTTP y 443 HTTPS tako lahko lignji komunicirajo z internetom.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
uspeh
[root @ linuxbox ~] # firewall-cmd --reload
uspeh
[root @ linuxbox ~] # firewall-cmd --info-zone external
zunanji (aktivni) cilj: privzeta pretvorba icmp-block: brez vmesnikov: ens34 viri: storitve: dns vrata: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoli: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router-solicitation source-quench bogata pravila:

• Če ne gremo v grafično aplikacijo, ne delamo «Nastavitve požarnega zidu»In preverite, ali so vrata 443 tcp, 80 tcp, 53 tcp in 53 udp odprta za območje«zunanja«, In da zanjo nismo objavili nobene storitve.

Opomba o pomožnem programu basic_pam_auth

Če si oglejte priročnik tega pripomočka prek človek basic_pam_auth Prebrali bomo, da avtor sam močno priporoča, da se program premakne v imenik, kjer običajni uporabniki nimajo zadostnih dovoljenj za dostop do orodja.

Po drugi strani pa je znano, da s to shemo pooblastil poverilnice potujejo v navadnem besedilu in ni varno za sovražna okolja, beri odprta omrežja.

jeff yestrumskas posveti članek «Navodila: Nastavite varni spletni strežnik proxy z uporabo šifriranja SSL, Squid Caching Proxy in preverjanja pristnosti PAM»Vprašanje povečanja varnosti s to shemo za preverjanje pristnosti, tako da jo lahko uporabljamo v potencialno sovražnih odprtih omrežjih.

Namestimo httpd

Kot način za preverjanje delovanja Squid -a in mimogrede tudi Dnsmasq-a bomo namestili storitev httpd -Spletni strežnik Apache- kar ni potrebno. V datoteki glede na Dnsmasq / etc / banner_add_hosts Spletna mesta razglašamo za prepovedana in jim izrecno dodelimo isti naslov IP, kot ga imajo linux box. Če torej zahtevamo dostop do katerega koli od teh spletnih mest, je domača stran spletnega mesta httpd.

[root @ linuxbox ~] # yum namesti httpd [root @ linuxbox ~] # systemctl omogoči httpd
Ustvarjena je simbolna povezava od /etc/systemd/system/multi-user.target.wants/httpd.service do /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - strežnik Apache HTTP naložen: naložen (/usr/lib/systemd/system/httpd.service; omogočeno; prednastavitev prodajalca: onemogočeno) aktiven: aktiven (teče) od 2017. aprila 04: 16 EDT; Pred 16s Dokumenti: man: httpd (41) man: apachectl (35) Glavni PID: 5 (httpd) Stanje: "Obdelava zahtev ..." CGroup: /system.slice/httpd.service ├─8 / usr / sbin / httpd -DFOREGROUND ├─8 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND └─2277 / usr / sbin / httpd -DFOREGROUND 2278. april 2279:2280:16 linuxbox systemd [16]: Zagon strežnika Apache HTTP ... 41. april 35:1:16 linuxbox systemd [16]: Začel strežnik Apache HTTP.

SELinux in Apache

Apache ima več pravilnikov za konfiguriranje v kontekstu SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> nogama httpd_builtin_scripting -> o httpd_can_check_spam -> nogama httpd_can_connect_ftp -> nogama httpd_can_connect_ldap -> nogama httpd_can_connect_mythtv -> nogama httpd_can_connect off_zabbix -> nogama httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> nogama httpd_can_network_relay -> nogama httpd_can_sendmail -> nogama httpd_dbus_avahi -> nogama httpd_dbus_sssd -> nogama httpd_dontaudit_search_dirs -> nogama httpd_enable_cgi -> o httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enable_offmirs offpd_server_enable_ httpd_graceful_shutdown -> o httpd_manage_ipa -> nogama httpd_mod_auth_ntlm_winbind -> nogama httpd_mod_auth_pam -> nogama httpd_read_user_content -> nogama httpd_run_ipa -> nogama httpd_run_preupgrade -> nogama httpd_runcobshift offlimerfift_runco_stick nogama> izklop httpd_runcobshift offlimift_runcoXNUMXy httpd_ssi_exec -> izklop httpd_sys_script_anon_write -> izklop httpd_tmp_exec -> izklop httpd_tty_comm - > izklop httpd_unified -> izklop httpd_use_cifs -> izklop httpd_use_fusefs -> izklop httpd_use_gpg -> izklop httpd_use_nfs -> izklop httpd_use_openstack -> izklop httpd_use_sasl -> izklop httpd_verify_dns -> izklop

Konfigurirali bomo le naslednje:

Pošljite e-pošto prek Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Dovoli Apacheju branje vsebine v domačih imenikih lokalnih uporabnikov

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Dovoli upravljanje prek FTP ali FTPS katerega koli imenika, ki ga upravlja
Apache ali dovolite, da Apache deluje kot strežnik FTP, ki posluša zahteve prek vrat FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Za več informacij preberite Konfiguracija strežnika Linux.

Preverimo pristnost

Ostane le odpreti brskalnik na delovni postaji in usmeriti na primer na http://windowsupdate.com. Preverili bomo, ali je zahteva pravilno preusmerjena na domačo stran Apache v linuxboxu. Pravzaprav katero koli ime spletnega mesta, navedeno v datoteki / etc / banner_add_hosts preusmerjeni boste na isto stran.

Slike na koncu članka to dokazujejo.

Upravljanje uporabnikov

To naredimo z grafičnim orodjem «upravljanje uporabnik»Do katerega dostopamo prek menija Sistem -> Administracija -> Upravljanje uporabnikov. Vsakič, ko dodamo novega uporabnika, se ustvari njegova mapa / home / uporabnik samodejno.

Varnostne kopije

Odjemalci Linuxa

Potrebujete samo običajni brskalnik datotek in navedite, da se želite povezati, na primer: ssh: // buzz @ linuxbox / home / buzz in po vnosu gesla se prikaže imenik domov uporabnika buzz.

Odjemalci sistema Windows

V odjemalcih sistema Windows uporabljamo orodje WinSCP. Ko je nameščen, ga uporabimo na naslednji način:

Preprosto, kajne?

Povzetek

Videli smo, da je mogoče PAM uporabljati za overjanje storitev v majhnem omrežju in v nadzorovanem okolju, popolnoma izoliranem od rok hekerji. To je predvsem posledica dejstva, da overitvene poverilnice potujejo v navadnem besedilu, zato ni overitvena shema za uporabo v odprtih omrežjih, kot so letališča, omrežja Wi-Fi itd. Vendar je to preprost mehanizem za avtorizacijo, enostaven za uporabo in konfiguriranje.

Posvetovani viri

• Konfiguracija strežnika Linux
• Ukazi za ukaze - man strani

PDF različica

Prenesite različico PDF tukaj.

Do naslednjega članka!