Vërtetimi i Squid + PAM në CentOS 7- Rrjetet SMB

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Përshëndetje miq dhe miq!

Titulli i artikullit duhet të ishte: «MATE + NTP + Dnsmasq + Shërbimi Gateway + Apache + Kallamar me Vërtetim PAM në Centos 7 - Rrjetet e NVM-ve« Për arsye praktike ne e shkurtojmë atë.

Ne vazhdojmë me vërtetimin tek përdoruesit lokalë në një kompjuter Linux duke përdorur PAM, dhe këtë herë do të shohim se si mund të sigurojmë shërbimin Proxy me Squid për një rrjet të vogël kompjuterash, duke përdorur kredencialet e vërtetimit të ruajtura në të njëjtin kompjuter ku serveri po ekzekutohet kallamar.

Megjithëse e dimë që është një praktikë shumë e zakonshme në ditët e sotme, të vërtetosh shërbime kundër një OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, etj., Ne konsiderojmë që së pari duhet të kalojmë nëpër zgjidhje të thjeshta dhe të lira, dhe më pas të përballemi me ato më komplekse. Ne besojmë se duhet të kalojmë nga e thjeshta në komplekse.

Indeks

Fazë

Isshtë një organizatë e vogël - me shumë pak burime financiare - e përkushtuar për të mbështetur përdorimin e Softuerit të Lirë dhe që zgjodhi emrin e NgaLinux.Fan. Ata janë entuziastë të ndryshëm të sistemit operativ CentOS të grupuar në një zyrë të vetme. Ata blenë një stacion pune - jo një server profesional - të cilin ata do t'ia kushtojnë për të funksionuar si një "server".

Entuziastët nuk kanë njohuri të gjera se si të zbatojnë një server OpenLDAP ose një Samba 4 AD-DC, dhe as nuk mund të lejojnë të licencojnë një Direktori Aktive të Microsoft. Sidoqoftë, për punën e tyre të përditshme, ata kanë nevojë për shërbime të hyrjes në Internet përmes një Proxy -për të shpejtuar shfletimin- dhe një hapësire për të ruajtur dokumentet e tyre më të vlefshme dhe për të punuar si kopje rezervë.

Ata akoma më së shumti përdorin sisteme operative të blera ligjërisht Microsoft, por duan t'i ndryshojnë ato në Sisteme Operative të bazuara në Linux, duke filluar me "Serverin" e tyre.

Ata gjithashtu aspirojnë të kenë serverin e tyre të postës për t'u bërë të pavarur - të paktën nga origjina - e shërbimeve të tilla si Gmail, Yahoo, HotMail, etj, gjë që është ajo që ata përdorin aktualisht.

Rregullat e Firewall dhe Routing kundër Internetit do ta vendosin atë në Routerin ADSL të kontraktuar.

Ata nuk kanë një emër domain të vërtetë pasi nuk kanë nevojë të botojnë ndonjë shërbim në internet.

CentOS 7 si një server pa GUI

Ne po fillojmë nga një instalim i ri i një serveri pa një ndërfaqe grafike, dhe opsioni i vetëm që zgjedhim gjatë procesit është «Serveri i infrastrukturës»Siç e pamë në artikujt e mëparshëm të serisë.

Cilësimet fillestare

[root @ linuxbox ~] # emër cat / etj / host 
kuti linux

[root @ linuxbox ~] # cat / etj / host
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # emër host
kuti linux

[root @ linuxbox] # emri i hostit -f
linuxbox.fromlinux.fan

[root @ linuxbox] # ip listë shtuesish
[root @ linuxbox] # ifconfig -a
[root @ linuxbox] # ls / sys / class / net /
ens32 ens34 ja

Ne e çaktivizojmë Menaxherin e Rrjetit

[root @ linuxbox] # ndalo systemctl NetworkManager

[root @ linuxbox] # systemctl çaktivizon NetworkManager

[root @ linuxbox] # status systemctl NetworkManager
● NetworkManager.service - Menaxheri i Rrjetit i ngarkuar: i ngarkuar (/usr/lib/systemd/system/NetworkManager.service; i paaftë; i paravendosur nga shitësi: i aktivizuar) Aktiv: joaktiv (i vdekur) Dokumentet: njeriu: NetworkManager (8)

[root @ linuxbox] # ifconfig -a

Ne konfigurojmë ndërfaqet e rrjetit

Ndërfaqja LAN Ens32 e lidhur në Rrjetin e Brendshëm

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publike

[root @ linuxbox] # ifdown ens32 && ifup ens32

Ndërfaqja Ens34 WAN e lidhur në internet

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens34
DEVICE = ens34 ONBOOT = po BOOTPROTO = statik HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = pa IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Routeri ADSL është i lidhur me # këtë ndërfaqe me # adresën vijuese GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONA = e jashtme

[root @ linuxbox] # ifdown ens34 && ifup ens34

Konfigurimi i depove

[root @ linuxbox] # cd /etc/yum.repos.d/
[root @ linuxbox] # mkdir origjinal
[root @ linuxbox] # mv Centos- * origjinal /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum pastro të gjitha
Plugins ngarkuar: fastestmirror, langpacks Pastrimi i depove: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Azhurnime-Repo Pastrimi i gjithçkaje Pastrimi i listës së pasqyrave më të shpejtë
[root @ linuxbox yum.repos.d] # azhurnim yum
Shtojca të ngarkuara: fastestmirror, doreza Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 KB 00:00 Përditësime-Repo | 3.4 KB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / azhurnimiinfo | 734 kB 00:00 (5/9): Media-Repo / primare_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primare_db | 1.1 MB 00:00 (7/9): Përditësime-Repo / primare_db | 2.2 MB 00:00 (8/9): Epel-Repo / primare_db | 4.5 MB 00:01 (9/9): Base-Repo / primar_db | 5.6 MB 00:01 Përcaktimi i pasqyrave më të shpejta Nuk ka paketa të shënuara për azhurnim

Mesazhi "Asnjë paketë nuk është shënuar për azhurnim»Shownshtë treguar sepse gjatë instalimit ne deklaruam të njëjtat depo lokale që kemi në dispozicion.

Centos 7 me mjedisin desktop MATE

Për të përdorur mjetet shumë të mira të administrimit me një ndërfaqe grafike që ofron CentOS / Red Hat dhe sepse gjithnjë na mungon GNOME2, vendosëm të instalojmë MATE si një mjedis desktop.

[root @ linuxbox] # yum groupinstaloni "X Window system"
[root @ linuxbox] # yum grup instaloni "MATE Desktop"

Për të verifikuar që MATE ngarkohet si duhet, ne ekzekutojmë komandën e mëposhtme në një tastierë-lokale ose të largët-:

[root @ linuxbox] # systemctl izolon grafikun. target

dhe mjedisi i desktopit duhet të ngarkohet -në ekipin lokal- pa probleme, duke treguar lightdm si një hyrje grafike. Ne shtypim emrin e përdoruesit lokal dhe fjalëkalimin e tij, dhe ne do të hyjmë në MATE.

Për të treguar systemd që niveli i parazgjedhur i nisjes është 5 - mjedisi grafik - ne krijojmë lidhjen simbolike të mëposhtme:

[root @ linuxbox] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Ne ristartoni sistemin dhe gjithçka funksionon mirë.

Ne instalojmë Shërbimin Koha për Rrjetet

[root @ linuxbox ~] # yum instalo ntp

Gjatë instalimit ne konfigurojmë që ora lokale do të sinkronizohet me serverin e kohës të pajisjeve sysadmin.fromlinux.fan me IP 192.168.10.1. Pra, ne e ruajmë skedarin ntp.konf origjinale nga:

[root @ linuxbox] # cp /etc/ntp.conf /etc/ntp.conf.original

Tani, ne krijojmë një të re me përmbajtjen vijuese:

[root @ linuxbox] # nano /etc/ntp.conf # Serverët e konfiguruar gjatë instalimit: serveri 192.168.10.1 iburst # Për më shumë informacion, shikoni faqet e burrave të: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Lejo sinkronizimin me burimin e kohës, por jo # lejo burimin të konsultohet ose modifikojë këtë shërbim të kufizojë parazgjedhur nomodifikoj notrap nopeer noquery # Lejo të gjithë hyrjen në ndërfaqen Kufizimi i loopback 127.0.0.1 kufizimi :: 1 # Kufizo pak më pak në kompjuterët në rrjetin lokal. kufizoni maskën 192.168.10.0 255.255.255.0 nomodifikoj notrap # Përdorni serverat publik të projektit pool.ntp.org # Nëse dëshironi të bashkoheni në projekt vizitoni # (http://www.pool.ntp.org/join.html). # transmetim 192.168.10.255 autokey # transmetues server transmetues klient # transmetues klient # transmetim 224.0.1.1 autokey # server multicast # multicastclient 224.0.1.1 # klient multicast #manycastserver 239.255.254.254 # server shumëcast #manycastclient 239.255.254.254 klient 192.168.10.255ok autokey 4 # Aktivizo kriptografinë publike. #crypto includefile / etc / ntp / crypto / pw # Skedari i çelësit që përmban çelësat dhe identifikuesit e çelësave # që përdoret kur operon me çelësat e kriptografisë së tastit simetrik / etj / ntp / çelësat # Specifiko identifikuesit e çelësave të besueshëm #trustedkey 8 42 8 # Specifikoni identifikuesin e çelësit për t'u përdorur me programin ntpdc. #requestkey 8 # Specifikoni identifikuesin e çelësit për t'u përdorur me programin ntpq. #controlkey 2013 # Mundësoni shkrimin e regjistrave të statistikave. # statistikat statistikat e orës kriptostatet loopstats peerstats # Çaktivizoni monitorin e shkëputjes për të parandaluar amplifikimin e # sulmeve duke përdorur komandën e listës ntpdc, kur kufizimi i paracaktuar # nuk përfshin flamurin e zhurmës. Lexoni CVE-5211-XNUMX # për më shumë detaje. # Shënim: Monitori nuk është i çaktivizuar me flamurin e kufizuar të kufizimit. çaktivizo monitorin

Ne mundësojmë, fillojmë dhe kontrollojmë shërbimin NTP

[root @ linuxbox] # statusi systemctl ntpd
● ntpd.service - Shërbimi në kohë i rrjetit i ngarkuar: i ngarkuar (/usr/lib/systemd/system/ntpd.service; i paaftë; i paravendosur nga shitësi: i paaftë) Aktiv: joaktiv (i vdekur)

[root @ linuxbox ~] # systemctl mundëson ntpd
Lidhje e krijuar nga /etc/systemd/system/multi-user.target.wants/ntpd.service te /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox] # systemctl fillon ntpd
[root @ linuxbox] # statusi systemctl ntpd

[root @ linuxbox] # statusi systemctl ntpdntpd.service - Shërbimi Koha e Rrjetit
   Ngarkuar: i ngarkuar (/usr/lib/systemd/system/ntpd.service; aktivizuar; paravendosja e shitësit: me aftësi të kufizuara) Aktive: aktive (ekzekutuese) që nga Fri 2017-04-14 15:51:08 EDT; 1s më parë Procesi: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (kodi = dalja, statusi = 0 / SUKSESI) PID-i kryesor: 1308 (ntpd) Grupi C: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp dhe Firewall

[root @ linuxbox] # firewall-cmd - merrni-zona aktive
i jashtëm
  ndërfaqet: ens34
publik
  ndërfaqet: ens32

[root @ linuxbox] # firewall-cmd --zone = publike --add-port = 123 / udp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd - ringarkoni
sukses

Ne mundësojmë dhe konfigurojmë Dnsmasq

Siç e pamë në artikullin e mëparshëm në serinë Rrjetet e Biznesit të Vogël, Dnsamasq është instaluar si parazgjedhje në një server të infrastrukturës CentOS 7.

[root @ linuxbox] # statusctctl statusi dnsmasq
Ns dnsmasq.service - serveri i memorizimit DNS. Ngarkuar: i ngarkuar (/usr/lib/systemd/system/dnsmasq.service; me aftësi të kufizuara; paravendosja e shitësit: me aftësi të kufizuara) Aktive: joaktive (e vdekur)

[root @ linuxbox] # systemctl mundëson dnsmasq
Krijuar lidhjen simbolike nga /etc/systemd/system/multi-user.target.wants/dnsmasq.service te /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox] # systemctl fillon dnsmasq
[root @ linuxbox] # statusctctl statusi dnsmasq
Ns dnsmasq.service - serveri i memorizimit DNS. Ngarkuar: i ngarkuar (/usr/lib/systemd/system/dnsmasq.service; aktivizuar; paravendosja e shitësit: me aftësi të kufizuara) Aktive: aktive (ekzekutuese) që nga Fri 2017-04-14 16:21:18 EDT; 4s më parë PID Kryesor: 33611 (dnsmasq) CGrupi: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox] # nano / etj / dnsmasq.conf
# ----------------------------------------------------- ------------------ # OPSIONET E PRGJITHSHME # ----------------------------- -------------------------------------- domeni i nevojshëm # Mos kaloni emra pa pjesën e domenit fals-priv # Mos kaloni adresa në hapësirën e pa-rutuar host-host # Shtoni automatikisht domenin në ndërfaqen e hostit = ens32 # Rendi i rreptë i ndërfaqes LAN # Renditja në të cilën do të kërkoni skedarin /etc/resolv.conf konf-dir = / etj /dnsmasq.d domain = desdelinux.fan # Adresa e emrit të domenit = / time.windows.com / 192.168.10.5 # Dërgon një opsion të zbrazët të vlerës WPAD. Kërkohet që klientët # Windos 7 dhe më vonë të sillen siç duhet. ;-) dhcp-option = 252, "\ n" # Skedari ku do të deklarojmë SHTPIT që do të "ndalohen" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ---------- ------------------------------------------------------ ------- # REGISTROSCNAMEMXTXT # -------------------------------------------- --------------------------- # Ky lloj regjistri kërkon një shënim # në skedarin / etc / hosts # p.sh. 192.168.10.5 linuxbox.fromlinux.fan linuxbox # cname = ALIAS, REAL_NAME cname = mail.fromlinux.fan, linuxbox.fromlinux.fan # MX RECORDS # Kthen një rekord MX me emrin "desdelinux.fan" i destinuar # për kompjuterin mail.desdelinux. adhuruesi dhe përparësia e 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 10 # Destinacioni i paracaktuar për rekordet MX që krijohen # duke përdorur opsionin localmx do të jetë: mx-target = mail.desdelinux.fan # Kthimet një rekord MX që tregon shënjestrën mx për të GJITHA # makinat lokale localmx # rekordet TXT. Ne gjithashtu mund të deklarojmë një rekord SPF txt-record = desdelinux.fan, "v = spf1 a -all" txt-record = desdelinux.fan, "DesdeLinux, Blog-u juaj kushtuar Software-it të Lirë" # --------- ------------------------------------------------------ -------- # FUSHA DHE POPRDORIMET # ------------------------------------------- ---------------------------- # Gama e IPv4 dhe koha e qirasë # 1 deri në 29 janë për serverat dhe nevojat e tjera dhcp -ranzh = 192.168.10.30,192.168.10.250,8h dhcp-qira-maks = 222 # Numri maksimal i adresave për qira # si parazgjedhje janë 150 # diapazoni IPV6 # dhcp-diapazoni = 1234 ::, vetëm ra # Opsionet për RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,192.168.10.5 # ROUTER GATEWAY dhcp-option = 6,192.168.10.5 # DNS Servers dhcp-option = 15, desdelinux.fan # DNS Domain Name 19,1 dhcp-option = , 28,192.168.10.255 # opsioni ip-forwarding ON dhcp-option = 42,192.168.10.5 # BROADCAST dhcp-option = XNUMX # NTP dhcp-autoritativ # DHCP autoritativ në nënrrjet # -------------- ------------------ ------------------------------------ # Nëse dëshironi të ruani në / var / log / mesazhe regjistrin e pyetje # mos komento rreshtin më poshtë # ------------------------------------------- ----------------------------
# pyetje log
# FUNDI i skedarit /etc/dnsmasq.conf # ------------------------------------------- ----------------------------

Ne krijojmë skedarin / etj / banner_add_hosts

[root @ linuxbox] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .shkarkoni.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Adresat IP fikse

[root @ linuxbox ~] # nano / etj / host
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin

Ne konfigurojmë skedarin /etc/resolv.conf - zgjidhës

[rrënja @ linuxbox] # nano /etc/resolv.conf
kërkoni desdelinux.fan nameserver 127.0.0.1 # Për pyetje të jashtme ose jo-domain DNS # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Ne kontrollojmë sintaksën e skedarit dnsmasq.konf, ne fillojmë dhe kontrollojmë statusin e shërbimit

[root @ linuxbox] # dnsmasq - provë
dnsmasq: sintaksa kontrolloni OK.
[root @ linuxbox] # systemctl rinisni dnsmasq
[root @ linuxbox] # statusctctl statusi dnsmasq

Dnsmasq dhe Firewall

[root @ linuxbox] # firewall-cmd - merrni-zona aktive
i jashtëm
  ndërfaqet: ens34
publik
  ndërfaqet: ens32

shërbim sferë o Server Domain Name (dns). Protokolli shpullë «IP me enkriptim«

[root @ linuxbox] # firewall-cmd - zona = publike - add-port = 53 / tcp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd --zone = publike --add-port = 53 / udp - e përhershme
sukses

Kërkesat e Dnsmasq te serverat e jashtëm DNS

[root @ linuxbox] # firewall-cmd --zona = e jashtme --add-port = 53 / tcp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd --zona = e jashtme --add-port = 53 / udp - e përhershme
sukses

shërbim këpucë o Serveri BOOTP (dhcp) Protokolli IPPC «Bërthama e Paketave Pluribus në Internet«

[root @ linuxbox] # firewall-cmd - zona = publike - add-port = 67 / tcp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd --zone = publike --add-port = 67 / udp - e përhershme
sukses

[root @ linuxbox] # firewall-cmd - ringarkoni
sukses

[root @ linuxbox] # firewall-cmd - info-zone publik publik (aktiv)
  shënjestra: parazgjedhja e bllokimit të bllokut të ICMP: pa ndërfaqe: burime të ens32: shërbime: dhcp dns ntp ssh porte: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokolle: maskaradë: pa porte përpara: porte burimesh: icmp -bllokon: rregulla të pasura:

[root @ linuxbox] # firewall-cmd - e jashtme e jashtme e informacionit (aktiv)
  shënjestra: parazgjedhja e bllokimit të bllokut të bllokut: pa ndërfaqe: burime të ens34: shërbime: porte dns: 53 / udp 53 / protokolle tcp: maskaradë: po porte përpara: porte burimesh: blloqe icmp: parametër-problem përcjellës router-reklamues router- Rregullat e pasura të shuarjes së burimit të kërkimit:

Nëse duam të përdorim një ndërfaqe grafike për të konfiguruar Firewall në CentOS 7, ne shikojmë në menunë e përgjithshme - kjo do të varet nga mjedisi i desktopit në të cilin shfaqet nënmenu - aplikacioni «Firewall», ne e ekzekutojmë atë dhe pasi kemi futur fjalëkalimin e përdoruesit rrënjë, ne do të hyjmë në ndërfaqen e programit si të tillë. Në MATE shfaqet në menunë «Sistemi »->" Administrata "->" Firewall ".

Ne zgjedhim zonën «publik»Dhe ne autorizojmë Shërbimet që duam të publikohen në LAN, të cilat deri më tani janë dhcp, dns, ntp dhe ssh. Pas zgjedhjes së shërbimeve, duke verifikuar që gjithçka funksionon si duhet, duhet të bëjmë ndryshimet në Runtime to Permanent. Për ta bërë këtë ne shkojmë në menunë Options dhe zgjedhim opsionin «Kaloni kohën në të përhershme".

Më vonë ne zgjedhim zonën «i jashtëm»Dhe ne kontrollojmë që Portet e nevojshme për të komunikuar me internet janë të hapura. MOS publikoni Shërbime në këtë Zonë nëse nuk dimë shumë mirë se çfarë po bëjmë!.

Mos harrojmë t'i bëjmë ndryshimet të Përhershme përmes opsionit «Kaloni kohën në të përhershme»Dhe ringarko demonin FirewallD, sa herë që përdorim këtë mjet të fuqishëm grafik.

NTP dhe Dnsmasq nga një klient i Windows 7

Sinkronizimi me NTP

i jashtëm

Adresa IP e dhënë me qira

Microsoft Windows [Versioni 6.1.7601] E drejta e autorit (c) 2009 Microsoft Corporation. Të gjitha të drejtat e rezervuara. C: \ Përdoruesit \ gumëzhij> ipconfig / të gjithë Emri i hostit të konfigurimit të Windows. . . . . . . . . . . . : SHTAT
   Prapashtesa Primare Dns. . . . . . . :
   Lloji i nyjes. . . . . . . . . . . . : Rrugëzimi hibrid i IP është aktivizuar. . . . . . . . : Asnjë Proxy WINS i Aktivizuar. . . . . . . . : Asnjë listë e kërkimit të prapashtesave DNS. . . . . . : desdelinux.fan Përshtatës Ethernet Lidhja e zonës lokale: Prapashtesa DNS specifike për lidhje. : desdelinux.fan Përshkrimi. . . . . . . . . . . : Adresa Fizike e Lidhjes me Rrjetin Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP Aktivizuar. . . . . . . . . . . : Po Autononfigurimi është aktivizuar. . . . : Dhe eshte
   Adresa IPv4. . . . . . . . . . . : 192.168.10.115 (e preferuar)
   Maska e nënrrjetit. . . . . . . . . . . : 255.255.255.0 Qira e Marrë. . . . . . . . . . : E Premte, 14 Prill 2017 5:12:53 PM Skadon Qiraja. . . . . . . . . . : E Shtunë, 15 Prill 2017 1:12:53 AM Porta e Paracaktuar. . . . . . . . . : 192.168.10.1 Server DHCP. . . . . . . . . . . : 192.168.10.5 servera DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS mbi Tcpip. . . . . . . . : Përshtatësi i tunelit të aktivizuar Lidhja e zonës lokale * 9: Shteti i medias. . . . . . . . . . . : Media ka shkëputur Prapashtesën DNS specifike të Lidhjes. : Përshkrim. . . . . . . . . . . : Adresa Fizike e Përshtatësit të Tunelimit të Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Aktivizuar. . . . . . . . . . . : Asnjë autonfigurim i aktivizuar. . . . : Po Përshtatësi i tunelit isatap.fromlinux.fan: Media State. . . . . . . . . . . : Media ka shkëputur Prapashtesë DNS specifike të Lidhjes. : desdelinux.fan Përshkrimi. . . . . . . . . . . Adresuesi Fizik # 2 i Microsoft ISATAP. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Aktivizuar. . . . . . . . . . . : Asnjë autonfigurim i aktivizuar. . . . : Po C: \ Përdoruesit \ gumëzhij>

Bakshish

Një vlerë e rëndësishme në klientët e Windows është "Prapashtesa Primare Dns" ose "Prapashtesa e lidhjes kryesore". Kur nuk përdoret një Kontrollues Domain i Microsoft, sistemi operativ nuk i cakton ndonjë vlerë. Nëse po përballemi me një rast si ai i përshkruar në fillim të artikullit dhe duam ta deklarojmë shprehimisht atë vlerë, duhet të procedojmë në përputhje me atë që tregohet në imazhin vijues, të pranojmë ndryshimet dhe të rifillojmë klientin.

 

Nëse vrapojmë përsëri CMD -> ipconfig / të gjitha ne do të marrim sa vijon:

Microsoft Windows [Versioni 6.1.7601] E drejta e autorit (c) 2009 Microsoft Corporation. Të gjitha të drejtat e rezervuara. C: \ Përdoruesit \ gumëzhij> ipconfig / të gjithë Emri i hostit të konfigurimit të Windows. . . . . . . . . . . . : SHTAT
   Prapashtesa Primare Dns. . . . . . . : desdelinux.fan
   Lloji i nyjes. . . . . . . . . . . . : Rrugëzimi hibrid i IP është aktivizuar. . . . . . . . : Asnjë Proxy WINS i Aktivizuar. . . . . . . . : Asnjë listë e kërkimit të prapashtesave DNS. . . . . . : desdelinux.fan

Pjesa tjetër e vlerave mbetet e pandryshuar

Kontrollet e DNS

zhurmë @ sysadmin: host $ host spynet.microsoft.com
spynet.microsoft.com ka adresë 127.0.0.1 Pritësi spynet.microsoft.com nuk u gjet: 5 (REFUZUAR) posta spynet.microsoft.com trajtohet nga 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ linuxbox pritës
linuxbox.desdelinux.fan ka adresë 192.168.10.5 linuxbox.desdelinux.fan posta trajtohet nga 1 mail.desdelinux.fan.

gumëzhime @ sysadmin: host $ host sysadmin
sysadmin.desdelinux.fan ka adresë 192.168.10.1 sysadmin.desdelinux.fan posta trajtohet nga 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ postë pritëse
mail.desdelinux.fan është një pseudonim për linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ka adresë 192.168.10.5 linuxbox.desdelinux.fan posta trajtohet nga 1 mail.desdelinux.fan.

Ne instalojmë -vetëm për testim- një server autoritar DNS NSD në sysadmin.fromlinux.fan, dhe ne përfshijmë adresën IP 172.16.10.1 në arkiv /etc/resolv.conf të ekipit linuxbox.fromlinux.fan, për të verifikuar që Dnsmasq po ekzekutonte si duhet funksionin e tij Forwarder. Kutitë e rërës në serverin NSD janë favt.org y toujague.org. Të gjitha IP-të janë fiktive ose nga rrjetet private.

Nëse e çaktivizojmë ndërfaqen WAN ens34 duke përdorur komandën ifdown ens34, Dnsmasq nuk do të jetë në gjendje të kërkojë servera të jashtëm DNS.

[buzz @ linuxbox] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Pritësi Toujague.org nuk u gjet: 3 (NXDOMAIN)

[gumëzhitje @ linuxbox] $ host pizzapie.favt.org
Pizzapie.favt.org pritës nuk u gjet: 3 (NXDOMAIN)

Le të mundësojmë ndërfaqen ens34 dhe të kontrollojmë përsëri:

[gumëzhitje @ linuxbox] $ sudo ifup ens34
buzz @ linuxbox] $ host pizzapie.favt.org
pizzapie.favt.org është një pseudonim për paisano.favt.org. paisano.favt.org ka adresën 172.16.10.4

[gumëzhitje @ linuxbox] $ host pizzapie.toujague.org
Pizzas.toujague.org pritës nuk u gjet: 3 (NXDOMAIN)

[gumëzhitje @ linuxbox host] $ host poblacion.toujague.org
poblacion.toujague.org ka adresën 169.18.10.18

[gumëzhitje @ linuxbox] $ host -t NS favt.org
emër serveri favt.org ns1.favt.org. emër serveri favt.org ns2.favt.org.

[gumëzhime @ linuxbox] $ host -t NS toujague.org
serveri i emrit të Toujague.org ns1.toujague.org. serveri i emrit të Toujague.org ns2.toujague.org.

[gumëzhime @ linuxbox] $ host -t MX toujague.org
posta e Toujague.org trajtohet nga 10 mail.toujague.org.

Le të konsultohemi nga sysadmin.fromlinux.fan:

gumëzhitje @ sysadmin: cat $ cat /etc/resolv.conf 
kërko nga serveri i linux.fan names 192.168.10.5

xeon @ sysadmin: host $ host mail.toujague.org
mail.toujague.org ka adresën 169.18.10.19

Dnsmasq po punon si forwarder në mënyrë korrekte.

kallamar

Në libër në formatin PDF «Konfigurimi i serverit Linux»Datë 25 korrik 2016, nga Autori Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), një tekst të cilit i jam referuar në artikujt e mëparshëm, ka një kapitull të tërë kushtuar Opsionet themelore të konfigurimit të kallamarit.

Për shkak të rëndësisë së shërbimit Web - Proxy, ne riprodhojmë Hyrjen që është bërë për Squid në librin e lartpërmendur:

105.1. Prezantimi.

105.1.1. Çfarë është një server ndërmjetës (përfaqësues)?

Termi në anglisht "Proxy" ka një kuptim shumë të përgjithshëm dhe në të njëjtën kohë të paqartë, megjithëse
konsiderohet pa dyshim një sinonim i konceptit të "Ndërmjetësues". Zakonisht përkthehet, në kuptimin e ngushtë, si i deleguari o avokati (ai që ka pushtet mbi një tjetër).

Un Server ndërmjetësues Isshtë përcaktuar si një kompjuter ose pajisje që ofron një shërbim rrjeti që konsiston në lejimin e klientëve për të bërë lidhje indirekte të rrjetit me shërbime të tjera të rrjetit. Gjatë procesit ndodh si vijon:

  • Klienti lidhet me një Proxy server.
  • Klienti kërkon një lidhje, skedar ose burim tjetër të disponueshëm në një server tjetër.
  • Serveri ndërmjetës siguron burimin ose duke u lidhur me serverin e specifikuar
    ose duke e shërbyer atë nga një memorje e fshehtë.
  • Në disa raste Server ndërmjetësues mund të ndryshojë kërkesën e klientit ose
    përgjigja e serverit për qëllime të ndryshme.

L Servera Proxy ato zakonisht bëhen për të punuar njëkohësisht si një mur zjarri që operon në Niveli i rrjetit, duke vepruar si një filtër pako, si në rastin e iptables ose që veprojnë në Niveli i aplikimit, duke kontrolluar shërbime të ndryshme, siç është rasti i Mbështjellësi TCP. Në varësi të kontekstit, muri i zjarrit njihet gjithashtu si BPD o BPër Prrotullimi Device ose thjesht filtri i paketave.

Një aplikim i zakonshëm i Servera Proxy është të funksionojë si një memorie e përmbajtjes së rrjetit (kryesisht HTTP), duke siguruar në afërsi të klientëve një memorie memorie të faqeve dhe skedarëve të disponueshëm përmes rrjetit në serverat e largëta HTTP, duke lejuar klientët e rrjetit lokal të kenë qasje në to më të shpejtë dhe më të besueshëm.

Kur merret një kërkesë për një burim të specifikuar të Rrjetit në një URL (Uuniforme Rburim Lokator) Server ndërmjetësues shikoni për rezultatin e URL brenda cache. Nëse është gjetur, Server ndërmjetësues Përgjigjet ndaj klientit duke siguruar menjëherë përmbajtjen e kërkuar. Nëse përmbajtja e kërkuar mungon në memorien e përkohshme, Server ndërmjetësues do ta marrë atë nga një server i largët, duke ia dorëzuar klientit që e ka kërkuar dhe duke mbajtur një kopje në memorje të përkohshme. Përmbajtja në memorje memorie hiqet më pas përmes një algoritmi skadimi sipas moshës, madhësisë dhe historisë së përgjigjet ndaj kërkesave (godet) (shembuj: LRU, LFUDA y GDSF).

Proxy Serverët për përmbajtjen e Rrjetit (Web Proxies) gjithashtu mund të veprojnë si filtra të përmbajtjes së shërbyer, duke zbatuar politikat e censurës sipas kritereve arbitrare..

Versioni i Squid që do të instalojmë është 3.5.20-2.el7_3.2 nga depoja Updates.

instalim

[root @ linuxbox ~] # yum instalo kallamar

[root @ linuxbox] # ls / etc / kallamar /
cachemgr.conf errorpage.css.default  kallamar.konf
cachemgr.conf.imime default.conf              kallamar.konf.parafaj
pagepage.css mime.conf.default

[root @ linuxbox ~] # systemctl mundëson kallamarin

I rëndësishëm

  • Objektivi kryesor i këtij artikulli është të Autorizojë përdoruesit lokalë të lidhen me Squid nga kompjuterat e tjerë të lidhur në LAN. Për më tepër, implementoni thelbin e një serveri në të cilin do të shtohen shërbime të tjera. Nuk është një artikull kushtuar Kallamarit si i tillë.
  • Për të marrë një ide të opsioneve të konfigurimit të Squid-it, lexoni skedarin /usr/share/doc/squid-3.5.20/squid.conf.documented, i cili ka 7915 rreshta.

SELinux dhe Squid

[root @ linuxbox] # getsebool -a | kallamar grep
Squid_connect_any -> në Squid_use_tproxy -> off

[root @ linuxbox] # setsebool -P squid_connect_any = ndezur

konfiguracion

[root @ linuxbox] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl porti SSL_portet 443 21
porti portet e sigurta_Sportet 80 # http porti portet e mbrojtura të sigurta 21 # ftp porti portet e sigurta 443 # https porti portet e sigurta 70 # gopher acl porti porte të sigurta 210 # porti portet e sigurta_Sporti 1025-65535 # portet e paregjistruara porti portet e sigurtë 280 # http-mgmt porti portet e sigurta # 488 591 # gss-http acl Porti Safe_ports 777 # krijuesi i skedarëve acl Safe_ports port XNUMX # shumëzuar http acl Mënyra e lidhjes CONNECT # Ne i mohojmë pyetjet për porte jo të sigurta http_access moho! Safe_ports # Ne e mohojmë metodën CONNECT për portet jo të sigurta http_access mohoni CONNECT! SSL_ports # Qasja në Menaxheri i memorjes memorëse vetëm nga localhost përdoruesi http_access refuzo to_localhost # # INSERT RREGULLEN TUAJ (S) KETU P TOR T ALL LEJUAR AKSESIN NGA KLIENTT TUAJ # # autorizimin PAM
programi themelor i auth_param / usr / lib64 / kallamar / basic_pam_auth
auth_param fëmijët themelorë 5 auth_param fushën themelore nga linux.fan auth_param kredencialet themeloretl 2 orë auth_param çështjet themelore të ndjeshme jashtë # Kërkohet vërtetimi i ACL për të hyrë në proxy_auth të Squid Enthusiasts # Ne lejojmë qasjen te përdoruesit e vërtetuar # përmes PAM acl ftp proto FTP http_access lejo ftp http_access lejo localnet http_access lejo localhost # Ne mohojmë çdo qasje tjetër tek proxy kallamar # # Shtoni ndonjë nga shënimet tuaja të modelit tuaj të rifreskimit mbi këto. # modeli_freskimi ^ ftp: 3128 3128% 1440 modeli_freskimi ^ gopher: 20 10080% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 1440% 0 modeli i rifreskimit. 0 0% 0 cache_mem 20 MB # Cache memorie memorje_vendosje_politike lru cache_replacement_policy grumbull LFUDA cache_dir aufs / var / spool / kallamar 4320 64 4096 maximum_object_size 16 MB cache_swap_low 256 cache_swap_highux 4 cache_uxduxuxamux_sambox_sam.exe

Ne kontrollojmë sintaksën e skedarit /etc/squid/squid.conf

[root @ linuxbox] # kallamar -k analizë
2017/04/16 15: 45: 10 | Fillimi: Fillimi i Skemave të Vërtetimit ...
 2017/04/16 15: 45: 10 | Fillimi: Skema e Filluar e Vërtetimit 'themelore' 2017/04/16 15: 45: 10 | Fillimi: Skema fillestare e vërtetimit 'tretet' 2017/04/16 15: 45: 10 | Fillimi: Skema e Filluar e Vërtetimit 'negocio' 2017/04/16 15: 45: 10 | Fillimi: Skema e Autentifikimit Fillestar 'ntlm' 2017/04/16 15: 45: 10 | Fillimi: Vërtetimi i Inicializuar.
 2017/04/16 15: 45: 10 | Përpunimi i Skedarit të Konfigurimit: /etc/squid/squid.conf (thellësia 0) 2017/04/16 15: 45: 10 | Përpunimi: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Përpunimi: porti ACL SSL_portet 443 21 2017/04/16 15: 45: 10 | Përpunimi: acl Safe_ports port 80 # http 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 21 # ftp 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 443 # https 2017/04/16 15: 45: 10 | Përpunimi: ACL Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 210 # wais 2017/04/16 15: 45: 10 | Përpunimi: porti i sigurt_porteve ACL 1025-65535 # porte të paregjistruara 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 280 # http-mgmt 2017/04/16 15: 45: 10 | Përpunimi: porti ACL Safe_ports 488 # gss-http 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 591 # krijues skedarësh 2017/04/16 15: 45: 10 | Përpunimi: ACL Porti i sigurt_porte 777 # shfrytëzimi http 2017/04/16 15: 45: 10 | Përpunimi: ACL LIDH Metoda CONNECT 2017/04/16 15: 45: 10 | Përpunimi: http_access mohoj! Safe_ports 2017/04/16 15: 45: 10 | Përpunimi: http_access mohoni CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Përpunimi: http_access lejo menaxherin localhost 2017/04/16 15: 45: 10 | Përpunimi: http_access mohon menaxherin 2017/04/16 15: 45: 10 | Përpunimi: http_access mohoni në_localhost 2017/04/16 15: 45: 10 | Përpunimi: programi bazë i auth_param / usr / lib64 / kallamar / basic_pam_auth 2017/04/16 15: 45: 10 | Përpunimi: auth_param fëmijët bazë 5 2017/04/16 15: 45: 10 | Përpunimi: fushë themelore e auth_param nga linux.fan 2017/04/16 15: 45: 10 | Përpunimi: kredencialet themelore të auth_param 2 orë 2017/04/16 15: 45: 10 | Përpunimi: auth_param çështjet themelore të ndjeshme jashtë 2017/04/16 15: 45: 10 | Përpunimi: ACL Entuziastë proxy_auth KQRKOHET 2017/04/16 15: 45: 10 | Përpunimi: http_access mohoni! Entuziastët 2017/04/16 15: 45: 10 | Përpunimi: acl ftp proto FTP 2017/04/16 15: 45: 10 | Përpunimi: http_access lejo ftp 2017/04/16 15: 45: 10 | Përpunimi: http_access lejo localnet 2017/04/16 15: 45: 10 | Përpunimi: http_access lejo localhost 2017/04/16 15: 45: 10 | Përpunimi: http_access mohoni të gjitha 2017/04/16 15: 45: 10 | Përpunimi: http_port 3128 2017/04/16 15: 45: 10 | Përpunimi: coredump_dir / var / spool / kallamar 2017/04/16 15: 45: 10 | Përpunimi: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Përpunimi: modeli i rifreskimit ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Përpunimi: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Përpunimi: modeli i rifreskimit. 

Ne rregullojmë lejet në / usr / lib64 / kallamar / basic_pam_auth

[root @ linuxbox] # chmod u + s / usr / lib64 / kallamar / basic_pam_auth

Ne krijojmë direktorinë e cache-it

# Për çdo rast ... [root @ linuxbox ~] # ndalesë kallamari shërbimi
Ridrejtimi në / bin / systemctl ndaluar kallamar.shërbim

[root @ linuxbox] # kallamar -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kec1 | Vendosni Drejtorinë aktuale në / var / spool / kallamar 2017/04/16 15:48:28 kid1 | Krijimi i drejtorive të shkëmbimit që mungojnë 2017/04/16 15:48:28 kid1 | / var / rrotull / kallamar ekziston 2017/04/16 15:48:28 kec1 | Bërja e direktorive në / var / spool / kallamar / 00 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 01 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 02 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 03 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 04 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 05 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 06 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 07 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 08 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 09 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 0A 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 0B 2017/04/16 15:48:28 kid1 | Bërja e direktorive në / var / spool / kallamar / 0C 2017/04/16 15:48:29 kid1 | Bërja e direktorive në / var / spool / kallamar / 0D 2017/04/16 15:48:29 kid1 | Bërja e direktorive në / var / spool / kallamar / 0E 2017/04/16 15:48:29 kid1 | Bërja e direktorive në / var / spool / kallamar / 0F

Në këtë pikë, nëse duhet pak kohë për të kthyer komandën e shpejtë - e cila nuk më është kthyer kurrë - shtypni Enter.

[root @ linuxbox ~] # kallamari i shërbimit fillon
[root @ linuxbox ~] # rifillon kallamari i shërbimit
[root @ linuxbox ~] # statusi i kallamarit të shërbimit
Ridrejtimi te / bin / statusi systeml 2017-04-16 15:57:27 EDT; Procesi: 1 muaj më parë Procesi: 2844 ExecStop = / usr / sbin / kallamar -k mbyllje -f $ SQUID_CONF (kodi = dalur, statusi = 0 / SUKSESI) Procesi: 2873 ExecStart = / usr / sbin / kallamar $ SQUID_OPTS -f $ SQUID_CONF (kod = dalur, statusi = 0 / SUKSESI) Procesi: 2868 ExecStartPre = / usr / libexec / kallamar / cache_swap.sh (kodi = dalur, statusi = 0 / SUKSESI) PID kryesor: 2876 (kallamar) CGrupi: /system.slice/squid .shërbimi └─2876 / usr / sbin / kallamar -f /etc/squid/squid.conf 16 Prill 15:57:27 linuxbox systemd [1]: Fillimi i proxy caching Squid ... Prill 16 15:57:27 linuxbox systemd [1]: Filloi përfaqësimi i memorizimit të Squid. 16 Prill 15:57:27 kallamar linuxbox [2876]: Prindi kallamar: do të fillojë 1 fëmijë 16 prill 15:57:27 kallamar linuxbox [2876]: Princesha kallamar: (kallamar-1) procesi 2878 ... ed 16 prill 15 : 57: 27 kallamar linuxbox [2876]: Princesha kallamar: (kallamari-1) procesi 2878 ... 1 Këshillë: Disa rreshta u elipsuan, përdore -l për të treguar të plotë

[root @ linuxbox] # cat / var / log / mesazhe | kallamar grep

Rregullon Firewall

Ne gjithashtu duhet të hapemi në Zonë «i jashtëm"portet 80 HTTP y 443 HTTPS kështu që Kallamari mund të komunikojë me internet.

[root @ linuxbox] # firewall-cmd --zona = e jashtme --add-port = 80 / tcp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd --zona = e jashtme --add-port = 443 / tcp - e përhershme
sukses
[root @ linuxbox] # firewall-cmd - ringarkoni
sukses
[root @ linuxbox] # firewall-cmd - info-zone e jashtme
shënjestra e jashtme (aktive): përmbysja e parazgjedhur e icmp-bllokut: pa ndërfaqe: burimet e ens34: shërbimet: portet dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokolle: maskaradë: po porte përpara: burime: icmp-blloqe: parametër-problem përcjellëse router-reklamë router-kërkesë burim-shuar rregulla të pasura:
  • Nuk është e papunë të shkosh te aplikacioni grafik «Cilësimet e murit të zjarrit»Dhe kontrolloni që portat 443 tcp, 80 tcp, 53 tcp dhe 53 udp janë të hapura për zonën«i jashtëm«, Dhe që NUK kemi botuar ndonjë shërbim për të.

Shënim për programin ndihmës basic_pam_auth

Nëse këshillohemi me manualin e kësaj ndërmarrje njeriu_pam_ themelor Ne do të lexojmë se vetë autori bën një rekomandim të fortë që programi të zhvendoset në një direktori ku përdoruesit normalë nuk kanë leje të mjaftueshme për të hyrë në mjet.

Nga ana tjetër, dihet që me këtë skemë autorizimi, kredencialet udhëtojnë në tekst të thjeshtë dhe nuk është e sigurt për ambiente armiqësore, lexoni rrjete të hapura.

Jeff Yestrumskas kushtoj artikullin «Si-të: Konfiguroni një proxy të sigurt në internet duke përdorur enkriptimin SSL, Proxy-in e Squiding Caching dhe PAM.»Për çështjen e rritjes së sigurisë me këtë skemë vërtetimi në mënyrë që të mund të përdoret në rrjete të hapura potencialisht armiqësore.

Ne instalojmë httpd

Si mënyrë për të kontrolluar funksionimin e Squid - dhe rastësisht atë të Dnsmasq - ne do të instalojmë shërbimin httpd -Apache web server- i cili nuk kërkohet të bëhet. Në dosje në lidhje me Dnsmasq / etj / banner_add_hosts Ne deklarojmë faqet që duam të ndalohen dhe në mënyrë të qartë caktojmë të njëjtën adresë IP që ka kuti linux. Kështu, nëse kërkojmë qasje në ndonjë prej këtyre faqeve, faqja kryesore e httpd.

[root @ linuxbox] # yum install httpd [root @ linuxbox ~] # systemctl mundëson httpd
Lidhje e krijuar nga /etc/systemd/system/multi-user.target.wants/httpd.service te /usr/lib/systemd/system/httpd.service.

[root @ linuxbox] # systemctl fillon httpd

[root @ linuxbox] # statusctctl status httpd
D httpd.service - Serveri Apache HTTP i ngarkuar: i ngarkuar (/usr/lib/systemd/system/httpd.service; aktivizuar; shitësi i paravendosur: i paaftë) Aktiv: aktiv (ekzekutues) që nga Dielli 2017-04-16 16:41: 35 EDT; 5s më parë httpd -DFOREGROUND 8 / usr / sbin / httpd -DFOREGROUND 8 / usr / sbin / httpd -DFOREGROUND 2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND 2276 / usr / sbin / httpd -DFOREGROUND 2277 Prill 2278:2279:2280 linuxbox systemd [16]: Fillimi i Apache HTTP Server ... 16 Prill 41:35:1 linuxbox systemd [16]: Filloi Apache Serverin HTTP.

SELinux dhe Apache

Apache ka disa politika për të konfiguruar brenda kontekstit SELinux.

[root @ linuxbox] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> në httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect off_zabdwork__bbbbbbbbbb_bbbbb_bbbbbb_bbbbb_bbbbbbb_bbbbbbbbbbbbbbbbbbbbb_bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb_bbbbbbbbbbbbbbkt # bblbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb # e # e httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> off offsdable_sable # http://www.ddbus_sdmail - httpd_graceful_shutdown -> në httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off offdrrr off_sqarje - offs offsdrr off - off offdrr off_sq httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Ne do të konfigurojmë vetëm sa vijon:

Dërgoni email përmes Apache

root @ linuxbox] # setsebool -P httpd_can_sendmail 1

Lejoni Apache të lexojë përmbajtjet e vendosura në drejtoritë e përdoruesve lokalë

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Lejoni të administroni përmes FTP ose FTPS çdo direktori të menaxhuar nga
Apache ose lejoni që Apache të funksionojë si një server FTP duke dëgjuar kërkesa përmes portës FTP

[root @ linuxbox] # setsebool -P httpd_enable_ftp_server 1

Për më shumë informacion, ju lutemi lexoni Konfigurimi i serverit Linux.

Ne kontrollojmë vërtetimin

Mbetet vetëm të hapni një shfletues në një stacion pune dhe pikë, për shembull, në http://windowsupdate.com. Ne do të kontrollojmë që kërkesa të ridrejtohet saktë në faqen kryesore të Apache në linuxbox. Në fakt, çdo emër faqe i deklaruar në skedar / etj / banner_add_hosts do të ridrejtoheni në të njëjtën faqe.

Imazhet në fund të artikullit e vërtetojnë atë.

Menaxhimi i Përdoruesve

Ne e bëjmë atë duke përdorur mjetin grafik «Menaxhimi User»Në të cilën kemi qasje përmes menusë Sistemi -> Administrimi -> Menaxhimi i përdoruesit. Sa herë që shtojmë një përdorues të ri, krijohet dosja e tij / shtëpi / përdorues automatikisht.

 

backups

Klientët Linux

Ju duhet vetëm shfletuesi normal i skedarit dhe tregoni se dëshironi të lidheni, për shembull: ssh: // buzz @ linuxbox / home / buzz dhe pasi të vendosni fjalëkalimin, do të shfaqet direktoria shtëpi të përdoruesit lëvizje.

Klientët e Windows

Në klientët e Windows, ne përdorim mjetin WinSCP. Pasi të instalohet, ne e përdorim atë në mënyrën vijuese:

 

 

E thjeshtë, apo jo?

Përmbledhje

Ne kemi parë që është e mundur të përdoret PAM për të vërtetuar shërbimet në një rrjet të vogël dhe në një mjedis të kontrolluar plotësisht të izoluar nga duart e Hakerët. Kjo është kryesisht për shkak të faktit se kredencialet e vërtetimit udhëtojnë në tekst të thjeshtë dhe për këtë arsye nuk është një skemë vërtetimi që do të përdoret në rrjete të hapura siç janë aeroportet, rrjetet Wi-Fi, etj. Sidoqoftë, është një mekanizëm i thjeshtë autorizimi, i lehtë për t’u zbatuar dhe konfiguruar.

Burimet e konsultuara

Version PDF

Shkarkoni versionin PDF këtu.

Deri në artikullin tjetër!


Përmbajtja e artikullit i përmbahet parimeve tona të etika editoriale. Për të raportuar një gabim klikoni këtu.

9 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet.

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   NauTilus dijo

    Një post i jashtëzakonshëm është shëruar Z. Fico. Faleminderit për ndarjen e njohurive tuaja.

  2.   hardhucë dijo

    Unë e di sa e vështirë është të krijosh një artikull me një nivel kaq të hollësishëm, me teste mjaft të qarta dhe mbi të gjitha me koncepte dhe strategji të adaptuara ndaj standardeve. Unë thjesht heq kapelën në këtë xhevahir të kontributeve, faleminderit shumë Fico për një punë kaq të mirë.

    Unë kurrë nuk e kam kombinuar kallamarin me vërtetimin pam por shkoj sa më shumë që të jetë e mundur për ta bërë këtë praktikë në laboratorin tim ... Përqafimi i qëllimit dhe ne vazhdojmë !!

  3.   federico dijo

    NaTiluS: Faleminderit shumë për komentin dhe vlerësimin tuaj.
    Lizard: Edhe për ju, ju falënderoj shumë për komentin dhe vlerësimin tuaj.

    Koha dhe përpjekja e përkushtuar për të bërë artikuj si ky shpërblehen vetëm me lexim dhe komente nga ata që vizitojnë komunitetin FromLinux. Shpresoj të jetë e dobishme për ju në punën tuaj të përditshme.
    Vazhdojmë!

  4.   anonim dijo

    Kontribut i pabesueshëm qytetar !!!! Kam lexuar secilin nga artikujt tuaj dhe mund të them se edhe për një person që nuk ka një njohuri të përparuar në Softuerin e Lirë (si unë) mund ta ndjekë këtë artikull të hollë hap pas hapi. Brohoritje !!!!

  5.   IWO dijo

    Faleminderit Fico për këtë artikull tjetër të shkëlqyeshëm; Sikur të mos mjaftonte me të gjitha postimet e botuara tashmë, në këtë kemi një shërbim që nuk është mbuluar më parë nga Seria PYMES dhe që është jashtëzakonisht i rëndësishëm: "SQUID" ose Proxy i një LAN. Asgjë që për ne familja e atyre që mendojnë se jemi "sysadmins" nuk kanë këtu material tjetër të mirë për të studiuar dhe thelluar njohuritë tona.

  6.   federico dijo

    Faleminderit të gjithëve për komentet tuaja. Artikulli tjetër do të merret me serverin e bisedave Prosody me vërtetim kundër kredencialeve lokale (PAM) përmes Cyrus-SASL dhe ai shërbim do të zbatohet në të njëjtin server.

  7.   kenpachiRo17 dijo

    Në kohë të mirë bashkatdhetar !!!! Kontribut i madh edhe për ata si unë që nuk kanë njohuri të mëdha rreth Softuerit të Lirë janë të apasionuar pas mësimit me artikuj aq të hollë sa ky. Unë kam ndjekur kontributet tuaja dhe do të doja të dija me cilin artikull do të më rekomandonit të filloja në këtë seri të Rrjeteve të NVM-ve, pasi kam lexuar në mënyrë të çrregullt dhe mendoj se ka shumë përmbajtje të vlefshme për të humbur ndonjë detaj. Pa më shumë, përshëndetjet dhe njohuritë e ndara si dhe Softueri mund të mbeten falas !!

    1.    federico dijo

      Përshëndetje fshatar !!!. Unë ju rekomandoj që të filloni në fillim, që megjithëse mund të duket si rruga e gjatë, është mënyra më e shkurtër për të mos humbur. Në indeks - i cili nuk azhurnohet me dy artikujt e fundit - https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, ne vendosëm rendin e rekomanduar të leximit të Serisë, i cili fillon me mënyrën e bërjes sime Stacion pune, vazhdon me disa postime kushtuar kësaj teme Virtualizimi, ndiqni me disa zarf BIND, Isc-Dhcp-Server dhe Dnsmasq, dhe kështu me radhë derisa të arrijmë në pjesën e zbatimit të shërbimit për rrjetin e NVM-ve, e cila është vendi ku jemi aktualisht. Shpresoj se të ndihmon.

      1.    kenpachiRo17 dijo

        Epo do të jetë !!!! Menjëherë filloj me serinë nga fillimi dhe pres artikuj të rinj. Brohoritje !!!!