Провера идентитета Скуид + ПАМ у ЦентОС 7- СМБ мрежама

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Аутор: Федерицо Антонио Валдес Тоујагуе
федерицотоујагуе@гмаил.цом
https://blog.desdelinux.net/author/fico

Здраво пријатељи и пријатељи!

Наслов чланка требао је бити: «МАТЕ + НТП + Днсмаск + Гатеваи Сервице + Апацхе + Скуид са ПАМ ауторизацијом у Центос 7 - МСП мреже«. Из практичних разлога га скраћујемо.

Настављамо са потврђивањем идентитета за локалне кориснике на Линук рачунару помоћу ПАМ-а, а овај пут ћемо видети како можемо пружити Проки услугу са Скуид-ом за малу мрежу рачунара, користећи поверљиве податке за потврду идентитета сачуване на истом рачунару где сервер је покренут лигња.

Иако знамо да је данас врло уобичајена пракса, аутентификација услуга против ОпенЛДАП-а, Ред Хат'с Дирецтори Сервер 389, Мицрософт Ацтиве Дирецтори итд., Сматрамо да прво морамо проћи кроз једноставна и јефтина решења, а затим се суочити са најсложенијим. Верујемо да морамо ићи од једноставног ка сложеном.

Индекс

Фаза

То је мала организација - са врло мало финансијских ресурса - посвећена подршци коришћењу слободног софтвера и одлучила се за име ФромЛинук.Фан. Они су разни ентузијасти ОС-а Убунту груписани у једну канцеларију. Купили су радну станицу - а не професионални сервер - коју ће посветити функционисању као „сервер“.

Ентузијасти немају широко знање о томе како да примене ОпенЛДАП сервер или Самба 4 АД-ДЦ, нити могу да приуште лиценцирање Мицрософт Ацтиве Дирецтори. Међутим, за свој свакодневни рад требају им услуге приступа Интернету путем проксија - да би убрзали прегледање - и простора у којем могу да сачувају своје највредније документе и раде као резервне копије.

И даље углавном користе легално стечене оперативне системе Мицрософт, али желе да их промене у оперативне системе засноване на Линуку, почев од свог „сервера“.

Они такође теже да имају сопствени сервер за пошту да би постали независни - барем од порекла - услуга као што су Гмаил, Иахоо, ХотМаил итд., Што тренутно користе.

Правила заштитног зида и рутирања испред Интернета утврдиће их у уговореном АДСЛ рутеру.

Они немају право име домена јер не требају да објављују ниједну услугу на Интернету.

ЦентОС 7 као сервер без ГУИ-ја

Полазимо од нове инсталације сервера без графичког интерфејса, а једина опција коју одаберемо током процеса је «Инфраструцтуре Сервер»Као што смо видели у претходним чланцима у серији.

Почетна подешавања

[роот @ линукбок ~] # цат / етц / хостнаме 
линукбок

[роот @ линукбок ~] # мачка / етц / хостс
127.0.0.1 лоцалхост лоцалхост.лоцалдомаин лоцалхост4 лоцалхост4.лоцалдомаин4 :: 1 лоцалхост лоцалхост.лоцалдомаин лоцалхост6 лоцалхост6.лоцалдомаин6 192.168.10.5 линукбок.фромлинук.фан линукбок

[роот @ линукбок ~] # име хоста
линукбок

[роот @ линукбок ~] # име хоста -ф
линукбок.фромлинук.фан

[роот @ линукбок ~] # ип аддр листа
[роот @ линукбок ~] # ифцонфиг -а
[роот @ линукбок ~] # лс / сис / цласс / нет /
енс32 енс34 ло

Онемогућимо Нетворк Манагер

[роот @ линукбок ~] # системцтл заустави НетворкМанагер

[роот @ линукбок ~] # системцтл онемогући НетворкМанагер

[роот @ линукбок ~] # системцтл статус НетворкМанагер
● НетворкМанагер.сервице - Нетворк Манагер Лоадед: учитан (/уср/либ/системд/систем/НетворкМанагер.сервице; онемогућен; унапред подешена опција добављача: омогућено) Активно: неактивно (мртво) Документи: човек: НетворкМанагер (8)

[роот @ линукбок ~] # ифцонфиг -а

Конфигуришемо мрежне интерфејсе

Енс32 ЛАН интерфејс повезан на унутрашњу мрежу

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ЗОНА = јавна

[роот @ линукбок ~] # ифдовн енс32 && ифуп енс32

Енс34 ВАН интерфејс повезан на Интернет

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс34
УРЕЂАЈ = енс34 ОНБООТ = да БООТПРОТО = статички ХВАДДР = 00: 0ц: 29: да: а3: е7 НМ_ЦОНТРОЛЛЕД = не ИПАДДР = 172.16.10.10 НЕТМАСК = 255.255.255.0 # АДСЛ рутер је повезан на # овај интерфејс са # следећом адресом ИП ГАТЕВАИ = 172.16.10.1 ДОМЕН = десделинук.фан ДНС1 = 127.0.0.1
ЗОНА = спољна

[роот @ линукбок ~] # ифдовн енс34 && ифуп енс34

Конфигурација спремишта

[роот @ линукбок ~] # цд /етц/иум.репос.д/
[роот @ линукбок ~] # оригинал мкдир
[роот @ линукбок ~] # мв Центос- * оригинал /

[роот @ линукбок ~] # нано центос.репо
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[роот @ линукбок иум.репос.д] # иум очисти све
Отпремљени додаци: фастестмиррор, лангпацкс Чишћење спремишта: Басе-Репо ЦентосПлус-Репо Епел-Репо Медиа-Репо: Упдатес-Репо Чишћење свега Чишћење листе најбржих огледала
[роот @ линукбок иум.репос.д] # иум упдате
Учитани додаци: најбрже огледало, лангпацкс Басе-Репо | 3.6 кБ 00:00 ЦентосПлус-Репо | 3.4 кБ 00:00 Епел-Репо | 4.3 кБ 00:00 Медиа-Репо | 3.6 кБ 00:00 Ажурирања-Репо | 3.4 кБ 00:00 (1/9): Басе-Репо / гроуп_гз | 155 кБ 00:00 (2/9): Епел-Репо / гроуп_гз | 170 кБ 00:00 (3/9): Медиа-Репо / гроуп_гз | 155 кБ 00:00 (4/9): Епел-Репо / упдатеинфо | 734 кБ 00:00 (5/9): Медиа-Репо / примари_дб | 5.3 МБ 00:00 (6/9): ЦентосПлус-Репо / примари_дб | 1.1 МБ 00:00 (7/9): Упдатес-Репо / примари_дб | 2.2 МБ 00:00 (8/9): Епел-Репо / примари_дб | 4.5 МБ 00:01 (9/9): Басе-Репо / примари_дб | 5.6 МБ 00:01 Утврђивање најбржих огледала Нема пакета означених за ажурирање

Порука "Ниједан пакет није означен за ажурирање»Приказује се зато што смо током инсталације прогласили иста локална спремишта која имамо на располагању.

Центос 7 са МАТЕ окружењем радне површине

Да бисмо користили врло добре административне алате са графичким интерфејсом који нам пружа ЦентОС / Ред Хат, и зато што нам увек недостаје ГНОМЕ2, одлучили смо да инсталирамо МАТЕ као радно окружење.

[роот @ линукбок ~] # иум гроупинсталл "Кс Виндов систем"
[роот @ линукбок ~] # иум гроупинсталл "МАТЕ Десктоп"

Да бисмо проверили да ли се МАТЕ учитава правилно, извршавамо следећу наредбу у конзоли -лоцал или ремоте-:

[роот @ линукбок ~] # системцтл изолирај грапхицал.таргет

и окружење радне површине треба учитати -у локалном тиму- глатко, показујући лигхтдм као графичко пријављивање. Укуцавамо име локалног корисника и његову лозинку и унећемо МАТЕ.

Да кажем системд да је подразумевани ниво покретања 5-графичко окружење - креирамо следећу симболичку везу:

[роот @ линукбок ~] # лн -сф /либ/системд/систем/рунлевел5.таргет /етц/системд/систем/дефаулт.таргет

Поново покрећемо систем и све функционише у реду.

Инсталирамо Тиме Сервице за мреже

[роот @ линукбок ~] # иум инсталирај нтп

Током инсталације конфигуришемо да се локални сат синхронизује са временским сервером опреме сисадмин.фромлинук.фан са ИП-ом КСНУМКС. Дакле, чувамо датотеку нтп.цонф оригинал:

[роот @ линукбок ~] # цп /етц/нтп.цонф /етц/нтп.цонф.оригинал

Сада креирамо нови са следећим садржајем:

[роот @ линукбок ~] # нано /етц/нтп.цонф # Сервери конфигурисани током инсталације: сервер 192.168.10.1 ибурст # За више информација погледајте ман странице: # нтп.цонф (5), нтп_ацц (5) , нтп_аутх (5), нтп_цлоцк (5), нтп_мисц (5), нтп_мон (5). дрифтфиле / вар / либ / нтп / дрифт # Дозволи синхронизацију са временским извором, али не и # дозволи извору да се консултује или модификује ову услугу ограничи подразумевано номодифи нотрап нопеер нокуери # Омогући сав приступ интерфејсу Лоопбацк ограничи 127.0.0.1 ограничи :: 1 # Ограничите се мало мање на рачунаре у локалној мрежи. рестрицт 192.168.10.0 маск 255.255.255.0 номодифи нотрап # Користите јавне сервере пројекта поол.нтп.орг # Ако желите да се придружите пројекту, посетите # (хттп://ввв.поол.нтп.орг/јоин.хтмл). #броцаст 192.168.10.255 аутокеи # сервер за емитовање броадцастцлиент # клијент за емитовање # Броадцаст 224.0.1.1 аутокеи # мултицаст сервер #мултицастцлиент 224.0.1.1 # мултицаст цлиент #маницастсервер 239.255.254.254 # маницаст сервер #маницастцлиент 239.255.254.254 аутокеи # маницаст цлиент цлиент.192.168.10.255цаст. 4 # Омогући јавну криптографију. #црипто инцлудефиле / етц / нтп / црипто / пв # Датотека кључа која садржи кључеве и идентификаторе кључева # користи се приликом рада са симетричним кључевима криптографије / етц / нтп / кеис # Наведите поуздане идентификаторе кључа. #трустедкеи 8 42 8 # Наведите идентификатор кључа који ће се користити са услужним програмом нтпдц. #рекуесткеи 8 # Наведите идентификатор кључа који ће се користити са услужним програмом нтпк. #цонтролкеи 2013 # Омогућите писање регистара статистике. #статистицс цлоцкстатс цриптостатс лоопстатс пеерстатс # Онемогућите монитор сецесије да бисте спречили појачавање # напада помоћу команде нтпдц монлист, када подразумевано ограничење # не укључује заставицу нокуери. Прочитајте ЦВЕ-5211-XNUMX # за више детаља. # Напомена: Монитор није онемогућен са заставицом ограниченог ограничења. онемогућити монитор

Омогућавамо, покрећемо и проверавамо НТП услугу

[роот @ линукбок ~] # системцтл статус нтпд
● нтпд.сервице - Услуга мрежног времена учитана: учитана (/уср/либ/системд/систем/нтпд.сервице; онемогућена; унапред подешена опција добављача: онемогућена) Активно: неактивно (мртво)

[роот @ линукбок ~] # системцтл омогући нтпд
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/нтпд.сервице до /уср/либ/системд/систем/нтпд.сервице.

[роот @ линукбок ~] # системцтл старт нтпд
[роот @ линукбок ~] # системцтл статус нтпд

[роот @ линукбок ~] # системцтл статус нтпднтпд.сервице - Услуга мрежног времена
   Учитана: учитана (/уср/либ/системд/систем/нтпд.сервице; омогућена; унапред подешена опција продавца: онемогућена) Активан: активан (покренут) од петка 2017-04-14 15:51:08 ЕДТ; Пре 1с Процес: 1307 ЕкецСтарт = / уср / сбин / нтпд -у нтп: нтп $ ОПТИОНС (цоде = екитед, статус = 0 / УСПЕХ) Главни ПИД: 1308 (нтпд) ЦГроуп: /систем.слице/нтпд.сервице └─ 1308 / уср / сбин / нтпд -у нтп: нтп -г

Нтп и заштитни зид

[роот @ линукбок ~] # фиревалл-цмд --гет-ацтиве-зоне
спољни
  интерфејси: енс34
јавност
  интерфејси: енс32

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 123 / удп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --релоад
успех

Омогућавамо и конфигуришемо Днсмаск

Као што смо видели у претходном чланку у серији Смалл Бусинесс Нетворкс, Днсамаск је подразумевано инсталиран на ЦентОС 7 Инфраструцтуре Сервер.

[роот @ линукбок ~] # системцтл статус днсмаск
● днсмаск.сервице - ДНС сервер за кеширање. Учитана: учитана (/уср/либ/системд/систем/днсмаск.сервице; онемогућена; унапред подешена опција продавца: онемогућена) Активна: неактивна (мртва)

[роот @ линукбок ~] # системцтл омогући днсмаск
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/днсмаск.сервице до /уср/либ/системд/систем/днсмаск.сервице.

[роот @ линукбок ~] # системцтл старт днсмаск
[роот @ линукбок ~] # системцтл статус днсмаск
● днсмаск.сервице - ДНС сервер за кеширање. Учитана: учитана (/уср/либ/системд/систем/днсмаск.сервице; омогућена; унапред подешена опција продавца: онемогућена) Активан: активан (покренут) од петка 2017-04-14 16:21:18 ЕДТ; Пре 4с Главни ПИД: 33611 (днсмаск) ЦГроуп: /систем.слице/днсмаск.сервице └─33611 / уср / сбин / днсмаск -к

[роот @ линукбок ~] # мв /етц/днсмаск.цонф /етц/днсмаск.цонф.оригинал

[роот @ линукбок ~] # нано /етц/днсмаск.цонф
# ------------------------------------------------- ------------------ # ГЕНЕРАЛНЕ ОПЦИЈЕ # ----------------------------- ---------------------------------------потребан домен # Не прослеђујте имена без дела домена лажни-прив # Не прослеђујте адресе у ненарученом простору екпанд-хостс # Аутоматски додајте домену у хост интерфаце = енс32 # Интерфејс ЛАН-а строг редослед # Редослед по којем се поставља упит /етц/ресолв.цонф датотека цонф-дир = / етц /днсмаск.д домаин = десделинук.фан # Адреса имена домена = / тиме.виндовс.цом / 192.168.10.5 # Шаље празну опцију вредности ВПАД. Обавезно за # Виндос 7 и новије клијенте да се понашају исправно. ;-) дхцп-оптион = 252, "\ н" # Датотека у којој ћемо прогласити ХОСТОВЕ који ће бити "забрањени" аддн-хостс = / етц / баннер_адд_хостс лоцал = / десделинук.фан / # ---------- -------------------------------------------------- ------- # РЕГИСТРОСЦНАМЕМКСТКСТ # ---------------------------------------- --------------------------- # За овај тип регистрације потребан је унос # у датотеци / етц / хостс # нпр: 192.168.10.5 линукбок.фромлинук.фан линукбок # цнаме = АЛИАС, РЕАЛ_НАМЕ цнаме = маил.фромлинук.фан, линукбок.фромлинук.фан # МКС РЕЦОРДС # Враћа МКС запис са именом "десделинук.фан" намењен # за рачунар маил.десделинук. вентилатор и приоритет 10 мк-хост = десделинук.фан, маил.десделинук.фан, 10 # Подразумевано одредиште за МКС записе који се креирају # помоћу опције лоцалмк биће: мк-таргет = маил.десделинук.фан # Враћа МКС запис који показује на мк-циљ за СВЕ # локалне машине лоцалмк # ТКСТ записа. Такође можемо прогласити СПФ запис ткт-рецорд = десделинук.фан, "в = спф1 а -алл" ткт-рецорд = десделинук.фан, "ДесдеЛинук, ваш блог посвећен слободном софтверу" # --------- -------------------------------------------------- -------- # ДАЉИНА И УСОПЦИЈЕ # --------------------------------------- ---------------------------- # Опсег ИПв4 и време закупа # 1 до 29 су за сервере и друге потребе ДХЦП-а -ранге = 192.168.10.30,192.168.10.250,8х дхцп-леасе-мак = 222 # Максималан број адреса за изнајмљивање # по дефаулту је 150 # ИПВ6 опсег # дхцп-ранге = 1234 ::, ра-онли # Опције за РАНГЕ # ОПТИОНС дхцп-оптион = 1,255.255.255.0 # НЕТМАСК дхцп-оптион = 3,192.168.10.5 # РОУТЕР ГАТЕВАИ дхцп-оптион = 6,192.168.10.5 # ДНС Серверс дхцп-оптион = 15, десделинук.фан # ДНС Домаин Наме дхцп-оптион = 19,1 , 28,192.168.10.255 # опција ип-прослеђивање ОН дхцп-оптион = 42,192.168.10.5 # БРОАДЦАСТ дхцп-оптион = XNUMX # НТП дхцп-аутхоритативе # Ауторитативни ДХЦП на подмрежи # -------------- ------------------ ----------------------------------- # Ако желите да сачувате у / вар / лог / мессагес дневник упити # раскоментирајте доњи ред # --------------------------------------- ----------------------------
# лог-куериес
# КРАЈ датотеке /етц/днсмаск.цонф # --------------------------------------- ----------------------------

Ми креирамо датотеку / етц / баннер_адд_хостс

[роот @ линукбок ~] # нано / етц / баннер_адд_хостс
192.168.10.5 виндовсупдате.цом 192.168.10.5 цтлдл.виндовсупдате.цом 192.168.10.5 оцсп.верисигн.цом 192.168.10.5 цсц3-2010-црл.верисигн.цом 192.168.10.5 ввв.мсфтнцси.цом 192.168.10.5 ипв6.мсфтнцси.цом 192.168.10.5 тередо.ипв6.мицрософт.цом 192.168.10.5 дс.довнлоад.виндовсупдате.цом 192.168.10.5 довнлоад.мицрософт.цом 192.168.10.5 фе2.упдате.мицрософт.цом 192.168.10.5 црл.мицрософт.цом 192.168.10.5 ввв .довнлоад.виндовсупдате.цом 192.168.10.5 вин8.ипв6.мицрософт.цом 192.168.10.5 спинет.мицрософт.цом 192.168.10.5 спинет1.мицрософт.цом 192.168.10.5 спинет2.мицрософт.цом 192.168.10.5 спинет3.мицрософт.цом 192.168.10.5. 4 спинет192.168.10.5.мицрософт.цом 5 спинет192.168.10.5.мицрософт.цом 15 оффице192.168.10.5цлиент.мицрософт.цом 192.168.10.5 аддонс.мозилла.орг XNUMX црл.верисигн.цом

Фиксне ИП адресе

[роот @ линукбок ~] # нано / етц / хостс
127.0.0.1 лоцалхост лоцалхост.лоцалдомаин лоцалхост4 лоцалхост4.лоцалдомаин4 :: 1 лоцалхост лоцалхост.лоцалдомаин лоцалхост6 лоцалхост6.лоцалдомаин6 192.168.10.5 линукбок.фромлинук.фан линукбок 192.168.10.1 сисадмин.фромлинук.фан сисадмин

Конфигуришемо датотеку /етц/ресолв.цонф - Ресолвер

[роот @ линукбок ~] # нано /етц/ресолв.цонф
претражите десделинук.фан намесервер 127.0.0.1 # За спољне или недомене домене ДНС упита # десделинук.фан # лоцал = / десделинук.фан / намесервер 8.8.8.8

Проверавамо синтаксу датотеке днсмаск.цонф, покрећемо и проверавамо статус услуге

[роот @ линукбок ~] # днсмаск --тест
днсмаск: синтакса је у реду.
[роот @ линукбок ~] # системцтл поново покрените днсмаск
[роот @ линукбок ~] # системцтл статус днсмаск

Днсмаск и заштитни зид

[роот @ линукбок ~] # фиревалл-цмд --гет-ацтиве-зоне
спољни
  интерфејси: енс34
јавност
  интерфејси: енс32

Сервис домен о Сервер имена домена (днс). Протокол ударити «ИП са шифровањем«

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 53 / тцп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 53 / удп --перманент
успех

Днсмаск упити ка спољним ДНС серверима

[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 53 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 53 / удп --перманент
успех

Сервис боотпс o БООТП сервер (дхцп). Протокол иппц «Интернет Плурибус Пацкет Цоре«

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 67 / тцп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 67 / удп --перманент
успех

[роот @ линукбок ~] # фиревалл-цмд --релоад
успех

[роот @ линукбок ~] # фиревалл-цмд - јавна јавна инфо-зона (активно)
  циљ: задата инверзија ицмп-блока: нема интерфејса: енс32 извори: услуге: дхцп днс нтп ссх портови: 67 / тцп 53 / удп 123 / удп 67 / удп 53 / тцп протоколи: маскуераде: но форвард-портс: соурцепортс: ицмп -блоцкс: богата правила:

[роот @ линукбок ~] # фиревалл-цмд --инфо-зоне спољни спољни (активан)
  таргет: дефаулт ицмп-блоцк-инверсион: нема интерфејса: енс34 извори: услуге: днс портови: 53 / удп 53 / тцп протоколи: маскуераде: иес форвард-портс: соурцепортс: ицмп-блоцкс: параметер-проблем редирецт роутер-адвертисемент роутер- богата правила за тражење извора:

Ако желимо да користимо графички интерфејс за конфигурисање заштитног зида у ЦентОС 7, погледамо у општи мени - то ће зависити од окружења радне површине у којем ће се подменију појавити - апликације «Заштитни зид», извршавамо је и након уноса корисничке лозинке корен, приступићемо програмском интерфејсу као таквом. У МАТЕ се појављује у менију «Систем »->" Администрација "->" Заштитни зид ".

Бирамо подручје «јавност»И одобравамо Услуге које желимо да буду објављене на ЛАН-у, које су до сада дхцп, днс, нтп и ссх. Након одабира услуга и провере да ли све исправно функционишу, морамо извршити промене у Рунтиме на Перманент. Да бисмо то урадили идемо у мени Опције и бирамо опцију «Покрени време до трајног".

Касније бирамо област «спољни»И ми проверавамо да ли су отворене луке потребне за комуникацију са Интернетом. НЕМОЈТЕ објављивати Услуге у овој Зони, осим ако добро знамо шта радимо!.

Не заборавимо да промене унесемо Трајно кроз опцију «Покрени време до трајног»И поново учитај демона ФиреваллД, сваки пут када користимо овај моћни графички алат.

НТП и Днсмаск из Виндовс 7 клијента

Синхронизација са НТП-ом

спољни

Закупљена ИП адреса

Мицрософт Виндовс [верзија 6.1.7601] Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана. Ц: \ Усерс \ бузз> ипцонфиг / име хоста за све ИП конфигурације система Виндовс. . . . . . . . . . . . : СЕДАМ
   Примарни Днс суфикс. . . . . . . :
   Тип чвора. . . . . . . . . . . . : Омогућено хибридно ИП усмеравање. . . . . . . . : Није омогућен ВИНС проки. . . . . . . . : Нема листе за претрагу ДНС суфикса. . . . . . : десделинук.фан Етхернет адаптер Локално повезивање: ДНС суфикс специфичан за везу. : десделинук.фан Опис. . . . . . . . . . . : Физичка адреса мрежне везе Интел (Р) ПРО / 1000 МТ. . . . . . . . . : 00-0Ц-29-Д6-14-36 ДХЦП омогућен. . . . . . . . . . . : Да Омогућена је аутоматска конфигурација. . . . : И то је
   ИПв4 адреса. . . . . . . . . . . : 192.168.10.115 (Преферирано)
   Маска подмреже. . . . . . . . . . . : 255.255.255.0 Закуп је добијен. . . . . . . . . . : Петак, 14. априла 2017. 5:12:53 Закуп истиче. . . . . . . . . . : Субота, 15. април 2017. 1:12:53 Подразумевани пролаз. . . . . . . . . : 192.168.10.1 ДХЦП сервер. . . . . . . . . . . : 192.168.10.5 ДНС сервери. . . . . . . . . . . : 192.168.10.5 НетБИОС преко Тцпип-а. . . . . . . . : Омогућен тунелски адаптер Локално повезивање * 9: Стање медија. . . . . . . . . . . : Медији нису повезани ДНС суфикс специфичан за везу. : Опис. . . . . . . . . . . : Физичка адреса Мицрософт Тередо адаптера за тунелирање. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : Да Туннел адаптер исатап.фромлинук.фан: Стање медија. . . . . . . . . . . : Медији нису повезани ДНС суфикс специфичан за везу. : десделинук.фан Опис. . . . . . . . . . . : Мицрософт ИСАТАП адаптер бр. 2, физичка адреса. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : Да Ц: \ Усерс \ бузз>

Напојница

Важна вредност код Виндовс клијената је „Примарни суфикс Днс-а“ или „Суфикс главне везе“. Када се не користи Мицрософт Домаин Цонтроллер, оперативни систем му не додељује никакву вредност. Ако се суочимо са случајем као што је описан на почетку чланка и желимо експлицитно прогласити ту вредност, морамо поступити у складу са оним што је приказано на следећој слици, прихватити промене и поново покренути клијента.

 

Ако поново трчимо ЦМД -> ипцонфиг / све добићемо следеће:

Мицрософт Виндовс [верзија 6.1.7601] Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана. Ц: \ Усерс \ бузз> ипцонфиг / име хоста за све ИП конфигурације система Виндовс. . . . . . . . . . . . : СЕДАМ
   Примарни Днс суфикс. . . . . . . : десделинук.фан
   Тип чвора. . . . . . . . . . . . : Омогућено хибридно ИП усмеравање. . . . . . . . : Није омогућен ВИНС проки. . . . . . . . : Нема листе за претрагу ДНС суфикса. . . . . . : десделинук.фан

Остатак вредности остаје непромењен

ДНС провере

бузз @ сисадмин: ~ $ хост спинет.мицрософт.цом
спинет.мицрософт.цом има адресу 127.0.0.1 Хост спинет.мицрософт.цом није пронађен: 5 (ОДБИЈАНО) спинет.мицрософт.цом поштом се бави 1 маил.фромлинук.фан.

бузз @ сисадмин: ~ $ хост линукбок
линукбок.десделинук.фан има адресу 192.168.10.5 линукбок.десделинук.фан пошту обрађује 1 маил.десделинук.фан.

бузз @ сисадмин: ~ $ хост сисадмин
сисадмин.десделинук.фан има адресу 192.168.10.1 сисадмин.десделинук.фан пошта обрађује 1 маил.десделинук.фан.

бузз @ сисадмин: ~ $ пошта поште
маил.десделинук.фан је псеудоним за линукбок.десделинук.фан. линукбок.десделинук.фан има адресу 192.168.10.5 линукбок.десделинук.фан пошту обрађује 1 маил.десделинук.фан.

Ми инсталирамо -само за тестирање- ауторитативни ДНС сервер НСД у сисадмин.фромлинук.фан, а ми укључујемо ИП адресу 172.16.10.1 у архиву / Етц / ресолв.цонф тима линукбок.фромлинук.фан, да би потврдио да је Днсмаск правилно извршавао своју функцију прослеђивача. Песковници на НСД серверу су фавт.орг y тоујагуе.орг. Све ИП адресе су фиктивне или су из приватних мрежа.

Ако онемогућимо ВАН интерфејс енс34 користећи команду ифдовн енс34, Днсмаск неће моћи да тражи спољне ДНС сервере.

[бузз @ линукбок ~] $ судо ифдовн енс34 [бузз @ линукбок ~] $ хост -т мк тоујагуе.орг
Домаћин тоујагуе.орг није пронађен: 3 (НКСДОМАИН)

[бузз @ линукбок ~] $ хост пиззапие.фавт.орг
Домаћин пиззапие.фавт.орг није пронађен: 3 (НКСДОМАИН)

Омогућимо енс34 интерфејс и проверимо поново:

[бузз @ линукбок ~] $ судо ифуп енс34
бузз @ линукбок ~] $ хост пиззапие.фавт.орг
пиззапие.фавт.орг је псеудоним за паисано.фавт.орг. паисано.фавт.орг има адресу 172.16.10.4

[бузз @ линукбок ~] $ хост пиззапие.тоујагуе.орг
Домаћин пиззас.тоујагуе.орг није пронађен: 3 (НКСДОМАИН)

[бузз @ линукбок ~] $ хост поблацион.тоујагуе.орг
поблацион.тоујагуе.орг има адресу 169.18.10.18

[бузз @ линукбок ~] $ хост -т НС фавт.орг
фавт.орг сервер имена нс1.фавт.орг. фавт.орг сервер имена нс2.фавт.орг.

[бузз @ линукбок ~] $ хост -т НС тоујагуе.орг
тоујагуе.орг сервер имена нс1.тоујагуе.орг. тоујагуе.орг сервер имена нс2.тоујагуе.орг.

[бузз @ линукбок ~] $ хост -т МКС тоујагуе.орг
Поштом тоујагуе.орг обрађује се 10 маил.тоујагуе.орг.

Да се ​​консултујемо од сисадмин.фромлинук.фан:

бузз @ сисадмин: ~ $ цат /етц/ресолв.цонф 
претрага са линук.фан намесервер 192.168.10.5

кеон @ сисадмин: ~ $ хост маил.тоујагуе.орг
маил.тоујагуе.орг има адресу 169.18.10.19

Днсмаск ради као Прослеђивач тачно.

лигња

У књизи у ПДФ формату «Конфигурација Линук сервера»Аутор дана 25. јула 2016 Јоел Барриос Дуенас (дарксхрам@гмаил.цом - http://www.alcancelibre.org/), текста на који сам се позивао у претходним чланцима, постоји цело поглавље посвећено Основне опције конфигурације Скуид.

Због важности услуге Веб - Проки, репродукујемо Увод о лигњама у поменутој књизи:

105.1. Увод.

105.1.1. Шта је посреднички сервер (проки)?

Термин на енглеском "Заступник" има врло опште и истовремено двосмислено значење, мада
се увек сматра синонимом концепта "Посредник". Обично се преводи, у строгом смислу, као делегат o оснажен (онај који има власт над другим).

Un Посреднички сервер Дефинисан је као рачунар или уређај који нуди мрежну услугу која се састоји од омогућавања клијентима да остваре индиректне мрежне везе са другим мрежним услугама. Током процеса дешава се следеће:

  • Клијент се повезује са Проки сервер.
  • Клијент захтева везу, датотеку или други ресурс доступан на другом серверу.
  • Посреднички сервер пружа ресурс било повезивањем са наведеним сервером
    или га сервира из кеш меморије.
  • У неким случајевима Посреднички сервер може променити захтев клијента или
    одговор сервера у разне сврхе.

Л Проки сервери обично су направљени да раде истовремено као противпожарни зид који ради у Мрежни ниво, који делује као пакетни филтер, као у случају iptables или који послују у Ниво примене, контролу различитих услуга, као што је случај ТЦП Враппер. У зависности од контекста, ватрогасни зид познат је и као БПД o Bналог Pротецтион Dевице или само пакетни филтер.

Уобичајена примена Проки сервери треба да функционише као кеш мрежног садржаја (углавном ХТТП), пружајући у близини клијената кеш страница и датотека доступних путем мреже на удаљеним ХТТП серверима, омогућавајући клијентима локалне мреже да им приступе у брже и поузданије.

Када се прими захтев за одређени мрежни ресурс у а УРЛ адреса (Uниформ Rизвор Lокатор) тхе Посреднички сервер потражите резултат од УРЛ адреса унутар кеша. Ако се пронађе, Посреднички сервер Одговара купцу тако што ће одмах пружити тражени садржај. Ако у кеш меморији нема захтеваног садржаја, Посреднички сервер преузеће га са удаљеног сервера, испоручивши га клијенту који га је затражио и задржавајући копију у кешу. Садржај из кеш меморије се затим уклања алгоритмом истека према старости, величини и историји одговори на захтеве (погоци) (примери: ЛРУ, ЛФУДА y ГДСФ).

Проки сервери за мрежни садржај (Веб Прокиес) такође могу да делују као филтри садржаја који се сервирају, примењујући политике цензуре према произвољним критеријумима..

Верзија Скуид коју ћемо инсталирати је 3.5.20-2.ел7_3.2 из спремишта Ажурирање.

инсталација

[роот @ линукбок ~] # иум инсталирајте лигње

[роот @ линукбок ~] # лс / етц / скуид /
цацхемгр.цонф еррорпаге.цсс.дефаулт  лигње.цонф
цацхемгр.цонф.дефаулт миме.цонф              скуид.цонф.дефаулт
еррорпаге.цсс миме.цонф.дефаулт

[роот @ линукбок ~] # системцтл омогући лигње

I

  • Главни циљ овог чланка је да овласти локалне кориснике да се повежу са Скуид са других рачунара повезаних на ЛАН. Поред тога, имплементирајте језгро сервера којем ће се додати друге услуге. То није чланак посвећен лигњама као таквима.
  • Да бисте добили идеју о опцијама конфигурације Скуид-а, прочитајте /уср/схаре/доц/скуид-3.5.20/скуид.цонф.документовану датотеку која има 7915 редова.

СЕЛинук и Скуид

[роот @ линукбок ~] # гетсебоол -а | греп лигње
скуид_цоннецт_ани -> на скуид_усе_тпроки -> искључено

[роот @ линукбок ~] # сетсебоол -П скуид_цоннецт_ани = укључен

конфигурација

[роот @ линукбок ~] # нано /етц/скуид/скуид.цонф
# ЛАН ацл лоцалнет срц 192.168.10.0/24 ацл ССЛ_портс порт 443 21
ацл Сафе_портс порт 80 # хттп ацл Сафе_портс порт 21 # фтп ацл Сафе_портс порт 443 # хттпс ацл Сафе_портс порт 70 # гопхер ацл Сафе_портс порт 210 # ваис ацл Сафе_портс порт 1025-65535 # нерегистровани портови ацл Сафе_портс порт 280 # хттп-мгмт ацл Сафе_портс порт 488 # гсс-хттп ацл Сафе_портс порт 591 # филемакер ацл Сафе_портс порт 777 # мултилинг хттп ацл ЦОННЕЦТ метода ЦОННЕЦТ # Одбијамо упите за несигурне портове хттп_аццесс дени! Сафе_портс # Ускраћујемо ЦОННЕЦТ метод за несигурне портове хттп_аццесс дени ЦОННЕЦТ! ССЛ_портс # Приступ на Управитељ кеш меморије само из лоцалхост хттп_аццесс дозволи лоцалхост манагеру хттп_аццесс дени манагер # Препоручујемо следеће да се не коментарише како би се заштитиле невине # веб апликације које се покрећу на проки серверу и које мисле да је једини # који може приступити услугама на „лоцалхост“ локални корисник хттп_аццесс демантује то_лоцалхост # # ОВДЕ ДОЗВОЛИТЕ СВОЈА ПРАВИЛА ДА ДОЗВОЛИТЕ ПРИСТУП ВАШИМ КЛИЈЕНТИМА # # ПАМ овлашћење
аутх_парам основни програм / уср / либ64 / скуид / басиц_пам_аутх
аутх_парам басиц цхилдрен 5 аутх_парам басиц царм фром линук.фан аутх_парам басиц цредентиалсттл 2 сата аутх_парам басиц цасесенситиве офф # Ацл аутхентицатион ис рекуиред то аццесс Скуид Ентхусиастс проки_аутх ОБАВЕЗНО # Омогућавамо приступ аутентификованим корисницима # преко ПАМ хттп_аццесс дени! Ентузијасти # Приступ ФТП сајтовима! ацл фтп прото ФТП хттп_аццесс аллов фтп хттп_аццесс аллов лоцалнет хттп_аццесс аллов лоцалхост # Ускраћујемо било који други приступ прокију хттп_аццесс одбијамо све # Скуид нормално слуша на порту 3128 хттп_порт 3128 # Остављамо "цоредумпс" у директоријуму прве кеш меморије цоредумп_дир / вар / споол / скуид # # Додајте било који свој унос рефресх_паттерн изнад њих. # рефресх_паттерн ^ фтп: 1440 20% 10080 рефресх_паттерн ^ гопхер: 1440 0% 1440 рефресх_паттерн -и (/ цги-бин / | \?) 0 0% 0 рефресх_паттерн. 0 20% 4320 цацхе_мем 64 МБ # Кеш меморија мемори_реплацемент_полици лру цацхе_реплацемент_полици гомила ЛФУДА цацхе_дир ауфс / вар / споол / скуид 4096 16 256 4 макимум_објецт_сизе 85 МБ цацхе_свап_лов 90 цацхе_свап_хигхук XNUMX цацхе_миндесбук@десцхемклин.бузз@десигн.еке.

Проверавамо синтаксу датотеке /етц/скуид/скуид.цонф

[роот @ линукбок ~] # скуид -к парсе
2017 04: 16: 15 | Покретање: Иницијализација шема за потврду идентитета ...
 2017 04: 16: 15 | Покретање: Иницијализована шема за потврду идентитета 'основна' 45/10/2017 04: 16: 15 | Покретање: Иницијализована схема аутентификације „сажетак“ 45/10/2017 04: 16: 15 | Покретање: Иницијализована шема за потврду идентитета „преговара“ 45/10/2017 04: 16: 15 | Покретање: Иницијализована шема за потврду идентитета 'нтлм' 45/10/2017 04: 16: 15 | Покретање: Иницијализована аутентификација.
 2017 04: 16: 15 | Обрада датотеке конфигурације: /етц/скуид/скуид.цонф (дубина 45) 10. 0. 2017. 04: 16: 15 | Обрада: ацл лоцалнет срц 45/10 192.168.10.0/24/2017 04: 16: 15 | Обрада: ацл ССЛ_портс порт 45 10 443/21/2017 04: 16: 15 | Обрада: ацл Сафе_портс порт 45 # хттп 10/80/2017 04: 16: 15 | Обрада: ацл Сафе_портс порт 45 # фтп 10/21/2017 04: 16: 15 | Обрада: ацл Сафе_портс порт 45 # хттпс 10 443: 2017: 04 | Обрада: ацл Сафе_портс порт 16 # гопхер 15 45: 10: 70 | Обрада: ацл Сафе_портс порт 2017 # ваис 04/16/15 45: 10: 210 | Обрада: ацл Сафе_портс порт 2017-04 # нерегистровани портови 16/15/45 10: 1025: 65535 | Обрада: ацл Сафе_портс порт 2017 # хттп-мгмт 04/16/15 45: 10: 280 | Обрада: ацл Сафе_портс порт 2017 # гсс-хттп 04/16/15 45: 10: 488 | Обрада: ацл порт Сафе_портс 2017 # филемакер 04 16: 15: 45 | Обрада: ацл Сафе_портс порт 10 # мултилинг хттп 591/2017/04 16: 15: 45 | Обрада: ацл ЦОННЕЦТ метода ЦОННЕЦТ 10/777/2017 04: 16: 15 | Обрада: хттп_аццесс дени! Сафе_портс 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс дени ЦОННЕЦТ! ССЛ_портс 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс аллов лоцалхост манагер 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс дени манагер 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс дени то_лоцалхост 45/10/2017 04: 16: 15 | Обрада: аутх_парам основни програм / уср / либ45 / скуид / басиц_пам_аутх 10/2017/04 16: 15: 45 | Обрада: аутх_парам басиц цхилдрен 10 64/2017/04 16: 15: 45 | Обрада: аутх_парам основно царство са линук.фан 10/5/2017 04: 16: 15 | Обрада: аутх_парам басиц цредентиалсттл 45 сата 10 2017: 04: 16 | Обрада: аутх_парам основно осетљиво на велика и мала слова искључено 15. 45. 10 2: 2017: 04 | Обрада: ацл Љубитељи проки_аутх ОБАВЕЗНО 16 15: 45: 10 | Обрада: хттп_аццесс дени! Ентузијасти 2017 04: 16: 15 | Обрада: ацл фтп прото ФТП 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс аллов фтп 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс аллов лоцалнет 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс аллов лоцалхост 45/10/2017 04: 16: 15 | Обрада: хттп_аццесс демантес алл 45/10/2017 04: 16: 15 | Обрада: хттп_порт 45 10/2017/04 16: 15: 45 | Обрада: цоредумп_дир / вар / споол / скуид 10/2017/04 16: 15: 45 | Обрада: рефресх_паттерн ^ фтп: 10 3128% 2017 04/16/15 45: 10: 2017 | Обрада: рефресх_паттерн ^ гопхер: 04 16% 15 45 10: 1440: 20 | Обрада: рефресх_паттерн -и (/ цги-бин / | \?) 10080 2017% 04 16 15: 45: 10 | Обрада: рефресх_паттерн. 

Прилагођавамо дозволе у / уср / либ64 / скуид / басиц_пам_аутх

[роот @ линукбок ~] # цхмод у + с / уср / либ64 / скуид / басиц_пам_аутх

Креирамо директоријум кеш меморије

# За сваки случај ... [роот @ линукбок ~] # заустављање лигње услуге
Преусмеравање на / бин / системцтл стоп скуид.сервице

[роот @ линукбок ~] # скуид -з
[роот @ линукбок ~] # 2017 04:16:15 кид48 | Подесите Цуррент Дирецтори на / вар / споол / скуид 28/1/2017 04:16:15 кид48 | Стварање недостајућих свап директоријума 28/1/2017 04:16:15 кид48 | / вар / споол / лигње постоји 28/1/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/00/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/01/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/02/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/03/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/04/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/05/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/06/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/07/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/08/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/09/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28А 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28Б 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28Ц 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 29Д 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 29Е 1/0/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 29Ф

У овом тренутку, ако вам треба неко време за враћање командне линије - која ми никада није враћена - притисните Ентер.

[роот @ линукбок ~] # покретање лигње услуге
[роот @ линукбок ~] # рестартовање лигње услуге
[роот @ линукбок ~] # статус лигње услуге
Преусмеравање на / бин / системцтл статус скуид.сервице ● скуид.сервице - Проки за предмеморирање лигњи Утоварен: учитан (/уср/либ/системд/систем/скуид.сервице; онемогућен; унапред подешена опција продавца: онемогућено) Активан: активан (покренут) од дом 2017-04-16 15:57:27 ЕДТ; Пре 1с Процес: 2844 ЕкецСтоп = / уср / сбин / скуид -к схутдовн -ф $ СКУИД_ЦОНФ (цоде = екитед, статус = 0 / СУЦЦЕСС) Процес: 2873 ЕкецСтарт = / уср / сбин / скуид $ СКУИД_ОПТС -ф $ СКУИД_ЦОНФ (код = изашао, статус = 0 / УСПЕХ) Процес: 2868 ЕкецСтартПре = / уср / либекец / скуид / цацхе_свап.сх ​​(цоде = екитед, статус = 0 / СУЦЦЕСС) Главни ПИД: 2876 (скуид) ЦГроуп: /систем.слице/скуид .сервице └─2876 / уср / сбин / скуид -ф /етц/скуид/скуид.цонф 16. априла 15:57:27 линукбок системд [1]: Покретање проки-а за кеширање Скуид-а ... 16. априла 15:57:27 линукбок системд [1]: Стартед Скуид цацхинг проки. 16. априла 15:57:27 линукбок скуид [2876]: Скуид Парент: покреће 1 децу 16. априла 15:57:27 линукбок скуид [2876]: Скуид Парент: (скуид-1) процесс 2878 ... ед 16. априла 15 : 57: 27 линукбок скуид [2876]: Скуид Парент: (скуид-1) процесс 2878 ... 1 Савет: Неке линије су елипсисане, користите -л за приказ у целости

[роот @ линукбок ~] # цат / вар / лог / мессагес | греп лигње

Исправке заштитног зида

Такође морамо отворити у зони «спољни"луке 80 ХТТП y 443 ХТТПС тако да лигње могу да комуницирају са Интернетом.

[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 80 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 443 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --релоад
успех
[роот @ линукбок ~] # фиревалл-цмд --инфо-зоне ектернал
екстерни (активни) циљ: задата инверзија ицмп-блока: нема интерфејса: енс34 извори: услуге: днс портови: 443 / тцп 53 / удп 80 / тцп 53 / тцп
  протоколи: маскуераде: иес форвард-портс: соурцепортс: ицмп-блоцкс: параметер-проблем редирецт роутер-адвертисемент роутер-солицитатион соурце-куенцх богата правила:
  • Није беспослено ићи у графичку апликацију «Конфигурација заштитног зида»И проверите да ли су портови 443 тцп, 80 тцп, 53 тцп и 53 удп отворени за зону«спољни«, И да НИСМО објавили ниједан сервис за њу.

Напомена о помоћном програму басиц_пам_аутх

Ако консултујемо приручник овог услужног програма путем ман басиц_пам_аутх Прочитаћемо да сам аутор даје снажну препоруку да се програм пребаци у директоријум у којем нормални корисници немају довољно дозвола за приступ алату.

С друге стране, познато је да уз ову шему ауторизације акредитиви путују у обичном тексту и није сигурно за непријатељска окружења, читајте отворене мреже.

Јефф Иеструмскас посвети чланак «Како да: Подесите безбедни веб прокси користећи ССЛ енкрипцију, Скуид Цацхинг Проки и ПАМ потврду идентитета»На питање повећања безбедности помоћу ове шеме за потврду идентитета како би се могла користити у потенцијално непријатељским отвореним мрежама.

Инсталирамо хттпд

Као начин да проверимо рад Скуид -а и случајно Днсмаск-а, ми ћемо инсталирати услугу хттпд -Апацхе веб сервер- што није потребно урадити. У датотеци у односу на Днсмаск / етц / баннер_адд_хостс Проглашавамо веб локације за које желимо да буду забрањене и изричито додељујемо исту ИП адресу коју има линукбок. Стога, ако затражимо приступ било којој од ових веб локација, почетна страница хттпд.

[роот @ линукбок ~] # иум инсталирај хттпд [роот @ линукбок ~] # системцтл омогући хттпд
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/хттпд.сервице до /уср/либ/системд/систем/хттпд.сервице.

[роот @ линукбок ~] # системцтл старт хттпд

[роот @ линукбок ~] # системцтл статус хттпд
● хттпд.сервице - Апацхе ХТТП сервер је учитан: учитан (/уср/либ/системд/систем/хттпд.сервице; омогућен; унапред подешена опција продавца: онемогућено) Активан: активан (покренут) од 2017. У 04:16: 16 ЕДТ; Пре 41 докумената: ман: хттпд (35) ман: апацхецтл (5) Главни ПИД: 8 (хттпд) Статус: „Обрада захтева ...“ ЦГроуп: /систем.слице/хттпд.сервице ├─8 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2275 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2275 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2276 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2277 / уср / сбин / хттпд -ДФОРЕГРОУНД └─2278 / уср / сбин / хттпд -ДФОРЕГРОУНД 2279. априла 2280:16:16 линукбок системд [41]: Покретање Апацхе ХТТП сервера ... 35. априла 1:16:16 линукбок системд [41]: Покренуо је Апацхе ХТТП сервер.

СЕЛинук и Апацхе

Апацхе има неколико смерница за конфигурисање у оквиру СЕЛинук контекста.

[роот @ линукбок ~] # гетсебоол -а | греп хттпд
хттпд_анон_врите -> ван хттпд_буилтин_сцриптинг -> на хттпд_цан_цхецк_спам -> ван хттпд_цан_цоннецт_фтп -> ван хттпд_цан_цоннецт_лдап -> ван хттпд_цан_цоннецт_митхтв -> ван хттпд_цан_цоннецт офф_заббик -> искључен хттпд_цан_цоннецт_заббик_воркб_воркб_воркд_цоннецт_воркбцоннецт офф_воркбворк_ хттпд_цан_нетворк_мемцацхе -> ван хттпд_цан_нетворк_релаи -> ван хттпд_цан_сендмаил -> ван хттпд_дбус_авахи -> ван хттпд_дбус_сссд -> ван хттпд_донтаудит_сеарцх_дирс -> ван хттпд_енабле_цги -> хттпд_енабле_оффмирс -> хттпд_енабле_енабле оффпд_сервер_оффмирс -> хттпд_енаблем оффпд_сервер_енабле_цги -> оффхпд_енаблем искључен хттпд_грацефул_схутдовн -> на хттпд_манаге_ипа -> искључено хттпд_мод_аутх_нтлм_винбинд -> искључено хттпд_мод_аутх_пам -> искључено хттпд_реад_усер_цонтент -> искључено хттпд_рун_ипа -> искључено хттпд_рун_преупграде -> искључено хттпд_рунруццофт_ офффтрунцоф хттпд_сси_екец -> искључено хттпд_сис_сцрипт_анон_врите -> искључено хттпд_тмп_екец -> искључено хттпд_тти_цомм - > искључено хттпд_унифиед -> искључено хттпд_усе_цифс -> искључено хттпд_усе_фусефс -> искључено хттпд_усе_гпг -> искључено хттпд_усе_нфс -> искључено хттпд_усе_опенстацк -> искључено хттпд_усе_сасл -> искључено хттпд_верифи_днс -> искључено

Конфигурисаћемо само следеће:

Пошаљите е-пошту путем Апацхе-а

роот @ линукбок ~] # сетсебоол -П хттпд_цан_сендмаил 1

Дозволите Апацхе-у да чита садржаје који се налазе у кућним директоријумима локалних корисника

роот @ линукбок ~] # сетсебоол -П хттпд_реад_усер_цонтент 1

Дозволите администрирање путем ФТП-а или ФТПС-а било којим директоријумом којим управља
Апацхе или дозволите Апацхеу да функционише као ФТП сервер који ослушкује захтеве преко ФТП порта

[роот @ линукбок ~] # сетсебоол -П хттпд_енабле_фтп_сервер 1

За више информација прочитајте Конфигурација Линук сервера.

Проверавамо потврду идентитета

Остаје само да отворимо прегледач на радној станици и усмеримо, на пример, на http://windowsupdate.com. Проверићемо да ли је захтев правилно преусмерен на Апацхе почетну страницу у линукбок-у. У ствари, било које име локације декларисано у датотеци / етц / баннер_адд_хостс бићете преусмерени на исту страницу.

Слике на крају чланка то доказују.

Управљање корисницима

То радимо помоћу графичког алата «Управљање корисницима»Којој приступамо путем менија Систем -> Администрација -> Управљање корисницима. Сваки пут када додамо новог корисника, креира се његова фасцикла / хоме / усер аутоматски.

 

бацкуп

Линук клијенти

Потребан вам је само уобичајени прегледач датотека и назначите да се желите повезати, на пример: ссх: // бузз @ линукбок / хоме / бузз и након уноса лозинке, приказаће се директоријум дом корисника зујање.

Виндовс клијенти

У Виндовс клијентима користимо алатку ВинСЦП. Једном инсталиран, користимо га на следећи начин:

 

 

Једноставно, зар не?

Резиме

Видели смо да је могуће користити ПАМ за аутентификацију услуга у малој мрежи иу контролисаном окружењу потпуно изолованом од руку хакери. То је углавном због чињенице да акредитиви за потврду идентитета путују у обичном тексту и стога није шема за потврду идентитета која се користи у отвореним мрежама као што су аеродроми, Ви-Фи мреже итд. Међутим, то је једноставан механизам ауторизације, лак за примену и конфигурисање.

Консултовани извори

ПДФ верзија

Преузмите ПДФ верзију овде.

До следећег чланка!


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

9 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   НауТилуС дијо

    Изванредан пост је излечен, господине. Хвала што сте поделили своје знање.

  2.   гуштер дијо

    Знам колико је тешко саставити чланак са таквом разином детаља, са сасвим јасним тестовима и пре свега са концептима и стратегијама прилагођеним стандардима. Само скидам капу овом драгуљу доприноса, пуно хвала Фицо на тако добром послу.

    Никада нисам комбиновао лигње са пам аутентификацијом, али идем што је даље могуће да бих то радио у својој лабораторији ... Загрљај циља и настављамо !!

  3.   Федерицо дијо

    НаТилуС: Хвала вам пуно на коментару и оцени.
    Гуштер: И вама пуно хвала на коментару и оцени.

    Време и труд посвећени стварању чланака попут овог награђују се само читањем и коментарима оних који посете ФромЛинук заједницу. Надам се да ће вам бити од користи у вашем свакодневном раду.
    Идемо даље!

  4.   анониман дијо

    Невероватан допринос грађана !!!! Прочитао сам сваки ваш чланак и могу да кажем да чак и особа која нема напредно знање о слободном софтверу (попут мене) може да прати овај изузетан чланак корак по корак. Живели !!!!

  5.   ИВО дијо

    Хвала Фићу на овом другом сјајном чланку; Као да то није довољно са свим објављеним постовима, у овом случају имамо услугу која претходно није била обухваћена ПИМЕС серијом, а то је изузетно важно: „СКУИД“ или проки ЛАН-а. Ништа што за нас породица оних који мисле да смо „сисадмини“ овде нема другог доброг материјала за проучавање и продубљивање нашег знања.

  6.   Федерицо дијо

    Хвала свима на коментарима. Следећи чланак ће се бавити Просоди сервером за ћаскање са потврдом идентитета против локалних акредитива (ПАМ) путем Цирус-САСЛ, а та услуга ће бити имплементирана на истом серверу.

  7.   кенпацхиРо17 дијо

    У добро време земљак !!!! Велики допринос чак и онима попут мене који немају велико знање о слободном софтверу, страствени су према учењу са изврсним чланцима попут овог. Пратим ваше прилоге и желео бих да знам по ком чланку бисте ми препоручили да започнем ову серију МСП мрежа, с обзиром да читам неуредно и мислим да има пуно драгоценог садржаја који пропушта било који детаљ. Без више поздрава и нека заједничко знање као и софтвер остану бесплатни !!

    1.    Федерицо дијо

      Поздрав земљак !!!. Препоручујем вам да започнете на почетку, иако је то можда дугачак пут, то је најкраћи пут да се не бисте изгубили. У индексу -који није ажуриран са последња два чланка- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, установили смо препоручени редослед читања серије, који започиње како се ради Радна станица, наставља са неколико постова посвећених тој теми Виртуелизација, следите са неколико коверти БИНД, Исц-Дхцп-Сервер и Днсмаск, и тако све док не дођемо до дела за имплементацију услуге за МСП мрежу, где смо тренутно. Надам се да ће вам помоћи.

      1.    кенпацхиРо17 дијо

        Па биће !!!! Одмах почињем са серијом од почетка и радујем се новим чланцима. Живели !!!!