Провера идентитета Скуид + ПАМ у ЦентОС 7- СМБ мрежама

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Здраво пријатељи и пријатељи!

Наслов чланка требао је бити: «МАТЕ + НТП + Днсмаск + Гатеваи Сервице + Апацхе + Скуид са ПАМ ауторизацијом у Центос 7 - МСП мреже«. Из практичних разлога га скраћујемо.

Настављамо са потврђивањем идентитета за локалне кориснике на Линук рачунару помоћу ПАМ-а, а овај пут ћемо видети како можемо пружити Проки услугу са Скуид-ом за малу мрежу рачунара, користећи поверљиве податке за потврду идентитета сачуване на истом рачунару где сервер је покренут лигња.

Иако знамо да је данас врло уобичајена пракса, аутентификација услуга против ОпенЛДАП-а, Ред Хат'с Дирецтори Сервер 389, Мицрософт Ацтиве Дирецтори итд., Сматрамо да прво морамо проћи кроз једноставна и јефтина решења, а затим се суочити са најсложенијим. Верујемо да морамо ићи од једноставног ка сложеном.

Фаза

То је мала организација - са врло мало финансијских ресурса - посвећена подршци коришћењу слободног софтвера и одлучила се за име DesdeLinux.Лепеза. Они су разни ентузијасти ОС-а Убунту груписани у једну канцеларију. Купили су радну станицу - а не професионални сервер - коју ће посветити функционисању као „сервер“.

Ентузијасти немају широко знање о томе како да примене ОпенЛДАП сервер или Самба 4 АД-ДЦ, нити могу да приуште лиценцирање Мицрософт Ацтиве Дирецтори. Међутим, за свој свакодневни рад требају им услуге приступа Интернету путем проксија - да би убрзали прегледање - и простора у којем могу да сачувају своје највредније документе и раде као резервне копије.

И даље углавном користе легално стечене оперативне системе Мицрософт, али желе да их промене у оперативне системе засноване на Линуку, почев од свог „сервера“.

Они такође теже да имају сопствени сервер за пошту да би постали независни - барем од порекла - услуга као што су Гмаил, Иахоо, ХотМаил итд., Што тренутно користе.

Правила заштитног зида и рутирања испред Интернета утврдиће их у уговореном АДСЛ рутеру.

Они немају право име домена јер не требају да објављују ниједну услугу на Интернету.

ЦентОС 7 као сервер без ГУИ-ја

Полазимо од нове инсталације сервера без графичког интерфејса, а једина опција коју одаберемо током процеса је «Инфраструцтуре Сервер»Као што смо видели у претходним чланцима у серији.

Почетна подешавања

[роот @ линукбок ~] # цат / етц / хостнаме 
линукбок

[роот @ линукбок ~] # мачка / етц / хостс
127.0.0.1 лоцалхост лоцалхост.лоцалдомаин лоцалхост4 лоцалхост4.лоцалдомаин4 ::1 лоцалхост лоцалхост.лоцалдомаин лоцалхост6 лоцалхост6.лоцалдомаин6 192.168.10.5 линукбок.desdelinux.фан линукбок

[роот @ линукбок ~] # име хоста
линукбок

[роот @ линукбок ~] # име хоста -ф
линукбок.desdelinux.лепеза

[роот @ линукбок ~] # ип аддр листа
[роот @ линукбок ~] # ифцонфиг -а
[роот @ линукбок ~] # лс / сис / цласс / нет /
енс32 енс34 ло

Онемогућимо Нетворк Манагер

[роот @ линукбок ~] # системцтл заустави НетворкМанагер

[роот @ линукбок ~] # системцтл онемогући НетворкМанагер

[роот @ линукбок ~] # системцтл статус НетворкМанагер
● НетворкМанагер.сервице - Нетворк Манагер Лоадед: учитан (/уср/либ/системд/систем/НетворкМанагер.сервице; онемогућен; унапред подешена опција добављача: омогућено) Активно: неактивно (мртво) Документи: човек: НетворкМанагер (8)

[роот @ линукбок ~] # ифцонфиг -а

Конфигуришемо мрежне интерфејсе

Енс32 ЛАН интерфејс повезан на унутрашњу мрежу

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.фан ДНС1=127.0.0.1
ЗОНА = јавна

[роот @ линукбок ~] # ифдовн енс32 && ифуп енс32

Енс34 ВАН интерфејс повезан на Интернет

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс34
ДЕВИЦЕ=енс34 ОНБООТ=иес БООТПРОТО=статички ХВАДДР=00:0ц:29:да:а3:е7 НМ_ЦОНТРОЛЛЕД=не ИПАДДР=172.16.10.10 НЕТМАСК=255.255.255.0 # АДСЛ рутер са # је повезан на следећу адресу # овај интерфејс ИП ГАТЕВАИ=172.16.10.1 ДОМАИН=desdelinux.фан ДНС1=127.0.0.1
ЗОНА = спољна

[роот @ линукбок ~] # ифдовн енс34 && ифуп енс34

Конфигурација спремишта

[роот @ линукбок ~] # цд /етц/иум.репос.д/
[роот @ линукбок ~] # оригинал мкдир
[роот @ линукбок ~] # мв Центос- * оригинал /

[роот @ линукбок ~] # нано центос.репо
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[роот @ линукбок иум.репос.д] # иум очисти све
Отпремљени додаци: фастестмиррор, лангпацкс Чишћење спремишта: Басе-Репо ЦентосПлус-Репо Епел-Репо Медиа-Репо: Упдатес-Репо Чишћење свега Чишћење листе најбржих огледала

[роот @ линукбок иум.репос.д] # иум упдате
Учитани додаци: најбрже огледало, лангпацкс Басе-Репо | 3.6 кБ 00:00 ЦентосПлус-Репо | 3.4 кБ 00:00 Епел-Репо | 4.3 кБ 00:00 Медиа-Репо | 3.6 кБ 00:00 Ажурирања-Репо | 3.4 кБ 00:00 (1/9): Басе-Репо / гроуп_гз | 155 кБ 00:00 (2/9): Епел-Репо / гроуп_гз | 170 кБ 00:00 (3/9): Медиа-Репо / гроуп_гз | 155 кБ 00:00 (4/9): Епел-Репо / упдатеинфо | 734 кБ 00:00 (5/9): Медиа-Репо / примари_дб | 5.3 МБ 00:00 (6/9): ЦентосПлус-Репо / примари_дб | 1.1 МБ 00:00 (7/9): Упдатес-Репо / примари_дб | 2.2 МБ 00:00 (8/9): Епел-Репо / примари_дб | 4.5 МБ 00:01 (9/9): Басе-Репо / примари_дб | 5.6 МБ 00:01 Утврђивање најбржих огледала Нема пакета означених за ажурирање

Порука "Ниједан пакет није означен за ажурирање»Приказује се зато што смо током инсталације прогласили иста локална спремишта која имамо на располагању.

Центос 7 са МАТЕ окружењем радне површине

Да бисмо користили врло добре административне алате са графичким интерфејсом који нам пружа ЦентОС / Ред Хат, и зато што нам увек недостаје ГНОМЕ2, одлучили смо да инсталирамо МАТЕ као радно окружење.

[роот @ линукбок ~] # иум гроупинсталл "Кс Виндов систем"
[роот @ линукбок ~] # иум гроупинсталл "МАТЕ Десктоп"

Да бисмо проверили да ли се МАТЕ учитава правилно, извршавамо следећу наредбу у конзоли -лоцал или ремоте-:

[роот @ линукбок ~] # системцтл изолирај грапхицал.таргет

и окружење радне површине треба учитати -у локалном тиму- глатко, показујући лигхтдм као графичко пријављивање. Укуцавамо име локалног корисника и његову лозинку и унећемо МАТЕ.

Да кажем системд да је подразумевани ниво покретања 5-графичко окружење - креирамо следећу симболичку везу:

[роот @ линукбок ~] # лн -сф /либ/системд/систем/рунлевел5.таргет /етц/системд/систем/дефаулт.таргет

Поново покрећемо систем и све функционише у реду.

Инсталирамо Тиме Сервице за мреже

[роот @ линукбок ~] # иум инсталирај нтп

Током инсталације конфигуришемо да се локални сат синхронизује са временским сервером опреме сисадмин.desdelinux.лепеза са ИП-ом КСНУМКС. Дакле, чувамо датотеку нтп.цонф оригинал:

[роот @ линукбок ~] # цп /етц/нтп.цонф /етц/нтп.цонф.оригинал

Сада креирамо нови са следећим садржајем:

[роот @ линукбок ~] # нано /етц/нтп.цонф # Сервери конфигурисани током инсталације: сервер 192.168.10.1 ибурст # За више информација погледајте ман странице: # нтп.цонф (5), нтп_ацц (5) , нтп_аутх (5), нтп_цлоцк (5), нтп_мисц (5), нтп_мон (5). дрифтфиле / вар / либ / нтп / дрифт # Дозволи синхронизацију са временским извором, али не и # дозволи извору да се консултује или модификује ову услугу ограничи подразумевано номодифи нотрап нопеер нокуери # Омогући сав приступ интерфејсу Лоопбацк ограничи 127.0.0.1 ограничи :: 1 # Ограничите се мало мање на рачунаре у локалној мрежи. рестрицт 192.168.10.0 маск 255.255.255.0 номодифи нотрап # Користите јавне сервере пројекта поол.нтп.орг # Ако желите да се придружите пројекту, посетите # (хттп://ввв.поол.нтп.орг/јоин.хтмл). #броцаст 192.168.10.255 аутокеи # сервер за емитовање броадцастцлиент # клијент за емитовање # Броадцаст 224.0.1.1 аутокеи # мултицаст сервер #мултицастцлиент 224.0.1.1 # мултицаст цлиент #маницастсервер 239.255.254.254 # маницаст сервер #маницастцлиент 239.255.254.254 аутокеи # маницаст цлиент цлиент.192.168.10.255цаст. 4 # Омогући јавну криптографију. #црипто инцлудефиле / етц / нтп / црипто / пв # Датотека кључа која садржи кључеве и идентификаторе кључева # користи се приликом рада са симетричним кључевима криптографије / етц / нтп / кеис # Наведите поуздане идентификаторе кључа. #трустедкеи 8 42 8 # Наведите идентификатор кључа који ће се користити са услужним програмом нтпдц. #рекуесткеи 8 # Наведите идентификатор кључа који ће се користити са услужним програмом нтпк. #цонтролкеи 2013 # Омогућите писање регистара статистике. #статистицс цлоцкстатс цриптостатс лоопстатс пеерстатс # Онемогућите монитор сецесије да бисте спречили појачавање # напада помоћу команде нтпдц монлист, када подразумевано ограничење # не укључује заставицу нокуери. Прочитајте ЦВЕ-5211-XNUMX # за више детаља. # Напомена: Монитор није онемогућен са заставицом ограниченог ограничења. онемогућити монитор

Омогућавамо, покрећемо и проверавамо НТП услугу

[роот @ линукбок ~] # системцтл статус нтпд
● нтпд.сервице - Услуга мрежног времена учитана: учитана (/уср/либ/системд/систем/нтпд.сервице; онемогућена; унапред подешена опција добављача: онемогућена) Активно: неактивно (мртво)

[роот @ линукбок ~] # системцтл омогући нтпд
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/нтпд.сервице до /уср/либ/системд/систем/нтпд.сервице.

[роот @ линукбок ~] # системцтл старт нтпд
[роот @ линукбок ~] # системцтл статус нтпд

[роот @ линукбок ~] # системцтл статус нтпд
● нтпд.сервице - Услуга мрежног времена
   Учитана: учитана (/уср/либ/системд/систем/нтпд.сервице; омогућена; унапред подешена опција продавца: онемогућена) Активан: активан (покренут) од петка 2017-04-14 15:51:08 ЕДТ; Пре 1с Процес: 1307 ЕкецСтарт = / уср / сбин / нтпд -у нтп: нтп $ ОПТИОНС (цоде = екитед, статус = 0 / УСПЕХ) Главни ПИД: 1308 (нтпд) ЦГроуп: /систем.слице/нтпд.сервице └─ 1308 / уср / сбин / нтпд -у нтп: нтп -г

Нтп и заштитни зид

[роот @ линукбок ~] # фиревалл-цмд --гет-ацтиве-зоне
спољни
  интерфејси: енс34
јавност
  интерфејси: енс32

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 123 / удп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --релоад
успех

Омогућавамо и конфигуришемо Днсмаск

Као што смо видели у претходном чланку у серији Смалл Бусинесс Нетворкс, Днсамаск је подразумевано инсталиран на ЦентОС 7 Инфраструцтуре Сервер.

[роот @ линукбок ~] # системцтл статус днсмаск
● днсмаск.сервице - ДНС сервер за кеширање. Учитана: учитана (/уср/либ/системд/систем/днсмаск.сервице; онемогућена; унапред подешена опција продавца: онемогућена) Активна: неактивна (мртва)

[роот @ линукбок ~] # системцтл омогући днсмаск
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/днсмаск.сервице до /уср/либ/системд/систем/днсмаск.сервице.

[роот @ линукбок ~] # системцтл старт днсмаск
[роот @ линукбок ~] # системцтл статус днсмаск
● днсмаск.сервице - ДНС сервер за кеширање. Учитана: учитана (/уср/либ/системд/систем/днсмаск.сервице; омогућена; унапред подешена опција продавца: онемогућена) Активан: активан (покренут) од петка 2017-04-14 16:21:18 ЕДТ; Пре 4с Главни ПИД: 33611 (днсмаск) ЦГроуп: /систем.слице/днсмаск.сервице └─33611 / уср / сбин / днсмаск -к

[роот @ линукбок ~] # мв /етц/днсмаск.цонф /етц/днсмаск.цонф.оригинал

[роот @ линукбок ~] # нано /етц/днсмаск.цонф
# -------------------------------------------------- ------------------ # ГЕНЕРАЛНЕ ОПЦИЈЕ # ----------------------------- -------------------------------------- потребно је домену # Немојте прослеђивати имена без домена део богус-прив # Не прослеђуј адресе у нерутираном простору екпанд-хостс # Аутоматски додаје домен хост интерфејсу=енс32 # ЛАН интерфејс строги ред # Редослед у коме се тражи датотека /етц/ресолв.цонф цонф- дир=/етц /днсмаск.д домаин=desdelinux.фан # Име домене адреса=/тиме.виндовс.цом/192.168.10.5 # Шаље празну опцију ВПАД вредности. Потребно за # Виндовс 7 и новије клијенте да би се правилно понашали. ;-) дхцп-оптион=252,"\н" # Датотека у којој ћемо прогласити ХОСТ-ове који ће бити "бановани" аддн-хостс=/етц/баннер_адд_хостс лоцал=/desdelinux.лепеза/ # ---------------------------------------------- --------------------- # РЕЦОРДСЦНАМЕМКСТКСТ # -------------------------- ----------------------------------------- # Овај тип записа захтева унос # у /етц/хостс датотеци # нпр: 192.168.10.5 линукбок.desdelinux.фан линукбок # цнаме=АЛИАС,РЕАЛ_НАМЕ цнаме=маил.desdelinux.фан,линукбок.desdelinux.фан # МКС РЕЦОРДС # Враћа МКС запис са именом "desdelinux.фан" намењен # тиму за пошту.desdelinux.вентилатор и приоритет 10 мк-хост=desdelinux.Фан маил.desdelinux.фан,10 # Подразумевано одредиште за МКС записе креиране # коришћењем опције лоцалмк биће: мк-таргет=маил.desdelinux.фан # Враћа МКС запис који указује на мк-таргет за СВЕ # локалне машине лоцалмк # ТКСТ записе. Такође можемо декларисати СПФ запис ткт-рецорд=desdelinux.фан,"в=спф1 а -алл" ткт-рецорд=desdelinux.лепеза,"DesdeLinux, ваш блог посвећен слободном софтверу" # -------------------------------------------------- ------------------------- # ОПЦИЈЕАНДУСОПЦИЈЕ # --------------------- ----- ---------------------------------------------------- # ИПв4 опсег и време закупа #1 до 29 су за сервере и друге потребе дхцп-ранге=192.168.10.30,192.168.10.250,8х дхцп-леасе-мак=222 # Максималан број адреса за изнајмљивање # подразумевано је 150 # ИПВ6 Опсег # дхцп-ранге=1234::, ра-онли # Опције за РАНГЕ # ОПЦИЈЕ дхцп-оптион=1,255.255.255.0 # НЕТМАСК дхцп-оптион=3,192.168.10.5 # РУТЕР ГАТЕВАИ дхцп-оптион=6,192.168.10.5. =15,desdelinux.фан # ДНС име домена дхцп-оптион=19,1 # опција ип-прослеђивање УКЉУЧЕНО дхцп-оптион=28,192.168.10.255 # БРОАДЦАСТ дхцп-оптион=42,192.168.10.5 # НТП дхцп-опција #-ДХЦП-ауторитативно на ДХЦП-у -- Ауторско ------------------------------------------------ --- ----------- # Ако желите да сачувате евиденцију упита у /вар/лог/мессагес # декоментирајте ред испод # ---------- ------- ------------------------------------------- -------
# лог-куериес
# КРАЈ датотеке /етц/днсмаск.цонф # --------------------------------------- ----------------------------

Ми креирамо датотеку / етц / баннер_адд_хостс

[роот @ линукбок ~] # нано / етц / баннер_адд_хостс
192.168.10.5 виндовсупдате.цом 192.168.10.5 цтлдл.виндовсупдате.цом 192.168.10.5 оцсп.верисигн.цом 192.168.10.5 цсц3-2010-црл.верисигн.цом 192.168.10.5 ввв.мсфтнцси.цом 192.168.10.5 ипв6.мсфтнцси.цом 192.168.10.5 тередо.ипв6.мицрософт.цом 192.168.10.5 дс.довнлоад.виндовсупдате.цом 192.168.10.5 довнлоад.мицрософт.цом 192.168.10.5 фе2.упдате.мицрософт.цом 192.168.10.5 црл.мицрософт.цом 192.168.10.5 ввв .довнлоад.виндовсупдате.цом 192.168.10.5 вин8.ипв6.мицрософт.цом 192.168.10.5 спинет.мицрософт.цом 192.168.10.5 спинет1.мицрософт.цом 192.168.10.5 спинет2.мицрософт.цом 192.168.10.5 спинет3.мицрософт.цом 192.168.10.5. 4 спинет192.168.10.5.мицрософт.цом 5 спинет192.168.10.5.мицрософт.цом 15 оффице192.168.10.5цлиент.мицрософт.цом 192.168.10.5 аддонс.мозилла.орг XNUMX црл.верисигн.цом

Фиксне ИП адресе

[роот @ линукбок ~] # нано / етц / хостс
127.0.0.1 лоцалхост лоцалхост.лоцалдомаин лоцалхост4 лоцалхост4.лоцалдомаин4 ::1 лоцалхост лоцалхост.лоцалдомаин лоцалхост6 лоцалхост6.лоцалдомаин6 192.168.10.5 линукбок.desdelinux.фан линукбок 192.168.10.1 сисадмин.desdelinux.фан сисадмин

Конфигуришемо датотеку /етц/ресолв.цонф - Ресолвер

[роот @ линукбок ~] # нано /етц/ресолв.цонф
претраживање desdelinux.фан сервер имена 127.0.0.1 # За спољне или # ДНС упите без домена desdelinux.фан # лоцал=/desdelinux.фан/ намесервер 8.8.8.8

Проверавамо синтаксу датотеке днсмаск.цонф, покрећемо и проверавамо статус услуге

[роот @ линукбок ~] # днсмаск --тест
днсмаск: синтакса је у реду.
[роот @ линукбок ~] # системцтл поново покрените днсмаск
[роот @ линукбок ~] # системцтл статус днсмаск

Днсмаск и заштитни зид

[роот @ линукбок ~] # фиревалл-цмд --гет-ацтиве-зоне
спољни
  интерфејси: енс34
јавност
  интерфејси: енс32

Сервис домен о Сервер имена домена (днс). Протокол ударити «ИП са шифровањем«

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 53 / тцп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 53 / удп --перманент
успех

Днсмаск упити ка спољним ДНС серверима

[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 53 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 53 / удп --перманент
успех

Сервис боотпс o БООТП сервер (дхцп). Протокол иппц «Интернет Плурибус Пацкет Цоре«

[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 67 / тцп --перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = публиц --адд-порт = 67 / удп --перманент
успех

[роот @ линукбок ~] # фиревалл-цмд --релоад
успех

[роот @ линукбок ~] # фиревалл-цмд - јавна јавна инфо-зона (активно)
  циљ: задата инверзија ицмп-блока: нема интерфејса: енс32 извори: услуге: дхцп днс нтп ссх портови: 67 / тцп 53 / удп 123 / удп 67 / удп 53 / тцп протоколи: маскуераде: но форвард-портс: соурцепортс: ицмп -блоцкс: богата правила:

[роот @ линукбок ~] # фиревалл-цмд --инфо-зоне спољни спољни (активан)
  таргет: дефаулт ицмп-блоцк-инверсион: нема интерфејса: енс34 извори: услуге: днс портови: 53 / удп 53 / тцп протоколи: маскуераде: иес форвард-портс: соурцепортс: ицмп-блоцкс: параметер-проблем редирецт роутер-адвертисемент роутер- богата правила за тражење извора:

Ако желимо да користимо графички интерфејс за конфигурисање заштитног зида у ЦентОС 7, погледамо у општи мени - то ће зависити од окружења радне површине у којем ће се подменију појавити - апликације «Заштитни зид», извршавамо је и након уноса корисничке лозинке корен, приступићемо програмском интерфејсу као таквом. У МАТЕ се појављује у менију «Систем »->" Администрација "->" Заштитни зид ".

Бирамо подручје «јавност»И одобравамо Услуге које желимо да буду објављене на ЛАН-у, које су до сада дхцп, днс, нтп и ссх. Након одабира услуга и провере да ли све исправно функционишу, морамо извршити промене у Рунтиме на Перманент. Да бисмо то урадили идемо у мени Опције и бирамо опцију «Покрени време до трајног".

Касније бирамо област «спољни»И ми проверавамо да ли су отворене луке потребне за комуникацију са Интернетом. НЕМОЈТЕ објављивати Услуге у овој Зони, осим ако добро знамо шта радимо!.

Не заборавимо да промене унесемо Трајно кроз опцију «Покрени време до трајног»И поново учитај демона ФиреваллД, сваки пут када користимо овај моћни графички алат.

НТП и Днсмаск из Виндовс 7 клијента

Синхронизација са НТП-ом

спољни

Закупљена ИП адреса

Мицрософт Виндовс [верзија 6.1.7601] Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана. Ц: \ Усерс \ бузз> ипцонфиг / име хоста за све ИП конфигурације система Виндовс. . . . . . . . . . . . : СЕДАМ
   Примарни Днс суфикс. . . . . . . :
   НодеТипе. . . . . . . . . . . . : Хибридно ИП рутирање је омогућено. . . . . . . . : Није омогућен ВИНС прокси. . . . . . . . : Нема листе за претрагу ДНС суфикса. . . . . . : desdelinux.фан Етхернет адаптер Локална веза: ДНС суфикс специфичан за везу . : desdelinux.фан Опис . . . . . . . . . . . : Интел(Р) ПРО/1000 МТ Физичка адреса мрежне везе. . . . . . . . . : 00-0Ц-29-Д6-14-36 ДХЦП је омогућен. . . . . . . . . . . : Да Аутоконфигурација је омогућена . . . . : Форкс
   ИПв4 адреса. . . . . . . . . . . : 192.168.10.115 (Преферирано)
   СубнетМаск . . . . . . . . . . . : 255.255.255.0 Добијен закуп. . . . . . . . . . : петак, 14. април 2017. 5:12:53 Закуп истиче . . . . . . . . . . : субота, 15. април 2017. 1:12:53 Подразумевани пролаз . . . . . . . . . : 192.168.10.1 ДХЦПСервер. . . . . . . . . . . : 192.168.10.5 ДНС сервери. . . . . . . . . . . : 192.168.10.5 НетБИОС преко Тцпип-а. . . . . . . . : Омогућено Тунел адаптер Лоцал Ареа Цоннецтион* 9: Стање медија . . . . . . . . . . . : Медији прекинути ДНС суфикс специфичан за везу . : Опис . . . . . . . . . . . : Физичка адреса Мицрософт Тередо Туннелинг Адаптера. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : Да Тунел адаптер исатап.desdelinux.фан: Медијска држава. . . . . . . . . . . : Медијум је прекинут. ДНС суфикс специфичан за везу . : desdelinux.фан Опис . . . . . . . . . . . : Физичка адреса Мицрософт ИСАТАП адаптера #2. . . . . . . . . : 00-00-00-00-00-00-00-Е0 ДХЦП је омогућен. . . . . . . . . . . : Није омогућена аутоматска конфигурација. . . . : Да Ц:\Усерс\бузз>

Напојница

Важна вредност код Виндовс клијената је „Примарни суфикс Днс-а“ или „Суфикс главне везе“. Када се не користи Мицрософт Домаин Цонтроллер, оперативни систем му не додељује никакву вредност. Ако се суочимо са случајем као што је описан на почетку чланка и желимо експлицитно прогласити ту вредност, морамо поступити у складу са оним што је приказано на следећој слици, прихватити промене и поново покренути клијента.

Ако поново трчимо ЦМД -> ипцонфиг / све добићемо следеће:

Мицрософт Виндовс [верзија 6.1.7601] Ауторска права (ц) 2009 Мицрософт Цорпоратион. Сва права задржана. Ц: \ Усерс \ бузз> ипцонфиг / име хоста за све ИП конфигурације система Виндовс. . . . . . . . . . . . : СЕДАМ
   Примарни Днс суфикс. . . . . . . : desdelinux.лепеза
   НодеТипе. . . . . . . . . . . . : Хибридно ИП рутирање је омогућено. . . . . . . . : Није омогућен ВИНС прокси. . . . . . . . : Нема листе за претрагу ДНС суфикса. . . . . . : desdelinux.лепеза

Остатак вредности остаје непромењен

ДНС провере

бузз @ сисадмин: ~ $ хост спинет.мицрософт.цом
спинет.мицрософт.цом има адресу 127.0.0.1 Хост спинет.мицрософт.цом није пронађен: 5(ОДБИЈЕНО) е-поштом спинет.мицрософт.цом рукује 1 порука.desdelinux.лепеза.

бузз @ сисадмин: ~ $ хост линукбок
линукбок.desdelinux.фан има адресу 192.168.10.5 линукбок.desdelinux.поштом обожаватеља обрађује 1 пошта.desdelinux.лепеза.

бузз @ сисадмин: ~ $ хост сисадмин
сисадмин.desdelinux.фан има адресу 192.168.10.1 сисадмин.desdelinux.поштом обожаватеља обрађује 1 пошта.desdelinux.лепеза.

бузз @ сисадмин: ~ $ пошта поште
Пошта.desdelinux.фан је псеудоним за линукбок.desdelinux.лепеза. линукбок.desdelinux.фан има адресу 192.168.10.5 линукбок.desdelinux.поштом обожаватеља обрађује 1 пошта.desdelinux.лепеза.

Ми инсталирамо -само за тестирање- ауторитативни ДНС сервер НСД у сисадмин.desdelinux.лепеза, а ми укључујемо ИП адресу 172.16.10.1 у архиву / Етц / ресолв.цонф тима линукбок.desdelinux.лепеза, да би потврдио да је Днсмаск правилно извршавао своју функцију прослеђивача. Песковници на НСД серверу су фавт.орг y тоујагуе.орг. Све ИП адресе су фиктивне или су из приватних мрежа.

Ако онемогућимо ВАН интерфејс енс34 користећи команду ифдовн енс34, Днсмаск неће моћи да тражи спољне ДНС сервере.

[бузз @ линукбок ~] $ судо ифдовн енс34 [бузз @ линукбок ~] $ хост -т мк тоујагуе.орг
Домаћин тоујагуе.орг није пронађен: 3 (НКСДОМАИН)

[бузз @ линукбок ~] $ хост пиззапие.фавт.орг
Домаћин пиззапие.фавт.орг није пронађен: 3 (НКСДОМАИН)

Омогућимо енс34 интерфејс и проверимо поново:

[бузз @ линукбок ~] $ судо ифуп енс34

бузз @ линукбок ~] $ хост пиззапие.фавт.орг
пиззапие.фавт.орг је псеудоним за паисано.фавт.орг. паисано.фавт.орг има адресу 172.16.10.4

[бузз @ линукбок ~] $ хост пиззапие.тоујагуе.орг
Домаћин пиззас.тоујагуе.орг није пронађен: 3 (НКСДОМАИН)

[бузз @ линукбок ~] $ хост поблацион.тоујагуе.орг
поблацион.тоујагуе.орг има адресу 169.18.10.18

[бузз @ линукбок ~] $ хост -т НС фавт.орг
фавт.орг сервер имена нс1.фавт.орг. фавт.орг сервер имена нс2.фавт.орг.

[бузз @ линукбок ~] $ хост -т НС тоујагуе.орг
тоујагуе.орг сервер имена нс1.тоујагуе.орг. тоујагуе.орг сервер имена нс2.тоујагуе.орг.

[бузз @ линукбок ~] $ хост -т МКС тоујагуе.орг
Поштом тоујагуе.орг обрађује се 10 маил.тоујагуе.орг.

Да се ​​консултујемо од сисадмин.desdelinux.лепеза:

бузз @ сисадмин: ~ $ цат /етц/ресолв.цонф 
претраживање desdelinux.сервер имена фанова 192.168.10.5

кеон @ сисадмин: ~ $ хост маил.тоујагуе.орг
маил.тоујагуе.орг има адресу 169.18.10.19

Днсмаск ради као Прослеђивач тачно.

лигња

У књизи у ПДФ формату «Конфигурација Линук сервера»Аутор дана 25. јула 2016 Јоел Барриос Дуенас (дарксхрам@гмаил.цом - http://www.alcancelibre.org/), текста на који сам се позивао у претходним чланцима, постоји цело поглавље посвећено Основне опције конфигурације Скуид.

Због важности услуге Веб - Проки, репродукујемо Увод о лигњама у поменутој књизи:

105.1. Увод.

105.1.1. Шта је посреднички сервер (проки)?

Термин на енглеском "Заступник" има врло опште и истовремено двосмислено значење, мада
се увек сматра синонимом концепта "Посредник". Обично се преводи, у строгом смислу, као делегат o оснажен (онај који има власт над другим).

Un Посреднички сервер Дефинисан је као рачунар или уређај који нуди мрежну услугу која се састоји од омогућавања клијентима да остваре индиректне мрежне везе са другим мрежним услугама. Током процеса дешава се следеће:

• Клијент се повезује са Проки сервер.
• Клијент захтева везу, датотеку или други ресурс доступан на другом серверу.
• Посреднички сервер пружа ресурс било повезивањем са наведеним сервером
  или га сервира из кеш меморије.
• У неким случајевима Посреднички сервер може променити захтев клијента или
  одговор сервера у разне сврхе.

Л Проки сервери обично су направљени да раде истовремено као противпожарни зид који ради у Мрежни ниво, који делује као пакетни филтер, као у случају iptables или који послују у Ниво примене, контролу различитих услуга, као што је случај ТЦП Враппер. У зависности од контекста, ватрогасни зид познат је и као БПД o Bналог Pротецтион Dевице или само пакетни филтер.

Уобичајена примена Проки сервери треба да функционише као кеш мрежног садржаја (углавном ХТТП), пружајући у близини клијената кеш страница и датотека доступних путем мреже на удаљеним ХТТП серверима, омогућавајући клијентима локалне мреже да им приступе у брже и поузданије.

Када се прими захтев за одређени мрежни ресурс у а УРЛ адреса (Uниформ Rизвор Lокатор) тхе Посреднички сервер потражите резултат од УРЛ адреса унутар кеша. Ако се пронађе, Посреднички сервер Одговара купцу тако што ће одмах пружити тражени садржај. Ако у кеш меморији нема захтеваног садржаја, Посреднички сервер преузеће га са удаљеног сервера, испоручивши га клијенту који га је затражио и задржавајући копију у кешу. Садржај из кеш меморије се затим уклања алгоритмом истека према старости, величини и историји одговори на захтеве (погоци) (примери: ЛРУ, ЛФУДА y ГДСФ).

Проки сервери за мрежни садржај (Веб Прокиес) такође могу да делују као филтри садржаја који се сервирају, примењујући политике цензуре према произвољним критеријумима..

Верзија Скуид коју ћемо инсталирати је 3.5.20-2.ел7_3.2 из спремишта Ажурирање.

инсталација

[роот @ линукбок ~] # иум инсталирајте лигње

[роот @ линукбок ~] # лс / етц / скуид /
цацхемгр.цонф еррорпаге.цсс.дефаулт  лигње.цонф
цацхемгр.цонф.дефаулт миме.цонф              скуид.цонф.дефаулт
еррорпаге.цсс миме.цонф.дефаулт

[роот @ линукбок ~] # системцтл омогући лигње

I

• Главни циљ овог чланка је да овласти локалне кориснике да се повежу са Скуид са других рачунара повезаних на ЛАН. Поред тога, имплементирајте језгро сервера којем ће се додати друге услуге. То није чланак посвећен лигњама као таквима.
• Да бисте добили идеју о опцијама конфигурације Скуид-а, прочитајте /уср/схаре/доц/скуид-3.5.20/скуид.цонф.документовану датотеку која има 7915 редова.

СЕЛинук и Скуид

[роот @ линукбок ~] # гетсебоол -а | греп лигње
скуид_цоннецт_ани -> на скуид_усе_тпроки -> искључено

[роот @ линукбок ~] # сетсебоол -П скуид_цоннецт_ани = укључен

конфигурација

[роот @ линукбок ~] # нано /етц/скуид/скуид.цонф
# ЛАН ацл лоцалнет срц 192.168.10.0/24 ацл ССЛ_портс порт 443 21
ацл Сафе_портс порт 80 # хттп ацл Сафе_портс порт 21 # фтп ацл Сафе_портс порт 443 # хттпс ацл Сафе_портс порт 70 # гопхер ацл Сафе_портс порт 210 # ваис ацл Сафе_портс порт 1025-65535 # нерегистровани портови ацл Сафе_портс порт 280 # хттп-мгмт ацл Сафе_портс порт 488 # гсс-хттп ацл Сафе_портс порт 591 # филемакер ацл Сафе_портс порт 777 # мултилинг хттп ацл ЦОННЕЦТ метода ЦОННЕЦТ # Одбијамо упите за несигурне портове хттп_аццесс дени! Сафе_портс # Ускраћујемо ЦОННЕЦТ метод за несигурне портове хттп_аццесс дени ЦОННЕЦТ! ССЛ_портс # Приступ на Управитељ кеш меморије само из лоцалхост хттп_аццесс дозволи лоцалхост манагеру хттп_аццесс дени манагер # Препоручујемо следеће да се не коментарише како би се заштитиле невине # веб апликације које се покрећу на проки серверу и које мисле да је једини # који може приступити услугама на „лоцалхост“ локални корисник хттп_аццесс демантује то_лоцалхост # # ОВДЕ ДОЗВОЛИТЕ СВОЈА ПРАВИЛА ДА ДОЗВОЛИТЕ ПРИСТУП ВАШИМ КЛИЈЕНТИМА # # ПАМ овлашћење
аутх_парам основни програм / уср / либ64 / скуид / басиц_пам_аутх
аутх_парам основна деца 5 аутх_парам основна област desdelinux.фан аутх_парам басиц цредентиалсттл 2 сата аутх_парам басиц цасесенситиве офф # Скуид приступ захтева аутентификацију ацл Ентузијасти проки_аутх ПОТРЕБНО # Дозвољавамо приступ аутентификованим корисницима # преко ПАМ-а хттп_аццесс дени !Ентузијасти # дозвољавају приступ ФТП сајтовима за приступ хттпфтпнет_ хттп://ввв.фтп.аццесс. дозволимо лоцалхост # Забрањујемо сваки други приступ хттп_аццесс проки серверу дени алл # Скуид нормално слуша на порту 3128 хттп_порт 3128 # Остављамо "цоредумпс" у првом кеш директоријуму цоредумп_дир /вар/споол/скуид # # Додајте било који свој рефресх_паттерн уноси изнад ових. # рефресх_паттерн ^фтп: 1440 20% 10080 рефресх_паттерн ^гопхер: 1440 0% 1440 рефресх_паттерн -и (/цги-бин/|\?) 0 0% 0 рефресх_паттерн . 0 20% 4320 цацхе_мем 64 МБ # Кеш меморије мемори_реплацемент_полици лру цацхе_реплацемент_полици хеап ЛФУДА цацхе_дир ауфс /вар/споол/скуид 4096 16 256 макимум_објецт_цацхе 4 МБ_цацхе вапигх_сцах вапигх гр бузз@desdelinux.фан # Остали параметри висибле_хостнаме линукбок.desdelinux.лепеза

Проверавамо синтаксу датотеке /етц/скуид/скуид.цонф

[роот @ линукбок ~] # скуид -к парсе
2017/04/16 15:45:10| Покретање: Иницијализација шема за аутентификацију... 2017 04:16:15| Покретање: Иницијализована шема аутентификације 'басиц' 45 10:2017:04| Покретање: Иницијализована шема аутентификације 'дигест' 16/15/45 10:2017:04| Покретање: Иницијализована шема аутентификације 'преговарајте' 16 15:45:10| Покретање: иницијализована шема аутентификације 'нтлм' 2017 04:16:15| Покретање: иницијализована аутентификација. 45/10/2017 04:16:15| Обрада конфигурационог фајла: /етц/скуид/скуид.цонф (дубина 45) 10/2017/04 16:15:45| Обрада: ацл лоцалнет срц 10/0 2017/04/16 15:45:10| Обрада: ацл ССЛ_портс порт 192.168.10.0 24 2017/04/16 15:45:10| Обрада: ацл Сафе_портс порт 443 # хттп 21/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # фтп 80/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # хттпс 21/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # гопхер 443/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # ваис 70/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10-210 # нерегистровани портови 2017/04/16 15:45:10| Обрада: ацл Сафе_портс порт 1025 # хттп-мгмт 65535/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # гсс-хттп 280/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # филемакер 488/2017/04 16:15:45| Обрада: ацл Сафе_портс порт 10 # мултилинг хттп 591/2017/04 16:15:45| Обрада: ацл ЦОННЕЦТ метход ЦОННЕЦТ 10/777/2017 04:16:15| Обрада: хттп_аццесс дени !Сафе_портс 45/10/2017 04:16:15| Обрада: хттп_аццесс дени ЦОННЕЦТ !ССЛ_портс 45/10/2017 04:16:15| Обрада: хттп_аццесс енабле лоцалхост манагер 45/10/2017 04:16:15| Обрада: хттп_аццесс дени манагер 45/10/2017 04:16:15| Обрада: хттп_аццесс дени то_лоцалхост 45/10/2017 04:16:15| Обрада: аутх_парам основни програм /уср/либ45/скуид/басиц_пам_аутх 10/2017/04 16:15:45| Обрада: аутх_парам басиц цхилдрен 10 64/2017/04 16:15:45| Обрада: аутх_парам основно подручје desdelinux.фан 2017/04/16 15:45:10| Обрада: аутх_парам басиц цредентиалсттл 2 сата 2017/04/16 15:45:10| Обрада: аутх_парам басиц цасесенситиве офф 2017/04/16 15:45:10| Обрада: ацл Ентхусиастс проки_аутх ПОТРЕБНО 2017/04/16 15:45:10| Обрада: хттп_аццесс дени !Ентузијасти 2017/04/16 15:45:10| Обрада: ацл фтп прото ФТП 2017/04/16 15:45:10| Обрада: хттп_аццесс дозволи фтп 2017/04/16 15:45:10| Обрада: хттп_аццесс енабле лоцалнет 2017/04/16 15:45:10| Обрада: хттп_аццесс аллов лоцалхост 2017/04/16 15:45:10| Обрада: хттп_аццесс дени алл 2017/04/16 15:45:10| Обрада: хттп_порт 3128 2017/04/16 15:45:10| Обрада: цоредумп_дир /вар/споол/скуид 2017 04:16:15| Обрада: рефресх_паттерн ^фтп: 45 10% 1440 20/10080/2017 04:16:15| Обрада: рефресх_паттерн ^гопхер: 45 10% 1440 0/1440/2017 04:16:15| Обрада: рефресх_паттерн -и (/цги-бин/|\?) 45 10% 0 0/0/2017 04:16:15| Обрада: рефресх_паттерн . 45 10% 0 20/4320/2017 04:16:15| Обрада: цацхе_мем 45 МБ 10/64/2017 04:16:15 | Обрада: мемори_реплацемент_полици лру 45 10:2017:04| Обрада: цацхе_реплацемент_полици хеап ЛФУДА 16/15/45 10:2017:04| Обрада: цацхе_дир ауфс /вар/споол/скуид 16 15 45 10/4096/16 256:2017:04| Обрада: мак_објецт_сизе 16 МБ 15/45/10 4:2017:04| Обрада: цацхе_свап_лов 16 15/45/10 85:2017:04| Обрада: цацхе_свап_хигх 16 15/45/10 90:2017:04| Обрада: цацхе_мгр бузз@desdelinux.фан 2017/04/16 15:45:10| Обрада: висибле_хостнаме линукбок.desdelinux.фан 2017/04/16 15:45:10| Иницијализација хттпс проки контекста

Прилагођавамо дозволе у / уср / либ64 / скуид / басиц_пам_аутх

[роот @ линукбок ~] # цхмод у + с / уср / либ64 / скуид / басиц_пам_аутх

Креирамо директоријум кеш меморије

# За сваки случај ... [роот @ линукбок ~] # заустављање лигње услуге
Преусмеравање на / бин / системцтл стоп скуид.сервице

[роот @ линукбок ~] # скуид -з
[роот @ линукбок ~] # 2017 04:16:15 кид48 | Подесите Цуррент Дирецтори на / вар / споол / скуид 28/1/2017 04:16:15 кид48 | Стварање недостајућих свап директоријума 28/1/2017 04:16:15 кид48 | / вар / споол / лигње постоји 28/1/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/00/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/01/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/02/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/03/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/04/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/05/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/06/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/07/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28 1/08/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 28 1/09/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28А 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28Б 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 28Ц 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 29Д 1/0/2017 04:16:15 кид48 | Прављење директоријума у ​​/ вар / споол / скуид / 29Е 1/0/2017 04:16:15 кид48 | Прављење директорија у / вар / споол / скуид / 29Ф

У овом тренутку, ако вам треба неко време за враћање командне линије - која ми никада није враћена - притисните Ентер.

[роот @ линукбок ~] # покретање лигње услуге
[роот @ линукбок ~] # рестартовање лигње услуге
[роот @ линукбок ~] # статус лигње услуге
Преусмеравање на / бин / системцтл статус скуид.сервице ● скуид.сервице - Проки за предмеморирање лигњи Утоварен: учитан (/уср/либ/системд/систем/скуид.сервице; онемогућен; унапред подешена опција продавца: онемогућено) Активан: активан (покренут) од дом 2017-04-16 15:57:27 ЕДТ; Пре 1с Процес: 2844 ЕкецСтоп = / уср / сбин / скуид -к схутдовн -ф $ СКУИД_ЦОНФ (цоде = екитед, статус = 0 / СУЦЦЕСС) Процес: 2873 ЕкецСтарт = / уср / сбин / скуид $ СКУИД_ОПТС -ф $ СКУИД_ЦОНФ (код = изашао, статус = 0 / УСПЕХ) Процес: 2868 ЕкецСтартПре = / уср / либекец / скуид / цацхе_свап.сх ​​(цоде = екитед, статус = 0 / СУЦЦЕСС) Главни ПИД: 2876 (скуид) ЦГроуп: /систем.слице/скуид .сервице └─2876 / уср / сбин / скуид -ф /етц/скуид/скуид.цонф 16. априла 15:57:27 линукбок системд [1]: Покретање проки-а за кеширање Скуид-а ... 16. априла 15:57:27 линукбок системд [1]: Стартед Скуид цацхинг проки. 16. априла 15:57:27 линукбок скуид [2876]: Скуид Парент: покреће 1 децу 16. априла 15:57:27 линукбок скуид [2876]: Скуид Парент: (скуид-1) процесс 2878 ... ед 16. априла 15 : 57: 27 линукбок скуид [2876]: Скуид Парент: (скуид-1) процесс 2878 ... 1 Савет: Неке линије су елипсисане, користите -л за приказ у целости

[роот @ линукбок ~] # цат / вар / лог / мессагес | греп лигње

Исправке заштитног зида

Такође морамо отворити у зони «спољни"луке 80 ХТТП y 443 ХТТПС тако да лигње могу да комуницирају са Интернетом.

[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 80 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --зоне = ектернал --адд-порт = 443 / тцп - перманент
успех
[роот @ линукбок ~] # фиревалл-цмд --релоад
успех
[роот @ линукбок ~] # фиревалл-цмд --инфо-зоне ектернал
екстерни (активни) циљ: задата инверзија ицмп-блока: нема интерфејса: енс34 извори: услуге: днс портови: 443 / тцп 53 / удп 80 / тцп 53 / тцп
  протоколи: маскуераде: иес форвард-портс: соурцепортс: ицмп-блоцкс: параметер-проблем редирецт роутер-адвертисемент роутер-солицитатион соурце-куенцх богата правила:

• Није беспослено ићи у графичку апликацију «Конфигурација заштитног зида»И проверите да ли су портови 443 тцп, 80 тцп, 53 тцп и 53 удп отворени за зону«спољни«, И да НИСМО објавили ниједан сервис за њу.

Напомена о помоћном програму басиц_пам_аутх

Ако консултујемо приручник овог услужног програма путем ман басиц_пам_аутх Прочитаћемо да сам аутор даје снажну препоруку да се програм пребаци у директоријум у којем нормални корисници немају довољно дозвола за приступ алату.

С друге стране, познато је да уз ову шему ауторизације акредитиви путују у обичном тексту и није сигурно за непријатељска окружења, читајте отворене мреже.

Јефф Иеструмскас посвети чланак «Како да: Подесите безбедни веб прокси користећи ССЛ енкрипцију, Скуид Цацхинг Проки и ПАМ потврду идентитета»На питање повећања безбедности помоћу ове шеме за потврду идентитета како би се могла користити у потенцијално непријатељским отвореним мрежама.

Инсталирамо хттпд

Као начин да проверимо рад Скуид -а и случајно Днсмаск-а, ми ћемо инсталирати услугу хттпд -Апацхе веб сервер- што није потребно урадити. У датотеци у односу на Днсмаск / етц / баннер_адд_хостс Проглашавамо веб локације за које желимо да буду забрањене и изричито додељујемо исту ИП адресу коју има линукбок. Стога, ако затражимо приступ било којој од ових веб локација, почетна страница хттпд.

[роот @ линукбок ~] # иум инсталирај хттпд [роот @ линукбок ~] # системцтл омогући хттпд
Направљена је симболична веза од /етц/системд/систем/мулти-усер.таргет.вантс/хттпд.сервице до /уср/либ/системд/систем/хттпд.сервице.

[роот @ линукбок ~] # системцтл старт хттпд

[роот @ линукбок ~] # системцтл статус хттпд
● хттпд.сервице - Апацхе ХТТП сервер је учитан: учитан (/уср/либ/системд/систем/хттпд.сервице; омогућен; унапред подешена опција продавца: онемогућено) Активан: активан (покренут) од 2017. У 04:16: 16 ЕДТ; Пре 41 докумената: ман: хттпд (35) ман: апацхецтл (5) Главни ПИД: 8 (хттпд) Статус: „Обрада захтева ...“ ЦГроуп: /систем.слице/хттпд.сервице ├─8 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2275 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2275 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2276 / уср / сбин / хттпд -ДФОРЕГРОУНД ├─2277 / уср / сбин / хттпд -ДФОРЕГРОУНД └─2278 / уср / сбин / хттпд -ДФОРЕГРОУНД 2279. априла 2280:16:16 линукбок системд [41]: Покретање Апацхе ХТТП сервера ... 35. априла 1:16:16 линукбок системд [41]: Покренуо је Апацхе ХТТП сервер.

СЕЛинук и Апацхе

Апацхе има неколико смерница за конфигурисање у оквиру СЕЛинук контекста.

[роот @ линукбок ~] # гетсебоол -а | греп хттпд
хттпд_анон_врите -> ван хттпд_буилтин_сцриптинг -> на хттпд_цан_цхецк_спам -> ван хттпд_цан_цоннецт_фтп -> ван хттпд_цан_цоннецт_лдап -> ван хттпд_цан_цоннецт_митхтв -> ван хттпд_цан_цоннецт офф_заббик -> искључен хттпд_цан_цоннецт_заббик_воркб_воркб_воркд_цоннецт_воркбцоннецт офф_воркбворк_ хттпд_цан_нетворк_мемцацхе -> ван хттпд_цан_нетворк_релаи -> ван хттпд_цан_сендмаил -> ван хттпд_дбус_авахи -> ван хттпд_дбус_сссд -> ван хттпд_донтаудит_сеарцх_дирс -> ван хттпд_енабле_цги -> хттпд_енабле_оффмирс -> хттпд_енабле_енабле оффпд_сервер_оффмирс -> хттпд_енаблем оффпд_сервер_енабле_цги -> оффхпд_енаблем искључен хттпд_грацефул_схутдовн -> на хттпд_манаге_ипа -> искључено хттпд_мод_аутх_нтлм_винбинд -> искључено хттпд_мод_аутх_пам -> искључено хттпд_реад_усер_цонтент -> искључено хттпд_рун_ипа -> искључено хттпд_рун_преупграде -> искључено хттпд_рунруццофт_ офффтрунцоф хттпд_сси_екец -> искључено хттпд_сис_сцрипт_анон_врите -> искључено хттпд_тмп_екец -> искључено хттпд_тти_цомм - > искључено хттпд_унифиед -> искључено хттпд_усе_цифс -> искључено хттпд_усе_фусефс -> искључено хттпд_усе_гпг -> искључено хттпд_усе_нфс -> искључено хттпд_усе_опенстацк -> искључено хттпд_усе_сасл -> искључено хттпд_верифи_днс -> искључено

Конфигурисаћемо само следеће:

Пошаљите е-пошту путем Апацхе-а

роот @ линукбок ~] # сетсебоол -П хттпд_цан_сендмаил 1

Дозволите Апацхе-у да чита садржаје који се налазе у кућним директоријумима локалних корисника

роот @ линукбок ~] # сетсебоол -П хттпд_реад_усер_цонтент 1

Дозволите администрирање путем ФТП-а или ФТПС-а било којим директоријумом којим управља
Апацхе или дозволите Апацхеу да функционише као ФТП сервер који ослушкује захтеве преко ФТП порта

[роот @ линукбок ~] # сетсебоол -П хттпд_енабле_фтп_сервер 1

За више информација прочитајте Конфигурација Линук сервера.

Проверавамо потврду идентитета

Остаје само да отворимо прегледач на радној станици и усмеримо, на пример, на http://windowsupdate.com. Проверићемо да ли је захтев правилно преусмерен на Апацхе почетну страницу у линукбок-у. У ствари, било које име локације декларисано у датотеци / етц / баннер_адд_хостс бићете преусмерени на исту страницу.

Слике на крају чланка то доказују.

Управљање корисницима

То радимо помоћу графичког алата «Управљање корисницима»Којој приступамо путем менија Систем -> Администрација -> Управљање корисницима. Сваки пут када додамо новог корисника, креира се његова фасцикла / хоме / усер аутоматски.

бацкуп

Линук клијенти

Потребан вам је само уобичајени прегледач датотека и назначите да се желите повезати, на пример: ссх: // бузз @ линукбок / хоме / бузз и након уноса лозинке, приказаће се директоријум дом корисника зујање.

Виндовс клијенти

У Виндовс клијентима користимо алатку ВинСЦП. Једном инсталиран, користимо га на следећи начин:

Једноставно, зар не?

Резиме

Видели смо да је могуће користити ПАМ за аутентификацију услуга у малој мрежи иу контролисаном окружењу потпуно изолованом од руку хакери. То је углавном због чињенице да акредитиви за потврду идентитета путују у обичном тексту и стога није шема за потврду идентитета која се користи у отвореним мрежама као што су аеродроми, Ви-Фи мреже итд. Међутим, то је једноставан механизам ауторизације, лак за примену и конфигурисање.

Консултовани извори

• Конфигурација Линук сервера
• Приручници за наредбе - ман странице

ПДФ верзија

Преузмите ПДФ верзију овде.

До следећег чланка!