Squid + PAM Authentication ใน CentOS 7- SMB Networks

ดัชนีทั่วไปของซีรี่ส์: Computer Networks for SMEs: Introduction

สวัสดีเพื่อนและเพื่อน!

ชื่อบทความควรเป็น: «MATE + NTP + Dnsmasq + บริการเกตเวย์ + Apache + Squid พร้อมการรับรองความถูกต้อง PAM ใน Centos 7 - เครือข่าย SME«. ด้วยเหตุผลในทางปฏิบัติเราจึงทำให้สั้นลง

เราดำเนินการตรวจสอบสิทธิ์แก่ผู้ใช้ภายในเครื่องบนคอมพิวเตอร์ Linux โดยใช้ PAM ต่อไปและในครั้งนี้เราจะมาดูกันว่าเราสามารถให้บริการ Proxy กับ Squid สำหรับเครือข่ายคอมพิวเตอร์ขนาดเล็กได้อย่างไรโดยใช้ข้อมูลรับรองการตรวจสอบสิทธิ์ที่เก็บไว้ในคอมพิวเตอร์เครื่องเดียวกันที่เซิร์ฟเวอร์ กำลังวิ่ง ปลาหมึก.

แม้ว่าเราจะทราบดีว่าเป็นเรื่องธรรมดาในปัจจุบันในการรับรองความถูกต้องของบริการกับ OpenLDAP, Directory Server 389 ของ Red Hat, Microsoft Active Directory และอื่น ๆ แต่เราพิจารณาว่าก่อนอื่นเราต้องผ่านโซลูชันที่เรียบง่ายและราคาถูกจากนั้นจึงต้องเผชิญกับสิ่งที่ซับซ้อนที่สุด คน เราเชื่อว่าเราต้องเปลี่ยนจากสิ่งที่เรียบง่ายไปสู่ความซับซ้อน

เวที

เป็นองค์กรขนาดเล็กที่มีทรัพยากรทางการเงินน้อยมากที่ทุ่มเทเพื่อสนับสนุนการใช้ซอฟต์แวร์เสรีและเลือกใช้ชื่อของ DesdeLinux. แฟน. พวกเขาเป็นผู้ที่ชื่นชอบระบบปฏิบัติการต่างๆ CentOS จัดกลุ่มไว้ในสำนักงานเดียว พวกเขาซื้อเวิร์กสเตชันไม่ใช่เซิร์ฟเวอร์มืออาชีพซึ่งพวกเขาจะอุทิศให้ทำหน้าที่เป็น "เซิร์ฟเวอร์"

ผู้ที่ชื่นชอบไม่มีความรู้อย่างกว้างขวางเกี่ยวกับวิธีการใช้งานเซิร์ฟเวอร์ OpenLDAP หรือ Samba 4 AD-DC และไม่สามารถให้สิทธิ์การใช้งาน Microsoft Active Directory ได้ อย่างไรก็ตามพวกเขาต้องการบริการเข้าถึงอินเทอร์เน็ตผ่าน Proxy สำหรับการทำงานประจำวันเพื่อเพิ่มความเร็วในการเรียกดูและพื้นที่สำหรับบันทึกเอกสารที่มีค่าที่สุดและทำงานเป็นสำเนาสำรอง

พวกเขายังคงใช้ระบบปฏิบัติการ Microsoft ที่ได้มาอย่างถูกกฎหมายเป็นส่วนใหญ่ แต่ต้องการเปลี่ยนเป็นระบบปฏิบัติการที่ใช้ Linux โดยเริ่มจาก "เซิร์ฟเวอร์"

พวกเขายังปรารถนาที่จะมีเซิร์ฟเวอร์อีเมลของตัวเองเพื่อแยกตัวออกจากกันอย่างน้อยที่สุดก็มาจากจุดเริ่มต้นของบริการเช่น Gmail, Yahoo, HotMail เป็นต้นซึ่งเป็นสิ่งที่พวกเขาใช้ในปัจจุบัน

กฎไฟร์วอลล์และการกำหนดเส้นทางที่ด้านหน้าอินเทอร์เน็ตจะสร้างขึ้นใน ADSL Router ตามสัญญา

พวกเขาไม่มีชื่อโดเมนจริงเนื่องจากไม่จำเป็นต้องเผยแพร่บริการใด ๆ บนอินเทอร์เน็ต

CentOS 7 เป็นเซิร์ฟเวอร์ที่ไม่มี GUI

เรากำลังเริ่มต้นจากการติดตั้งเซิร์ฟเวอร์ใหม่ที่ไม่มีอินเทอร์เฟซแบบกราฟิกและตัวเลือกเดียวที่เราเลือกในระหว่างกระบวนการนี้คือ«เซิร์ฟเวอร์โครงสร้างพื้นฐาน»ดังที่เราเห็นในบทความก่อนหน้านี้ในซีรีส์

การตั้งค่าเริ่มต้น

[root @ linuxbox ~] # cat / etc / hostname 
กล่องลินุกซ์

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 ลินุกซ์บ็อกซ์desdelinux.แฟน ลินุกซ์บ็อกซ์

[root @ linuxbox ~] # ชื่อโฮสต์
กล่องลินุกซ์

[root @ linuxbox ~] # ชื่อโฮสต์ -f
ลินุกซ์บ็อกซ์desdelinux.พัดลม

[root @ linuxbox ~] # รายการที่อยู่ ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 โล

เราปิดการใช้งาน Network Manager

[root @ linuxbox ~] # systemctl หยุด NetworkManager

[root @ linuxbox ~] # systemctl ปิดการใช้งาน NetworkManager

[root @ linuxbox ~] # สถานะ systemctl NetworkManager
● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; disabled; vendor preset: enable) Active: inactive (dead) Docs: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

เรากำหนดค่าอินเทอร์เฟซเครือข่าย

อินเทอร์เฟซ LAN Ens32 เชื่อมต่อกับเครือข่ายภายใน

[root @ linuxbox ~] # นาโน / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.แฟน DNS1=127.0.0.1
ZONE = สาธารณะ

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

อินเทอร์เฟซ Ens34 WAN เชื่อมต่อกับอินเทอร์เน็ต

[root @ linuxbox ~] # นาโน / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # เราเตอร์ ADSL เชื่อมต่อกับ # อินเทอร์เฟซนี้ด้วย # ที่อยู่ต่อไปนี้ ไอพีเกตเวย์=172.16.10.1 โดเมน=desdelinux.แฟน DNS1=127.0.0.1
ZONE = ภายนอก

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

การกำหนดค่าที่เก็บ

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir เดิม
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # นาโน centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # ยำล้างทั้งหมด
ปลั๊กอินที่โหลดแล้ว: fastmirror, langpacks การทำความสะอาดที่เก็บ: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo การทำความสะอาดทุกสิ่งการล้างรายการกระจกที่เร็วที่สุด

[root @ linuxbox yum.repos.d] # ยำอัปเดต
ปลั๊กอินที่โหลด: fastmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 อัปเดต - Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Updates-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 การกำหนดมิเรอร์ที่เร็วที่สุดไม่มีแพ็คเกจที่ทำเครื่องหมายสำหรับการอัพเดต

ข้อความ "ไม่มีแพ็คเกจที่ทำเครื่องหมายสำหรับการอัปเดต»แสดงขึ้นเนื่องจากในระหว่างการติดตั้งเราได้ประกาศที่เก็บในเครื่องเดียวกันกับที่เรามีให้

Centos 7 พร้อมกับสภาพแวดล้อมเดสก์ท็อป MATE

ในการใช้เครื่องมือการดูแลระบบที่ดีมากกับอินเทอร์เฟซแบบกราฟิกที่ CentOS / Red Hat มีให้และเนื่องจากเราคิดถึง GNOME2 เราจึงตัดสินใจติดตั้ง MATE เป็นสภาพแวดล้อมเดสก์ท็อป

[root @ linuxbox ~] # yum groupinstall "ระบบ X Window"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

เพื่อตรวจสอบว่า MATE โหลดอย่างถูกต้องเราดำเนินการคำสั่งต่อไปนี้ใน console -local หรือ remote-:

[root @ linuxbox ~] # systemctl แยก graphical.target

และควรโหลดสภาพแวดล้อมเดสก์ท็อป -ในทีมท้องถิ่น- ราบรื่นแสดงไฟล์ lightdm เป็นการเข้าสู่ระบบแบบกราฟิก เราพิมพ์ชื่อของผู้ใช้ในพื้นที่และรหัสผ่านจากนั้นเราจะป้อน MATE

เพื่อบอกว่า systemd ระดับการบูตเริ่มต้นคือ 5 - สภาพแวดล้อมกราฟิก - เราสร้างลิงก์สัญลักษณ์ต่อไปนี้:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

เรารีบูตระบบและทุกอย่างทำงานได้ดี

เราติดตั้ง Time Service for Networks

[root @ linuxbox ~] # ยำติดตั้ง ntp

ในระหว่างการติดตั้งเราได้กำหนดค่าให้นาฬิกาท้องถิ่นตรงกับเซิร์ฟเวอร์เวลาของอุปกรณ์ ผู้ดูแลระบบdesdelinux.พัดลม ด้วย IP 192.168.10.1. ดังนั้นเราจึงบันทึกไฟล์ ntp.conf ต้นฉบับโดย:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

ตอนนี้เราสร้างใหม่โดยมีเนื้อหาดังต่อไปนี้:

[root @ linuxbox ~] # nano /etc/ntp.conf # เซิร์ฟเวอร์ที่กำหนดค่าระหว่างการติดตั้ง: เซิร์ฟเวอร์ 192.168.10.1 iburst # สำหรับข้อมูลเพิ่มเติมโปรดดูหน้า man ของ: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5) driftfile / var / lib / ntp / drift # อนุญาตให้ซิงโครไนซ์กับแหล่งเวลา แต่ไม่ # อนุญาตให้แหล่งที่มาปรึกษาหรือแก้ไขบริการนี้ จำกัด default nomodify notrap nopeer noquery # Allow all access to the interface Loopback restrict 127.0.0.1 restrict :: 1 # จำกัด ให้น้อยลงสำหรับคอมพิวเตอร์บนเครือข่ายท้องถิ่น จำกัด 192.168.10.0 มาสก์ 255.255.255.0 nomodify notrap # ใช้เซิร์ฟเวอร์สาธารณะของโครงการ pool.ntp.org # หากคุณต้องการเข้าร่วมโครงการโปรดไปที่ # (http://www.pool.ntp.org/join.html) #broadcast 192.168.10.255 autokey # เซิร์ฟเวอร์ออกอากาศ broadcastclient # ไคลเอนต์ออกอากาศ #broadcast 224.0.1.1 autokey # เซิร์ฟเวอร์มัลติคาสต์ #multicastclient 224.0.1.1 # ไคลเอนต์มัลติคาสต์ #manycastserver 239.255.254.254 # เซิร์ฟเวอร์ manycast #manycastclient 239.255.254.254 autokey # manycast ไคลเอนต์ออกอากาศ 192.168.10.255 4 # เปิดใช้งานการเข้ารหัสสาธารณะ #crypto includefile / etc / ntp / crypto / pw # ไฟล์คีย์ที่มีคีย์และตัวระบุคีย์ # ใช้เมื่อทำงานกับคีย์การเข้ารหัสคีย์สมมาตร / etc / ntp / คีย์ # ระบุตัวระบุคีย์ที่เชื่อถือได้ #trustedkey 8 42 8 # ระบุตัวระบุคีย์ที่จะใช้กับยูทิลิตี้ ntpdc #requestkey 8 # ระบุตัวระบุคีย์ที่จะใช้กับยูทิลิตี้ ntpq #controlkey 2013 # เปิดใช้งานการเขียนทะเบียนสถิติ #statistics clockstats cryptostats loopstats peerstats # ปิดการใช้งานมอนิเตอร์การแยกตัวเพื่อป้องกันการขยาย # การโจมตีโดยใช้คำสั่ง ntpdc monlist เมื่อข้อ จำกัด # ดีฟอลต์ไม่รวมแฟล็ก noquery อ่าน CVE-5211-XNUMX # สำหรับรายละเอียดเพิ่มเติม # หมายเหตุ: จอภาพไม่ได้ถูกปิดใช้งานด้วยการตั้งค่าสถานะข้อ จำกัด ที่ จำกัด ปิดการใช้งานจอภาพ

เราเปิดใช้งานเริ่มและตรวจสอบบริการ NTP

[root @ linuxbox ~] # systemctl สถานะ ntpd
● ntpd.service - Network Time Service Loaded: loaded (/usr/lib/systemd/system/ntpd.service; disabled; vendor preset: disabled) Active: inactive (dead)

[root @ linuxbox ~] # systemctl เปิดใช้งาน ntpd
สร้าง symlink จาก /etc/systemd/system/multi-user.target.wants/ntpd.service ไปยัง /usr/lib/systemd/system/ntpd.service

[root @ linuxbox ~] # systemctl เริ่ม ntpd
[root @ linuxbox ~] # systemctl สถานะ ntpd

[root @ linuxbox ~] # systemctl สถานะ ntpd
● ntpd.service - บริการเวลาเครือข่าย
   โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/ntpd.service; เปิดใช้งานพรีเซ็ตของผู้ขาย: ปิดใช้งาน) ใช้งาน: active (ทำงาน) ตั้งแต่ศ. 2017-04-14 15:51:08 EDT; 1 วินาทีที่แล้วกระบวนการ: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Main PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp และไฟร์วอลล์

[root @ linuxbox ~] # firewall-cmd --get-active-zones
ภายนอก
  อินเทอร์เฟซ: ens34
สาธารณะ
  อินเทอร์เฟซ: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --reload
ความสำเร็จ

เราเปิดใช้งานและกำหนดค่า Dnsmasq

ดังที่เราเห็นในบทความก่อนหน้านี้ในซีรี่ส์ Small Business Networks Dnsamasq ถูกติดตั้งโดยค่าเริ่มต้นบนเซิร์ฟเวอร์โครงสร้างพื้นฐาน CentOS 7

[root @ linuxbox ~] # systemctl สถานะ dnsmasq
● dnsmasq.service - เซิร์ฟเวอร์แคช DNS โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/dnsmasq.service; ปิดใช้งานพรีเซ็ตของผู้ขาย: ปิดใช้งาน) ใช้งานอยู่: ไม่ใช้งาน (ตาย)

[root @ linuxbox ~] # systemctl เปิดใช้งาน dnsmasq
สร้าง symlink จาก /etc/systemd/system/multi-user.target.wants/dnsmasq.service ไปยัง /usr/lib/systemd/system/dnsmasq.service

[root @ linuxbox ~] # systemctl เริ่ม dnsmasq
[root @ linuxbox ~] # systemctl สถานะ dnsmasq
● dnsmasq.service - เซิร์ฟเวอร์แคช DNS โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/dnsmasq.service; เปิดใช้งานค่าที่ตั้งไว้ล่วงหน้าของผู้ขาย: ปิดใช้งาน) Active: active (ทำงาน) ตั้งแต่ศ. 2017-04-14 16:21:18 EDT; 4 วินาทีที่แล้ว Main PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # นาโน /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ทั่วไป # --------------------------------- -------------------------------------- โดเมนที่ต้องการ # ห้ามส่งต่อชื่อโดยไม่มีโดเมน part bogus-priv # อย่าส่งที่อยู่ในพื้นที่ที่ไม่ได้กำหนดเส้นทางขยายโฮสต์ # เพิ่มโดเมนไปยังอินเทอร์เฟซโฮสต์ = ens32 โดยอัตโนมัติ # อินเทอร์เฟซ LAN ลำดับที่เข้มงวด # ลำดับที่ไฟล์ /etc/resolv.conf ถูกสอบถาม conf- dir=/etc /dnsmasq.d โดเมน=desdelinux.fan # ชื่อโดเมน address=/time.windows.com/192.168.10.5 # ส่งตัวเลือกว่างของค่า WPAD จำเป็นสำหรับไคลเอ็นต์ # Windows 7 และใหม่กว่าเพื่อให้ทำงานได้อย่างถูกต้อง ;-) dhcp-option=252,"\n" # ไฟล์ที่เราจะประกาศโฮสต์ที่จะถูก "แบน" addn-hosts=/etc/banner_add_hosts local=/desdelinux.พัดลม/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- --------------------------------------------- # บันทึกประเภทนี้ต้องมีรายการ # ในไฟล์ /etc/hosts # เช่น 192.168.10.5 linuxboxdesdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=maildesdelinux.พัดลม,ลินุกซ์บ็อกซ์desdelinux.fan # MX RECORDS # ส่งกลับระเบียน MX ที่มีชื่อ "desdelinux.fan" ลิขิต #ทีมไปรษณีย์desdelinux.fan และลำดับความสำคัญ 10 mx-host=desdelinux.แฟน,เมล.desdelinux.fan,10 # ปลายทางเริ่มต้นสำหรับระเบียน MX ที่สร้างขึ้น # โดยใช้ตัวเลือก localmx จะเป็น: mx-target=maildesdelinux.fan # ส่งคืนระเบียน MX ที่ชี้ไปที่ mx-target สำหรับเครื่องท้องถิ่นทั้งหมด # ระเบียน localmx # TXT นอกจากนี้เรายังสามารถประกาศระเบียน SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.พัดลม,"DesdeLinux, บล็อกของคุณเกี่ยวกับซอฟต์แวร์ฟรีโดยเฉพาะ" # --------------------------------------------- ------------------------------ # ตัวเลือกช่วง # --------------------- ----- ----------------------------------------------- # IPv4 ช่วงและเวลาเช่า # 1 ถึง 29 ใช้สำหรับเซิร์ฟเวอร์และความต้องการอื่น ๆ dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # จำนวนที่อยู่สูงสุดที่จะเช่า # โดยค่าเริ่มต้นคือ 150 # ช่วง IPV6 # dhcp-range=1234::, ra-only # ตัวเลือกสำหรับ RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # เซิร์ฟเวอร์ DNS dhcp-option =15,desdelinux.fan # ชื่อโดเมน DNS dhcp-option=19,1 # ตัวเลือก ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative บนเครือข่ายย่อย # --- --- --------------------------------------------------- --- ----------- # หากคุณต้องการจัดเก็บบันทึกการสืบค้นใน /var/log/messages # ไม่ใส่เครื่องหมายข้อคิดเห็นบรรทัดด้านล่าง # ---------- ------- ----------------------------------------------- -------
# บันทึกแบบสอบถาม
# END ของไฟล์ /etc/dnsmasq.conf # --------------------------------------- ----------------------------

เราสร้างไฟล์ / etc / banner_add_hosts

[root @ linuxbox ~] # นาโน / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

ที่อยู่ IP คงที่

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 ลินุกซ์บ็อกซ์desdelinux.fan linuxbox 192.168.10.1 ผู้ดูแลระบบdesdelinux.fan ดูแลระบบ

เรากำหนดค่าไฟล์ /etc/resolv.conf - Resolver

[root @ linuxbox ~] # นาโน /etc/resolv.conf
ค้นหา desdelinux.fan nameserver 127.0.0.1 # สำหรับการสืบค้น DNS ภายนอกหรือ # ที่ไม่ใช่โดเมน desdelinux.แฟน # ท้องถิ่น=/desdelinux.แฟน/ เนมเซิร์ฟเวอร์ 8.8.8.8

เราตรวจสอบไวยากรณ์ของไฟล์ dnsmasq.confเราเริ่มต้นและตรวจสอบสถานะของบริการ

[root @ linuxbox ~] # dnsmasq - ทดสอบ
dnsmasq: ตรวจสอบไวยากรณ์ตกลง
[root @ linuxbox ~] # systemctl รีสตาร์ท dnsmasq
[root @ linuxbox ~] # systemctl สถานะ dnsmasq

Dnsmasq และไฟร์วอลล์

[root @ linuxbox ~] # firewall-cmd --get-active-zones
ภายนอก
  อินเทอร์เฟซ: ens34
สาธารณะ
  อินเทอร์เฟซ: ens32

ให้บริการ โดเมน o เซิร์ฟเวอร์ชื่อโดเมน (dns) มาตรการ งาบ «IP ที่มีการเข้ารหัส«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
ความสำเร็จ

แบบสอบถาม Dnsmasq ไปยังเซิร์ฟเวอร์ DNS ภายนอก

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
ความสำเร็จ

ให้บริการ รองเท้าบู๊ต o เซิร์ฟเวอร์ BOOTP (dhcp) มาตรการ IPPC «อินเทอร์เน็ต Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
ความสำเร็จ

[root @ linuxbox ~] # firewall-cmd --reload
ความสำเร็จ

[root @ linuxbox ~] # firewall-cmd --info-zone public public (ใช้งานอยู่)
  เป้าหมาย: เริ่มต้น icmp-block-inversion: ไม่มีอินเทอร์เฟซ: ens32 แหล่งที่มา: บริการ: พอร์ต dhcp dns ntp ssh: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocols: masquerade: no forward-ports: sourceports: icmp -blocks: กฎที่หลากหลาย:

[root @ linuxbox ~] # firewall-cmd --info-zone ภายนอกภายนอก (ใช้งานอยู่)
  เป้าหมาย: ค่าเริ่มต้น icmp-block-inversion: ไม่มีอินเทอร์เฟซ: ens34 แหล่งที่มา: บริการ: พอร์ต dns: 53 / udp 53 / โปรโตคอล tcp: masquerade: ใช่ฟอร์เวิร์ดพอร์ต: sourceports: icmp-blocks: parameter-problem redirect router-advertising router- การชักชวนแหล่งที่มา - ดับกฎที่อุดมไปด้วย:

หากเราต้องการใช้อินเทอร์เฟซแบบกราฟิกเพื่อกำหนดค่าไฟร์วอลล์ใน CentOS 7 เราจะดูในเมนูทั่วไปซึ่งจะขึ้นอยู่กับสภาพแวดล้อมเดสก์ท็อปที่เมนูย่อยปรากฏขึ้น - แอปพลิเคชัน«ไฟร์วอลล์»เราดำเนินการและหลังจากป้อนรหัสผ่านของผู้ใช้ รากเราจะเข้าถึงอินเทอร์เฟซของโปรแกรมเช่นนี้ ใน MATE จะปรากฏในเมนู«ระบบ» -> "การดูแลระบบ" -> "ไฟร์วอลล์".

เราเลือกพื้นที่«สาธารณะ»และเราอนุญาตให้บริการที่เราต้องการเผยแพร่บน LAN ซึ่งจนถึงขณะนี้ ดีเอชพี, DNS, เอ็นทีพี และ ssh. หลังจากเลือกบริการแล้วตรวจสอบว่าทุกอย่างทำงานถูกต้องเราต้องทำการเปลี่ยนแปลงใน Runtime เป็น Permanent ในการดำเนินการนี้ให้ไปที่เมนูตัวเลือกและเลือกตัวเลือก«ใช้เวลาเป็นถาวร"

ต่อมาเราเลือกพื้นที่«ภายนอก»และเราตรวจสอบว่าพอร์ตที่จำเป็นในการสื่อสารกับอินเทอร์เน็ตเปิดอยู่ อย่าเผยแพร่บริการในโซนนี้เว้นแต่เราจะรู้ดีว่ากำลังทำอะไรอยู่!.

อย่าลืมทำการเปลี่ยนแปลงถาวรผ่านตัวเลือก«ใช้เวลาเป็นถาวร»และโหลดปีศาจอีกครั้ง FirewallDทุกครั้งที่เราใช้เครื่องมือกราฟิกที่มีประสิทธิภาพนี้

NTP และ Dnsmasq จากไคลเอนต์ Windows 7

การซิงโครไนซ์กับ NTP

ภายนอก

ที่อยู่ IP ที่เช่า

Microsoft Windows [เวอร์ชัน 6.1.7601] ลิขสิทธิ์ (c) 2009 Microsoft Corporation สงวนลิขสิทธิ์. C: \ Users \ buzz> ipconfig / ชื่อโฮสต์การกำหนดค่า Windows IP ทั้งหมด . . . . . . . . . . . : เซเว่น
   คำต่อท้าย Dns หลัก . . . . . . :
   ประเภทโหนด - - - - - - - - - - - : เปิดใช้งานการกำหนดเส้นทาง IP แบบไฮบริด - - - - - - - : ไม่ได้เปิดใช้งานพร็อกซี WINS - - - - - - - : ไม่มีรายการค้นหาส่วนต่อท้าย DNS - - - - - - desdelinux.fan อะแดปเตอร์อีเทอร์เน็ต การเชื่อมต่อเครือข่ายท้องถิ่น: ส่วนต่อท้าย DNS เฉพาะการเชื่อมต่อ - desdelinux.คำอธิบายของแฟน - - - - - - - - - - : ที่อยู่ทางกายภาพของการเชื่อมต่อเครือข่าย Intel(R) PRO/1000 MT - - - - - - - - : 00-0C-29-D6-14-36 เปิดใช้งาน DHCP แล้ว - - - - - - - - - - : ใช่ เปิดใช้งานการกำหนดค่าอัตโนมัติแล้ว - - - : ส้อม
   ที่อยู่ IPv4 . . . . . . . . . . : 192.168.10.115 (ที่ต้องการ)
   ซับเน็ตมาสก์ - - - - - - - - - - : 255.255.255.0 ได้รับสัญญาเช่าแล้ว - - - - - - - - - : วันศุกร์ที่ 14 เมษายน 2017 5:12:53 น. สัญญาเช่าหมดอายุ . - - - - - - - - - : วันเสาร์ที่ 15 เมษายน 2017 เวลา 1:12:53 น. เกตเวย์เริ่มต้น - - - - - - - - : 192.168.10.1 เซิร์ฟเวอร์ DHCP - - - - - - - - - - : 192.168.10.5 เซิร์ฟเวอร์ DNS - - - - - - - - - - : 192.168.10.5 NetBIOS บน Tcpip - - - - - - - : เปิดใช้งานการเชื่อมต่ออะแด็ปเตอร์อุโมงค์ Local Area Connection* 9: สถานะสื่อ - - - - - - - - - - : สื่อตัดการเชื่อมต่อส่วนต่อท้าย DNS เฉพาะการเชื่อมต่อ : คำอธิบาย . - - - - - - - - - - : ที่อยู่ทางกายภาพของอะแดปเตอร์ Microsoft Teredo Tunneling - - - - - - - - : 00-00-00-00-00-00-00-E0 เปิดใช้งาน DHCP แล้ว - - - - - - - - - - : ไม่มีการเปิดใช้งานการกำหนดค่าอัตโนมัติ - - - : ใช่ isatap อะแดปเตอร์อุโมงค์desdelinux.fan: สถานะสื่อ - - - - - - - - - - : สื่อตัดการเชื่อมต่อส่วนต่อท้าย DNS เฉพาะการเชื่อมต่อ - desdelinux.คำอธิบายของแฟน - - - - - - - - - - : ที่อยู่ทางกายภาพของอะแดปเตอร์ Microsoft ISATAP #2 - - - - - - - - : 00-00-00-00-00-00-00-E0 เปิดใช้งาน DHCP แล้ว - - - - - - - - - - : ไม่มีการเปิดใช้งานการกำหนดค่าอัตโนมัติ - - - : ใช่ C:\Users\buzz>

ปลาย

ค่าที่สำคัญในไคลเอนต์ Windows คือ "Primary Dns Suffix" หรือ "Main connection suffix" เมื่อคุณไม่ได้ใช้ Microsoft Domain Controller ระบบปฏิบัติการจะไม่กำหนดค่าใด ๆ ให้ หากเรากำลังเผชิญกับกรณีเช่นเดียวกับที่อธิบายไว้ในตอนต้นของบทความและเราต้องการประกาศค่านั้นอย่างชัดเจนเราต้องดำเนินการตามสิ่งที่แสดงในภาพต่อไปนี้ยอมรับการเปลี่ยนแปลงและรีสตาร์ทไคลเอนต์

ถ้าเราวิ่งอีกครั้ง CMD -> ipconfig / ทั้งหมด เราจะได้รับสิ่งต่อไปนี้:

Microsoft Windows [เวอร์ชัน 6.1.7601] ลิขสิทธิ์ (c) 2009 Microsoft Corporation สงวนลิขสิทธิ์. C: \ Users \ buzz> ipconfig / ชื่อโฮสต์การกำหนดค่า Windows IP ทั้งหมด . . . . . . . . . . . : เซเว่น
   คำต่อท้าย Dns หลัก . . . . . . : desdelinux.พัดลม
   ประเภทโหนด - - - - - - - - - - - : เปิดใช้งานการกำหนดเส้นทาง IP แบบไฮบริด - - - - - - - : ไม่ได้เปิดใช้งานพร็อกซี WINS - - - - - - - : ไม่มีรายการค้นหาส่วนต่อท้าย DNS - - - - - - desdelinux.พัดลม

ค่าที่เหลือยังคงไม่เปลี่ยนแปลง

การตรวจสอบ DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com มีที่อยู่ 127.0.0.1 โฮสต์ ไม่พบ spynet.microsoft.com: 5 (ปฏิเสธ) เมล spynet.microsoft.com ได้รับการจัดการโดย 1 เมลdesdelinux.พัดลม.

buzz @ sysadmin: ~ $ host linuxbox
ลินุกซ์บ็อกซ์desdelinux.fan มีที่อยู่ 192.168.10.5 linuxboxdesdelinux.fan mail ได้รับการจัดการโดย 1 เมลdesdelinux.พัดลม.

buzz @ sysadmin: ~ $ host sysadmin
ผู้ดูแลระบบdesdelinux.fan มีที่อยู่ 192.168.10.1 ผู้ดูแลระบบdesdelinux.fan mail ได้รับการจัดการโดย 1 เมลdesdelinux.พัดลม.

buzz @ sysadmin: ~ $ host mail
อีเมลdesdelinux.fan เป็นนามแฝงสำหรับ linuxboxdesdelinux.พัดลม. ลินุกซ์บ็อกซ์desdelinux.fan มีที่อยู่ 192.168.10.5 linuxboxdesdelinux.fan mail ได้รับการจัดการโดย 1 เมลdesdelinux.พัดลม.

เราติดตั้ง -สำหรับการทดสอบเท่านั้น- เซิร์ฟเวอร์ DNS ที่เชื่อถือได้ NSD ใน ผู้ดูแลระบบdesdelinux.พัดลมและเรารวมที่อยู่ IP 172.16.10.1 ในที่เก็บถาวร / etc / resolv.conf ของทีม ลินุกซ์บ็อกซ์desdelinux.พัดลมเพื่อตรวจสอบว่า Dnsmasq เรียกใช้ฟังก์ชัน Forwarder อย่างถูกต้อง Sandboxes บนเซิร์ฟเวอร์ NSD คือ favt.org y toujague.org. IP ทั้งหมดเป็นข้อมูลสมมติหรือมาจากเครือข่ายส่วนตัว

หากเราปิดใช้งานอินเทอร์เฟซ WAN 34 โดยใช้คำสั่ง ifdown ens 34Dnsmasq จะไม่สามารถค้นหาเซิร์ฟเวอร์ DNS ภายนอกได้

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
ไม่พบโฮสต์ toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
ไม่พบโฮสต์ pizzapie.favt.org: 3 (NXDOMAIN)

มาเปิดใช้งานอินเทอร์เฟซ ens34 แล้วตรวจสอบอีกครั้ง:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org เป็นนามแฝงของ paisano.favt.org paisano.favt.org มีที่อยู่ 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
ไม่พบโฮสต์ pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org มีที่อยู่ 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org เนมเซิร์ฟเวอร์ ns1.favt.org favt.org เนมเซิร์ฟเวอร์ ns2.favt.org

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org เนมเซิร์ฟเวอร์ ns1.toujague.org toujague.org เนมเซิร์ฟเวอร์ ns2.toujague.org

[buzz @ linuxbox ~] $ host -t MX toujague.org
อีเมล toujague.org จัดการโดย 10 mail.toujague.org

ขอคำปรึกษาจาก ผู้ดูแลระบบdesdelinux.พัดลม:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
ค้นหา desdelinuxเนมเซิร์ฟเวอร์ .fan 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org มีที่อยู่ 169.18.10.19

Dnsmasq ทำงานเหมือน ผู้ส่งของ ได้อย่างถูกต้อง

ปลาหมึก

ในหนังสือในรูปแบบ PDF «การกำหนดค่าเซิร์ฟเวอร์ Linux»ลงวันที่ 25 กรกฎาคม 2016 โดยผู้เขียน โจเอล บาร์ริออส ดูนาส (darkshram@gmail.com - http://www.alcancelibre.org/) ข้อความที่ฉันได้อ้างถึงในบทความก่อนหน้านี้มีทั้งบทที่อุทิศให้กับไฟล์ Squid Basic Configuration Options.

เนื่องจากความสำคัญของบริการเว็บ - พร็อกซีเราจึงทำซ้ำบทนำเกี่ยวกับปลาหมึกในหนังสือดังกล่าว:

105.1. บทนำ.

105.1.1 Intermediary Server (Proxy) คืออะไร?

คำศัพท์ในภาษาอังกฤษ "พร็อกซี" มีความหมายทั่วไปมากและในเวลาเดียวกันก็คลุมเครือแม้ว่า
ถือว่าเป็นคำพ้องความหมายของแนวคิดของ "ตัวกลาง". โดยปกติจะแปลในความหมายที่เข้มงวดเช่นเดียวกับ ผู้แทน o ทนายความ (ผู้ที่มีอำนาจเหนืออีกคนหนึ่ง)

Un เซิร์ฟเวอร์ตัวกลาง หมายถึงคอมพิวเตอร์หรืออุปกรณ์ที่ให้บริการเครือข่ายซึ่งประกอบด้วยการอนุญาตให้ไคลเอ็นต์ทำการเชื่อมต่อเครือข่ายทางอ้อมไปยังบริการเครือข่ายอื่น ๆ ในระหว่างกระบวนการต่อไปนี้เกิดขึ้น:

• ลูกค้าเชื่อมต่อกับไฟล์ พร็อกซีเซิร์ฟเวอร์.
• ไคลเอ็นต์ร้องขอการเชื่อมต่อไฟล์หรือทรัพยากรอื่น ๆ ที่มีอยู่บนเซิร์ฟเวอร์อื่น
• Intermediary Server จัดเตรียมทรัพยากรโดยการเชื่อมต่อกับเซิร์ฟเวอร์ที่ระบุ
  หรือให้บริการจากแคช
• ในบางกรณี เซิร์ฟเวอร์ตัวกลาง สามารถแก้ไขคำขอของลูกค้าหรือไฟล์
  การตอบสนองของเซิร์ฟเวอร์เพื่อวัตถุประสงค์ต่างๆ

ลอส พร็อกซีเซิร์ฟเวอร์ โดยทั่วไปจะถูกสร้างขึ้นให้ทำงานพร้อมกันเป็นกำแพงกันไฟที่ทำงานใน ระดับเครือข่ายซึ่งทำหน้าที่เป็นตัวกรองแพ็กเก็ตเช่นในกรณีของ iptables หรือปฏิบัติการในไฟล์ ระดับการใช้งาน, การควบคุมบริการต่าง ๆ เช่นเดียวกับกรณีของ เครื่องห่อ TCP. กำแพงไฟเรียกอีกอย่างว่าขึ้นอยู่กับบริบท บาร์เรลต่อวัน o Bใบสั่ง Protection Device หรือเพียง ตัวกรองแพ็คเก็ต.

แอปพลิเคชันทั่วไปของ พร็อกซีเซิร์ฟเวอร์ คือการทำหน้าที่เป็นแคชของเนื้อหาเครือข่าย (ส่วนใหญ่เป็น HTTP) โดยให้แคชของเพจและไฟล์ที่อยู่ใกล้กับไคลเอ็นต์ผ่านเครือข่ายบนเซิร์ฟเวอร์ HTTP ระยะไกลทำให้ไคลเอนต์ของเครือข่ายท้องถิ่นสามารถเข้าถึงได้เร็วขึ้นและมากขึ้น เชื่อถือได้

เมื่อได้รับคำขอสำหรับทรัพยากรเครือข่ายที่ระบุในไฟล์ URL (Uนิฟอร์ม Rแหล่งที่มา Locator) เซิร์ฟเวอร์ตัวกลาง มองหาผลลัพธ์ของ URL ภายในแคช หากพบไฟล์ เซิร์ฟเวอร์ตัวกลาง ตอบสนองลูกค้าด้วยการให้เนื้อหาที่ร้องขอทันที หากเนื้อหาที่ร้องขอไม่มีอยู่ในแคชไฟล์ เซิร์ฟเวอร์ตัวกลาง มันจะดึงข้อมูลจากเซิร์ฟเวอร์ระยะไกลส่งไปยังไคลเอนต์ที่ร้องขอและเก็บสำเนาไว้ในแคช จากนั้นเนื้อหาในแคชจะถูกลบออกโดยใช้อัลกอริทึมการหมดอายุตามอายุขนาดและประวัติของ การตอบสนองต่อคำขอ (hit) (ตัวอย่าง: ม.ร.ว, แอลฟูด้า y จีดีเอสเอฟ).

พร็อกซีเซิร์ฟเวอร์สำหรับเนื้อหาเครือข่าย (Web Proxies) ยังสามารถทำหน้าที่เป็นตัวกรองเนื้อหาที่ให้บริการโดยใช้นโยบายการเซ็นเซอร์ตามเกณฑ์ที่กำหนด.

รุ่น Squid ที่เราจะติดตั้งคือ 3.5.20-2.el7_3.2 จากที่เก็บ การปรับปรุง.

การติดตั้ง

[root @ linuxbox ~] # ยำติดตั้งปลาหมึก

[root @ linuxbox ~] # ls / etc / ปลาหมึก /
cachemgr.conf errorpage.css.default  Squid.conf
cachemgr.conf.default mime.conf              Squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl เปิดใช้งานปลาหมึก

สำคัญ

• บทความนี้มีวัตถุประสงค์หลักเพื่ออนุญาตให้ผู้ใช้ในพื้นที่เชื่อมต่อกับ Squid จากคอมพิวเตอร์เครื่องอื่นที่เชื่อมต่อกับ LAN นอกจากนี้ให้ใช้แกนกลางของเซิร์ฟเวอร์ที่จะเพิ่มบริการอื่น ๆ ไม่ใช่บทความเฉพาะสำหรับปลาหมึกเช่นนี้.
• หากต้องการทราบแนวคิดเกี่ยวกับตัวเลือกการกำหนดค่าของ Squid โปรดอ่านไฟล์ /usr/share/doc/squid-3.5.20/squid.conf.documented ซึ่งมี 7915 บรรทัด.

SELinux และ Squid

[root @ linuxbox ~] # getsebool -a | ปลาหมึกยักษ์
Squid_connect_any -> บน Squid_use_tproxy -> ปิด

[root @ linuxbox ~] # setsebool -P Squid_connect_any = on

องค์ประกอบ

[root @ linuxbox ~] # นาโน /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl พอร์ต SSL_ports 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # เราปฏิเสธการสอบถามสำหรับพอร์ตที่ไม่ปลอดภัย http_access ปฏิเสธ! Safe_ports # เราปฏิเสธวิธี CONNECT สำหรับพอร์ตที่ไม่ปลอดภัย http_access ปฏิเสธ CONNECT! SSL_ports # การเข้าถึงตัวจัดการแคชจาก localhost เท่านั้น http_access อนุญาตให้ localhost manager http_access ปฏิเสธ manager # เราขอแนะนำอย่างยิ่งให้ดำเนินการต่อไปนี้เพื่อปกป้องแอปพลิเคชันเว็บ # ผู้บริสุทธิ์ที่ทำงานบนพร็อกซีเซิร์ฟเวอร์ซึ่งคิดว่า # หนึ่งเดียวที่สามารถเข้าถึงบริการบน "localhost" คือ ผู้ใช้ในพื้นที่ http_access ปฏิเสธ to_localhost # # แทรกกฎของคุณเองที่นี่เพื่ออนุญาตการเข้าถึงจากลูกค้าของคุณ # # การอนุญาต PAM
โปรแกรมพื้นฐาน auth_param / usr / lib64 / squid / basic_pam_auth
auth_param ลูกพื้นฐาน 5 auth_param อาณาจักรพื้นฐาน desdelinux.fan auth_param ข้อมูลรับรองพื้นฐานsttl 2 ชั่วโมง auth_param กรณีพื้นฐานปิด # การเข้าถึง Squid ต้องมีการตรวจสอบสิทธิ์ acl ผู้ที่ชื่นชอบ proxy_auth จำเป็น # เราอนุญาตให้เข้าถึงผู้ใช้ที่ได้รับการรับรองความถูกต้อง # ผ่าน PAM http_access ปฏิเสธ !ผู้ที่ชื่นชอบ # การเข้าถึงไซต์ FTP acl ftp proto FTP http_access อนุญาต ftp http_access อนุญาต localnet http_access อนุญาต localhost # เราปฏิเสธการเข้าถึง http_access พร็อกซีอื่น ๆ ปฏิเสธทั้งหมด # Squid ปกติฟังบนพอร์ต 3128 http_port 3128 # เราปล่อยให้ "coredumps" อยู่ในไดเรกทอรีแคชแรก coredump_dir /var/spool/squid # # เพิ่มใด ๆ ของรีเฟรช_รูปแบบของคุณเอง รายการข้างต้นเหล่านี้ # รีเฟรช_รูปแบบ ^ftp: 1440 20% 10080 รีเฟรช_รูปแบบ ^โกเฟอร์: 1440 0% 1440 รีเฟรช_รูปแบบ -i (/cgi-bin/|\?) 0 0% 0 รีเฟรช_รูปแบบ 0 20% 4320 cache_mem 64 MB # แคชหน่วยความจำ memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # พารามิเตอร์อื่นที่มองเห็นได้_ชื่อโฮสต์ linuxboxdesdelinux.พัดลม

เราตรวจสอบไวยากรณ์ของไฟล์ /etc/squid/squid.conf

[root @ linuxbox ~] # ปลาหมึก -k แยกวิเคราะห์
2017/04/16 15:45:10| การเริ่มต้น: กำลังเริ่มต้นแผนการรับรองความถูกต้อง... 2017/04/16 15:45:10| การเริ่มต้น: โครงการการรับรองความถูกต้องเริ่มต้น 'พื้นฐาน' 2017/04/16 15:45:10| การเริ่มต้น: โครงการการรับรองความถูกต้องเริ่มต้น 'สรุป' 2017/04/16 15:45:10| การเริ่มต้น: โครงการการรับรองความถูกต้องเริ่มต้น 'เจรจา' 2017/04/16 15:45:10| การเริ่มต้น: โครงการการรับรองความถูกต้องเริ่มต้น 'ntlm' 2017/04/16 15:45:10| การเริ่มต้น: การรับรองความถูกต้องเริ่มต้น 2017/04/16 15:45:10| กำลังประมวลผลไฟล์กำหนดค่า: /etc/squid/squid.conf (ความลึก 0) 2017/04/16 15:45:10| กำลังประมวลผล: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| กำลังประมวลผล: acl SSL_ports พอร์ต 443 21 2017/04/16 15:45:10| กำลังประมวลผล: พอร์ต acl Safe_ports 80 # http 2017/04/16 15:45:10 | กำลังประมวลผล: พอร์ต acl Safe_ports 21 # ftp 2017/04/16 15:45:10| กำลังประมวลผล: acl Safe_ports พอร์ต 443 # https 2017/04/16 15:45:10| กำลังประมวลผล: พอร์ต acl Safe_ports 70 # gopher 2017/04/16 15:45:10| กำลังประมวลผล: acl Safe_ports พอร์ต 210 # เมื่อ 2017/04/16 15:45:10| กำลังประมวลผล: พอร์ต acl Safe_ports 1025-65535 # พอร์ตที่ไม่ได้ลงทะเบียน 2017/04/16 15:45:10| กำลังประมวลผล: พอร์ต acl Safe_ports 280 # http-mgmt 2017/04/16 15:45:10 | กำลังประมวลผล: พอร์ต acl Safe_ports 488 # gss-http 2017/04/16 15:45:10| กำลังประมวลผล: acl Safe_ports พอร์ต 591 # filemaker 2017/04/16 15:45:10| กำลังประมวลผล: acl Safe_ports พอร์ต 777 # มัลติลิง http 2017/04/16 15:45:10| กำลังประมวลผล: วิธี acl CONNECT CONNECT 2017/04/16 15:45:10 | กำลังประมวลผล: http_access ปฏิเสธ !Safe_ports 2017/04/16 15:45:10| กำลังประมวลผล: http_access ปฏิเสธ CONNECT !SSL_ports 2017/04/16 15:45:10| กำลังประมวลผล: http_access อนุญาตผู้จัดการ localhost 2017/04/16 15:45:10| กำลังประมวลผล: http_access ปฏิเสธผู้จัดการ 2017/04/16 15:45:10| กำลังประมวลผล: http_access ปฏิเสธ to_localhost 2017/04/16 15:45:10| กำลังประมวลผล: โปรแกรมพื้นฐาน auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| กำลังประมวลผล: auth_param เด็กพื้นฐาน 5 2017/04/16 15:45:10| กำลังประมวลผล: ขอบเขตพื้นฐาน auth_param desdelinux.แฟน 2017/04/16 15:45:10| กำลังประมวลผล: auth_param ข้อมูลรับรองพื้นฐานsttl 2 ชั่วโมง 2017/04/16 15:45:10| กำลังประมวลผล: ปิดตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ auth_param 2017/04/16 15:45:10| กำลังประมวลผล: ผู้ที่ชื่นชอบ acl proxy_auth REQUIRED 2017/04/16 15:45:10| กำลังประมวลผล: http_access ปฏิเสธ !ผู้ที่ชื่นชอบ 2017/04/16 15:45:10| กำลังประมวลผล: acl ftp โปรโต FTP 2017/04/16 15:45:10| กำลังประมวลผล: http_access อนุญาต ftp 2017/04/16 15:45:10| กำลังประมวลผล: http_access อนุญาต localnet 2017/04/16 15:45:10| กำลังประมวลผล: http_access อนุญาต localhost 2017/04/16 15:45:10| กำลังประมวลผล: http_access ปฏิเสธทั้งหมด 2017/04/16 15:45:10| กำลังประมวลผล: http_port 3128 2017/04/16 15:45:10| กำลังประมวลผล: coredump_dir /var/spool/squid 2017/04/16 15:45:10| กำลังประมวลผล:รีเฟรช_รูปแบบ ^ftp: 1440 20% 10080 2017/04/16 15:45:10| กำลังประมวลผล:รีเฟรช_รูปแบบ ^โกเฟอร์: 1440 0% 1440 2017/04/16 15:45:10| กำลังประมวลผล:รีเฟรช_รูปแบบ -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| กำลังประมวลผล:รีเฟรช_รูปแบบ 0 20% 4320 2017/04/16 15:45:10| กำลังประมวลผล: cache_mem 64 MB 2017/04/16 15:45:10| กำลังประมวลผล: memory_replacement_policy lru 2017/04/16 15:45:10| กำลังประมวลผล: cache_replacement_policy ฮีป LFUDA 2017/04/16 15:45:10| กำลังประมวลผล: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| กำลังประมวลผล: maximum_object_size 4 MB 2017/04/16 15:45:10| กำลังประมวลผล: cache_swap_low 85 2017/04/16 15:45:10| กำลังประมวลผล: cache_swap_high 90 2017/04/16 15:45:10| กำลังประมวลผล: cache_mgr buzz@desdelinux.แฟน 2017/04/16 15:45:10| กำลังประมวลผล:visible_hostname linuxboxdesdelinux.แฟน 2017/04/16 15:45:10| กำลังเริ่มต้นบริบทพร็อกซี https

เราปรับการอนุญาตใน / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / ปลาหมึก / basic_pam_auth

เราสร้างไดเรกทอรีแคช

# ในกรณี ... [root @ linuxbox ~] # บริการปลาหมึกหยุด
กำลังเปลี่ยนเส้นทางไปยัง / bin / systemctl stop squid.service

[root @ linuxbox ~] # ปลาหมึก -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | ตั้งค่าไดเรกทอรีปัจจุบันเป็น / var / spool / squid 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรี swap ที่ขาดหายไป 2017/04/16 15:48:28 kid1 | / var / spool / ปลาหมึกมีอยู่ 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 00 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 01 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 02 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 03 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 04 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 05 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 06 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 07 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 08 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / Squid / 09 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 0A 2017/04/16 15:48:28 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 0B 2017/04/16 15:48:28 kid1 | การสร้างไดเรกทอรีใน / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 0D 2017/04/16 15:48:29 kid1 | การสร้างไดเร็กทอรีใน / var / spool / Squid / 0E 2017/04/16 15:48:29 kid1 | สร้างไดเร็กทอรีใน / var / spool / Squid / 0F

ณ จุดนี้หากใช้เวลาสักครู่ในการส่งคืนพรอมต์คำสั่งซึ่งไม่เคยส่งคืนให้ฉันให้กด Enter

[root @ linuxbox ~] # บริการปลาหมึกเริ่ม
[root @ linuxbox ~] # บริการเริ่มการทำงานของปลาหมึก
[root @ linuxbox ~] # บริการสถานะปลาหมึก
การเปลี่ยนเส้นทางไปยัง / bin / systemctl สถานะ Squid.service ● Squid.service - Squid caching proxy Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled; vendor preset: disabled) Active: active (running) since dom 2017-04-16 15:57:27 EDT; 1 วินาทีที่แล้วกระบวนการ: 2844 ExecStop = / usr / sbin / Squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / Squid $ SQUID_OPTS -f $ SQUID_CONF = ออกแล้วสถานะ = 0 / ความสำเร็จ) กระบวนการ: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited สถานะ = 0 / SUCCESS) Main PID: 2876 (Squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / Squid -f /etc/squid/squid.conf 16 เมษายน 15:57:27 linuxbox systemd [1]: การเริ่มต้นพร็อกซีการแคช Squid ... 16 เม.ย. 15:57:27 linuxbox systemd [1]: เริ่มใช้ Squid caching proxy 16 เม.ย. 15:57:27 ปลาหมึก linuxbox [2876]: Squid Parent: จะเริ่ม 1 ลูก 16 เม.ย. 15:57:27 linuxbox Squid [2876]: Squid Parent: (Squid-1) process 2878 ... ed 16 เม.ย. 15 : 57: 27 linuxbox Squid [2876]: Squid Parent: (Squid-1) process 2878 ... 1 Hint: บางเส้นเป็นจุดไข่ปลาให้ใช้ -l เพื่อแสดงแบบเต็ม

[root @ linuxbox ~] # cat / var / log / messages | ปลาหมึกยักษ์

การแก้ไขไฟร์วอลล์

เราต้องเปิดในโซน«ภายนอก"ท่าเรือ 80HTTP y 443 HTTPS เพื่อให้ปลาหมึกสามารถสื่อสารกับอินเทอร์เน็ตได้

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --reload
ความสำเร็จ
[root @ linuxbox ~] # firewall-cmd --info-zone ภายนอก
ภายนอก (แอ็คทีฟ) เป้าหมาย: icmp-block-inversion เริ่มต้น: ไม่มีอินเทอร์เฟซ: ens34 ที่มา: บริการ: พอร์ต dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  โปรโตคอล: มาสเคอเรด: ใช่ฟอร์เวิร์ดพอร์ต: ซอร์สพอร์ต: บล็อก icmp: พารามิเตอร์ปัญหาการเปลี่ยนเส้นทางเราเตอร์โฆษณาเราเตอร์การชักชวนแหล่งที่มา - ดับกฎที่หลากหลาย:

• ไม่ได้ใช้งานที่จะไปที่แอปพลิเคชันกราฟิก«การกำหนดค่าไฟร์วอลล์»และตรวจสอบว่าพอร์ต 443 tcp, 80 tcp, 53 tcp และ 53 udp เปิดอยู่สำหรับโซน«ภายนอก«และเราไม่ได้เผยแพร่บริการใด ๆ สำหรับเธอ.

หมายเหตุเกี่ยวกับโปรแกรมตัวช่วย basic_pam_auth

หากเราศึกษาคู่มือของยูทิลิตี้นี้ผ่าน ผู้ชาย basic_pam_auth เราจะอ่านว่าผู้เขียนเองได้ให้คำแนะนำที่ชัดเจนว่าจะย้ายโปรแกรมไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่มีสิทธิ์เพียงพอในการเข้าถึงเครื่องมือ

ในทางกลับกันเป็นที่ทราบกันดีว่าด้วยรูปแบบการอนุญาตนี้ข้อมูลประจำตัวจะเดินทางเป็นข้อความธรรมดาและไม่ปลอดภัยสำหรับสภาพแวดล้อมที่เป็นมิตรอ่านเครือข่ายแบบเปิด

เจฟฟ์ เยสตรัมสกาส อุทิศบทความ«วิธีการ: ตั้งค่าเว็บพร็อกซีที่ปลอดภัยโดยใช้การเข้ารหัส SSL, Squid Caching Proxy และการตรวจสอบสิทธิ์ PAM»สำหรับปัญหาการเพิ่มความปลอดภัยด้วยรูปแบบการตรวจสอบสิทธิ์นี้เพื่อให้สามารถใช้ในเครือข่ายเปิดที่อาจเป็นศัตรูได้

เราติดตั้ง httpd

เป็นวิธีตรวจสอบการทำงานของ Squid และบังเอิญว่า Dnsmasq เราจะติดตั้งบริการ httpd -Apache เว็บเซิร์ฟเวอร์ - ซึ่งไม่จำเป็นต้องทำ ในไฟล์ที่สัมพันธ์กับ Dnsmasq / etc / banner_add_hosts เราประกาศไซต์ที่เราต้องการถูกแบนและเรากำหนดที่อยู่ IP เดียวกันกับที่มีอย่างชัดเจน กล่องลินุกซ์. ดังนั้นหากเราร้องขอการเข้าถึงไซต์เหล่านี้หน้าแรกของไฟล์ httpd.

[root @ linuxbox ~] # yum ติดตั้ง httpd [root @ linuxbox ~] # systemctl เปิดใช้งาน httpd
สร้าง symlink จาก /etc/systemd/system/multi-user.target.wants/httpd.service ไปยัง /usr/lib/systemd/system/httpd.service

[root @ linuxbox ~] # systemctl เริ่ม httpd

[root @ linuxbox ~] # systemctl สถานะ httpd
● httpd.service - เซิร์ฟเวอร์ Apache HTTP ที่โหลด: โหลดแล้ว (/usr/lib/systemd/system/httpd.service; เปิดใช้งานตั้งค่าล่วงหน้าของผู้จำหน่าย: ปิดใช้งาน) ใช้งาน: active (ทำงาน) ตั้งแต่วันอาทิตย์ 2017-04-16 16:41: 35 EDT; 5 วินาทีที่ผ่านมา Docs: man: httpd (8) man: apachectl (8) Main PID: 2275 (httpd) Status: "Processing request ... " CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 เมษายน 16:41:35 linuxbox systemd [1]: การเริ่มต้นเซิร์ฟเวอร์ Apache HTTP ... 16 เม.ย. 16:41:35 linuxbox systemd [1]: เริ่มต้นเซิร์ฟเวอร์ Apache HTTP

SELinux และ Apache

Apache มีนโยบายหลายอย่างในการกำหนดค่าภายในบริบท SELinux

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> ปิด httpd_builtin_scripting -> บน httpd_can_check_spam -> ปิด httpd_can_connect_ftp -> ปิด httpd_can_connect_ldap -> ปิด httpd_can_connect_mythtv -> ปิด httpd_can_connect เครือข่าย off_zabbix_work_work_work_canconnect_work_work httpd_can_network_memcache -> ปิด httpd_can_network_relay -> ปิด httpd_can_sendmail -> ปิด httpd_dbus_avahi -> ปิด httpd_dbus_sssd -> ปิด httpd_dontaudit_search_dirs -> ปิด httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_ offpd_server_enable offp -> httpd_enablem offpd_server_enablecgi ปิด -> offhpd_enablemXNUMX httpd_graceful_shutdown -> บน httpd_manage_ipa -> ปิด httpd_mod_auth_ntlm_winbind -> ปิด httpd_mod_auth_pam -> ปิด httpd_read_user_content -> ปิด httpd_run_ipa -> ปิด httpd_run_preupgrade -> ปิด httpd_limercobshift httpd_ssi_exec -> ปิด httpd_sys_script_anon_write -> ปิด httpd_tmp_exec -> ปิด httpd_tty_comm - > ปิด httpd_unified -> ปิด httpd_use_cifs -> ปิด httpd_use_fusefs -> ปิด httpd_use_gpg -> ปิด httpd_use_nfs -> ปิด httpd_use_openstack -> ปิด httpd_use_sasl -> ปิด httpd_verify_dns -> ปิด

เราจะกำหนดค่าต่อไปนี้เท่านั้น:

ส่งอีเมลผ่าน Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

อนุญาตให้ Apache อ่านเนื้อหาที่อยู่ในโฮมไดเร็กทอรีของผู้ใช้ภายใน

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

อนุญาตให้จัดการผ่าน FTP หรือ FTPS ไดเร็กทอรีใด ๆ ที่จัดการโดย
Apache หรืออนุญาตให้ Apache ทำหน้าที่เป็นเซิร์ฟเวอร์ FTP ที่รับฟังคำขอผ่านพอร์ต FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

สำหรับข้อมูลเพิ่มเติมโปรดอ่าน การกำหนดค่าเซิร์ฟเวอร์ Linux.

เราตรวจสอบการรับรองความถูกต้อง

เพียงแค่เปิดเบราว์เซอร์บนเวิร์กสเตชันแล้วชี้ไปที่ http://windowsupdate.com. เราจะตรวจสอบว่าคำขอถูกเปลี่ยนเส้นทางไปยังโฮมเพจ Apache ใน linuxbox อย่างถูกต้อง ในความเป็นจริงชื่อไซต์ใด ๆ ที่ประกาศในไฟล์ / etc / banner_add_hosts คุณจะถูกเปลี่ยนเส้นทางไปยังหน้าเดียวกัน

ภาพในตอนท้ายของบทความพิสูจน์ได้

การจัดการผู้ใช้

เราทำโดยใช้เครื่องมือกราฟิก«การจัดการผู้ใช้»ที่เราเข้าถึงผ่านเมนูระบบ -> การดูแลระบบ -> การจัดการผู้ใช้ ทุกครั้งที่เราเพิ่มผู้ใช้ใหม่โฟลเดอร์จะถูกสร้างขึ้น / home / user อัตโนมัติ

การสำรองข้อมูล

ไคลเอนต์ Linux

คุณต้องใช้เบราว์เซอร์ไฟล์ปกติเท่านั้นและระบุว่าคุณต้องการเชื่อมต่อตัวอย่างเช่น: ssh: // buzz @ linuxbox / home / buzz และหลังจากป้อนรหัสผ่านไดเร็กทอรีจะปรากฏขึ้น หน้าแรก ของผู้ใช้ ฉวัดเฉวียน.

ไคลเอนต์ Windows

ในไคลเอนต์ Windows เราใช้เครื่องมือนี้ WinSCP. เมื่อติดตั้งแล้วเราจะใช้งานในลักษณะต่อไปนี้:

ง่ายใช่มั้ย?

ข้อมูลอย่างย่อ

เราได้เห็นว่าเป็นไปได้ที่จะใช้ PAM เพื่อรับรองความถูกต้องของบริการในเครือข่ายขนาดเล็กและในสภาพแวดล้อมที่มีการควบคุมโดยแยกจากมือของ แฮกเกอร์. สาเหตุหลักมาจากการที่ข้อมูลรับรองการพิสูจน์ตัวตนเดินทางเป็นข้อความธรรมดาดังนั้นจึงไม่ใช่รูปแบบการตรวจสอบสิทธิ์ที่จะใช้ในเครือข่ายเปิดเช่นสนามบินเครือข่าย Wi-Fi เป็นต้น อย่างไรก็ตามมันเป็นกลไกการอนุญาตที่เรียบง่ายใช้งานและกำหนดค่าได้ง่าย

ปรึกษาแหล่งที่มา

• การกำหนดค่าเซิร์ฟเวอร์ Linux
• คู่มือคำสั่ง - man pages

เวอร์ชัน PDF

ดาวน์โหลดเวอร์ชัน PDF ที่นี่.

พบกันใหม่บทความหน้า!