CentOS 7- SMB Ağlarında Squid + PAM Kimlik Doğrulaması

Serinin genel dizini: KOBİ'ler için Bilgisayar Ağları: Giriş

Merhaba arkadaşlar ve arkadaşlar!

Makalenin başlığı şöyle olmalıdır: «MATE + NTP + Dnsmasq + Gateway Service + Centos 7'de PAM Kimlik Doğrulamalı Apache + Squid - KOBİ Ağları«. Pratik nedenlerle onu kısaltıyoruz.

PAM kullanarak bir Linux bilgisayardaki yerel kullanıcılar için kimlik doğrulamasına devam ediyoruz ve bu sefer sunucunun bulunduğu bilgisayarda depolanan kimlik doğrulama bilgilerini kullanarak küçük bir bilgisayar ağı için Squid ile Proxy hizmetini nasıl sağlayabileceğimizi göreceğiz. çalışıyor Kalamar.

Günümüzde hizmetlerin bir OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory vb. İle kimlik doğrulamasının çok yaygın bir uygulama olduğunu bilmemize rağmen, önce basit ve ucuz çözümlerden geçip sonra en karmaşık olanlarla yüzleşmemiz gerektiğini düşünüyoruz. olanlar. Basitten karmaşığa gitmemiz gerektiğine inanıyoruz.

Sahne

Özgür Yazılımın kullanımını desteklemeye adanmış ve çok az finansal kaynağa sahip küçük bir kuruluştur ve adını seçmiştir. DesdeLinux.Fan. Onlar çeşitli OS Meraklılarıdır CentOS tek bir ofiste gruplandırılmıştır. Profesyonel bir sunucu değil, bir "sunucu" işlevi görmeye adayacakları bir iş istasyonu satın aldılar.

Meraklılar, bir OpenLDAP sunucusunun veya bir Samba 4 AD-DC'nin nasıl uygulanacağı konusunda kapsamlı bilgiye sahip değildir ve bir Microsoft Active Directory lisansı almaya gücü yetmez. Bununla birlikte, günlük işleri için bir Proxy aracılığıyla İnternet erişim hizmetlerine ve en değerli belgelerini kaydedip yedek kopyalar olarak çalışabilecekleri bir alana ihtiyaçları vardır.

Hala çoğunlukla yasal olarak edinilmiş Microsoft işletim sistemlerini kullanıyorlar, ancak "Sunucuları" ile başlayarak bunları Linux tabanlı İşletim Sistemlerine dönüştürmek istiyorlar.

Ayrıca, şu anda kullandıkları Gmail, Yahoo, HotMail vb. Hizmetlerden - en azından kökeninden - bağımsız olmak için kendi posta sunucularına sahip olmak istiyorlar.

İnternetin önündeki Güvenlik Duvarı ve Yönlendirme Kuralları, bunu sözleşmeli ADSL Router'da oluşturacaktır.

İnternette herhangi bir hizmet yayınlamaları gerekmediği için gerçek bir alan adına sahip değildirler.

GUI'siz bir sunucu olarak CentOS 7

Grafik arayüzü olmayan bir sunucunun yeni kurulumundan başlıyoruz ve işlem sırasında seçtiğimiz tek seçenek «Altyapı Sunucusu»Dizinin önceki yazılarında gördüğümüz gibi.

Başlangıç ​​ayarları

[root @ linuxbox ~] # cat / etc / hostname 
Linux kutusu

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # ana bilgisayar adı
Linux kutusu

[root @ linuxbox ~] # hostname -f
Linux kutusu.desdelinux.fan

[root @ linuxbox ~] # ip adres listesi
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34

Ağ Yöneticisini devre dışı bırakıyoruz

[root @ linuxbox ~] # systemctl NetworkManager'ı durdur

[root @ linuxbox ~] # systemctl NetworkManager'ı devre dışı bırak

[root @ linuxbox ~] # systemctl durumu NetworkManager
● NetworkManager.service - Ağ Yöneticisi Yüklendi: yüklendi (/usr/lib/systemd/system/NetworkManager.service; devre dışı; satıcı ön ayarı: etkin) Aktif: etkin değil (ölü) Dokümanlar: adam: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Ağ arayüzlerini yapılandırıyoruz

Dahili Ağa bağlı Ens32 LAN arayüzü

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
BÖLGE = genel

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

İnternete bağlı Ens34 WAN arayüzü

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=evet BOOTPROTO=statik HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=hayır IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL Router bu arayüze # aşağıdaki adresle # bağlanır IP AĞ GEÇİDİ=172.16.10.1 ALAN=desdelinux.fan DNS1=127.0.0.1
BÖLGE = harici

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Kod depoları yapılandırması

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # orijinal mkdir
[root @ linuxbox ~] # mv Centos- * orijinal /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum tümünü temizle
Yüklenen eklentiler: en hızlı ayna, langpacks Temizleme havuzları: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Her şeyi temizleme En hızlı aynaların listesini temizleme

[root @ linuxbox yum.repos.d] # yum güncelleme
Yüklenen Eklentiler: fastestmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Medya Repo | 3.6 kB 00:00 Güncellemeler-Repo | 3.4 kB 00:00 (1/9): Temel Repo / grup_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Medya-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / güncelleme bilgisi | 734 kB 00:00 (5/9): Medya-Repo / birincil_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / birincil_db | 1.1 MB 00:00 (7/9): Güncellemeler-Repo / birincil_db | 2.2 MB 00:00 (8/9): Epel-Repo / birincil_db | 4.5 MB 00:01 (9/9): Temel Repo / birincil_db | 5.6 MB 00:01 En hızlı yansıtmaları belirleme Güncelleme için işaretlenmiş paket yok

Mesaj "Güncelleme için işaretlenmiş paket yok»Kurulum sırasında elimizdeki aynı yerel depoları beyan ettiğimiz için gösterilir.

MATE masaüstü ortamına sahip Centos 7

Çok iyi yönetim araçlarını CentOS / Red Hat'in bize sağladığı bir grafik arayüzle kullanmak için ve GNOME2'yi her zaman özlediğimiz için MATE'i masaüstü ortamı olarak kurmaya karar verdik.

[root @ linuxbox ~] # yum groupinstall "X Pencere sistemi"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

MATE'nin düzgün şekilde yüklendiğini doğrulamak için, aşağıdaki komutu -yerel veya uzak- bir konsolda çalıştırıyoruz:

[root @ linuxbox ~] # systemctl, graphical.target'ı izole eder

ve masaüstü ortamı yüklenmelidir -yerel ekipte- sorunsuz bir şekilde lightdm grafiksel bir giriş olarak. Yerel kullanıcının adını ve şifresini yazıyoruz ve MATE'yi gireceğiz.

Söylemek için systemd varsayılan önyükleme seviyesinin 5 grafik ortam olduğunu - aşağıdaki sembolik bağlantıyı oluşturuyoruz:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Sistemi yeniden başlatıyoruz ve her şey yolunda gidiyor.

Ağlar için Zaman Hizmetini kuruyoruz

[root @ linuxbox ~] # yum install ntp

Kurulum sırasında yerel saatin ekipmanın zaman sunucusuyla senkronize edileceğini yapılandırıyoruz. sistem yöneticisi.desdelinux.fan IP ile 192.168.10.1 Böylece dosyayı kaydediyoruz ntp.conf orijinal:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Şimdi aşağıdaki içeriğe sahip yeni bir tane oluşturuyoruz:

[root @ linuxbox ~] # nano /etc/ntp.conf # Kurulum sırasında yapılandırılan sunucular: sunucu 192.168.10.1 iburst # Daha fazla bilgi için şu kılavuz sayfalarına bakın: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Zaman kaynağı ile senkronizasyona izin ver, ancak # kaynağın bu hizmete danışmasına veya değiştirmesine izin verme, varsayılan nomodify notrap nopeer noquery # Arayüze tüm erişime izin ver Loopback kısıtla 127.0.0.1 restrict :: 1 # Yerel ağdaki bilgisayarlarla biraz daha az kısıtlayın. restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap # Projenin genel sunucularını kullanın pool.ntp.org # Projeye katılmak istiyorsanız # (http://www.pool.ntp.org/join.html) adresini ziyaret edin. #broadcast 192.168.10.255 autokey # yayın sunucusu yayın istemcisi # yayın istemcisi #broadcast 224.0.1.1 autokey # multicast sunucusu #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # yayın manycast sunucusu #manycastclient 239.255.254.254 192.168.10.255 # Genel şifrelemeyi etkinleştirin. #crypto includefile / etc / ntp / crypto / pw # Anahtarları ve anahtar tanımlayıcıları içeren anahtar dosyası # simetrik anahtar şifreleme anahtarlarıyla çalışırken kullanılır / etc / ntp / keys # Güvenilir anahtar tanımlayıcılarını belirtin. #trustedkey 4 8 42 # ntpdc yardımcı programıyla kullanılacak anahtar tanımlayıcısını belirtin. #requestkey 8 # ntpq yardımcı programıyla kullanılacak anahtar tanımlayıcısını belirtin. #controlkey 8 # İstatistik kayıtlarının yazılmasını etkinleştirin. #statistics clockstats cryptostats loopstats peerstats # Varsayılan # kısıtlaması noquery bayrağını içermediğinde, ntpdc monlist komutunu kullanarak # saldırıların çoğalmasını önlemek için ayrılma izleyicisini devre dışı bırakın. Daha fazla ayrıntı için CVE-2013-5211 # okuyun. # Not: Monitör, sınırlı kısıtlama bayrağıyla devre dışı bırakılmaz. monitörü devre dışı bırak

NTP hizmetini etkinleştirir, başlatır ve kontrol ederiz

[root @ linuxbox ~] # systemctl durumu ntpd
● ntpd.service - Yüklü Ağ Süresi Hizmeti: yüklendi (/usr/lib/systemd/system/ntpd.service; devre dışı; satıcı ön ayarı: devre dışı) Etkin: etkin değil (kapalı)

[root @ linuxbox ~] # systemctl ntpd'yi etkinleştir
/Etc/systemd/system/multi-user.target.wants/ntpd.service'den /usr/lib/systemd/system/ntpd.service'e symlink oluşturuldu.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # systemctl durumu ntpd

[root @ linuxbox ~] # systemctl durumu ntpd
● ntpd.service - Ağ Saati Hizmeti
   Yüklendi: yüklendi (/usr/lib/systemd/system/ntpd.service; etkin; satıcı ön ayarı: devre dışı) Etkin: etkin (çalışıyor) Cuma 2017-04-14 15:51:08 EDT; 1 sn önce İşlem: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ SEÇENEKLER (kod = çıkıldı, durum = 0 / BAŞARI) Ana PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp ve Güvenlik Duvarı

[root @ linuxbox ~] # firewall-cmd --get-active-zones
dış
  arayüzler: ens34
halka açık
  arayüzler: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --kalıcı
başarı
[root @ linuxbox ~] # firewall-cmd - yeniden yükle
başarı

Dnsmasq'ı etkinleştirir ve yapılandırırız

Small Business Networks serisindeki önceki makalede gördüğümüz gibi, Dnsamasq varsayılan olarak bir CentOS 7 Altyapı Sunucusuna yüklenir.

[root @ linuxbox ~] # systemctl durumu dnsmasq
● dnsmasq.service - DNS önbelleğe alma sunucusu. Yüklendi: yüklendi (/usr/lib/systemd/system/dnsmasq.service; devre dışı; satıcı ön ayarı: devre dışı) Aktif: etkin değil (ölü)

[root @ linuxbox ~] # systemctl, dnsmasq'ı etkinleştir
/Etc/systemd/system/multi-user.target.wants/dnsmasq.service'den /usr/lib/systemd/system/dnsmasq.service'e symlink oluşturuldu.

[root @ linuxbox ~] # systemctl dnsmasq başlat
[root @ linuxbox ~] # systemctl durumu dnsmasq
● dnsmasq.service - DNS önbelleğe alma sunucusu. Yüklendi: yüklendi (/usr/lib/systemd/system/dnsmasq.service; etkin; satıcı ön ayarı: devre dışı) Aktif: Cuma 2017-04-14 16:21:18 EDT'den beri aktif (çalışıyor); 4s önce Ana PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------- ------------------ # GENEL SEÇENEKLER # ----------------------------- ---------------------------- alan adı gerekli # Alan adı olmadan adları iletmeyin part bogus-priv # Yönlendirilmemiş alandaki adresleri iletmeyin genişletme-ana bilgisayarları # Etki alanını otomatik olarak ana makineye ekler arayüzü=ens32 # LAN arayüzü katı sırası # /etc/resolv.conf dosyasının sorgulanma sırası conf- dir=/etc /dnsmasq.d alan adı=desdelinux.fan # Etki alanı adı adresi=/time.windows.com/192.168.10.5 # WPAD değerinin boş bir seçeneğini gönderir. # Windows 7 ve üzeri istemcilerin düzgün çalışması için gereklidir. ;-) dhcp-option=252,"\n" # "Yasaklanacak" HOST'ları bildireceğimiz dosya addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------- # Bu kayıt türü bir giriş gerektirir # /etc/hosts dosyasında # örneğin: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan,linuxbox.desdelinux.fan # MX RECORDS # " adlı bir MX kaydını döndürürdesdelinux.fan" # posta ekibine gönderildi.desdelinux.fan ve 10 mx-host'un önceliği=desdelinux.hayran mektubu.desdelinux.fan,10 # localmx seçeneği kullanılarak # oluşturulan MX kayıtları için varsayılan hedef şöyle olacaktır: mx-target=mail.desdelinux.fan # TÜM # yerel makineler localmx # TXT kayıtları için mx hedefini işaret eden bir MX kaydını döndürür. Ayrıca bir SPF kaydı da bildirebiliriz txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fan,"DesdeLinux, Özgür Yazılıma adanmış Blogunuz" # ------------------------------- -------------------------- # RANGEVESEÇENEKLER # --------------------- ----- --------------------------------- # IPv4 aralık ve kiralama süresi # 1 ila 29 Sunucular ve diğer ihtiyaçlar içindir dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Kiralanacak maksimum adres sayısı # varsayılan olarak 150 # IPV6 Aralığı # dhcp-range=1234::, ra-only # ARALIK Seçenekleri # SEÇENEKLER dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # YÖNLENDİRİCİ AĞ GEÇİDİ dhcp-option=6,192.168.10.5 # DNS Sunucuları dhcp-option =15,desdelinux.fan # DNS Etki Alanı Adı dhcp-option=19,1 # seçenek ip-forwarding AÇIK dhcp-option=28,192.168.10.255 # YAYIN dhcp-option=42,192.168.10.5 # NTP dhcp-yetkili # DHCP Alt ağda yetkili # --- --- ------------------------------------ --- ----------- # Sorgu günlüğünü /var/log/messages dizininde saklamak istiyorsanız # aşağıdaki satırın açıklamasını kaldırın # ---------- ------- --------------------------------- -------
# günlük sorguları
# /Etc/dnsmasq.conf dosyasının sonu # --------------------------------------- ----------------------------

Dosyayı oluşturuyoruz / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Sabit IP adresleri

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 sistem yöneticisi.desdelinux.fan sistem yöneticisi

/Etc/resolv.conf dosyasını yapılandırıyoruz - çözümleyici

[root @ linuxbox ~] # nano /etc/resolv.conf
arama desdelinux.fan ad sunucusu 127.0.0.1 # Harici veya # etki alanı olmayan DNS sorguları için desdelinux.fan #yerel=/desdelinux.fan/ ad sunucusu 8.8.8.8

Dosya sözdizimini kontrol ediyoruz dnsmasq.conf, hizmetin durumunu başlatır ve kontrol ederiz

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sözdizimi kontrolü Tamam.
[root @ linuxbox ~] # systemctl dnsmasq'ı yeniden başlat
[root @ linuxbox ~] # systemctl durumu dnsmasq

Dnsmasq ve Güvenlik Duvarı

[root @ linuxbox ~] # firewall-cmd --get-active-zones
dış
  arayüzler: ens34
halka açık
  arayüzler: ens32

hizmet domain o Alan Adı Sunucusu (dns). Protokol tokatlamak «Şifrelemeli IP«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
başarı
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --kalıcı
başarı

Harici DNS sunucularına Dnsmasq sorguları

[root @ linuxbox ~] # firewall-cmd --zone = harici --add-port = 53 / tcp - kalıcı
başarı
[root @ linuxbox ~] # firewall-cmd --zone = harici --add-port = 53 / udp - kalıcı
başarı

hizmet önyükleme o BOOTP sunucusu (dhcp). Protokol ippc «İnternet Pluribus Paket Çekirdeği«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
başarı
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --kalıcı
başarı

[root @ linuxbox ~] # firewall-cmd - yeniden yükle
başarı

[root @ linuxbox ~] # firewall-cmd --info-zone genel genel (aktif)
  hedef: varsayılan icmp-blok çevirme: arabirim yok: ens32 kaynaklar: hizmetler: dhcp dns ntp ssh bağlantı noktaları: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protokolleri: maskeli balo: ileri bağlantı noktası yok: kaynak bağlantı noktaları: icmp -bloklar: zengin kurallar:

[root @ linuxbox ~] # firewall-cmd --info-zone harici harici (aktif)
  hedef: varsayılan icmp-blok ters çevirme: arabirim yok: ens34 kaynaklar: hizmetler: dns bağlantı noktaları: 53 / udp 53 / tcp protokolleri: maskeli: evet ileri bağlantı noktaları: kaynak bağlantı noktaları: icmp-blokları: parametre sorunu yeniden yönlendirme yönlendirici reklam yönlendirici- kaynak-su verme zengin kuralları isteme:

Firewall'u CentOS 7'de yapılandırmak için bir grafik arayüz kullanmak istiyorsak, genel menüye bakarız - bu alt menünün göründüğü masaüstü ortamına bağlı olacaktır - «Güvenlik Duvarı» uygulamasını çalıştırır ve kullanıcının ekranına girdikten sonra parola kök, program arayüzüne bu şekilde erişeceğiz. MATE'de «menüde görünürSistem »->" Yönetim "->" Güvenlik Duvarı ".

Alanı seçiyoruz «halka açık»Ve şu ana kadar LAN üzerinde yayınlanmasını istediğimiz Hizmetleri yetkilendiriyoruz. dhcp, ntp ve ssh. Hizmetleri seçip, her şeyin doğru çalıştığını doğruladıktan sonra, Runtime'daki değişiklikleri Permanent olarak yapmalıyız. Bunu yapmak için Seçenekler menüsüne gidip «seçeneğini seçiyoruzKalıcı çalışma süresi".

Daha sonra Alanı seçiyoruz «dış»Ve İnternet ile iletişim için gerekli Portların açık olup olmadığını kontrol ediyoruz. Ne yaptığımızı çok iyi bilmiyorsak, Hizmetleri bu Bölgede YAYINLAMAYIN!.

Değişiklikleri kalıcı olarak yapmayı unutmayalım «Kalıcı çalışma süresi»Ve şeytanı yeniden doldur FirewallD, bu güçlü grafik aracını her kullandığımızda.

Windows 7 istemcisinden NTP ve Dnsmasq

NTP ile senkronizasyon

dış

Kiralanan IP adresi

Microsoft Windows [Sürüm 6.1.7601] Telif Hakkı (c) 2009 Microsoft Corporation. Tüm hakları Saklıdır. C: \ Kullanıcılar \ buzz> ipconfig / all Windows IP Yapılandırması Ana Bilgisayar Adı. . . . . . . . . . . . : YEDİ
   Birincil Dns Soneki. . . . . . . :
   NodeType. . . . . . . . . . . . : Hibrit IP Yönlendirme Etkin. . . . . . . . : WINS Proxy Etkin Değil. . . . . . . . : DNS Soneki Arama Listesi Yok. . . . . . : desdelinux.fan Ethernet adaptörü Yerel Alan Bağlantısı: Bağlantıya özel DNS Son Eki . : desdelinux.fan Açıklama . . . . . . . . . . . : Intel(R) PRO/1000 MT Ağ Bağlantısı Fiziksel Adresi. . . . . . . . . : 00-0C-29-D6-14-36 DHCP Etkin. . . . . . . . . . . : Evet Otomatik Yapılandırma Etkin. . . . : Çatallar
   IPv4 Adresi. . . . . . . . . . . : 192.168.10.115 (Tercihli)
   Alt Ağ Maskesi . . . . . . . . . . . : 255.255.255.0 Kira Alındı. . . . . . . . . . : 14 Nisan 2017 Cuma 5:12:53 Kira Süresi Sona Eriyor . . . . . . . . . . : 15 Nisan 2017 Cumartesi 1:12:53 Varsayılan Ağ Geçidi . . . . . . . . . : 192.168.10.1 DHCPSunucusu. . . . . . . . . . . : 192.168.10.5 DNS Sunucuları. . . . . . . . . . . : 192.168.10.5 Tcpip üzerinden NetBIOS. . . . . . . . : Etkin Tünel adaptörü Yerel Ağ Bağlantısı* 9: Medya Durumu . . . . . . . . . . . : Medya bağlantısı kesildi Bağlantıya özel DNS Son Eki . : Tanım . . . . . . . . . . . : Microsoft Teredo Tünel Bağdaştırıcısının Fiziksel Adresi. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Etkin. . . . . . . . . . . : Otomatik Yapılandırma Etkin Değil. . . . : Evet Tünel adaptörü isatap.desdelinux.fan: Medya Durumu. . . . . . . . . . . : Medya bağlantısı kesildi Bağlantıya özel DNS Son Eki . : desdelinux.fan Açıklama . . . . . . . . . . . : Microsoft ISATAP Bağdaştırıcısı #2 Fiziksel Adresi. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Etkin. . . . . . . . . . . : Otomatik Yapılandırma Etkin Değil. . . . : Evet C:\Kullanıcılar\buzz>

Bahşiş

Windows istemcilerinde önemli bir değer, "Birincil Dns Son Eki" veya "Ana bağlantı soneki" dir. Bir Microsoft Etki Alanı Denetleyicisi kullanılmadığında, işletim sistemi ona herhangi bir değer atamaz. Makalenin başında anlatılana benzer bir durumla karşı karşıya kalırsak ve bu değeri açıkça beyan etmek istiyorsak, aşağıdaki görselde gösterilene göre ilerlemeli, değişiklikleri kabul etmeli ve istemciyi yeniden başlatmalıyız.

Eğer tekrar koşarsak CMD -> ipconfig / tümü aşağıdakileri elde edeceğiz:

Microsoft Windows [Sürüm 6.1.7601] Telif Hakkı (c) 2009 Microsoft Corporation. Tüm hakları Saklıdır. C: \ Kullanıcılar \ buzz> ipconfig / all Windows IP Yapılandırması Ana Bilgisayar Adı. . . . . . . . . . . . : YEDİ
   Birincil Dns Soneki. . . . . . . : desdelinux.fan
   NodeType. . . . . . . . . . . . : Hibrit IP Yönlendirme Etkin. . . . . . . . : WINS Proxy Etkin Değil. . . . . . . . : DNS Soneki Arama Listesi Yok. . . . . . : desdelinux.fan

Değerlerin geri kalanı değişmeden kalır

DNS kontrolleri

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com'un adresi 127.0.0.1 Ana bilgisayar spynet.microsoft.com bulunamadı: 5(REDDEDİLDİ) spynet.microsoft.com postası 1 posta tarafından işleniyor.desdelinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
Linux kutusu.desdelinux.fan'ın adresi 192.168.10.5 linuxbox'tır.desdelinux.fan postası 1 posta tarafından yönetilir.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sistem yöneticisi.desdelinux.fan'ın adresi 192.168.10.1 sysadmin'dir.desdelinux.fan postası 1 posta tarafından yönetilir.desdelinux.fan.

buzz @ sysadmin: ~ $ host mail
posta.desdelinux.fan, linuxbox'ın takma adıdır.desdelinux.fan. Linux kutusu.desdelinux.fan'ın adresi 192.168.10.5 linuxbox'tır.desdelinux.fan postası 1 posta tarafından yönetilir.desdelinux.fan.

Kuruyoruz -sadece test için- bir Yetkili DNS sunucusu NSD'si sistem yöneticisi.desdelinux.fanve IP adresini ekliyoruz 172.16.10.1 arşivde / Etc / resolv.conf Takımdan Linux kutusu.desdelinux.fan, Dnsmasq'in Forwarder işlevini doğru şekilde yürüttüğünü doğrulamak için. NSD sunucusundaki sandbox'lar favt.org y toujague.org. Tüm IP'ler hayalidir veya özel ağlardandır.

WAN arayüzünü devre dışı bırakırsak ens34 komutu kullanarak ifdown ens34Dnsmasq, harici DNS sunucularını sorgulayamayacaktır.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Host toujague.org bulunamadı: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Ana pizzapie.favt.org bulunamadı: 3 (NXDOMAIN)

Ens34 arayüzünü etkinleştirip tekrar kontrol edelim:

[buzz @ linuxbox ~] $ sudo ifup ens34

buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org, paisano.favt.org için bir takma addır. paisano.favt.org 172.16.10.4 adresine sahiptir.

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Ana pizzas.toujague.org bulunamadı: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org'un adresi 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org isim sunucusu ns1.favt.org. favt.org isim sunucusu ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org ad sunucusu ns1.toujague.org. toujague.org ad sunucusu ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
toujague.org postası 10 mail.toujague.org tarafından yönetilir.

Dan danışalım sistem yöneticisi.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
arama desdelinux.fan ad sunucusu 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org'un 169.18.10.19 adresi var

Dnsmasq şu şekilde çalışıyor gönderen Doğru.

Kalamar

Kitapta PDF formatında «Linux Sunucu Yapılandırması»Yazar tarafından 25 Temmuz 2016 tarihli Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), önceki makalelerde atıfta bulunduğum metin, Squid Temel Yapılandırma Seçenekleri.

Web - Proxy hizmetinin önemi nedeniyle, yukarıda bahsedilen kitapta Squid hakkında yapılan Giriş bölümünü yeniden yayınlıyoruz:

105.1. Giriş.

105.1.1. Aracı Sunucu (Proxy) nedir?

İngilizce terim "Proxy" çok genel ve aynı zamanda belirsiz bir anlamı olsa da
her zaman kavramının eşanlamlısı olarak kabul edilir "Aracı". Genellikle tam anlamıyla şu şekilde çevrilir: Delegado o avukat (bir başkası üzerinde gücü olan).

Un Aracı Sunucu İstemcilerin diğer ağ hizmetlerine dolaylı ağ bağlantıları yapmalarına izin veren bir ağ hizmeti sunan bir bilgisayar veya cihaz olarak tanımlanır. İşlem sırasında aşağıdakiler gerçekleşir:

• İstemci bir Proxy sunucu.
• İstemci, farklı bir sunucuda bulunan bir bağlantı, dosya veya başka bir kaynak ister.
• Aracı Sunucu, kaynağı belirtilen sunucuya bağlanarak sağlar
  veya bir önbellekten sunmak.
• Bazı durumlarda Aracı Sunucu müşterinin talebini değiştirebilir veya
  çeşitli amaçlar için sunucu yanıtı.

Jardines de Viveros Proxy Sunucular genellikle aynı anda çalışan bir yangın duvarı olarak çalışırlar. Ağ seviyesi, olduğu gibi, bir paket filtre görevi gören iptables veya içinde faaliyet Uygulama Seviyesiolduğu gibi, çeşitli hizmetleri kontrol etme TCP Sarıcı. Bağlama bağlı olarak, yangın duvarı aynı zamanda BPD uzantısı o Bsipariş Protection Dkötü ya da sadece paket filtresi.

Ortak bir uygulama Proxy Sunucular istemcilerin yakınında, uzak HTTP sunucularında ağ üzerinden kullanılabilen sayfaların ve dosyaların bir önbelleğini sağlayarak, yerel ağ istemcilerinin bunlara daha hızlı ve daha fazla erişmesine olanak tanıyan bir ağ içeriği önbelleği (özellikle HTTP) olarak işlev görmektir. dürüst.

Belirli bir Ağ kaynağı için bir istek alındığında URL (Uüniforma Rkaynak Locator) Aracı Sunucu sonucunu ara URL önbelleğin içinde. Bulunursa, Aracı Sunucu İstenilen içeriği anında sağlayarak müşteriye yanıt verir. İstenen içerik önbellekte yoksa, Aracı Sunucu uzak bir sunucudan alır, onu isteyen istemciye teslim eder ve bir kopyasını önbellekte tutar. Önbellekteki içerik daha sonra yaşına, boyutuna ve geçmişine göre bir son kullanma algoritmasıyla kaldırılır. isteklere yanıtlar (isabetler) (örnekler: LRU, LFUDA y GSÖT).

Ağ içeriği için Proxy Sunucuları (Web Proxy'leri), keyfi kriterlere göre sansür politikaları uygulayarak sunulan içeriğin filtreleri olarak da hareket edebilir..

Kuracağımız Squid versiyonu 3.5.20-2.el7_3.2 depodan güncellemeler.

Montaj

[root @ linuxbox ~] # yum kurulum kalamar

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  kalamar.conf
cachemgr.conf.default mime.conf              squid.conf.varsayılan
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl squid'i etkinleştir

önemli

• Bu makalenin temel amacı, yerel kullanıcıları LAN'a bağlı diğer bilgisayarlardan Squid ile bağlantı kurmaları için yetkilendirmektir. Ek olarak, diğer hizmetlerin ekleneceği bir sunucunun çekirdeğini uygulayın. Kalamar'a adanmış bir makale değil.
• Squid'in yapılandırma seçenekleri hakkında fikir edinmek için 3.5.20 satır içeren /usr/share/doc/squid-7915/squid.conf.documented dosyasını okuyun..

SELinux ve Kalamar

[root @ linuxbox ~] # getsebool -a | grep kalamar
squid_connect_any -> squid_use_tproxy'de -> kapalı

[root @ linuxbox ~] # setsebool -P squid_connect_any = açık

yapılandırma

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports bağlantı noktası 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports portu 488 # gss-http acl Safe_ports bağlantı noktası 591 # filemaker acl Safe_ports bağlantı noktası 777 # çok dilli http acl BAĞLANTI yöntemi BAĞLAN # Güvenli olmayan bağlantı noktalarına ilişkin sorguları reddediyoruz http_access reddet! Safe_ports # Güvenli olmayan bağlantı noktalarına BAĞLANTI yöntemini reddediyoruz http_access BAĞLANTIYI reddediyor! SSL_ports # Önbellek yöneticisine yalnızca localhost'tan erişim http_access localhost yöneticisine izin ver http_access reddetme yöneticisi # "localhost" üzerindeki hizmetlere erişebilen tek kişinin olduğunu düşünen proxy sunucusu üzerinde çalışan masum # web uygulamalarını korumak için aşağıdakilerin yorumlanmamasını şiddetle öneririz yerel bir kullanıcı http_access reddet to_localhost # # MÜŞTERİLERİNİZDEN ERİŞİME İZİN VERMEK İÇİN KENDİ KURALLARINIZI BURAYA EKLEYİN # # PAM yetkilendirmesi
auth_param temel program / usr / lib64 / squid / basic_pam_auth
auth_param temel çocukları 5 auth_param temel bölge desdelinux.fan auth_param temel kimlik bilgilerittl 2 saat auth_param temel büyük/küçük harfe duyarlı kapalı # Squid erişimi kimlik doğrulama gerektirir acl Meraklılar proxy_auth GEREKLİ # Kimliği doğrulanmış kullanıcılara erişime izin veriyoruz # PAM aracılığıyla http_access reddet !Meraklılar # FTP sitelerine erişim acl ftp proto FTP http_access izin ver ftp http_access yerel ağ http_access'e izin ver izin ver localhost # http_access proxy'sine başka herhangi bir erişimi reddediyoruz tümünü reddet # Squid normalde 3128 numaralı bağlantı noktasını dinler http_port 3128 # "coredumps"u ilk önbellek dizininde bırakırız coredump_dir /var/spool/squid # # Kendi yenileme_örüntüsünüzden herhangi birini ekleyin bunların üzerindeki girişler. # yenileme_örüntüsü ^ftp: 1440 %20 10080 yenileme_örüntüsü ^gopher: 1440 %0 1440 yenileme_örüntüsü -i (/cgi-bin/|\?) 0 %0 0 yenileme_örüntüsü . 0 20% 4320 önbellek_mem 64 MB # Bellek Önbelleği Memory_replacement_policy lru önbellek_replacement_policy yığın LFUDA önbellek_dir aufs /var/spool/squid 4096 16 256 maksimum_object_size 4 MB önbellek_swap_low 85 önbellek_swap_yüksek 90 önbellek_mgr buzz@desdelinux.fan # Diğer parametreler görünür_anasistem adı linuxbox.desdelinux.fan

Dosyanın sözdizimini kontrol ediyoruz /etc/squid/squid.conf

[root @ linuxbox ~] # kalamar -k ayrıştırma
2017/04/16 15:45:10| Başlangıç: Kimlik Doğrulama Düzenleri Başlatılıyor... 2017/04/16 15:45:10| Başlangıç: Başlatılmış Kimlik Doğrulama Düzeni 'temel' 2017/04/16 15:45:10| Başlangıç: Başlatılmış Kimlik Doğrulama Düzeni 'özet' 2017/04/16 15:45:10| Başlangıç: Başlatılmış Kimlik Doğrulama Düzeni 'anlaşma' 2017/04/16 15:45:10| Başlangıç: Başlatılmış Kimlik Doğrulama Düzeni 'ntlm' 2017/04/16 15:45:10| Başlangıç: Başlatılmış Kimlik Doğrulaması. 2017/04/16 15:45:10| Yapılandırma Dosyası İşleniyor: /etc/squid/squid.conf (derinlik 0) 2017/04/16 15:45:10| İşleme: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| İşleme: acl SSL_ports bağlantı noktası 443 21 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 80 # http 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 21 # ftp 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 443 # https 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 70 # gopher 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 210 # wais 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 1025-65535 # kayıtlı olmayan bağlantı noktaları 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 280 # http-mgmt 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 488 # gss-http 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 591 # dosya oluşturucu 2017/04/16 15:45:10| İşleme: acl Safe_ports bağlantı noktası 777 # çoklu bağlantı http 2017/04/16 15:45:10| İşleme: acl CONNECT yöntemi CONNECT 2017/04/16 15:45:10| İşleme: http_access reddi !Safe_ports 2017/04/16 15:45:10| İşleme: http_access reddi CONNECT !SSL_ports 2017/04/16 15:45:10| İşleme: http_access localhost yöneticisine izin veriyor 2017/04/16 15:45:10| İşleme: http_access reddetme yöneticisi 2017/04/16 15:45:10| İşleme: http_access to_localhost'u reddet 2017/04/16 15:45:10| İşleme: auth_param temel programı /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| İşleme: auth_param temel çocuklar 5 2017/04/16 15:45:10| İşleme: auth_param temel bölge desdelinux.fan 2017/04/16 15:45:10| İşleme: auth_param temel kimlik bilgileri 2 saat 2017/04/16 15:45:10| İşleme: auth_param temel büyük/küçük harfe duyarlı kapalı 2017/04/16 15:45:10| İşleme: acl Meraklıları proxy_auth GEREKLİ 2017/04/16 15:45:10| İşleme: http_access reddi !Meraklılar 2017/04/16 15:45:10| İşleme: acl ftp protokolü FTP 2017/04/16 15:45:10| İşleme: http_access ftp'ye izin veriyor 2017/04/16 15:45:10| İşleme: http_access localnet'e izin veriyor 2017/04/16 15:45:10| İşleme: http_access localhost'a izin veriyor 2017/04/16 15:45:10| İşleme: http_access tümünü reddet 2017/04/16 15:45:10| İşleme: http_port 3128 2017/04/16 15:45:10| İşleme: coredump_dir /var/spool/squid 2017/04/16 15:45:10| İşleniyor: yenileme_pattern ^ftp: 1440 %20 10080 2017/04/16 15:45:10| İşleme: yenileme_pattern ^gopher: 1440 %0 1440 2017/04/16 15:45:10| İşleme: yenileme_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| İşleniyor: yenileme_pattern . 0 %20 4320 2017/04/16 15:45:10| İşleniyor: önbellek_mem 64 MB 2017/04/16 15:45:10 | İşleme: Memory_replacement_policy lru 2017/04/16 15:45:10| İşleme: önbellek_replacement_policy yığını LFUDA 2017/04/16 15:45:10| İşleme: önbellek_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| İşleniyor: maksimum_object_size 4 MB 2017/04/16 15:45:10| İşleniyor: önbellek_swap_low 85 2017/04/16 15:45:10| İşleniyor: önbellek_swap_high 90 2017/04/16 15:45:10| İşleme: önbellek_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| İşleme: görünür_anasistem adı linuxbox.desdelinux.fan 2017/04/16 15:45:10| https proxy bağlamı başlatılıyor

İzinleri ayarlıyoruz / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Önbellek dizinini oluşturuyoruz

# Her ihtimale karşı ... [root @ linuxbox ~] # service squid stop
/ Bin / systemctl stop squid.service'e yeniden yönlendiriliyor

[root @ linuxbox ~] # kalamar -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Geçerli Dizini / var / spool / squid olarak ayarlayın 2017/04/16 15:48:28 kid1 | Eksik takas dizinleri oluşturma 2017/04/16 15:48:28 kid1 | / var / spool / squid var 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 00 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 01 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 02 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 03 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 04 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 05 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 06 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 07 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 08 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 09 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | / Var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0Ç 2017/04/16 15:48:29 kid1 | / Var / spool / squid / 0F dizinlerinde dizin oluşturma

Bu noktada, bana asla geri dönmeyen komut istemini geri döndürmek biraz zaman alırsa Enter tuşuna basın.

[root @ linuxbox ~] # hizmet kalamar başlangıcı
[root @ linuxbox ~] # hizmet kalamar yeniden başlatma
[root @ linuxbox ~] # hizmet kalamar durumu
/ Bin / systemctl status squid.service ● squid.service - Squid önbelleğe alma proxy'si Yüklendi: yüklendi (/usr/lib/systemd/system/squid.service; devre dışı; satıcı ön ayarı: devre dışı) Aktif: dom'dan beri aktif (çalışıyor) 2017-04-16 15:57:27 EDT; 1sn önce İşlem: 2844 ExecStop = / usr / sbin / squid -k kapatma -f $ SQUID_CONF (kod = çıkıldı, durum = 0 / BAŞARI) İşlem: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (kod = çıkıldı, durum = 0 / BAŞARILI) İşlem: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (kod = çıkıldı, durum = 0 / BAŞARILI) Ana PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf Nisan 16 15:57:27 linuxbox systemd [1]: Squid caching proxy'si başlatılıyor ... Nis 16 15:57:27 linuxbox systemd [1]: Squid önbelleğe alma proxy'si başlatıldı. 16 Nis 15:57:27 linuxbox squid [2876]: Squid Ebeveyn: 1 çocuk başlayacak Nis 16 15:57:27 linuxbox squid [2876]: Squid Ebeveyn: (squid-1) process 2878 ... ed Nis 16 15 : 57: 27 linuxbox squid [2876]: Squid Ebeveyn: (squid-1) proses 2878 ... 1 İpucu: Bazı satırlar elips şeklinde, tam olarak göstermek için -l kullanın

[root @ linuxbox ~] # cat / var / log / messages | grep kalamar

Güvenlik duvarı düzeltmeleri

Bölgede de açılmalıyız «dış"limanlar 80HTTP y 443 HTTPS böylece Squid İnternet ile iletişim kurabilir.

[root @ linuxbox ~] # firewall-cmd --zone = harici --add-port = 80 / tcp - kalıcı
başarı
[root @ linuxbox ~] # firewall-cmd --zone = harici --add-port = 443 / tcp - kalıcı
başarı
[root @ linuxbox ~] # firewall-cmd - yeniden yükle
başarı
[root @ linuxbox ~] # firewall-cmd --info-zone harici
harici (etkin) hedef: varsayılan icmp-blok ters çevirme: arabirim yok: ens34 kaynaklar: hizmetler: dns bağlantı noktaları: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protokoller: maskeli: evet ileri bağlantı noktaları: kaynak bağlantı noktaları: icmp blokları: parametre sorunu yeniden yönlendirme yönlendirici-reklam yönlendirici-talep kaynak-su verme zengin kuralları:

• Grafik uygulamasına gitmek boşta değil «Güvenlik duvarı ayarları»Ve 443 tcp, 80 tcp, 53 tcp ve 53 udp bağlantı noktalarının bölge için açık olduğunu kontrol edin«dış«Ve onun için herhangi bir hizmet YAYINLAMADIĞIMIZI.

Basic_pam_auth yardımcı programıyla ilgili not

Bu yardımcı programın kılavuzuna bakarsak adam basic_pam_auth Yazarın kendisinin, programın normal kullanıcıların araca erişmek için yeterli izne sahip olmadığı bir dizine taşınması konusunda güçlü bir tavsiyede bulunduğunu okuyacağız.

Öte yandan, bu yetkilendirme şeması ile kimlik bilgilerinin düz metin olarak dolaştığı ve düşman ortamlar için güvenli olmadığı, açık ağları okuduğu bilinmektedir.

jeff yestrumskas makaleyi adayın «Nasıl yapılır: SSL şifreleme, Squid Önbelleğe Alma Proxy'si ve PAM kimlik doğrulaması kullanarak güvenli bir web proxy'si kurun»Bu kimlik doğrulama şeması ile güvenliği artırma konusuna, böylece potansiyel olarak düşmanca açık ağlarda kullanılabilsin.

Httpd kuruyoruz

Squid'in ve tesadüfen Dnsmasq'ın işleyişini kontrol etmenin bir yolu olarak hizmeti kuracağız. httpd -Apache web sunucusu- yapılması gerekli değildir. Dnsmasq ile ilgili dosyada / etc / banner_add_hosts Yasaklanmasını istediğimiz siteleri beyan ederiz ve onlara açıkça sahip oldukları IP adresini atarız. Linux kutusu. Bu nedenle, bu sitelerden herhangi birine erişim talep edersek, httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl httpd'yi etkinleştir
/Etc/systemd/system/multi-user.target.wants/httpd.service'den /usr/lib/systemd/system/httpd.service'e symlink oluşturuldu.

[root @ linuxbox ~] # systemctl httpd'yi başlat

[root @ linuxbox ~] # systemctl durumu httpd
● httpd.service - Apache HTTP Sunucusu Yüklendi: yüklendi (/usr/lib/systemd/system/httpd.service; etkin; satıcı ön ayarı: devre dışı) Aktif: Paz 2017-04-16 16:41'den beri aktif (çalışıyor): 35 EDT; 5sn önce Docs: man: httpd (8) man: apachectl (8) Ana PID: 2275 (httpd) Durum: "İstekler işleniyor ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND Nisan 16 16:41:35 linuxbox systemd [1]: Apache HTTP Sunucusunun Başlatılması ... Apr 16 16:41:35 linuxbox systemd [1]: Apache HTTP Sunucusunu Başlattı.

SELinux ve Apache

Apache'nin SELinux bağlamında yapılandırılması gereken çeşitli ilkeleri vardır.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> kapalı httpd_builtin_scripting -> httpd_can_check_spam -> kapalı httpd_can_connect_ftp -> httpd_can_connect_ldap kapalı -> httpd_can_connect_mythtv kapalı -> httpd_can_connect off_zabbix -> off_connect_bix_canbwork_connect_ httpd_canbwork_connect httpd_can_network_memcache -> httpd_can_network_relay kapalı -> httpd_can_sendmail kapalı -> kapalı httpd_dbus_avahi -> kapalı httpd_dbus_sssd -> kapalı httpd_dontaudit_search_dirs -> kapalı httpd_graceful_shutdown -> httpd_manage_ipa'da -> kapalı httpd_mod_auth_ntlm_winbind -> kapalı httpd_mod_auth_pam -> httpd_read_user_content kapalı -> httpd_run_ipa kapalı -> httpd_run_preupgrade kapalı - httpd_ssi_exec -> httpd_sys_script_anon_write kapalı -> httpd_tmp_exec kapalı -> httpd_tty_comm kapalı - > httpd_unified -> kapalı httpd_use_cifs -> kapalı httpd_use_fusefs -> kapalı httpd_use_gpg -> kapalı httpd_use_nfs -> httpd_use_openstack kapalı -> httpd_use_sasl kapalı -> httpd_verify_dns kapalı -> kapalı

Yalnızca aşağıdakileri yapılandıracağız:

Apache aracılığıyla e-posta gönderin

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Apache'nin yerel kullanıcıların ana dizinlerinde bulunan içerikleri okumasına izin verin

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Tarafından yönetilen herhangi bir dizini FTP veya FTPS aracılığıyla yönetmeye izin verin
Apache veya Apache'nin FTP bağlantı noktası üzerinden istekleri dinleyen bir FTP sunucusu olarak işlev görmesine izin verin

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Daha fazla bilgi için lütfen okuyun Linux Sunucu Yapılandırması.

Doğrulamayı kontrol ediyoruz

Yalnızca bir iş istasyonunda bir tarayıcı açmak için kalır ve örneğin, http://windowsupdate.com. İsteğin linuxbox'taki Apache ana sayfasına doğru şekilde yönlendirilip yönlendirilmediğini kontrol edeceğiz. Aslında, dosyada belirtilen herhangi bir site adı / etc / banner_add_hosts aynı sayfaya yönlendirileceksiniz.

Makalenin sonundaki resimler bunu kanıtlıyor.

Kullanıcı Yönetimi

Bunu grafik aracını kullanarak yapıyoruz «Kullanıcı Yönetimi»Sistem -> Yönetim -> Kullanıcı yönetimi menüsünden erişiyoruz. Her yeni kullanıcı eklediğimizde, klasörü oluşturulur / ev kullanıcısı otomatik olarak.

Yedekler

Linux istemcileri

Yalnızca normal dosya tarayıcısına ihtiyacınız var ve bağlanmak istediğinizi belirtin, örneğin: ssh: // buzz @ linuxbox / home / buzz ve şifre girildikten sonra dizin görüntülenecektir Anasayfa kullanıcının vızıltı.

Windows İstemcileri

Windows istemcilerinde aracı kullanıyoruz WinSCP. Kurulduktan sonra aşağıdaki şekilde kullanıyoruz:

Basit, değil mi?

Resumen

Küçük bir ağda ve elinden tamamen izole kontrollü bir ortamda servislerin kimliğini doğrulamak için PAM'ı kullanmanın mümkün olduğunu gördük. hackerlar. Esas olarak, kimlik doğrulama bilgilerinin düz metin olarak seyahat etmesi ve bu nedenle havaalanları, Wi-Fi ağları vb. Gibi açık ağlarda kullanılacak bir kimlik doğrulama şeması olmaması nedeniyledir. Ancak basit bir yetkilendirme mekanizmasıdır, uygulaması ve yapılandırması kolaydır.

Başvurulan kaynaklar

• Linux Sunucu Yapılandırması
• Komut kılavuzları - adam sayfaları

PDF versiyonu

PDF sürümünü indirin burada.

Bir sonraki makaleye kadar!