Аутентифікація Squid + PAM у мережах CentOS 7- SMB

Загальний покажчик серії: Комп’ютерні мережі для МСП: Вступ

Автор: Федеріко Антоніо Вальдес Туяге
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Привіт друзі та друзі!

Заголовок статті повинен був бути: «MATE + NTP + Dnsmasq + служба шлюзу + Apache + Squid з аутентифікацією PAM у Centos 7 - Мережі МСП«. З практичних міркувань ми його скорочуємо.

Ми продовжуємо автентифікацію для локальних користувачів на комп’ютері Linux за допомогою PAM, і цього разу ми побачимо, як ми можемо надати службі Proxy Squid для невеликої мережі комп’ютерів, використовуючи дані автентифікації, що зберігаються на тому ж комп’ютері, де сервер працює Кальмар.

Хоча ми знаємо, що сьогодні дуже поширена практика аутентифікації служб за допомогою OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory тощо, ми вважаємо, що спочатку ми повинні пройти через прості та дешеві рішення, а потім зіткнутися з найскладнішими. Ми вважаємо, що ми повинні переходити від простого до складного.

Етап

Це невелика організація - з дуже невеликою кількістю фінансових ресурсів - присвячена підтримці використання вільного програмного забезпечення, і вона обрала назву DesdeLinux.Вентилятор. Вони різні ентузіасти ОС CentOS згруповані в одному кабінеті. Вони придбали робочу станцію, а не професійний сервер, яку вони виділять для функціонування як "сервер".

Ентузіасти не мають широких знань про те, як реалізувати сервер OpenLDAP або Samba 4 AD-DC, а також не можуть дозволити собі ліцензування Microsoft Active Directory. Однак для своєї щоденної роботи їм потрібні послуги доступу до Інтернету через проксі-сервер - щоб пришвидшити перегляд - і місце для збереження своїх найцінніших документів та роботи у якості резервних копій.

Вони все ще в основному використовують законно придбані операційні системи Microsoft, але хочуть змінити їх на операційні системи на базі Linux, починаючи з їх "Серверу".

Вони також прагнуть мати власний поштовий сервер, щоб стати незалежним - принаймні від самого походження - таких послуг, як Gmail, Yahoo, HotMail тощо, якими вони користуються в даний час.

Правила міжмережевого екрану та маршрутизації проти Інтернету встановлюють це на підписаному маршрутизатором ADSL.

Вони не мають справжнього доменного імені, оскільки не вимагають публікації будь-якої послуги в Інтернеті.

CentOS 7 як сервер без графічного інтерфейсу

Ми починаємо з нової установки сервера без графічного інтерфейсу, і єдиним варіантом, який ми обираємо під час процесу, є «Сервер інфраструктури»Як ми бачили в попередніх статтях серії.

Початкові налаштування

[root @ linuxbox ~] # cat / etc / hostname 
коробка linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # ім'я хосту
коробка linux

[root @ linuxbox ~] # ім'я хоста -f
linuxbox.desdelinux.fan

[root @ linuxbox ~] # ip addr list
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 ось

Ми вимикаємо Менеджер мережі

[root @ linuxbox ~] # systemctl зупинити NetworkManager

[root @ linuxbox ~] # systemctl вимкнути NetworkManager

[root @ linuxbox ~] # systemctl статус NetworkManager
● NetworkManager.

[root @ linuxbox ~] # ifconfig -a

Ми налаштовуємо мережеві інтерфейси

Інтерфейс LAN Ens32, підключений до внутрішньої мережі

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ЗОНА = публічна

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Інтерфейс WAN Ens34, підключений до Інтернету

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=так BOOTPROTO=статичний HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ні IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Маршрутизатор ADSL підключено до # цього інтерфейсу з # такою адресою IP ШЛЮЗ=172.16.10.1 ДОМЕН=desdelinux.fan DNS1=127.0.0.1
ЗОНА = зовнішня

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Конфігурація сховищ

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # оригінальний mkdir
[root @ linuxbox ~] # mv Centos- * оригінал /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum очистити все
Завантажені плагіни: fastestmirror, langpacks Очищення сховищ: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Очищення всього Очищення списку найшвидших дзеркал
[root @ linuxbox yum.repos.d] # оновлення yum
Завантажені плагіни: швидке дзеркало, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Епель-Репо | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Оновлення-Repo | 3.4 кБ 00:00 (1/9): Base-Repo / group_gz | 155 кБ 00:00 (2/9): Epel-Repo / group_gz | 170 кБ 00:00 (3/9): Media-Repo / group_gz | 155 кБ 00:00 (4/9): Epel-Repo / updateinfo | 734 КБ 00:00 (5/9): Media-Repo / primary_db | 5.3 МБ 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 МБ 00:00 (7/9): Updates-Repo / primary_db | 2.2 МБ 00:00 (8/9): Epel-Repo / primary_db | 4.5 МБ 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Визначення найшвидших дзеркал Немає пакунків, позначених для оновлення

Повідомлення "Немає пакунків, позначених для оновлення»Показано, оскільки під час інсталяції ми оголосили ті самі локальні сховища, якими ми маємо у своєму розпорядженні.

Centos 7 з робочим середовищем MATE

Для того, щоб використовувати дуже хороші інструменти адміністрування з графічним інтерфейсом, який нам надає CentOS / Red Hat, і оскільки ми завжди сумуємо за GNOME2, ми вирішили встановити MATE як робоче середовище.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Щоб переконатися, що MATE завантажується належним чином, ми виконуємо таку команду в консолі -local або remote-:

[root @ linuxbox ~] # systemctl ізолювати graphical.target

і робоче середовище слід завантажити -у місцевій команді- плавно, показуючи світлодіод як графічний логін. Вводимо ім’я локального користувача та його пароль, і ми вводимо MATE.

Сказати systemd що рівень завантаження за замовчуванням - 5-графічне середовище - ми створюємо таке символічне посилання:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Ми перезавантажуємо систему, і все працює нормально.

Ми встановлюємо службу часу для мереж

[root @ linuxbox ~] # yum встановити ntp

Під час інсталяції ми налаштовуємо, що локальний годинник буде синхронізований із сервером часу комп’ютера системний адміністратор.desdelinux.fan з IP 192.168.10.1. Отже, ми зберігаємо файл ntp.conf оригінал:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Тепер ми створюємо новий із таким вмістом:

[root @ linuxbox ~] # nano /etc/ntp.conf # Сервери, налаштовані під час інсталяції: сервер 192.168.10.1 iburst # Для отримання додаткової інформації див. сторінки керівництва: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Дозволити синхронізацію з джерелом часу, але не # дозволити джерелу проконсультуватися або змінити цю службу обмежити за замовчуванням nomodify notrap nopeer noquery # Дозволити весь доступ до інтерфейсу Loopback обмежити 127.0.0.1 обмежити :: 1 # Обмежте трохи менше на комп'ютери в локальній мережі. обмежити 192.168.10.0 маска 255.255.255.0 nomodify notrap # Використовуйте загальнодоступні сервери проекту pool.ntp.org # Якщо ви хочете приєднатися до проекту, відвідайте № (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # сервер трансляції Broadclient # клієнт трансляції # Broadcast 224.0.1.1 autokey # багатоадресний сервер #multicastclient 224.0.1.1 # багатоадресний клієнт # manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client client.192.168.10.255 many4 client. 8 # Увімкнути загальнодоступну криптографію. #crypto includefile / etc / ntp / crypto / pw # Файл ключа, що містить ключі та ідентифікатори ключів #, що використовується при роботі з симетричними ключами криптографії / etc / ntp / keys # Вкажіть ідентифікатори надійних ключів. #trustedkey 42 8 8 # Вкажіть ідентифікатор ключа, який використовуватиметься з утилітою ntpdc. #requestkey 2013 # Вкажіть ідентифікатор ключа, який використовуватиметься з утилітою ntpq. #controlkey 5211 # Увімкнути запис реєстрів статистики. #statistics clockstats cryptostats loopstats peerstats # Вимкніть монітор сецесії, щоб запобігти посиленню # атак, використовуючи команду ntpdc monlist, коли обмеження за замовчуванням # не включає прапор noquery. Докладніше читайте у CVE-XNUMX-XNUMX #. # Примітка: Монітор не вимкнено з позначкою обмеженого обмеження. вимкнути монітор - -

Ми вмикаємо, запускаємо та перевіряємо послугу NTP

[root @ linuxbox ~] # systemctl статус ntpd
● ntpd.service - Завантажена служба мережевого часу: завантажена (/usr/lib/systemd/system/ntpd.service; відключена; попередньо встановлене значення постачальника: вимкнено)

[root @ linuxbox ~] # systemctl увімкнути ntpd
Створено символічне посилання з /etc/systemd/system/multi-user.target.wants/ntpd.service на /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl запустити ntpd
[root @ linuxbox ~] # systemctl статус ntpd

[root @ linuxbox ~] # systemctl статус ntpdntpd.service - Служба мережевого часу
   Завантажено: завантажено (/usr/lib/systemd/system/ntpd.service; увімкнено; постачальник попередньо встановлений: вимкнено) Активний: активний (працює) з пт 2017-04-14 15:51:08 EDT; Назад 1 / usr / sbin / ntpd -u ntp: ntp -g

Ntp та брандмауер

[root @ linuxbox ~] # firewall-cmd --get-active-zone
зовнішній
  інтерфейси: ens34
громадськість
  інтерфейси: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --reload
успіх

Ми вмикаємо та налаштовуємо Dnsmasq

Як ми бачили в попередній статті в серії Small Business Networks, Dnsamasq встановлюється за замовчуванням на сервер інфраструктури CentOS 7.

[root @ linuxbox ~] # systemctl статус dnsmasq
● dnsmasq.service - сервер кешування DNS. Завантажено: завантажено (/usr/lib/systemd/system/dnsmasq.service; відключено; попередньо встановлено постачальника: вимкнено) Активне: неактивне (мертве)

[root @ linuxbox ~] # systemctl увімкніть dnsmasq
Створено символічне посилання з /etc/systemd/system/multi-user.target.wants/dnsmasq.service на /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # systemctl статус dnsmasq
● dnsmasq.service - сервер кешування DNS. Завантажено: завантажено (/usr/lib/systemd/system/dnsmasq.service; увімкнено; постачальник попередньо встановлений: вимкнено) Активний: активний (працює) з пт 2017-04-14 16:21:18 EDT; 4 секунди тому Основний PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ЗАГАЛЬНІ ПАРАМЕТРИ # ----------------------------- ------------------------------------- необхідний домен # Не передавайте імена без домену part bogus-priv # Не передавати адреси в немаршрутизованому просторі expand-hosts # Автоматично додає домен до інтерфейсу хоста=ens32 # Інтерфейс LAN strict-order # Порядок, у якому запитується файл /etc/resolv.conf conf- dir=/etc /dnsmasq.d domain=desdelinux.fan # Адреса доменного імені=/time.windows.com/192.168.10.5 # Надсилає порожню опцію значення WPAD. Необхідно для належної роботи # клієнтів Windows 7 і пізніших версій. ;-) dhcp-option=252,"\n" # Файл, де ми будемо оголошувати HOSTS, які будуть "забанені" addn-hosts=/etc/banner_add_hosts local=/desdelinux.fan/ # ---------------------------------------------- --------------------- # RECORDSCNAMEMXTXT # -------------------------- ----------------------------------------------- # Для цього типу запису потрібен запис # у файлі /etc/hosts # наприклад: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan, linuxbox.desdelinux.fan # MX RECORDS # Повертає запис MX із назвою "desdelinux.fan" призначено # команді пошти.desdelinux.fan і пріоритет 10 mx-host=desdelinux.fan,mail.desdelinux.fan,10 # Типовим призначенням для записів MX, створених # за допомогою параметра localmx, буде: mx-target=mail.desdelinux.fan # Повертає запис MX, що вказує на mx-target для ВСІХ # локальних машин localmx # записів TXT. Ми також можемо оголосити запис SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.fan,"DesdeLinux, ваш блог, присвячений вільному програмному забезпеченню" # ------------------------------------------------ -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- -------------------------------------------- # IPv4 діапазон і час оренди # від 1 до 29 для серверів та інших потреб dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Максимальна кількість адрес для оренди # за замовчуванням це 150 # Діапазон IPV6 # dhcp-range=1234::, ra-only # Параметри для RANGE # OPTIONS dhcp-option=1,255.255.255.0 # МАСКА МЕРЕЖІ dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # DNS-сервери dhcp-option =15,desdelinux.fan # Ім’я домену DNS dhcp-option=19,1 # параметр ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Authoritative on subnet # --- --- ---------------------------------------------- --- ----------- # Якщо ви хочете зберегти журнал запитів у /var/log/messages # розкоментуйте рядок нижче # ---------- ------- -------------------------------------------- -------
# журнал-запитів
# END файлу /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Ми створюємо файл / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Виправлені IP-адреси

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 системний адміністратор.desdelinux.fan системний адміністратор

Налаштовуємо файл /etc/resolv.conf - распознаватель

[root @ linuxbox ~] # nano /etc/resolv.conf
пошук desdelinux.fan nameserver 127.0.0.1 # Для зовнішніх або # позадоменних запитів DNS desdelinux.fan # локальний=/desdelinux.fan/ сервер імен 8.8.8.8

Ми перевіряємо синтаксис файлу dnsmasq.conf, запускаємо та перевіряємо статус послуги

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: перевірка синтаксису OK.
[root @ linuxbox ~] # systemctl перезапустіть dnsmasq
[root @ linuxbox ~] # systemctl статус dnsmasq

Dnsmasq і брандмауер

[root @ linuxbox ~] # firewall-cmd --get-active-zone
зовнішній
  інтерфейси: ens34
громадськість
  інтерфейси: ens32

Обслуговування домен o Сервер доменних імен (dns). Протокол красти «IP із шифруванням«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
успіх

Dnsmasq запитує зовнішні DNS-сервери

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
успіх

Обслуговування завантаження o Сервер BOOTP (dhcp). Протокол ippc «Інтернет Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
успіх

[root @ linuxbox ~] # firewall-cmd --reload
успіх

[root @ linuxbox ~] # firewall-cmd - public-public public public (активний)
  target: типова інверсія icmp-block: немає інтерфейсів: ens32 джерела: послуги: dhcp dns ntp ssh-порти: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp протоколи: masquerade: no forward-ports: sourceports: icmp -блоки: багаті правила:

[root @ linuxbox ~] # firewall-cmd - зовнішня зовнішня інформація (активна)
  target: типова інверсія icmp-block: немає інтерфейсів: ens34 джерела: послуги: порти dns: 53 / udp 53 / tcp протоколи: masquerade: yes forward-ports: sourceports: icmp-blocks: параметр-проблема перенаправлення маршрутизатора-реклами маршрутизатора- джерело запиту, яке гасить багаті правила:

Якщо ми хочемо використовувати графічний інтерфейс для налаштування брандмауера в CentOS 7, заглянемо в загальне меню - це буде залежати від середовища робочого столу, в якому підменю воно з’явиться - програми «Брандмауер», ми запускаємо його і після введення пароля користувача корінь, ми отримаємо доступ до інтерфейсу програми як такого. У MATE це з'являється в меню «Система »->« Адміністрування »->« Брандмауер ».

Вибираємо Площу «громадськість»І ми дозволяємо Служби, які ми хочемо публікувати в локальній мережі, які є досі dhcp, dns, ntp і ssh. Після вибору послуг, переконавшись, що все працює правильно, ми повинні внести зміни в Runtime до Permanent. Для цього ми заходимо в меню Параметри і вибираємо параметр «Час роботи до постійного".

Пізніше ми виберемо Площу «зовнішній»І ми перевіряємо, чи відкриті порти, необхідні для зв’язку з Інтернетом. НЕ публікуйте Служби в цій Зоні, якщо ми добре не знаємо, що робимо!.

Не забуваймо внести зміни Постійні через опцію «Час роботи до постійного»І перезавантажте демона FirewallD, кожного разу, коли ми використовуємо цей потужний графічний інструмент.

NTP та Dnsmasq із клієнта Windows 7

Синхронізація з NTP

зовнішній

Орендована IP-адреса

Microsoft Windows [Версія 6.1.7601] Авторське право (c) 2009 Microsoft Corporation. Всі права захищені. C: \ Users \ buzz> ipconfig / всі імена хостів конфігурації IP-адрес Windows. . . . . . . . . . . . : СІМ
   Первинний суфікс Dns. . . . . . . :
   NodeType. . . . . . . . . . . . : гібридна IP-маршрутизація ввімкнена. . . . . . . . : проксі WINS не ввімкнено. . . . . . . . : Немає списку пошуку суфіксів DNS. . . . . . : desdelinuxАдаптер Ethernet .fan Підключення по локальній мережі: суфікс DNS, що залежить від підключення. : desdelinux.fan Опис . . . . . . . . . . . : фізична адреса мережевого підключення Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP увімкнено. . . . . . . . . . . : Так Автоналаштування ввімкнено. . . . : Вилки
   Адреса IPv4. . . . . . . . . . . : 192.168.10.115 (бажано)
   Маска підмережі . . . . . . . . . . . : 255.255.255.0 Отримано оренду. . . . . . . . . . : П’ятниця, 14 квітня 2017 р. 5:12:53 Термін оренди закінчується . . . . . . . . . . : Субота, 15 квітня 2017 р. 1:12:53 Шлюз за замовчуванням . . . . . . . . . : 192.168.10.1 DHCPServer. . . . . . . . . . . : 192.168.10.5 DNS-сервери. . . . . . . . . . . : 192.168.10.5 NetBIOS через Tcpip. . . . . . . . : Увімкнено тунельний адаптер Підключення по локальній мережі* 9: Стан носія . . . . . . . . . . . : Медіа відключено Суфікс DNS, що залежить від з’єднання. : Опис . . . . . . . . . . . : фізична адреса тунельного адаптера Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP увімкнено. . . . . . . . . . . : автоконфігурація не ввімкнена. . . . : Так Тунельний адаптер isatap.desdelinux.fan: стан медіа. . . . . . . . . . . : Медіа відключено Суфікс DNS, що залежить від з’єднання. : desdelinux.fan Опис . . . . . . . . . . . : фізична адреса адаптера Microsoft ISATAP #2. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP увімкнено. . . . . . . . . . . : автоконфігурація не ввімкнена. . . . : Так C:\Users\buzz>

Чайові

Важливим значенням для клієнтів Windows є "Основний суфікс Dns" або "Суфікс основного з'єднання". Коли контролер домену Microsoft не використовується, операційна система не призначає йому жодного значення. Якщо ми стикаємося з таким випадком, як описаний на початку статті, і ми хочемо чітко заявити про це значення, ми повинні діяти відповідно до того, що показано на наступному зображенні, прийняти зміни та перезапустити клієнта.

Якщо ми знову побіжимо CMD -> ipconfig / все ми отримаємо наступне:

Microsoft Windows [Версія 6.1.7601] Авторське право (c) 2009 Microsoft Corporation. Всі права захищені. C: \ Users \ buzz> ipconfig / всі імена хостів конфігурації IP-адрес Windows. . . . . . . . . . . . : СІМ
   Первинний суфікс Dns. . . . . . . : desdelinux.fan
   NodeType. . . . . . . . . . . . : гібридна IP-маршрутизація ввімкнена. . . . . . . . : проксі WINS не ввімкнено. . . . . . . . : Немає списку пошуку суфіксів DNS. . . . . . : desdelinux.fan

Решта значень залишаються незмінними

Перевірка DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com має адресу 127.0.0.1 Хост spynet.microsoft.com не знайдено: 5 (ВІДМОВИНО) Пошта spynet.microsoft.com обробляється 1 поштою.desdelinux.fan.

buzz @ sysadmin: ~ $ хост linuxbox
linuxbox.desdelinux.fan має адресу 192.168.10.5 linuxbox.desdelinuxПошта .fan обробляється 1 поштою.desdelinux.fan.

buzz @ sysadmin: ~ $ хост sysadmin
системний адміністратор.desdelinux.fan має адресу системного адміністратора 192.168.10.1.desdelinuxПошта .fan обробляється 1 поштою.desdelinux.fan.

buzz @ sysadmin: ~ $ пошта хоста
пошта.desdelinux.fan — це псевдонім для linuxbox.desdelinux.fan. linuxbox.desdelinux.fan має адресу 192.168.10.5 linuxbox.desdelinuxПошта .fan обробляється 1 поштою.desdelinux.fan.

Встановлюємо -лише для тестування- Повноважний DNS-сервер DNS у системний адміністратор.desdelinux.fan, і ми включаємо IP-адресу 172.16.10.1 в архіві / Etc / resolv.conf команди linuxbox.desdelinux.fan, щоб переконатися, що Dnsmasq правильно виконував свою функцію пересилання. Пісочниці на сервері NSD є favt.org y toujague.org. Усі IP-адреси є вигаданими або з приватних мереж.

Якщо ми вимкнемо інтерфейс WAN ens34 за допомогою команди ifdown ens34, Dnsmasq не зможе запитувати зовнішні сервери DNS.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Хост toujague.org не знайдено: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Хоста pizzapie.favt.org не знайдено: 3 (NXDOMAIN)

Давайте увімкнемо інтерфейс ens34 і перевіримо ще раз:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org - це псевдонім для paisano.favt.org. paisano.favt.org має адресу 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Хоста pizzas.toujague.org не знайдено: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org має адресу 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org сервер імен ns1.favt.org. favt.org сервер імен ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
сервер імен toujague.org ns1.toujague.org. сервер імен toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Пошта toujague.org обробляється 10 mail.toujague.org.

Давайте проконсультуємось із системний адміністратор.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
пошук desdelinux.fan сервер імен 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org має адресу 169.18.10.19

Dnsmasq працює як Експедитор правильно.

Кальмар

У книзі у форматі PDF «Конфігурація сервера Linux»Автор від 25 липня 2016 року Джоель Барріос Дуєньяс (darkshram@gmail.com - http://www.alcancelibre.org/), текст, на який я посилався в попередніх статтях, є цілий розділ, присвячений Основні параметри конфігурації Squid.

Зважаючи на важливість послуги Web - Proxy, ми відтворюємо Вступ про кальмарів у вищезазначеній книзі:

105.1. Вступ.

105.1.1. Що таке сервер-посередник (проксі)?

Термін англійською мовою "Проксі" має дуже загальне і водночас неоднозначне значення, хоча
незмінно вважається синонімом поняття "Посередник". Зазвичай це перекладається, у строгому розумінні, як делегат o уповноважений (той, хто має владу над іншим).

Un Сервер-посередник Він визначається як комп'ютер або пристрій, що пропонує мережеву послугу, яка полягає у наданні клієнтам можливості здійснювати непрямі мережеві з'єднання з іншими мережевими службами. Під час процесу відбувається наступне:

  • Клієнт підключається до Проксі-сервер.
  • Клієнт вимагає з'єднання, файлу чи іншого ресурсу, доступного на іншому сервері.
  • Сервер-посередник надає ресурс або шляхом підключення до вказаного сервера
    або подача його з кешу.
  • У деяких випадках Сервер-посередник може змінити запит клієнта або
    відповідь сервера для різних цілей.

L Проксі-сервери вони, як правило, працюють одночасно як протипожежна стіна, що працює в Рівень мережі, що діє як пакетний фільтр, як у випадку з Iptables або працює в Рівень застосування, управління різними службами, як це відбувається у TCP обгортка. Залежно від контексту, пожежна стіна також відома як БПД o Bпорядок Pукорінення Device або просто пакетний фільтр.

Поширене застосування Проксі-сервери має функціонувати як кеш мережевого вмісту (переважно HTTP), забезпечуючи в безпосередній близькості від клієнтів кеш сторінок і файлів, доступних через Мережу на віддалених HTTP-серверах, дозволяючи клієнтам локальної мережі швидше та швидше отримувати до них доступ надійний.

Коли надходить запит на вказаний мережевий ресурс у URL (Uніформний Rджерело Lокатор) Сервер-посередник шукати результат URL всередині кешу. Якщо його буде знайдено, Сервер-посередник Відповідає замовнику, негайно надаючи запитуваний вміст. Якщо запитаний вміст відсутній у кеші, файл Сервер-посередник він отримає його з віддаленого сервера, доставляючи клієнту, який його запитував, і зберігаючи копію в кеші. Потім вміст кешу видаляється за допомогою алгоритму закінчення терміну дії відповідно до віку, розміру та історії відповіді на запити (хіти) (приклади: LRU, ЛФУДА y GDSF).

Проксі-сервери для мережевого контенту (веб-проксі) також можуть виступати як фільтри поданого контенту, застосовуючи політику цензури відповідно до довільних критеріїв..

Версія Squid, яку ми встановимо, є 3.5.20-2.el7_3.2 зі сховища поновлення.

Установка

[root @ linuxbox ~] # yum встановити кальмар

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  squid.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl увімкнути кальмар

Важливий

  • Основна мета цієї статті - дозволити місцевим користувачам підключатися до Squid з інших комп'ютерів, підключених до локальної мережі. Крім того, реалізуйте ядро ​​сервера, до якого будуть додані інші служби. Це не стаття, присвячена Кальмару як такому.
  • Щоб отримати уявлення про параметри конфігурації Squid, прочитайте /usr/share/doc/squid-3.5.20/squid.conf.documented файл, який має 7915 рядків.

SELinux та Squid

[root @ linuxbox ~] # getsebool -a | греп кальмар
squid_connect_any -> on squid_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P squid_connect_any = увімкнено

конфігурація

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports порт 443 21
acl Safe_ports порт 80 # http acl Safe_ports порт 21 # ftp acl Safe_ports порт 443 # https acl Safe_ports порт 70 # gopher acl Safe_ports порт 210 # wais acl Safe_ports порт 1025-65535 # незареєстровані порти acl Safe_ports порт 280 # http-mgmt acl Safe_ports порт 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Ми відмовляємо запитам щодо незахищених портів http_access deny! Safe_ports # Ми забороняємо метод CONNECT для незахищених портів http_access deny CONNECT! SSL_ports # Доступ до SSL_ports # Доступ до Менеджер кеш-пам’яті лише з localhost http_access дозволити localhost manager http_access deny manager # Ми настійно рекомендуємо надати такі коментарі, щоб захистити невинних # веб-додатків, що працюють на проксі-сервері, які вважають, що єдиний #, хто може отримати доступ до служб на "localhost", є локальним користувач http_access відмовляє to_localhost # # ВСТАВИТИ ВЛАСНІ ПРАВИЛА ТУТ ДОЗВОЛИТИ ДОСТУП ВАШИХ КЛІЄНТІВ # # авторизація PAM
auth_param основна програма / usr / lib64 / squid / basic_pam_auth
auth_param базові діти 5 auth_param базова область desdelinux.fan auth_param basic credentialsttl 2 години auth_param basic casesensitive off # Для доступу Squid потрібна автентифікація acl Enthusiasts proxy_auth REQUIRED # Ми дозволяємо доступ автентифікованим користувачам # через PAM http_access deny !Enthusiasts # Доступ до сайтів FTP acl ftp proto FTP http_access allow ftp http_access дозволити localnet http_access allow localhost # Ми забороняємо будь-який інший доступ до http_access proxy deny all # Squid зазвичай слухає порт 3128 http_port 3128 # Ми залишаємо «coredumps» у першому каталозі кешу coredump_dir /var/spool/squid # # Додайте будь-який власний refresh_pattern записи над цими. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_mem 64 MB # Memory Cache memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_m gr buzz@desdelinux.fan # Інші параметри visible_hostname linuxbox.desdelinux.fan

Ми перевіряємо синтаксис файлу /etc/squid/squid.conf

[root @ linuxbox ~] # розбір squid -k
2017/04/16 15:45:10| Запуск: ініціалізація схем автентифікації... 2017/04/16 15:45:10| Запуск: ініціалізована схема автентифікації «базова» 2017/04/16 15:45:10| Запуск: «дайджест» ініціалізованої схеми автентифікації 2017/04/16 15:45:10| Запуск: ініціалізована схема автентифікації «узгодження» 2017/04/16 15:45:10| Запуск: ініціалізована схема автентифікації 'ntlm' 2017/04/16 15:45:10| Запуск: ініціалізована автентифікація. 2017/04/16 15:45:10| Обробка файлу конфігурації: /etc/squid/squid.conf (depth 0) 2017/04/16 15:45:10| Обробка: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Обробка: acl SSL_ports порт 443 21 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 80 # http 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 21 # ftp 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 443 # https 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 70 # gopher 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 210 # wais 2017/04/16 15:45:10| Обробка: acl Safe_ports port 1025-65535 # незареєстровані порти 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 280 # http-mgmt 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 488 # gss-http 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 591 # filemaker 2017/04/16 15:45:10| Обробка: acl Safe_ports порт 777 # multiling http 2017/04/16 15:45:10| Обробка: метод acl CONNECT CONNECT 2017/04/16 15:45:10| Обробка: http_access deny !Safe_ports 2017/04/16 15:45:10| Обробка: http_access deny CONNECT !SSL_ports 2017/04/16 15:45:10| Обробка: http_access дозволити локальний менеджер 2017/04/16 15:45:10| Обробка: http_access deny manager 2017/04/16 15:45:10| Обробка: http_access deny to_localhost 2017/04/16 15:45:10| Обробка: auth_param базова програма /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Обробка: auth_param базові діти 5 2017/04/16 15:45:10| Обробка: базова область auth_param desdelinux.fan 2017/04/16 15:45:10| Обробка: auth_param basic credentialsttl 2 години 2017/04/16 15:45:10| Обробка: auth_param базовий регістр вимкнено 2017/04/16 15:45:10| Обробка: acl Enthusiasts proxy_auth ПОТРІБНО 2017/04/16 15:45:10| Обробка: http_access deny !Ентузіасти 2017/04/16 15:45:10| Обробка: acl ftp proto FTP 2017/04/16 15:45:10| Обробка: http_access enable ftp 2017/04/16 15:45:10| Обробка: http_access дозволити локальну мережу 2017/04/16 15:45:10| Обробка: http_access enable localhost 2017/04/16 15:45:10| Обробка: http_access deny all 2017/04/16 15:45:10| Обробка: http_port 3128 2017/04/16 15:45:10| Обробка: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Обробка: refresh_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Обробка: refresh_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Обробка: refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Обробка: refresh_pattern . 0 20% 4320 2017/04/16 15:45:10| Обробка: cache_mem 64 MB 2017/04/16 15:45:10| Обробка: memory_replacement_policy lru 2017/04/16 15:45:10| Обробка: купа cache_replacement_policy LFUDA 2017/04/16 15:45:10| Обробка: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Обробка: максимальний_розмір_об'єкта 4 MB 2017/04/16 15:45:10| Обробка: cache_swap_low 85 2017/04/16 15:45:10| Обробка: cache_swap_high 90 2017/04/16 15:45:10| Обробка: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Обробка: visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Ініціалізація контексту https-проксі

Ми коригуємо дозволи в / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Створюємо каталог кешу

# Про всяк випадок ... [root @ linuxbox ~] # зупинка кальмара служби
Перенаправлення на / bin / systemctl stop squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017 04:16:15 kid48 | Встановіть для поточного каталогу / var / spool / squid 28/1/2017 04:16:15 kid48 | Створення відсутніх каталогів свопів 28/1/2017 04:16:15 kid48 | / var / spool / squid існує 28/1/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/00/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/01/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/02/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/03/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/04/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/05/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/06/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/07/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/08/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28 1/09/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28A 1/0/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28B 1/0/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 28C 1/0/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 29D 1/0/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 29E 1/0/2017 04:16:15 kid48 | Створення каталогів у / var / spool / squid / 29F

На цьому етапі, якщо повернення командного рядка, який мені ніколи не повертався, займе деякий час, натисніть клавішу Enter.

[root @ linuxbox ~] # сервісний запуск кальмара
[root @ linuxbox ~] # перезапуск сервісного кальмара
[root @ linuxbox ~] # статус кальмара служби
Переспрямування на / bin / systemctl статус squid.service ● squid.service - проксі-сервер кешування Squid Завантажено: завантажено (/usr/lib/systemd/system/squid.service; відключено; попередньо встановлено постачальника: відключено) 2017-04-16 15:57:27 EDT; 1 с тому Процес: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Процес: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (код = вийшов, статус = 0 / УСПІХ) Процес: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (код = вийшов, статус = 0 / УСПІХ) Основний PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf 16 квітня 15:57:27 linuxbox systemd [1]: Запуск проксі-сервера кешування Squid ... 16 квітня 15:57:27 linuxbox systemd [1]: Початковий проксі-сервер кешування Squid. 16 квітня 15:57:27 lquidbox squid [2876]: Squid Parent: почне 1 дітка 16 квітня 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) process 2878 ... ed 16 квітня 15 : 57: 27 lquidbox squid [2876]: Squid Parent: (squid-1) process 2878 ... 1 Підказка: Деякі рядки були еліпсованими, використовуйте -l, щоб показати повністю

[root @ linuxbox ~] # cat / var / log / messages | греп кальмар

Виправлення брандмауера

Ми також повинні відкритись в Зоні «зовнішній"порти 80HTTP y 443 HTTPS щоб кальмар міг спілкуватися з Інтернетом.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
успіх
[root @ linuxbox ~] # firewall-cmd --reload
успіх
[root @ linuxbox ~] # firewall-cmd - інформація про зону зовнішня
зовнішня (активна) ціль: інверсія icmp-block за замовчуванням: немає інтерфейсів: ens34 джерела: послуги: порти dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  протоколи: masquerade: так forward-ports: sourceports: icmp-blocks: параметр-проблема перенаправлення маршрутизатор-реклама маршрутизатор-звернення джерело-гасіння багаті правила:
  • Перейти до графічного додатку не простою «Налаштування брандмауера»І перевірте, чи для зони відкриті порти 443 tcp, 80 tcp, 53 tcp і 53 udp«зовнішній«, І що ми НЕ публікували для неї жодного сервісу.

Примітка щодо допоміжної програми basic_pam_auth

Якщо ми звернемося до керівництва цієї утиліти через людина basic_pam_auth Ми прочитаємо, що автор сам настійно рекомендує перенести програму в каталог, де звичайні користувачі не мають достатніх дозволів на доступ до інструменту.

З іншого боку, відомо, що за цією схемою авторизації облікові дані подаються у відкритому тексті, і це не безпечно для ворожих середовищ, читати відкриті мережі.

Джефф Єструмскас присвятити статтю «Інструкції: Налаштування безпечного веб-проксі за допомогою шифрування SSL, проксі-сервера кешування Squid та автентифікації PAM»До питання підвищення безпеки за допомогою цієї схеми автентифікації, щоб її можна було використовувати у потенційно ворожих відкритих мережах.

Встановлюємо httpd

Як спосіб перевірити роботу Squid - і, до речі, Dnsmasq - ми встановимо послугу HTTPD -Веб-сервер Apache- чого робити не потрібно. У файлі щодо Dnsmasq / etc / banner_add_hosts Ми оголошуємо сайти, які ми хочемо заборонити, і явно присвоюємо їм ту саму IP-адресу, яку вони мають коробка linux. Таким чином, якщо ми запитуємо доступ до будь-якого з цих веб-сайтів, домашня сторінка HTTPD.

[root @ linuxbox ~] # yum встановити httpd [root @ linuxbox ~] # systemctl увімкнути httpd
Створено символічне посилання з /etc/systemd/system/multi-user.target.wants/httpd.service на /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # systemctl статус httpd
● httpd.service - Завантажено HTTP-сервер Apache: завантажено (/usr/lib/systemd/system/httpd.service; увімкнено; постачальник попередньо встановлений: вимкнено) Активний: активний (працює) з 2017 04:16: 16 EDT; 41s тому Документи: man: httpd (35) man: apachectl (5) Основний PID: 8 (httpd) Статус: "Обробка запитів ..." CGroup: /system.slice/httpd.service ├─8 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND └─2278 / usr / sbin / httpd -DFOREGROUND 2279 квітня 2280:16:16 linuxbox systemd [41]: Запуск HTTP-сервера Apache ... 35 квітня 1:16:16 linuxbox systemd [41]: Запущено HTTP-сервер Apache.

SELinux та Apache

Apache має кілька політик для налаштування в контексті SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> викл httpd_builtin_scripting -> по httpd_can_check_spam -> викл httpd_can_connect_ftp -> викл httpd_can_connect_ldap -> викл httpd_can_connect_mythtv -> викл httpd_can_connect off_zabbix -> викл httpd_can_connect_zabbix_workb_workb_workd_connect_workbconnect off_workbwork_ httpd_can_network_memcache -> викл httpd_can_network_relay -> викл httpd_can_sendmail -> викл httpd_dbus_avahi -> викл httpd_dbus_sssd -> викл httpd_dontaudit_search_dirs -> викл httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem від httpd_graceful_shutdown -> на httpd_manage_ipa -> вимкнено httpd_mod_auth_ntlm_winbind -> вимкнено httpd_mod_auth_pam -> вимкнено httpd_read_user_content -> вимкнено httpd_run_ipa -> вимкнено httpd_run_preupgrade -> вимкнено httpd_runcoft_ offftfruft httpd_ssi_exec -> вимкнено httpd_sys_script_anon_write -> вимкнено httpd_tmp_exec -> вимкнено httpd_tty_comm - > вимкнено httpd_unified -> вимкнено httpd_use_cifs -> вимкнено httpd_use_fusefs -> вимкнено httpd_use_gpg -> вимкнено httpd_use_nfs -> вимкнено httpd_use_openstack -> вимкнено httpd_use_sasl -> вимкнено httpd_verify_dns -> вимкнено

Ми налаштуємо лише таке:

Надіслати електронний лист через Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Дозвольте Apache читати вміст, розміщений у домашніх каталогах локальних користувачів

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Дозволити адмініструвати через FTP або FTPS будь-який каталог, яким керує
Apache або дозвольте Apache працювати як FTP-сервер, прослуховуючи запити через FTP-порт

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Для отримання додаткової інформації, будь ласка, прочитайте Конфігурація сервера Linux.

Ми перевіряємо автентифікацію

Залишається лише відкрити браузер на робочій станції і вказати, наприклад, на http://windowsupdate.com. Ми перевіримо, що запит правильно перенаправлено на домашню сторінку Apache в linuxbox. Насправді, будь-яке ім'я сайту, заявлене у файлі / etc / banner_add_hosts Ви будете перенаправлені на ту саму сторінку.

Це підтверджують зображення в кінці статті.

Управління користувачами

Ми робимо це за допомогою графічного інструменту «управління користувачами»До якого ми отримуємо доступ через меню Система -> Адміністрація -> Управління користувачами. Щоразу, коли ми додаємо нового користувача, створюється його папка / home / user автоматично.

резервні копії

Клієнти Linux

Вам потрібен лише звичайний браузер файлів і вкажіть, що ви хочете підключитися, наприклад: ssh: // buzz @ linuxbox / home / buzz і після введення пароля відображатиметься каталог будинки користувача дзижчання.

Клієнти Windows

У клієнтах Windows ми використовуємо інструмент WinSCP. Після встановлення ми використовуємо його наступним чином:

Просто, правда?

Резюме

Ми побачили, що можна використовувати PAM для автентифікації служб у невеликій мережі та в контрольованому середовищі, повністю ізольованому від рук хакери. Принципово це пов’язано з тим, що облікові дані автентифікації подаються у звичайному тексті, і тому це не схема автентифікації, яка використовується у відкритих мережах, таких як аеропорти, мережі Wi-Fi тощо. Однак це простий механізм авторизації, простий у впровадженні та налаштуванні.

Консультації з джерелами

Версія PDF

Завантажте PDF-версію тут.

До наступної статті!


9 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   НауТілуС - сказав він

    Величезний пост був вилікуваний, містер Фіцо. Дякуємо, що поділилися своїми знаннями.

  2.   ящірка - сказав він

    Я знаю, наскільки складно скласти статтю з таким рівнем деталізації, з досить чіткими тестами, і перш за все з концепціями та стратегіями, адаптованими до стандартів. Я просто знімаю капелюх перед цією перлиною внесків, велике спасибі Фіко за таку гарну роботу.

    Я ніколи не поєднував кальмарів з автентифікацією пам, але я досягаю, наскільки це можливо, робити цю практику у своїй лабораторії ... Цілі обіймаємо, і ми продовжуємо !!

  3.   Федеріко - сказав він

    NaTiluS: Щиро дякую за ваш коментар та оцінку.
    Ящірка: Тобі також велике спасибі за коментар та оцінку.

    Час і зусилля, витрачені на створення статей, подібних цій, винагороджуються лише читанням і коментарями тих, хто відвідує спільноту. DesdeLinux. Сподіваюся, він стане в нагоді вам у щоденній роботі.
    Ми продовжуємо!

  4.   Анонімний - сказав він

    Неймовірний внесок громадян !!!! Я прочитав кожну вашу статтю і можу сказати, що навіть людина, яка не має передових знань у галузі вільного програмного забезпечення (як я), може крок за кроком стежити за цією вишуканою статтею. Ура !!!!

  5.   IWO - сказав він

    Дякую Fico за цю іншу чудову статтю; Як би цього було недостатньо для всіх вже опублікованих публікацій, у цьому ми маємо послугу, яка раніше не охоплювалася Серією PYMES, і що надзвичайно важливо: "SQUID" або проксі-сервер локальної мережі. Нічого, що для нас, у сім'ї тих, хто вважає нас "сисадмінами", немає тут іншого хорошого матеріалу для вивчення та поглиблення наших знань.

  6.   Федеріко - сказав він

    Дякую усім за ваші коментарі. Наступна стаття стосуватиметься сервера чату Prosody з аутентифікацією проти локальних облікових даних (PAM) через Cyrus-SASL, і ця послуга буде реалізована на цьому ж сервері.

  7.   kenpachiRo17 - сказав він

    В добрий час земляк !!!! Великий внесок навіть для таких, як я, хто не має знань про вільне програмне забезпечення і захоплюється навчанням із такими вишуканими статтями, як ця. Я стежив за вашим внеском, і я хотів би знати, з якої статті ви б рекомендували мені розпочати цю серію мереж малого та середнього бізнесу, оскільки я читав безладно і думаю, що в ньому є багато цінного вмісту, який можна пропустити. Без додаткових привітань і нехай спільні знання, а також Програмне забезпечення залишаться безкоштовними !!

    1.    Федеріко - сказав він

      Вітаю земляка !!!. Я рекомендую вам розпочати спочатку, що, хоча це може здатися довгим шляхом, це найкоротший шлях, щоб не загубитися. В покажчику, який не оновлюється двома останніми статтями, https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, ми встановили рекомендований порядок читання Серії, який починається з того, як це зробити Робоча станція, продовжує кілька постів, присвячених цій темі віртуалізація, слідуйте з кількома конвертами BIND, Isc-Dhcp-Server та Dnsmasq, і так далі, поки ми не дійдемо до частини реалізації послуги для мережі МСП, де ми зараз перебуваємо. Сподіваюся, це допоможе вам.

      1.    kenpachiRo17 - сказав він

        Ну це буде !!!! Одразу я починаю з серії з самого початку і з нетерпінням чекаю нових статей. Ура !!!!