Xác thực Squid + PAM trong Mạng CentOS 7- SMB

Chỉ số chung của bộ truyện: Mạng máy tính cho doanh nghiệp vừa và nhỏ: Giới thiệu

Xin chào quý vị và các bạn!

Tiêu đề của bài báo lẽ ra phải là: «MATE + NTP + Dnsmasq + Dịch vụ Gateway + Apache + Squid với Xác thực PAM trong Centos 7 - Mạng SME«. Vì lý do thực tế, chúng tôi rút ngắn nó.

Chúng tôi tiếp tục xác thực cho người dùng cục bộ trên máy tính Linux sử dụng PAM và lần này chúng tôi sẽ xem cách chúng tôi có thể cung cấp dịch vụ Proxy với Squid cho một mạng máy tính nhỏ, bằng cách sử dụng thông tin xác thực được lưu trữ trên cùng một máy tính. máy chủ đang chạy mực ống.

Mặc dù chúng ta biết rằng thực tế rất phổ biến hiện nay, để xác thực các dịch vụ chống lại OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, v.v., chúng tôi cho rằng trước tiên chúng ta phải thực hiện các giải pháp đơn giản và rẻ tiền, sau đó đối mặt với những giải pháp phức tạp nhất. Chúng tôi tin rằng phải đi từ đơn giản đến phức tạp.

Sân khấu

Nó là một tổ chức nhỏ - với rất ít nguồn lực tài chính - chuyên hỗ trợ việc sử dụng Phần mềm Miễn phí và đã chọn tên là DesdeLinux.Quạt. Họ là những người đam mê hệ điều hành khác nhau CentOS được nhóm lại trong một văn phòng duy nhất. Họ đã mua một máy trạm - không phải một máy chủ chuyên nghiệp - cái mà họ sẽ dành để hoạt động như một "máy chủ".

Những người đam mê không có kiến ​​thức sâu rộng về cách triển khai máy chủ OpenLDAP hoặc Samba 4 AD-DC, cũng như không đủ khả năng để cấp phép cho Microsoft Active Directory. Tuy nhiên, họ cần các dịch vụ truy cập Internet thông qua Proxy cho công việc hàng ngày của họ -để tăng tốc độ duyệt web- và một không gian để lưu các tài liệu quý giá nhất của họ và làm bản sao dự phòng.

Họ vẫn chủ yếu sử dụng các hệ điều hành được Microsoft mua lại hợp pháp, nhưng muốn thay đổi chúng thành Hệ điều hành dựa trên Linux, bắt đầu bằng "Máy chủ" của họ.

Họ cũng mong muốn có một máy chủ thư của riêng mình để trở nên độc lập - ít nhất là từ nguồn gốc - của các dịch vụ như Gmail, Yahoo, HotMail, v.v., đó là những gì họ hiện đang sử dụng.

Các Quy tắc Tường lửa và Định tuyến trước Internet sẽ thiết lập nó trong Bộ định tuyến ADSL đã ký hợp đồng.

Họ không có tên miền thực vì họ không cần xuất bản bất kỳ dịch vụ nào trên Internet.

CentOS 7 làm máy chủ không có GUI

Chúng tôi đang bắt đầu từ cài đặt mới của một máy chủ không có giao diện đồ họa và tùy chọn duy nhất mà chúng tôi chọn trong quá trình này là «Máy chủ cơ sở hạ tầng»Như chúng ta đã thấy trong các bài viết trước của loạt bài.

Cài đặt ban đầu

[root @ linuxbox ~] # cat / etc / hostname 
hộp linux

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # tên máy chủ
hộp linux

[root @ linuxbox ~] # tên máy chủ -f
linuxbox.desdelinux.cái quạt

[root @ linuxbox ~] # danh sách trình bổ sung ip
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 nó

Chúng tôi vô hiệu hóa Trình quản lý mạng

[root @ linuxbox ~] # systemctl stop NetworkManager

[root @ linuxbox ~] # systemctl tắt NetworkManager

[root @ linuxbox ~] # trạng thái systemctl NetworkManager
● NetworkManager.service - Trình quản lý mạng đã tải: đã tải (/usr/lib/systemd/system/NetworkManager.service; bị vô hiệu hóa; cài đặt trước của nhà cung cấp: đã bật) Đang hoạt động: không hoạt động (đã chết) Tài liệu: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Chúng tôi cấu hình các giao diện mạng

Giao diện LAN Ens32 được kết nối với Mạng nội bộ

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = công khai

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Giao diện WAN Ens34 được kết nối với Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_ControlLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Bộ định tuyến ADSL được kết nối với # giao diện này với # địa chỉ sau CỔNG IP=172.16.10.1 TÊN MIỀN=desdelinux.fan DNS1=127.0.0.1
ZONE = bên ngoài

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Cấu hình kho lưu trữ

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir ban đầu
[root @ linuxbox ~] # mv Centos- * original /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum xóa tất cả
Các plugin đã tải: quickmirror, langpacks Làm sạch kho: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Updates-Repo Dọn dẹp mọi thứ Dọn dẹp danh sách các máy nhân bản nhanh nhất
[root @ linuxbox yum.repos.d] # yum cập nhật
Các plugin đã tải: nhanh nhất, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Cập nhật-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Cập nhật-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Xác định máy nhân bản nhanh nhất Không có gói nào được đánh dấu để cập nhật

Thông điệp "Không có gói nào được đánh dấu để cập nhật»Được hiển thị bởi vì trong quá trình cài đặt, chúng tôi đã khai báo cùng một kho lưu trữ cục bộ mà chúng tôi có sẵn.

Centos 7 với môi trường máy tính để bàn MATE

Để sử dụng các công cụ quản trị rất tốt với giao diện đồ họa mà CentOS / Red Hat cung cấp, và vì chúng tôi luôn nhớ GNOME2, chúng tôi quyết định cài đặt MATE làm môi trường máy tính để bàn.

[root @ linuxbox ~] # yum groupinstall "Hệ thống cửa sổ X"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Để xác minh rằng MATE tải đúng cách, chúng tôi thực thi lệnh sau trong bảng điều khiển -local hoặc từ xa-:

[root @ linuxbox ~] # systemctl cô lập graphical.target

và môi trường máy tính để bàn sẽ được tải -trong đội địa phương- suôn sẻ, hiển thị lightdm dưới dạng đăng nhập đồ họa. Chúng tôi nhập tên của người dùng cục bộ và mật khẩu của nó, và chúng tôi sẽ nhập MATE.

Để nói với systemd rằng mức khởi động mặc định là môi trường 5 -graphic- chúng tôi tạo liên kết tượng trưng sau:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Chúng tôi khởi động lại hệ thống và mọi thứ hoạt động tốt.

Chúng tôi cài đặt Dịch vụ Thời gian cho Mạng

[root @ linuxbox ~] # yum cài đặt ntp

Trong quá trình cài đặt, chúng tôi định cấu hình đồng hồ cục bộ sẽ được đồng bộ hóa với máy chủ thời gian của máy tính sysadmin.desdelinux.cái quạt với IP 192.168.10.1. Vì vậy, chúng tôi lưu tệp ntp.conf ban đầu bởi:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Bây giờ, chúng ta tạo một cái mới với nội dung sau:

[root @ linuxbox ~] # nano /etc/ntp.conf # Máy chủ được định cấu hình trong khi cài đặt: máy chủ 192.168.10.1 iburst # Để biết thêm thông tin, hãy xem trang chủ của: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Cho phép đồng bộ hóa với nguồn thời gian, nhưng không # cho phép nguồn tham khảo hoặc sửa đổi dịch vụ này hạn chế mặc định nomodify notrap nopeer noquery # Cho phép tất cả quyền truy cập vào giao diện Loopback limited 127.0.0.1. :: 1 # Hạn chế ít hơn một chút đối với các máy tính trong mạng cục bộ. hạn chế 192.168.10.0 mask 255.255.255.0 nomodify notrap # Sử dụng máy chủ công cộng của dự án pool.ntp.org # Nếu bạn muốn tham gia dự án, hãy truy cập # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client broadcast 192.168.10.255. 4 # Bật mật mã công khai. #crypto includefile / etc / ntp / crypto / pw # Tệp khóa chứa khóa và số nhận dạng khóa # được sử dụng khi hoạt động với khóa mật mã khóa đối xứng / etc / ntp / keys # Chỉ định số nhận dạng khóa đáng tin cậy. #trustedkey 8 42 8 # Chỉ định mã định danh khóa để sử dụng với tiện ích ntpdc. #requestkey 8 # Chỉ định mã định danh khóa để sử dụng với tiện ích ntpq. #controlkey 2013 # Cho phép ghi sổ đăng ký thống kê. #st Statistics clockstats cryptostats loopstats peerstats # Tắt trình theo dõi ly khai để ngăn chặn sự khuếch đại các cuộc tấn công # bằng lệnh ntpdc monlist, khi ràng buộc # mặc định không bao gồm cờ truy vấn. Đọc CVE-5211-XNUMX # để biết thêm chi tiết. # Lưu ý: Màn hình không bị tắt với cờ hạn chế giới hạn. tắt màn hình

Chúng tôi kích hoạt, khởi động và kiểm tra dịch vụ NTP

[root @ linuxbox ~] # trạng thái systemctl ntpd
● ntpd.service - Dịch vụ thời gian mạng đã tải: đã tải (/usr/lib/systemd/system/ntpd.service; bị vô hiệu hóa; cài đặt trước của nhà cung cấp: bị vô hiệu hóa) Đang hoạt động: không hoạt động (chết)

[root @ linuxbox ~] # systemctl bật ntpd
Đã tạo liên kết biểu tượng từ /etc/systemd/system/multi-user.target.wants/ntpd.service đến /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl start ntpd
[root @ linuxbox ~] # trạng thái systemctl ntpd

[root @ linuxbox ~] # trạng thái systemctl ntpdntpd.service - Dịch vụ thời gian mạng
   Đã tải: đã tải (/usr/lib/systemd/system/ntpd.service; được kích hoạt; giá trị đặt trước của nhà cung cấp: bị vô hiệu hóa) Đang hoạt động: hoạt động (đang chạy) kể từ Thứ sáu 2017-04-14 15:51:08 EDT; 1 giây trước Quy trình: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (mã = thoát, trạng thái = 0 / THÀNH CÔNG) PID chính: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp và tường lửa

[root @ linuxbox ~] # firewall-cmd --get-active-zone
ngoài
  giao diện: ens34
công khai
  giao diện: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --tải lại
thành công

Chúng tôi kích hoạt và định cấu hình Dnsmasq

Như chúng ta đã thấy trong phần trước của loạt bài về Mạng doanh nghiệp nhỏ, Dnsamasq được cài đặt theo mặc định trên Máy chủ cơ sở hạ tầng CentOS 7.

[root @ linuxbox ~] # trạng thái systemctl dnsmasq
● dnsmasq.service - Máy chủ lưu trữ DNS. Đã tải: đã tải (/usr/lib/systemd/system/dnsmasq.service; bị vô hiệu hóa; cài đặt trước của nhà cung cấp: bị vô hiệu hóa) Hoạt động: không hoạt động (chết)

[root @ linuxbox ~] # systemctl bật dnsmasq
Đã tạo liên kết biểu tượng từ /etc/systemd/system/multi-user.target.wants/dnsmasq.service đến /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl start dnsmasq
[root @ linuxbox ~] # trạng thái systemctl dnsmasq
● dnsmasq.service - Máy chủ lưu trữ DNS. Đã tải: đã tải (/usr/lib/systemd/system/dnsmasq.service; được kích hoạt; giá trị đặt trước của nhà cung cấp: bị vô hiệu hóa) Đang hoạt động: hoạt động (đang chạy) kể từ Thứ sáu 2017-04-14 16:21:18 EDT; 4 giây trước PID chính: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ #TÙY CHỌN TỔNG QUÁT # ----------------------------- -------------------------------------- cần tên miền # Đừng chuyển tên mà không có tên miền part bogus-priv # Không chuyển địa chỉ trong không gian không được định tuyến máy chủ mở rộng # Tự động thêm tên miền vào máy chủ giao diện=ens32 # Giao diện LAN thứ tự nghiêm ngặt # Thứ tự trong đó tệp /etc/resolv.conf được truy vấn conf- dir=/etc /dnsmasq.d tên miền=desdelinux.fan # Địa chỉ tên miền=/time.windows.com/192.168.10.5 # Gửi tùy chọn trống của giá trị WPAD. Cần thiết để # Windows 7 và các máy khách mới hơn hoạt động bình thường. ;-) dhcp-option=252,"\n" # Tệp nơi chúng ta sẽ khai báo HOSTS sẽ bị "cấm" addn-hosts=/etc/banner_add_hosts local=/desdelinux.cái quạt/ # ---------------------------------------------- --------------------- #RECORDSCNAMEMXTXT#-------------------------- ----------------------------------------- # Loại bản ghi này yêu cầu phải nhập # trong tệp /etc/hosts # ex: 192.168.10.5 linuxbox.desdelinux.fan linuxbox # cname=ALIAS,REAL_NAME cname=mail.desdelinux.fan, linuxbox.desdelinux.fan # MX RECORDS # Trả về bản ghi MX có tên "desdelinux.fan" được định sẵn # cho nhóm thư.desdelinux.fan và mức độ ưu tiên là 10 mx-host=desdelinux.thư của fan hâm mộ.desdelinux.fan,10 # Đích mặc định cho bản ghi MX được tạo # bằng tùy chọn localmx sẽ là: mx-target=mail.desdelinux.fan # Trả về bản ghi MX trỏ đến mx-target cho TẤT CẢ # bản ghi localmx # TXT của máy cục bộ. Chúng ta cũng có thể khai báo một bản ghi SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.cái quạt,"DesdeLinux, Blog của bạn dành riêng cho Phần mềm miễn phí" # ----------------------------------------- -------------------------- # RANGEANDITSOPTIONS # --------------------- ----- --------------------------------------------- #IPv4 phạm vi và thời gian thuê # 1 đến 29 dành cho Máy chủ và các nhu cầu khác dhcp-range=192.168.10.30,192.168.10.250,8h dhcp-lease-max=222 # Số lượng địa chỉ tối đa để thuê # theo mặc định là 150 # Phạm vi IPV6 # dhcp-range=1234::, ra-only # Tùy chọn cho RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,192.168.10.5 # ROUTER GATEWAY dhcp-option=6,192.168.10.5 # Máy chủ DNS dhcp-option =15,desdelinux.fan # Tên miền DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,192.168.10.255 # BROADCAST dhcp-option=42,192.168.10.5 # NTP dhcp-authoritative # DHCP Có thẩm quyền trên mạng con # --- --- ----------------------------------------------- --- ----------- # Nếu bạn muốn lưu truy vấn, hãy đăng nhập vào /var/log/messages # bỏ ghi chú dòng bên dưới # ---------- ------- --------------------------------------------- -------
# truy vấn nhật ký
# KẾT THÚC của tệp /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Chúng tôi tạo tệp / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Địa chỉ IP cố định

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.desdelinux.fan linuxbox 192.168.10.1 quản trị hệ thống.desdelinux.fan quản trị hệ thống

Chúng tôi định cấu hình tệp /etc/resolv.conf - Người giải quyết

[root @ linuxbox ~] # nano /etc/resolv.conf
Tìm kiếm desdelinux.fan nameserver 127.0.0.1 # Dành cho truy vấn DNS bên ngoài hoặc # không thuộc miền desdelinux.fan #local=/desdelinux.fan/ máy chủ tên 8.8.8.8

Chúng tôi kiểm tra cú pháp tệp dnsmasq.conf, chúng tôi bắt đầu và kiểm tra trạng thái của dịch vụ

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: kiểm tra cú pháp OK.
[root @ linuxbox ~] # systemctl khởi động lại dnsmasq
[root @ linuxbox ~] # trạng thái systemctl dnsmasq

Dnsmasq và tường lửa

[root @ linuxbox ~] # firewall-cmd --get-active-zone
ngoài
  giao diện: ens34
công khai
  giao diện: ens32

dịch vụ miền o Máy chủ tên miền (dns). Giao thức swipe «IP có mã hóa«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permosystem
thành công

Truy vấn Dnsmasq đến máy chủ DNS bên ngoài

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permosystem
thành công

dịch vụ ủng o Máy chủ BOOTP (dhcp). Giao thức ippc «Lõi gói Internet Pluribus«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permosystem
thành công

[root @ linuxbox ~] # firewall-cmd --tải lại
thành công

[root @ linuxbox ~] # firewall-cmd --info-zone public (đang hoạt động)
  target: default icmp-block-inversion: không có giao diện: ens32 nguồn: dịch vụ: dhcp dns ntp ssh port: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocol: masquerade: no forward-port: sourceports: icmp -block: quy tắc phong phú:

[root @ linuxbox ~] # firewall-cmd --info-zone external bên ngoài (hoạt động)
  target: icmp-block-inversion mặc định: không có giao diện: ens34 nguồn: dịch vụ: cổng dns: 53 / udp 53 / giao thức tcp: masquerade: có cổng chuyển tiếp: sourceports: icmp-blocks: tham số-sự cố chuyển hướng router-quảng cáo router- quy tắc phong phú nguồn-dập tắt trưng cầu:

Nếu chúng ta muốn sử dụng giao diện đồ họa để định cấu hình Tường lửa trong CentOS 7, chúng ta xem trong menu chung - nó sẽ phụ thuộc vào môi trường máy tính để bàn mà menu con xuất hiện - ứng dụng «Tường lửa», chúng ta thực thi nó và sau khi nhập mật khẩu của người dùng nguồn gốc, chúng ta sẽ truy cập vào giao diện chương trình như vậy. Ở MATE, nó xuất hiện trong menu «Hệ thống »->" Quản trị "->" Tường lửa ".

Chúng tôi chọn Khu vực «công khai»Và chúng tôi cho phép các Dịch vụ mà chúng tôi muốn được xuất bản trên mạng LAN, cho đến bây giờ dhcp, dns, ntp và ssh. Sau khi chọn các dịch vụ, xác minh rằng mọi thứ hoạt động chính xác, chúng ta phải thực hiện các thay đổi trong Runtime thành Permanent. Để thực hiện việc này, chúng tôi vào menu Tùy chọn và chọn tùy chọn «Thời gian chạy đến vĩnh viễn".

Sau đó, chúng tôi chọn Khu vực «ngoài»Và chúng tôi kiểm tra xem các Cổng cần thiết để giao tiếp với Internet đã mở chưa. KHÔNG công bố Dịch vụ trong Khu vực này trừ khi chúng tôi biết rất rõ những gì chúng tôi đang làm!.

Đừng quên thực hiện các thay đổi Vĩnh viễn thông qua tùy chọn «Thời gian chạy đến vĩnh viễn»Và tải lại con quỷ FirewallD, mỗi khi chúng tôi sử dụng công cụ đồ họa mạnh mẽ này.

NTP và Dnsmasq từ máy khách Windows 7

Đồng bộ hóa với NTP

ngoài

Địa chỉ IP đã thuê

Microsoft Windows [Phiên bản 6.1.7601] Bản quyền (c) 2009 Microsoft Corporation. Đã đăng ký Bản quyền. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : BẢY
   Hậu tố Dns chính. . . . . . . :
   Loại nút. . . . . . . . . . . . : Đã bật định tuyến IP lai. . . . . . . . : Không kích hoạt proxy WINS. . . . . . . . : Không có danh sách tìm kiếm hậu tố DNS. . . . . . : desdelinuxBộ điều hợp Ethernet .fan Kết nối khu vực địa phương: Hậu tố DNS dành riêng cho kết nối . : desdelinux.fan Mô tả . . . . . . . . . . . : Địa chỉ vật lý kết nối mạng Intel(R) PRO/1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 Đã bật DHCP. . . . . . . . . . . : Có Đã bật cấu hình tự động . . . . : Nĩa
   Địa chỉ IPv4. . . . . . . . . . . : 192.168.10.115 (Ưu tiên)
   Mặt nạ mạng con. . . . . . . . . . . : 255.255.255.0 Đã nhận được hợp đồng thuê. . . . . . . . . . : Thứ sáu, ngày 14 tháng 2017 năm 5 12:53:15 chiều Hết hạn thuê . . . . . . . . . . : Thứ bảy, ngày 2017 tháng 1 năm 12 53:192.168.10.1:192.168.10.5 Cổng mặc định . . . . . . . . . : 192.168.10.5 DHCPServer. . . . . . . . . . . : Máy chủ DNS 9. . . . . . . . . . . : 00 NetBIOS qua Tcpip. . . . . . . . : Đã bật Bộ điều hợp đường hầm Kết nối khu vực cục bộ* 00: Trạng thái phương tiện . . . . . . . . . . . : Phương tiện bị ngắt kết nối Hậu tố DNS dành riêng cho kết nối . : Sự miêu tả . . . . . . . . . . . : Địa chỉ vật lý của Bộ điều hợp Đường hầm Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-0-XNUMX-EXNUMX Đã bật DHCP. . . . . . . . . . . : Không kích hoạt cấu hình tự động. . . . : Có Bộ điều hợp đường hầm isatap.desdelinux.fan: Trạng thái phương tiện. . . . . . . . . . . : Phương tiện bị ngắt kết nối Hậu tố DNS dành riêng cho kết nối . : desdelinux.fan Mô tả . . . . . . . . . . . : Địa chỉ vật lý của Bộ điều hợp ISATAP của Microsoft #2. . . . . . . . . : 00-00-00-00-00-00-00-E0 Đã bật DHCP. . . . . . . . . . . : Không kích hoạt cấu hình tự động. . . . : Có C:\Users\buzz>

Mẹo

Một giá trị quan trọng trong các máy khách Windows là "Hậu tố Dns Chính" hoặc "Hậu tố Kết nối Chính". Khi Bộ điều khiển miền của Microsoft không được sử dụng, hệ điều hành không gán bất kỳ giá trị nào cho nó. Nếu chúng ta gặp phải trường hợp giống như trường hợp được mô tả ở đầu bài viết và chúng ta muốn khai báo giá trị đó một cách rõ ràng, chúng ta phải tiến hành theo những gì được hiển thị trong hình ảnh sau đây, chấp nhận các thay đổi và khởi động lại máy khách.

Nếu chúng ta chạy lại CMD -> ipconfig / all chúng tôi sẽ nhận được những điều sau:

Microsoft Windows [Phiên bản 6.1.7601] Bản quyền (c) 2009 Microsoft Corporation. Đã đăng ký Bản quyền. C: \ Users \ buzz> ipconfig / all Windows IP Configuration Host Name. . . . . . . . . . . . : BẢY
   Hậu tố Dns chính. . . . . . . : desdelinux.cái quạt
   Loại nút. . . . . . . . . . . . : Đã bật định tuyến IP lai. . . . . . . . : Không kích hoạt proxy WINS. . . . . . . . : Không có danh sách tìm kiếm hậu tố DNS. . . . . . : desdelinux.cái quạt

Các giá trị còn lại không thay đổi

Kiểm tra DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com có ​​địa chỉ 127.0.0.1 Máy chủ spynet.microsoft.com không tìm thấy: 5(REFUSED) thư spynet.microsoft.com được xử lý bằng 1 thư.desdelinux.cái quạt.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan có địa chỉ 192.168.10.5 linuxbox.desdelinuxThư .fan được xử lý bằng 1 thư.desdelinux.cái quạt.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan có địa chỉ 192.168.10.1 sysadmin.desdelinuxThư .fan được xử lý bằng 1 thư.desdelinux.cái quạt.

buzz @ sysadmin: ~ $ host mail
email.desdelinux.fan là bí danh của linuxbox.desdelinux.cái quạt. linuxbox.desdelinux.fan có địa chỉ 192.168.10.5 linuxbox.desdelinuxThư .fan được xử lý bằng 1 thư.desdelinux.cái quạt.

Chúng tôi cài đặt -chỉ để thử nghiệm- một máy chủ DNS ủy quyền NSD trong sysadmin.desdelinux.cái quạtvà chúng tôi bao gồm địa chỉ IP 172.16.10.1 trong kho lưu trữ / Etc / resolv.conf của đội linuxbox.desdelinux.cái quạt, để xác minh rằng Dnsmasq đang thực thi chức năng Forwarder một cách chính xác. Hộp cát trên máy chủ NSD là favt.org y toujague.org. Tất cả các IP đều là hư cấu hoặc từ các mạng riêng.

Nếu chúng tôi tắt giao diện WAN en34 sử dụng lệnh ifdown sau34, Dnsmasq sẽ không thể truy vấn các máy chủ DNS bên ngoài.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Không tìm thấy máy chủ toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Không tìm thấy máy chủ pizzapie.favt.org: 3 (NXDOMAIN)

Hãy kích hoạt giao diện ens34 và kiểm tra lại:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
pizzapie.favt.org là bí danh của paisano.favt.org. paisano.favt.org có địa chỉ 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Không tìm thấy máy chủ pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
poblacion.toujague.org có địa chỉ 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
Máy chủ định danh favt.org ns1.favt.org. máy chủ định danh favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
máy chủ định danh toujague.org ns1.toujague.org. máy chủ định danh toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
thư toujague.org được xử lý bởi 10 mail.toujague.org.

Hãy tham khảo ý kiến ​​từ sysadmin.desdelinux.cái quạt:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
Tìm kiếm desdelinuxmáy chủ tên .fan 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
mail.toujague.org có địa chỉ 169.18.10.19

Dnsmasq đang hoạt động như Giao nhận một cách chính xác.

mực ống

Trong sách ở định dạng PDF «Cấu hình máy chủ Linux»Ngày 25 tháng 2016 năm XNUMX, bởi Tác giả Joel Barrios Duenas (darkshram@gmail.com http://www.alcancelibre.org/), một văn bản mà tôi đã tham khảo trong các bài viết trước, có cả một chương dành riêng cho Tùy chọn cấu hình cơ bản của Squid.

Do tầm quan trọng của dịch vụ Web - Proxy, chúng tôi tái tạo phần Giới thiệu về Squid trong cuốn sách nói trên:

105.1. Giới thiệu.

105.1.1. Máy chủ trung gian (Proxy) là gì?

Thuật ngữ bằng tiếng Anh "Ủy quyền" có một ý nghĩa rất chung chung và đồng thời không rõ ràng, mặc dù
luôn được coi là từ đồng nghĩa của khái niệm "Người Trung gian". Nó thường được dịch, theo nghĩa chặt chẽ, là ủy nhiệm o proxy (người có quyền trên người khác).

Un Máy chủ trung gian Nó được định nghĩa là một máy tính hoặc thiết bị cung cấp dịch vụ mạng bao gồm cho phép máy khách thực hiện kết nối mạng gián tiếp với các dịch vụ mạng khác. Trong quá trình này xảy ra:

  • Khách hàng kết nối với Máy chủ proxy.
  • Ứng dụng khách yêu cầu kết nối, tệp hoặc tài nguyên khác có sẵn trên một máy chủ khác.
  • Máy chủ trung gian cung cấp tài nguyên bằng cách kết nối với máy chủ được chỉ định
    hoặc phân phát nó từ bộ nhớ cache.
  • Trong một số trường hợp Máy chủ trung gian có thể thay đổi yêu cầu của khách hàng hoặc
    phản hồi máy chủ cho các mục đích khác nhau.

Các Máy chủ proxy chúng thường được tạo ra để hoạt động đồng thời như một bức tường lửa hoạt động trong Cấp độ mạng, hoạt động như một bộ lọc gói, như trong trường hợp của iptables hoặc hoạt động trong Mức độ ứng dụng, kiểm soát các dịch vụ khác nhau, như trường hợp của Trình bao bọc TCP. Tùy thuộc vào bối cảnh, bức tường lửa còn được gọi là tiện ích mở rộng BPD o Bgọi món Pxoay Device hoặc chỉ bộ lọc gói.

Một ứng dụng phổ biến của Máy chủ proxy là hoạt động như một bộ đệm ẩn nội dung mạng (chủ yếu là HTTP), cung cấp cho các máy khách một bộ đệm ẩn các trang và tệp có sẵn thông qua Mạng trên các máy chủ HTTP từ xa, cho phép các máy khách của mạng cục bộ truy cập chúng trong một nhanh hơn và đáng tin cậy hơn.

Khi nhận được yêu cầu cho một tài nguyên Mạng cụ thể trong URL (Uđồng phục Rnguồn Locator) cái Máy chủ trung gian tìm kiếm kết quả của URL bên trong bộ nhớ cache. Nếu nó được tìm thấy, Máy chủ trung gian Đáp lại khách hàng bằng cách cung cấp ngay nội dung được yêu cầu. Nếu nội dung được yêu cầu không có trong bộ nhớ cache, Máy chủ trung gian nó sẽ tìm nạp nó từ một máy chủ từ xa, gửi nó đến máy khách đã yêu cầu nó và giữ một bản sao trong bộ nhớ cache. Nội dung trong bộ nhớ cache sau đó sẽ bị xóa thông qua một thuật toán hết hạn theo độ tuổi, kích thước và lịch sử của phản hồi cho các yêu cầu (lượt truy cập) (ví dụ: LRU, LFUDA y GDSF).

Máy chủ Proxy cho nội dung Mạng (Web Proxy) cũng có thể hoạt động như bộ lọc nội dung được cung cấp, áp dụng các chính sách kiểm duyệt theo các tiêu chí tùy ý..

Phiên bản của Squid mà chúng tôi sẽ cài đặt là 3.5.20-2.el7_3.2 từ kho lưu trữ cập nhật.

Cài đặt

[root @ linuxbox ~] # yum cài đặt mực

[root @ linuxbox ~] # ls / etc / ink /
cachemgr.conf errorpage.css.default  Mực.conf
cachemgr.conf.default mime.conf              Mực.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl kích hoạt mực

Quan trọng

  • Mục tiêu chính của bài viết này là Cho phép người dùng cục bộ kết nối với Squid từ các máy tính khác được kết nối với mạng LAN. Ngoài ra, triển khai lõi của máy chủ mà các dịch vụ khác sẽ được thêm vào. Nó không phải là một bài báo dành riêng cho Mực như vậy.
  • Để có ý tưởng về các tùy chọn cấu hình của Squid, hãy đọc tệp /usr/share/doc/squid-3.5.20/squid.conf.documented, có 7915 dòng.

SELinux và Squid

[root @ linuxbox ~] # getsebool -a | mực xám
ink_connect_any -> on ink_use_tproxy -> off

[root @ linuxbox ~] # setsebool -P ink_connect_any = bật

cấu hình

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered port acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Chúng tôi từ chối các truy vấn cho các cổng không an toàn http_access từ chối! Safe_ports # Chúng tôi từ chối phương thức CONNECT cho các cổng không an toàn http_access từ chối CONNECT! SSL_ports # Truy cập vào Trình quản lý bộ nhớ cache chỉ từ localhost http_access cho phép người quản lý localhost http_access từ chối trình quản lý # Chúng tôi đặc biệt khuyên bạn nên bỏ ghi chú sau để bảo vệ # ứng dụng web vô tội đang chạy trên máy chủ proxy, những người nghĩ rằng người duy nhất có thể truy cập dịch vụ trên "localhost" là cục bộ người dùng http_access từ chối với_localhost # # CHÈN (CÁC) QUY TẮC CỦA RIÊNG BẠN TẠI ĐÂY ĐỂ CHO PHÉP TRUY CẬP TỪ KHÁCH HÀNG CỦA BẠN # # PAM ủy quyền
chương trình cơ bản auth_param / usr / lib64 / ink / basic_pam_auth
auth_param cơ bản con 5 auth_param lĩnh vực cơ bản desdelinux.fan auth_param thông tin cơ bảnttl 2 giờ auth_param tắt phân biệt chữ hoa chữ thường # Truy cập mực yêu cầu xác thực acl Những người đam mê proxy_auth BẮT BUỘC # Chúng tôi cho phép truy cập vào những người dùng được xác thực # thông qua PAM http_access từ chối !Những người đam mê # Truy cập vào các trang FTP acl ftp proto FTP http_access cho phép ftp http_access cho phép localnet http_access cho phép localhost # Chúng tôi từ chối mọi quyền truy cập khác vào proxy http_access từ chối tất cả # Squid thường nghe trên cổng 3128 http_port 3128 # Chúng tôi để lại "coredumps" trong thư mục bộ đệm đầu tiên coredump_dir /var/spool/squid # # Thêm bất kỳ mẫu làm mới nào của riêng bạn các mục trên này. # làm mới_pattern ^ftp: 1440 20% 10080 làm mới_pattern ^gopher: 1440 0% 1440 làm mới_pattern -i (/cgi-bin/|\?) 0 0% 0 làm mới_pattern . 0 20% 4320 cache_mem 64 MB # Bộ nhớ Cache Memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs /var/spool/squid 4096 16 256 Maximum_object_size 4 MB cache_swap_low 85 cache_swap_high 90 cache_mgr buzz@desdelinux.fan # Các tham số khácvisible_hostname linuxbox.desdelinux.cái quạt

Chúng tôi kiểm tra cú pháp của tệp /etc/squid/squid.conf

[root @ linuxbox ~] # câu mực -k phân tích cú pháp
2017/04/16 15:45:10| Khởi động: Khởi tạo sơ đồ xác thực... 2017/04/16 15:45:10| Khởi động: Lược đồ xác thực được khởi tạo 'cơ bản' 2017/04/16 15:45:10| Khởi động: 'Thông báo' Lược đồ xác thực được khởi tạo 2017/04/16 15:45:10| Khởi động: Lược đồ xác thực khởi tạo 'thương lượng' 2017/04/16 15:45:10| Khởi động: Lược đồ xác thực được khởi tạo 'ntlm' 2017/04/16 15:45:10| Khởi động: Xác thực được khởi tạo. 2017/04/16 15:45:10| Đang xử lý tệp cấu hình: /etc/squid/squid.conf (độ sâu 0) 2017/04/16 15:45:10| Đang xử lý: acl localnet src 192.168.10.0/24 2017/04/16 15:45:10| Đang xử lý: cổng acl SSL_ports 443 21 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 80 # http 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 21 # ftp 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 443#https 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 70 #gopher 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 210#wais 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 1025-65535 # cổng chưa đăng ký 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 280 # http-mgmt 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 488 #gss-http 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 591 # filemaker 2017/04/16 15:45:10| Đang xử lý: acl Safe_ports port 777 # multiling http 2017/04/16 15:45:10| Đang xử lý: acl Phương thức CONNECT CONNECT 2017/04/16 15:45:10| Đang xử lý: http_access từ chối !Safe_ports 2017/04/16 15:45:10| Đang xử lý: http_access từ chối CONNECT !SSL_ports 2017/04/16 15:45:10| Đang xử lý: http_access cho phép người quản lý localhost 2017/04/16 15:45:10| Đang xử lý: người quản lý từ chối http_access 2017/04/16 15:45:10| Đang xử lý: http_access từ chối to_localhost 2017/04/16 15:45:10| Đang xử lý: chương trình cơ bản auth_param /usr/lib64/squid/basic_pam_auth 2017/04/16 15:45:10| Đang xử lý: auth_param con cơ bản 5 2017/04/16 15:45:10| Đang xử lý: lĩnh vực cơ bản auth_param desdelinux.fan 2017/04/16 15:45:10| Đang xử lý: auth_param thông tin cơ bảnttl 2 giờ 2017/04/16 15:45:10| Đang xử lý: auth_param tắt phân biệt chữ hoa chữ thường 2017/04/16 15:45:10| Đang xử lý: acl Những người đam mê proxy_auth BẮT BUỘC 2017/04/16 15:45:10| Đang xử lý: từ chối http_access !Những người đam mê 2017/04/16 15:45:10| Đang xử lý: acl ftp proto FTP 2017/04/16 15:45:10| Đang xử lý: http_access cho phép ftp 2017/04/16 15:45:10| Đang xử lý: http_access cho phép localnet 2017/04/16 15:45:10| Đang xử lý: http_access cho phép localhost 2017/04/16 15:45:10| Đang xử lý: http_access từ chối tất cả 2017/04/16 15:45:10| Đang xử lý: http_port 3128 2017/04/16 15:45:10| Đang xử lý: coredump_dir /var/spool/squid 2017/04/16 15:45:10| Đang xử lý: làm mới_pattern ^ftp: 1440 20% 10080 2017/04/16 15:45:10| Đang xử lý: làm mới_pattern ^gopher: 1440 0% 1440 2017/04/16 15:45:10| Đang xử lý: Refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 2017/04/16 15:45:10| Đang xử lý: Refresh_pattern. 0 20% 4320 2017/04/16 15:45:10| Đang xử lý: cache_mem 64 MB 2017/04/16 15:45:10| Đang xử lý: Memory_replacement_policy lru 2017/04/16 15:45:10| Đang xử lý: cache_replacement_policy heap LFUDA 2017/04/16 15:45:10| Đang xử lý: cache_dir aufs /var/spool/squid 4096 16 256 2017/04/16 15:45:10| Đang xử lý: max_object_size 4 MB 2017/04/16 15:45:10| Đang xử lý: cache_swap_low 85 2017/04/16 15:45:10| Đang xử lý: cache_swap_high 90 2017/04/16 15:45:10| Đang xử lý: cache_mgr buzz@desdelinux.fan 2017/04/16 15:45:10| Đang xử lý:visible_hostname linuxbox.desdelinux.fan 2017/04/16 15:45:10| Đang khởi tạo bối cảnh proxy https

Chúng tôi điều chỉnh quyền trong / usr / lib64 / ink / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / ink / basic_pam_auth

Chúng tôi tạo thư mục bộ nhớ cache

# Chỉ trong trường hợp ... [root @ linuxbox ~] # dừng dịch vụ mực
Chuyển hướng đến / bin / systemctl dừng mực.service

[root @ linuxbox ~] # mực -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Đặt Thư mục hiện tại thành / var / spool / ink 2017/04/16 15:48:28 kid1 | Tạo thiếu thư mục hoán đổi 2017/04/16 15:48:28 kid1 | / var / spool / ink tồn tại 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 00 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 01 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 02 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 03 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 04 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 05 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 06 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 07 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 08 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 09 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 0A 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 0B 2017/04/16 15:48:28 kid1 | Tạo thư mục trong / var / spool / ink / 0C 2017/04/16 15:48:29 kid1 | Tạo thư mục trong / var / spool / ink / 0D 2017/04/16 15:48:29 kid1 | Tạo thư mục trong / var / spool / ink / 0E 2017/04/16 15:48:29 kid1 | Tạo thư mục trong / var / spool / ink / 0F

Tại thời điểm này, nếu phải mất một lúc để trả lại dấu nhắc lệnh - vốn chưa bao giờ được trả lại cho tôi - hãy nhấn Enter.

[root @ linuxbox ~] # dịch vụ mực bắt đầu
[root @ linuxbox ~] # khởi động lại dịch vụ mực
[root @ linuxbox ~] # tình trạng mực dịch vụ
Chuyển hướng đến trạng thái / bin / systemctl ink.service ● ink.service - Squid caching proxy Đã tải: đã tải (/usr/lib/systemd/system/squid.service; bị vô hiệu hóa; cài đặt sẵn của nhà cung cấp: bị vô hiệu hóa) Active: hoạt động (đang chạy) kể từ dom 2017-04-16 15:57:27 EDT; 1 giây trước Quy trình: 2844 ExecStop = / usr / sbin / ink -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Process: 2873 ExecStart = / usr / sbin / ink $ SQUID_OPTS -f $ SQUID_CONF (code = thoát ra, trạng thái = 0 / THÀNH CÔNG) Quy trình: 2868 ExecStartPre = / usr / libexec / ink / cache_swap.sh (code = exited, status = 0 / SUCCESS) PID chính: 2876 (mực) CGroup: /system.slice/squid .service └─2876 / usr / sbin / ink -f /etc/squid/squid.conf 16/15 57:27:1 linuxbox systemd [16]: Khởi động Squid caching proxy ... 15/57 27:1:16 linuxbox systemd [15]: Đã khởi động proxy bộ nhớ đệm Squid. 57 tháng 27 2876:1:16 linuxbox ink [15]: Squid Parent: sẽ bắt đầu 57 con ngày 27 tháng 2876 1:2878:16 linuxbox Mực [15]: Squid Parent: (Mực-57) quy trình 27 ... ed ngày 2876 tháng 1 2878 : 1: XNUMX linuxbox ink [XNUMX]: Squid Parent: (ink-XNUMX) process XNUMX ... XNUMX Gợi ý: Một số dòng có hình elip, sử dụng -l để hiển thị đầy đủ

[root @ linuxbox ~] # cat / var / log / messages | mực xám

Các bản sửa lỗi tường lửa

Chúng tôi cũng phải mở trong Khu «ngoài"các cảng 80HTTP y 443HTTPS để Squid có thể giao tiếp với Internet.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permosystem
thành công
[root @ linuxbox ~] # firewall-cmd --tải lại
thành công
[root @ linuxbox ~] # firewall-cmd --info-zone external
mục tiêu bên ngoài (hoạt động): icmp-block-inversion mặc định: không có giao diện: nguồn ens34: dịch vụ: cổng dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  giao thức: masquerade: có cổng chuyển tiếp: sourceports: icmp-blocks: tham số-sự cố chuyển hướng bộ định tuyến-quảng cáo bộ định tuyến-solicitation source-dập tắt quy tắc phong phú:
  • Không phải là nhàn rỗi khi vào ứng dụng đồ họa «Cấu hình tường lửa»Và kiểm tra xem các cổng 443 tcp, 80 tcp, 53 tcp và 53 udp có đang mở cho vùng«ngoài«, Và rằng chúng tôi KHÔNG công bố bất kỳ dịch vụ nào cho cô ấy.

Lưu ý về chương trình trợ giúp basic_pam_auth

Nếu chúng tôi tham khảo hướng dẫn sử dụng của tiện ích này thông qua người đàn ông cơ bản_pam_auth Chúng tôi sẽ đọc rằng chính tác giả đưa ra khuyến nghị mạnh mẽ rằng chương trình được chuyển đến một thư mục mà người dùng bình thường không có đủ quyền truy cập vào công cụ.

Mặt khác, được biết rằng với sơ đồ ủy quyền này, các thông tin xác thực được chuyển sang dạng văn bản thuần túy và không an toàn cho các môi trường thù địch, hãy đọc các mạng mở.

jeff yestrumskas dành bài «Cách thực hiện: Thiết lập proxy web an toàn bằng cách sử dụng mã hóa SSL, Squid Caching Proxy và xác thực PAM»Về vấn đề tăng cường bảo mật với lược đồ xác thực này để nó có thể được sử dụng trong các mạng mở có khả năng thù địch.

Chúng tôi cài đặt httpd

Như một cách để kiểm tra hoạt động của Squid - và tình cờ là của Dnsmasq- chúng tôi sẽ cài đặt dịch vụ httpd -Máy chủ web cache- không bắt buộc phải thực hiện. Trong tệp liên quan đến Dnsmasq / etc / banner_add_hosts Chúng tôi tuyên bố các trang web chúng tôi muốn bị cấm và chúng tôi chỉ định rõ ràng cùng một địa chỉ IP mà nó có hộp linux. Do đó, nếu chúng tôi yêu cầu quyền truy cập vào bất kỳ trang web nào trong số này, trang chủ của httpd.

[root @ linuxbox ~] # yum cài đặt httpd [root @ linuxbox ~] # systemctl bật httpd
Đã tạo liên kết biểu tượng từ /etc/systemd/system/multi-user.target.wants/httpd.service đến /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl start httpd

[root @ linuxbox ~] # trạng thái systemctl httpd
● httpd.service - Máy chủ Apache HTTP đã được tải: đã tải (/usr/lib/systemd/system/httpd.service; đã kích hoạt; giá trị đặt trước của nhà cung cấp: bị vô hiệu hóa) Active: hoạt động (đang chạy) kể từ Chủ nhật 2017-04-16 16:41: 35 EDT; 5 giây trước Docs: man: httpd (8) man: apachectl (8) Main PID: 2275 (httpd) Status: "Đang xử lý yêu cầu ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND 16 tháng 16 41:35:1 linuxbox systemd [16]: Khởi động Máy chủ Apache HTTP ... 16 tháng 41 35:1:XNUMX linuxbox systemd [XNUMX]: Khởi động Máy chủ HTTP Apache.

SELinux và Apache

Apache có một số chính sách để cấu hình trong ngữ cảnh SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> tắt httpd_builtin_scripting -> bật httpd_can_check_spam -> tắt httpd_can_connect_ftp -> tắt httpd_can_connect_ldap -> tắt httpd_can_connect_mythtv -> tắt httpd_can_check_spam -> tắt httpd_can_connect_ftp -> tắt httpd_can_connect_ldap -> ngắt httpd_can_connect_mythtv httpd_can_network_memcache -> tắt httpd_can_network_relay -> tắt httpd_can_sendmail -> tắt httpd_dbus_avahi -> tắt httpd_dbus_sssd -> tắt httpd_dontaudit_search_dirs -> tắt httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem tắt httpd_graceful_shutdown -> trên httpd_manage_ipa -> tắt httpd_mod_auth_ntlm_winbind -> tắt httpd_mod_auth_pam -> tắt httpd_read_user_content -> tắt httpd_run_ipa -> tắt httpd_corun_preupgrade -> tắt httprun_miền_cài_dưỡng httpd_ssi_exec -> tắt httpd_sys_script_anon_write -> tắt httpd_tmp_exec -> tắt httpd_tty_comm - > tắt httpd_unified -> tắt httpd_use_cifs -> tắt httpd_use_fusefs -> tắt httpd_use_gpg -> tắt httpd_use_nfs -> tắt httpd_use_openstack -> tắt httpd_use_sasl -> tắt httpd_verify_dns -> tắt

Chúng tôi sẽ chỉ định cấu hình những điều sau:

Gửi email qua Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Cho phép Apache đọc nội dung nằm trong thư mục chính của người dùng cục bộ

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Cho phép quản lý qua FTP hoặc FTPS bất kỳ thư mục nào được quản lý bởi
Apache hoặc cho phép Apache hoạt động như một máy chủ FTP lắng nghe các yêu cầu thông qua cổng FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Để biết thêm thông tin, vui lòng đọc Cấu hình máy chủ Linux.

Chúng tôi kiểm tra xác thực

Nó chỉ còn lại để mở một trình duyệt trên một máy trạm và chỉ, ví dụ, để http://windowsupdate.com. Chúng tôi sẽ xác minh rằng yêu cầu được chuyển hướng chính xác đến trang chủ Apache trong linuxbox. Trên thực tế, bất kỳ tên trang web nào được khai báo trong tệp / etc / banner_add_hosts bạn sẽ được chuyển hướng đến cùng một trang.

Những hình ảnh cuối bài đã chứng minh điều đó.

Quản lý người dùng

Chúng tôi làm điều đó bằng cách sử dụng công cụ đồ họa «Quản lý người dùng»Mà chúng ta truy cập thông qua menu Hệ thống -> Quản trị -> Quản lý người dùng. Mỗi khi chúng tôi thêm người dùng mới, thư mục của người dùng đó sẽ được tạo / Người dùng gia đình tự động.

sao lưu

Máy khách Linux

Bạn chỉ cần trình duyệt tệp bình thường và cho biết rằng bạn muốn kết nối, ví dụ: ssh: // buzz @ linuxbox / home / buzz và sau khi nhập mật khẩu, thư mục sẽ được hiển thị nhà của người dùng kêu vo vo.

Khách hàng Windows

Trong các máy khách Windows, chúng tôi sử dụng công cụ WinSCP. Sau khi cài đặt, chúng tôi sử dụng nó theo cách sau:

Đơn giản, phải không?

tóm lại

Chúng tôi đã thấy rằng có thể sử dụng PAM để xác thực các dịch vụ trong một mạng nhỏ và trong một môi trường được kiểm soát hoàn toàn cách ly khỏi bàn tay của tin tặc. Nguyên nhân chủ yếu là do thông tin xác thực chuyển sang dạng văn bản thuần túy và do đó nó không phải là một sơ đồ xác thực được sử dụng trong các mạng mở như sân bay, mạng Wi-Fi, v.v. Tuy nhiên, nó là một cơ chế ủy quyền đơn giản, dễ thực hiện và cấu hình.

Nguồn đã tham khảo

Phiên bản PDF

Tải xuống phiên bản PDF đây.

Cho đến bài viết tiếp theo!


9 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   NauTiluS dijo

    Bài tuyệt vời đã được chữa khỏi ông Fico. Cảm ơn vì đã chia sẻ kiến ​​thức của bạn.

  2.   con thằn lằn dijo

    Tôi biết khó khăn như thế nào để tổng hợp một bài báo với mức độ chi tiết như vậy, với các bài kiểm tra khá rõ ràng và trên hết là các khái niệm và chiến lược được điều chỉnh cho phù hợp với các tiêu chuẩn. Tôi chỉ xin ngả mũ trước những đóng góp tuyệt vời này, cảm ơn Fico rất nhiều vì một công việc tốt như vậy.

    Tôi chưa bao giờ kết hợp mực với xác thực pam nhưng tôi đi xa nhất có thể để thực hiện việc này trong phòng thí nghiệm của mình ... Mục tiêu ôm và chúng ta tiếp tục !!

  3.   Federico dijo

    NaTiluS: Rất cảm ơn bạn đã nhận xét và đánh giá.
    Lizard: Với bạn cũng vậy, cảm ơn bạn rất nhiều vì đã nhận xét và đánh giá.

    Thời gian và công sức dành cho việc tạo ra những bài viết như thế này chỉ được đền đáp bằng việc đọc và nhận xét của những người ghé thăm cộng đồng. DesdeLinux. Tôi hy vọng nó hữu ích cho bạn trong công việc hàng ngày.
    Chúng tôi tiếp tục đi!

  4.   Vô danh dijo

    Sự đóng góp của công dân đáng kinh ngạc !!!! Tôi đọc từng bài báo của bạn và tôi có thể nói rằng ngay cả một người không có kiến ​​thức nâng cao về Phần mềm Tự do (như tôi) cũng có thể theo dõi từng bước bài viết tinh tế này. Chúc mừng !!!!

  5.   TUYỆT VỜI dijo

    Cảm ơn Fico vì bài viết tuyệt vời này; Như thể điều đó là chưa đủ với tất cả các bài viết đã được xuất bản, trong phần này, chúng tôi có một dịch vụ trước đây chưa được PYMES Series đề cập và điều đó cực kỳ quan trọng: "SQUID" hoặc Proxy của mạng LAN. Không có gì mà đối với chúng tôi, gia đình của những người nghĩ chúng tôi là "sysadmins" có ở đây tài liệu tốt khác để nghiên cứu và đào sâu kiến ​​thức của chúng tôi.

  6.   Federico dijo

    Cảm ơn tất cả các bạn cho ý kiến ​​của bạn. Bài viết tiếp theo sẽ đề cập đến máy chủ trò chuyện Prosody với xác thực dựa trên thông tin xác thực cục bộ (PAM) qua Cyrus-SASL và dịch vụ đó sẽ được triển khai trên chính máy chủ này.

  7.   kenpachiRo17 dijo

    Trong thời gian tốt đẹp đồng hương !!!! Đóng góp rất lớn kể cả cho những người không có kiến ​​thức sâu rộng về Phần mềm tự do như tôi vẫn say mê học hỏi với những bài viết tinh tế như bài báo này. Tôi đã theo dõi những đóng góp của bạn và tôi muốn biết bạn sẽ giới thiệu bài viết nào cho tôi để bắt đầu loạt bài về Mạng SME này, vì tôi đã đọc một cách lộn xộn và tôi nghĩ rằng nó có rất nhiều nội dung có giá trị để bỏ sót bất kỳ chi tiết nào. Không cần thêm lời chào, lời chào và có thể kiến ​​thức được chia sẻ cũng như Phần mềm vẫn Miễn phí !!

    1.    Federico dijo

      Chào đồng hương !!!. Tôi khuyên bạn nên bắt đầu ngay từ đầu, mặc dù nó có vẻ là một con đường dài, nhưng đó là con đường ngắn nhất để không bị lạc. Trong chỉ mục - mà không được cập nhật với hai bài báo cuối cùng- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, chúng tôi đã thiết lập thứ tự đọc được đề xuất của Bộ truyện, bắt đầu bằng cách thực hiện Máy trạm, tiếp tục với một số bài đăng dành riêng cho chủ đề Ảo hóa, theo sau với một số phong bì BIND, Isc-Dhcp-Server và Dnsmasq, và cứ tiếp tục như vậy cho đến khi chúng tôi đến phần triển khai dịch vụ cho mạng SME, chính là nơi chúng tôi hiện đang ở. Tôi hy vọng nó sẽ giúp bạn.

      1.    kenpachiRo17 dijo

        Vâng nó sẽ được !!!! Ngay lập tức tôi bắt đầu với loạt bài từ đầu và tôi mong đợi các bài viết mới. Chúc mừng !!!!