Vyhledávání na webu

LFCE: Instalace síťových služeb a konfigurace automatického spouštění při spouštění – část 1

Linux Foundation Certified Engineer (LFCE) je připraven instalovat, konfigurovat, spravovat a odstraňovat problémy se síťovými službami v systémech Linux a je zodpovědný za návrh a implementaci systémové architektury. .

Představujeme certifikační program Linux Foundation.

V této sérii 12 článků s názvem Příprava na zkoušku LFCE (Linux Foundation Certified Engineer) pokryjeme požadované domény a kompetence v Ubuntu, CentOS a openSUSE:

Instalace síťových služeb

Pokud jde o nastavení a používání jakéhokoli druhu síťových služeb, je těžké si představit scénář, jehož součástí nemůže být Linux. V tomto článku si ukážeme, jak nainstalovat následující síťové služby v Linuxu (každá konfigurace bude popsána v nadcházejících samostatných článcích):

  1. Server NFS (Network File System).
  2. Webový server Apache
  3. Squid Proxy Server + SquidGuard
  4. E-mailový server (Postfix + Dovecot) a
  5. iptables

Kromě toho se budeme chtít ujistit, že všechny tyto služby jsou automaticky spouštěny při spuštění nebo na vyžádání.

Musíme si uvědomit, že i když můžete všechny tyto síťové služby provozovat na stejném fyzickém počítači nebo virtuálním privátním serveru, jedno z prvních takzvaných „pravidel“ zabezpečení sítě říká správcům systému, aby se vyvarovali tedy v rámci možností. Jaký rozsudek podporuje toto tvrzení? Je to poměrně jednoduché: pokud je z nějakého důvodu ohrožena síťová služba na počítači, na kterém běží více než jeden z nich, může být pro útočníka relativně snadné kompromitovat i zbytek.

Nyní, pokud opravdu potřebujete nainstalovat více síťových služeb na stejný počítač (například v testovací laboratoři), ujistěte se, že povolíte pouze ty, které potřebujete v určitém okamžiku, a deaktivujte je později.

Než začneme, musíme si ujasnit, že aktuální článek (společně se zbytkem v řadách LFCS a LFCE) je zaměřen na perspektivu založenou na výkonu, a proto nemůže prozkoumat každý teoretický detail o probraných tématech. Každé téma však uvedeme nezbytnými informacemi jako výchozí bod.

Abyste mohli používat následující síťové služby, budete muset firewall prozatím zakázat, dokud se nenaučíme, jak povolit odpovídající provoz přes firewall.

Upozorňujeme, že toto NEDOPORUČUJEME pro produkční nastavení, ale budeme tak činit pouze pro účely učení.

Ve výchozí instalaci Ubuntu by firewall neměl být aktivní. V openSUSE a CentOS jej budete muset explicitně zakázat:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Jak bylo řečeno, začněme!

Instalace serveru NFSv4

NFS sám o sobě je síťový protokol, jehož nejnovější verze je NFSv4. Toto je verze, kterou budeme používat v celé této sérii.

NFS server je tradiční řešení, které umožňuje vzdáleným linuxovým klientům připojit své sdílené složky přes síť a komunikovat s těmito systémy souborů, jako by byly připojeny lokálně, což umožňuje centralizovat prostředky úložiště pro síť.

Na CentOS
yum update && yum install nfs-utils
Na Ubuntu
aptitude update && aptitude install nfs-kernel-server
Na OpenSUSE
zypper refresh && zypper install nfsserver

Podrobnější pokyny naleznete v našem článku, který popisuje konfiguraci serveru a klienta NFS v systémech Linux.

Instalace webového serveru Apache

Webový server Apache je robustní a spolehlivá FOSS implementace HTTP serveru. Ke konci října 2014 provozuje Apache 385 milionů webů, což mu dává 37,45 % podíl na trhu. Apache můžete použít k obsluze samostatného webu nebo více virtuálních hostitelů na jednom počítači.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Pro podrobnější pokyny si přečtěte naše následující články, které ukazují, jak vytvořit virtuální hostitele Apache založené na IP a názvech a jak zabezpečit webový server Apache.

  1. Virtuální hosting Apache založený na IP a názvu
  2. Tipy pro posílení a zabezpečení webového serveru Apache

Instalace Squid a SquidGuard

Squid je proxy server a démon webové mezipaměti a jako takový funguje jako prostředník mezi několika klientskými počítači a internetem (nebo routerem připojeným k internetu), přičemž urychluje časté požadavky ukládáním webového obsahu do mezipaměti. a zároveň překlad DNS. Lze jej také použít k odepření (nebo udělení) přístupu k určitým adresám URL podle segmentu sítě nebo na základě zakázaných klíčových slov a uchovává soubor protokolu o všech spojeních vytvořených s vnějším světem na základě jednotlivých uživatelů.

Squidguard je přesměrovač, který implementuje černé listiny pro vylepšení olihní a hladce se s ním integruje.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Instalace Postfixu a Dovecotu

Postfix je Mail Transport Agent (MTA). Je to aplikace zodpovědná za směrování a doručování e-mailových zpráv ze zdroje na cílové poštovní servery, zatímco dovecot je široce používaný e-mailový server IMAP a POP3, který stahuje zprávy z MTA a doručuje je do správné uživatelské poštovní schránky.

K dispozici jsou také zásuvné moduly Dovecot pro několik systémů pro správu relačních databází.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

O Iptables

Stručně řečeno, firewall je síťový prostředek, který se používá ke správě přístupu do nebo ze soukromé sítě ak přesměrování příchozího a odchozího provozu na základě určitých pravidel.

Iptables je nástroj nainstalovaný ve výchozím nastavení v Linuxu a slouží jako frontend k modulu jádra netfilter, který je konečnou odpovědností za implementaci firewallu pro provádění funkcí filtrování/přesměrování paketů a překladu síťových adres.

Vzhledem k tomu, že iptables je v Linuxu ve výchozím nastavení nainstalováno, musíte se pouze ujistit, že skutečně běží. K tomu bychom měli zkontrolovat, zda jsou načteny moduly iptables:

lsmod | grep ip_tables

Pokud výše uvedený příkaz nic nevrací, znamená to, že modul ip_tables nebyl načten. V takovém případě spusťte následující příkaz pro načtení modulu.

modprobe -a ip_tables

Přečtěte si také: Základní průvodce firewallem Iptables pro Linux

Konfigurace automatického spouštění služeb při spuštění

Jak je uvedeno v části Správa procesu spouštění systému a služeb – část 7 ze série 10 článků o certifikaci LFCS, v Linuxu je k dispozici několik správců systémů a služeb. Ať už je vaše volba jakákoli, musíte vědět, jak spouštět, zastavovat a restartovat síťové služby na vyžádání a jak povolit jejich automatické spouštění při spouštění.

Spuštěním následujícího příkazu můžete zkontrolovat, jaký je váš správce systému a služeb:

ps --pid 1

V závislosti na výstupu výše uvedeného příkazu použijete jeden z následujících příkazů ke konfiguraci, zda se má každá služba spouštět automaticky při spouštění nebo ne:

Na bázi systemd
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
Na bázi sysvinit
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
Na základě začátečníků

Ujistěte se, že skript /etc/init/[service].conf existuje a obsahuje minimální konfiguraci, jako například:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Můžete si také prohlédnout Část 7 řady LFCS (o které jsme se právě zmiňovali na začátku této části), kde najdete další užitečné příkazy pro správu síťových služeb na vyžádání.

souhrn

Nyní byste měli mít nainstalované všechny síťové služby popsané v tomto článku a možná i spuštěné s výchozí konfigurací. V dalších článcích prozkoumáme, jak je nakonfigurovat podle našich potřeb, takže zůstaňte naladěni! A neváhejte se podělit o své komentáře (nebo položit otázky, pokud nějaké máte) k tomuto článku pomocí formuláře níže.

Referenční odkazy
  1. O LFCE
  2. Proč získat certifikaci Linux Foundation?
  3. Zaregistrujte se ke zkoušce LFCE