LFCE: Namestitev omrežnih storitev in konfiguriranje samodejnega zagona pri zagonu - 1. del

Pooblaščeni inženir Linux Foundation (LFCE) je pripravljen namestiti, konfigurirati, upravljati in odpravljati težave z omrežnimi storitvami v sistemih Linux in je odgovoren za načrtovanje in izvajanje sistemske arhitekture.

Predstavljamo vam Linux Foundation Certification Program.

V tej 12-članski seriji z naslovom Priprava na izpit LFCE (Linux Foundation Certified Engineer) bomo obravnavali zahtevane domene in kompetence v Ubuntu, CentOS in openSUSE:

Namestitev omrežnih storitev

Ko gre za nastavitev in uporabo kakršnih koli omrežnih storitev, si težko predstavljamo scenarij, ki ga Linux ne more biti del. V tem članku bomo prikazali, kako namestiti naslednje omrežne storitve v Linux (vsaka konfiguracija bo zajeta v naslednjih ločenih člankih):

  1. NFS (omrežni datotečni sistem) strežnik
  2. Spletni strežnik Apache
  3. Proxy strežnik Squid + SquidGuard
  4. E-poštni strežnik (Postfix + Dovecot) in
  5. Iptables

Poleg tega bomo želeli zagotoviti, da se vse te storitve samodejno zaženejo ob zagonu ali na zahtevo.

Upoštevati moramo, da tudi če lahko vse te omrežne storitve zaženete v istem fizičnem računalniku ali navideznem zasebnem strežniku, eno prvih tako imenovanih\" pravil " omrežne varnosti sistemskim skrbnikom sporoča, naj se izogibajo to storite v največji možni meri. Kakšna je sodba, ki podpira to izjavo? Preprosto: če je iz nekega razloga ogrožena omrežna storitev v računalniku, ki izvaja več kot enega izmed njih, lahko napadalec sorazmerno enostavno ogrozi ostale tudi.

Če morate na isti računalnik resnično namestiti več omrežnih storitev (na primer v preskusnem laboratoriju), omogočite samo tiste, ki jih potrebujete v določenem trenutku, in jih kasneje onemogočite.

Preden začnemo, moramo pojasniti, da je trenutni članek (skupaj z ostalimi v serijah LFCS in LFCE ) osredotočen na perspektivo, ki temelji na uspešnosti, in zato ne more preuči vse teoretične podrobnosti o zajetih temah. Vsako temo pa bomo kot izhodišče predstavili s potrebnimi informacijami.

Če želite uporabljati naslednje omrežne storitve, boste morali zaenkrat onemogočiti požarni zid, dokler se ne naučimo, kako dovoliti ustrezen promet skozi požarni zid.

Upoštevajte, da to NI priporočljivo za produkcijsko nastavitev, vendar bomo to storili samo za učne namene.

V privzeti namestitvi Ubuntu požarni zid ne sme biti aktiven. V openSUSE in CentOS ga boste morali izrecno onemogočiti:

# systemctl stop firewalld
# systemctl disable firewalld 
or
# or systemctl mask firewalld

Kot rečeno, začnimo!

NFS je sam po sebi omrežni protokol, katerega najnovejša različica je NFSv4 . To je različica, ki jo bomo uporabljali v tej seriji.

Strežnik NFS je tradicionalna rešitev, ki oddaljenim odjemalcem Linuxa omogoča, da svoje skupne rabe vgradijo v omrežje in sodelujejo s temi datotečnimi sistemi, kot da so nameščeni lokalno, kar omogoča centralizirano shranjevanje virov za omrežje.

# yum update && yum install nfs-utils

# aptitude update && aptitude install nfs-kernel-server

# zypper refresh && zypper install nfsserver

Za podrobnejša navodila preberite članek, ki opisuje, kako konfigurirati strežnik in odjemalca NFS v sistemih Linux.

Spletni strežnik Apache je robustna in zanesljiva izvedba FOSS strežnika HTTP. Od konca oktobra 2014 Apache upravlja 385 milijonov spletnih mest, kar mu daje 37,45% tržni delež. Apache lahko uporabite za samostojno spletno mesto ali več navideznih gostiteljev v enem računalniku.

# yum update && yum install httpd		[On CentOS]
# aptitude update && aptitude install apache2 		[On Ubuntu]
# zypper refresh && zypper install apache2		[On openSUSE]

Za podrobnejša navodila preberite naše naslednje članke, v katerih je razvidno, kako ustvariti navidezne gostiteljske strežnike Apache na osnovi IP in imena ter kako zaščititi spletni strežnik Apache.

  1. Navidezno gostovanje na podlagi IP-ja in imena na osnovi Apache
  2. Nasveti za utrjevanje in varnost spletnih strežnikov Apache

Squid je demon strežnika proxy in spletnega predpomnilnika in kot tak deluje kot posrednik med več odjemalskimi računalniki in internetom (ali usmerjevalnikom, povezanim z internetom), hkrati pa pospeši pogoste zahteve s predpomnjenjem spletne vsebine in ločljivost DNS hkrati. Uporablja se lahko tudi za zavrnitev (ali odobritev) dostopa do določenih URL-jev po segmentih omrežij ali na podlagi prepovedanih ključnih besed in hrani dnevniško datoteko vseh povezav do zunanjega sveta za vsakega uporabnika.

Squidguard je preusmerjevalnik, ki izvaja črne sezname za izboljšanje lignjev in se brez težav integrira z njimi.

# yum update && yum install squid squidGuard			[On CentOS] 
# aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
# zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfix je agent za prenos pošte (MTA). Aplikacija je odgovorna za usmerjanje in dostavo e-poštnih sporočil od vira do ciljnih poštnih strežnikov, medtem ko je dovecot široko uporabljen e-poštni strežnik IMAP in POP3, ki sporočila poišče z MTA in jih dostavi v pravi uporabniški nabiralnik.

Na voljo so tudi vtičniki Dovecot za več sistemov za upravljanje relacijskih baz podatkov.

# yum update && yum install postfix dovecot 				[On CentOS] 
# aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
# zypper refresh && zypper postfix dovecot				[On openSUSE]

Z nekaj besedami je požarni zid omrežni vir, ki se uporablja za upravljanje dostopa do zasebnega omrežja ali iz njega ter za preusmerjanje dohodnega in odhodnega prometa na podlagi določenih pravil.

Iptables je orodje, ki je privzeto nameščeno v Linuxu in služi kot sočelje jedrnemu modulu netfilter, ki je končno odgovoren za izvedbo požarnega zidu za izvajanje funkcij filtriranja/preusmeritve paketov in prevajanja omrežnih naslovov.

Ker je iptables privzeto nameščen v Linuxu, se morate prepričati, ali se dejansko izvaja. Za to moramo preveriti, ali so naloženi moduli iptables:

# lsmod | grep ip_tables

Če zgornji ukaz ne vrne ničesar, pomeni, da modul ip_tables ni naložen. V tem primeru zaženite naslednji ukaz, da naložite modul.

# modprobe -a ip_tables

Preberite tudi : Osnovni vodnik za požarni zid Linux Iptables

Konfiguriranje samodejnega zagona storitev pri zagonu

Kot je razloženo v delu Upravljanje postopka zagona sistema in storitev - 7. del 10-članske serije o certificiranju LFCS , je v Linuxu na voljo več upraviteljev sistemov in storitev. Ne glede na vašo izbiro morate vedeti, kako zagnati, ustaviti in znova zagnati omrežne storitve na zahtevo ter kako jim omogočiti samodejni zagon ob zagonu.

Z upravljanjem sistema in storitev lahko preverite, če zaženete naslednji ukaz:

# ps --pid 1

Glede na izhod zgornjega ukaza boste z enim od naslednjih ukazov nastavili, ali naj se vsaka storitev samodejno zažene ob zagonu:

----------- Enable Service to Start at Boot -----------
# systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
# systemctl disable [service] # prevent [service] from starting at boot

----------- Start Service at Boot in Runlevels A and B -----------
# chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
# chkconfig --level CD service off

Prepričajte se, da skript /etc/init/[service].conf obstaja in vsebuje minimalno konfiguracijo, na primer:

# When to start the service
start on runlevel [2345]
# When to stop the service
stop on runlevel [016]
# Automatically restart process in case of crash
respawn
# Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Morda boste želeli preveriti tudi 7. del serije LFCS (ki smo ga pravkar omenjali na začetku tega odseka), ali so na voljo tudi drugi uporabni ukazi za upravljanje omrežnih storitev.

Povzetek

Do zdaj bi morali imeti nameščene vse omrežne storitve, opisane v tem članku, in morda teči s privzeto konfiguracijo. V nadaljnjih člankih bomo raziskali, kako jih konfigurirati glede na naše potrebe, zato bodite pozorni! Prosimo, delite svoje komentarje (ali objavite vprašanja, če jih imate) o tem članku z uporabo spodnjega obrazca.

  1. O LFCE
  2. Zakaj pridobiti certifikat Linux Foundation?
  3. Prijavite se na izpit LFCE