LFCE memasang perkhidmatan rangkaian dan mengkonfigurasi permulaan automatik di boot - Bahagian 1

A Jurutera Bersertifikat Yayasan Linux (Lfce) bersedia untuk memasang, mengkonfigurasi, mengurus, dan menyelesaikan masalah rangkaian dalam sistem Linux, dan bertanggungjawab untuk reka bentuk dan pelaksanaan seni bina sistem.

Jurutera Bersertifikat Yayasan Linux - Bahagian 1

Memperkenalkan Program Persijilan Yayasan Linux.

Dalam siri 12 artikel ini, berjudul Persediaan untuk Lfce (Jurutera Bersertifikat Yayasan Linux) peperiksaan, kami akan meliputi domain dan kecekapan yang diperlukan di Ubuntu, Centos, dan OpenSuse:

Bahagian 1: Memasang Perkhidmatan Rangkaian dan Mengkonfigurasi Permulaan Automatik di Boot Bahagian 2: Menyediakan sistem fail Linux standard dan mengkonfigurasi pelayan NFSV4 Bahagian 3: Cara menyiapkan sistem fail dan ruang swap yang disulitkan menggunakan alat 'cryptsetup' Bahagian 4: Setup pelayan Apache yang berdiri sendiri dengan hosting maya berasaskan nama dengan SSL Bahagian 5: Mengkonfigurasi pelayan proksi squid dengan akses terhad dan menyediakan pelanggan untuk menggunakan proksi Bahagian 6: Mengkonfigurasi squidguard, membolehkan peraturan kandungan dan menganalisis log sotong Bahagian 7: Menyediakan Perkhidmatan E -mel (SMTP, IMAP dan IMAP) dan menyekat akses ke SMTP Bahagian 8: Cara Menyiapkan Firewall Iptables untuk membolehkan akses jauh ke perkhidmatan di Linux Bahagian 9: Cara Memantau Penggunaan Sistem, Pemadaman dan Selesaikan Pelayan Linux Bahagian 10: Cara Menyiapkan Firewall Iptables untuk membolehkan akses jauh ke perkhidmatan di Linux Bahagian 11: Menyediakan repositori tempatan/rangkaian untuk memasang/mengemas kini pakej Bahagian 12: Cara mengaudit prestasi rangkaian, keselamatan, dan penyelesaian masalah di Linux

Memasang perkhidmatan rangkaian

Ketika datang untuk menubuhkan dan menggunakan apa -apa jenis perkhidmatan rangkaian, sukar untuk membayangkan senario yang Linux tidak boleh menjadi sebahagian daripada. Dalam artikel ini, kami akan menunjukkan cara memasang perkhidmatan rangkaian berikut di Linux (setiap konfigurasi akan diliputi dalam artikel berasingan yang akan datang):

1. Pelayan NFS (Sistem Fail Rangkaian)
2. Pelayan web Apache
3. Pelayan proksi squid + squidguard
4. Pelayan e -mel (postfix + dovecot), dan
5. IPTABLES

Di samping itu, kami ingin memastikan semua perkhidmatan tersebut dimulakan secara automatik pada boot atau atas permintaan.

Kami mesti ambil perhatian bahawa walaupun anda boleh menjalankan semua perkhidmatan rangkaian ini dalam mesin fizikal yang sama atau pelayan peribadi maya, salah satu yang dipanggil pertama "peraturan"Keselamatan rangkaian memberitahu pentadbir sistem untuk mengelakkan melakukannya setakat yang mungkin. Apakah penghakiman yang menyokong pernyataan itu? Agak mudah: jika atas sebab tertentu perkhidmatan rangkaian dikompromikan dalam mesin yang berjalan lebih dari satu daripadanya, ia boleh menjadi agak mudah bagi penyerang untuk berkompromi dengan selebihnya.

Sekarang, jika anda benar -benar perlu memasang pelbagai perkhidmatan rangkaian pada mesin yang sama (dalam makmal ujian, sebagai contoh), pastikan anda hanya membolehkan mereka yang anda perlukan pada saat tertentu, dan melumpuhkannya kemudian.

Sebelum kita memulakan, kita perlu menjelaskan bahawa artikel semasa (bersama -sama dengan yang lain di LFCS dan Lfce siri) memberi tumpuan kepada perspektif berasaskan prestasi, dan dengan itu tidak dapat mengkaji setiap detail teoritis mengenai topik yang dilindungi. Walau bagaimanapun, kami akan memperkenalkan setiap topik dengan maklumat yang diperlukan sebagai titik permulaan.

Untuk menggunakan perkhidmatan rangkaian berikut, anda perlu melumpuhkan firewall buat masa ini sehingga kita belajar bagaimana untuk membenarkan trafik yang sepadan melalui firewall.

Sila ambil perhatian bahawa ini adalah Tidak disyorkan untuk persediaan pengeluaran, tetapi kami akan melakukannya untuk tujuan pembelajaran sahaja.

Dalam pemasangan Ubuntu lalai, firewall tidak boleh aktif. Di OpenSuse dan Centos, anda perlu melumpuhkannya secara jelas:

# Systemctl Stop Firewalld # Systemctl Lumpuhkan Firewalld atau # atau Systemctl Mask Firewalld 

Yang dikatakan, mari kita mulakan!

Memasang pelayan NFSV4

NFS dengan sendirinya adalah protokol rangkaian, yang versi terkini adalah NFSV4. Ini adalah versi yang akan kami gunakan sepanjang siri ini.

Pelayan NFS adalah penyelesaian tradisional yang membolehkan pelanggan Linux jauh untuk memasang sahamnya melalui rangkaian dan berinteraksi dengan sistem fail tersebut seolah -olah mereka dipasang secara tempatan, yang membolehkan untuk memusatkan sumber penyimpanan untuk rangkaian.

Pada Centos

# yum kemas kini && yum pasang nfs-utils 

Di Ubuntu

# Kemas kini Aptitude & & Aptitude Pasang NFS-KERNEL-SERVER 

Pada OpenSuse

# zypper refresh && zypper Pasang NFSServer 

Untuk arahan yang lebih terperinci, baca artikel kami yang menceritakan cara mengkonfigurasi pelayan dan klien NFS di Linux Systems.

Memasang pelayan web Apache

The Apache Pelayan Web adalah pelaksanaan FOSS yang mantap dan boleh dipercayai dari pelayan HTTP. Sehingga akhir Oktober 2014, Apache menguasai 385 juta tapak, memberikannya 37.45% bahagian pasaran. Anda boleh menggunakan Apache untuk melayani laman web mandiri atau pelbagai tuan rumah maya dalam satu mesin.

# yum update && yum pasang httpd [on centos] # updditude update & & aptitude install apache2 [on Ubuntu] # zypper refresh && zypper install Apache2 [on OpenSuse] 

Untuk arahan yang lebih terperinci, baca artikel berikut kami yang menunjukkan cara membuat tuan rumah maya Apache berasaskan IP dan berasaskan IP dan bagaimana untuk mendapatkan pelayan web Apache.

1. Apache IP berasaskan dan nama hosting maya berasaskan
2. Pengerasan Pelayan Web Apache dan Petua Keselamatan

Memasang Squid dan SquidGuard

Cumi adalah pelayan proksi dan daemon cache web dan, oleh itu, bertindak sebagai perantara antara beberapa komputer klien dan internet (atau penghala yang disambungkan ke Internet), sambil mempercepatkan permintaan yang kerap oleh kandungan web caching dan resolusi DNS pada masa yang sama. Ia juga boleh digunakan untuk menafikan (atau memberi) akses kepada URL tertentu oleh segmen rangkaian atau berdasarkan kata kunci yang dilarang, dan menyimpan fail log semua sambungan yang dibuat ke dunia luar secara per-pengguna.

Squidguard adalah pengarah redir yang melaksanakan senarai hitam untuk meningkatkan cumi -cumi, dan mengintegrasikan dengan lancar dengannya.

# yum update && yum pasang squid squidguard [on centos] # update aptitude & & aptitude install squid3 squidguard [on Ubuntu] # zypper refresh && zyper Install squidguard [on OpenSuse] 

Memasang Postfix dan Dovecot

Postfix adalah ejen pengangkutan mel (MTA). Ia adalah aplikasi yang bertanggungjawab untuk mengarahkan dan menyampaikan mesej e -mel dari sumber ke pelayan mel destinasi, sedangkan Dovecot adalah pelayan e -mel IMAP dan POP3 yang digunakan secara meluas yang mengambil mesej dari MTA dan menyampaikannya ke peti mel pengguna yang betul.

Plugin dovecot untuk beberapa sistem pengurusan pangkalan data hubungan juga tersedia.

# yum update && yum pasang postfix dovecot [on centos] # updditude update && aptitude postfix dovecot-imapd dovecot-pop3d [on Ubuntu] # zypper refresh && zypper postfix dovecot [on Opensuse] 

Mengenai iptables

Dalam beberapa perkataan, a Firewall adalah sumber rangkaian yang digunakan untuk menguruskan akses ke atau dari rangkaian peribadi, dan untuk mengalihkan trafik masuk dan keluar berdasarkan peraturan tertentu.

IPTABLES adalah alat yang dipasang secara lalai di Linux dan berfungsi sebagai frontend ke modul kernel netfilter, yang merupakan bertanggungjawab utama untuk melaksanakan firewall untuk melaksanakan penapisan paket / pengalihan semula dan fungsi terjemahan alamat rangkaian.

Oleh kerana iptables dipasang di linux secara lalai, anda hanya perlu memastikan ia sebenarnya berjalan. Untuk melakukan itu, kita harus memeriksa bahawa modul iptables dimuatkan:

# lsmod | grep ip_tables 

Sekiranya arahan di atas tidak mengembalikan apa -apa, itu bermakna ip_tables modul belum dimuatkan. Dalam kes itu, jalankan arahan berikut untuk memuatkan modul.

# modprobe -a ip_tables 

Baca juga: Panduan Asas untuk Firewall Iptables Linux

Mengkonfigurasi Perkhidmatan Mula Automatik pada Boot

Seperti yang dibincangkan dalam menguruskan proses dan perkhidmatan permulaan sistem - bahagian 7 siri 10 artikel mengenai LFCS pensijilan, terdapat beberapa sistem dan pengurus perkhidmatan yang terdapat di Linux. Apa sahaja pilihan anda, anda perlu tahu bagaimana untuk memulakan, menghentikan, dan memulakan semula perkhidmatan rangkaian atas permintaan, dan bagaimana untuk membolehkan mereka memulakan secara automatik.

Anda boleh menyemak apakah sistem dan pengurus perkhidmatan anda dengan menjalankan arahan berikut:

# ps --pid 1 

Semak Pengurus Perkhidmatan Linux

Bergantung pada output arahan di atas, anda akan menggunakan salah satu arahan berikut untuk mengkonfigurasi sama ada setiap perkhidmatan harus bermula secara automatik pada boot atau tidak:

Pada sistemd berasaskan

----------- Dayakan Perkhidmatan untuk bermula di Boot ----------- # SystemCtl Dayakan [Perkhidmatan] 

----------- Cegah perkhidmatan dari bermula pada boot ----------- # Systemctl Disable [Service] # Mencegah [Perkhidmatan] dari bermula di Boot 

Pada berasaskan Sysvinit

----------- Mulakan Perkhidmatan di Boot di Runlevels A dan B ----------- # ChkConfig-Level AB [Service] pada 

----------- Jangan Mulakan Perkhidmatan di Boot di Runlevels C dan D ----------- # CHKCONFIG-Perkhidmatan CD Level 

Pada peringkat awal

Pastikan /etc/init/[perkhidmatan].Conf Skrip wujud dan mengandungi konfigurasi yang minimum, seperti:

# Bila memulakan perkhidmatan bermula pada RunLevel [2345] # Bila menghentikan perhentian perkhidmatan pada RunLevel [016] # secara automatik memulakan proses semula sekiranya berlaku Crash Respawn # Tentukan proses /perintah (tambahkan argumen jika diperlukan) /jalan/ke/rangkaian/perkhidmatan/arg1 arg2 binari 

Anda juga mungkin mahu memeriksa Bahagian 7 dari siri LFCS (yang hanya dirujuk pada permulaan bahagian ini) untuk arahan lain yang berguna untuk menguruskan perkhidmatan rangkaian atas permintaan.

Ringkasan

Sekarang anda harus mempunyai semua perkhidmatan rangkaian yang diterangkan dalam artikel ini dipasang, dan mungkin berjalan dengan konfigurasi lalai. Dalam artikel -artikel kemudian, kami akan meneroka cara mengkonfigurasi mereka mengikut keperluan kami, jadi pastikan untuk terus ditala! Dan jangan ragu untuk berkongsi komen anda (atau menyiarkan soalan, jika anda mempunyai) pada artikel ini menggunakan borang di bawah.

Pautan rujukan

1. Mengenai LFCE
2. Mengapa Dapatkan Pensijilan Yayasan Linux?
3. Daftar untuk peperiksaan LFCE

Menjadi Jurutera Bersertifikat Linux