A Certifikovaný inženýr Linux Foundation (LFCE) je připraven instalovat, konfigurovat, spravovat a odstraňovat problémy se síťovými službami v systémech Linux a odpovídá za návrh a implementaci architektury systému.
Představujeme certifikační program Linux Foundation.
V této sérii 12 článků s názvem Příprava na LFCE (Certifikovaný inženýr Linux Foundation) zkouška, pokryjeme požadované domény a kompetence v Ubuntu, CentOS a openSUSE:
Část 1: Instalace síťových služeb a konfigurace automatického spouštění při spuštění
Pokud jde o nastavení a používání jakéhokoli druhu síťových služeb, je těžké si představit scénář, jehož součástí Linux nemůže být. V tomto článku si ukážeme, jak nainstalovat následující síťové služby v Linuxu (každá konfigurace bude popsána v následujících samostatných článcích):
Kromě toho budeme chtít zajistit, aby se všechny tyto služby automaticky spouštěly při spuštění nebo na vyžádání.
Musíme poznamenat, že i když můžete všechny tyto síťové služby provozovat na stejném fyzickém počítači nebo virtuálním soukromém serveru, jedna z prvních tzv.pravidla”Zabezpečení sítě říká správcům systému, aby se tomu v maximální možné míře vyhnuli. Jaký rozsudek toto tvrzení podporuje? Je to docela jednoduché: pokud je z nějakého důvodu kompromitována síťová služba v počítači, na kterém běží více než jeden z nich, může být pro útočníka relativně snadné kompromitovat i ostatní.
Pokud tedy opravdu potřebujete nainstalovat více síťových služeb na stejný počítač (v testovací laboratoři, například), ujistěte se, že povolíte pouze ty, které v určitém okamžiku potřebujete, a zakážete je později.
Než začneme, musíme objasnit, že aktuální článek (spolu se zbytkem v souboru LFCS a LFCE série) je zaměřena na perspektivu založenou na výkonu, a proto nemůže zkoumat každý teoretický detail o probíraných tématech. Jako výchozí bod však uvedeme každé téma s potřebnými informacemi.
Abyste mohli používat následující síťové služby, budete muset prozatím deaktivovat bránu firewall, dokud se nenaučíme, jak povolit odpovídající provoz přes bránu firewall.
Vezměte prosím na vědomí, že toto je NE doporučeno pro produkční nastavení, ale uděláme to pouze pro účely učení.
Ve výchozí instalaci Ubuntu by firewall neměl být aktivní. V openSUSE a CentOS jej budete muset výslovně zakázat:
# systemctl stop firewalld. # systemctl deaktivovat firewall nebo. # nebo systemctl mask firewalld.
To je řečeno, pojďme začít!
NFS sám o sobě je síťový protokol, jehož nejnovější verze je NFSv4. Toto je verze, kterou budeme používat v celé této sérii.
Server NFS je tradiční řešení, které umožňuje vzdáleným klientům Linux připojit své sdílené položky přes síť a komunikovat s těmito systémy souborů, jako by byly připojeny lokálně, což umožňuje centralizovat prostředky úložiště pro síť.
# yum update && yum install nfs-utils.
# aptitude update && aptitude install nfs-kernel-server.
# zypper refresh && zypper install nfsserver.
Podrobnější pokyny najdete v našem článku, který popisuje, jak na to Konfigurace serveru a klienta NFS na systémech Linux.
The Apache web server je robustní a spolehlivá implementace FOSS serveru HTTP. Ke konci října 2014 Apache spravuje 385 milionů webů, což je a 37.45% podíl na trhu. Apache můžete použít k obsluze samostatného webu nebo více virtuálních hostitelů na jednom počítači.
# yum update && yum install httpd [On CentOS] # aptitude update && aptitude install apache2 [Na Ubuntu] # zypper refresh && zypper install apache2 [Na openSUSE]
Podrobnější pokyny najdete v následujících článcích, které ukazují, jak vytvářet virtuální hostitele Apache založené na IP a jménech a jak zabezpečit webový server Apache.
Oliheň je démon proxy serveru a webové mezipaměti a jako takový funguje jako prostředník mezi několika klientskými počítači a internetem (nebo router připojený k internetu), přičemž zrychluje časté požadavky současně ukládáním webového obsahu do mezipaměti a rozlišením DNS. Lze jej také použít k odepření (nebo udělení) přístupu k určitým adresám URL podle segmentu sítě nebo na základě zakázaných klíčových slov a uchovává soubor protokolu všech připojení navázaných s vnějším světem na základě jednotlivých uživatelů.
Squidguard je přesměrovač, který implementuje černé listiny pro vylepšení chobotnic a bezproblémově se s nimi integruje.
# yum update && yum install squid squidGuard [On CentOS] # aptitude update && aptitude install squid3 squidguard [Na Ubuntu] # zypper refresh && zypper install squid squidGuard [Na openSUSE]
Postfix je Mail Transport Agent (MTA). Je to aplikace zodpovědná za směrování a doručování e -mailových zpráv ze zdroje na cílové poštovní servery, zatímco dovecot je široce používaný e -mailový server IMAP a POP3, který načítá zprávy z MTA a doručuje je správnému uživateli schránka.
K dispozici jsou také doplňky Dovecot pro několik systémů správy relační databáze.
# aktualizovat && yum nainstalovat postfixový dovecot [Na CentOS] # aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d [Na Ubuntu] # zypper refresh && zypper postfixový holubník [Na openSUSE]
V několika slovech, a firewall je síťový prostředek, který se používá ke správě přístupu do nebo ze soukromé sítě a k přesměrování příchozího a odchozího provozu na základě určitých pravidel.
Iptables je nástroj nainstalovaný ve výchozím nastavení v Linuxu a slouží jako frontend modulu jádra netfilter, což je hlavní zodpovědný za implementaci brány firewall k provádění filtrování / přesměrování paketů a překladu síťových adres funkce.
Protože iptables je ve výchozím nastavení nainstalován v Linuxu, musíte se pouze ujistit, že je skutečně spuštěn. Chcete -li to provést, měli bychom zkontrolovat, zda jsou načteny moduly iptables:
# lsmod | grep ip_tables.
Pokud výše uvedený příkaz nic nevrací, znamená to ip_tables modul nebyl načten. V takovém případě spusťte následující příkaz a načtěte modul.
# modprobe -a ip_tables.
Přečtěte si také: Základní průvodce firewallem Linux Iptables
Jak je uvedeno v Správa procesu spouštění systému a služeb - část 7 ze série 10 článků o LFCS certifikace, v Linuxu je k dispozici několik správců systému a služeb. Ať už si vyberete cokoli, potřebujete vědět, jak spouštět, zastavovat a restartovat síťové služby na vyžádání a jak jim povolit automatické spouštění při spuštění.
Správce systému a služeb můžete zkontrolovat spuštěním následujícího příkazu:
# ps --pid 1.
V závislosti na výstupu výše uvedeného příkazu použijete jeden z následujících příkazů ke konfiguraci, zda se má každá služba spouštět automaticky při spuštění nebo ne:
Povolit spuštění služby při spuštění # systemctl povolit [služba]
Zabránit spuštění služby při spuštění # systemctl zakázat [službu] # zabránit [službě] spuštění při zavádění.
Spustit službu při spuštění na Runlevels A a B # chkconfig --level AB [service] on
Nespouštět službu při spuštění v Runlevels C a D # chkconfig -vypnout službu CD
Ujistěte se, že /etc/init/[service].conf skript existuje a obsahuje minimální konfiguraci, například:
# Kdy spustit službu. začít na úrovni běhu [2345] # Kdy službu zastavit. zastávka na úrovni běhu [016] # Automaticky restartujte proces v případě havárie. respawn. # Zadejte proces/příkaz (v případě potřeby přidejte argumenty), který chcete spustit. exec/absolutní/cesta/do/síť/služba/binární arg1 arg2.
Můžete také chtít zkontrolovat Část 7 řady LFCS (o které jsme se právě zmínili na začátku této části) pro další užitečné příkazy pro správu síťových služeb na vyžádání.
Nyní byste měli mít nainstalovány všechny síťové služby popsané v tomto článku a případně by měly běžet s výchozí konfigurací. V pozdějších článcích prozkoumáme, jak je nakonfigurovat podle našich potřeb, takže zůstaňte naladěni! A neváhejte se podělit o své komentáře (nebo pokud máte nějaké dotazy) k tomuto článku pomocí níže uvedeného formuláře.