A Certyfikowany inżynier Linux Foundation (LFCE) jest przygotowany do instalowania, konfigurowania, zarządzania i rozwiązywania problemów z usługami sieciowymi w systemach Linux oraz jest odpowiedzialny za projektowanie i wdrażanie architektury systemu.
Przedstawiamy program certyfikacji Linux Foundation.
W tej 12-artykułowej serii zatytułowanej Przygotowanie do LFCE (Certyfikowany inżynier Linux Foundation) egzamin, omówimy wymagane domeny i kompetencje w Ubuntu, CentOS i openSUSE:
Część 1: Instalowanie usług sieciowych i konfigurowanie automatycznego uruchamiania przy starcie
Jeśli chodzi o konfigurowanie i korzystanie z jakichkolwiek usług sieciowych, trudno wyobrazić sobie scenariusz, w którym Linux nie mógłby być częścią. W tym artykule pokażemy, jak zainstalować następujące usługi sieciowe w systemie Linux (każda konfiguracja zostanie omówiona w kolejnych osobnych artykułach):
Ponadto będziemy chcieli upewnić się, że wszystkie te usługi są automatycznie uruchamiane podczas rozruchu lub na żądanie.
Musimy pamiętać, że nawet jeśli można uruchomić wszystkie te usługi sieciowe na tej samej maszynie fizycznej lub wirtualnym serwerze prywatnym, jeden z pierwszych tak zwanych „zasadybezpieczeństwa sieci mówi administratorom systemu, aby unikali tego w możliwym zakresie. Jaki osąd potwierdza to stwierdzenie? To raczej proste: jeśli z jakiegoś powodu usługa sieciowa zostanie naruszona na maszynie, na której działa więcej niż jedna z nich, atakujący może być stosunkowo łatwy do złamania zabezpieczeń również pozostałych.
Teraz, jeśli naprawdę potrzebujesz zainstalować wiele usług sieciowych na tym samym komputerze (w laboratorium testowym, na przykład), upewnij się, że włączasz tylko te, których potrzebujesz w danym momencie, i wyłączasz je później.
Zanim zaczniemy, musimy wyjaśnić, że obecny artykuł (wraz z resztą w LFC oraz LFCE serii) koncentruje się na perspektywie opartej na wydajności, a zatem nie może zbadać wszystkich teoretycznych szczegółów dotyczących poruszanych tematów. Wprowadzimy jednak każdy temat z niezbędnymi informacjami jako punkt wyjścia.
Aby korzystać z poniższych usług sieciowych, należy tymczasowo wyłączyć zaporę sieciową, dopóki nie nauczymy się przepuszczać odpowiedni ruch przez zaporę.
Pamiętaj, że to jest NIE zalecane do konfiguracji produkcyjnej, ale zrobimy to tylko w celach edukacyjnych.
W domyślnej instalacji Ubuntu zapora nie powinna być aktywna. W openSUSE i CentOS będziesz musiał jawnie go wyłączyć:
# systemctl zatrzymaj firewalld. # systemctl wyłącz firewalld lub. # lub systemctl mask firewalld.
Biorąc to pod uwagę, zaczynajmy!
NFS sam w sobie jest protokołem sieciowym, którego najnowsza wersja to NFSv4. To jest wersja, której będziemy używać w całej tej serii.
Serwer NFS to tradycyjne rozwiązanie, które pozwala zdalnym klientom Linux na montowanie udziałów w sieci i współdziałają z tymi systemami plików tak, jakby były zamontowane lokalnie, co pozwala na scentralizowanie zasobów pamięci dla sieć.
# mniam aktualizacja && mniam zainstaluj nfs-utils.
# aptitude aktualizacja && aptitude zainstaluj nfs-kernel-server.
# zypper odśwież && zypper zainstaluj nfsserver.
Aby uzyskać bardziej szczegółowe instrukcje, przeczytaj nasz artykuł, który mówi, jak Konfigurowanie serwera i klienta NFS w systemach Linux.
ten Apache serwer WWW to solidna i niezawodna implementacja FOSS serwera HTTP. Według stanu na koniec października 2014 r. Apache obsługuje 385 milionów witryn, co daje mu 37.45% udział w rynku. Możesz użyć Apache do obsługi samodzielnej witryny lub wielu wirtualnych hostów na jednej maszynie.
# mniam aktualizacja i mniam zainstaluj httpd [Na CentOS] # aptitude update && aptitude install apache2 [W Ubuntu] # zypper odśwież && zypper zainstaluj apache2 [W openSUSE]
Aby uzyskać bardziej szczegółowe instrukcje, przeczytaj nasze następujące artykuły, które pokazują, jak tworzyć wirtualne hosty Apache oparte na protokole IP i nazwach oraz jak zabezpieczyć serwer WWW Apache.
Kałamarnica jest demonem serwera proxy i pamięci podręcznej sieci Web i jako taki działa jako pośrednik między kilkoma komputerami klienckimi a Internetem (lub router podłączony do Internetu), przyśpieszając częste żądania poprzez buforowanie treści internetowych i rozwiązywanie DNS w tym samym czasie. Może być również używany do odmowy (lub przyznania) dostępu do niektórych adresów URL według segmentu sieci lub na podstawie zabronionych słów kluczowych i przechowuje plik dziennika wszystkich połączeń nawiązanych ze światem zewnętrznym dla każdego użytkownika.
Squidguard to readresator, który implementuje czarne listy w celu ulepszenia kałamarnicy i bezproblemowo się z nim integruje.
# yum update && yum install squid squidGuard [Na CentOS] # aptitude update && aptitude install squid3 squidguard [Na Ubuntu] # zypper refresh && zypper install squid squidGuard [W openSUSE]
Przyrostek jest agentem ds. transportu poczty (MTA). Jest to aplikacja odpowiedzialna za routing i dostarczanie wiadomości e-mail ze źródła do docelowych serwerów pocztowych, podczas gdy dovecot to szeroko stosowany serwer pocztowy IMAP i POP3, który pobiera wiadomości z MTA i dostarcza je do właściwego użytkownika skrzynka pocztowa.
Dostępne są również wtyczki Dovecot dla kilku systemów zarządzania relacyjnymi bazami danych.
# yum update && yum install postfix dovecot [Na CentOS] # aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d [Na Ubuntu] # zypper refresh && zypper postfix dovecot [Na openSUSE]
W kilku słowach, a zapora sieciowa to zasób sieciowy używany do zarządzania dostępem do lub z sieci prywatnej oraz do przekierowywania ruchu przychodzącego i wychodzącego na podstawie określonych reguł.
Iptables jest narzędziem instalowanym domyślnie w Linuksie i służy jako nakładka na moduł jądra netfilter, który jest ostatecznym odpowiedzialny za wdrożenie firewalla do filtrowania/przekierowywania pakietów oraz translacji adresów sieciowych funkcjonalności.
Ponieważ iptables jest domyślnie instalowany w Linuksie, musisz tylko upewnić się, że faktycznie działa. Aby to zrobić, powinniśmy sprawdzić, czy moduły iptables są załadowane:
# lsmod | grep ip_tables.
Jeśli powyższe polecenie niczego nie zwraca, oznacza to, że ip_tables moduł nie został załadowany. W takim przypadku uruchom następujące polecenie, aby załadować moduł.
# modprobe -a ip_tables.
Przeczytaj też: Podstawowy przewodnik po zaporze Iptables w systemie Linux
Jak omówiono w Zarządzanie procesem uruchamiania systemu i usługami — część 7 z 10-artykułowej serii o LFC certyfikacji, w systemie Linux dostępnych jest kilka menedżerów systemów i usług. Niezależnie od wyboru, musisz wiedzieć, jak uruchamiać, zatrzymywać i ponownie uruchamiać usługi sieciowe na żądanie oraz jak włączyć ich automatyczne uruchamianie podczas rozruchu.
Możesz sprawdzić, jaki jest twój menedżer systemu i usług, uruchamiając następujące polecenie:
# ps --pid 1.
W zależności od wyniku powyższego polecenia użyjesz jednego z następujących poleceń, aby skonfigurować, czy każda usługa powinna uruchamiać się automatycznie podczas rozruchu, czy nie:
Włącz usługę, aby uruchomić przy rozruchu # systemctl enable [usługa]
Zapobiegaj uruchamianiu usługi przy rozruchu # systemctl wyłącz [usługa] # zapobiegaj uruchamianiu [usługi] przy rozruchu.
Uruchom usługę przy rozruchu na poziomach pracy A i B # chkconfig --level AB [usługa] on
Nie uruchamiaj usługi przy starcie w Runlevels C i D # chkconfig --level usługa CD wyłączona
Upewnij się, że /etc/init/[service].conf skrypt istnieje i zawiera minimalną konfigurację, taką jak:
# Kiedy uruchomić usługę. start na poziomie pracy [2345] # Kiedy zatrzymać usługę. zatrzymaj się na poziomie pracy [016] # Automatycznie uruchom ponownie proces w przypadku awarii. odrodzenie. # Określ proces/polecenie (w razie potrzeby dodaj argumenty) do uruchomienia. exec /absolute/ścieżka/do/sieci/usługi/binarny arg1 arg2.
Możesz również sprawdzić Część 7 z serii LFCS (o której właśnie wspomnieliśmy na początku tej sekcji) dla innych przydatnych poleceń do zarządzania usługami sieciowymi na żądanie.
Do tej pory wszystkie usługi sieciowe opisane w tym artykule powinny być zainstalowane i być może działają z domyślną konfiguracją. W kolejnych artykułach dowiemy się, jak skonfigurować je zgodnie z naszymi potrzebami, więc bądźcie czujni! Zachęcamy do dzielenia się swoimi komentarzami (lub pytaniami, jeśli je masz) w tym artykule, korzystając z poniższego formularza.