Поиск по сайту:

LFCE: установка сетевых служб и настройка автоматического запуска при загрузке — часть 1

Сертифицированный инженер Linux Foundation (LFCE) готов устанавливать, настраивать, управлять и устранять неполадки сетевых служб в системах Linux и отвечает за проектирование и реализацию системной архитектуры. .

Представляем программу сертификации Linux Foundation.

В этой серии из 12 статей под названием «Подготовка к экзамену LFCE» (Сертифицированный инженер Linux Foundation) мы рассмотрим необходимые домены и компетенции в Ubuntu, CentOS и openSUSE:

Установка сетевых служб

Когда дело доходит до настройки и использования каких-либо сетевых служб, трудно представить сценарий, частью которого не может быть Linux. В этой статье мы покажем, как установить следующие сетевые службы в Linux (каждая конфигурация будет рассмотрена в следующих отдельных статьях):

  1. Сервер NFS (сетевая файловая система)
  2. Веб-сервер Apache
  3. Прокси-сервер Squid + SquidGuard
  4. Почтовый сервер (Postfix + Dovecot) и
  5. Iptables

Кроме того, мы хотим убедиться, что все эти службы автоматически запускаются при загрузке или по требованию.

Следует отметить, что даже если вы можете запускать все эти сетевые службы на одной физической машине или виртуальном частном сервере, одно из первых так называемых «правил» сетевой безопасности предписывает системным администраторам избегать таких действий. так что насколько это возможно. Какое решение подтверждает это утверждение? Это довольно просто: если по какой-то причине сетевая служба скомпрометирована на машине, на которой работает более одной из них, злоумышленнику может быть относительно легко скомпрометировать и остальные.

Теперь, если вам действительно необходимо установить несколько сетевых служб на одном компьютере (например, в тестовой лаборатории), убедитесь, что вы включаете только те, которые вам нужны в определенный момент, и отключите их позже.

Прежде чем мы начнем, нам необходимо пояснить, что текущая статья (наряду с остальными в сериях LFCS и LFCE) ориентирована на точку зрения, основанную на производительности, и поэтому не может изучить каждую теоретическую деталь о рассматриваемых темах. Однако мы представим каждую тему с необходимой информацией в качестве отправной точки.

Чтобы использовать следующие сетевые службы, вам необходимо на время отключить брандмауэр, пока мы не научимся разрешать соответствующий трафик через брандмауэр.

Обратите внимание, что это НЕ рекомендуется для производственной установки, но мы сделаем это только в учебных целях.

При установке Ubuntu по умолчанию брандмауэр не должен быть активным. В openSUSE и CentOS вам нужно будет явно отключить его:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Как говорится, приступим!

Установка сервера NFSv4

NFS сам по себе является сетевым протоколом, последняя версия которого — NFSv4. Это версия, которую мы будем использовать на протяжении всей этой серии.

Сервер NFS — это традиционное решение, которое позволяет удаленным клиентам Linux монтировать свои общие ресурсы по сети и взаимодействовать с этими файловыми системами так, как будто они смонтированы локально, что позволяет централизовать ресурсы хранения в сети.

На CentOS
yum update && yum install nfs-utils
В Ubuntu
aptitude update && aptitude install nfs-kernel-server
В OpenSUSE
zypper refresh && zypper install nfsserver

Более подробные инструкции можно найти в нашей статье, в которой рассказывается, как настроить сервер и клиент NFS в системах Linux.

Установка веб-сервера Apache

Веб-сервер Apache — это надежная и надежная реализация HTTP-сервера с открытым исходным кодом. По состоянию на конец октября 2014 года Apache обслуживает 385 миллионов сайтов, что составляет 37,45% доли рынка. Вы можете использовать Apache для обслуживания отдельного веб-сайта или нескольких виртуальных хостов на одном компьютере.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Для получения более подробных инструкций прочтите следующие статьи, в которых показано, как создавать виртуальные хосты Apache на основе IP и имени и как защитить веб-сервер Apache.

  1. Виртуальный хостинг на основе IP-адреса и имени Apache
  2. Советы по усилению защиты и безопасности веб-сервера Apache

Установка Squid и SquidGuard

Squid — это прокси-сервер и демон веб-кэша, который, как таковой, действует как посредник между несколькими клиентскими компьютерами и Интернетом (или маршрутизатором, подключенным к Интернету), одновременно ускоряя частые запросы за счет кэширования веб-содержимого. и разрешение DNS одновременно. Его также можно использовать для запрета (или предоставления) доступа к определенным URL-адресам по сегменту сети или на основе запрещенных ключевых слов, а также для хранения файла журнала всех подключений к внешнему миру для каждого пользователя.

Squidguard — это перенаправитель, который реализует черные списки для улучшения squid и легко интегрируется с ним.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Установка Postfix и Dovecot

Postfix — это агент транспорта почты (MTA). Это приложение, отвечающее за маршрутизацию и доставку сообщений электронной почты от источника к почтовым серверам назначения, тогда как dovecot — это широко используемый почтовый сервер IMAP и POP3, который извлекает сообщения из MTA и доставляет их в нужный почтовый ящик пользователя.

Также доступны плагины Dovecot для нескольких систем управления реляционными базами данных.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

Об Iptables

В двух словах, брандмауэр — это сетевой ресурс, который используется для управления доступом к частной сети или из нее, а также для перенаправления входящего и исходящего трафика на основе определенных правил.

Iptables — это инструмент, установленный по умолчанию в Linux и служащий интерфейсом для модуля ядра netfilter, который несет основную ответственность за реализацию брандмауэра для выполнения функций фильтрации/перенаправления пакетов и трансляции сетевых адресов.

Поскольку iptables установлен в Linux по умолчанию, вам нужно только убедиться, что он действительно работает. Для этого нам следует проверить, загружены ли модули iptables:

lsmod | grep ip_tables

Если приведенная выше команда ничего не возвращает, это означает, что модуль ip_tables не загружен. В этом случае выполните следующую команду, чтобы загрузить модуль.

modprobe -a ip_tables

Читайте также: Базовое руководство по брандмауэру Linux Iptables

Настройка автоматического запуска служб при загрузке

Как обсуждалось в разделе «Управление процессом запуска системы и службами — часть 7 серии из 10 статей о сертификации LFCS», в Linux доступно несколько менеджеров систем и служб. Независимо от вашего выбора, вам необходимо знать, как запускать, останавливать и перезапускать сетевые службы по требованию, а также как включить их автоматический запуск при загрузке.

Вы можете проверить, какая у вас система и диспетчер служб, выполнив следующую команду:

ps --pid 1

В зависимости от результатов приведенной выше команды вы будете использовать одну из следующих команд, чтобы настроить, должна ли каждая служба запускаться автоматически при загрузке или нет:

На основе systemd
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
На базе sysvinit
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
На основе выскочки

Убедитесь, что сценарий /etc/init/[service].conf существует и содержит минимальную конфигурацию, например:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Вы также можете ознакомиться с Частью 7 серии LFCS (о которой мы только что упоминали в начале этого раздела), чтобы найти другие полезные команды для управления сетевыми службами по требованию.

Краткое содержание

К этому моменту у вас должны быть установлены все сетевые службы, описанные в этой статье, и, возможно, работать с конфигурацией по умолчанию. В следующих статьях мы рассмотрим, как их настроить в соответствии с нашими потребностями, поэтому следите за обновлениями! И, пожалуйста, не стесняйтесь делиться своими комментариями (или задавать вопросы, если они у вас есть) к этой статье, используя форму ниже.

Справочные ссылки
  1. О ЛФСЕ
  2. Зачем получать сертификацию Linux Foundation?
  3. Зарегистрироваться на экзамен LFCE