LFCE: tinklo paslaugų diegimas ir automatinio paleidimo konfigūravimas paleidžiant – 1 dalis

Linux Foundation sertifikuotas inžinierius (LFCE) yra pasirengęs įdiegti, konfigūruoti, tvarkyti ir šalinti tinklo paslaugas Linux sistemose ir yra atsakingas už sistemos architektūros projektavimą ir įgyvendinimą. .

Pristatome „Linux Foundation“ sertifikavimo programą.

Šioje 12 straipsnių serijoje, pavadintoje Pasirengimas LFCE (Linux Foundation Certified Engineer) egzaminui, apžvelgsime reikiamus Ubuntu, CentOS ir openSUSE domenus ir kompetencijas:

Tinklo paslaugų diegimas

Kalbant apie bet kokių tinklo paslaugų nustatymą ir naudojimą, sunku įsivaizduoti scenarijų, kuriame Linux negalėtų dalyvauti. Šiame straipsnyje parodysime, kaip įdiegti šias tinklo paslaugas Linux sistemoje (kiekviena konfigūracija bus aptarta būsimuose atskiruose straipsniuose):

  1. NFS (tinklo failų sistemos) serveris
  2. „Apache“ žiniatinklio serveris
  3. Squid Proxy Server + SquidGuard
  4. pašto serveris (Postfix + Dovecot) ir
  5. Iptables

Be to, norėsime užtikrinti, kad visos šios paslaugos būtų automatiškai paleidžiamos paleidžiant arba pareikalavus.

Turime atkreipti dėmesį, kad net tada, kai visas šias tinklo paslaugas galite paleisti tame pačiame fiziniame kompiuteryje arba virtualiame privačiame serveryje, viena iš pirmųjų vadinamųjų tinklo saugumo „taisyklės“ nurodo sistemos administratoriams to vengti. taigi kiek įmanoma. Koks yra sprendimas, patvirtinantis šį teiginį? Tai gana paprasta: jei dėl kokių nors priežasčių tinklo paslauga yra pažeista įrenginyje, kuriame veikia daugiau nei vienas iš jų, užpuolikui gali būti gana lengva pakenkti ir kitiems.

Dabar, jei jums tikrai reikia įdiegti kelias tinklo paslaugas tame pačiame įrenginyje (pavyzdžiui, bandymo laboratorijoje), įsitikinkite, kad įgalinote tik tas, kurių jums reikia tam tikru momentu, ir išjunkite jas vėliau.

Prieš pradėdami, turime paaiškinti, kad dabartinis straipsnis (kartu su likusiu LFCS ir LFCE serijų straipsniu) yra orientuotas į našumu pagrįstą perspektyvą, todėl jo negalima. išnagrinėti kiekvieną teorinę detalę nagrinėjamomis temomis. Tačiau kiekviena tema pateiksime reikiamą informaciją kaip atspirties tašką.

Norėdami naudotis šiomis tinklo paslaugomis, turėsite išjungti ugniasienę, kol sužinosime, kaip leisti atitinkamą srautą per užkardą.

Atminkite, kad tai NErekomenduojama gamybinei sąrankai, bet tai darysime tik mokymosi tikslais.

Numatytajame Ubuntu diegime ugniasienė neturėtų būti aktyvi. „OpenSUSE“ ir „CentOS“ turėsite jį aiškiai išjungti:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Tai pasakius, pradėkime!

NFSv4 serverio diegimas

Pats NFS yra tinklo protokolas, kurio naujausia versija yra NFSv4. Tai versija, kurią naudosime visoje šioje serijoje.

NFS serveris yra tradicinis sprendimas, leidžiantis nuotoliniams „Linux“ klientams prijungti savo dalis tinkle ir sąveikauti su tomis failų sistemomis taip, tarsi jos būtų prijungtos vietoje, todėl galima centralizuoti tinklo saugojimo išteklius.

„CentOS“ sistemoje
yum update && yum install nfs-utils
Ant Ubuntu
aptitude update && aptitude install nfs-kernel-server
„OpenSUSE“.
zypper refresh && zypper install nfsserver

Išsamesnių instrukcijų rasite mūsų straipsnyje, kuriame aprašoma, kaip konfigūruoti NFS serverį ir klientą Linux sistemose.

„Apache“ žiniatinklio serverio diegimas

Apache žiniatinklio serveris yra tvirtas ir patikimas HTTP serverio FOSS diegimas. 2014 m. spalio mėn. pabaigoje „Apache“ valdo 385 mln. svetainių, todėl jai tenka 37,45 % rinkos dalis. Galite naudoti „Apache“, norėdami aptarnauti atskirą svetainę arba kelis virtualius pagrindinius kompiuterius viename įrenginyje.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Norėdami gauti išsamesnių instrukcijų, skaitykite šiuos straipsnius, kuriuose parodyta, kaip sukurti IP ir vardo pagrindu veikiančius virtualiuosius „Apache“ pagrindinius kompiuterius ir kaip apsaugoti „Apache“ žiniatinklio serverį.

  1. Apache IP pagrįstas ir vardais virtualus priegloba
  2. „Apache“ žiniatinklio serverio tvirtinimo ir saugos patarimai

Squid ir SquidGuard diegimas

Squid yra tarpinis serveris ir žiniatinklio talpyklos demonas, todėl veikia kaip tarpininkas tarp kelių klientų kompiuterių ir interneto (arba prie interneto prijungto maršruto parinktuvo), tuo pačiu paspartindamas dažnų užklausų teikimą talpykloje išsaugodamas žiniatinklio turinį. ir DNS raiška vienu metu. Jis taip pat gali būti naudojamas uždrausti (arba suteikti) prieigą prie tam tikrų URL pagal tinklo segmentą arba pagal draudžiamus raktinius žodžius ir saugo visų prisijungimų su išoriniu pasauliu žurnalą kiekvienam vartotojui.

Squidguard yra peradresavimo priemonė, kuri įdiegia juoduosius sąrašus, kad pagerintų kalmarus, ir sklandžiai su juo integruojasi.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

„Postfix“ ir „Dovecot“ diegimas

Postfix yra pašto siuntimo agentas (MTA). Tai programa, atsakinga už el. pašto pranešimų nukreipimą ir pristatymą iš šaltinio į paskirties pašto serverius, o dovecot yra plačiai naudojamas IMAP ir POP3 el. pašto serveris, kuris gauna pranešimus iš MTA ir pristato juos į reikiamą vartotojo pašto dėžutę.

Taip pat yra Dovecot įskiepių, skirtų kelioms reliacinėms duomenų bazių valdymo sistemoms.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

Apie Iptables

Trumpai tariant, ugniasienė yra tinklo išteklius, naudojamas prieigai prie privataus tinklo arba iš jo valdyti ir įeinančiam bei išeinančiam srautui peradresuoti pagal tam tikras taisykles.

Iptables yra įrankis, įdiegtas pagal numatytuosius nustatymus sistemoje „Linux“ ir naudojamas kaip „netfilter“ branduolio modulio sąsaja, kuri yra atsakinga už ugniasienės įdiegimą, kad būtų galima atlikti paketų filtravimo/peradresavimo ir tinklo adresų vertimo funkcijas.

Kadangi „iptables“ yra įdiegta „Linux“ pagal numatytuosius nustatymus, turite tik įsitikinti, kad ji iš tikrųjų veikia. Norėdami tai padaryti, turėtume patikrinti, ar įkelti iptables moduliai:

lsmod | grep ip_tables

Jei aukščiau pateikta komanda nieko nepateikia, tai reiškia, kad ip_tables modulis nebuvo įkeltas. Tokiu atveju paleiskite šią komandą, kad įkeltumėte modulį.

modprobe -a ip_tables

Taip pat skaitykite: pagrindinis „Linux Iptables“ ugniasienės vadovas

Paslaugų automatinio paleidimo įkrovos metu konfigūravimas

Kaip aptarta Sistemos paleidimo proceso ir paslaugų valdymas – 10 straipsnių apie LFCS sertifikatą 7 dalis, Linux sistemoje yra keletas sistemų ir paslaugų tvarkytojų. Nepriklausomai nuo jūsų pasirinkimo, turite žinoti, kaip paleisti, sustabdyti ir iš naujo paleisti tinklo paslaugas pagal pareikalavimą ir kaip įgalinti jas automatiškai paleisti įkrovos metu.

Galite patikrinti, kas yra jūsų sistemos ir paslaugų vadybininkas, vykdydami šią komandą:

ps --pid 1

Priklausomai nuo aukščiau pateiktos komandos išvesties, naudosite vieną iš šių komandų, kad sukonfigūruotumėte, ar kiekviena paslauga turėtų prasidėti automatiškai paleidžiant, ar ne:

Sistemos pagrindu
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
„Sysvinit“ pagrindu
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
Pradedantiesiems

Įsitikinkite, kad scenarijus /etc/init/[service].conf egzistuoja ir jame yra minimali konfigūracija, pvz.:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Taip pat galbūt norėsite patikrinti LFCS serijos 7 dalį (kurią ką tik minėjome šio skyriaus pradžioje), kur rasite kitų naudingų komandų, skirtų tinklo paslaugoms pagal pareikalavimą valdyti.

Santrauka

Iki šiol turėtumėte įdiegti visas šiame straipsnyje aprašytas tinklo paslaugas ir galbūt veikti su numatytąją konfigūraciją. Vėlesniuose straipsniuose išnagrinėsime, kaip juos konfigūruoti pagal savo poreikius, todėl būtinai sekite naujienas! Nedvejodami pasidalykite savo komentarais (arba paskelbkite klausimų, jei turite) apie šį straipsnį naudodami toliau pateiktą formą.

Nuorodų nuorodos
  1. Apie LFCE
  2. Kodėl verta gauti „Linux Foundation“ sertifikatą?
  3. Registruokitės LFCE egzaminui