LFCE: Instaliranje mrežnih usluga i konfiguriranje automatskog pokretanja pri pokretanju - 1. dio

Linux Foundation Certified Engineer (LFCE) spreman je instalirati, konfigurirati, upravljati i rješavati probleme s mrežnim uslugama u Linux sustavima te je odgovoran za dizajn i implementaciju arhitekture sustava .

Predstavljamo certifikacijski program Linux Foundation.

U ovoj seriji od 12 članaka pod naslovom Priprema za LFCE (Linux Foundation Certified Engineer) ispit, pokrit ćemo potrebne domene i kompetencije u Ubuntuu, CentOS-u i openSUSE-u:

Instaliranje mrežnih usluga

Kada se radi o postavljanju i korištenju bilo koje vrste mrežnih usluga, teško je zamisliti scenarij u kojem Linux ne može biti dio. U ovom ćemo članku pokazati kako instalirati sljedeće mrežne usluge u Linuxu (svaka konfiguracija bit će obrađena u sljedećim zasebnim člancima):

  1. NFS (Network File System) poslužitelj
  2. Apache web poslužitelj
  3. Squid proxy poslužitelj + SquidGuard
  4. Poslužitelj e-pošte (Postfix + Dovecot) i
  5. Iptables

Osim toga, želimo osigurati da se sve te usluge automatski pokreću pri pokretanju ili na zahtjev.

Moramo napomenuti da čak i kada možete pokrenuti sve te mrežne usluge na istom fizičkom računalu ili virtualnom privatnom poslužitelju, jedno od prvih takozvanih “pravila” mrežne sigurnosti govori administratorima sustava da izbjegavaju pa u mjeri u kojoj je to moguće. Koja je prosudba koja podupire tu izjavu? Prilično je jednostavno: ako je iz nekog razloga mrežna usluga ugrožena na računalu koje pokreće više od jedne od njih, napadaču može biti relativno lako kompromitirati i ostale.

Sada, ako stvarno trebate instalirati više mrežnih usluga na isti stroj (u testnom laboratoriju, na primjer), provjerite jeste li omogućili samo one koji su vam potrebni u određenom trenutku, a kasnije ih onemogućite.

Prije nego što počnemo, moramo pojasniti da je trenutni članak (zajedno s ostatkom u serijama LFCS i LFCE) fokusiran na perspektivu temeljenu na performansama i stoga ne može ispitati svaki teorijski detalj o obrađenim temama. Međutim, uvodit ćemo svaku temu s potrebnim informacijama kao početnom točkom.

Kako biste koristili sljedeće mrežne usluge, morat ćete zasad onemogućiti vatrozid dok ne naučimo kako dopustiti odgovarajući promet kroz vatrozid.

Imajte na umu da se ovo NE preporučuje za postavljanje proizvodnje, ali ćemo to učiniti samo u svrhu učenja.

U zadanoj instalaciji Ubuntua vatrozid ne bi trebao biti aktivan. U openSUSE i CentOS, morat ćete ga eksplicitno onemogućiti:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Uz to, počnimo!

Instaliranje NFSv4 poslužitelja

NFS je sam po sebi mrežni protokol, čija je najnovija verzija NFSv4. Ovo je verzija koju ćemo koristiti u ovoj seriji.

NFS poslužitelj je tradicionalno rješenje koje omogućuje udaljenim Linux klijentima da montiraju svoje dijeljene resurse preko mreže i komuniciraju s tim datotečnim sustavima kao da su montirani lokalno, omogućujući centralizaciju resursa za pohranu za mrežu.

Na CentOS-u
yum update && yum install nfs-utils
Na Ubuntuu
aptitude update && aptitude install nfs-kernel-server
Na OpenSUSE
zypper refresh && zypper install nfsserver

Za detaljnije upute pročitajte naš članak koji govori kako konfigurirati NFS poslužitelj i klijent na Linux sustavima.

Instaliranje web poslužitelja Apache

Web poslužitelj Apache robusna je i pouzdana FOSS implementacija HTTP poslužitelja. Od kraja listopada 2014. Apache pokreće 385 milijuna stranica, što mu daje 37,45% udjela na tržištu. Možete koristiti Apache za posluživanje samostalne web stranice ili više virtualnih hostova na jednom računalu.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Za detaljnije upute pročitajte naše sljedeće članke koji pokazuju kako stvoriti Apache virtualne hostove temeljene na IP-u i imenu te kako osigurati Apache web poslužitelj.

  1. Apache virtualni hosting temeljen na IP-u i imenu
  2. Savjeti za jačanje i sigurnost web poslužitelja Apache

Instaliranje programa Squid i SquidGuard

Squid je proxy poslužitelj i demon web predmemorije i, kao takav, djeluje kao posrednik između nekoliko klijentskih računala i interneta (ili usmjerivača spojenog na internet), dok ubrzava česte zahtjeve predmemoriranjem web sadržaja i DNS rezoluciju u isto vrijeme. Također se može koristiti za uskraćivanje (ili odobravanje) pristupa određenim URL-ovima prema mrežnom segmentu ili na temelju zabranjenih ključnih riječi, te čuva datoteku dnevnika svih veza ostvarenih s vanjskim svijetom po korisniku.

Squidguard je preusmjerivač koji implementira crne popise kako bi poboljšao squid i besprijekorno se integrira s njim.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Instalacija Postfixa i Dovecota

Postfix je agent za prijenos pošte (MTA). To je aplikacija odgovorna za usmjeravanje i isporuku poruka e-pošte od izvora do odredišnih poslužitelja e-pošte, dok je dovecot široko korišten IMAP i POP3 poslužitelj e-pošte koji dohvaća poruke od MTA i isporučuje ih u poštanski sandučić pravog korisnika.

Dostupni su i dodaci Dovecot za nekoliko sustava upravljanja relacijskim bazama podataka.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

O Iptablesu

U nekoliko riječi, vatrozid mrežni je resurs koji se koristi za upravljanje pristupom privatnoj mreži ili s nje te za preusmjeravanje dolaznog i odlaznog prometa na temelju određenih pravila.

Iptables je alat instaliran prema zadanim postavkama u Linuxu i služi kao sučelje modulu kernela netfilter, koji je krajnji odgovoran za implementaciju vatrozida za izvođenje funkcija filtriranja/preusmjeravanja paketa i prevođenja mrežnih adresa.

Budući da je iptables instaliran u Linuxu prema zadanim postavkama, morate samo provjeriti je li doista pokrenut. Da bismo to učinili, trebali bismo provjeriti jesu li iptables moduli učitani:

lsmod | grep ip_tables

Ako gornja naredba ne vrati ništa, to znači da modul ip_tables nije učitan. U tom slučaju pokrenite sljedeću naredbu za učitavanje modula.

modprobe -a ip_tables

Pročitajte također: Osnovni vodič za Linux Iptables vatrozid

Konfiguriranje automatskog pokretanja usluga pri pokretanju

Kao što je objašnjeno u Upravljanju procesom pokretanja sustava i uslugama – 7. dio serije od 10 članaka o LFCS certifikaciji, u Linuxu je dostupno nekoliko upravitelja sustava i usluga. Bez obzira na vaš izbor, trebate znati kako pokrenuti, zaustaviti i ponovno pokrenuti mrežne usluge na zahtjev te kako im omogućiti da se automatski pokreću pri dizanju sustava.

Možete provjeriti koji je vaš upravitelj sustava i usluga pokretanjem sljedeće naredbe:

ps --pid 1

Ovisno o rezultatu gornje naredbe, upotrijebit ćete jednu od sljedećih naredbi da konfigurirate hoće li se svaka usluga automatski pokrenuti prilikom podizanja sustava ili ne:

Na temelju systemd-a
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
Na bazi sysvinita
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
Na temelju početnika

Provjerite postoji li skripta /etc/init/[service].conf i sadrži li minimalnu konfiguraciju, kao što je:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Također biste mogli provjeriti 7. dio serije LFCS (koji smo upravo spomenuli na početku ovog odjeljka) za druge korisne naredbe za upravljanje mrežnim uslugama na zahtjev.

Sažetak

Do sada biste trebali imati sve mrežne usluge opisane u ovom članku instalirane i možda raditi sa zadanom konfiguracijom. U kasnijim člancima istražit ćemo kako ih konfigurirati u skladu s našim potrebama, stoga budite sigurni da nas pratite! Slobodno podijelite svoje komentare (ili postavite pitanja, ako ih imate) o ovom članku pomoću donjeg obrasca.

Referentne veze
  1. O LFCE-u
  2. Zašto dobiti certifikaciju Linux Foundation?
  3. Prijavite se za LFCE ispit