LFCE: Setja upp netþjónustu og stilla sjálfvirka ræsingu við ræsingu - Part 1
Linux Foundation Certified Engineer (LFCE) er tilbúinn til að setja upp, stilla, stjórna og leysa netþjónustu í Linux kerfum og ber ábyrgð á hönnun og útfærslu kerfisarkitektúrs.
Við kynnum Linux Foundation vottunaráætlunina.
Í þessari 12 greinaröð, sem ber titilinn Undirbúningur fyrir LFCE (Linux Foundation Certified Engineer) prófið, munum við fjalla um nauðsynleg lén og hæfni í Ubuntu, CentOS og openSUSE:
Að setja upp netþjónustu
Þegar kemur að því að setja upp og nota hvers konar netþjónustu er erfitt að ímynda sér atburðarás sem Linux getur ekki verið hluti af. Í þessari grein munum við sýna hvernig á að setja upp eftirfarandi netþjónustu í Linux (hverja uppsetningu verður fjallað um í komandi aðskildum greinum):
- NFS (Network File System) Server
- Apache vefþjónn
- Squid Proxy Server + SquidGuard
- Tölvupóstþjónn (Postfix + Dovecot), og
- Iptables
Að auki viljum við tryggja að öll þessi þjónusta sé sjálfkrafa ræst við ræsingu eða á eftirspurn.
Við verðum að hafa í huga að jafnvel þegar þú getur keyrt alla þessa netþjónustu á sömu líkamlegu vélinni eða sýndar einkaþjóni, þá segir ein af fyrstu svokölluðu \reglunum um netöryggi kerfisstjóra að forðast að gera það að því marki sem mögulegt er. Hver er dómurinn sem styður þá fullyrðingu? Það er frekar einfalt: Ef af einhverjum ástæðum er netþjónusta í hættu í vél sem keyrir fleiri en eina þeirra getur verið tiltölulega auðvelt fyrir árásarmann að málamiðlanir restin líka.
Nú, ef þú þarft virkilega að setja upp margar netþjónustur á sömu vélinni (í prófunarstofu, til dæmis), vertu viss um að þú kveikir aðeins á þeim sem þú þarft á ákveðnu augnabliki og slökktu á þeim síðar.
Áður en við byrjum verðum við að skýra að núverandi grein (ásamt afganginum í LFCS og LFCE seríunum) er lögð áhersla á frammistöðumiðað sjónarhorn og getur því ekki skoða öll fræðileg smáatriði um þau efni sem fjallað er um. Við munum hins vegar kynna hvert efni með nauðsynlegum upplýsingum sem útgangspunkt.
Til að nota eftirfarandi netþjónustu þarftu að slökkva á eldveggnum í bili þar til við lærum hvernig á að leyfa samsvarandi umferð í gegnum eldvegginn.
Vinsamlegast athugaðu að þetta er EKKI mælt fyrir framleiðsluuppsetningu, en við munum gera það eingöngu í námsskyni.
Í sjálfgefna Ubuntu uppsetningu ætti eldveggurinn ekki að vera virkur. Í openSUSE og CentOS þarftu að gera það sérstaklega óvirkt:
# systemctl stop firewalld # systemctl disable firewalld or # or systemctl mask firewalld
Sem sagt, við skulum byrja!
NFS í sjálfu sér er netsamskiptareglur, þar sem nýjasta útgáfan er NFSv4. Þetta er útgáfan sem við munum nota í þessari seríu.
NFS þjónn er hefðbundin lausn sem gerir ytri Linux viðskiptavinum kleift að tengja hluti sína yfir netkerfi og hafa samskipti við þessi skráarkerfi eins og þau séu sett upp á staðnum, sem gerir kleift að miðstýra geymsluauðlindum fyrir netið.
# yum update && yum install nfs-utils
# aptitude update && aptitude install nfs-kernel-server
# zypper refresh && zypper install nfsserver
Fyrir ítarlegri leiðbeiningar, lestu grein okkar sem segir til um hvernig á að stilla NFS netþjón og viðskiptavin á Linux kerfum.
Apache vefþjónninn er öflug og áreiðanleg FOSS útfærsla á HTTP netþjóni. Í lok október 2014 hefur Apache 385 milljónir vefsvæða sem gefur því 37,45% hlutdeild á markaðnum. Þú getur notað Apache til að þjóna sjálfstæðri vefsíðu eða mörgum sýndarhýsingum í einni vél.
# yum update && yum install httpd [On CentOS] # aptitude update && aptitude install apache2 [On Ubuntu] # zypper refresh && zypper install apache2 [On openSUSE]
Fyrir ítarlegri leiðbeiningar, lestu eftirfarandi greinar okkar sem sýna hvernig á að búa til Ip-undirstaða og nafna byggða Apache sýndargestgjafa og hvernig á að tryggja Apache vefþjón.
- Apache IP byggt og nafn byggt sýndarhýsing
- Herðingu og öryggisráð fyrir Apache vefþjón
Squid er proxy-þjónn og skyndiminni á vefnum og virkar sem slíkur sem milliliður á milli nokkurra viðskiptavinatölva og internetsins (eða beins tengdur við internetið), en flýtir fyrir tíðum beiðnum með því að vista innihald vefsins. og DNS upplausn á sama tíma. Það er einnig hægt að nota til að neita (eða veita) aðgang að ákveðnum vefslóðum eftir nethlutum eða byggt á bönnuðum leitarorðum, og heldur skrá yfir allar tengingar sem tengjast umheiminum á hverjum notanda.
Squidguard er redirector sem útfærir svartan lista til að auka smokkfisk og samþættist hann óaðfinnanlega.
# yum update && yum install squid squidGuard [On CentOS] # aptitude update && aptitude install squid3 squidguard [On Ubuntu] # zypper refresh && zypper install squid squidGuard [On openSUSE]
Postfix er Mail Transport Agent (MTA). Það er forritið sem ber ábyrgð á að beina og afhenda tölvupóstskeyti frá uppruna til áfangapóstþjóna, en dovecot er mikið notaður IMAP og POP3 tölvupóstþjónn sem sækir skilaboð frá MTA og kemur þeim í rétt notendapósthólf.
Dovecot viðbætur fyrir nokkur venslagagnagrunnsstjórnunarkerfi eru einnig fáanlegar.
# yum update && yum install postfix dovecot [On CentOS] # aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d [On Ubuntu] # zypper refresh && zypper postfix dovecot [On openSUSE]
Í fáum orðum, eldveggur er nettilföng sem er notuð til að stjórna aðgangi að eða frá einkaneti og til að beina inn- og útleið út frá ákveðnum reglum.
Iptables er tól sem er sjálfgefið uppsett í Linux og þjónar sem framenda netfilter kjarnaeiningarinnar, sem er endanleg ábyrg fyrir því að innleiða eldvegg til að framkvæma pakkasíun/tilvísun og þýðingarvirkni netfanga.
Þar sem iptables er sjálfgefið uppsett í Linux þarftu aðeins að ganga úr skugga um að það sé í raun í gangi. Til að gera það ættum við að athuga hvort iptables einingarnar séu hlaðnar:
# lsmod | grep ip_tables
Ef skipunin hér að ofan skilar engu þýðir það að ip_tables einingin hefur ekki verið hlaðin. Í því tilviki skaltu keyra eftirfarandi skipun til að hlaða einingunni.
# modprobe -a ip_tables
Lestu líka: Grunnleiðbeiningar um Linux Iptables eldvegg
Stilla þjónustu sjálfvirka ræsingu við ræsingu
Eins og fjallað er um í Stjórnun kerfisræsingarferlis og -þjónustu – Hluti 7 af 10 greinaröðinni um LFCS vottunina, þá eru nokkrir kerfis- og þjónustustjórar fáanlegir í Linux. Hvað sem þú velur þarftu að vita hvernig á að ræsa, stöðva og endurræsa netþjónustu eftir kröfu og hvernig á að gera þeim kleift að byrja sjálfkrafa við ræsingu.
Þú getur athugað hvað er kerfis- og þjónustustjóri með því að keyra eftirfarandi skipun:
# ps --pid 1
Það fer eftir framleiðslu ofangreindrar skipunar, þú munt nota eina af eftirfarandi skipunum til að stilla hvort hver þjónusta ætti að byrja sjálfkrafa við ræsingu eða ekki:
----------- Enable Service to Start at Boot ----------- # systemctl enable [service]
----------- Prevent Service from Starting at Boot ----------- # systemctl disable [service] # prevent [service] from starting at boot
----------- Start Service at Boot in Runlevels A and B ----------- # chkconfig --level AB [service] on
----------- Don’t Start Service at boot in Runlevels C and D ----------- # chkconfig --level CD service off
Gakktu úr skugga um að /etc/init/[service].conf forskriftin sé til og innihaldi lágmarksstillingar, eins og:
# When to start the service start on runlevel [2345] # When to stop the service stop on runlevel [016] # Automatically restart process in case of crash respawn # Specify the process/command (add arguments if needed) to run exec /absolute/path/to/network/service/binary arg1 arg2
Þú gætir líka viljað athuga Hluti 7 af LFCS seríunni (sem við vísuðum bara á í upphafi þessa hluta) fyrir aðrar gagnlegar skipanir til að stjórna sérþjónustu á eftirspurn.
Samantekt
Núna ættirðu að hafa alla netþjónustu sem lýst er í þessari grein uppsett og hugsanlega keyrð með sjálfgefna stillingu. Í síðari greinum munum við kanna hvernig á að stilla þær í samræmi við þarfir okkar, svo vertu viss um að fylgjast með! Og ekki hika við að deila athugasemdum þínum (eða senda inn spurningar, ef þú hefur einhverjar) um þessa grein með því að nota formið hér að neðan.
- Um LFCE
- Af hverju að fá Linux Foundation vottun?
- Skráðu þig í LFCE prófið