LFCE: Installere nettverkstjenester og konfigurere automatisk oppstart ved oppstart - del 1


En Linux Foundation-sertifisert ingeniør (LFCE) er forberedt på å installere, konfigurere, administrere og feilsøke nettverkstjenester i Linux-systemer, og er ansvarlig for design og implementering av systemarkitektur .

Vi introduserer Linux Foundation-sertifiseringsprogrammet.

I denne serien med 12 artikler, med tittelen Forberedelse for LFCE (Linux Foundation Certified Engineer) eksamen, vil vi dekke de nødvendige domenene og kompetansene i Ubuntu, CentOS og openSUSE:

Installere nettverkstjenester

Når det gjelder å sette opp og bruke alle slags nettverkstjenester, er det vanskelig å forestille seg et scenario som Linux ikke kan være en del av. I denne artikkelen vil vi vise hvordan du installerer følgende nettverkstjenester i Linux (hver konfigurasjon vil bli dekket i kommende separate artikler):

  1. NFS (Network File System) Server
  2. Apache webserver
  3. Squid Proxy Server + SquidGuard
  4. E-postserver (Postfix + Dovecot), og
  5. Iptables

I tillegg vil vi sørge for at alle disse tjenestene startes automatisk ved oppstart eller på forespørsel.

Vi må merke oss at selv når du kan kjøre alle disse nettverkstjenestene på samme fysiske maskin eller virtuelle private server, ber en av de første såkalte «reglene» for nettverkssikkerhet systemadministratorer om å unngå å gjøre så i den grad det er mulig. Hva er dommen som støtter den uttalelsen? Det er ganske enkelt: Hvis en nettverkstjeneste av en eller annen grunn blir kompromittert i en maskin som kjører mer enn én av dem, kan det være relativt enkelt for en angriper å kompromittere resten også.

Nå, hvis du virkelig trenger å installere flere nettverkstjenester på samme maskin (i et testlaboratorium, for eksempel), sørg for at du bare aktiverer de du trenger på et bestemt tidspunkt, og deaktiver dem senere.

Før vi begynner, må vi avklare at den nåværende artikkelen (sammen med resten i LFCS- og LFCE-serien) er fokusert på et ytelsesbasert perspektiv, og derfor ikke kan undersøke alle teoretiske detaljer om de dekkede emnene. Vi vil imidlertid introdusere hvert emne med nødvendig informasjon som utgangspunkt.

For å bruke følgende nettverkstjenester, må du deaktivere brannmuren inntil vi lærer hvordan du tillater tilsvarende trafikk gjennom brannmuren.

Vær oppmerksom på at dette IKKE anbefales for et produksjonsoppsett, men vi gjør det kun for læringsformål.

I en standard Ubuntu-installasjon skal ikke brannmuren være aktiv. I openSUSE og CentOS må du eksplisitt deaktivere det:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Når det er sagt, la oss komme i gang!

Installere en NFSv4-server

NFS i seg selv er en nettverksprotokoll, hvis siste versjon er NFSv4. Dette er versjonen vi skal bruke gjennom denne serien.

En NFS-server er den tradisjonelle løsningen som lar eksterne Linux-klienter montere sine delinger over et nettverk og samhandle med disse filsystemene som om de er montert lokalt, noe som gjør det mulig å sentralisere lagringsressurser for nettverket.

På CentOS
yum update && yum install nfs-utils
På Ubuntu
aptitude update && aptitude install nfs-kernel-server
På OpenSUSE
zypper refresh && zypper install nfsserver

For mer detaljerte instruksjoner, les artikkelen vår som forteller hvordan du konfigurerer NFS-server og klient på Linux-systemer.

Installere Apache Web Server

Apache-nettserveren er en robust og pålitelig FOSS-implementering av en HTTP-server. I slutten av oktober 2014 driver Apache 385 millioner nettsteder, noe som gir den en 37,45 % andel av markedet. Du kan bruke Apache til å betjene et frittstående nettsted eller flere virtuelle verter i én maskin.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

For mer detaljerte instruksjoner, les følgende artikler som viser hvordan du oppretter IP-baserte og navnebaserte Apache virtuelle verter og hvordan du sikrer Apache webserver.

  1. Apache IP-basert og navnebasert virtuell hosting
  2. Apache Web Server Hardening og sikkerhetstips

Installere Squid og SquidGuard

Squid er en proxy-server og webbuffer-demon og fungerer som sådan som mellomledd mellom flere klientdatamaskiner og Internett (eller en ruter koblet til Internett), samtidig som den øker hyppige forespørsler ved å bufre nettinnhold og DNS-oppløsning på samme tid. Den kan også brukes til å nekte (eller gi) tilgang til visse nettadresser etter nettverkssegment eller basert på forbudte søkeord, og holder en loggfil over alle tilkoblinger til omverdenen per bruker.

Squidguard er en omdirigerer som implementerer svartelister for å forbedre blekksprut, og integreres sømløst med den.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Installerer Postfix og Dovecot

Postfix er en Mail Transport Agent (MTA). Det er applikasjonen som er ansvarlig for å rute og levere e-postmeldinger fra en kilde til en destinasjonspostserver, mens dovecot er en mye brukt IMAP- og POP3-e-postserver som henter meldinger fra MTA og leverer dem til riktig brukerpostkasse.

Dovecot-plugins for flere relasjonsdatabaseadministrasjonssystemer er også tilgjengelige.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]	

Om Iptables

Med få ord er en brannmur en nettverksressurs som brukes til å administrere tilgang til eller fra et privat nettverk, og til å omdirigere innkommende og utgående trafikk basert på visse regler.

Iptables er et verktøy som er installert som standard i Linux og fungerer som en grensesnitt til netfilter-kjernemodulen, som er den ultimate ansvarlige for å implementere en brannmur for å utføre pakkefiltrering/omdirigering og nettverksadresseoversettelsesfunksjoner.

Siden iptables er installert i Linux som standard, må du bare sørge for at den faktisk kjører. For å gjøre det, bør vi sjekke at iptables-modulene er lastet:

lsmod | grep ip_tables

Hvis kommandoen ovenfor ikke returnerer noe, betyr det at ip_tables-modulen ikke er lastet. I så fall, kjør følgende kommando for å laste modulen.

modprobe -a ip_tables

Les også: Grunnleggende veiledning til Linux Iptables-brannmur

Konfigurere tjenester automatisk start ved oppstart

Som diskutert i Managing System Startup Process and Services – Del 7 av serien med 10 artikler om LFCS-sertifiseringen, er det flere system- og tjenesteadministratorer tilgjengelig i Linux. Uansett hva du velger, må du vite hvordan du starter, stopper og starter nettverkstjenester på nytt på forespørsel, og hvordan du aktiverer dem til å starte automatisk ved oppstart.

Du kan sjekke hva som er system- og serviceadministratoren din ved å kjøre følgende kommando:

ps --pid 1

Avhengig av resultatet av kommandoen ovenfor, vil du bruke en av følgende kommandoer for å konfigurere om hver tjeneste skal starte automatisk ved oppstart eller ikke:

På systembasert
----------- Enable Service to Start at Boot -----------
systemctl enable [service]
----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
På sysvinit-basert
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 
-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off 
På oppkomling-basert

Sørg for at /etc/init/[service].conf-skriptet eksisterer og inneholder den minimale konfigurasjonen, for eksempel:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Det kan også være lurt å sjekke Del 7 av LFCS-serien (som vi nettopp refererte til i begynnelsen av denne delen) for andre nyttige kommandoer for å administrere nettverkstjenester på forespørsel.

Sammendrag

Nå bør du ha alle nettverkstjenestene beskrevet i denne artikkelen installert, og muligens kjører med standardkonfigurasjonen. I senere artikler vil vi utforske hvordan du konfigurerer dem i henhold til våre behov, så sørg for å følge med! Og del gjerne dine kommentarer (eller legg inn spørsmål, hvis du har noen) på denne artikkelen ved å bruke skjemaet nedenfor.

Referanselenker
  1. Om LFCE
  2. Hvorfor få en Linux Foundation-sertifisering?
  3. Registrer deg for LFCE-eksamenen