LFCE: Instaliranje mrežnih usluga i konfiguriranje automatskog pokretanja pri pokretanju - 1. dio


Certifikovani inženjer Linux Foundation (LFCE) je spreman za instaliranje, konfiguraciju, upravljanje i rješavanje problema mrežnih usluga u Linux sistemima i odgovoran je za dizajn i implementaciju arhitekture sistema .

Predstavljamo program sertifikacije Linux Foundation.

U ovoj seriji od 12 članaka, pod nazivom Priprema za LFCE (Linux Foundation Certified Engineer) ispit, pokriti ćemo potrebne domene i kompetencije u Ubuntu, CentOS i openSUSE:

Instaliranje mrežnih usluga

Kada je u pitanju postavljanje i korištenje bilo koje vrste mrežnih usluga, teško je zamisliti scenarij u kojem Linux ne može biti dio. U ovom članku ćemo pokazati kako instalirati sljedeće mrežne usluge u Linuxu (svaka konfiguracija će biti pokrivena u narednim posebnim člancima):

  1. NFS (mrežni sistem datoteka) server
  2. Apache web server
  3. Squid proxy server + SquidGuard
  4. Server e-pošte (Postfix + Dovecot), i
  5. Iptables

Osim toga, željet ćemo osigurati da se sve te usluge automatski pokreću pri pokretanju ili na zahtjev.

Moramo napomenuti da čak i kada možete pokrenuti sve ove mrežne usluge na istoj fizičkoj mašini ili virtuelnom privatnom serveru, jedno od prvih takozvanih “pravila” mrežne bezbednosti govori administratorima sistema da izbegavaju tako u meri u kojoj je to moguće. Koja je presuda koja podržava tu izjavu? Prilično je jednostavno: ako je iz nekog razloga mrežna usluga ugrožena na mašini koja pokreće više njih, napadaču može biti relativno lako da kompromituje i ostale.

Sada, ako zaista trebate instalirati više mrežnih usluga na istom stroju (u testnoj laboratoriji, na primjer), pobrinite se da omogućite samo one koje su vam potrebne u određenom trenutku, a kasnije ih onemogućite.

Prije nego što počnemo, moramo razjasniti da je trenutni članak (zajedno s ostatkom u serijama LFCS i LFCE) fokusiran na perspektivu zasnovanu na performansama, te stoga ne može ispitati svaki teoretski detalj o obrađenim temama. Mi ćemo, međutim, svaku temu uvesti sa potrebnim informacijama kao polaznom tačkom.

Da biste koristili sljedeće mrežne usluge, morat ćete za sada onemogućiti zaštitni zid dok ne naučimo kako dozvoliti odgovarajući promet kroz zaštitni zid.

Imajte na umu da se ovo NE preporučuje za podešavanje proizvodnje, ali ćemo to učiniti samo u svrhu učenja.

U podrazumevanoj instalaciji Ubuntua, zaštitni zid ne bi trebalo da bude aktivan. U openSUSE i CentOS, morat ćete ga eksplicitno onemogućiti:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

S obzirom na to, počnimo!

Instaliranje NFSv4 servera

NFS sam po sebi je mrežni protokol, čija je najnovija verzija NFSv4. Ovo je verzija koju ćemo koristiti u ovoj seriji.

NFS server je tradicionalno rješenje koje omogućava udaljenim Linux klijentima da montiraju svoje dionice preko mreže i komuniciraju sa tim sistemima datoteka kao da su montirani lokalno, omogućavajući centraliziranje resursa za skladištenje za mrežu.

Na CentOS-u
yum update && yum install nfs-utils
Na Ubuntu
aptitude update && aptitude install nfs-kernel-server
Na OpenSUSE
zypper refresh && zypper install nfsserver

Za detaljnija uputstva pročitajte naš članak koji govori kako da konfigurišete NFS server i klijent na Linux sistemima.

Instaliranje Apache web servera

Apache web server je robusna i pouzdana FOSS implementacija HTTP servera. Do kraja oktobra 2014. godine, Apache pokreće 385 miliona lokacija, što mu daje 37,45% udjela na tržištu. Možete koristiti Apache za opsluživanje samostalne web stranice ili više virtualnih hostova na jednom stroju.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Za detaljnija uputstva pročitajte naše sljedeće članke koji pokazuju kako kreirati Apache virtualne hostove zasnovane na IP-u i imenu i kako osigurati Apache web server.

  1. Virtuelni hosting baziran na Apache IP-u i nazivu
  2. Savjeti za jačanje i sigurnost Apache web servera

Instaliranje Squid i SquidGuard

Squid je proxy server i web keš demon i, kao takav, djeluje kao posrednik između nekoliko klijentskih računara i interneta (ili rutera povezanog na internet), dok ubrzava česte zahtjeve keširanjem web sadržaja i DNS rezoluciju u isto vrijeme. Takođe se može koristiti za uskraćivanje (ili odobravanje) pristupa određenim URL-ovima po segmentu mreže ili na osnovu zabranjenih ključnih reči, i čuva evidenciju svih veza napravljenih sa spoljnim svetom po korisniku.

Squidguard je preusmjerivač koji implementira crne liste za poboljšanje squid-a i neprimjetno se integrira s njim.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Instaliranje Postfixa i Dovecot-a

Postfix je agent za prijenos pošte (MTA). To je aplikacija odgovorna za usmjeravanje i isporuku e-mail poruka od izvornog do odredišnog mail servera, dok je dovecot široko korišteni IMAP i POP3 server e-pošte koji preuzima poruke od MTA i isporučuje ih u poštansko sanduče pravog korisnika.

Dovecot dodaci za nekoliko sistema upravljanja relacionim bazama podataka su takođe dostupni.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]	

O Iptables

Ukratko, firewall je mrežni resurs koji se koristi za upravljanje pristupom privatnoj mreži ili sa nje, te za preusmjeravanje dolaznog i odlaznog saobraćaja na osnovu određenih pravila.

Iptables je alat instaliran prema zadanim postavkama u Linuxu i služi kao frontend modulu kernela netfilter, koji je krajnji odgovoran za implementaciju firewall-a za obavljanje filtriranja/preusmjeravanja paketa i funkcionalnosti prevođenja mrežnih adresa.

Budući da je iptables instaliran u Linuxu prema zadanim postavkama, morate samo provjeriti da li stvarno radi. Da bismo to uradili, treba da proverimo da li su iptables moduli učitani:

lsmod | grep ip_tables

Ako gornja naredba ne vrati ništa, to znači da modul ip_tables nije učitan. U tom slučaju, pokrenite sljedeću naredbu da učitate modul.

modprobe -a ip_tables

Pročitajte također: Osnovni vodič za Linux Iptables Firewall

Konfiguriranje usluge automatskog pokretanja pri pokretanju

Kao što je objašnjeno u Upravljanje procesom pokretanja sistema i uslugama – 7. dio serije od 10 članaka o LFCS certifikatu, postoji nekoliko upravitelja sistema i usluga dostupnih u Linuxu. Bez obzira na vaš izbor, morate znati kako pokrenuti, zaustaviti i ponovo pokrenuti mrežne usluge na zahtjev i kako omogućiti njihovo automatsko pokretanje pri pokretanju.

Možete provjeriti koji je vaš sistem i upravitelj usluga tako što ćete pokrenuti sljedeću naredbu:

ps --pid 1

Ovisno o izlazu gornje naredbe, koristit ćete jednu od sljedećih naredbi da konfigurirate da li će se svaka usluga automatski pokrenuti pri pokretanju ili ne:

Na bazi sistema systemd
----------- Enable Service to Start at Boot -----------
systemctl enable [service]
----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
Na bazi sysvinita
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 
-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off 
Na bazi početnika

Provjerite postoji li skripta /etc/init/[service].conf i da sadrži minimalnu konfiguraciju, kao što je:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Možda biste željeli provjeriti i 7. dio serije LFCS (koji smo upravo spomenuli na početku ovog odjeljka) za druge korisne komande za upravljanje mrežnim uslugama na zahtjev.

Sažetak

Do sada biste trebali imati instalirane sve mrežne usluge opisane u ovom članku i moguće ih pokrenuti sa zadanom konfiguracijom. U kasnijim člancima ćemo istražiti kako ih konfigurirati prema našim potrebama, stoga budite sigurni da nas pratite! I slobodno podijelite svoje komentare (ili postavite pitanja, ako ih imate) na ovaj članak koristeći obrazac ispod.

Referentne veze
  1. O LFCE-u
  2. Zašto dobiti Linux Foundation Certifikat?
  3. Prijavite se za LFCE ispit