LFCE: Verkkopalvelujen asentaminen ja automaattisen käynnistyksen määrittäminen käynnistyksen yhteydessä - Osa 1

Linux Foundation Certified Engineer (LFCE) on valmis asentamaan, konfiguroimaan, hallitsemaan ja vianmääritykseen Linux-järjestelmien verkkopalveluita, ja hän vastaa järjestelmäarkkitehtuurin suunnittelusta ja toteutuksesta. .

Esittelyssä Linux Foundation -sertifiointiohjelma.

Tässä 12 artikkelin sarjassa, jonka otsikko on Valmistautuminen LFCE (Linux Foundation Certified Engineer) -kokeeseen, käsittelemme Ubuntun, CentOS:n ja openSUSEn vaaditut toimialueet ja kompetenssit:

Verkkopalveluiden asentaminen

Mitä tahansa verkkopalvelua määritettäessä ja käytettäessä on vaikea kuvitella skenaariota, johon Linux ei voisi olla osa. Tässä artikkelissa näytämme, kuinka seuraavat verkkopalvelut asennetaan Linuxiin (jokainen kokoonpano käsitellään tulevissa erillisissä artikkeleissa):

  1. NFS (Network File System) -palvelin
  2. Apache-verkkopalvelin
  3. Squid Proxy Server + SquidGuard
  4. Sähköpostipalvelin (Postfix + Dovecot) ja
  5. Iptables

Lisäksi haluamme varmistaa, että kaikki nämä palvelut käynnistetään automaattisesti käynnistyksen yhteydessä tai pyynnöstä.

Meidän on huomioitava, että vaikka voit käyttää kaikkia näitä verkkopalveluita samassa fyysisessä koneessa tai virtuaalisessa yksityisessä palvelimessa, yksi ensimmäisistä niin sanotuista verkkoturvallisuuden "säännöistä" kehottaa järjestelmänvalvojia välttämään niin siinä määrin kuin mahdollista. Mikä on tuomio, joka tukee tätä väitettä? Se on melko yksinkertaista: jos verkkopalvelu jostain syystä vaarantuu koneessa, joka käyttää useampaa kuin yhtä niistä, hyökkääjän voi olla suhteellisen helppoa vaarantaa myös muut.

Jos sinun on todella asennettava useita verkkopalveluita samalle koneelle (esimerkiksi testilaboratoriossa), varmista, että otat käyttöön vain ne, joita tarvitset tietyllä hetkellä, ja poista ne käytöstä myöhemmin.

Ennen kuin aloitamme, meidän on selvennettävä, että nykyinen artikkeli (yhdessä muiden LFCS- ja LFCE-sarjojen kanssa) keskittyy suorituskykyyn perustuvaan näkökulmaan, joten se ei voi tutkia kaikkia käsiteltyjen aiheiden teoreettisia yksityiskohtia. Esittelemme kuitenkin jokaisen aiheen tarvittavilla tiedoilla lähtökohtana.

Jotta voit käyttää seuraavia verkkopalveluita, sinun on poistettava palomuuri käytöstä toistaiseksi, kunnes opimme sallimaan vastaavan liikenteen palomuurin läpi.

Huomaa, että tätä EI suositella tuotantoasetuksiin, mutta teemme sen vain oppimistarkoituksiin.

Ubuntu-oletusasennuksessa palomuuri ei saa olla aktiivinen. OpenSUSE:ssa ja CentOS:ssä sinun on poistettava se erikseen käytöstä:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Tästä huolimatta aloitetaan!

NFSv4-palvelimen asentaminen

NFS on sinänsä verkkoprotokolla, jonka uusin versio on NFSv4. Tämä on versio, jota käytämme koko sarjan ajan.

NFS-palvelin on perinteinen ratkaisu, jonka avulla Linux-etäasiakkaat voivat liittää osuutensa verkon yli ja olla vuorovaikutuksessa kyseisten tiedostojärjestelmien kanssa ikään kuin ne olisi asennettu paikallisesti, mikä mahdollistaa tallennusresurssien keskittämisen verkkoon.

CentOS:ssä
yum update && yum install nfs-utils
Ubuntussa
aptitude update && aptitude install nfs-kernel-server
OpenSUSEssa
zypper refresh && zypper install nfsserver

Katso tarkemmat ohjeet artikkelistamme, joka kertoo NFS-palvelimen ja -asiakkaan määrittämisestä Linux-järjestelmissä.

Asennetaan Apache Web Server

Apache-verkkopalvelin on vankka ja luotettava HTTP-palvelimen FOSS-toteutus. Lokakuun 2014 lopussa Apache hallitsi 385 miljoonaa sivustoa, mikä antaa sen 37,45 % osuuden markkinoista. Apachen avulla voit palvella itsenäistä verkkosivustoa tai useita virtuaalisia isäntiä yhdessä koneessa.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Saat tarkemmat ohjeet lukemalla seuraavat artikkelit, joissa kerrotaan kuinka luodaan IP- ja nimipohjaisia Apache-virtuaaliisäntiä ja miten Apache-verkkopalvelin suojataan.

  1. Apache IP-pohjainen ja nimipohjainen virtuaalinen hosting
  2. Apache-verkkopalvelimen karkaisu- ja suojausvinkkejä

Squid ja SquidGuardin asentaminen

Squid on välityspalvelin ja verkkovälimuistin demoni, ja sellaisenaan se toimii välittäjänä useiden asiakastietokoneiden ja Internetin (tai Internetiin yhdistetyn reitittimen) välillä, samalla kun se nopeuttaa toistuvia pyyntöjä tallentamalla verkkosisällön välimuistiin. ja DNS-resoluutio samaan aikaan. Sitä voidaan myös käyttää estämään (tai myöntämään) pääsy tiettyihin URL-osoitteisiin verkkosegmentin tai kiellettyjen avainsanojen perusteella, ja se pitää lokitiedostoa kaikista ulkomaailmaan tehdyistä yhteyksistä käyttäjäkohtaisesti.

Squidguard on uudelleenohjaus, joka toteuttaa mustia listoja parantaakseen squidiä ja integroituu saumattomasti sen kanssa.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfixin ja Dovecotin asennus

Postfix on Mail Transport Agent (MTA). Se on sovellus, joka vastaa sähköpostiviestien reitittämisestä ja toimittamisesta lähteestä kohdepostipalvelimiin, kun taas dovecot on laajalti käytetty IMAP- ja POP3-sähköpostipalvelin, joka hakee viestit MTA:sta ja toimittaa ne oikeaan käyttäjän postilaatikkoon.

Saatavilla on myös Dovecot-laajennuksia useisiin relaatiotietokannan hallintajärjestelmiin.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

Tietoja Iptablesista

Lyhyesti sanottuna palomuuri on verkkoresurssi, jota käytetään yksityiseen verkkoon pääsyn hallintaan tai pääsyn hallintaan sekä tulevan ja lähtevän liikenteen ohjaamiseen tiettyjen sääntöjen mukaisesti.

Iptables on Linuxiin oletusarvoisesti asennettu työkalu, joka toimii netfilter-ydinmoduulin käyttöliittymänä, joka on viime kädessä vastuussa palomuurin toteuttamisesta pakettien suodatuksen/uudelleenohjauksen ja verkko-osoitteiden käännöstoimintojen suorittamiseksi.

Koska iptables on asennettu Linuxiin oletuksena, sinun on vain varmistettava, että se todella toimii. Tätä varten meidän tulee tarkistaa, että iptables-moduulit on ladattu:

lsmod | grep ip_tables

Jos yllä oleva komento ei palauta mitään, se tarkoittaa, että ip_tables-moduulia ei ole ladattu. Siinä tapauksessa suorita seuraava komento ladataksesi moduuli.

modprobe -a ip_tables

Lue myös: Linux Iptables -palomuurin perusopas

Palvelujen automaattisen käynnistyksen määrittäminen käynnistyksen yhteydessä

Kuten kohdassa Järjestelmän käynnistysprosessin ja -palvelujen hallinta – LFCS-sertifiointia käsittelevän 10 artikkelisarjan osassa 7 kerrotaan, Linuxissa on useita järjestelmä- ja palvelupäälliköitä. Riippumatta valinnastasi, sinun on tiedettävä, kuinka käynnistää, pysäyttää ja käynnistää uudelleen verkkopalvelut tarpeen mukaan ja miten voit ottaa ne käyttöön automaattisesti käynnistyksen yhteydessä.

Voit tarkistaa järjestelmäsi ja palvelupäällikkösi suorittamalla seuraavan komennon:

ps --pid 1

Yllä olevan komennon tuloksesta riippuen käytät yhtä seuraavista komennoista määrittääksesi, käynnistyykö kunkin palvelun automaattisesti käynnistyksen yhteydessä vai ei:

Systemd-pohjaisella
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
Sysvinit-pohjainen
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
Upstart-pohjainen

Varmista, että /etc/init/[service].conf-skripti on olemassa ja sisältää vähimmäismääritykset, kuten:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Voit myös tarkistaa LFCS-sarjan osasta 7 (johon juuri viitattiin tämän osan alussa) muita hyödyllisiä komentoja verkkopalvelujen hallintaan tarvittaessa.

Yhteenveto

Tähän mennessä sinulla pitäisi olla kaikki tässä artikkelissa kuvatut verkkopalvelut asennettuna ja mahdollisesti toiminnassa oletuskokoonpanolla. Myöhemmissä artikkeleissa tutkimme, kuinka voit määrittää ne tarpeidemme mukaan, joten pysy kuulolla! Ja voit vapaasti jakaa kommenttisi (tai lähettää kysymyksiä, jos sinulla on) tästä artikkelista alla olevan lomakkeen avulla.

Viitelinkit
  1. Tietoja LFCE:stä
  2. Miksi hankkia Linux Foundation -sertifikaatti?
  3. Rekisteröidy LFCE-kokeeseen