LFCE: Verkkopalvelujen asentaminen ja automaattisen käynnistyksen määrittäminen käynnistyksen yhteydessä - osa 1

Linux Foundation -sertifioitu insinööri (LFCE) on valmis asentamaan, konfiguroimaan, hallitsemaan ja ratkaisemaan verkkopalveluja Linux-järjestelmissä ja vastuussa järjestelmäarkkitehtuurin suunnittelusta ja toteuttamisesta.

Esittelyssä Linux Foundation -sertifiointiohjelma.

Tässä 12-artikkelisessa sarjassa, jonka otsikko on Preparation for LFCE (Linux Foundation Certified Engineer) -tentti, käsitellään vaaditut toimialueet ja osaamiset Ubuntussa, CentOS: ssa ja openSUSE:

Verkkopalvelujen asentaminen

Kun on kyse minkä tahansa verkkopalvelun perustamisesta ja käytöstä, on vaikea kuvitella skenaariota, johon Linux ei voi olla osa. Tässä artikkelissa näytetään, kuinka seuraavat verkkopalvelut asennetaan Linuxiin (kutakin kokoonpanoa käsitellään tulevissa erillisissä artikkeleissa):

  1. NFS (verkkotiedostojärjestelmä) -palvelin
  2. Apache-verkkopalvelin
  3. Squid-välityspalvelin + SquidGuard
  4. Sähköpostipalvelin (Postfix + Dovecot) ja
  5. Iptables

Lisäksi haluamme varmistaa, että kaikki nämä palvelut käynnistetään automaattisesti käynnistettäessä tai tarvittaessa.

Meidän on huomattava, että vaikka voit suorittaa kaikki nämä verkkopalvelut samassa fyysisessä koneessa tai virtuaalisessa yksityisessä palvelimessa, yksi ensimmäisistä verkkoturvan ns. säännöistä käskee järjestelmänvalvojia välttämään tekemästä niin pitkälle kuin mahdollista. Mikä on tuomio, joka tukee tätä lausuntoa? Se on melko yksinkertaista: jos jostain syystä verkkopalvelu vaarantuu koneessa, joka käyttää useampaa kuin yhtä niistä, hyökkääjän voi olla suhteellisen helppoa vaarantaa myös muut.

Jos sinun on nyt asennettava useita verkkopalveluja samalle koneelle (esimerkiksi testilaboratorioon), varmista, että otat käyttöön vain tarvitsemasi tietyllä hetkellä ja poistat ne käytöstä myöhemmin.

Ennen kuin aloitamme, meidän on selvitettävä, että nykyinen artikkeli (yhdessä muiden LFCS ja LFCE -sarjojen kanssa) keskittyy suorituskykyyn perustuvaan näkökulmaan, joten sitä ei voida tutkia kaikki teoreettiset yksityiskohdat katetuista aiheista. Esittelemme kuitenkin jokaiseen aiheeseen tarvittavat tiedot lähtökohtana.

Seuraavien verkkopalvelujen käyttämiseksi sinun on poistettava palomuuri käytöstä toistaiseksi, kunnes opimme vastaavan liikenteen sallimisesta palomuurin kautta.

Huomaa, että tätä EI suositella tuotantoasetuksiin, mutta teemme sen vain oppimistarkoituksiin.

Ubuntu-oletusasennuksessa palomuurin ei pitäisi olla aktiivinen. OpenSUSE- ja CentOS-käyttöjärjestelmissä sinun on poistettava se käytöstä nimenomaisesti:

# systemctl stop firewalld
# systemctl disable firewalld 
or
# or systemctl mask firewalld

Siitä huolimatta aloitetaan!

NFS itsessään on verkkoprotokolla, jonka viimeisin versio on NFSv4 . Tätä versiota käytämme koko sarjassa.

NFS-palvelin on perinteinen ratkaisu, jonka avulla Linux-etäasiakkaat voivat liittää osuutensa verkon yli ja olla vuorovaikutuksessa näiden tiedostojärjestelmien kanssa ikään kuin ne olisi asennettu paikallisesti, jolloin keskitetysti voidaan tallentaa verkon resursseja.

# yum update && yum install nfs-utils

# aptitude update && aptitude install nfs-kernel-server

# zypper refresh && zypper install nfsserver

Tarkemmat ohjeet ovat artikkelissamme, jossa kerrotaan, kuinka NFS Server ja Client määritetään Linux-järjestelmissä.

Apache -verkkopalvelin on vankka ja luotettava FOSS-toteutus HTTP-palvelimelle. Lokakuun 2014 lopussa Apache hallinnoi 385 miljoonaa sivustoa, mikä antaa sille 37,45% markkinaosuuden. Apachen avulla voit palvella erillistä verkkosivustoa tai useita virtuaalisia isäntiä yhdessä koneessa.

# yum update && yum install httpd		[On CentOS]
# aptitude update && aptitude install apache2 		[On Ubuntu]
# zypper refresh && zypper install apache2		[On openSUSE]

Yksityiskohtaisemmat ohjeet ovat seuraavissa artikkeleissamme, joissa kerrotaan IP-pohjaisten ja nimipohjaisten Apache-virtuaalipalvelinten luomisesta ja Apache-verkkopalvelimen suojaamisesta.

  1. Apache IP- ja nimipohjainen virtuaalipalvelin
  2. Apache-verkkopalvelimen kovettuminen ja tietoturvavinkit

Kalmari on välityspalvelin ja web-välimuistidemon ja toimii sellaisenaan välittäjänä useiden asiakastietokoneiden ja Internetin (tai Internetiin yhdistetyn reitittimen) välillä, samalla kun se nopeuttaa toistuvia pyyntöjä tallentamalla välimuistiin verkkosisältöä ja DNS-tarkkuus samanaikaisesti. Sitä voidaan käyttää myös kieltämään (tai myöntämästä) pääsy tiettyihin URL-osoitteisiin verkkosegmenttien mukaan tai kiellettyjen avainsanojen perusteella, ja se pitää lokitiedostoa kaikista ulkomaailmaan tehdyistä yhteyksistä käyttäjäkohtaisesti.

Squidguard on uudelleenohjaaja, joka toteuttaa mustia listoja kalmarin parantamiseksi ja integroituu saumattomasti siihen.

# yum update && yum install squid squidGuard			[On CentOS] 
# aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
# zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfix on MTA (Mail Transport Agent). Se on sovellus, joka vastaa sähköpostiviestien reitittämisestä ja toimittamisesta lähteestä kohdepostipalvelimille, kun taas dovecot on laajalti käytetty IMAP- ja POP3-sähköpostipalvelin, joka hakee viestit MTA: sta ja toimittaa ne oikeaan käyttäjän postilaatikkoon.

Dovecot-laajennuksia on saatavana myös useille relaatiotietokantojen hallintajärjestelmille.

# yum update && yum install postfix dovecot 				[On CentOS] 
# aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
# zypper refresh && zypper postfix dovecot				[On openSUSE]

Muutamalla sanalla palomuuri on verkkoresurssi, jota käytetään pääsyn hallintaan yksityiseen verkkoon tai yksityisestä verkosta sekä tulevan ja lähtevän liikenteen uudelleenohjaamiseksi tiettyjen sääntöjen perusteella.

Iptables on oletusarvoisesti Linuxiin asennettu työkalu, joka toimii käyttöliittymänä netfilter-ytimoduulille, joka on viime kädessä vastuussa palomuurin toteuttamisesta pakettisuodatuksen/uudelleenohjauksen ja verkko-osoitteen muuntotoimintojen suorittamiseksi.

Koska iptables on asennettu oletuksena Linuxiin, sinun on vain varmistettava, että se todella toimii. Tätä varten meidän on tarkistettava, että iptables-moduulit on ladattu:

# lsmod | grep ip_tables

Jos yllä oleva komento ei palauta mitään, se tarkoittaa, että ip_tables -moduulia ei ole ladattu. Suorita siinä tapauksessa seuraava komento moduulin lataamiseksi.

# modprobe -a ip_tables

Lue myös : Linux Iptables -palomuurin perusopas

Palvelujen automaattisen käynnistyksen käynnistysasetusten määrittäminen

Kuten kohdassa Järjestelmän käynnistysprosessin ja palveluiden hallinta - LFCS -sertifikaattia käsittelevän 10-artikkelisen sarjan osa 7, Linuxissa on useita järjestelmä- ja palvelupäälliköitä. Valinnastasi riippumatta sinun on tiedettävä, miten verkkopalvelut voidaan käynnistää, lopettaa ja käynnistää tarvittaessa uudelleen ja miten ne voidaan käynnistää automaattisesti käynnistettäessä.

Voit tarkistaa mikä on järjestelmä- ja palvelupäällikkösi suorittamalla seuraava komento:

# ps --pid 1

Yllä olevan komennon lähdön mukaan määrität, aloitetaanko jokaisen palvelun käynnistettäessä automaattisesti jokaisen seuraavista komennoista:

----------- Enable Service to Start at Boot -----------
# systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
# systemctl disable [service] # prevent [service] from starting at boot

----------- Start Service at Boot in Runlevels A and B -----------
# chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
# chkconfig --level CD service off

Varmista, että skripti /etc/init/[service].conf on olemassa ja että se sisältää vähimmäiskokoonpanon, kuten:

# When to start the service
start on runlevel [2345]
# When to stop the service
stop on runlevel [016]
# Automatically restart process in case of crash
respawn
# Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Voit myös tarkistaa LFCS-sarjan osan 7 (johon juuri viittasimme tämän osan alussa), onko muita hyödyllisiä komentoja verkkopalvelujen hallitsemiseksi tarvittaessa.

Yhteenveto

Tähän mennessä sinun pitäisi olla asentanut kaikki tässä artikkelissa kuvatut verkkopalvelut ja mahdollisesti käynnissä oletusasetuksilla. Myöhemmissä artikkeleissa tutkitaan, miten ne voidaan konfiguroida tarpeidemme mukaan, joten muista pysyä kuulolla! Ja voit jakaa kommenttisi (tai lähettää kysymyksiä, jos sinulla on) tähän artikkeliin alla olevan lomakkeen avulla.

  1. Tietoja LFCE: stä
  2. Miksi hankkia Linux Foundation -sertifikaatti?
  3. Rekisteröidy LFCE-tenttiin