LFCE: instal·lació de serveis de xarxa i configuració de l'inici automàtic a l'arrencada - Part 1

Un enginyer certificat de la Linux Foundation (LFCE) està preparat per instal·lar, configurar, gestionar i resoldre problemes de serveis de xarxa en sistemes Linux, i és responsable del disseny i la implementació de l'arquitectura del sistema.

Presentació del programa de certificació de la Fundació Linux.

En aquesta sèrie de 12 articles, titulada Preparació per a l'examen LFCE (Linux Foundation Certified Engineer), tractarem els dominis i competències requerits a Ubuntu, CentOS i openSUSE:

Instal·lació de serveis de xarxa

Quan es tracta de configurar i utilitzar qualsevol tipus de serveis de xarxa, és difícil imaginar un escenari del qual Linux no pugui formar part. En aquest article mostrarem com instal·lar els següents serveis de xarxa a Linux (cada configuració es tractarà en propers articles separats):

  1. Servidor NFS (Network File System)
  2. Servidor web Apache
  3. Servidor intermediari Squid + SquidGuard
  4. Servidor de correu electrònic (Postfix + Dovecot) i
  5. Iptables

A més, volem assegurar-nos que tots aquests serveis s'iniciïn automàticament a l'arrencada o sota demanda.

Hem de tenir en compte que, fins i tot quan podeu executar tots aquests serveis de xarxa a la mateixa màquina física o servidor privat virtual, una de les primeres anomenades \regles de seguretat de la xarxa indica als administradors del sistema que evitin fer-ho en la mesura del possible. Quin és el judici que recolza aquesta afirmació? És bastant senzill: si per algun motiu un servei de xarxa es veu compromès en una màquina que executa més d'un d'ells, pot ser relativament fàcil per a un atacant comprometre'ls. la resta també.

Ara, si realment necessiteu instal·lar diversos serveis de xarxa a la mateixa màquina (en un laboratori de proves, per exemple), assegureu-vos que només activeu els que necessiteu en un moment determinat i desactiveu-los més tard.

Abans de començar, hem d'aclarir que l'article actual (juntament amb la resta de les sèries LFCS i LFCE) se centra en una perspectiva basada en el rendiment i, per tant, no pot examinar tots els detalls teòrics sobre els temes tractats. No obstant això, introduirem cada tema amb la informació necessària com a punt de partida.

Per poder utilitzar els següents serveis de xarxa, haureu de desactivar el tallafoc de moment fins que aprenem a permetre el trànsit corresponent a través del tallafoc.

Tingueu en compte que això NO es recomana per a una configuració de producció, però ho farem només amb finalitats d'aprenentatge.

En una instal·lació d'Ubuntu predeterminada, el tallafoc no hauria d'estar actiu. A openSUSE i CentOS, haureu de desactivar-lo explícitament:

# systemctl stop firewalld
# systemctl disable firewalld 
or
# or systemctl mask firewalld

Dit això, comencem!

NFS en si mateix és un protocol de xarxa, la darrera versió del qual és NFSv4. Aquesta és la versió que farem servir al llarg d'aquesta sèrie.

Un servidor NFS és la solució tradicional que permet als clients Linux remots muntar els seus recursos compartits en una xarxa i interactuar amb aquests sistemes de fitxers com si estiguessin muntats localment, permetent centralitzar els recursos d'emmagatzematge per a la xarxa.

# yum update && yum install nfs-utils

# aptitude update && aptitude install nfs-kernel-server

# zypper refresh && zypper install nfsserver

Per obtenir instruccions més detallades, llegiu el nostre article que explica com configurar el servidor i el client NFS en sistemes Linux.

El servidor web Apache és una implementació FOSS robusta i fiable d'un servidor HTTP. A finals d'octubre de 2014, Apache alimenta 385 milions de llocs, cosa que li dóna una quota de mercat 37,45%. Podeu utilitzar Apache per servir un lloc web autònom o diversos amfitrions virtuals en una màquina.

# yum update && yum install httpd		[On CentOS]
# aptitude update && aptitude install apache2 		[On Ubuntu]
# zypper refresh && zypper install apache2		[On openSUSE]

Per obtenir instruccions més detallades, llegiu els nostres articles següents que mostren com crear amfitrions virtuals Apache basats en IP i basats en noms i com protegir el servidor web Apache.

  1. Allotjament virtual basat en IP d'Apache i basat en noms
  2. Consells de seguretat i reforç del servidor web Apache

Squid és un servidor intermediari i un dimoni de memòria cau web i, com a tal, actua com a intermediari entre diversos ordinadors client i Internet (o un encaminador connectat a Internet), alhora que accelera les sol·licituds freqüents guardant continguts web a la memòria cau. i resolució DNS al mateix temps. També es pot utilitzar per denegar (o concedir) l'accés a determinats URL per segment de xarxa o basant-se en paraules clau prohibides, i manté un fitxer de registre de totes les connexions realitzades amb el món exterior per usuari.

Squidguard és un redirector que implementa llistes negres per millorar els calamars i s'hi integra perfectament.

# yum update && yum install squid squidGuard			[On CentOS] 
# aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
# zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfix és un agent de transport de correu (MTA). És l'aplicació responsable d'encaminar i lliurar missatges de correu electrònic des d'una font a un servidor de correu de destinació, mentre que dovecot és un servidor de correu electrònic IMAP i POP3 molt utilitzat que recull missatges de l'MTA i els lliura a la bústia de correu de l'usuari adequada.

També estan disponibles connectors Dovecot per a diversos sistemes de gestió de bases de dades relacionals.

# yum update && yum install postfix dovecot 				[On CentOS] 
# aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
# zypper refresh && zypper postfix dovecot				[On openSUSE]

En poques paraules, un tallafocs és un recurs de xarxa que s'utilitza per gestionar l'accés a o des d'una xarxa privada, i per redirigir el trànsit entrant i sortint en funció de determinades regles.

Iptables és una eina instal·lada de manera predeterminada a Linux i serveix com a interfície del mòdul del nucli netfilter, que és l'últim responsable d'implementar un tallafoc per dur a terme funcionalitats de filtratge/redirecció de paquets i traducció d'adreces de xarxa.

Com que iptables està instal·lat a Linux de manera predeterminada, només heu d'assegurar-vos que s'està executant. Per fer-ho, hauríem de comprovar que els mòduls iptables estiguin carregats:

# lsmod | grep ip_tables

Si l'ordre anterior no retorna res, vol dir que el mòdul ip_tables no s'ha carregat. En aquest cas, executeu l'ordre següent per carregar el mòdul.

# modprobe -a ip_tables

Llegiu també: Guia bàsica del tallafocs Linux Iptables

Configuració de l'inici automàtic dels serveis a l'arrencada

Tal com s'explica a Gestió del procés i serveis d'inici del sistema: part 7 de la sèrie de 10 articles sobre la certificació LFCS, hi ha diversos gestors de sistemes i serveis disponibles a Linux. Sigui quina sigui la vostra elecció, heu de saber com iniciar, aturar i reiniciar els serveis de xarxa sota demanda, i com permetre que s'iniciïn automàticament a l'arrencada.

Podeu comprovar quin és el vostre sistema i gestor de serveis executant l'ordre següent:

# ps --pid 1

Depenent de la sortida de l'ordre anterior, utilitzareu una de les ordres següents per configurar si cada servei s'ha d'iniciar automàticament a l'arrencada o no:

----------- Enable Service to Start at Boot -----------
# systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
# systemctl disable [service] # prevent [service] from starting at boot

----------- Start Service at Boot in Runlevels A and B -----------
# chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
# chkconfig --level CD service off

Assegureu-vos que l'script /etc/init/[service].conf existeix i conté la configuració mínima, com ara:

# When to start the service
start on runlevel [2345]
# When to stop the service
stop on runlevel [016]
# Automatically restart process in case of crash
respawn
# Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

També podeu consultar la Part 7 de la sèrie LFCS (a la qual acabem de fer referència al principi d'aquesta secció) per trobar altres ordres útils per gestionar els serveis de xarxa sota demanda.

Resum

A hores d'ara hauríeu de tenir tots els serveis de xarxa descrits en aquest article instal·lats i possiblement en execució amb la configuració predeterminada. En articles posteriors explorarem com configurar-los segons les nostres necessitats, així que estigueu atents! I no dubteu a compartir els vostres comentaris (o publicar preguntes, si en teniu) sobre aquest article mitjançant el formulari següent.

  1. Sobre l'LFCE
  2. Per què obtenir una certificació de la Fundació Linux?
  3. Registreu-vos a l'examen LFCE