Войтов Η. М. Администрирование ос red Hat Enterprise Linux Учебный курс І р п souline a c a d e m y a L l I a n c e м о с к в а, 2011



Pdf просмотр
страница7/13
Дата19.11.2016
Размер5.62 Mb.
Просмотров353
Скачиваний0
1   2   3   4   5   6   7   8   9   10   ...   13
.log
бу­
дет журналироваться информация по каждому клиенту, который подключается к демону
smbd.
Подключение к ресурсами их монтирование
Утилита
smbclient
предоставляет доступ к ресурсам SMB. Для того чтобы подключиться к ресурсу SMB необходимо знать его название. Если название ресурса неизвестно, то можно подключиться к серверу Samba и просмотреть список всех доступных ресурсов, используя следующую команду:
smbclient -L <имя_сервера> -U <имя_пользователя>
Д ля подключения к конкретному ресурсу SMB необходимо использовать следующую команду:
smbclient //<имя_сервера>/<название_ресурса> -U <имя_пользователя>
При удачном подключении в терминале отобразиться приглашение клиента
smbclient вида smb: \> . После того как подключение было успешно установлено, можно выполнять различные команды над файлами, находящимися на данном ресурсе.
Д ля того чтобы смонтировать ресурс SMB необходимо использовать команду mount:
mount -t cifs //<имя_сервера>/<название_ресурса> /<точка_монтирования> -о
изегпате=<имя_пользователя>
Д ля размонтирования ресурса SMB, используется штатная команда umount. Монтирование ресурсов SMB может быть настроено при помощи сервиса автоматического монтирования auotfs. Например, для монтирования ресурса /m is c /
<точка_монтирвоания> в файле /e tc /a u to .m a ste r должна присутствовать следующая запись:
/misc
/etc/auto.misc
После того как данная запись будет добавлена, необходимо указать параметры ресурса SMB в файле /etc/au to.m isc:
mount_dir -fstype=cifs,credentials=/etc/smbcreds \ ://<имя_сервера>/<название_ре-
сурса>
Как видно изданного примера, при монтировании ресурсов SMB параметры учетной записи пользователя можно указывать в отдельном файле, например,
/etc/sm b cred s.
2.3. Система разрешения имен
(DNS). Автоматизация получения
сетевых параметров (DHCP)
2.3.1. Сервис S
Сервисом DNS, присутствующим в ОС Linux, является ПО Berkeley Internet
Name Domain (B IN D ). В данном разделе мы рассмотрим конфигурирование данного ПО с целью организации D N S-сервера.
Д ля настройки сервера DNS в ОС Linux необходимо установить пакеты bind,
bind-utils и ответствующие им зависимости. Проще всего устанавливать сервер
DNS, используя менеджер пакетов yum. В качестве основного конфигурационного файла ПО BIND использует файла для управления сервером
DNS при помощи утилиты rndc - файл /etc/rn d c.co n f. База данных имен DNS находится в каталоге /var/nam ed и содержит файлы описания прямых и обратных зон DNS. Даные файлы имеют текстовый формат, поэтому их можно редактировать в текстовом редакторе или же использовать специальную графическую программу, запускаемую командой system -config-bind.
В каталоге
/usr/share/doc/bind-/arm
можно ознакомиться с руко-
Сервис D N S
ІІІІІМШ

90
■■■ιιιιι
Модуль 2. Сетевое администрирование водством «B IN D 9 Administrator Reference Manual». Руководство содержит информацию, начиная с фундаментальных понятий DNS и требований к ПО BIND и до настройки и защиты сервиса Конфигурационный файл сервиса DNS - named, conf является основным конфигурационным файлом. Владельцем данного файла должен быть пользователь
named, так как демон named запускается именно из-под этой учетной записи. Код доступа данного файла должен позволять просматривать и изменять его только пользователями.
В конфигурационном файле демона named, named,
conf, задается роль (главный, подчиненный или ограниченный) сервера и определяется способ, которым он должен получать копию данных для каждой из обслуживаемых им зон. Здесь же приводятся всевозможные параметры - глобальные, связанные с работой самого демона, и локальные, применяемые только к данным Конфигурационный файл состоит из набора инструкций, каждая из которых оканчивается точкой с запятой. Лексемы разделяются пробельными символами, к которым относится и символ новой строки. Иногда для группировки лексем применяются фигурные скобки. Формат файла довольно строгий достаточно одной пропущенной точки с запятой, чтобы все перестало работать.
В ПО В IND имеются специальные средства проверки синтаксисаконфигураци- онного файла)
и зонных файлов (nam ed-checkzone). Эти утилиты ищут не только синтаксические ошибки, но и очевидные пропуски. Например, утилита nam ed-checkzone выдает предупреждение, если в файл не включена директива $TTL (время жизни записей зоны. Комментарии допускаются везде, где могут стоять пробелы.
Каждая инструкция начинается с ключевого слова, определяющего ее тип. Может присутствовать несколько инструкций одного типа, за исключением options и logging. Отдельные инструкции, а также их части могут отсутствовать в этом случае будут приняты установки по умолчанию.
Инструкция include используется для включения дополнительных файлов в состав файла named.conf. Данные файлы могут иметь более жесткие права доступа, необходимые для более надежной защиты данных. Параметр <имя_файла> должен включать полный путь к включаемому файлу:
include "<имя_файла>"
Если указан относительный путь, он добавляется к имени каталога, заданному в параметре directory. Очень часто инструкцию include применяют для подключения файлов, содержащих ключи шифрования. Эти данные должны быть доступны только демону named. Чтобы не запрещать доступ ко всему файлу named.conf, ключи хранят в отдельных файлах, которые может читать лишь демон named.
Инструкция options задает глобальные параметры конфигурации, часть которых впоследствии может быть переопределена для конкретных зон или серверов. Общий формат инструкции следующий:
options {
параметр;
параметр;
Сервис D N S
M ill··
91
} В версии BIND 9 существует около 100 параметров.
Инструкция асі содержит списки доступа в следующем формате:
асі имя_списка {
список_доступа
};
Заданное имя списка можно указывать везде, где требуется список соответствия адресов.
И нструкция асі должна быть самой первой в файле named.conf, так как он считывается один рази списки управления доступом должны быть определены до того, как на них встретится ссылка.
В качестве параметра список_доступа могут использоваться IP -адреса хостов и подсетей в битовом формате записи сетевой маски, стандартные списки доступа или диапазон IP -адресов. Например, в следующем списке доступа разрешены подсети 172.16.0.1 и 192.168.1.0 и запрещен 1Р-адрес 192.168.1.5:
{
1 7 2
.
1 6
.
0
.
1
/
2 4
;
1 9 2
.
1 6 8
.
1
.
0 / 2 4
};
{ !

1 9 2
.
1 6 8
.
1 . 5
};
По умолчанию существуют следующие стандартные списки доступа - все хосты;
• localnets - все хосты локальной сети - локальный хост;
• попе - ни один из хостов.
Сети, входящие в группу localnets, определяются адресами сетевых интерфейсов хоста с учетом сетевых масок.
Инструкция key определяет ключ шифрования, используемый для аутентификации на сервере с использованием механизма TSIG. Д ля создания ключа нужно указать алгоритм шифрования и секретный ключ, который представлен в виде строки, закодированной в формате base64:
key идентификатор_ключа {
algorithm строка;
secret строка;
};
И дентификатор ключа должен быть определен с помощью инструкции key в файле nam ed.conf до того, как встретится ссылка на ключ. Чтобы связать ключ с конкретным сервером, необходимо включить идентификатор ключа в список keys соответствующей инструкции server. Ключ используется для проверки запросов, поступающих от сервера, а также для подписи ответов на эти запросы.
Инструкция trusted-keys является частью механизма аутентификации
DNSSEC, описанного в документе RFC-2535. Каждая запись состоит из пяти компонентов, определяющих имя домена, флаги, протокол, алгоритм шифрования и ключ. Все это необходимо для безопасного взаимодействия с сервером имен домена. Формат инструкции следующий:

92
■■■ιιιιι
Модуль 2. Сетевое администрирование
trusted-keys {
домен флаги протокол алгоритм ключ;
домен флаги протокол алгоритм ключ;
Каждая строка представляет ключ конкретного домена. Атрибуты флаги, про­
токол и алгоритм являю тся неотрицательными целыми числами. Атрибут ключ - это строка, закодированная в формате Инструкция используется в тех случаях, когда зона имеет цифровую подпись, а ее родительская зона - нет, поэтому нельзя быть уверенным в том, что открытый ключ, получаемый от D N сервера, действительно надежный.
Инструкция server. Демон named способен общаться с серверами, которые не используют последнюю версию пакета BIND или просто неправильно настроены. Инструкция сообщает демону характеристики удаленных серверов.
server ІР-адрес {
С помощью инструкции se rv er можно переопределять значения глобальных конфигурационных параметров, относящихся к серверам.
Параметры tran sfe rs и tran sfe r-fo rm a t ограничивают количество одновременных входящих зонных пересылок в секунду от удаленного сервера.
В списке keys задаются идентификаторы ключей, которые ранее были определены в инструкции key для использования в сигнатурах транзакций Записи tran sfe r-so u rc e предоставляют адрес (IP v4 или IPv6) интерфейса, который нужно использовать в качестве исходного адреса (порта) запросов зонной пересылки.
Инструкция m aste rs позволяет указать один или несколько главных серверов с помощью ІР-адресов и ключей шифрования. Указанное имя затем можно использовать в параметре m asters инструкций zone, чтобы не повторять IP -адреса и ключи. Данная инструкция имеет следующий синтаксис:
masters имя { адрес [port номер_порта]
[key ключ ... };
Инструкции zone - одни из самых главных инструкций файла nam ed.conf. Они сообщают демону nam ed о зонах, для которых он авторитетен, и задают параметры управления каждой зоной. Точный формат инструкции zone зависит от роли, которую демон nam ed должен играть в отношении этой зоны. Возможными типами зон являются и Ниже показан формат инструкции zone для зоны, в которой демон nam ed является главным сервером имен:
bogus yes I
по
provide-ixfг yes I
по число;
[no]
[yes]
[yes]
[yes]
[ 2 ]
transfer-format one-answer|many-answers;
[many-answers]
keys { ключ ключ ... };
transfer-source ІР-адрес [порт]
transfer-source-v6 ІР-адресЛ6 [порт]
Сервис D N S
M ill··
93
zone "имя_домена" {
type master;
file "путь";
};
Доменное имя в спецификации зоны всегда дается в двойных кавычках.
Зонная база данных хранится на диске в текстовом файле, доступном для редактирования. Поскольку нет соглашения об именовании этого файла, в объявлении зоны должна присутствовать директива file. Зонны й файл представляет собой набор записей о DNS ресурсах и имеет специальный формат, подробно описанный в руководстве «B IN D 9 Administrator Reference Manual».
zone "localhost" { // Зона прямого преобразования localhost
type master;
file "fwd/localhost"; allow-update { none; };
zone "0.0.127.in-addr.arpa" { // Зона обратного преобразования localhost
type master;
file "rev/127.0.0";
allow-update { none; };
};
И з приведенного листинга видно, что файл, содержащий прямую зону, находится в каталоге fwd, а файл, содержащий обратную зону, - в каталоге rev. В дан­
ном случае используются относительные пути данных каталогов. Соответствующий файл прямой зоны для данного примера указан в следующем листинге.
$TTL 30d
; localhost.
0
IN SOA
localhost. postmaster.localhost.
(
1998050801 ; порядковый номер
3600
; период обновления
1800
; интервал между попытками
обновления
604800
; интервал устаревания
3600 )
; минимальное время жизни
NS
localhost.
А
127.0.0.1
Инструкция controls определяет, каким образом команда rndc будет управлять работой демона named. Эта команда может запускать и останавливать демон, выводить отчет о его состоянии, переводить демон в режим отладки и т.д. Формат инструкции controls следующий:
controls {
inet ІР-адрес port номер_порта allow {
список_соответствия_адресов } keys { список_ключей };
}
Если параметр ports опущен, то по умолчанию rndc будет использовать порт
953 для обмена данными с демоном named. В качестве значения параметра 1Р-ад-
рес рекомендуется использовать локальный 1Р-адрес 127.0.0.1.
Инструкция view содержит список адресов, определяющий, кто из клиентов имеет доступ к данному представлению, а также ряд параметров, применимых ко всем зонам в представлении, и определения самих зон. DNS сервер BIND позво­

94
■■■■Illi
Модуль 2. Сетевое администрирование ляет настраивать способ представления данных зоны в зависимости от 1Р-адреса хоста, который выполняет запрос. Синтаксис инструкции таков:
vie w имя_представления {
match-clients { список_соответствия_адресов };
пар а метр представления ...
о пределен и е _ зоны ...
};
В списке m atch -clien ts перечислены клиенты представления. Представления просматриваются по порядку, поэтому инструкции view с самыми большими ограничениями доступа должны идти впереди. Зоны в разных представлениях могут иметь одинаковые имена и принимать свои данные могут из разных файлов. Представления налагают ограничение на структуру файла nam ed.conf: если они присутствуют, то все инструкции zone должны находиться в контексте представ­
лений.
Д ля создания файла nam ed.conf можно воспользоваться файлом /u s r /s h a r e /
doc/bind-/sam p le/etc/n am ed .con f, который представлен как образец. Таким же образом можно поступить при создании файлов зон, образцы которых находятся в каталоге / usr/share/ doc/Ьіпгі-<версия>/ sam ple/var/nam ed.
Д ля управления сервером DNS в состав пакета bind-utils входит утилита rndc, которая посылает команды управления, подписанные цифровой подписью, на сервер DNS. В процессе работы данная утилита использует файл /e tc /rn d c .c o n f, в котором содержатся имя сервера DNS и имя ключа, который необходимо использовать для подписи команд. Для создания файла можно воспользоваться командой rndc-confgen > /e tc /rn d c .c o n f. После того, как в каталоге / e t c файл rn d c.c o n f будет создан, можно использовать утилиту rndc для управления сервером Основным конфигурационным файлом клиента DNS является файл / e t c / r e - solv.conf. Он должен содержать минимум две записи - nam eserv er и search. Первая из них определяет IP -адрес сервера DNS, а вторая определяет доменное имя, которое будет добавляться при формировании клиентских запросов, не содержащих полного доменного имени:
nameserver 192.168.137.2
search linux.lab
Д ля того чтобы это стало возможным разрешения имен хостов через сервис
DNS необходимо еще отредактировать файл /e tc /n s s w itc h .c o n f, который определяет, какие сервисы необходимо опрашивать для получении данных о хостах. Данный файл должен содержать строку:
hosts: files,dns
В данном случае при разрешении имен хостов сначала будет просматриваться локальный файла затем (если указанное имя не было найдено) будет выполняться запрос на DN S-сервер.
Сервис D H C P
M ill··
95
2 .3 .2 .
С ер вис) дает возможность клиенту получать сетевые и административные параметры с центрального сервера, отвечающего за их распространение.
Данные параметры клиент получает на некоторое определенное время. Протокол оперирует понятием «аренды IP -адреса». По истечении половины срока аренды клиент должен ее продлить. Сервер должен отслеживать адреса, предоставленные в аренду, и сохранять эту информацию при перезагрузке. Если сервера D H C P нет, сообщение может быть передано в другие подсети через специальный прокси-сервер, называемый агентом рет рансляции.
В ОС Linux сервер D H C P представлен ПО ISC DH CP, которое содержится в пакете dhcp, и использует в качестве своего основного конфигурационного файла
/ etc/dhcpd. conf.
Д ля конфигурирования D H C P -сервера dhcpd нужно отредактировать файл
dhcpd.conf.sample, который находится в каталоге /u sr/sh are/d oc/d h cp -< B ep -
сия>, и записать его под именем /etc/d h cp d .con f. Необходимо также создать пустой файл базы данных по арендуемым параметрам, назвав его /v a r /lib /d h c p d /
dhcpd.leases. После этого необходимо убедиться в том, что демон dhcpd имеет право записи в этот файл. Для заполнения файла dhcpd.conf потребуется следующая информация:
• адреса подсетей, в которых демон dhcpd должен управлять IP -адресами, и диапазоны выделяемых адресов;
• начальный и максимальный сроки аренды в секундах;
• конфигурационные параметры клиентов ВООТР, если таковые имеются им назначаются статические IP -адреса, также должны быть указаны их аппаратные МАС-адреса);
• все остальные параметры, которые сервер должен передавать D H C P -клиентам сетевая маска, стандартный маршрут, домен DNS, адреса серверов имени т.д.
Н а страницах руководства man, посвященных демону dhcpd, дан обзор процесса конфигурации. Точный синтаксис конфигурационного файла описан на man странице файла dhcpd.conf.
Демон dhcpd должен автоматически запускаться на этапе начальной загрузки системы. Для этого в ОС Linux имеется сценарий его автозапуска /e tc /in it.
d/dhcpd.conf. Д ля задания дополнительных аргументов демону dhcpd в процессе начальной загрузки необходимо отредактировать запись D H C PD A R G S= в файле
/etc/sy sco n fig /d h cp d .
В типовом файле dhcpd.conf директива ddns-update-style interim указывает на то, что используется механизм динамического обновления DNS, при котором база D N имен обновляется после того, как сервер D H C P обновит ІР-адрес. Директива
не позволяет пользователям изменять свои имена хостов. Далее в директиве subnet указывается пул IP -адресов, которые D H C P-

96
■■■■Illi
Модуль 2. Сетевое администрирование сервер предоставляет в аренду своим клиентам. Затем следует несколько директив, позволяющих клиенту определить сервер DNS, шлюз по умолчанию и маску подсети. В директиве range выделяется диапазон I P -адресов, которые можно присваивать клиентам. В директивах default-lease-tim e указывается время аренды IP -адреса (в секундах, а в директиве m ax-lease-tim e - и максимальное время аренды IP -адреса (в секундах. В конце файла dhcpd.conf указан сервер DNS, для которого на данном D H C P -сервере зарезервирован какой-то 1Р-адрес.
D H C P -клиент в ОС Linux не требует особого конфигурирования. Для его работы достаточно установить пакет dhclient и в конфигурационном файле сетевого интерфейса, например, в /etc/sysconfig/netw ork -scripts/ifcfg-ethO , добавить следующие записи:
BOOTPROTO='dhcp'
ONBOOT='yes'
Ф айлы с информацией о статусе каждого соединения клиента D H C P хранятся в каталоге /v a r/lib / dhclient. И м я файла соответствует имени описываемого интерфейса. Например, файл dhclient-ethO.leases будет содержать все сетевые параметры, которые демон dhclient закрепил за интерфейсом ethO.
2.4. Администрирование
веб-сервера Apache
В ОС Linux основным веб-сервером является Apache, входящий в состав пакета httpd. Д ля установки сервера Apache необходимо инсталировать в системе пакет httpd или всю группу web-server, используя команду yum groupinstall. Сле­
дует иметь ввиду, что в группу пакетов W eb-server входит порядка 20 пакетов, включая httpd и squid.
Основным конфигурационным файлом веб-сервера Apache является файл
httpd.conf, расположенный в каталоге /e tc /h ttp d /c o n f. Кром того, в этом каталоге имеется подкаталог conf.d, который содержит дополнительные конфигурационные файлы (например, конфигурационный файл ssl.conf, используемый для настройки защищенного SSL доступа к серверу Apache), которые включаются в основной конфигурационный файл.
Конфигурационные параметры, содержащиеся в файле httpd.conf, называют­
ся директивами. Каждая директива в файле httpd.conf записана в контейнере. Вначале контейнера указываются название директивы в угловых скобках < >, например, . В конце контейнера указывается также название директив в угловых скобках, нов начале названия должен присутствовать символ «/», например, < /D irectory> .
Конфигурационный файл httpd.conf можно разделить натри основные секции, содержащие определенные группы директив.
К глобальным директивам относятся такие настройки, как корневой каталог сервера (директива ServerRoot), T C P -порт, через который H T T P -сервер должен принимать запросы (директива Listen), и параметры загрузки динамических мо­
Администрирование веб-сервера Apache
M ill··
97
дулей (директивы LoadModule).
В данной секции основные директивы настраиваются системные параметры сервера Apache. Здесь представлены такие конфигурационные параметры, как имена пользователя и группы, от имени которых будет запускаться сервер, важнейшая директива Docum entR oot, которая определяет корневой каталог обслуживаемых документов, и др. В этом разделе также задается обработка специальных U R L -адресов, наподобие тех, что включают синтаксис
имя_пользователя
для получения доступа к домашнему каталогу пользователя. Глобальные параметры безопасности тоже устанавливаются в данной секции конфигурационного файла. Некоторые директивы позволяют управлять доступом на уровне отдельных файлов (директива File) или на уровне отдельных каталогов (директива Directory). Именно сих помощью можно предотвратить доступ к важным файлам сервера В следующем листинге приведен пример первых двух секций конфигурационного файла h ttp
^Section 1. Global Environment
ServerRoot /etc/httpd
Listen 80
Timeout 120
KeepAlive Off
MaxKeepAliveRequests 100
KeepAliveTimeout 15
User apache
Group apache
^Section 2. 'Main' server configuration
ServerAdmin webmaster@example.com
ServerName example.com
DocumentRoot /var/www/html
Directorylndex index.html index.php index.txt
ErrorDocument 404 /errors/404.html
Options Indexes Основные директивы первых двух секций, на которые следует обратить внимания,


Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   10   ...   13


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал