Войтов Η. М. Администрирование ос red Hat Enterprise Linux Учебный курс І р п souline a c a d e m y a L l I a n c e м о с к в а, 2011




страница9/13
Дата19.11.2016
Размер5.62 Mb.
Просмотров316
Скачиваний0
1   ...   5   6   7   8   9   10   11   12   13
M ill··
107
рен, что передаваемые им данные защищены.
Основной синтаксис команды, используемой для перенаправления локальных портов, следующий -L <локальный_порт>:<удаленный_хост>:<удаленный_порт>
<имя_пользователя>@<удаленный_хост>
Когда клиент выполняет подключение к серверу на локальный порт, соединение перенаправляется на удаленный порт удаленного сервера. Далее выполняется аутентификация клиента на основе имени пользователя и хоста, который содержит его учетную запись. При этом формируется шифрованный туннель между клиентом и удаленным хостом.
2.7. Система обмена почтовыми
сообщениями. Хранилище почтовых
данных
Современная почтовая система рассматривается непросто как агент передачи почтовых сообщений (M ail Transfer Agent (МТА)), выполняющ ий простую доставку писем, а как комплекс коллективных средств взаимодействия пользователей, в который могут входить календари, адресные книги, средства приема телефонных звонков (V oIP) и мгновенных сообщений (IM ). Для отправки и приема почтовых сообщений используются специальные почтовые клиенты (M ail User
Agent (M UA)), которые подключаются к специальной программе, работающей совместно с МТА и предоставляющей доступ к почтовым ящикам по протоколам
PO P3, IMAP
И ЛИ
IMAPS.
В ОС Linux имеется несколько почтовых агентов на выбор, в частности
Sendmail и Postfix. Первый из них используется в системе по умолчанию. Что касается программы предоставления доступа к почтовым ящикам пользователей, то оптимальным вариантом в данном случае будет является ПО D ovecot. В данном разделе мы сосредоточимся на изучении МТА Sendmail и Dovecot.
2 .7 .7 .
Конф игурирование Sendm ail
Чтобы организовать в ОС Linux сервис передачи почтовых сообщений, в системе должны быть установлены пакеты sendmail, sendm ail-cf и sendmail-doc. В первом пакете содержится собственно МТА Sendmail, предназначенный для обработки S M T P -соединений. Во втором пакете содержатся средства, позволяющие изменять конфигурационный файл МТА Sendmail. Третий пакет содержит исчерпывающую документацию по настройке МТА В целях экономии времени на экзамене, данные пакеты можно установить зараз, выполнив установку в системе группы пакетов Mail Server. Лучше всего выполнять данную процедуру, используя менеджер пакетов yum. Помимо перечисленных пакетов при установке группы пакетов Mail Server в систему будут установлены пакеты dovecot (программа доступа к почтовым ящикам
108
■■■■Illi
Модуль 2. Сетевое администрирование
(программа, позволяющая использовать расширенный механизм аутентификации
SASL) и spamassassin (программа, предназначенная для борьбы с нежелательными сообщениями).
Основную работу по обработке почтовых сообщений, предаваемых по протоколу SMTP, выполняет демон sendmail, конфигурационные файлы которого располагаются в каталоге /etc/m a il. В данном каталоге находятся два основных конфигурационных файла sendmail.cf, использующ ийся для обработки входящей почты, и submit.cf, использую щийся для обработки исходящей почты. Кроме того каталог /e tc /m a il содержит следующие важные файлы:
• sendmail.т е - содержит макросы sendmail; используется для изменения конфигурации, записанной в файле sendmail.cf;
• submit.т с - также содержит макросы sendmail, но используется для изменения конфигурации, записанной в файле submit.cf;
• access, определяющий ограничения на отправку исходящей почты. По умолчанию разрешена отправка исходящей почты только с локального хоста. В данный файл необходимо добавлять имена хостов или 1Р-адреса подсетей с параметрами REJECT, DISC AR D и RELAY. При указании параметра REJECT хосту-отправителю будет выдано сообщение об ошибке. Во втором случае сообщение выдаваться не будет, но доступ также будет закрыт. При указании параметра RELAY указанный хост сможет выполнять отправку исходящих сообщений;
• domaintable - в нем указываются почтовые домены, почту для которых следует отправлять на альтернативный почтовый домен, например:
e xample.com company.com
В данном случае почту адресованную пользователю useri@ exam ple.com возможно перенаправлять на почтовый ящик- в данном файле возможно указать транспорт (m ailer) и почтовый сервер, куда будут направляться почтовые сообщения предназначенные для определенного почтового домена. По умолчанию для маршрутизации почтовых сообщений МТА Sendmail использует M X -записи почтовых доменов на D N серверах. Чтобы использовать данный файл, в файле
sendmail.т с должен быть включен макрос FEATURE ('m ailertable’);
• virtusertable - используется в основном для перенаправления почты от конкретного пользователя в указанный почтовый ящик;
• Makefile - используется для компиляции файла sendmail.т с . Конфигура­
ционный файл sendm ail.cf не рекомендуется редактировать напрямую по причине его специального формата. Для изменения конфигурации сначала необходимо отредактировать файл sendmail.т с а затем запустить команду
make sendmail.mc > sendmail.cf;
• statistic, в котором собирается статистика об использовании МТА Sendmail в бинарном формате. Для его просмотра используется команда mailstats.

Конфигурирование Sendmail
M ill··
109
MTA Sendmail работает с конфигурационными файлами не напрямую, а через их модифицированную копию, имеющую специальный формат, например, hash. Поэтому если в файлы access, domaintable, mailertable или virtusertable были внесены изменения, то необходимо использовать команду makemap, генерирую­
щую данные файлы. Следует также отметить, что при запуске, перезапуске или перечитывании демона sendamil данная команда выполняется автоматически.
В дополнение к файлу virtusertable в ОС Linux для перенаправления почтовых сообщений от одного пользователя к другому используется файл /e tc /a lia se s. По умолчанию в данном файле содержатся правила перенаправления почты системных пользователей пользователю root. Данный файл целесообразно использовать для перенаправления всей почты, адресованной пользователю root, на почтовый ящик администратора. После модификации данного файла демон sendmail должен быть перезапущен, чтобы перечитать данный файл и сформировать его оптимизированный вариант с помощью команды newaliase.
По умолчанию MTA Sendmail настроен на прием входящих соединений только с локального 1Р-адреса 127.0.0.1. Для того, чтобы демон sendmail смог принимать внешние соединения в файл /etc/m ail/sen dm ail.m c, небходимо найти следующий макрос и изменить параметр Addr либо закоментировать данную строку, добавив в начало строки слово dnl и символ пробела:
dnl DAEMON_OPTIONS('Port=smtp,Addr=127.0.0.1, Name=MTA')dnl
Д иректива FEATURE используется для добавления в MTA Sendmail дополнительной функциональности, например, макрос FE A T U R E (accept_unresolv-
able_dom ains’)dnl используется для приема почтовых сообщений от доменов, доменные имена которых невозможно разрешить в После того как конфигурационный файл sendmail.т сбудет отредактирован, необходимо добавить в файл /e tc /m a il/a c c e ss список удаленных хостов, которым будет разрешено отправлять почту через данный почтовый сервер. Пример такой записи имеет следующий вид:
192.168.0
RELAY
В данном примере для всех хостов в подсети 192.168.0 будет разрешено отправлять письма через данный сервер.
Чтобы сделанные настройки вступили в силу, необходимо сгенерировать файла также преобразовать все измененные файлы в каталоге /etc /m a il, такие как access и mailertable, в специальный формат, понятный для демона
sendmail. Д ля экономии времени можно запустить единственную команду make
-С /etc/m a il, которая выполнит все необходимые действия и перезапустит демон
sendmail.
MTA Sendmail может доставлять почту только в локальные ящики пользователей, находящихся в каталоге /v a r/sp o o l/m a il или пересылать ее другим хос­
там. В данном случае почтовые ящики пользователей имеют формат MAILBOX и представляют собой обычные текстовые файлы, в которых каждое письмо отделено пустой строкой.

ІНШІ
Модуль 2. Сетевое администрирование
Н ачиная с версии Sendmail 8.121 сообщения поступают в почтовую систему, используя каталог /var/sp ool/clientm qu eu e, руководствуясь настройками файла
submit, cf.
Программа sendmail позволяет создавать сразу несколько почтовых очередей и объединять очереди в группы. Если, к примеру, каталог mqueue содержит подкаталоги ql, q2 и q3 и каталог очереди задается как /var/sp ool/m q u eu e/q *, то будут использоваться все три очереди. Это способствует повышению производительности при высокой загруженности системы.
Группы очередей присутствуют во всех версиях Sendmail начиная с 8.12. Они позволяют четко управлять доставкой отдельных типов сообщений. Любой параметр, связанный с очередью, , включая приоритет выполнения (назначается с помощью команды nice), может быть задан и для группы очередей. Почтовые сообщения направляются в ту или иную группу в зависимости от адреса самого первого получателя сообщения. Стандартная группа называется mqueue; она определяется автоматически и доступна по умолчанию, не требуя никакого конф игу­
рирования.
2 .7 .2 .
Конф игурирование Dovecot
После того, как агент передачи почтовых сообщений Sendmail будет настроен и запущен, следует приступить к настройке ПО D ovecot, которое обеспечивает доступ пользователей к своим почтовым ящика по протоколу IMAP, P O P 3 или их защищенным аналогами Прежде чем настраивать данное ПО, необходимо установить пакет dovecot, если таковой отсутствует. Основным конфигурационным файлом данного ПО является файл /etc /d o v e c o t.c o n f. Д ля поддержки желаемых протоколов доступа необходимо раскомментировать следующую директиву:
protocols = imap imaps рорЗ pop3s
Если на сервере установлено несколько сетевых интерфейсов, тов директиве listen или ssl listen необходимо указать I P -адрес и порт, которые будут использоваться для подключений клиентов = 192.168.0.1:10110
ssl listen = Если используются защищенные протоколы IM APS или PO PS, необходимо также раскомментировать следующие директивы = /etc/pki/dovecot/certs/dovecot.pem ssl_key_file = Расположение почтовых ящиков пользователей указывается в директиве
mail_location. Данную директиву обязательно необходимо заполнить, иначе могут возникнуть проблемы с доставкой почты пользователям, которые не имеют отдельных почтовых каталогов в каталоге /var/sp ool/m ail. Типовой пример ука-
1 Для того чтобы узнать текущую версию МТА Sendmail необходимо запустить команду sendmail с ключом -dO.l.
зания места расположения пользовательских ящиков имеет следующий вид:
mail_location = mail d i r :
/Maildir

В данном случае используется формат почтовых ящиков, который, в отличие от формата MAILBOX, располагает сообщения пользователей в отдельных каталогах. Сточки зрения производительности, данный формат рекомендуется использовать по умолчанию.
После того как демон dovecot будет настроен и запущен, необходимо убедиться, что он ожидает входящих соединений на указанном порте. Для этого можно воспользоваться штатной утилитой telnet.
Сервис xinetd
2.8. Администрирование общих
сетевых сервисов (xinetd, FTP, ΝΤΡ)
В данном разделе описываются дополнительные сетевые сервисы, которые используются как самостоятельно, таки при конифгурировании основных сетевых сервисов.
Не все серверы имеют собственные процессы-демоны, которые обрабатывают сетевые подключения клиентов. Для решения данной проблемы в ОС Linux присутствует демон xinetd.
Демон xinetd - это демон, который, по сути, управляет другими демонами. Он запускает своих демонов-клиентов только тогда, когда к ним происходит обращение, и позволяет им корректно завершать свою работу сразу после того, как те выполнят все свои задачи. Демон xinetd отвечает за функционирование множества распространенных сетевых сервисов, поэтому он играет важную роль в обеспечении безопасности системы. Для его установки необходимо установить пакет
xinetd.
Основным конфигурационным файлом демона xinetd по умолчанию является файл /etc/x in etd .co n f. Помимо данного файла в ОС Linux имеется каталог / e t c /
xinetd.d, куда некоторые пакеты помещают свои конфигурационные файлы, и не засоряют основной конфигурационный файл. Настройки, хранящиеся в данном каталоге, имеют более высокий приоритет, чем те же самые настройки, присутствующие в файле xinetd.conf.
Н иже приведен пример конфигурационного файла xinetd.conf, используемо­
го по умолчанию:
2.8.1. Сервис 10

■■■Illll
Модуль 2. Сетевое администрирование v6only groups umask no yes
0 0 2
includedir В данном примере настройки по умолчанию задаются в директиве defaults. В директиве log_type указывается метод журналирования событий. Как видно изданного примера, в директиве log type для ж урналирования событий используется сервис syslog. События посылаются демону syslogd с помощью средства
daemon и с уровнем детализации info. Директива cps определяет максимальное число соединений в секунду. Если с сервером устанавливается более некоторого предельного числа соединений в секунду (в данном примере - 50), то все последующие соединения будут отклоняться. Кроме того, данная дректива определяет, что демон xinetd будет ожидать в течение 10 секунд, прежде чем опять принять входящие соединения от клиента. В директиве instanses определяется максимальное количество процессов демона xinetd, которое может обслуживать клиентские запросы. В директиве per_source накладывается ограничение на количество соединений с одного IP -адреса. Директивы groups и umask позволяют выполнять запуск демона xinetd от непривилегированного пользователя. В конце файла x i­
netd. conf указана директива includedir, включающая в состав конфигурационного файла дополнительные файлы из катлога xinertd.conf.
В следующем листинге приведен пример конфигурационного файла xinetd для сервиса rsync:
# default: off service rsync disable = yes socket_type = stream wait = no user = root server = /usr/bin/rsync server args = -daemon log_on_failure += Основными директивами в данном примере являются
и server. В директиве disabled определяется, будет ли сервис использовать для обслуживания соединений демон xinetd. В директиве user указывается регистрационное имя пользователя, U ID которого будет присвоен порожденному процессу. В директиве server указана команда, которая будет выполняться при каждом обращении к демону xinetd. Все остальные директивы, используемые в данном файле, можно просмотреть на странице руководства man для файла.
С ер вис FTP
В ОС Linux сервис FT P организуется на основе ПОД ля его использования в системе необходимо установить пакет vsfttpd. Основным конфигура­
Сервис FTP
M ill··
113
ционным файлом, который использует демон vsftpd, является файл /e tc /v s ftp d .
conf. И спользуя данный файл, можно настроить такие параметры, как приветственное входное приглашения, разрешения на выгрузку и загрузку файлов, а ткже порт, на котором демон vsftpd ожидает входящих соединений.
П олный список всех директив данного конфигурационного файла содержится на страницах руководства man. В табл. 2.6 представлены основные директивы, используемые в процессе администрирования демона vsftpd. В круглых скобках указано значение, используемое по умолчанию.
Таблица 2.6.
Основные директивы конфигурационного файла vsftpd.conf.
Директива
Описание
listen port (Порт, используемый для обработки входящих FTP- запросов ftp_banner (отсутствует)
Приветствие, которое выводится на терминал после аутентификации на сервере local_enable (Определяет, могут ли локальные пользователи аутентифицироваться на сервер FTP
hide_ids (Следовать символическим ссылкам внутри каталога max_clients (Разрешено использовать директиву include, используя модуль m odjnclude anonymous_enable (Разрешить доступ для анонимных пользователей
Демон vsftpd имеет достаточно простой механизм контроля доступа пользователей. Для того, чтобы запретить определенному пользователю подключаться к серверу по протоколу FTP, его достаточно занести в файл /etc /v sftp d /u se r_ list. По умолчанию системные пользователи, такие как root, занесены в данный файл. Если в файле vsftpd.conf определена директива userlist_enable со значением YES, то файл /e tc /v sftp d /u se r _ list просматривается для определения доступа пользователей к F T P -серверу. Если в файле vsftpd.conf определена директива userlist_
deny со значением YES, то пользователи, перечисленные в файле /e t c /v s f t p d /
user_list, не имеют доступа к FT P серверу. Если в файле vsftpd.conf определена директива userlist_deny со значением NO, то к ресурсам F T P -сервера будут допущены только пользователи, присутствующие в файле /etc/v sftp d /u ser_ list.
Д ля подключения к серверу FT P используются команды ftp и lftp. П оследняя имеет расширенные возможности автозавершение имен фалов, отображение процесса загрузки файлов, загрузка неполностью загруженных файлов, автоматическое использование анонимного пользователя при подключении. Для того, чтобы подключиться к F T P -серверу, используется следующая команда:
lftp -и <имя_пользователя> <имя_сервера>
в качестве параметра <имя_пользователя> аргумента необходимо указать имя пользователя, которое будет использоваться при подключении к серверу FTP, а в качестве аргумента <имя_сервера> указать имя F T P -сервера. Для отображения всех поддерживаемых команд клиентом lftp необходимо ввести команду help.

114
■■■■Illi
Модуль 2. Сетевое администрирование
2.8.3. Сервис NTP
В ОС Linux демон ntpd реализует протокол NTP (N etw ork Time Protocol - протокол сетевого времени, который позволяет хостам синхронизировать свои часы между собой с точностью до миллисекунд.
Демон ntpd реализует как клиентскую, таки серверную часть протокола NTP. При запуске он считывает конфигурационный файл /etc /n tp .c o n f, в котором указываются права доступа, клиентские сети, службы времени, параметры общей конфигурации и параметры аутентификации.
Д ля настройки клиентской части протокола NTP, помимо редактирования файла /etc /n tp .c o n f, можно использовать графическую утилиту D ate/T im e, за­
пустив команду system -config-date.
Конфигурационный файл /e tc /n tp .c o n f должен содержать как минимум следующие строки <имя_сервера> mask 255.255.255.255 nomodify notrap noquery server <имя_сервера>
В первой строке описывается директива ограничений restrict, которая налагает ограничения nomodify, notrap и noquery для сервера NTP, указанного в аргументе <имя_сервера>. Параметры nomodify, notrap и noquery означают, что настройки N T P сервера не могут быть изменены, контроль сообщений (message trap ) невозможен и все запросы синхронизации запрещены. После настройки данного файла необходимо синхронизировать текущее время с сервером NTP, используя команду ntpd -q <имя_сервера>, и перезапустить сервис ntpd.
Если текущее время отличается от времени, полученного демоном ntpd пос­
ле синхронизации более чем на 1000 секунд, демон ntpd завершит свою работу и не изменит текущее время. Для того чтобы принудительно синхронизировать время, необходимо использовать команду ntpd -g -q <имя_сервера>. Д ля того чтобы N T P -клиент стал работать в качестве сервера и клиенты могли определить его параметры без явного указания, необходимо настроить широковещательную рассылку времени, добавив в файл /e tc /n tp .c o n f строку broadcast 224.0.1.1 ttl 4:
restrict default nomodify notrap noquery restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap broadcast 224.0.1.1 ttl 4
В первой строке листинга определено запрещение по умолчанию для всех подсетей. Для того, чтобы разрешить конкретной подсети обращаться к данному
N T P -серверу, используется вторая строка, в которой для подсети 1 9 2 . 1 6 8 . 0 . 0 разрешена синхронизация времени (отсутствует параметр noquery). В конце файла указан широковещательный адрес для автоматической настройки клиентов.
После изменения конфигурационного файла
необходимо перезапустить демон ntpd, используя команду service.
Основы маршрутизации в сетях TCP/IP
ΙΙΙΙΙ···
115
2.9. Основы маршрутизации в сетях
TCP/IP
В настоящее время к информационным системам предъявляются высокие требования по скорости передачи информации, надежности и масштабируемости. Связующим звеном в любой информационной системе является сетевая инфраструктура. Оттого как построена сетевая инфраструктура будет зависеть и производительность сетевых приложений. В процессе роста информационной системы непременно увеличивается количество хостов в сети и прочего сетевого оборудования. В связи с этим становится актуальным вопрос эффективной маршрутизации данных. Для выполнения задач маршрутизации используются специальное сетевое оборудование - маршрутизаторы. М арш рут изат ор - это устройство, управляющее трафиком. Данные, передаваемые по IP -сетям, да и по любым другим сетям, могут распространяться самыми разными путями.
Все данные формируются в пакеты - отдельные блоки, посылаемые в сеть. В общем случае задача маршрутизатора состоит в выборе наилучшего из текущих маршрутов, следуя которому заданный пакет попадет в пункт своего назначения.
Способ принятия такого решения зависит от используемого протокола маршрутизации. У каждого протокола свой алгоритм слежения затем, какие маршруты доступны и какие из них наиболее эффективны. В частности, демон, работающий по протоколу одноадресной маршрутизации, посылает информацию непосредственно тем маршрутизаторам, на общение с которыми он сконфигурирован. Протоколы этого класса эксплуатируются в тех сетях, где очень важна пропускная способность.
Часто маршрутизаторы представляют собой программно-аппаратные комплексы, имеющие специальную операционную систему. Альтернативным вариантом решения задач маршрутизации является использование программного маршрутизатора на основе ОС Linux, который при соответствующей настройке может даже превзойти по производительности и функционалу традиционные програм- мно-аппаратные маршрутизаторы. Для начала определим, какие типы маршрутизации существуют в сетях.
Простейшей формой маршрутизации является статическая маршрутизация В этом случае создастся обычная маршрутная таблица, которая остается неизменной до тех пор, пока не будет выдана соответствующая команда. Программы не пытаются проверять истинность маршрутов, приведенных в таблице, и не пытаются отслеживать изменения в топологии сети. Все это нужно делать вручную. Для настройки статической маршрутизации в ОС Linux используются утилиты ip или


Поделитесь с Вашими друзьями:
1   ...   5   6   7   8   9   10   11   12   13


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал