LFCE: Ağ Hizmetlerini Yükleme ve Önyükleme Sırasında Otomatik Başlatmayı Yapılandırma - Bölüm 1

Linux Foundation Sertifikalı Mühendisi (LFCE), Linux sistemlerinde ağ hizmetlerini kurmaya, yapılandırmaya, yönetmeye ve sorunlarını gidermeye hazırlanır ve sistem mimarisinin tasarımından ve uygulanmasından sorumludur. .

Linux Vakfı Sertifikasyon Programına Giriş.

LFCE (Linux Foundation Certified Engineer) sınavına hazırlık başlıklı 12 makalelik bu seride Ubuntu, CentOS ve openSUSE'de gerekli alanları ve yetkinlikleri ele alacağız:

Ağ Hizmetlerini Yükleme

Herhangi bir ağ hizmetinin kurulması ve kullanılması söz konusu olduğunda Linux'un parçası olamayacağı bir senaryo hayal etmek zordur. Bu makalede aşağıdaki ağ hizmetlerinin Linux'ta nasıl kurulacağını göstereceğiz (her konfigürasyon gelecek ayrı makalelerde ele alınacaktır):

  1. NFS (Ağ Dosya Sistemi) Sunucusu
  2. Apache Web Sunucusu
  3. Squid Proxy Sunucusu + SquidGuard
  4. E-posta Sunucusu (Postfix + Dovecot) ve
  5. Iptable'lar

Ayrıca tüm bu hizmetlerin önyükleme sırasında veya isteğe bağlı olarak otomatik olarak başlatıldığından emin olmak isteyeceğiz.

Bu ağ hizmetlerinin tümünü aynı fiziksel makinede veya sanal özel sunucuda çalıştırabildiğinizde bile, ağ güvenliğinin ilk sözde "kurallarından" birinin sistem yöneticilerine bu işlemleri yapmaktan kaçınmalarını söylediğini unutmamalıyız. yani mümkün olduğu ölçüde. Bu ifadeyi destekleyen karar nedir? Oldukça basit: Birden fazla makineyi çalıştıran bir makinede herhangi bir nedenle bir ağ hizmetinin güvenliği ihlal edilirse, bir saldırganın geri kalanını da tehlikeye atması nispeten kolay olabilir.

Şimdi, aynı makineye gerçekten birden fazla ağ hizmeti kurmanız gerekiyorsa (örneğin bir test laboratuvarında), yalnızca belirli bir anda ihtiyacınız olanları etkinleştirdiğinizden ve daha sonra devre dışı bıraktığınızdan emin olun.

Başlamadan önce, mevcut makalenin (LFCS ve LFCE serisinin geri kalanıyla birlikte) performansa dayalı bir perspektife odaklandığını ve bu nedenle bu makalenin İşlenen konularla ilgili her teorik ayrıntıyı inceleyin. Ancak başlangıç noktası olarak her konuyu gerekli bilgilerle tanıtacağız.

Aşağıdaki ağ hizmetlerini kullanabilmek için, ilgili trafiğe güvenlik duvarı üzerinden nasıl izin vereceğimizi öğrenene kadar güvenlik duvarını şimdilik devre dışı bırakmanız gerekecektir.

Lütfen bunun üretim kurulumu için Önerilmediğini unutmayın; ancak bunu yalnızca öğrenme amacıyla yapacağız.

Varsayılan bir Ubuntu kurulumunda güvenlik duvarının aktif olmaması gerekir. OpenSUSE ve CentOS'ta bunu açıkça devre dışı bırakmanız gerekir:

systemctl stop firewalld
systemctl disable firewalld 
or
or systemctl mask firewalld

Olduğu söyleniyor, haydi başlayalım!

NFSv4 Sunucusunun Kurulumu

NFS başlı başına bir ağ protokolüdür ve en son sürümü NFSv4'tür. Bu seri boyunca kullanacağımız versiyon budur.

NFS sunucusu, uzak Linux istemcilerinin paylaşımlarını bir ağ üzerinden bağlamasına ve bu dosya sistemleriyle sanki yerel olarak bağlanmış gibi etkileşime girmesine olanak tanıyan ve ağ için depolama kaynaklarının merkezileştirilmesine olanak tanıyan geleneksel bir çözümdür.

CentOS'ta
yum update && yum install nfs-utils
Ubuntu'da
aptitude update && aptitude install nfs-kernel-server
OpenSUSE'de
zypper refresh && zypper install nfsserver

Daha ayrıntılı talimatlar için Linux sistemlerde NFS Sunucusu ve İstemcisinin Nasıl Yapılandırılacağını anlatan makalemizi okuyun.

Apache Web Sunucusunun Kurulumu

Apache web sunucusu, bir HTTP sunucusunun sağlam ve güvenilir bir FOSS uygulamasıdır. Ekim 2014 sonu itibarıyla Apache 385 milyon siteye güç sağlıyor ve kendisine pazarın %37,45 payını sağlıyor. Tek başına bir web sitesine veya tek bir makinede birden fazla sanal ana bilgisayara hizmet vermek için Apache'yi kullanabilirsiniz.

yum update && yum install httpd		[On CentOS]
aptitude update && aptitude install apache2 		[On Ubuntu]
zypper refresh && zypper install apache2		[On openSUSE]

Daha ayrıntılı talimatlar için, IP tabanlı ve İsim tabanlı Apache sanal konaklarının nasıl oluşturulacağını ve Apache web sunucusunun güvenliğinin nasıl sağlanacağını gösteren aşağıdaki makalelerimizi okuyun.

  1. Apache IP Tabanlı ve İsim Tabanlı Sanal Barındırma
  2. Apache Web Sunucusu Sağlamlaştırma ve Güvenlik İpuçları

Squid ve SquidGuard'ı Yükleme

Squid bir proxy sunucusu ve web önbellek arka plan programıdır ve bu nedenle, web içeriklerini önbelleğe alarak sık yapılan istekleri hızlandırırken, birkaç istemci bilgisayar ile İnternet (veya İnternet'e bağlı bir yönlendirici) arasında aracı görevi görür. ve DNS çözümlemesi aynı anda. Ayrıca ağ segmentine veya yasak anahtar kelimelere göre belirli URL'lere erişimi reddetmek (veya vermek) için de kullanılabilir ve kullanıcı bazında dış dünyayla yapılan tüm bağlantıların bir günlük dosyasını tutar.

Squidguard, kalamar geliştirmek için kara listeler uygulayan ve onunla sorunsuz bir şekilde bütünleşen bir yeniden yönlendiricidir.

yum update && yum install squid squidGuard			[On CentOS] 
aptitude update && aptitude install squid3 squidguard		[On Ubuntu]
zypper refresh && zypper install squid squidGuard 		[On openSUSE]

Postfix ve Dovecot'un Kurulumu

Postfix bir Posta Aktarım Aracısıdır (MTA). E-posta mesajlarının bir kaynaktan hedef posta sunucularına yönlendirilmesinden ve teslim edilmesinden sorumlu uygulamadır; dovecot ise MTA'dan mesajları alıp doğru kullanıcı posta kutusuna teslim eden, yaygın olarak kullanılan bir IMAP ve POP3 e-posta sunucusudur.

Çeşitli ilişkisel veritabanı yönetim sistemleri için Dovecot eklentileri de mevcuttur.

yum update && yum install postfix dovecot 				[On CentOS] 
aptitude update && aptitude postfix dovecot-imapd dovecot-pop3d 	[On Ubuntu]
zypper refresh && zypper postfix dovecot				[On openSUSE]

Iptables Hakkında

Kısaca söylemek gerekirse, güvenlik duvarı, özel bir ağa erişimi veya özel bir ağdan erişimi yönetmek ve belirli kurallara göre gelen ve giden trafiği yeniden yönlendirmek için kullanılan bir ağ kaynağıdır.

Iptables, Linux'ta varsayılan olarak yüklenen bir araçtır ve paket filtreleme/yeniden yönlendirme ve ağ adresi çeviri işlevlerini gerçekleştirmek için bir güvenlik duvarının uygulanmasından nihai sorumlu olan netfilter çekirdek modülüne ön uç görevi görür.

İptables varsayılan olarak Linux'ta kurulduğundan, yalnızca gerçekten çalıştığından emin olmanız gerekir. Bunu yapmak için iptables modüllerinin yüklü olup olmadığını kontrol etmeliyiz:

lsmod | grep ip_tables

Yukarıdaki komut hiçbir şey döndürmezse ip_tables modülünün yüklenmediği anlamına gelir. Bu durumda modülü yüklemek için aşağıdaki komutu çalıştırın.

modprobe -a ip_tables

Ayrıca Okuyun: Linux Iptables Güvenlik Duvarına İlişkin Temel Kılavuz

Hizmetleri Yapılandırma Önyüklemede Otomatik Başlatma

LFCS sertifikasyonu hakkındaki 10 makalelik serinin Sistem Başlatma Sürecini ve Hizmetlerini Yönetme - Bölüm 7'de tartışıldığı gibi, Linux'ta çeşitli sistem ve hizmet yöneticileri mevcuttur. Seçiminiz ne olursa olsun, isteğe bağlı ağ hizmetlerini nasıl başlatacağınızı, durduracağınızı ve yeniden başlatacağınızı ve bunların önyükleme sırasında otomatik olarak başlatılmasını nasıl etkinleştireceğinizi bilmeniz gerekir.

Aşağıdaki komutu çalıştırarak sisteminizin ve servis yöneticinizin ne olduğunu kontrol edebilirsiniz:

ps --pid 1

Yukarıdaki komutun çıktısına bağlı olarak, her hizmetin önyükleme sırasında otomatik olarak başlatılıp başlatılmayacağını yapılandırmak için aşağıdaki komutlardan birini kullanacaksınız:

Systemd tabanlı
----------- Enable Service to Start at Boot -----------
systemctl enable [service]

----------- Prevent Service from Starting at Boot -----------
systemctl disable [service] # prevent [service] from starting at boot
Sysvinit tabanlı
----------- Start Service at Boot in Runlevels A and B -----------
chkconfig --level AB [service] on 

-----------  Don’t Start Service at boot in Runlevels C and D -----------
chkconfig --level CD service off
Başlangıç tabanlı

/etc/init/[service].conf betiğinin mevcut olduğundan ve aşağıdaki gibi minimum yapılandırmayı içerdiğinden emin olun:

When to start the service
start on runlevel [2345]
When to stop the service
stop on runlevel [016]
Automatically restart process in case of crash
respawn
Specify the process/command (add arguments if needed) to run
exec /absolute/path/to/network/service/binary arg1 arg2

Ayrıca isteğe bağlı ağ hizmetlerini yönetmeye yönelik diğer yararlı komutlar için LFCS serisinin Bölüm 7'sine (bu bölümün başında değinmiştik) göz atmak isteyebilirsiniz.

Özet

Şu ana kadar bu makalede açıklanan tüm ağ hizmetlerinin kurulu ve muhtemelen varsayılan yapılandırmayla çalışıyor olması gerekir. Daha sonraki makalelerde bunları ihtiyaçlarımıza göre nasıl yapılandıracağımızı keşfedeceğiz, o yüzden bizi takip etmeye devam edin! Ve lütfen aşağıdaki formu kullanarak bu makaleyle ilgili yorumlarınızı paylaşmaktan (veya varsa sorularınızı göndermekten) çekinmeyin.

Referans Bağlantıları
  1. LFCE Hakkında
  2. Neden Linux Vakfı Sertifikası almalı?
  3. LFCE sınavına kaydolun